メニュー

\ チャンネル登録者数 13,000人を突破 /

公式YouTubeチャンネル
システム開発やアプリ開発、AI開発などITの法律・法務に強い法律事務所
問い合わせ
  1. ホーム
  2. IT企業のための法律
  3. 個人情報の「オプトアウト事業者」に対する個人情報保護委員会の調査について、実例及び対応方法を解説

個人情報の「オプトアウト事業者」に対する個人情報保護委員会の調査について、実例及び対応方法を解説

IT企業のための法律 個人情報に関わる法律 ブログ
個人情報の管理

個人データの第三者提供のためには本人の事前の同意(オプトイン)が必要であるのが原則です。これに対して、オプトアウト制度においては、本人の事前の同意がなくても、本人が異議を留めるまで個人データを第三者に提供できる制度です。これを個人情報の第三者提供のオプトアウト制度といいます。

しかし、このオプトアウト制度は、厳格なルールが設定されており、これを守っていない事業者も多いです。そのせいで、個人情報保護委員会から事業者に対する調査が良く行われます。

目次

個人情報保護委員会からの調査依頼への対応

個人情報保護委員会は、問題がある(と思われる)事業者に対して調査の協力依頼をすることがあります。 一般に、調査への回答自体は任意ですが、行政指導がされるときに、「調査に未回答であったこと又は回答内容が不十分であったこと」が原因の一つとされることがあります。

このように、個人情報保護委員会の調査に回答しないことや正確に回答しないことが、 事業者に不利な事情の1つとして判断されるリスクがあります。 調査には回答期限が定められているので、 調査に対しては一 定の優先度を持って対応するべきです。

実際に個人情報保護委員会から調査を受けて、行政指導を受けた例を紹介します。

事案の概要

令和6年現在、「闇バイト強盗」と称されるSNSを利用した強盗等事件が広 域で発生している。 政府は、こうした情勢を踏まえて 「SNS で実行犯を募集する手口による強盗や特殊詐欺事案に関する緊急対策プラン」を策定しました。こ のような強盗や特殊詐欺においては、犯罪者グループ等に 「闇名簿」(名前、 住所、 家族構成、保有資産、 クレジットカード情報などが記載されているとい われる)を提供する悪質な 「名簿屋」の存在が指摘されています

個人情報保護委員会は、 27条2項に基づくオプトアウトの届出を行った事業者を対象に、個人情報の適正な取扱いがなされているかについて把握するための調査を行った。 当該調査は、調査票のメール添付による任意調査の形式で行 われた。

個人情報保護委員会は、 同調査に未回答又は回答内容が不十分であった24事業者に対し、個人情報保護法 146条1項に基づく報告等の求めを行うとともに、 ヒアリングを行った結果、 以下のとおり、 3社において、個人情報保護法上の問題点が確認されました。

個人情報の不適正な利用の禁止 (個人情報保護法第19条)

ビジネスプランニングは、 販売先が、 法に違反するような行為を行う者にも名簿を転売する転売屋(ブローカー)だと認識していたにもかかわらず、意図的に販売先での名簿の用途を詳しく確認せず、 転売屋に名簿を販売しました。当該行為は、社会通念上適正とは認められない名簿の転売行為、 すなわち 「不当な行為」 を助長又は誘発するおそれがある方法による個人情報の利用である。

第三者提供に係る記録の作成義務違反(個人情報保護法第29条第1項)

個人データを第三者に提供したときに、 当該個人データを提供した年月日並びに当該第三者の氏名又は名称及び住所について、記録を作成していない場合があったとのことでした。

個人情報保護法第147条に基づく指導の内容

個人情報保護法では、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用しないよう、 定期的に監査を行う等して個人情報の取扱状況を適切に把握するとともに、定期的な研修及び教育の実施を通じて、代表取締役を含む役員及び従業者に、個人情報の適正な取扱いを周知徹底すること。」と規定されています。

指導等を受けたうちの1社は、 19条 (不適正な利用の禁止) の違反が指摘され、その結果 「定期的な研修及び教育の実施を通じて、 代表取締役を含む役員及び従業者に、 個人情報の適正な取扱いを周知徹底すること。」 との指導がなされました。

個人情報保護委員会からの調査依頼への対応方針

調査への回答は任意であるとはいえ、 個人情報保護委員会の調査に対して虚偽の回答は決してすべきではありません。 もっとも、 事業者として個人情報保護法違反を認識しているのであれば、 単純に違法行為を報告するのではなく、回答期限までに実施可能な対応には取り組んだうえで、 今後の予定として改善策や再発防止策を添えて提出することが望ましいです。

第三者提供時の確認・記録義務の履行

本件で問題になったのは、 オプトアウトに関連する第三者提供に係る記録の作成義務 (29条) です。

第三者提供の確認・記録義務は、法律上の義務であるにもかかわらず、 対応の優先度が比較的低く位置付けられがちであるように思われます。 同規定は 「いわゆる名簿業者を介在し、 違法に入手された個人データが社会に流通している実態」 を踏まえ、 トレーサビリティの確保を目的として、平成27年の個人情報保護法改正により設けられました。

上記の調査回答においても、記録義務について 「システム上のログで取っているため、 特に負担感はない」 と肯定的な回答がある一方で、 「記録シートと添付ファイルを個人情報提供するたびに作成していますが、 多忙な時などは、 特に添付資料の作成が負担になることがあります」 との回答もあり、 事業者ごとに運用に苦労している様子がみられます。

しかしこれは法律上の義務であるので、事業者としては、個人情報保護委員会から、対応状況を問われたときに説明が可能な程度には準備をしておけるようにしましょう!

問い合わせはコチラから
IT企業のための法律 個人情報に関わる法律 ブログ
個人情報保護法 第三者提供
個人情報の管理

この記事が気に入ったら
いいね または フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次