個人情報保護などに関連して、よく目にするようになった用語のひとつにオプトアウト（opt out）があります。

実際には、いくつかの使われ方があるようなのですが、主に次のような場合をいうことが多いようです。

 

(1)ユーザの許可なしに広告などのメールをそのユーザ配信し、その配信メール中などに配信拒否の手続方法を明示しておくこと。および、ユーザが配信拒否をすること、がいわれます。

この場合に関しては、悪意者から送信されている場合もありますので、不用意に配信拒否の手続すらしないほうがよい場合もあります。

なお、事前に配信の許可がされている場合をオプトインといいますが、できる限りこのオプトインの方法により配信し、配信中でも配信終了の手続方法が明示されているのが望ましいように思われます。

 

(2)個人情報保護法では、個人情報取扱事業者は、あらかじめ本人の同意を得ないで、個人情報を第三者に提供してはならない、という原則があります。

ただ、この例外のひとつとして、第三者提供に当たりあらかじめ、本人に通知し、又は、本人が容易に知り得る状態に置くとともに、本人の求めに応じて第三者への提供を停止することが、「第三者提供におけるオプトアウト」といわれます。

 

関連して、平成１８年度上級システムアドミニストレータ試験の午前試験問題の問３２をみてみます。試験問題の全文については、情報処理技術者試験センターの Web サイト http://www.jitec.jp/ にて公開されています。

問３２　オプトアウトの手続に該当するものはどれか。

ア　電子メールで商品の購入を申し込んだユーザに、商品の利用方法を送付する際には、当該電子メールが不要な場合の連絡方法も記載しておく。

イ　取引に関連してクッキーを利用し個人情報が収集される場合があることをユーザに説明し、当該行為について事前に本人の同意を得ておく。

ウ　ユーザが登録した個人情報を第三者に提供する場合には、事前に本人の同意を得ておく。

エ　ユーザ登録の際に”新商品の情報を希望”という項目を選択できるようにしておき、これを能動的に選んだユーザに新商品情報を送付する。

答えは、ア。

「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。」（第3条）

としており、「個人情報の保護に関する法律」を解釈するにあたっては、このことを念頭におくことが重要となります。

さて、「個人情報の保護に関する法律」において、個人情報取扱事業者とは、「個人情報データベース等を事業の用に供している者をいう。」（第2条）と定義されています。

なお、対象外となる者も規定されています。概略的に、いくつかあげると、国の機関や地方公共団体、一般私人（事業の用に供しない者）、小規模事業者（事業の用に供する個人データによって識別される人数が５，０００以下のもの）などのほか、個人情報を取り扱う目的が報道活動、著述活動、学術活動、宗教活動、政治活動などの場合です。

個人情報取扱業者の義務として、「個人情報の保護に関する法律」に規定されているのは主として次のようになります。（首相官邸のホームページ http://www.kantei.go.jp/ にて公開されている内容を参考にしています。）

 

１．目的の明確化と利用の制限に関して

・利用目的をできる限り特定しなければならない（第15条）

・利用目的の達成に必要な範囲を超えて取り扱ってはならない（第16条）

・本人の同意を得ずに第三者に提供してはならない（第23条）

 

２．収集の制限に関して

・偽りその他の不正な手段により取得してはならない（第17条）

 

３．データの内容に関して

・正確かつ最新の内容を保つように努めなければならない（第19条）

 

４．安全保護に関して

・安全管理のために必要な措置を講じなければならない（第20条）

・従業員・委託先に対する必要な監督を行わなければならない（第21条、第22条）

 

５．公開に関して

・取得したときは利用目的を通知又は公表しなければならない（第18条）

・利用目的等を本人の知り得る状態に置かなければならない（第24条）

・本人の求めに応じて保有個人データを開示しなければならない（第25条）

・本人の求めに応じて訂正等を行わなければならない（第26条）

・本人の求めに応じて利用停止等を行わなければならない（第27条）

 

６．責任に関して

・苦情の適切かつ迅速な処理に努めなければならない（第31条）