行政書士 一般知識 問34:情報通信・個人情報保護
個人情報保護法における「オプトアウト方式」による個人データの第三者提供に関する次のア〜オの記述のうち、**誤っているもの**はどれか。
- アオプトアウト方式とは、個人情報取扱事業者が、本人の求めに応じて停止する旨を通知または公表したうえで、本人の同意なく個人データを第三者に提供できる仕組みである。
- イオプトアウト方式を利用する事業者は、あらかじめ個人情報保護委員会に届出を行い、個人情報保護委員会はその届出を公表しなければならない。
- ウ要配慮個人情報は、オプトアウト方式による第三者提供の対象から除外されており、オプトアウトによって提供することはできない。
- エ不正の手段で取得した個人データは、オプトアウト方式を活用すれば第三者への提供が適法になる。正答
- オ個人データをオプトアウト方式で受け取った第三者(受領事業者)は、その個人データを同じくオプトアウト方式でさらに別の第三者に提供することはできない。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。根拠条文・判例も明記。
正答(誤り)はエです。不正の手段で取得した個人データはオプトアウト方式を利用しても第三者提供ができません(27条4項3号)。不正取得はそもそも20条1項違反であり、オプトアウト届出でその瑕疵は治癒されません。ア(正):オプトアウト方式の基本的な仕組みを正確に述べています。イ(正):個人情報保護委員会への事前届出と委員会による公表は27条2項・3項に定められており、個人データの適正な流通を公示する制度趣旨があります。ウ(正):要配慮個人情報はオプトアウトの除外対象です(27条4項1号)。取得時と同様、提供時にも本人同意が必要です。オ(正):オプトアウトで受け取った個人データの再オプトアウト提供は禁止されています(27条4項2号)。これは転々流通による管理の形骸化を防ぐためです。
エが誤りです。27条4項3号は「他の個人情報取扱事業者から不正の手段で取得した個人データ」をオプトアウト方式の対象外と明記しています。不正取得は20条1項(適正取得義務)違反であり、その後のオプトアウト届出によって適法性が回復することはありません。オプトアウト方式の適用除外は三類型あります(27条4項):①要配慮個人情報(1号)、②オプトアウトによって提供された個人データをさらに第三者に提供する場合(2号)、③不正の手段により取得した個人データ(3号)。これらは2017年改正(1号)・2022年改正(2号・3号の整備)により順次強化されました。届出事項(27条2項各号)は①第三者に提供する目的、②提供する個人データの項目、③提供の方法、④本人の求めに応じて停止する旨、⑤本人の求めを受け付ける方法です。これらを個人情報保護委員会に届出後、委員会がウェブサイトで公表します(27条3項)。
【オプトアウト方式の制度趣旨と段階的強化の経緯】
オプトアウト(Opt-Out)は、デフォルトで第三者提供を「許可」とし、本人が「停止を申し出る」ことで提供が止まる仕組みです。反対にオプトイン(Opt-In)はデフォルトが「禁止」で、本人の積極的同意があった場合のみ提供できる仕組みです。個人情報保護法の原則は同意原則(オプトイン)ですが、その例外としてオプトアウト方式が認められています。2015年改正以前は届出制度がなく、オプトアウトの実態が不透明でした。2015年改正で個人情報保護委員会への届出制度・公表制度が整備され、2022年改正でさらに受領データの再提供禁止(2号)と不正取得データの禁止(3号)が追加されました。この規制強化の背景には、名簿業者等がオプトアウト制度を悪用して大量の個人データを流通させていた実態への対応があります。
【届出事項と公表の実務的意義】
27条2項の届出事項のうち特に重要なのは「提供する個人データの項目」です。提供している個人データの具体的な種類(氏名・住所・電話番号・購買履歴等)を特定して届け出る必要があり、届出内容以外のデータを提供することはできません。委員会による公表(27条3項)により、消費者は委員会のウェブサイト(「個人情報保護委員会 オプトアウト届出」)でどの事業者がオプトアウト方式を利用しているか確認でき、停止請求を行う手掛かりとなります。本人からの停止請求に対して事業者は応じる義務があり(27条2項柱書「本人の求めに応じて…停止することができる場合」)、停止請求を無視した提供継続は違法となります。
【要配慮個人情報の除外理由と実務影響】
要配慮個人情報(2条3項)がオプトアウト対象外とされる理由は、この情報が人種・信条・病歴・犯罪歴等の「不当な差別・偏見等が生じるおそれのある情報」であり、本人の明示的な同意なく第三者に流通することは権利利益への重大な侵害になりうるからです。例えば病歴情報がオプトアウトで健康食品会社に流通すれば、差別的なダイレクトメールが届く可能性があります。企業が自社サービスで収集した顧客の病歴・障害情報等はオプトアウトでは提供できず、必ず本人の明示的同意が必要です。行政書士として顧客企業のデータマーケティング支援をする際、保有している個人データが要配慮情報を含むかどうかの確認と、提供方式の適法性チェックが実務上重要です。
【上位資格・実務への接続】
オプトアウト規制の国際的比較として、GDPRは原則オプトインであり、オプトアウト提供に類似した仕組みは「正当な利益」(Legitimate Interests:GDPR第6条1項f号)で根拠付けられますが、バランスシングテスト(本人の利益との比較衡量)が必要です。CCPA(カリフォルニア州消費者プライバシー法)もオプトアウト権(Do Not Sell)を認めており、日本法のオプトアウト方式とは別個の構造です。国際的なデータ取引に関わる業務では、日本法のオプトアウトとGDPR・CCPAの対応する概念の違いを理解することが不可欠です。
【根拠条文】
個人情報の保護に関する法律 第27条第2項(オプトアウトの要件・届出事項)・第27条第3項(委員会による公表)・第27条第4項各号(適用除外:要配慮・受領データ再提供・不正取得)
※条番号は令和3年改正後(2022年4月全面施行)の現行条文に基づく。
【補足】
オプトアウト除外の三類型(27条4項):①要配慮個人情報、②受領データの再提供、③不正取得データ。事前届出・委員会公表が必要(27条2項・3項)。不正取得はオプトアウトで治癒されない。
本問は合格ナビが作成したオリジナル問題です(過去問の転載ではありません)。 根拠・出典:根拠: 個人情報の保護に関する法律 第27条第2項(オプトアウト方式の要件)・第27条第2項各号(届出事項)・第27条第3項(委員会による公表)・第27条第4項(オプトアウト除外:要配慮・不正取得・受領データ) 現行法(2026年度基準)に準拠し、根拠条文・判例を明記しています。