ITパスポート 令和4年度 問23:法務・個人情報に関する問題
オプトアウトに関する記述として,最も適切なものはどれか。
- aSNSの事業者が,お知らせメールの配信を希望した利用者だけに,新機能を紹介するメールを配信した。
- b住宅地図の利用者が,地図上の自宅の位置に自分の氏名が掲載されているのを見つけたので,住宅地図の作製業者に連絡して,掲載を中止させた。正答
- c通信販売の利用者が,Webサイトで商品を購入するための操作を進めていたが,決済の手続きが面倒だったので,画面を閉じて購入を中止した。
- dドラッグストアの事業者が,販売予測のために顧客データを分析する際に,氏名や住所などの情報をランダムな値に置き換え,顧客を特定できないようにした。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは b です。
オプトアウトとは、「もう使わないで!」「やめて!」と本人が後から言って止めさせること。最初は載っていた情報を、本人の申し出でストップするイメージです。
bは、住宅地図に勝手に名前が載っていたのを「消して」と言って中止させた話。これがまさにオプトアウト。
👉 覚え方:opt-out=「out(外に出る)」=後から抜ける・止める。逆に最初から「OKしたら送る」のがオプトイン。
ほかの選択肢:a 希望した人だけに送る=オプトイン/c 買い物の途中でやめた=ただの離脱/d 名前を別の値に変える=匿名加工(仮名化)。
なぜこれが正解か
正解は b。オプトアウトとは、本人の同意を前提とせず利用・提供を行い、本人が「拒否(停止)」の意思表示をした時点でそれをやめる方式。bは、すでに掲載されていた氏名情報の掲載を、本人の申し出により中止させており、まさにオプトアウトに該当する。
各選択肢の解説
- a 配信を希望した利用者だけに送る:✕ 事前同意を得る「オプトイン」。
- b 掲載を本人の申出で中止させる:○ 後から拒否して停止=オプトアウト。
- c 手続きが面倒で購入を中止:✕ 単なる利用者の購入離脱で、個人情報の話ではない。
- d 氏名・住所をランダム値に置換:✕ 仮名加工・匿名加工情報の処理。
覚え方・ひっかけ注意
オプトイン=「入る(in)=事前にOKしてから」、オプトアウト=「出る(out)=後から拒否して止める」。a と b はどちらも紛らわしいので、「同意が先か/拒否が後か」で判定する。
理論的背景
オプトアウト(Opt-Out)とオプトイン(Opt-In)は、個人が情報の利用や配信に対する同意・拒否を表明する二つの仕組みで、個人情報保護・プライバシー権の根幹をなす概念である。
- オプトイン(Opt-In):初期状態は「同意なし」であり、利用者が積極的に「同意する(参加する)」意思表示をして初めて利用・配信が開始される方式。個人保護が強い。
- オプトアウト(Opt-Out):初期状態は「同意あり(利用・配信が行われる)」であり、利用者が積極的に「拒否する(離脱する)」意思表示をすることで停止できる方式。個人保護としては弱め。
選択肢bが正解の根拠:住宅地図に自分の氏名が掲載されていた(初期状態として情報が使われていた)→自分から業者に連絡して掲載を中止させた(積極的な拒否の意思表示)。これがオプトアウトの典型的事例。
個人情報保護法のオプトアウト規定(法23条2項):個人データの第三者提供について本人の事前同意なしに行える例外として「オプトアウト手続き」が認められており、次の要件を満たす場合に利用可能。①第三者提供する旨を個人情報保護委員会に届出・公表、②本人がオプトアウト請求できる状態にある。ただし2017年改正で要配慮個人情報へのオプトアウト適用が禁止され、2021年改正でさらに制限が強化された。
実務での使われ方
メールマーケティング:日本では特定電子メール法により「送信者との取引関係のない商業的メールの送信には受信者の事前同意(オプトイン)が必要」と定めており、受信者の許可なしに広告メールを送ることは違法。「配信停止はこちら」というリンクはオプトアウト機能として法的に必須の記載事項。
Cookieとデジタル広告:GDPR(EU一般データ保護規則)ではCookieによるトラッキングにはオプトインの同意が必要とされ、EUサイトでのCookieバナー表示が義務化。日本のガイドライン(個人情報保護委員会)はCookieの扱いについてオプトアウト可能な形式を認めているケースもあるが、2024年の改正でより厳格化の方向にある。
個人情報の第三者提供:ポイントカード事業者が会員情報を第三者(マーケティング会社等)に提供する際にオプトアウト方式を使うケースがあり、会員規約での事前告知+「提供停止の申し出を受け付ける」仕組みの整備が法的要件となる。
試験での位置づけ
ITパスポートの法務・個人情報保護分野で頻出。オプトインとオプトアウトの違い(「する方(オプトイン)」vs「やめる方(オプトアウト)」という方向性)を事例ベースで判断する問題形式が定番。選択肢の中で「本人が自ら拒否・停止・離脱の意思表示をする事例」がオプトアウトと判断できる。
上位資格では、個人情報保護法のオプトアウト規定の要件(届出義務・本人通知・保存期間)、GDPRのデータ主体の権利(忘れられる権利・データポータビリティ権)とオプトインとの関係、特定電子メール法の「受信拒否の効力発生タイミング」まで踏み込んだ問題が出る。
選択肢の発展補足
選択肢a(配信を希望した利用者だけに新機能紹介メールを配信):メール配信のオプトイン方式の説明。「希望した利用者だけ」という表現が「事前に同意した人のみを対象」というオプトインの定義と一致する。SNS事業者がデフォルトでメールを送らず、受信を希望する人が積極的に設定する仕組み。EUのGDPRや日本の特定電子メール法がこの方式を求める。
選択肢c(Web購入操作中に画面を閉じて購入を中止):単なる購入手続きの中断であり、オプトアウトとは無関係。オプトアウトは「既に行われている情報利用・配信・参加を、本人が意思表示して停止させる」ものだが、選択肢cはそもそも個人情報の利用に関する同意の文脈ではなく、単なる取引の中断。
選択肢d(顧客データの氏名・住所をランダムな値に置き換えて特定不能にする):「仮名化(Pseudonymization)」または「匿名化(Anonymization)」の説明。個人情報保護法上の「仮名加工情報」「匿名加工情報」の処理に対応する概念で、個人情報をリスクを下げた形で分析・活用する技術手法。個人が情報利用への同意・拒否を表明するオプトアウトとは根本的に異なる概念。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和4年度 問23/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。