オプトアウトとは、本人が希望すれば事後的に停止するのを前提に、提供する個人データの項目などを公表した上で、同意なく第三者に提供することです。

しかし、2020年の個人情報保護法の改正で、オプトアウトに関する規定が厳格化され、第三者に提供できる個人データの範囲が限定されています。個人データを取り扱う事業者は、現行法を理解した上で適切に対応しなければいけません。

本記事では、オプトアウトについて、個人情報保護法の改正による影響や採用時の注意点などを解説します。

1.オプトアウトとは？

オプトアウトは直訳すると「身を引く」「脱退する」ですが、個人情報保護法においては「本人が希望すれば事後的に停止するのを前提に、提供する個人データの項目などを公表した上で、同意なく第三者に提供すること」を指します。

個人情報を取り扱う事業者は、第三者に情報を提供する際、本人から同意を得る必要があります（個人情報保護法第27条第1項）。知り得た個人情報を、本人の同意なく第三者へ提供することは原則として認められません。[参考1]

1-1.オプトアウトとオプトインの違い

知り得た個人情報を第三者に提供する方法には「オプトアウト」または「オプトイン」の2つの選択肢がありますが、原則としてオプトインが採用されています。

オプトインを直訳すると「参加」「同意」です。個人情報保護法において、事業者が第三者に個人データを提供する際は、原則として本人の「同意」が必要と定められています（個人情報保護法第27条第1項）。

オプトアウトとオプトインの主な違いは、ユーザーが第三者への個人情報の提供に同意しているか否かです。オプトインは同意があるのに対して、オプトアウトは同意がない場合も、拒否しない限り第三者に個人情報を提供できます。[参考1]

2.個人情報保護法の改正でオプトアウトが厳格化

要配慮個人情報をオプトアウトによって第三者へ提供することは以前から禁止されていますが、2020年の個人情報保護法の改正で、規制がさらに厳格化しました。

要配慮個人情報のほか、不正に取得した個人情報、オプトアウトによって知り得た個人情報などが、第三者に提供できなくなっています。要配慮個人情報とは、個人の社会的身分や信条、人種、病歴、犯罪歴などに配慮が必要な情報です。

また、オプトアウトで個人データを第三者に提供する際は個人情報保護委員会への届出が必要ですが、法改正によって届出等事項が追加されています。さらに、個人データの提供をやめたときは、個人情報保護委員会にその旨を届け出なければいけません（個人情報保護法第27条第2項）。[参考1]

個人情報保護法の改正について理解を深めたい方は、以下の記事も併せてご覧ください。

関連記事：改正個人情報保護法の内容は？2025年検討状況についても解説

2-1.個人情報保護委員会への届出手続き

届出が必要なのは、本人の同意なく個人データを第三者に提供する個人情報取扱事業者です。個人情報を取得した際に本人から同意を得ている場合、個人情報保護委員会への届出は必要ありません。

届出を行う際は、以下4点を明記しましょう。

• 個人情報の第三者への提供目的

• 個人情報の提供方法

• 個人情報に含まれる項目

• 本人によるオプトアウトの方法

なお、個人情報の漏えい等が発生した場合も、個人情報保護委員会への報告が義務付けられています。報告義務が生じる事案や、報告を怠った場合の罰則について詳しく知りたい方は以下の記事をご覧ください。

関連記事：個人情報保護委員会への報告義務とは？具体的なケースや例外・罰則を解説

3.個人データの取り扱いに関する注意点

本章では、オプトアウト規定にも関わる個人データの第三者提供に関する記録義務や提供停止の注意点を立場別に紹介します。データを提供する側・受け取る側が注意すべきポイントについて理解を深めた上で、個人データを適切に取り扱いましょう。

3-1.【提供する側】個人データを第三者に提供した旨を記録する

個人データを第三者に提供する際は、本人の同意の有無にかかわわらず、提供先や代表者の氏名・住所、提供したデータによって識別される事項などを記録する義務があります。記録事項は、個人情報保護の保護に関する法律施行規則第20条に定められており、本人の同意があるか否かで異なります。

記録方法は、文書・電磁的記録・マイクロフィルムのいずれかで、最低3年間の保管が必要です。個人データの無責任な二次提供・三次提供を防ぐために、正しく記録しましょう。

なお、オプトアウトによって第三者に個人データを提供する場合、本人から申し出があった際はすぐに情報の提供をやめなければいけません。そのほか、本人の権利が害される可能性があるときや、事業者が個人データを保有・利用する必要がなくなったときは、オプトアウトでなくても提供をやめるべきケースもあります。

社内で保管している個人データの内容・場所を今一度整理し、適切に管理しましょう。[参考2]

3-2.【受け取る側】確認・記録を徹底する

個人データの提供を受ける際は、提供元の氏名や住所などの情報と、個人データを受け取ることになった経緯を確認しなければいけません（個人情報保護法第30条）。具体的な確認事項は、個人情報保護委員会のガイドラインに定められています。

記録事項は個人情報の保護に関する法律施行規則第24条に定められており、記録の方法・保存期間は提供する側と同じです。[参考2][参考3]

4.個人情報保護法に関するリサーチは「Legalscape」にお任せ

個人情報保護法におけるオプトアウトとは「本人が希望すれば事後的に停止するのを前提に、提供する個人データの項目などを公表した上で、同意なく第三者に提供すること」です。

オプトアウトによって個人情報を本人の同意なく第三者へ提供する際は、個人情報保護員会へ届け出なければいけません。個人情報保護法の改正で届出等事項が追加されているほか、個人データの提供をやめたときは、個人情報保護委員会にその旨を届け出る必要があります。オプトアウトを採用する際は、個人情報保護法をあらかじめ理解した上での、個人情報の適切な管理が求められます。

個人情報保護法などの、定期的に改正される法情報の抜け漏れを防ぎたい方は「Legalscape」を活用すると便利です。Legalscapeは、質問や知りたいことを入力するだけで、必要な法情報を瞬時に要約・提供するサービスです。

画面の左側に要約、右側に参照元が表示され、一目で多くの情報を把握できるメリットもあります。参照元は、法律書籍や判例、法令、ガイドラインと、業界最大規模のコンテンツが収録されています。

Legalscapeは以下より無料トライアルが可能です。ぜひご活用ください。

本記事の記述は一時的情報であり、特定の事案への法的助言ではありません。

参考1：個人情報の保護に関する法律 | e-Gov 法令検索

参考2：個人情報の保護に関する法律施行規則 | e-Gov 法令検索

参考3：個人情報の保護に関する法律についてのガイドライン（第三者提供時の確認・記録義務編） ｜個人情報保護委員会