ベネッセ事件の再発防止なるか、消費者委が個人データ受領側企業に届け出義務

　消費者行政全般に対して意見表明をする内閣府の消費者委員会は2014年9月9日に開いた会議で、ベネッセホールディングスの個人情報流出事件への対策として、個人情報保護法の改正に向けた意見を公表した。6月に公表されたIT総合戦略本部の「パーソナルデータに関する検討会」の制度改正大綱に対するもので、内容は7月15日に消費者委が出した意見をより具体化したものだ。

写真●消費者委員会の冒頭で挨拶する有村治子消費者行政担当相

[画像のクリックで拡大表示]

消費者委員会の冒頭で挨拶する有村治子消費者担当相

　それによると、事業者同士が本人の同意なしに個人データをやり取りする場合、データの提供側に加えて受領側の事業者に対しても、個人情報保護保護法の改正で発足する専門の第三者機関への届け出義務などを課すよう求めた。

　現行の個人情報保護法では、事業者が個人データをやり取りする場合、本人の同意を得るのが原則。ただ、提供元の事業者がオプトアウト（利用停止）ができるということを本人が容易に知り得る状態にしていれば、本人が明確に同意しなくても提供できるという例外規定がある。事業者がホームページでオプトアウトの手段を示せば、「本人が容易に知り得る状態」と解釈されてきた。

　だが個人が事業者のホームページをくまなくチェックするのは困難で、「制度は形骸化している」との意見が出ている。加えて、迷惑メール事業者にオプトアウト手続きをする場合、そこで本人確認を求められて氏名や住所を聞かれるという本末転倒になりかねない事態も指摘されてきた。

　そのため制度改正大綱では、個人データをやり取りする際のオプトアウト規定について、「現行法の趣旨を踏まえた運用の徹底を図ること」と明記。個人情報取扱事業者がオプトアウト規定を用いて個人データの第三者提供を行う場合、現行法の要件に加えて、本人通知事項などの第三者機関への届け出や、届け出事項を第三者機関が公表するなど、「必要な措置を講じる」とした。

　今回、消費者委は、データの受け手にも届け出の義務を課すよう求めた。また、不正な手段で取得されたデータが流通するのを防ぐため、提供側と受け手の双方に対して、データが適性に取得されたことを確認する義務も提言した。