改正個人情報保護法、2017年の変更ポイントは 前編：困ったときのビジネス用語（4/5 ページ）

[溝田萌里，キーマンズネット]

コラム：【コラム】オプトアウト、オプトインの違い

　あらかじめ第三者提供の可能性を公表し、本人からの求めがあった場合、それに応じて第三者提供を停止することを「オプトアウト」といいます。反対には「オプトイン」という概念があり、本人の同意を得てから第三者に情報を提供することを指します。

図2　オプトアウト、オプトインの違い

第三者提供を受けるときのルール

　第三者提供を受ける側の義務も設けられています。名簿会社などから間接的に個人情報を取得する際に（1）個人情報を提供する側の素性を確認し、個人情報をどのように取得したのか確認すること（2）第三者提供があった事実を記録すること、の2つ義務となります。すなわち、図3で考えれば、自社がC社だった場合には、B社がA社から情報を取得した経緯を確認しなければなりません。

図3　第三者から情報提供を受ける際のポイント

　このように、「誰がどのような経緯で取得した情報を、いつ受領した」ということを明確にし記録することで、情報のトレーサビリティーを確保する狙いがあります。情報漏えいがあった場合にも、どこから漏えいしたのか追跡できるというわけです。

　例えば、2014年に起きたベネッセ個人情報流出事件では、ベネッセの業務委託先の元社員が、不正に取得した顧客情報を名簿業者に売却しました。名簿業者は、さらにオプトアウトによって他の名簿業者に情報を拡散していたことも分かっています。個人情報がどう流れたのか即座に把握するため、あるいは不正に入手された個人情報を手にしないために、提供の記録は重要事項となっています。