Pマーク教育テストの疑問:オプトアウトがあれば第三者提供は可能?設問文の正誤を解説
昨年プライバシーマークの定期教育問題を購入したものですが、問題327の選択肢Cは、オプトアウトがされていれば提供可能、と思いますが設問文として間違いはございませんか?
もし、このままで間違いなければそのまま使用させていただきますが、設問文を変えたり注釈をつけるとすれば、どのようにすればよいかご教示いただければと存じます。
設問自体に誤りはございませんが、ご指摘の通り「個人情報保護法(オプトアウト規定)」と「JIS Q 15001(マネジメントシステム規格)」の要求水準が異なるため、受講者が混乱しやすいポイントとなっております。
受講者の理解を深めるために以下の補足解説を追加することを強く推奨いたします。
1. 設問の意図
本設問のポイントは、「収集時に明示した利用目的の範囲を超えて、本人の同意や適切な手続きなく提供を行っている点」にあります。
選択肢Cが違法とされるのは、個人情報保護法が認める「適正なオプトアウトの手続き」を経ていない状態で、X社が独自判断で提供しているためです。
2. 解説に追加する補足事項
教育の際、以下の解説を追記いただくことで、法と規格の違いを明確にできます。
【補足解説:JIS規格と法の違い】
- JIS Q 15001(オプトイン):
第三者提供の際は原則として本人から事前の「明示的な同意」を得ることを要求しています。- 個人情報保護法(オプトアウト):
一定の事項を本人に通知・公表し、かつ提供停止の仕組み(オプトアウト)を整えている場合に限り、同意なく提供が可能です。本設問のX社のように、収集時に利用目的を限定して明示している場合、その目的外提供には「本人同意」が必要であり、オプトアウト手続きを経ていない提供は違法となります。
3. 教育運用のポイント
Pマークを取得している以上、法律上のギリギリのライン(オプトアウト)を狙うのではなく、JIS規格が求める「本人の納得感(オプトイン)」を重視した運用を心がけることを強調いただくと、受講者のセキュリティ意識向上に繋がります。
なお、解説を追加するとした場合、以下のようになります。
(解説に追加する事項)
なお、JIS Q15001:2023のA.14項(個人データの提供に関する措置)では、明示的な同意、即ちオプトインを求めているが、個人情報保護法では、第三者提供におけるオプトアウト※を行っている場合は、本人の同意なく、個人データを第三者に提供することができることに注意。
※「第三者提供におけるオプトアウト」とは、提供に当たりあらかじめ、以下の①から④までの事項すべてを、本人に通知し、又は本人が容易に知り得る状態に置いておくとともに、個人情報保護委員会に届け出たとき、本人の求めに応じて第三者への提供を停止することをいう。
① 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
② 第三者への提供を利用目的とすること。
③ 第三者に提供される個人データの項目
④ 第三者に提供される個人データの取得の方法
⑤ 第三者への提供の方法
⑥ 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
⑦ 本人の求めを受け付ける方法
⑧その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
