ヤフーは6月上旬、ポータルサイト「Yahoo!JAPAN」のプライバシーポリシーを改定した。Yahoo!Japanのアカウントで、カルチュア・コンビニエンス・クラブ(CCC)の「Tポイント」の利用手続きをしたユーザーについて、ヤフーのウェブ閲覧履歴とCCCの商品購入履歴などを両社が共有できるようにしたのだ。
ただ、ユーザーがこの仕組みを望まない場合は、専用フォームから、情報提供の「停止」を申請することができる。プライバシーポリシーの改訂に合わせて、ヤフーは申請を受け付けている。
こういった仕組みは一般的に「オプトアウト」と呼ばれているが、いったいどんな仕組みなのだろうか。ユーザーが申請しないと止められない仕組みに問題はないのだろうか。個人情報の問題にくわしい伊藤雅浩弁護士に聞いた。
●基本は「オプトイン」、例外的に「オプトアウト」が認められる
「『オプトアウト』は、今回のように企業が外部にデータを提供する際、企業側が原則として自由に提供できて、ユーザーが拒絶などの意思を表明した場合に限って除外する方式です。
これとは対になる言葉で、逆に、ユーザーから事前に同意を得た場合にのみ、提供する方式を『オプトイン』といいます。
『オプトイン』『オプトアウト』というのは、たとえば、企業からの広告メールを送信する際にも、よく使われている言葉です。必ずしも個人情報やプライバシーの分野に限った用語ではありません」
今回のヤフーとCCCのケースについては、ユーザーが申請しない限り、情報の提供が行われるため、「オプトアウト」に該当することになる。だが、「オプトアウト」方式は業者にとって都合のいい仕組みではないだろうか。
「個人情報保護法では、事業者が保有する個人情報を第三者に提供する場合には、本人の同意を必要としています。つまり基本的には『オプトイン』方式が採用されているのです。
ところが、その例外として、一定の条件を満たす場合には『オプトアウト』方式が認められるのです」
では、「オプトアウト」が認められるのはどういう場合だろうか。
「企業が『オプトイン』ではなく、『オプトアウト』を採用するためには、どんな項目を提供するのか、どのような手段や方法によって提供するのかをあらかじめ通知したり、わかりやすい状態にしておくことが必要なのです」
たとえユーザーの事前同意が不要であっても、ユーザーが後できちんと自分の意思を示すことのできる仕組みが必要なようだ。
ヤフーは「利用規約」というページで、こんな風に説明している。
「カルチュア・コンビニエンス・クラブ株式会社への情報の提供を希望されないお客様は、下記リンクからカルチュア・コンビニエンス・クラブ株式会社への情報の提供を中止することができます」
こうした「オプトアウト」の記述を見かけたら、どんな内容なのか、きちんと確認しておいた方がよさそうだ。