オプトアウト、オプトインとは?個人情報保護とメール配信時の注意
オプトアウトとオプトイン
インターネットを利用する上で、個人情報やCookieなどのデータ利用は、ユーザーにとって重要な関心事です。ウェブサイトへの会員登録や、メールマガジンの購読など、インターネット上では様々な場面で個人情報やデータの利用が行われており、ユーザーの意思決定を尊重するために「オプトアウト」と「オプトイン」という二つの選択肢が用意されています。
オプトアウトとは
「オプトアウト(Opt Out)」は、英語で「選択しない」「脱退する」という意味を持つ言葉で、"opting out"、つまり「選択から外れる」というニュアンスで使われます。ウェブサイトやサービス利用においては、ユーザーが自身で拒否の意思表示をしない限り、何らかのサービスや情報提供に自動的に同意したものとみなされることがあります。このような仕組みの中で、ユーザーが自らの意思で「拒否する権利」を行使すること、それが「オプトアウト」です。
例えば、会員登録時にメールマガジンの配信がデフォルトで「ON」になっている場合、ユーザーが自らチェックを外して配信を拒否する行為が「オプトアウト」にあたります。
オプトアウトは、広告メールだけでなく、個人情報の第三者提供やCookie利用など、インターネット上の様々な場面でユーザーの意思決定を尊重するために重要な概念となっています。
オプトインとは
一方「オプトイン」はオプトアウトの対義語で、ユーザーが事前に利用や情報提供について同意することを指します。オプトインでは、ユーザーが自らの意思で情報提供に同意しない限り、サービス提供者は個人情報を利用できません。例えば、会員登録時にメールマガジンの配信を希望するかどうかのチェックボックスがあり、チェックを入れた場合のみ配信される仕組みが挙げられます。
オプトアウトとオプトインの違い
オプトアウトとオプトインは、ユーザーの同意の仕方が大きく異なる方式です。オプトアウトは、拒否しない限り同意したものとみなされます。手軽にサービスを受けられる一方、意図しない情報を受け取る可能性もあります。オプトインは、事前に同意を得てから利用する方式です。ユーザーは希望する情報のみを受け取ることができ、プライバシー保護の面でも安心です。
項目 | オプトアウト | オプトイン |
意味 | 事前に拒否しない限り、利用を承諾したものとみなす | 事前に同意を得てから利用する |
ユーザーの立場 | 受動的 | 能動的 |
企業側のメリット | 多くのユーザーにアプローチできる | ユーザーの同意を得ているため、信頼性が高い |
企業側のデメリット | ユーザーの反感を買う可能性がある | 同意を得るための手間がかかる |
特定電子メール法とオプトアウト
多くの企業がマーケティング活動に活用するメール配信ですが、その際には特定電子メール法を遵守する必要があります。特に、ユーザーの同意を得ずに広告メールを送信する「オプトアウト方式」は原則として禁止されており、違反した場合には罰則が科される可能性もありますので運用時は注意が必要です。
特定電子メール法で違法となった「オプトアウト方式」とは
特定電子メール法における「オプトアウト方式」とは、受信者の同意を得ずにメールを配信し、拒否されない限り送信するというもので、2008年の特定電子メール法で違法となり、代わりに「オプトイン規制」を守ることが必要になりました。
特定電子メール法とは
特定電子メール法は、正式名称を「特定電子メールの送信の適正化等に関する法律」といい、2002年に施行されました。インターネットにおける迷惑メールの増加を背景に、利用者の受信環境保護と、健全な電子メール文化の発展を目的としています。この法律では、広告や宣伝を目的としたメールを「特定電子メール」と定義し、送信者に対して、受信者の事前承諾を得ること(オプトイン規制)、送信者情報(氏名・住所・連絡先)の明記、配信停止手続きを容易にすることなどを義務付けています。
出典:
総務省「特定電子メールの送信の適正化等に関する法律のポイント」
メール配信におけるオプトアウト方式とオプトイン方式の違い
メール配信におけるオプトアウト方式とオプトイン方式の最大の違いは、受信者の同意の有無です。オプトアウト方式は、受信者が拒否しない限り送信を継続するため、手軽ですが迷惑メールとみなされやすく、法的なリスクも伴います。一方、オプトイン方式は、受信者が事前に同意した場合のみ送信するため、配信リスト構築に時間はかかりますが、法的リスクが低く、受信者の関心も高いため、より効果的なマーケティング活動に繋がります。
項目 | オプトアウト方式 | オプトイン方式 |
定義 | 拒否の意思表示がない限り、送信を継続 | 事前に同意を得てから送信 |
特定電子メール法 | 違法 | 合法 |
メールマーケティングにおけるオプトイン方式の例外
基本的に広告メールを送る際は相手の同意が必要ですが、例外も存在します。例えば、既に取引のある相手や、名刺などでメールアドレスを伝えた相手には、同意なしに送信が可能です。ただし、通信販売の広告メールの場合は、特定商取引法が適用されるためこの限りではありません。また、相手がメールアドレスをインターネットで公開している場合も、同意なしに送信できます。ただし、広告メールの送信を拒否する旨が併せて公表されている場合は送信できません。
実際の運用時は、名刺のデータ等をCRMにインポートし配信リストを作成する場合などがあります。そういった時に備え、例外についても抑えておきましょう。
出典:総務省「特定電子メールの送信の適正化等に関する法律のポイント」
メールマーケティングにおける送信者の表示義務とは
特定電子メール法では、広告メールなどの送信者には、受信者が送信者を特定し、メール受信を拒否できるように、以下の情報を表示することが義務付けられています。実際にメールマーケティング等を実施する際には、必ず確認するようにしましょう。
- 送信者の氏名または名称:正式な氏名または名称を明記。ウェブサイト名やサービス名だけでは不十分となるので注意。
- 受信拒否ができる旨の通知:オプトアウトが可能であることを明記し、具体的な配信停止方法も分かりやすく示す必要があります。
- 送信者の住所:メール本文内またはリンク先ページに記載可能。リンク先の場合は、アクセスしやすい場所に設置する必要があります。
- 苦情や問い合わせの受付先:メールアドレス、URLに加え、電話番号も記載することが推奨されています。こちらも、メール本文内またはリンク先ページに記載可能です。
メールマーケティングにおけるオプトアウトの設置について
さらに、ウェブサイトやメールに分かりやすいオプトアウトボタンなどを設置し、ユーザーが容易にオプトアウトできるようにする必要があります例えば、2024年2月以降適用に適用されたGmaiにおけるガイドラインでは、一定の要件を満たす送信者に対して、下記の3要件が義務付けられています。
- 送信メールを認証すること
- 未承諾のメールまたは迷惑メールを送信しないようにすること
- 受信者がメールの配信登録を容易に解除できるようにすること
このようにオプトイン方式の遵守だけでなく、オプトアウトの手続きを簡素化することが示されています。このガイドラインを守らない場合は、メールが拒否されるか、迷惑メールボックスに配信される可能性があります。
出典:Gmailヘルプ「2024年2月以降適用されるメール送信者のガイドラインについて」
以上より、メールマーケティング運用者はオプトアウト・オプトイン方式の言葉の意味を理解するだけでなく、特定電子メール法において遵守する点や改正時の変更点、またGmail等のメールサービスにおけるガイドラインの変更などを正しく把握することが重要です。
個人情報保護法の「オプトアウト規定」
個人情報の保護は、企業にとって重要な社会的責任です。特に、個人情報を第三者に提供する場合には、個人情報保護法の遵守が必須となります。同法では特定の条件下において、ユーザーが拒否しない限り同意したものとみなす「オプトアウト規定」を設けており、運用において表示義務や届出が必要な場合があります。
個人情報保護法における「オプトアウト規定」とは
個人情報保護法は、個人情報の適切な取り扱いを徹底し、個人の権利利益を保護することを目的とした法律です。2003年に全面施行され、その後数年に渡り、個人情報の保護を強化する改正法が施行されました。その個人情報保護法にも「オプトアウト」という言葉が使われます。個人情報保護法における「オプトアウト」は、下記のように言及されています。
個人情報取扱事業者が個人データの第三者提供をするためには、あらかじめ本人の同意を得るのが原則です(保護法23条1項本文)。本人から「事前の同意」を得ることを「オプトイン」(opt-in)とも言います。
これに対して、あらかじめ本人に対して個人データを第三者提供することについて通知または認識し得る状態にしておき、本人がこれに反対をしない限り、同意したものとみなし、第三者提供をすることを認めることを、「オプトアウト」(opt-out)といいます。
つまり個人情報保護法において、個人情報の第三者提供に関する規定の一部に、オプトアウト方式を採用している部分を「オプトアウト規定」といいます。
オプトアウトに関わる個人情報保護法改正のポイント
以前の個人情報保護法では、「要配慮個人情報」と呼ばれる個人情報の中でも、個人の人種、信条、身分、病歴、犯罪歴など特に取扱いに配慮を要する情報は、第三者へのオプトアウトでの情報提供はできませんでした。しかし、それ以外の情報であれば第三者提供が可能な状態でした。そこで改正を経て、下記も提供できない個人情報として追加されました。
改正後のルール
次のいずれかに該当する個人データは、オプトアウトの方法で第三者提供することはできない
- 要配慮個人情報
- 不正な手段で取得された個人情報
- オプトアウトの方法による第三者提供の方法によって取得した個人情報
- 上記(2.) または(3.)を複製(コピー)したり加工したりしたもの(改正後個人情報保護法23条2項ただし書き)
上記(2.)から(4.)が、2020年改正で新しく追加されたものです。
オプトアウト届出とは
企業はオプトアウト規定による個人情報の第三者提供を行う際、あらかじめ必要事項について個人情報保護委員会にも届け出る必要があります。これをオプトアプト届出といいます。さらにオプトアウト届出とは別に、当該企業は、事前に誰にどんな情報を提供するのかを本人に知らせたり、知れる状態にするといったことも必要になります。さらに、届け出た内容は委員会が公表した後、企業自身も速やかにインターネットなどで公開する義務があります。なお、個人情報保護委員会に届け出されたオプトアウト届出書は下記のURLにて確認することが可能です。
オプトアウト届出のやり方
実際に届出の際、内容によって方法が異なります。3つの場合に沿って、それぞれの届出方法をご紹介します。
① 新たに令和4年4月以降にオプトアウト手続による第三者提供を行う場合
- 必要事項を記入:「届出書様式」に従って、必要な情報を全て記入します。
- 事前連絡:届出書を送る前に、個人情報保護委員会事務局に電話で連絡します。(メールアドレスが通知済みの場合は不要)
- メールで送付:事務局から案内されたメールアドレス宛に、届出書をメールで送ります。
- 委員会による公表:事務局による確認が完了後、届出内容の一部が個人情報保護委員会のウェブサイトで公表されます。
② 既に届け出ている内容を変更し令和4年4月以降にオプトアウト手続による第三者提供を引き続き行う場合
- 変更内容を反映:変更があった項目を含む、全ての必要事項を「届出書様式」に記入します。変更箇所には下線を引いてください。
- メールで送付:変更を反映した届出書を、個人情報保護委員会事務局へメールで送ります。
- 委員会による公表:事務局による確認が完了後、変更後の届出内容の一部が個人情報保護委員会のウェブサイトで公表されます。
③ オプトアウト手続による第三者提供を令和4年4月以降にやめる場合
- 必要事項を記入:「届出書様式(改正法第27条第3項による第三者提供をやめた旨の届出)」に必要な情報を全て記入します。
- メールで送付:記入した届出書を、個人情報保護委員会事務局へメールで送ります。
- 委員会による公表:事務局による確認が完了後、届出内容が個人情報保護委員会のウェブサイトで公表されます。
Cookie(クッキー)とオプトアウト
オンライン広告やウェブサイトのパーソナライズなど、Cookieはインターネット上の様々なサービスを支える技術として広く利用されてきました。しかし、Cookieによって個人の行動が追跡されることに対する懸念もあり、ユーザーが自身の情報管理を選択できるよう「オプトアウト」の仕組みが重要視されています。
Cookie(クッキー)におけるオプトアウトとは
Cookie(クッキー)のオプトアウトとは、ウェブサイトに保存される小さなデータであるCookieの利用を、ユーザーが拒否する設定のことです。Cookieは、ウェブサイト閲覧時にユーザーの端末に保存され、過去の閲覧履歴や入力情報を記憶します。これにより、次回のアクセス時に表示を最適化したり、ユーザーに合わせた広告を表示したりすることが可能になります。
しかし、Cookieによって個人の行動が追跡されることに懸念が高まっており、EU一般データ保護規則(GDPR)などの法規制では、Cookie利用に関するルールが厳格化されています。GDPRでは、Cookie利用の際にユーザーの同意を得ることが義務付けられており、違反した場合には高額な罰金が科せられる可能性もあります。
そこで、Cookieのオプトアウトを行うことで、ユーザーはCookieによる追跡を拒否し、プライバシーを守ることができます。具体的な設定方法はブラウザによって異なりますが、設定画面からCookieの保存を無効化したり、特定のウェブサイトからのCookieのみをブロックしたりすることができます。
Cookie(クッキー)と改正個人情報保護法
先に提示した改正だけでなく、2022年4月の改正個人情報保護法では、個人データではないものの、提供先で個人データとなる可能性のある情報の取り扱いが厳格化されました。具体的には、「個人関連情報」という新しい概念が導入されました。これはCookieによる閲覧履歴、メールアドレスと紐づいた属性情報、サービス利用履歴、位置情報、興味関心情報など、単体では個人を特定できないものの、他の情報と組み合わせることで個人を特定できる可能性のある情報を指します。
個人関連情報を第三者に提供する場合、提供元は、提供先が個人情報と紐づけて利用する可能性を認識している場合、提供先がユーザーから同意を得ていることを確認する義務があります。また、提供元はこの確認に関する記録を作成・保存する必要があります。
同様に、個人関連情報を受け取り、個人データとして利用する事業者も、ユーザーから同意を取得し、その記録を残す必要があります。そのため、プライバシーポリシーの改訂や同意取得のためのチェックボックス設置などが求められます。
参考:TMI総合法律事務所「2022年4月施行改正個人情報保護法の概要と実務対応」
Cookie(クッキー)のオプトアウトに対して担当者は何をすべきか
このような背景を受け、企業の担当者は下記のことに対応する必要があります。
1. Cookie利用の明示と同意取得
- どのようなCookieを、どのような目的で利用しているかを、分かりやすく明記したCookieポリシーを作成する。
- ウェブサイトへのアクセス時に、Cookieポリシーの内容を簡明に示し、ユーザーの同意を得る仕組みを導入する。
- ユーザーがCookie利用に同意した場合のみ、Cookieを設定する。
2. Cookieオプトアウト手段の提供
- ユーザーがCookieの利用を拒否、または設定済みのCookieを削除できる方法を、ウェブサイト上で分かりやすく明示する。
- Cookie設定画面への導線などを設置し、ユーザーが容易に設定変更できるようにする。
3. Cookieポリシーの最新化
- Cookieの利用状況や関連法令・ガイドラインの変更を踏まえ、Cookieポリシーの内容を定期的に見直し、最新の状態に保つ
オプトアウトでトラブルを起こさないためのチェックリスト
最後に多岐に渡るオプトアウトについて、トラブルを起こさないためのチェックリストをご紹介します。(2024/05/25 時点)こちらを参考に、オプトアプトでトラブルを起こさないために自社でできていること、不足していることを明確にし、正しく運用をしてきましょう。
1. メールマーケティング
- 配信方法:原則としてオプトイン方式を採用している。
- メールアドレスの取得元と取得方法を明確に記録している。
- 受信者から明確な同意を得ている(例:チェックボックス、登録フォーム)。
- メール自体に表示義務のある項目を漏れなく掲載している。
- 配信停止:
- すべてのメールに、分かりやすく配信停止の方法を記載している。
- 配信停止手続きを簡素化し、容易に手続きできるようにしている。
2. 個人情報保護法
- 第三者提供:個人データを第三者に提供する場合、原則として本人の同意を得ている。
- オプトアウト規定の利用:オプトアウト規定を利用して第三者提供を行う場合、以下の点を遵守している。
- 個人情報保護委員会への届出を行っている。
- 第三者提供に関する情報を、本人が容易に知り得る状態にしている。
- 本人からのオプトアウト届出に対応できる体制を整えている。
- 透明性:個人情報の取り扱いについて、プライバシーポリシー等で明確かつ分かりやすく情報提供している。
3. Cookie
- 利用目的の明示:どのようなCookieを、どのような目的で利用しているかを、Cookieポリシーで明確に記載している。
- 同意取得:Cookie利用の際に、ユーザーから同意を得る仕組みを導入している。
- Cookieバナーを表示し、同意を得るまでCookieを設定しないようにしている。
- Cookieポリシーへのリンクを分かりやすく設置している。
- オプトアウト手段:ユーザーがCookie利用を拒否、または設定変更できる手段を提供している。
- Cookie設定画面へのアクセス方法を分かりやすく明示している。
- 特定のCookieをブロックする機能を提供している。
- 最新情報の反映:Cookieポリシーの内容を定期的に見直し、法改正やCookie利用状況の変化に合わせて最新の状態に保っている。