インターネットを利用してビジネスを行う際に個人情報を取り扱う上で有名な概念に「オプトイン」「オプトアウト」の２つがある。元々、「オプトイン」「オプトアウト」はインターネット以前からある方法だが、インターネットでのビジネスが本格化することでより強く意識されるようになった。

「オプトイン」は事前承認の方法である。あるサービスを受けたり、ある情報を提供する際に、ユーザー側が事前にその件を承認して、初めて事態が進行する。サービス提供側ではまず、そのサービスを受けるメリットの説明や取引情報や個人データなどの情報収集、情報取り扱いの条件などを明示して、そのサービスを受けるかどうかを聞いてくる。それを承認して加入するのを言う。

これに対して「オプトアウト」は、事後承認型である。知らない相手からプロモーションのためのメールなどが届いて、それを見て、自分はその種のメールは不要だと送信相手から削除してもらう。あるいは何らかのリストに事前了解なく掲載されるが、それが構わなければそのままにし、いやならば削除してもらう。こういうのが「オプトアウト」である。
「事後承認」というより、正確には「事後不承認」である。

「オプトイン」を原則にしているのはＥＵだ。情報の取り扱いに慎重なＥＵでは、当人がそれを承認しなければ、そのサービスは提供しない。自動的に取得された各種情報の取り扱いについても、勝手に利用することにはサービス提供側に厳しい制約を課す傾向がある。

これに対して「オプトアウト」の傾向が大きいのは米国である。米国では、いろいろなサービスもとりあえず始めて、問題が出てから修正を考える、というチャレンジ志向が特徴だが、「オプトイン」「オプトアウト」でも同様の傾向がある。まず、リストアップしてみて、いやだという人の分は削除する。

時々、これまで名刺交換した人に送ります、という趣旨で突然、「メールニュース」が送られてくることがある。その末尾に、不要な方はそのメッセージを送ってくれれば削除します、というようなことが記載されている。これは「オプトアウト」である。一方、何かのサービスを契約するときに、「今後メールで最新情報を提供する」という項目があって、そこに諾否の意志を表明するようになっている。これが「オプトイン」で、その項目を承認すれば情報が送られてくることになる。

日本では米国型、ＥＵ型が混合している。インターネットビジネスを活性化させたい場合には「オプトアウト」側で、ユーザーにまず送り付けてしまう方が有利だろう。それではユーザーの意志が尊重されない、ということで、ビジネスの活性化よりユーザー保護を優先する、というならば「オプトイン」だろう。日本では、ケース・バイ・ケースでどちらを採用するか、サービス提供側で判断しなければならない。


【筆者＝JAPiCO理事長　中島洋】
＊本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
＊Japan Foundation for Private Information Conservation Organization