こんにちは。メルマガスタッフでMIAU事務局長の香月です。最近ネット上でプライバシーに関する問題が話題になっていますよね。特にCD・DVDレンタル大手のTSUTAYAを経営するカルチュア・コンビニエンス・クラブ株式会社(以下CCC)が運営するTカードに関する問題が一番の話題です。
まずは今回のTカードの仕組みを簡単に整理しましょう。
Tカードとは、TSUTAYAおよび一部提携企業で発行される会員証のことです。登録の際には氏名や生年月日、住所が必要です。TSUTAYAでCDやDVDをレンタルするには、このTカードに加入せねばなりません。またTカードにはポイント機能もついていて、TSUTAYAで購入した金額に応じてポイント(Tポイント)が貯まります。溜まったポイントは次回以降のレンタルで1ポイント1円としてお金の代わりに使用できます。ここまでだと普通のレンタルビデオ屋のポイントカードですが、Tカードの特徴は多彩な提携先があることです。TSUTAYAだけでなく提携の店舗で何か購入したりサービスを受けた時も金額に応じてポイントがつきますし、またそのポイントを使って支払いもできます。
「タダほど高いものはない」とは昔の人はよくいったもので、実はTカードを提示して精算する度に、レンタルしたものや購入したものについての情報がTカードのシステムに送信されています。購買履歴を取得することについては会員規約で示されていますので、Tカードに加入した時点で、会員は購買履歴を取得されることに同意していることになります。
このTカードをめぐって今ネット上で大激論が起きています。この件は大きく分けると以下の3つの話題に収束されます。
■佐賀県武雄市とカルチュア・コンビニエンス・クラブ株式会社が同市図書館・歴史資料館の企画・運営に関して基本合意を締結(カレントアウェアネス・ポータル)
http://current.ndl.go.jp/node/20784
佐賀県の武雄市立図書館がCCCと提携し、武雄市立図書館をCCCが指定管理者として運営し、その際に図書館カードをTカードに切り替えることを発表しました。市民は図書館で本を借りる度にTポイントを受け取ることができます。図書館での貸出履歴はその人の興味関心を表す個人情報ですし、貸出履歴が思想調査に使用された過去の反省から、図書館はその秘密を厳密に守ってきました。しかし、この構想の発表当初、貸出履歴がTカードのシステムに送信される仕組みになっていました。図書館関係者や情報セキュリティの専門家、技術者らがその問題を指摘したことで、ネット上で大問題に発展しました。この批判を受けて、武雄市は方針を転換し、利用者が従来の図書館カードとTカードを選択できるようにすること、そしてTカード利用者であっても貸出履歴はTカードのシステムに送信されないようにすることが示されました。
参考:貸し出し履歴提供せず 武雄市図書館、ツタヤ委託(佐賀新聞)
http://www.saga-s.co.jp/news/saga.0.2222748.article.html
■「Tポイントツールバー」公開中止 Web閲覧履歴を平文で収集(ITmedia)
http://www.itmedia.co.jp/news/articles/1208/20/news045.html
今年8月、CCCはブラウザに検索機能などの機能拡張を追加する「Tポイントツールバー」をTポイント会員向けに提供を始めました。このツールバーを用いてウェブを検索するとスタンプがたまり、スタンプの数に応じてTポイントが受け取れるというものでした。もちろん検索履歴はTポイントのシステムに送信されているのですが、それだけにとどまらず、なんと利用者のウェブ閲覧履歴まで送信されていました。しかも暗号化通信(SSL通信)も暗号が解かれた状態で送信していたのです。これも情報セキュリティの専門家や技術者らが問題を独自に検証し、ネット上でその問題を明らかにしました。指摘を受けたCCCはTカードツールバーが送信する情報をすべて暗号化通信に変更し、さらにTポイントツールバーの提供を一時的に停止しました。
もちろん、https:// のサイトの閲覧履歴を暗号化せずに送信するのはセキュリティ的に欠陥と言えるのですが、それが本来的問題なのではなく、そもそも本人が十分に理解していないところでネットの閲覧履歴を取得していることが不適切であるということです。本来、プログラムをインストールさせることによって情報を収集する場合、そこに騙しの要素があってはいけません。個人情報保護法17条の「偽りその他不正の手段により」に当たる可能性も議論しなければなりませんし、場合によっては、刑法168条の2の問題を検討することも必要になるでしょう。
■Tポイント、購入医薬品データを取得 提携先企業から(朝日新聞デジタル)
http://www.asahi.com/national/intro/NGY201207160031.html
Tカードの特徴として多彩な提携企業の存在がありますが、その提携企業の中にはドラッグストアが含まれています。こうした提携ドラッグストアでTカードを提示して買い物をすると、その商品名がTカードのシステムに送信されることが朝日新聞の報道で明らかになりました。医療機関の処方箋に応じて調剤された薬は「調剤」とのみ送信されるようですが、一般医薬品については具体的な商品名が送信されているとのこと。2000年に開かれた第3回個人情報保護法制化専門委員会で、当時の厚生省は「個人医療情報については、その保護を一層図っていく必要がある」という考え方を示していますが、薬局での医薬品購入情報は医療情報に当たらないのでしょうか。
参考:医療分野における個人情報保護について(首相官邸 情報通信技術戦略本部)
http://www.kantei.go.jp/jp/it/privacy/houseika/dai3/3siryou2.html
さてここまでの一連の騒動を見て、読者の皆さんはどう感じましたか? 「知らない間に個人情報が抜かれていたのか。怖いな」と感じた方がほとんどだと思いますが、しかし「規約にその旨書いてあって、それに同意して利用しているわけだから、消費者サイドの不注意だ」と考える方も少なくはないようです。確かに言われてみればそんな気もしなくもありません。またこの問題を、昨今の「過剰な個人情報保護」の問題の延長線上に見る方もいるかもしれません。というわけで今日は「Tカード問題のどこが問題なのか」をレポートします。
いろいろなサービスを利用する上で、私たちは企業に個人情報を渡すことがあります。この時に企業に渡したデータの取り扱いは「個人情報の保護に関する法律」(以下個人情報保護法)で定められており、経済産業分野においては経済産業省が定めるガイドラインが示されています。企業が得た個人情報が複数の企業にまたがって利用されることを「第三者提供」といいますが、本人の同意をとることなく個人情報を第三者提供することは法律で禁じられています。しかしこれには例外があって、ある一定の条件を満たせば、本人の同意なく個人情報を第三者提供できる仕組みがあります。
その条件は、以下の4つの条件を本人に通知あるいは本人が簡単にわかる状態にしておき、そして本人から申し出があれば情報の提供を停止するというものです。
1. 第三者への提供を利用目的とすること
2. 第三者に提供される個人データの項目
3. 第三者への提供の手段又は方法
4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
この仕組みを「オプトアウト」といいます。このオプトアウトの仕組みを整えておけば、本人の同意なく第三者提供を行うことが可能になります。しかしこのオプトアウトの整備以外にも、個人情報をほかの会社に提供できる例外が個人情報保護法には定められています。それが「委託」「事業の承継」「共同利用」という3つの規定です。今回はこの「共同利用」という仕組みが問題のキーになっているとのことなので、この共同利用について法学者で個人情報保護法がご専門の鈴木正朝先生に聞いてきました。
◆個人情報保護法における「共同利用」の問題――鈴木正朝先生に聞く
鈴木:今回のTカード型の企業ポイントを通じた連携サービスには、いくつか個人情報保護法上の問題を指摘し得るのですが、中でも、解釈上違法ではないかと指摘しているのは「共同利用」という方式を採用してCCCからポイント加盟企業へ個人データを引き渡すことができること、Tカードで取得した個人情報データベースを多数のポイント加盟企業にアクセス権を付与し、みんなで共有して共同利用目的の範囲内でそれらの個人データを取り扱えてしまうことです。実際やっているかどうか、どこまでどのようにやっているかについては調査が必要なところですが、T会員規約(約款)上は、そうした権利をCCCが留保していて、いつでも行使できる状態になっていることを問題視しています。
■T会員規約(CCC:カルチュア・コンビニエンス・クラブ株式会社)
http://www.ccc.co.jp/member/agreement/
香月:ここで指摘されている「共同利用」とは、そもそもどういうものなのでしょうか?
鈴木:たとえば、大きな企業は地域ごとに販売店や保守のための子会社をもっている場合がありますね。そこの顧客は子会社の担当エリアを超えて引っ越したりしますから、同じ商品やサービスを提供しているならば、その企業グループ内で単一の顧客データベースを共有したほうが便利なわけです。しかし、子会社は独立した法人ですから、同じ企業グループ内でも個人データの閲覧は第三者提供となり、事前の本人同意が必要になってしまいます。これは結構煩雑な作業になります。このような場合を一つの典型例として、個人データを共同で利用できるように個人情報保護法は23条4項3号に「共同利用」の規定を置いています。
香月:「共同利用」は親子会社間やグループ企業の中だけで使うものなのですか?
鈴木:いいえ、経済産業分野ガイドラインでは次のような例が示されています。
■個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
(平成16年10月22日厚生労働省経済産業省告示第4号,平成 21年10月9日改正)
http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf
(事例1)グループ企業で総合的なサービスを提供するために取得時の利用目的の範囲内で情報を共同利用する場合
(事例2)親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合
(事例3)外国の会社と取得時の利用目的の範囲内で個人データを共同利用する場合
(事例4)企業ポイント等を通じた連携サービスを提供する提携企業の間で取得時の利用目的の範囲内で個人データを共同利用する場合
Tカードの事例は、まさに(事例4)に該当するわけです。CCCは、多分このガイドラインを参考にして、ビジネスモデルを組み立てたのかもしれません。「第三者提供」(23条1項)やオプトアウト手続(23条2項)ではなく「共同利用」(23条4項3号)という方式を選択したわけです。そのほうが将来のビジネスモデルの変容に柔軟に対応できる、また本人の関与を最小化できるという狙いがあったのかもしれません。もしくは、何も考えていなかったのかもしれません。法務部門や顧問弁護士の力量に依存するところですからね。
香月:23条4項3号には、「個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」に「当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする」と書いてあるのですが、一読しても何を言っているのかよくわかりません。「共同利用」という方式を採用するために遵守すべきところをわかりやすく教えていただけませんか?
鈴木:次の5項目をあらかじめ「本人に通知し、又は本人が容易に知り得る状態に置いて」おけばいいということです。「本人に通知」というのは、本人に一人ひとりメールしたり、はがきを郵送するということをいうので結構手間とコストがかかりますから通常は選択しません。一般的には、「本人が容易に知り得る状態」の方を選びます。具体的には、その企業のホームページにアップして広く知り得る状態にするということです。結果的には「公表」と同じ作業になります。
(1)個人データを特定の者との間で共同して利用する旨
(2)共同して利用される個人データの項目
(3)共同して利用する者の範囲
(4)利用する者の利用目的
(5)当該個人データの管理について責任を有する者の氏名又は名称
この5項目をホームページに書いておけばいいということになります。
香月:なるほど。簡単じゃないですか。CCCは、これをやっていなかったんですか?
鈴木:いいえ。この5項目についてはT会員規約に示してありますし、CCCはT会員規約をそのまま自社のホームページ上にアップして公表しています。
香月:では、どこに法的問題があるのでしょうか?
鈴木:はい。今回のTカード問題でまず論点になるのが、(3)共同利用者の範囲です。T会員規約には、共同利用者の範囲は「当社の連結対象会社及び持分法適用会社」と「ポイントプログラム参加企業(TSUTAYA加盟店を含みます)」と示しています。
経済産業分野ガイドライン45頁をみると「本人からみてその範囲が明確であることを要するが、範囲が明確である限りは、必ずしも個別列挙が必要ない場合もある」というように示されています。
持って回った言い方をしていますが、ここの趣旨は、共同利用者の範囲は、第一に個別列挙方式を原則とすること。すなわち、A社、B社、C社とすべて限定列挙することが望ましいということを示しています。第二に、本人から見て共同利用者の範囲の明確性があれば例外的に個別列挙原則を緩和するということが書いてあります。
「当社の連結対象会社及び持分法適用会社」はその定義が明確であり、それが公開され容易に誰もが参照できる状態にあるのであれば問題がありません。問題となるところは、「ポイントプログラム参加企業」という表現です。
ポイント加盟企業というのは、一般に1社からはじまって、2社、3社、……100社、……1000社とどんどん拡大していくものですし、現に拡大しています。これでは、「個人データを特定の者との間で共同して利用する」ことにはなりません。これをして「特定の者」というのは大変苦しい解釈です。実際、T会員規約上で同意した段階では、医薬品販売業まで入るとは思っていなかった人たちもいるでしょう。
そもそも、個別列挙原則を緩和したのは、全国銀行協会など産業界が行政に要望を出したことによります。確かに個別列挙では、共同利用者の範囲があまりに硬直的で、M&Aや企業提携の組み替えが活発な今日の経営環境にはあまりにそぐわない。1社抜けたりはともかく、1社増えたりすると個人情報データベース上の本人全員の同意をとりつけなければならないということになると、まったく非現実的で、共同利用はまったく使えない方式ということになってしまいます。
行政もその要望を受け入れて、例外を認めたわけです。しかし、そこに含意されているものは、あくまでも共同利用者の範囲のコアがしっかり固まっている、増減はあくまでも例外的だというところです。このあたりの原則例外の関係やニュアンスが十分に伝わらなかった。
香月:なるほど。全国銀行協会には銀行しか入会できないから、銀行という縛りが明確にある。自ずと範囲が定まってきますね。増減も例外的で、会員名簿もネットで閲覧できますし、本人から見て個別列挙方式に準じるというところは理解できます。
鈴木:一般にA社からB社に個人データを移行させるための法律構成としては、(1)第三者提供における本人同意手続(23条1項)または(2)第三者提供におけるオプトアウト手続(23条2項)、それから(3)委託(23条4項1号)、(4)事業承継(23条4項2項)、そして(5)共同利用(23条4項3号)といった手続があります。ビジネスの実態とは無関係に自由に選択し法律構成できるわけではありません。A社からB社に個人データを移行するにあたって、それが第三者提供か、委託か、共同利用かは、その事実関係に基づいて決定されるはずです。もちろん法的構成に実態をあわせることも可能ですが。
しかし、CCCはデータベースの共同利用の実態がなく「共同利用」という構成を採用している。本来的意味から言えば流用といっていいわけです。経済産業分野ガイドラインは、いわゆる個人情報保護法の過剰反応によって取扱いが必要以上に萎縮しないよう利活用の有用性にも配慮する必要があります。過剰規制でネットビジネスのイノベーションを阻害してはならないと考えたのですね。
そこで、共同利用をもっと使い勝手よくしようと考えたところがあります。しかし、これは経産省の告示にすぎません。行政の第一次的判断を尊重するというところはありますが、やはり基本は法律の解釈です。告示も法律にそって理解しなくてはなりません。共同利用者の範囲を自由自在に制御し得るということによって、実は、第三者提供における、本人同意の原則を回避している。そしてさらに問題なのは、最低限本人に留保されるべきオプトアウトの機会すら回避する結果を許している。これでは個人の権利利益の保護(1条)も個人の尊重(3条)の理念も個別条項の解釈に反映されていないことになります。
利用目的の制限という縛りがあるからと言っても、行きすぎた「共同利用」構成はやはり違法と断じなくてはなりません。オプトアウト手続(23条2項)だって、本当にゆるゆるの義務規定なんですから、これすら潜脱する解釈を許すのは、とうてい法目的に合致しているとは言えません。
ちなみに、委託の場合も本人同意とオプトアウト手続を回避できる点では同じですが、委託は個人データを預けるのであって、その回収・消去を含めて委託先の監督義務(22条)の下に安全管理が徹底され、また委託の性質上、利用目的の制限は無論のこと委託先事業者は自由にそれを利活用することはできません。ところが共同利用の場合は、ポイント加盟企業に個人データが行ったきりとなり、引き渡してしまうことができるわけです。
香月:しかもTカードに限らず、あの手の約款ってその場で読みませんからね……。
鈴木:約款も契約ですから利用者も本来はきちんと読まなければなりません。約款だからスルーしましたということはいけません。しかし、T会員規約は、氏名、住所、電話番号、メールアドレス、生年月日、性別という個人識別情報に、TSUTAYAだけでなく、レストラン、コンビニ、薬局や駐車場などの多数のポイント加盟企業での購買履歴を蓄積していきます。購買日時や店舗名(所在地)情報もわかりますから、物理的行動範囲の情報、生活圏もわかってしまいます。これらをライフスタイルの分析に用いて、さらに行動ターゲティング広告で収益をあげるモデルです。いわばその対価としてポイントを付与するわけですが、そのことが十分に契約の相手方である本人に伝わっているかというと、約款の文面上なかなか伝わらない。高齢者や未成年なども対象になることを思えば、伝えようという姿勢が十分ではないということに多くの人が賛同してくれるのではないでしょうか。
しかも、医薬品販売業を通じて、医薬品名まで取得されることがあります。医薬品販売業者は、CCCの個人情報の取得業務を委託されている立場ですが、刑法の秘密漏示罪においては、医薬品販売業者は医薬品名などの秘密をCCC等の第三者に漏示してはならない義務を負った立場です。第一に医薬品販売業者が安易にポイント加盟企業にならないように注意すべきですが、第二にCCCも医薬品販売業者にポイント加盟企業となることを安易に勧めることのないように注意しなくてはなりません。新聞報道によると、本件については、医薬品販売業者の店員すら医薬品名をCCCに提供していないという誤った情報を顧客本人に伝えているという例がいくつかあったそうです。
T会員規約を承諾したから契約内容は了解しているはず、Tカードを提示して買い物をすればポイントが付くだけではなく、購買履歴等が取得されるのは当然知っているはずということがどこまで言えるのか――形式論ではなく、もっとその実態と実質を評価していく必要があります。
15条1項はできる限り特定せよと義務付けていますが、T会員規約はずらずらと多数の利用目的を書き連ねています。利用目的も列挙すればいいというものではないでしょう。それに「ライフスタイルの分析」という曖昧な表現で、こうしたビジネスモデル全体を万人が理解できるのか、利用目的の制限(16条1項)の義務付けもまったく空疎で本人の権利利益の保護という法目的を達成できる法解釈になっているのか甚だ怪しいわけです。
それに加えて、開示の求めの範囲も著しく狭いという苦情も寄せられていたようです。契約内容も、運用も極めて全体的に遵法の精神に乏しいというところを背景に、共同利用の潜脱的法解釈を厳しく評価していくべきだと思います。
消費者に対しての不利益事実を十分に告知していないという点については、個人情報保護法だけではなく、消費者保護法制でもしっかり見ていくべきでしょう。
香月:では先生はTカードについては個人情報保護法に違反しているとお考えですか?
鈴木:私は真っ黒だと思っています。また、法律以上のレベルを要求しているJIS Q 15001に準拠して第三者評価認証しているはずのプライバシーマーク制度が、いまだマークの付与を許しているというのも解せません。まさに約款をしっかり読まない、また読んでも法的な意味を十分に理解できない消費者に変わって、個人情報の取扱いにおいて真に優良企業かどうかマークを通じて簡易に判断できるように示してあげる――そのために取り組んできたのがプライバシーマーク制度ではなかったのでしょうか。マーク制度というのはB2Bという事業者間取引よりも、まずはB2Cという消費者取引においてその意義を発揮してもらうためにあったように思いますが。本制度を主宰するJIPDECには今一度、制度趣旨に立ち返り、素朴に何を認証しているものか、何を目的としているものか、自問自答いただきたいものだと思います。
香月:先生のお話を伺っていると、今回の件はCCCに問題があるのはわかりましたが、経産省にも問題があるように思えてきたのですが……。僕が考えていたよりも規模が大きな問題で驚いています。
鈴木:そうですね。私も関係していたので経産省ばかりを責められませんが、ガイドラインの表現に誤解されるところ、言葉足らずのところがあれば補うなり、必要な改正に着手すべきでしょう。CCCの現状を放置することになれば、このビジネスモデルをまねる企業がどんどん増えてくる可能性があります。なにしろ本人同意もオプトアウト手続を回避しつつ個人データの全部または一部を実質的に第三者提供できるわけですし、その実質第三者の範囲を、共同利用者の範囲としてその名簿に企業名を追加削除することで自由に操作できるわけですから。これを23条の1項、2項の潜脱的解釈といわずになんというのでしょうか。多くの企業が適法だと思って、このモデルを採用する、そこにビジネス投資をして回収する前に、経産省が規制に乗り出したらどうなるか――コンプガチャの騒動のように、ルールがずっと後から追いかけてくるのは禍根を残します。これがまずいのなら、すぐにルールの点検に乗り出す、そのことを世間に告知する。それだけで企業側は注視します。放置しておいて、後からゆっくり様子みながら規制強化するのは最低です。
一方、提携企業側もポイント加盟企業に参加することで、自社のポイントカードを捨てて、そのための情報化投資を節約できる上に、自社に閉じたポイントよりもはるかに効率的なマーケティング効果を得ることができる。実際に売上げ増進になった事例を見聞すれば、飛びつきたくなるところはあるでしょう。しかしアウトソーシング一般がそうであるように、これはベンダロックインとなることを意味しています。特に、自社のポイントカードシステムを保有している企業は、後戻りすると一からやり直しになることをよくよく考えて、法令遵守上のどのようなリスクがあるか、しっかり見極めるべきところです。大手も提携しているからということで、持ち込み案件を精査せずに、セールストークをそのまま管理部門や担当役員にオウム返しするような愚かで思考停止的な提携はやるべきではありません。日頃のコンプライアンス活動の真贋が問われるところというべきでしょう。
それから、この問題、これからのクラウドビジネスやビックデータビジネスに大きな影響を与える可能性があります。「越境データ問題」といって……。
香月:先生ちょっと待った! 続きは来週お願いします!
▼鈴木 正朝(すずき・まさとも)
法学者(情報法)。新潟大学法科大学院教授。1962年生まれ。中央大学大学院法学研究科博士前期課程修了、修士(法学)。情報セキュリティ大学院大学 情報セキュリティ研究科 博士後期課程修了、博士(情報学)。主に個人情報保護法制、プライバシーの権利、情報マネジメントシステム、情報システム開発契約等に関する研究を行う。内閣官房では、政府情報システム刷新会議臨時構成員として共通方針案、政府CIO制度の検討、厚労省では、社会保障分野WG構成員として医療等個人情報保護法案の検討、経産省では、JIS Q 15001原案の起草、プライバシーマーク制度創設、個人情報保護ガイドライン案の作成等に関与する。
・ウェブサイト:http://www.rompal.com/
・ツイッター:@suzukimasatomo