武田圭史

CCC（Tポイントカード）の個人情報の取扱いに関して、会員として不安な部分もあるためその具体的な内容について苦情を提示することで、これらの問題点を解消できるよう働きかけたいと考えています。以下が苦情として提示する内容です。記述の誤り、事実誤認、内容の不足などあるかと思いますので変更、追加、削除すべき事項等ありましたらご指摘ください。今週中には提示したいと思っています。

2013年3月5日 19:25 個人情報に関する問い合わせWebフォームより提出
2013年3月5日 19:36 電子メールにて個人情報保護相談窓口及びコンタクトセンターに提出
2013年3月15日 CCCより苦情の内容について担当部署に届けた等の回答を受信
2013年4月22日 CCCを担当する認定個人情報保護団体である一般財団法人日本情報経済社会推進協会(JIPDEC)に対して苦情処理を要請（受付番号 : 008526 ）
2013年5月21日 JIPDECより連絡あり。CCCよりJIPDECに対しメールでの報告があったが内容に分かりにくい点があるため再報告を求めているとのこと。

（苦情の文面案, 2013,03,05 ）
———————————————————————-

カルチュア・コンビニエンス・クラブ株式会社　個人情報管理責任者　様

お世話になっております。T会員として御社のサービスを利用させていただいております。御社における個人情報の取り扱いに関し以下の事項について個人情報保護法に定められた「個人情報の取扱いに関する苦情」として申出ますので、内容をご確認いただきその回答及び必要な対応をいただきますようお願い申し上げます。

 

１　個人情報の取得および利用目的に関する説明が不十分

Tポイントカードの会員に登録するとき、「Tカード会員規約」へ同意するよう求められています。しかし印刷された規約自体は読みにくく、会員の購買履歴の利用など会員にとって重要な情報の取り扱いについて、分かりやすく説明されていません。また店舗によっては、登録者から要求されない限り、T会員規約等の文書が提示されない場合もあるようです。
同様の事例として携帯電話の契約や金融商品の契約時に行われる説明のように、重要事項については分かりやすく説明し、特に重要な事項については、個別に登録者が内容を確認しながらチェックマークを入れていくような用紙を利用することが望ましいと考えます。

 

２　取得される個人情報の内容や取り扱いが不明確

前項に関連し、Tカードを利用する際、どういった情報がCCCに取得されるのかがわかりません。ポイント加算の際、「購入する商品名」がCCCに送信・記録されその後マーケティング分析などに利用されることは、規約や入会時の説明から理解することができません。具体的な内容について以下に示します。

 

T会員規約 第4条　（個人情報について）

2. 当社が取得する会員の個人情報の項目

（2）ポイントプログラム参加企業における利用の履歴」

が「購入する商品名」の送信に関する項目と推察しますが、「ポイントプログラム参加企業における利用の履歴」が「参加企業の店舗やサービスを利用したこと」の履歴なのか「購入商品等のより細かな情報」を含むのかが明確ではありません。
これは個人情報保護法第十七条「偽りその他不正の手段により個人情報を取得してはならない。」に抵触する可能性があります。

「Tポイントをご利用のお客さまへ→よくあるご質問」において

http://www.ccc.co.jp/csr/tpoint/question.html

「Q：お店でTカードを提示してお買い物をした情報はCCCに提供されているのですか？

T会員規約に基づき、Tポイント提携企業の店舗でTカードを提示してお買いものをされた情報は、当社へ提供されます。その際に提供される情報は、T会員番号、日時、店名、金額、ポイント数、商品コードとなり、お客さま個人を特定できる情報は含まれていません。」

との記載がありますが、提供される情報に含まれている「T会員番号」は、会員情報を持つ御社にとって個人情報保護法でいう「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」に該当し、個人を特定できる個人情報であると考えられます。実際に個人情報開示請求を行った場合には、これら情報は会員個人と紐づいた形で開示さることから、個人を特定できる情報が含まれていないとは言えません。そのため、上記の「よくあるご質問」の記述は誤り、あるいは正しく事実が伝わらない記述と言えます。

 

３　個人情報の利用目的が不明確

「T会員規約 第4条　（個人情報について）

3. 利用目的

（3）会員のライフスタイル分析のため」

との記述がありますが「会員のライフスタイル分析」が、具体的にどのような分析を意味するのか、また何の目的で「ライフスタイル分析」を行うのか、「ライフスタイル分析」を行った結果が、どのように使用されるのか理解できません。

個人情報保護法第十五条「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。」に抵触する可能性があります。

 

４　ポイントプログラム参加企業における購買履歴等データの共同利用・相互提供の実態が不明確

「Tカード会員規約第4条（個人情報について）1.個人情報のお取扱い」において「本条第4項記載の共同利用者と本条第3項記載の各利用目的のために本条第2項記載の個人情報項目を共同して利用させていただきます。」との記載がありますが、この共同利用において「ポイントプログラム参加企業における購買履歴等データの相互提供」が行われているのか、ポイントプログラム参加企業が、「他の参加企業における会員の購買履歴等を直接参照することができるのか否か」が明確ではありません。そのため、自分の購買履歴等のデータが他の参加企業に見られることについての不安を感じています。
「Tポイントをご利用のお客さまへ→よくあるご質問」において

http://www.ccc.co.jp/csr/tpoint/question.html

「Q：購買履歴や個人情報は、Tポイント提携企業同士でお互いに提供しあっているのですか？

いいえ。お客さまの個人情報や購買履歴を一般企業はもちろんのこと、Tポイント提携企業であっても相互に提供することはありません。」
との記載がありますがここでは「個人情報や購買履歴を一般企業はもちろんのこと、Tポイント提携企業であっても相互に提供することはありません。」と書かれています。上記規約の「共同して利用」と、この「相互に提供することはありません」との記述に隔たりがあり、相互に提供されていないのに共同して利用するということが何を意味しているのか理解が困難となっています。

一方、御社が製品を利用しているとされるオラクル社が、インターネット上に公開している御社に関する事例紹介では以下のように書かれています。（p.14-15）
http://www.oracle.com/jp/corporate/features/exadata-case-456763-ja.pdf

 

「一般的にコンビニエンスストアなどでは、チョコレートなどの商品を購入した場合、「何が」「いくら」売れたかという分析は可能だ。しかし、Tカードの仕組みにより「誰が」「何を」「いつ」購入したかという情報まで取得できるのだ。男女比、リピート率、年代などの分析はもちろんのこと、さらには、そのT会員はガソリンスタンドでいつ給油したのか、どこで食事をしたのかなどの情報も取得可能になる。アライアンス企業は、これらの手に入れづらい情報を入手することによりデータに基づいて分析し企画をおこないマーケティングに生かすことが可能になる。」

この内容を文字通り解釈すれば、アライアンス企業は会員個人が特定できる状態で他のアライアンス企業における購買履歴等の情報を取得可能ということになり、上記「よくあるご質問」の記載内容と、矛盾しているように読めます。
現在インターネットのサイト等で外部の方が書かれている情報でも、Tポイント提携企業間で会員の購買履歴等が相互に閲覧できることを意味するような情報が広まっていることもあって、会員のプライバシについて不安を感じています。もしこれらの情報が誤りなのであれば、明確に否定していただき上記のような広告資料の記述については、内容の訂正を求めるか、正しい情報を示していただければと思います。またその実態に即した形で共同利用の形態（誰がどういった情報をどういった形で利用するのか）について、会員規約内で明示されるのが望ましいと考えます。

 

５　個人情報に関する開示請求手続き問い合わせ等に対する不誠実な対応

2012年6月に御社が保有する私の個人情報に関し、開示の請求方法をWebのお問い合わせフォームより問い合わせをさせていただきました。その一連のやりとりの中で「御社が保有し管理する私の商品購入履歴等の個人情報」の開示について聞いたところ、2012年6月27日にTSUTAYAコンタクトセンターからいただいたメールにおいて「ご依頼の内容を抽出するにことで、当社業務の適正な実施に著しい支障及ぼすことから、お断り申し上げます。」との回答を得ました。

その後御社コンタクトセンター及び御社個人情報苦情受付窓口に不適切な理由による不開示とし苦情を届け出ました。その後、御社の指定する認定個人情報保護団体である一般財団法人日本情報経済社会推進協会（JIPDEC）にも苦情対応を依頼しました。
さらにその後2012年10月に、御社が公開している【届出書による個人情報の開示等の求めに関する手続きに関して】が改訂され 、ポイントプログラム参加企業における利用の履歴として開示の対象とされるようになりました。本件については開示請求方法についての問い合わせを7月から行っており苦情を御社およびJIPDECに対して提示していたにも関わらず本件が開示可能となったことについてその後の連絡は一切ありませんでした。

また、現行の個人情報開示の手数料は、ポイントプログラム参加企業における利用の履歴について3000円となっています。これに基本手数料送料400円＋その他項目毎500円が必要であり、郵送および支払いのための定額小為替手数料等を含めれば4000円以上と大変高額な手数料を支払う必要があります。また開示に要する時間も約１ヶ月と情報開示のためのハードルが大変高くなっています。本来「ポイントプログラム参加企業における利用の履歴」に含まれる会員の購買履歴等の情報は、ポイントの履歴情報と合わせて、オンラインで会員自身が無料で確認できるべきものであり、現在の個人情報の開示手続とその費用の設定は意図的に本人による個人情報の確認を困難にしていると思われても仕方の無い大変不誠実なものとなっています。

以上、会員が安心して御社のサービスを利用できるようご対応をお願いいたします。

 

 

 

■ネット選挙:全面解禁へ

2013年2月5日の夕方以下のような報道が流れた。

ネット選挙:全面解禁へ　夏の参院選から適用
http://mainichi.jp/select/news/20130206k0000m010057000c.html

新経済連盟が参議院議員会館にて同日開催した「シンポジウム　インターネットを使った選挙運動の解禁に向けて」の内容を受けての記事だったようだ。

シンポジウムの内容は以下のUstream Live（録画）で見ることができる。

新経済連盟主催「シンポジウム　インターネットを使った選挙運動の解禁に向けて」
http://www.ustream.tv/recorded/29051348

録画の内容を見る限りは出席していない社民党をのぞき各党大筋賛成だが各論についての具体的な協議はこれからという印象を受けた。そのため上記毎日新聞の「インターネットによる選挙運動を全面解禁する公職選挙法改正案が今国会で成立する見通しになった。」は少し勇み足だと感じている。

個人的にはネットで選挙に関する十分な情報にアクセスできず不便と感じてきたので、この流れには全面的に賛成である。様々な課題はあると思うがぜひとも今年の選挙では実現して欲しいと思っている。

その実現に向けた具体的な調整はこれから行われると思うので早いうちに懸念事項などを洗い出しておく必要があるだろう。（法案を提示している各政党や団体ではすでに検討はされてはいると期待するが。）上記のシンポジウムでも懸念事項として、なりすまし、誹謗中傷、サイバー攻撃、サービス妨害などが挙げられプロバイダ責任制限法による対応などの議論が行われていた。ここ数日ちょうどネットを使った選挙運動が解禁されるとどういうことが起こりうるかということを考えていたので気になっていた事項でシンポジウムで触れられていなかった点について忘れないうちにアップしておく。

■ビックデータを活用した選挙運動

2008年の米国大統領選において当時ほぼ無名の新人上院議員であったオバマ氏が勝利を収めることができたのはSNSや動画サイト、電子メールなどインターネットと情報技術を巧みに利用した選挙戦略に負うところが大きいと言われている。当時のIT活用を中心とした選挙対策の様子は書籍「『オバマ』のつくり方 怪物・ソーシャルメディアが世界を変える」に詳しい。

「オバマ」のつくり方 怪物・ソーシャルメディアが世界を変える(ラハフ・ハーフーシュ (著), 杉浦茂樹, 藤原朝子 (翻訳) , 2009)
http://www.amazon.co.jp/dp/448409116X

専用のSNSサイト MyBOを立ち上げ支援者のコミュニティを構築。ゲーミフィケーションの要素を取り入れながらカジュアルに参加した市民を強力な支援者に育てていく。マイクロペイメントの仕組みを使ってより多くの人から10ドル単位で小額寄付を受け付け結果的に大規模な選挙資金を獲得する。コールセンターアプリケーションを支援者にインストールさせて知人への協力要請の電話を可視化して集中管理。郵便番号などの属性をもとに支援者のマイクロターゲティングを行い適切な時期に適切な地域の支援者に対する携帯メール送信を通じてイベントに動員するなど。ソーシャルメディアをはじめとする様々なテクノロジーを駆使したマーケティングの戦略と技術は５年前とは思えないほど洗練されていた。そのオバマ大統領が2012の大統領選で再選を果たしているがこの際にも2008年の選挙活動を支援したチームがさらにその手法を洗練させ、有権者に関するビックデータの分析により効率的な選挙戦運営を行ったと言われている。

バラク・オバマ版『マネーボール』　大統領選勝利の鍵はビッグデータの徹底活用（三国大洋, ZDNet Japan, 2012/11/08）
http://japan.zdnet.com/cio/sp_12mikunitaiyoh/35024226/

IT・選挙・戦略：内製のオバマ大統領、外注のロムニー候補(三国大洋, ZDNet Japan, 2012/11/22)
http://japan.zdnet.com/cio/sp_12mikunitaiyoh/35024785/

日本におけるネット選挙への対応について今後各政党や候補者がどこまで本気で取り組むか、上記の米国大統領選のようなテクノロジーを駆使した大規模マーケティングキャンペーンが行われるかは不明だが、こういった技術の応用が候補者や政党にとって大きくプラスに働くことは間違いないだろう。こういった活動についてはおそらくプライバシ上の懸念や個人情報の取扱といった問題が生じてくる。そこで気になるのが個人情報保護法の第五十条１項に示された個人情報取扱者に関する例外及び第三十五条の主務大臣の権限行使の制限に関する規定である。

■選挙運動で使用する有権者などのデータは個人情報保護法の対象外

個人情報の保護に関する法律（平成一五年五月三十日法律第五十七号）
http://www.caa.go.jp/seikatsu/kojin/houritsu/index.html

第五章　雑則 　（適用除外）

第五十条　個人情報取扱事業者のうち次の各号に掲げる者については、その個人情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、前章の規定は、適用しない。
（略）
五　政治団体　政治活動（これに付随する活動を含む。）の用に供する目的

前章の規定とは「第四章　個人情報取扱事業者の義務等」の規定である。

第三十五条　主務大臣は、前三条の規定により個人情報取扱事業者に対し報告の徴収、助言、勧告又は命令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。
２　前項の規定の趣旨に照らし、主務大臣は、個人情報取扱事業者が第五十条第一項各号に掲げる者（それぞれ当該各号に定める目的で個人情報を取り扱う場合に限る。）に対して個人情報を提供する行為については、その権限を行使しないものとする。

これらの条文によって選挙活動に使用する個人情報は個人情報保護法に定められた個人情報取扱事業者に対する制限や義務の対象とならないとされている。つまり選挙運動で使用される個人情報については実質的に個人情報保護法の枠組みからは外れた取扱が可能となってしまう。例えばある事業者が保有する個人情報を支援する政党に本人の同意無く提供したとしても、政党側の取得に関しては問題はないことになる。提供した事業者側には目的外利用や第三者提供などの問題があるように思われるが、これに対して行政機関の権限行使を行うことはできないとされている。他にも、ある政党や候補者を応援するスマートフォンアプリケーションを配布し、利用者の同意をとった上でスマートフォンの電話帳に登録されている第三者の個人情報である電話帳データを読み取り、政党の本部の支援候補者データベースに登録。その電話番号なりメールアドレスに対して支援や献金を求めるような要請が送られるなどといったことも法的には可能となる。

■選挙運動における個人情報およびプライバシの保護についてのルールが必要では？

今後ネットを使った選挙活動が活発化するということになれば意欲的な政党は有権者のデータベースを構築し個人のプロファイルと活動の履歴を継続的に維持管理し選挙の都度支援や投票の呼びかけに応用することも考えるかもしれない。
これまで個人情報やプライバシ保護の政策は選挙などの政治活動と切り離して考えられてきたと思われるが、候補者の支持政党や政治的な思想あるいはそれらに結びつくような情報は機微なプライバシ情報にあたるケースが多いこともあり、これらの取扱についてなんらかのガイドラインなり法的な枠組みが必要なのではないか。

先に挙げた「『オバマ』のつくり方 怪物・ソーシャルメディアが世界を変える」ではオバマ大統領の選挙戦対策のリーダーの一人の言葉として次の言葉が挙げられていた。

「オバマ」のつくり方 怪物・ソーシャルメディアが世界を変える(ラハフ・ハーフーシュ (著), 杉浦茂樹, 藤原朝子 (翻訳) , 2009)
http://www.amazon.co.jp/dp/448409116X

「選挙活動で重要なのは、短時間で何が何でも勝利を収めることだ。これは消費者と継続的な関係を築きたい企業と、明確な期限のある選挙活動の大きな違いだろう。」

鈴木正朝先生が以下のようなツイートをされていた。法律の専門家の先生方がそのような指摘をされているのでそういうことなのだろうとは思うが、法律の素人なりにこの問題を理解するための準備として関連する情報を以下に整理する。なお文中に多くの引用があるが議論のポイントを明確にするために特に論点に関係すると思われる箇所は私の主観的な判断で太字による強調を行っている。

現時点での印象として私が感じたのは（適法違法の判断に影響するかは別として）「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」において経済産業省はCCC（Tポイント）型の個人情報共同利用方式に近いものをなんらか意識しているのではないか、あるいはCCC（Tポイント）はこのガイドラインを前提としてその会員規約を記述していたのではないかということである。そして同様のケースにおいて違法と判断される事項があるのであればその線引きを明確にする必要があるのではないかと考えている。

https://twitter.com/suzukimasatomo/status/296966544288780288

岡村、夏井、新保、板倉各先生、そして私とCCC型の共同利用方式に違法性を認める研究者の見解が増えている。

鈴木先生は以前よりCCCが運営するTカードについては個人情報保護法違反であると主張されている。

Tカードは個人情報保護法違反に該当するのか？（津田大介の「メディアの現場」vol.44より, 津田大介チャンネル – ニコニコチャンネル：社会・言論, 2012/9/13）
http://ch.nicovideo.jp/tsuda/blomaga/ar6354

香月：では先生はTカードについては個人情報保護法に違反しているとお考えですか？
鈴木：私は真っ黒だと思っています。（以下略）

そして上記を引用しつつ高木浩光先生もCCCの個人情報の共同利用について違法性の懸念を示している。

Tポイントは本当は何をやっているのか（高木浩光＠自宅の日記：2012/9/23）
http://takagi-hiromitsu.jp/diary/20120923.html

T会員規約では、このような情報の提供を、個人情報保護法上の「共同利用」と位置付けており、このような「共同利用」の形態には違法性が指摘されている。

はたして、このような「共同利用」は適法なのだろうか。

夏井高人先生もこれらに同意する形で適法でなく問題があるとしている。

Tポイントにより収集される個人データの「共同利用」に関する高木浩光氏の疑問(夏井高人, Cyberlaw サイバー法ブログ, 2013/1/31)
http://cyberlaw.cocolog-nifty.com/blog/2013/01/t-1e0e.html

現状の約定を前提とする限り，個人情報保護法上の適法な共同利用とはならないと考えられるし，また，消費者契約法上も問題がある。

適法にビジネスするためには，Ｔポイントの解説の表示として，「顧客情報を収集・蓄積・分析・共同利用・加工または修正・販売または交換または贈与・第三者提供すること」を大きな赤色の太字で表示しなければならない（←個人情報保護法上適法かどうかはひとまずおく。）。そして，その次に，小さな字で「ポイントサービスもあります」と書かなければならない。

要するに，顧客のメリットを強調してはならない。それは，単なる誘引または個人データ収集の対価（代償）の一種なので，主たる目的ではあり得ない。

主たる目的が個人データの収集である以上，それを第一のものとしてできる限り目立つように表示するのでなければ，消費者保護法の趣旨に反することになる。

ドラッグストアが患者の医薬品情報をＣＣＣに提供している点については以前薬害オンブズパースン会議から要望書が出され刑法（１３４条、秘密漏示罪）に抵触する可能性があるとしている。
「Ｔポイントサービスに関する要望書」を提出（薬害オンブズパースン会議, 2012/11/20）
http://www.yakugai.gr.jp/topics/topic.php?id=822

具体的には、第１に、ドラッグストアが患者の医薬品情報をＣＣＣに提供する行為（①）は、医薬品情報を扱う「薬剤師」や「医薬品販売業者」が業務上知った秘密（患者の医薬品情報等）を漏らしたとして、刑法（１３４条、秘密漏示罪）に抵触する可能性があります。

また、第２に、会員が十分に理解しないまま、会員の個人情報を第三者である加盟店との間で利用する行為（②③）は、個人情報保護法（２３条１項）に抵触します。

そこで、当会議は、ＣＣＣおよび医薬品販売業者に対しては、医薬品購入歴情報の抹消および加盟店契約自体の解消等を、各担当大臣に対してはＣＣＣおよび医薬品販売業者たる加盟店がかかる情報抹消と加盟店契約解消等を行うよう勧告・命令・指導するよう、要望書を提出しました。

またこれら違法とする根拠について鈴木先生が具体的に議論したものと思われる資料が以下に公開されている。資料冒頭12ページあたりまでCCCの個人情報共同利用方式についての違法性の懸念について言及されている。

わが国の個人情報保護法制の立法課題（鈴木正朝, 総務省 第4回パーソナルデータの利用・流通に関する研究会, 2013/1/11）

http://www.soumu.go.jp/main_content/000196107.pdf

約款の共同利用条項は、公序良俗に反する不当条項であり無効であるというべきである。

また、これらの行為が広く報道されるなどしてすでに広く周知な状況でありながら、それを漫然と放置している行政の不作為もまた違法の誹りを免れないように思う。

と大変厳しい。この資料でCCCの個人情報共同利用の違法性を指摘する根拠として以下が論じられている。（他にもあればご指摘ください。）

ポイント加盟事業者に共同利用のための個人情報データベース等へのアクセス権を付与するなどの共同利用の実態がなく、単に個人 データを第三者に提供することの法的根拠として 約款上に共同利用として法的に構成することは、 「共同して利用する場合」(23条4項3号)に該当 せず、その点において共同利用の要件を充足しているとはいえない。

特に、共同利用者の範囲が日々拡大し、その範 囲が本人にまったく予見できないところで、これ を認めるときは、本人から見て「特定の者」(23 条4項3号)ということはできない。特に契約後、医薬品販売業者がポイント加盟事業者に加わるなどするときは本人に著しい不利益を与えかねない。これらの行為は、共同利用の実態がないにも関わらず、単に約款及びホームページへの法定事項の掲載をもって、共同利用の外形を粉飾しているにすぎず、本人同意とオプトアウト手続を回避する僭脱的手段を講じていることにほかならない。

つぎにこの違法性判断の根拠となる法令である個人情報の保護に関する法律（個人情報保護法）の条文を見てみたい。本来条文の全ての記述を考慮した上で判断が必要ではあるがスペースの都合上特に関連する箇所のみ抜粋する。

個人情報の保護に関する法律

http://www.caa.go.jp/seikatsu/kojin/houritsu/index.html

第二十三条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
（略）

２　個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一　第三者への提供を利用目的とすること。
二　第三者に提供される個人データの項目
三　第三者への提供の手段又は方法
四　本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

３　個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

４　次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。

一　個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
二　合併その他の事由による事業の承継に伴って個人データが提供される場合
三　個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

５　個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない

個人情報保護法に関連して各分野別に監督省庁からガイドラインが示されている。CCCの事業分野については経済産業省が所管するものと考えられるので経済産業省から示されている「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を参考とすることができる。これらのガイドラインは個人情報保護法第八条に基づき「特定の分野における事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援する具体的な指針として」定められたものである。

個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン（平成１６年１０月２２日厚生労働省経済産業省告示第４号,平成 ２１年１０月９日改正）
http://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.htm

本ガイドライン中、「しなければならない」と記載されている規定については、それに従わなかった場合は、経済産業大臣により、法の規定違反と判断され得る。一方、「望ましい」と記載されている規定については、それに従わなかった場合でも、法の規定 違反と判断されることはない。

といった記述もあり事業者の立場からは個人情報の適正な取扱いを判断する上の指針となるだろう。ここでは関連すると思われる個人情報の共同利用に関する記述を以下に引用する。

2-2-4.第三者への提供(法第23条関連)
(3)第三者に該当しないもの(法第23条第4項関連)
(iii)共同利用(法第23条第4項第3号関連) (p.44)

個人データを特定の者との間で共同して利用する場合、以下の①から④までの情報を あらかじめ※1本人に通知※2し、又は本人が容易に知り得る状態※3に置いておくとともに、共同して利用することを明らかにしている場合は、第三者に該当しない。また、既に特定の事業者が取得している個人データを他の事業者と共同して利用する場合は、既に取得している事業者が法第15条第1項の規定により特定した利用目的の範囲で共同して利用しなければならない。

※1「あらかじめ」とは、「個人データの共同利用に当たりあらかじめ」をいう。
※2「本人に通知」については、2-1-7.参照。
※3「本人が容易に知り得る状態」については、2-1-11.参照。

【共同利用を行うことがある事例】

（略）

事例4)企業ポイント等を通じた連携サービスを提供する提携企業の間で取得時の利用目的の範囲内で個人データを共同利用する場合

①共同して利用される個人データの項目
事例1)氏名、住所、電話番号
事例2)氏名、商品購入履歴

②共同利用者の範囲(本人からみてその範囲が明確であることを要するが、範囲が明確である限りは、必ずしも個別列挙が必要ない場合もある。)
事例)最新の共同利用者のリストを本人が容易に知り得る状態に置いているとき

③利用する者の取得時の利用目的(共同して利用する個人データのすべての利用目的)

④開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容 等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者の氏名又は名称(共同利用者の中で、第一次的に苦情の受付・ 処理、開示・訂正等を行う権限を有する事業者を、「責任を有する者」といい、共同 利用者の内部の担当責任者をいうのではない。)

以上を見る限りはこの個人情報の共同利用という枠組みは「企業ポイント等を通じた連携サービス」の利用もその一つの形態として想定しており、また①共同して利用される個人データの項目の具体例として「事例2)氏名、商品購入履歴」といったものが示されている。必ずしもCCCのTポイントのサービスがこれに当てはまるかは不明であるが、経済産業省は何らかポイントサービスや商品購入履歴を共同利用の枠組みで扱うことを想定していると読み取れる。

また②共同利用者の範囲において括弧書きで「本人からみてその範囲が明確であることを要するが、範囲が明確 である限りは、必ずしも個別列挙が必要ない場合もある。」とし「事例)最新の共同利用者のリストを本人が容易に知り得る状態に置いているとき」が示されている。ここでは「最新の」という記述がありこのリストの更新がありうることを想定している点にも注意が必要である。また他に取り決めておくことが望ましい事項として以下が示されている。

【上記1から4までの事項のほかに取り決めておくことが望ましい事項】
●共同利用者の要件(グループ会社であること、特定のキャンペーン事業の一員であること等、共同利用による事業遂行上の一定の枠組)

続いて以下の記述がある。

上記①及び②については原則として変更は認められないが、次の場合、引き続き共同利用を行うことができる。
【引き続き共同利用を行うことができる事例】
事例1)共同利用を行う事業者や個人データの項目の変更につき、あらかじめ本人の同意を得た場合
（以下略）

ここで言う②は「共同利用者の範囲」であり原則として変更が認められていないがあらかじめ本人の同意を得た場合については「共同利用を行う事業者」を変更することができるとしている。

ここで問題が指摘されているCCCのT会員規約の個人情報の共同利用に関連する箇所を見てみる。

T会員規約(カルチュアコンビニエンスクラブ, 2012/10/1)

http://www.ccc.co.jp/member/agreement/

第4条　（個人情報について）
1. 個人情報のお取扱い
当社は、本条第2項記載の会員の個人情報を必要な保護措置を講じた上で取得し、本条第3項記載の各利用目的のために利用させていただきます。また、本条第4項記載の共同利用者と本条第3項記載の各利用目的のために本条第2項記載の個人情報項目を共同して利用させていただきます。（以下略）

4.共同利用者の範囲及び管理責任者
・当社の連結対象会社及び持分法適用会社
・ポイントプログラム参加企業（TSUTAYA加盟店を含みます）
本条第2項の項目を本条第3項の利用目的のために共同利用することに関し、個人データの管理について責任を有する事業者は当社とします。

5.会員がポイントサービスの利用のためにポイントプログラム参加企業においてT-IDを入力又はTカードを提示した場合、当社とポイントプログラム参加企業との間において当該会員の個人情報が相互に提供されることについて、当該会員は同意したとみなされることとさせていただきます。かかる個人情報の提供にご同意いただけない場合には、ポイントプログラム参加企業におけるポイントサービス（ポイントの付与及び使用を含みます）をご利用いただくことはできません。

共同利用の対象となる「ポイントプログラム参加企業」の変更に関しては以下の記載がある。

7. 当社の連結対象会社、持分法適用会社及びポイントプログラム参加企業は、当社による他企業の合併・買収、新規のポイントプログラム参加企業の加入その他の事由により変動する場合があります。最新の情報は随時当社Webサイト、またはhttp://www.ccc.co.jpにてご覧いただけます。

参考までに他のポイントプログラムがプログラム加盟企業間でどのように個人情報の提供を行っているかについて確認してみる。

Ponta会員規約（株式会社 ロイヤリティ マーケティング, 2012/6/11）

第3条（個人情報の利用目的）
(7)共通ポイントPontaサービス提供のため、ポイントプログラム参加企業並びにそれらに関連する業務を行うために必要な範囲で第三者提供を行うため。

第4条（個人情報の提供）
1.当社及びポイントプログラム参加企業は、第3条に定める目的を達成するために必要な範囲内において第2条第1項記載の会員の個人情報を書類の送付又は電子的若しくは電磁的な方法等により相互に提供します。当社とポイントプログラム参加企業は、本項に基づいて相互に提供しあう個人情報について本章の定めに従って取り扱うことを協定しております。ポイントプログラム参加企業への会員の個人情報の提供に関する事項の詳細及びポイントプログラム参加企業は、随時Pontaのインターネットアドレス（http://www.ponta.jp/）にてご覧いただけます。
2.第1項に基づく個人情報の提供について、特定のポイントプログラム参加企業のみに提供し、その他のポイントプログラム参加企業には提供しないというお申し出には応じかねますので、ご了承ください。

Pontaでは個人情報保護法２３条２の同意に基づく第三者提供という形でポイントプログラム参加企業との相互提供を行っているようである。

全く異なる業態であるが百貨店などのテナントとなる高級ブランドなどの企業は百貨店協会加盟企業との間で顧客の個人情報の共同利用が行われているようである。他の個人情報の共同利用の参考事例として示しておく。

タグ・ホイヤー（LVMH ウォッチ・ジュエリー ジャパン株式会社）プライバシーポリシー
http://www.tagheuer.co.jp/privacy/

3. 百貨店との間の共同利用
弊社は、個人情報保護法23条4項3号に基づき、日本百貨店協会加盟の百貨店と共に、下記の利用目的のために、下記のお客様の個人情報を共同して利用しております。

 

パルファム ジバンシイ（LVMHフレグランスブランズ）プライバシーポリシー

http://www.parfumsgivenchy.jp/page/privacypolicy.html

6. 百貨店との間の共同利用 -1
当社は、個人情報保護法23条4項3号に基づき、当社と取引のある日本百貨店協会加盟の百貨店とともに、6. 百貨店との間の共同利用 -2 の利用目的のために、6. 百貨店との間の共同利用 -2 のお客様の個人情報を共同して利用しております。当社と取引のある百貨店名については、当サイトショップリストにてご覧いただけます。

以上まずはCCC（Tポイント）型の個人情報共同利用方式が違法なのかを考える上で関連すると思われる情報のうち私の目に留まったものを列挙してみた。おそらくまだ見落としている事項が多くあると思われるのでお気づきの方がいらっしゃればぜひご連絡いただきたい。それら情報をまとめた上で個別の論点の有効性について個々に自分なりに検討してみたいと考えている。

私の大学のメールアカウントに対して標的型のフィッシング（スピアフィッシング）と思われるメールが届きましたのでセキュリティの研究や対策に役立てるために公開しておきます。

何かこの情報を活用した事例がありましたら今後の情報セキュリティ対策の促進のためにお教えいただけると幸いです。

（スパム対策のため一部ヘッダ情報を書き換えています。xxxxxには実際のメールアカウントが入ります。またadminのアドレスのピリオドを全角文字に変えてあります。）

[メールクライアントでの表示]

差出人　慶應義塾大学SFC <admin@sfc．keio．ac．jp>
件名　慶應義塾大学SFC
返信先　webaccupgrade@ml.lt
宛先　　undisclosed-recipients:;
送信日時　2012/5/2 12:33PM

[メッセージのソース]

—————————————-

Return-path: <admin@sfc．keio．ac．jp>
Envelope-to: xxxxx@imap．sfc．keio．ac．jp
Delivery-date: Wed, 02 May 2012 12:34:09 +0900
Received: from mail-gw1.sfc.keio.ac.jp ([133.27.4.126])
by imap08.sfc.keio.ac.jp with esmtp (Exim 4.69 #1 (Debian))
id 1SPQKP-0006Sa-1k; Wed, 02 May 2012 12:34:09 +0900
Subject: =?UTF-8?Q?=E6=85=B6=E6=87=89=E7=BE=A9=E5=A1=BE=E5=A4=A7=E5=AD=A6S?=
=?UTF-8?Q?FC?=
Received: from email13.mijndomein.nl ([188.93.148.117])
by mail-gw1.sfc.keio.ac.jp with ESMTP; 02 May 2012 12:33:58 +0900
Received: from localhost ([127.0.0.1] helo=email13.mijndomein.nl)
by email13.mijndomein.nl with esmtp (Exim 4.72)
(envelope-from <admin@sfc．keio．ac．jp>)
id 1SPQK5-0003Ha-LQ; Wed, 02 May 2012 05:33:49 +0200
MIME-Version: 1.0
Content-Type: text/plain;
charset=UTF-8;
format=flowed
Content-Transfer-Encoding: 8bit
Date: Tue, 01 May 2012 23:33:49 -0400
From: =?UTF-8?Q?=E6=85=B6=E6=87=89=E7=BE=A9=E5=A1=BE=E5=A4=A7=E5=AD=A6SFC?=
<admin@sfc．keio．ac．jp>
To: undisclosed-recipients:;
Organization: =?UTF-8?Q?=E6=85=B6=E6=87=89=E7=BE=A9=E5=A1=BE=E5=A4=A7?=
=?UTF-8?Q?=E5=AD=A6SFC?=
Reply-To: <webaccupgrade@ml.lt>
Mail-Reply-To: <webaccupgrade@ml.lt>
Message-ID: <37b4f31fec3f05306da91df7396c9b39@kvwbocholtz.nl>
X-Sender: admin@sfc．keio．ac．jp
User-Agent: Mijndomein Webmail

–
行政

アカウント加入者各位
アカウントサーバ：https://imap.sfc.keio.ac.jp/src/login.php
慶應義塾大学SFC

このメールは、保守/ユーザーセキュリティのアップグレード用のSquirrelMailの部からです。
システム。我々は、匿名の登録のために渋滞を抱えている
sfc.keio.ac.jpを占めています。そこでので、いくつかのsfc.keio.ac.jpアカウントをシャットダウンしている
アカウントは、この状態に起因する再更新する必要があります。

あなたのあなたのアカウントを確認することができるように私たちはあなたにこのメールを送っている
あなたのアカウントの安全とメンテナンスするため。あなたはまだである場合
sfc.keio.ac.jpアカウントのユーザーであることに興味を持ってあなたのアカウントを確認してください
下記のスペースを記入してください。

情報は、アカウントを確認するために必要になります。

*ユーザ名：（……………………）（必須）
*パスワード：（……………）（必須）
生年月日*日：（……………………）（オプション）
*国または地域：（………………）（オプション）
*セキュリティの質問：（……………………）（必須）
*セキュリティ回答：（……………………）（必須）

私達にあなたのアカウント情報を送信する前に、にログインすることをお勧めします
以下このリンク：

https://imap.sfc.keio.ac.jp/src/login.php

メモ：お使いのアカウントがログインを行う場合、あなたは私達にあなたの詳細を送信しようとしています
あなたのアカウントのメンテナンスに必要なアカウント、もしそれ以外の場合
それはすでに私たちのメインサーバから終了されていることを意味します。のために申し訳ありません
不便これは我々だけを確認するためにしようとしているあなたを起こしている可能性があります
あなたのアカウントを持つperfectelyよくネットサーフィン。

あなたがしなければならないすべては、クリックして返信し、上記情報を提供していると、
アカウントが中断だけアップグレードされません。あなたのおかげ
この要求への注意が必要です。

再び我々は不便をお詫び申し上げ、これはあなたを起こしている可能性があります。

警告

の7日後に彼/彼女のアカウントを更新することを拒否し、アカウントユーザー
この警告メッセージを受信することは、彼を失ったり、彼女のアカウントは永久にあるでしょう。

このコンピュータへの不正アクセスには、注釈に違反している
コー​​ド、刑法第？ 8から606まで及び7から302とコンピュータ詐欺および
虐待法、18 U.S.C. ？ 1030頁以降を参照。このオフィスは、の使用を監視することができる
を含むように州法および連邦法で許可されているコンピューティング·リソース、
電子通信プライバシー法、18 U.S.C. ？ 2510-2521とメリーランド州
注釈付きのコード、裁判所および裁判手続の記事、第10項、
サブタイトル4。
このシステムを使用して誰もがすべての使用が対象であることを認め
情報技術の利用規定に（sfc.keio.ac.jp）ポリシー
で利用可能なリソース：

https://imap.sfc.keio.ac.jp/src/login.php

ウェブメールユニット/慶應義塾大学SFC（sfc.keio.ac.jp）

あなたは、命令を遵守します。

—————————————-

最近ゲーミフィケーションが流行しているようなので便乗して我々の研究室でのこれまでの取り組みを紹介。

セキュリティいろはかるた

武田圭史, 伊藤ガビン, 倉田タカシ, 日立システム 情報セキュリティブログ編集部, 翔泳社2008.

 

情報セキュリティの課題とゲーミフィケーションとの親和性は高く他にも様々な取り組みを行っています。

 

 

 

本日と明日六本木ヒルズ40階でSFCの研究発表展示会Open Research Forumを開催しています。

ORF2010安住なき先駆
http://orf.sfc.keio.ac.jp/

明日は鳩山由紀夫前首相や黒川清氏、郷原信郎氏なども登壇されるセッションもあります。
どなたでも参加できます。六本木ヒルズ４０階からの眺めも楽しめてしかも無料！

私の研究室も小さいながらブースを出しています。

今年は以下のデモ展示をしています。

• ネットワーク通信可視化ゲーム
• ネットワークトラフィックの可聴化
• メールヘッダ解析による標的型攻撃の検知
• 漏トラフィックによるユーザー追跡

セキュリティはどうもアピールしにくいので今年は一昨年に監修した「セキュリティいろはかるた」を装飾に使わせていただきました。

お越しの際は六本木から六本木ヒルズのアカデミーヒルズ４０階を目指してお越しください。

皆さまのお越しをお待ちしております。

本日のNHKテレビ News7 尖閣諸島の問題で技術的な視点からコメントしました。
ニュースウオッチ9にも使われるかもしれません。

誤解の無いように正しいことが伝えられているとよいのですが、、、。

10月6日（水）から8日（金）まで東京ビックサイトで開催されている テロ対策特殊装備展(SEECAT) ’10で最終日の８日（金）短い時間ではありますが話します。14:00-14:15で「サイバー•セキュリティ：リスクはどこにあるのか」というお題をいただいたので、サイバー戦争の実際と今が旬のsutxnetワームをネタに話そうかと思っています。

【イベント】
テロ対策特殊装備展(SEECAT) ’10) (2010/10/08, 東京ビックサイト)
http://www.seecat.biz/

ちょうど先日NewsWeek でHaystackプロジェクトに関する華々しい記事を見たところだったのに、実は話題が先走りすぎていたという話。しっかりした技術者が何人か関わって地道に展開していけばまた違った結果もあったのではとも考えられる。とにかくいろんな面で考えさせられるところがあるので、技術と社会や政治の関わり関心のある人はぜひ読んでもらいたい。

方向性は違えど、考えてみれば似たような話は日本でもあちらこちらにあるような、、、。

「イランのツイッター革命」の申し子、Haystackの顛末
http://nofrills.seesaa.net/article/164267163.html

「イランのツイッター革命」の申し子、Haystackの顛末 (2)
http://nofrills.seesaa.net/article/164271780.html

オタク戦士が独裁国家を欺く－イランに超絶ソフトで挑んだハッカー活動家
http://www.excite.co.jp/News/magazine/MAG11/20100908/31/

本日（10/4）の朝日新聞朝刊「朝日新聞グローブ第４９号」に「サイバー戦争：それは脅威なのか」という記事が掲載されている。

この記事の中で2007年４月にエストニアにおけるソビエト兵士銅像移転に伴い発生した大規模なサイバー攻撃の事件が取り上げられている。

一方で、「犯人」の特定は不調に終わった。ボット攻撃を操縦したのはロシア国内の集団ではないか、といわれたが、ロシア政府からは犯人捜しの協力が得られなかった。

（朝日新聞, 10/4）

今回の記事では取り上げられていないが、後にこれらの攻撃を実際に行った犯人としてエストニアの20歳の大学生ドミトリ・ガクシュケビッチ（Dmitri Galushkevich）が逮捕され罰金刑を受けていることをBBCをはじめ海外の報道機関は伝えている。

日本では、当初エストニア政府がロシア政府がサイバー攻撃に関与したとして非難したことのみが大きく報道され、その後の犯人逮捕についてはほとんど取り上げられなかったために、いまだにこの攻撃が国家によるサイバー攻撃の事例として紹介されることが少なくない。

ぜひガクシュケビッチ氏にも実際のところを取材してもらいたいところである。

何度も書いているが、これまでに発生しているこういった目立つ攻撃は全て市民活動家など個人的な活動によるものといっても良いだろう。大規模なサイバー攻撃に国家の関与は不要であり、むしろ活動を阻害するものであったり結果として組織にとって不利な状況をもたらすことになる。

その一方で記事の冒頭でも取り上げられているように政治的／軍事的なサイバー攻撃を意識した組織を国家が設立するなどの動きが（昔からずっと）あるのも事実である。最近は高度な内部情報などを求められる洗練された攻撃なども徐々に検出されていることからいよいよ本格的な組織戦の時代を迎えることになるのかもしれない。

【参考】
Estonia fines man for ‘cyber war’ (BBC, 2008/01/25)
http://news.bbc.co.uk/2/hi/technology/7208511.stm

Student fined 1,100 euro for DoS attack on key sites in Estonia(SC Magazine, 2008/01/28)
http://www.scmagazineus.com/student-fined-1100-euro-for-dos-attack-on-key-sites-in-estonia/article/104624/