CCC(Tポイント)型の個人情報共同利用方式は(なぜ)違法なのか?
鈴木正朝先生が以下のようなツイートをされていた。法律の専門家の先生方がそのような指摘をされているのでそういうことなのだろうとは思うが、法律の素人なりにこの問題を理解するための準備として関連する情報を以下に整理する。なお文中に多くの引用があるが議論のポイントを明確にするために特に論点に関係すると思われる箇所は私の主観的な判断で太字による強調を行っている。
現時点での印象として私が感じたのは(適法違法の判断に影響するかは別として)「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」において経済産業省はCCC(Tポイント)型の個人情報共同利用方式に近いものをなんらか意識しているのではないか、あるいはCCC(Tポイント)はこのガイドラインを前提としてその会員規約を記述していたのではないかということである。そして同様のケースにおいて違法と判断される事項があるのであればその線引きを明確にする必要があるのではないかと考えている。
https://twitter.com/suzukimasatomo/status/296966544288780288
岡村、夏井、新保、板倉各先生、そして私とCCC型の共同利用方式に違法性を認める研究者の見解が増えている。
鈴木先生は以前よりCCCが運営するTカードについては個人情報保護法違反であると主張されている。
Tカードは個人情報保護法違反に該当するのか?(津田大介の「メディアの現場」vol.44より, 津田大介チャンネル – ニコニコチャンネル:社会・言論, 2012/9/13)
http://ch.nicovideo.jp/tsuda/blomaga/ar6354
香月:では先生はTカードについては個人情報保護法に違反しているとお考えですか?
鈴木:私は真っ黒だと思っています。(以下略)
そして上記を引用しつつ高木浩光先生もCCCの個人情報の共同利用について違法性の懸念を示している。
Tポイントは本当は何をやっているのか(高木浩光@自宅の日記:2012/9/23)
http://takagi-hiromitsu.jp/diary/20120923.html
T会員規約では、このような情報の提供を、個人情報保護法上の「共同利用」と位置付けており、このような「共同利用」の形態には違法性が指摘されている。
はたして、このような「共同利用」は適法なのだろうか。
夏井高人先生もこれらに同意する形で適法でなく問題があるとしている。
Tポイントにより収集される個人データの「共同利用」に関する高木浩光氏の疑問(夏井高人, Cyberlaw サイバー法ブログ, 2013/1/31)
http://cyberlaw.cocolog-nifty.com/blog/2013/01/t-1e0e.html
現状の約定を前提とする限り,個人情報保護法上の適法な共同利用とはならないと考えられるし,また,消費者契約法上も問題がある。
適法にビジネスするためには,Tポイントの解説の表示として,「顧客情報を収集・蓄積・分析・共同利用・加工または修正・販売または交換または贈与・第三者提供すること」を大きな赤色の太字で表示しなければならない(←個人情報保護法上適法かどうかはひとまずおく。)。そして,その次に,小さな字で「ポイントサービスもあります」と書かなければならない。
要するに,顧客のメリットを強調してはならない。それは,単なる誘引または個人データ収集の対価(代償)の一種なので,主たる目的ではあり得ない。
主たる目的が個人データの収集である以上,それを第一のものとしてできる限り目立つように表示するのでなければ,消費者保護法の趣旨に反することになる。
ドラッグストアが患者の医薬品情報をCCCに提供している点については以前薬害オンブズパースン会議から要望書が出され刑法(134条、秘密漏示罪)に抵触する可能性があるとしている。
「Tポイントサービスに関する要望書」を提出(薬害オンブズパースン会議, 2012/11/20)
http://www.yakugai.gr.jp/topics/topic.php?id=822
具体的には、第1に、ドラッグストアが患者の医薬品情報をCCCに提供する行為(①)は、医薬品情報を扱う「薬剤師」や「医薬品販売業者」が業務上知った秘密(患者の医薬品情報等)を漏らしたとして、刑法(134条、秘密漏示罪)に抵触する可能性があります。
また、第2に、会員が十分に理解しないまま、会員の個人情報を第三者である加盟店との間で利用する行為(②③)は、個人情報保護法(23条1項)に抵触します。
そこで、当会議は、CCCおよび医薬品販売業者に対しては、医薬品購入歴情報の抹消および加盟店契約自体の解消等を、各担当大臣に対してはCCCおよび医薬品販売業者たる加盟店がかかる情報抹消と加盟店契約解消等を行うよう勧告・命令・指導するよう、要望書を提出しました。
またこれら違法とする根拠について鈴木先生が具体的に議論したものと思われる資料が以下に公開されている。資料冒頭12ページあたりまでCCCの個人情報共同利用方式についての違法性の懸念について言及されている。
わが国の個人情報保護法制の立法課題(鈴木正朝, 総務省 第4回パーソナルデータの利用・流通に関する研究会, 2013/1/11)
http://www.soumu.go.jp/main_content/000196107.pdf
約款の共同利用条項は、公序良俗に反する不当条項であり無効であるというべきである。
また、これらの行為が広く報道されるなどしてすでに広く周知な状況でありながら、それを漫然と放置している行政の不作為もまた違法の誹りを免れないように思う。
と大変厳しい。この資料でCCCの個人情報共同利用の違法性を指摘する根拠として以下が論じられている。(他にもあればご指摘ください。)
ポイント加盟事業者に共同利用のための個人情報データベース等へのアクセス権を付与するなどの共同利用の実態がなく、単に個人 データを第三者に提供することの法的根拠として 約款上に共同利用として法的に構成することは、 「共同して利用する場合」(23条4項3号)に該当 せず、その点において共同利用の要件を充足しているとはいえない。
特に、共同利用者の範囲が日々拡大し、その範 囲が本人にまったく予見できないところで、これ を認めるときは、本人から見て「特定の者」(23 条4項3号)ということはできない。特に契約後、医薬品販売業者がポイント加盟事業者に加わるなどするときは本人に著しい不利益を与えかねない。これらの行為は、共同利用の実態がないにも関わらず、単に約款及びホームページへの法定事項の掲載をもって、共同利用の外形を粉飾しているにすぎず、本人同意とオプトアウト手続を回避する僭脱的手段を講じていることにほかならない。
つぎにこの違法性判断の根拠となる法令である個人情報の保護に関する法律(個人情報保護法)の条文を見てみたい。本来条文の全ての記述を考慮した上で判断が必要ではあるがスペースの都合上特に関連する箇所のみ抜粋する。
個人情報の保護に関する法律
http://www.caa.go.jp/seikatsu/kojin/houritsu/index.html
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(略)2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の手段又は方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。3 個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。5 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない
個人情報保護法に関連して各分野別に監督省庁からガイドラインが示されている。CCCの事業分野については経済産業省が所管するものと考えられるので経済産業省から示されている「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を参考とすることができる。これらのガイドラインは個人情報保護法第八条に基づき「特定の分野における事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援する具体的な指針として」定められたものである。
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成16年10月22日厚生労働省経済産業省告示第4号,平成 21年10月9日改正)
http://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.htm
本ガイドライン中、「しなければならない」と記載されている規定については、それに従わなかった場合は、経済産業大臣により、法の規定違反と判断され得る。一方、「望ましい」と記載されている規定については、それに従わなかった場合でも、法の規定 違反と判断されることはない。
といった記述もあり事業者の立場からは個人情報の適正な取扱いを判断する上の指針となるだろう。ここでは関連すると思われる個人情報の共同利用に関する記述を以下に引用する。
2-2-4.第三者への提供(法第23条関連)
(3)第三者に該当しないもの(法第23条第4項関連)
(iii)共同利用(法第23条第4項第3号関連) (p.44)個人データを特定の者との間で共同して利用する場合、以下の①から④までの情報を あらかじめ※1本人に通知※2し、又は本人が容易に知り得る状態※3に置いておくとともに、共同して利用することを明らかにしている場合は、第三者に該当しない。また、既に特定の事業者が取得している個人データを他の事業者と共同して利用する場合は、既に取得している事業者が法第15条第1項の規定により特定した利用目的の範囲で共同して利用しなければならない。
※1「あらかじめ」とは、「個人データの共同利用に当たりあらかじめ」をいう。
※2「本人に通知」については、2-1-7.参照。
※3「本人が容易に知り得る状態」については、2-1-11.参照。【共同利用を行うことがある事例】
(略)
事例4)企業ポイント等を通じた連携サービスを提供する提携企業の間で取得時の利用目的の範囲内で個人データを共同利用する場合
①共同して利用される個人データの項目
事例1)氏名、住所、電話番号
事例2)氏名、商品購入履歴②共同利用者の範囲(本人からみてその範囲が明確であることを要するが、範囲が明確である限りは、必ずしも個別列挙が必要ない場合もある。)
事例)最新の共同利用者のリストを本人が容易に知り得る状態に置いているとき③利用する者の取得時の利用目的(共同して利用する個人データのすべての利用目的)
④開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容 等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者の氏名又は名称(共同利用者の中で、第一次的に苦情の受付・ 処理、開示・訂正等を行う権限を有する事業者を、「責任を有する者」といい、共同 利用者の内部の担当責任者をいうのではない。)
以上を見る限りはこの個人情報の共同利用という枠組みは「企業ポイント等を通じた連携サービス」の利用もその一つの形態として想定しており、また①共同して利用される個人データの項目の具体例として「事例2)氏名、商品購入履歴」といったものが示されている。必ずしもCCCのTポイントのサービスがこれに当てはまるかは不明であるが、経済産業省は何らかポイントサービスや商品購入履歴を共同利用の枠組みで扱うことを想定していると読み取れる。
また②共同利用者の範囲において括弧書きで「本人からみてその範囲が明確であることを要するが、範囲が明確 である限りは、必ずしも個別列挙が必要ない場合もある。」とし「事例)最新の共同利用者のリストを本人が容易に知り得る状態に置いているとき」が示されている。ここでは「最新の」という記述がありこのリストの更新がありうることを想定している点にも注意が必要である。また他に取り決めておくことが望ましい事項として以下が示されている。
【上記1から4までの事項のほかに取り決めておくことが望ましい事項】
●共同利用者の要件(グループ会社であること、特定のキャンペーン事業の一員であること等、共同利用による事業遂行上の一定の枠組)
続いて以下の記述がある。
上記①及び②については原則として変更は認められないが、次の場合、引き続き共同利用を行うことができる。
【引き続き共同利用を行うことができる事例】
事例1)共同利用を行う事業者や個人データの項目の変更につき、あらかじめ本人の同意を得た場合
(以下略)
ここで言う②は「共同利用者の範囲」であり原則として変更が認められていないがあらかじめ本人の同意を得た場合については「共同利用を行う事業者」を変更することができるとしている。
ここで問題が指摘されているCCCのT会員規約の個人情報の共同利用に関連する箇所を見てみる。
T会員規約(カルチュアコンビニエンスクラブ, 2012/10/1)
http://www.ccc.co.jp/member/agreement/
第4条 (個人情報について)
1. 個人情報のお取扱い
当社は、本条第2項記載の会員の個人情報を必要な保護措置を講じた上で取得し、本条第3項記載の各利用目的のために利用させていただきます。また、本条第4項記載の共同利用者と本条第3項記載の各利用目的のために本条第2項記載の個人情報項目を共同して利用させていただきます。(以下略)4.共同利用者の範囲及び管理責任者
・当社の連結対象会社及び持分法適用会社
・ポイントプログラム参加企業(TSUTAYA加盟店を含みます)
本条第2項の項目を本条第3項の利用目的のために共同利用することに関し、個人データの管理について責任を有する事業者は当社とします。
5.会員がポイントサービスの利用のためにポイントプログラム参加企業においてT-IDを入力又はTカードを提示した場合、当社とポイントプログラム参加企業との間において当該会員の個人情報が相互に提供されることについて、当該会員は同意したとみなされることとさせていただきます。かかる個人情報の提供にご同意いただけない場合には、ポイントプログラム参加企業におけるポイントサービス(ポイントの付与及び使用を含みます)をご利用いただくことはできません。
共同利用の対象となる「ポイントプログラム参加企業」の変更に関しては以下の記載がある。
7. 当社の連結対象会社、持分法適用会社及びポイントプログラム参加企業は、当社による他企業の合併・買収、新規のポイントプログラム参加企業の加入その他の事由により変動する場合があります。最新の情報は随時当社Webサイト、またはhttp://www.ccc.co.jpにてご覧いただけます。
参考までに他のポイントプログラムがプログラム加盟企業間でどのように個人情報の提供を行っているかについて確認してみる。
Ponta会員規約(株式会社 ロイヤリティ マーケティング, 2012/6/11)
第3条(個人情報の利用目的)
(7)共通ポイントPontaサービス提供のため、ポイントプログラム参加企業並びにそれらに関連する業務を行うために必要な範囲で第三者提供を行うため。第4条(個人情報の提供)
1.当社及びポイントプログラム参加企業は、第3条に定める目的を達成するために必要な範囲内において第2条第1項記載の会員の個人情報を書類の送付又は電子的若しくは電磁的な方法等により相互に提供します。当社とポイントプログラム参加企業は、本項に基づいて相互に提供しあう個人情報について本章の定めに従って取り扱うことを協定しております。ポイントプログラム参加企業への会員の個人情報の提供に関する事項の詳細及びポイントプログラム参加企業は、随時Pontaのインターネットアドレス(http://www.ponta.jp/)にてご覧いただけます。
2.第1項に基づく個人情報の提供について、特定のポイントプログラム参加企業のみに提供し、その他のポイントプログラム参加企業には提供しないというお申し出には応じかねますので、ご了承ください。
Pontaでは個人情報保護法23条2の同意に基づく第三者提供という形でポイントプログラム参加企業との相互提供を行っているようである。
全く異なる業態であるが百貨店などのテナントとなる高級ブランドなどの企業は百貨店協会加盟企業との間で顧客の個人情報の共同利用が行われているようである。他の個人情報の共同利用の参考事例として示しておく。
タグ・ホイヤー(LVMH ウォッチ・ジュエリー ジャパン株式会社)プライバシーポリシー
http://www.tagheuer.co.jp/privacy/
3. 百貨店との間の共同利用
弊社は、個人情報保護法23条4項3号に基づき、日本百貨店協会加盟の百貨店と共に、下記の利用目的のために、下記のお客様の個人情報を共同して利用しております。
パルファム ジバンシイ(LVMHフレグランスブランズ)プライバシーポリシー
http://www.parfumsgivenchy.jp/page/privacypolicy.html
6. 百貨店との間の共同利用 -1
当社は、個人情報保護法23条4項3号に基づき、当社と取引のある日本百貨店協会加盟の百貨店とともに、6. 百貨店との間の共同利用 -2 の利用目的のために、6. 百貨店との間の共同利用 -2 のお客様の個人情報を共同して利用しております。当社と取引のある百貨店名については、当サイトショップリストにてご覧いただけます。
以上まずはCCC(Tポイント)型の個人情報共同利用方式が違法なのかを考える上で関連すると思われる情報のうち私の目に留まったものを列挙してみた。おそらくまだ見落としている事項が多くあると思われるのでお気づきの方がいらっしゃればぜひご連絡いただきたい。それら情報をまとめた上で個別の論点の有効性について個々に自分なりに検討してみたいと考えている。
最近のコメント