ホーム > 情報セキュリティ > CCC(Tポイントカード)に対する「個人情報の取扱いに関する苦情」の案

CCC(Tポイントカード)に対する「個人情報の取扱いに関する苦情」の案


CCC(Tポイントカード)の個人情報の取扱いに関して、会員として不安な部分もあるためその具体的な内容について苦情を提示することで、これらの問題点を解消できるよう働きかけたいと考えています。以下が苦情として提示する内容です。記述の誤り、事実誤認、内容の不足などあるかと思いますので変更、追加、削除すべき事項等ありましたらご指摘ください。今週中には提示したいと思っています。

2013年3月5日 19:25 個人情報に関する問い合わせWebフォームより提出
2013年3月5日 19:36 電子メールにて個人情報保護相談窓口及びコンタクトセンターに提出
2013年3月15日 CCCより苦情の内容について担当部署に届けた等の回答を受信
2013年4月22日 CCCを担当する認定個人情報保護団体である一般財団法人日本情報経済社会推進協会(JIPDEC)に対して苦情処理を要請(受付番号 : 008526 )
2013年5月21日 JIPDECより連絡あり。CCCよりJIPDECに対しメールでの報告があったが内容に分かりにくい点があるため再報告を求めているとのこと。
2013年5月28日 JIPDECに対し状況確認を依頼。「当協会では、現在(5/27)の時点で当該事業者からの再報告を受け取っていない状況です。」との回答
2013年5月28日 一連の状況を経済産業省商務情報政策局情報経済課に伝え対応を依頼。JIPDECに対し状況確認を行うとのこと。

(苦情の文面案, 2013,03,05 )
———————————————————————-

カルチュア・コンビニエンス・クラブ株式会社 個人情報管理責任者 様

お世話になっております。T会員として御社のサービスを利用させていただいております。御社における個人情報の取り扱いに関し以下の事項について個人情報保護法に定められた「個人情報の取扱いに関する苦情」として申出ますので、内容をご確認いただきその回答及び必要な対応をいただきますようお願い申し上げます。

 

1 個人情報の取得および利用目的に関する説明が不十分

Tポイントカードの会員に登録するとき、「Tカード会員規約」へ同意するよう求められています。しかし印刷された規約自体は読みにくく、会員の購買履歴の利用など会員にとって重要な情報の取り扱いについて、分かりやすく説明されていません。また店舗によっては、登録者から要求されない限り、T会員規約等の文書が提示されない場合もあるようです。
同様の事例として携帯電話の契約や金融商品の契約時に行われる説明のように、重要事項については分かりやすく説明し、特に重要な事項については、個別に登録者が内容を確認しながらチェックマークを入れていくような用紙を利用することが望ましいと考えます。

 

2 取得される個人情報の内容や取り扱いが不明確

前項に関連し、Tカードを利用する際、どういった情報がCCCに取得されるのかがわかりません。ポイント加算の際、「購入する商品名」がCCCに送信・記録されその後マーケティング分析などに利用されることは、規約や入会時の説明から理解することができません。具体的な内容について以下に示します。

 

T会員規約 第4条 (個人情報について)

2. 当社が取得する会員の個人情報の項目

(2)ポイントプログラム参加企業における利用の履歴」

が「購入する商品名」の送信に関する項目と推察しますが、「ポイントプログラム参加企業における利用の履歴」が「参加企業の店舗やサービスを利用したこと」の履歴なのか「購入商品等のより細かな情報」を含むのかが明確ではありません。
これは個人情報保護法第十七条「偽りその他不正の手段により個人情報を取得してはならない。」に抵触する可能性があります。

「Tポイントをご利用のお客さまへ→よくあるご質問」において

http://www.ccc.co.jp/csr/tpoint/question.html

「Q:お店でTカードを提示してお買い物をした情報はCCCに提供されているのですか?

T会員規約に基づき、Tポイント提携企業の店舗でTカードを提示してお買いものをされた情報は、当社へ提供されます。その際に提供される情報は、T会員番号、日時、店名、金額、ポイント数、商品コードとなり、お客さま個人を特定できる情報は含まれていません。」

との記載がありますが、提供される情報に含まれている「T会員番号」は、会員情報を持つ御社にとって個人情報保護法でいう「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」に該当し、個人を特定できる個人情報であると考えられます。実際に個人情報開示請求を行った場合には、これら情報は会員個人と紐づいた形で開示さることから、個人を特定できる情報が含まれていないとは言えません。そのため、上記の「よくあるご質問」の記述は誤り、あるいは正しく事実が伝わらない記述と言えます。

 

3 個人情報の利用目的が不明確

「T会員規約 第4条 (個人情報について)

3. 利用目的

(3)会員のライフスタイル分析のため」

との記述がありますが「会員のライフスタイル分析」が、具体的にどのような分析を意味するのか、また何の目的で「ライフスタイル分析」を行うのか、「ライフスタイル分析」を行った結果が、どのように使用されるのか理解できません。

個人情報保護法第十五条「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。」に抵触する可能性があります。

 

4 ポイントプログラム参加企業における購買履歴等データの共同利用・相互提供の実態が不明確

「Tカード会員規約第4条(個人情報について)1.個人情報のお取扱い」において「本条第4項記載の共同利用者と本条第3項記載の各利用目的のために本条第2項記載の個人情報項目を共同して利用させていただきます。」との記載がありますが、この共同利用において「ポイントプログラム参加企業における購買履歴等データの相互提供」が行われているのか、ポイントプログラム参加企業が、「他の参加企業における会員の購買履歴等を直接参照することができるのか否か」が明確ではありません。そのため、自分の購買履歴等のデータが他の参加企業に見られることについての不安を感じています。
「Tポイントをご利用のお客さまへ→よくあるご質問」において

http://www.ccc.co.jp/csr/tpoint/question.html

「Q:購買履歴や個人情報は、Tポイント提携企業同士でお互いに提供しあっているのですか?

いいえ。お客さまの個人情報や購買履歴を一般企業はもちろんのこと、Tポイント提携企業であっても相互に提供することはありません。」
との記載がありますがここでは「個人情報や購買履歴を一般企業はもちろんのこと、Tポイント提携企業であっても相互に提供することはありません。」と書かれています。上記規約の「共同して利用」と、この「相互に提供することはありません」との記述に隔たりがあり、相互に提供されていないのに共同して利用するということが何を意味しているのか理解が困難となっています。

一方、御社が製品を利用しているとされるオラクル社が、インターネット上に公開している御社に関する事例紹介では以下のように書かれています。(p.14-15)
http://www.oracle.com/jp/corporate/features/exadata-case-456763-ja.pdf

 

「一般的にコンビニエンスストアなどでは、チョコレートなどの商品を購入した場合、「何が」「いくら」売れたかという分析は可能だ。しかし、Tカードの仕組みにより「誰が」「何を」「いつ」購入したかという情報まで取得できるのだ。男女比、リピート率、年代などの分析はもちろんのこと、さらには、そのT会員はガソリンスタンドでいつ給油したのか、どこで食事をしたのかなどの情報も取得可能になる。アライアンス企業は、これらの手に入れづらい情報を入手することによりデータに基づいて分析し企画をおこないマーケティングに生かすことが可能になる。」

この内容を文字通り解釈すれば、アライアンス企業は会員個人が特定できる状態で他のアライアンス企業における購買履歴等の情報を取得可能ということになり、上記「よくあるご質問」の記載内容と、矛盾しているように読めます。
現在インターネットのサイト等で外部の方が書かれている情報でも、Tポイント提携企業間で会員の購買履歴等が相互に閲覧できることを意味するような情報が広まっていることもあって、会員のプライバシについて不安を感じています。もしこれらの情報が誤りなのであれば、明確に否定していただき上記のような広告資料の記述については、内容の訂正を求めるか、正しい情報を示していただければと思います。またその実態に即した形で共同利用の形態(誰がどういった情報をどういった形で利用するのか)について、会員規約内で明示されるのが望ましいと考えます。

 

5 個人情報に関する開示請求手続き問い合わせ等に対する不誠実な対応

2012年6月に御社が保有する私の個人情報に関し、開示の請求方法をWebのお問い合わせフォームより問い合わせをさせていただきました。その一連のやりとりの中で「御社が保有し管理する私の商品購入履歴等の個人情報」の開示について聞いたところ、2012年6月27日にTSUTAYAコンタクトセンターからいただいたメールにおいて「ご依頼の内容を抽出するにことで、当社業務の適正な実施に著しい支障及ぼすことから、お断り申し上げます。」との回答を得ました。

その後御社コンタクトセンター及び御社個人情報苦情受付窓口に不適切な理由による不開示とし苦情を届け出ました。その後、御社の指定する認定個人情報保護団体である一般財団法人日本情報経済社会推進協会(JIPDEC)にも苦情対応を依頼しました。
さらにその後2012年10月に、御社が公開している【届出書による個人情報の開示等の求めに関する手続きに関して】が改訂され 、ポイントプログラム参加企業における利用の履歴として開示の対象とされるようになりました。本件については開示請求方法についての問い合わせを7月から行っており苦情を御社およびJIPDECに対して提示していたにも関わらず本件が開示可能となったことについてその後の連絡は一切ありませんでした。

また、現行の個人情報開示の手数料は、ポイントプログラム参加企業における利用の履歴について3000円となっています。これに基本手数料送料400円+その他項目毎500円が必要であり、郵送および支払いのための定額小為替手数料等を含めれば4000円以上と大変高額な手数料を支払う必要があります。また開示に要する時間も約1ヶ月と情報開示のためのハードルが大変高くなっています。本来「ポイントプログラム参加企業における利用の履歴」に含まれる会員の購買履歴等の情報は、ポイントの履歴情報と合わせて、オンラインで会員自身が無料で確認できるべきものであり、現在の個人情報の開示手続とその費用の設定は意図的に本人による個人情報の確認を困難にしていると思われても仕方の無い大変不誠実なものとなっています。

以上、会員が安心して御社のサービスを利用できるようご対応をお願いいたします。

 

 

カテゴリー: 情報セキュリティ タグ:
  1. 2013 年 3 月 26 日 11:28 | #1

    3/25の昼にTSUTAYAコンタクトセンターより以下の回答がありました。

    ———————
    1 個人情報の取得および利用目的に関する説明が不十分
      弊社への貴重なご意見として承り、いただきました内容については関係部署にお伝えさせて頂きました。

    2 取得される個人情報の内容や取り扱いが不明確
      弊社ホームページにて掲載している内容について、弊社での考えが伝わりにくいとのご意見については、あらためて検討をさせていただきます。

    3 個人情報の利用目的が不明確
      貴重なご意見として承り、いただきました内容については関係部署にお伝えさせて頂きました。

    4 ポイントプログラム参加企業における購買履歴等データの共同利用・相互提供の実態が不明確
      弊社ホームページにて掲載している内容で共同利用について説明をさせていただいております。
      他社のお話しされていることについてはわかりませんが、個人を特定できる状態でポイントプログラム
      提携先への情報提供はしておりません。

    5 個人情報に関する開示請求手続き問い合わせ等に対する不誠実な対応
      弊社への貴重なご意見として承り、いただきました内容については関係部署にお伝えさせて頂きました。
    ———————

  2. keiji
    2013 年 4 月 22 日 16:47 | #2

    T会員規約やWebでの説明の記載内容、会員登録時プロセスについて改善が見られないため4月22日にCCCを担当する認定個人情報保護団体である一般財団法人日本情報経済社会推進協会(JIPDEC)に対して苦情処理を要請しました。(受付番号 : 008526 )

  3. keiji
    2013 年 6 月 17 日 17:32 | #3

    その後一向に回答の連絡がないためJIPDECに状況確認の電話。5/7 CCCに調査を依頼。その後調査に関する報告があったが、内容が不十分のため5/21に再度報告を依頼、2度目回答があったが内容が不十分と判断し、6/5再々報告を求め現在回答待ちの状況とのこと。今週中に回答がない場合は催促をする予定。経済産業省からも2度JIPDECに対して迅速な対応を促すよう電話連絡があったとのこと。

  4. keiji
    2013 年 8 月 9 日 08:13 | #4

    8/7にJIPDECより連絡。未だにCCCから十分な回答が得られずその見通しも立っていないとのこと。こちらで分かっているだけでもすでに5回CCCからJIPDECに対して回答が行われているがJIPDECはこれらを突き返している模様。

  1. トラックバックはまだありません。

CAPTCHA