◆個人情報保護法における「共同利用」の問題――鈴木正朝先生に聞く
鈴木:今回のTカード型の企業ポイントを通じた連携サービスには、いくつか個人情報保護法上の問題を指摘し得るのですが、中でも、解釈上違法ではないかと指摘しているのは「共同利用」という方式を採用してCCCからポイント加盟企業へ個人データを引き渡すことができること、Tカードで取得した個人情報データベースを多数のポイント加盟企業にアクセス権を付与し、みんなで共有して共同利用目的の範囲内でそれらの個人データを取り扱えてしまうことです。実際やっているかどうか、どこまでどのようにやっているかについては調査が必要なところですが、T会員規約(約款)上は、そうした権利をCCCが留保していて、いつでも行使できる状態になっていることを問題視しています。
■T会員規約(CCC:カルチュア・コンビニエンス・クラブ株式会社)
http://www.ccc.co.jp/member/agreement/
香月:ここで指摘されている「共同利用」とは、そもそもどういうものなのでしょうか?
鈴木:たとえば、大きな企業は地域ごとに販売店や保守のための子会社をもっている場合がありますね。そこの顧客は子会社の担当エリアを超えて引っ越したりしますから、同じ商品やサービスを提供しているならば、その企業グループ内で単一の顧客データベースを共有したほうが便利なわけです。しかし、子会社は独立した法人ですから、同じ企業グループ内でも個人データの閲覧は第三者提供となり、事前の本人同意が必要になってしまいます。これは結構煩雑な作業になります。このような場合を一つの典型例として、個人データを共同で利用できるように個人情報保護法は23条4項3号に「共同利用」の規定を置いています。
香月:「共同利用」は親子会社間やグループ企業の中だけで使うものなのですか?
鈴木:いいえ、経済産業分野ガイドラインでは次のような例が示されています。
■個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成16年10月22日厚生労働省経済産業省告示第4号,平成 21年10月9日改正)
http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf
(事例1)グループ企業で総合的なサービスを提供するために取得時の利用目的の範囲内で情報を共同利用する場合(事例2)親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合(事例3)外国の会社と取得時の利用目的の範囲内で個人データを共同利用する場合(事例4)企業ポイント等を通じた連携サービスを提供する提携企業の間で取得時の利用目的の範囲内で個人データを共同利用する場合
Tカードの事例は、まさに(事例4)に該当するわけです。CCCは、多分このガイドラインを参考にして、ビジネスモデルを組み立てたのかもしれません。「第三者提供」(23条1項)やオプトアウト手続(23条2項)ではなく「共同利用」(23条4項3号)という方式を選択したわけです。そのほうが将来のビジネスモデルの変容に柔軟に対応できる、また本人の関与を最小化できるという狙いがあったのかもしれません。もしくは、何も考えていなかったのかもしれません。法務部門や顧問弁護士の力量に依存するところですからね。
香月:23条4項3号には、「個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」に「当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする」と書いてあるのですが、一読しても何を言っているのかよくわかりません。「共同利用」という方式を採用するために遵守すべきところをわかりやすく教えていただけませんか?
鈴木:次の5項目をあらかじめ「本人に通知し、又は本人が容易に知り得る状態に置いて」おけばいいということです。「本人に通知」というのは、本人に一人ひとりメールしたり、はがきを郵送するということをいうので結構手間とコストがかかりますから通常は選択しません。一般的には、「本人が容易に知り得る状態」の方を選びます。具体的には、その企業のホームページにアップして広く知り得る状態にするということです。結果的には「公表」と同じ作業になります。
(1)個人データを特定の者との間で共同して利用する旨
(2)共同して利用される個人データの項目
(3)共同して利用する者の範囲
(4)利用する者の利用目的
(5)当該個人データの管理について責任を有する者の氏名又は名称
この5項目をホームページに書いておけばいいということになります。
香月:なるほど。簡単じゃないですか。CCCは、これをやっていなかったんですか?
鈴木:いいえ。この5項目についてはT会員規約に示してありますし、CCCはT会員規約をそのまま自社のホームページ上にアップして公表しています。
その他の記事
|
クラウドの時代、拠点はシリコンバレーからシアトルへと移り変わるのか(高城剛) |
|
|
日本が観光立国になり得るかどうかの試金石はVIPサービスにあり(高城剛) |
|
古い常識が生み出す新しいデジタルデバイド(本田雅一) |
|
山口組分裂を人事制度的に考察する(城繁幸) |
|
意外とまだマイナー!?「二段階認証」をおさらいする(西田宗千佳) |
|
孫正義さん、周りに人がいなくなって衰えたなあと思う件(やまもといちろう) |
|
|
フェイクと本物の自然を足早に行き来する(高城剛) |
|
|
電気の「自炊」が当たり前の時代へむけて(高城剛) |
|
|
楽天モバイルが先行する“MNO”に追いつくために(本田雅一) |
|
|
「おじさん」であることと社会での関わり方の問題(やまもといちろう) |
|
信仰者の譲れない部分(甲野善紀) |
|
|
新陳代謝が良い街ならではの京都の魅力(高城剛) |
|
「コンテンツで町おこし」のハードル(小寺信良) |
|
起業家は思想家でありアーティストである(家入一真) |
|
|
在留外国人の国民健康保険問題と制度改革への道筋とかの雑感(やまもといちろう) |
