共同利用者の範囲が不明確だった

香月：では、どこに法的問題があるのでしょうか？

鈴木：はい。今回のTカード問題でまず論点になるのが、(3)共同利用者の範囲です。T会員規約には、共同利用者の範囲は「当社の連結対象会社及び持分法適用会社」と「ポイントプログラム参加企業（TSUTAYA加盟店を含みます）」と示しています。

経済産業分野ガイドライン45頁をみると「本人からみてその範囲が明確であることを要するが、範囲が明確である限りは、必ずしも個別列挙が必要ない場合もある」というように示されています。

持って回った言い方をしていますが、ここの趣旨は、共同利用者の範囲は、第一に個別列挙方式を原則とすること。すなわち、A社、B社、C社とすべて限定列挙することが望ましいということを示しています。第二に、本人から見て共同利用者の範囲の明確性があれば例外的に個別列挙原則を緩和するということが書いてあります。

「当社の連結対象会社及び持分法適用会社」はその定義が明確であり、それが公開され容易に誰もが参照できる状態にあるのであれば問題がありません。問題となるところは、「ポイントプログラム参加企業」という表現です。

ポイント加盟企業というのは、一般に1社からはじまって、2社、3社、……100社、……1000社とどんどん拡大していくものですし、現に拡大しています。これでは、「個人データを特定の者との間で共同して利用する」ことにはなりません。これをして「特定の者」というのは大変苦しい解釈です。実際、T会員規約上で同意した段階では、医薬品販売業まで入るとは思っていなかった人たちもいるでしょう。

そもそも、個別列挙原則を緩和したのは、全国銀行協会など産業界が行政に要望を出したことによります。確かに個別列挙では、共同利用者の範囲があまりに硬直的で、M&Aや企業提携の組み替えが活発な今日の経営環境にはあまりにそぐわない。1社抜けたりはともかく、1社増えたりすると個人情報データベース上の本人全員の同意をとりつけなければならないということになると、まったく非現実的で、共同利用はまったく使えない方式ということになってしまいます。

行政もその要望を受け入れて、例外を認めたわけです。しかし、そこに含意されているものは、あくまでも共同利用者の範囲のコアがしっかり固まっている、増減はあくまでも例外的だというところです。このあたりの原則例外の関係やニュアンスが十分に伝わらなかった。

香月：なるほど。全国銀行協会には銀行しか入会できないから、銀行という縛りが明確にある。自ずと範囲が定まってきますね。増減も例外的で、会員名簿もネットで閲覧できますし、本人から見て個別列挙方式に準じるというところは理解できます。

鈴木：一般にA社からB社に個人データを移行させるための法律構成としては、（1）第三者提供における本人同意手続（23条1項）または（2）第三者提供におけるオプトアウト手続（23条2項）、それから（3）委託（23条4項1号）、（4）事業承継（23条4項2項）、そして（5）共同利用（23条4項3号）といった手続があります。ビジネスの実態とは無関係に自由に選択し法律構成できるわけではありません。A社からB社に個人データを移行するにあたって、それが第三者提供か、委託か、共同利用かは、その事実関係に基づいて決定されるはずです。もちろん法的構成に実態をあわせることも可能ですが。

しかし、CCCはデータベースの共同利用の実態がなく「共同利用」という構成を採用している。本来的意味から言えば流用といっていいわけです。経済産業分野ガイドラインは、いわゆる個人情報保護法の過剰反応によって取扱いが必要以上に萎縮しないよう利活用の有用性にも配慮する必要があります。過剰規制でネットビジネスのイノベーションを阻害してはならないと考えたのですね。

そこで、共同利用をもっと使い勝手よくしようと考えたところがあります。しかし、これは経産省の告示にすぎません。行政の第一次的判断を尊重するというところはありますが、やはり基本は法律の解釈です。告示も法律にそって理解しなくてはなりません。共同利用者の範囲を自由自在に制御し得るということによって、実は、第三者提供における、本人同意の原則を回避している。そしてさらに問題なのは、最低限本人に留保されるべきオプトアウトの機会すら回避する結果を許している。これでは個人の権利利益の保護（1条）も個人の尊重（3条）の理念も個別条項の解釈に反映されていないことになります。

利用目的の制限という縛りがあるからと言っても、行きすぎた「共同利用」構成はやはり違法と断じなくてはなりません。オプトアウト手続（23条2項）だって、本当にゆるゆるの義務規定なんですから、これすら潜脱する解釈を許すのは、とうてい法目的に合致しているとは言えません。

ちなみに、委託の場合も本人同意とオプトアウト手続を回避できる点では同じですが、委託は個人データを預けるのであって、その回収・消去を含めて委託先の監督義務（22条）の下に安全管理が徹底され、また委託の性質上、利用目的の制限は無論のこと委託先事業者は自由にそれを利活用することはできません。ところが共同利用の場合は、ポイント加盟企業に個人データが行ったきりとなり、引き渡してしまうことができるわけです。

津田大介

ジャーナリスト／メディア・アクティビスト。1973年生まれ。東京都出身。早稲田大学社会科学部卒。早稲田大学大学院政治学研究科ジャーナリズムコース非常勤講師。一般社団法人インターネットユーザー協会代表理事。J-WAVE『JAM THE WORLD』火曜日ナビゲーター。IT・ネットサービスやネットカルチャー、ネットジャーナリズム、著作権問題、コンテンツビジネス論などを専門分野に執筆活動を行う。ネットニュースメディア「ナタリー」の設立・運営にも携わる。主な著書に『Twitter社会論』（洋泉社）、『未来型サバイバル音楽論』（中央公論新社）など。

その他の記事

	週刊金融日記 第286号＜日本で高額所得者がどれだけ税金を払うのか教えよう、衆院選は安倍vs小池の天下分け目の戦いへ他＞（藤沢数希）
	アメリカ・家電売り場から見える家電の今（西田宗千佳）
	国内IMAX上映に隠された映画会社や配給会社の不都合な真実（高城剛）
	終わらない「レオパレス騒動」の着地点はどこにあるのか（やまもといちろう）
	｢政治メディア｣はコンテンツかプラットフォームか（津田大介）
	スマートシティ実現と既得権益維持は両立するか（高城剛）
	歴史に見られる不思議なサイクル（高城剛）
	「2分の1成人式」の是非を考える（小寺信良）
	週刊金融日記 第294号【怪物ビットコイン ～ハードフォークという富の複製、ビットコイン・ダイヤモンド誕生！時価総額１兆7000億円他】（藤沢数希）
	世界は本当に美しいのだろうか 〜 小林晋平×福岡要対談から（甲野善紀）
	グーグルさん、あなたのお客さんは誰ですか？（本田雅一）
	YouTube発信を始めようと考えた理由（本田雅一）
	クラウドファンディングの「負け戦」と「醍醐味」（西田宗千佳）
	トヨタが掲げるEV車と「それは本当に環境にやさしいのか」問題（やまもといちろう）
	「認知症」自動車事故とマスコミ報道（やまもといちろう）