共同利用者の範囲が不明確だった
香月:では、どこに法的問題があるのでしょうか?
鈴木:はい。今回のTカード問題でまず論点になるのが、(3)共同利用者の範囲です。T会員規約には、共同利用者の範囲は「当社の連結対象会社及び持分法適用会社」と「ポイントプログラム参加企業(TSUTAYA加盟店を含みます)」と示しています。
経済産業分野ガイドライン45頁をみると「本人からみてその範囲が明確であることを要するが、範囲が明確である限りは、必ずしも個別列挙が必要ない場合もある」というように示されています。
持って回った言い方をしていますが、ここの趣旨は、共同利用者の範囲は、第一に個別列挙方式を原則とすること。すなわち、A社、B社、C社とすべて限定列挙することが望ましいということを示しています。第二に、本人から見て共同利用者の範囲の明確性があれば例外的に個別列挙原則を緩和するということが書いてあります。
「当社の連結対象会社及び持分法適用会社」はその定義が明確であり、それが公開され容易に誰もが参照できる状態にあるのであれば問題がありません。問題となるところは、「ポイントプログラム参加企業」という表現です。
ポイント加盟企業というのは、一般に1社からはじまって、2社、3社、……100社、……1000社とどんどん拡大していくものですし、現に拡大しています。これでは、「個人データを特定の者との間で共同して利用する」ことにはなりません。これをして「特定の者」というのは大変苦しい解釈です。実際、T会員規約上で同意した段階では、医薬品販売業まで入るとは思っていなかった人たちもいるでしょう。
そもそも、個別列挙原則を緩和したのは、全国銀行協会など産業界が行政に要望を出したことによります。確かに個別列挙では、共同利用者の範囲があまりに硬直的で、M&Aや企業提携の組み替えが活発な今日の経営環境にはあまりにそぐわない。1社抜けたりはともかく、1社増えたりすると個人情報データベース上の本人全員の同意をとりつけなければならないということになると、まったく非現実的で、共同利用はまったく使えない方式ということになってしまいます。
行政もその要望を受け入れて、例外を認めたわけです。しかし、そこに含意されているものは、あくまでも共同利用者の範囲のコアがしっかり固まっている、増減はあくまでも例外的だというところです。このあたりの原則例外の関係やニュアンスが十分に伝わらなかった。
香月:なるほど。全国銀行協会には銀行しか入会できないから、銀行という縛りが明確にある。自ずと範囲が定まってきますね。増減も例外的で、会員名簿もネットで閲覧できますし、本人から見て個別列挙方式に準じるというところは理解できます。
鈴木:一般にA社からB社に個人データを移行させるための法律構成としては、(1)第三者提供における本人同意手続(23条1項)または(2)第三者提供におけるオプトアウト手続(23条2項)、それから(3)委託(23条4項1号)、(4)事業承継(23条4項2項)、そして(5)共同利用(23条4項3号)といった手続があります。ビジネスの実態とは無関係に自由に選択し法律構成できるわけではありません。A社からB社に個人データを移行するにあたって、それが第三者提供か、委託か、共同利用かは、その事実関係に基づいて決定されるはずです。もちろん法的構成に実態をあわせることも可能ですが。
しかし、CCCはデータベースの共同利用の実態がなく「共同利用」という構成を採用している。本来的意味から言えば流用といっていいわけです。経済産業分野ガイドラインは、いわゆる個人情報保護法の過剰反応によって取扱いが必要以上に萎縮しないよう利活用の有用性にも配慮する必要があります。過剰規制でネットビジネスのイノベーションを阻害してはならないと考えたのですね。
そこで、共同利用をもっと使い勝手よくしようと考えたところがあります。しかし、これは経産省の告示にすぎません。行政の第一次的判断を尊重するというところはありますが、やはり基本は法律の解釈です。告示も法律にそって理解しなくてはなりません。共同利用者の範囲を自由自在に制御し得るということによって、実は、第三者提供における、本人同意の原則を回避している。そしてさらに問題なのは、最低限本人に留保されるべきオプトアウトの機会すら回避する結果を許している。これでは個人の権利利益の保護(1条)も個人の尊重(3条)の理念も個別条項の解釈に反映されていないことになります。
利用目的の制限という縛りがあるからと言っても、行きすぎた「共同利用」構成はやはり違法と断じなくてはなりません。オプトアウト手続(23条2項)だって、本当にゆるゆるの義務規定なんですから、これすら潜脱する解釈を許すのは、とうてい法目的に合致しているとは言えません。
ちなみに、委託の場合も本人同意とオプトアウト手続を回避できる点では同じですが、委託は個人データを預けるのであって、その回収・消去を含めて委託先の監督義務(22条)の下に安全管理が徹底され、また委託の性質上、利用目的の制限は無論のこと委託先事業者は自由にそれを利活用することはできません。ところが共同利用の場合は、ポイント加盟企業に個人データが行ったきりとなり、引き渡してしまうことができるわけです。
その他の記事
|
「芸能」こそが、暗黒の時代を乗り越えるための叡智であるーー感染症と演劇の未来(武田梵声) |
|
「心の速度を落とす」ということ(平尾剛) |
|
【動画】速すぎる! 武術家の一瞬の抜刀術!!(甲野善紀) |
|
失ってしまった日本ならではの自然観(高城剛) |
|
「日本の動物園にできること」のための助走【第一回】(川端裕人) |
|
|
「電気グルーヴ配信停止」に見るデジタル配信と消費者保護(西田宗千佳) |
|
パニック的なコロナウイルス騒動が今後社会にもたらすもの(やまもといちろう) |
|
|
食欲の秋、今年は少しだけ飽食に溺れるつもりです(高城剛) |
|
Appleがヒントを示したパソコンとスマホの今後(本田雅一) |
|
|
旅行需要急増でのんびり楽しめる時間が残り少なくなりつつある南の島々(高城剛) |
|
「すぐやる自分」になるために必要なこと(名越康文) |
|
|
暗黙の村のルールで成功した地域ブランド「銀座」(高城剛) |
|
|
暗い気分で下す決断は百パーセント間違っている(名越康文) |
|
|
次のシーズンに向けてゆっくり動き出す時(高城剛) |
|
貧富の差がなくなっても人は幸せにはなれない(家入一真) |
