津田大介
@tsuda

『メディアの現場』vol.44「MIAUからのお知らせ」より

Tカードは個人情報保護法違反に該当するのか?

共同利用者の範囲が不明確だった

香月:では、どこに法的問題があるのでしょうか?

鈴木:はい。今回のTカード問題でまず論点になるのが、(3)共同利用者の範囲です。T会員規約には、共同利用者の範囲は「当社の連結対象会社及び持分法適用会社」と「ポイントプログラム参加企業(TSUTAYA加盟店を含みます)」と示しています。

経済産業分野ガイドライン45頁をみると「本人からみてその範囲が明確であることを要するが、範囲が明確である限りは、必ずしも個別列挙が必要ない場合もある」というように示されています。

持って回った言い方をしていますが、ここの趣旨は、共同利用者の範囲は、第一に個別列挙方式を原則とすること。すなわち、A社、B社、C社とすべて限定列挙することが望ましいということを示しています。第二に、本人から見て共同利用者の範囲の明確性があれば例外的に個別列挙原則を緩和するということが書いてあります。

「当社の連結対象会社及び持分法適用会社」はその定義が明確であり、それが公開され容易に誰もが参照できる状態にあるのであれば問題がありません。問題となるところは、「ポイントプログラム参加企業」という表現です。

ポイント加盟企業というのは、一般に1社からはじまって、2社、3社、……100社、……1000社とどんどん拡大していくものですし、現に拡大しています。これでは、「個人データを特定の者との間で共同して利用する」ことにはなりません。これをして「特定の者」というのは大変苦しい解釈です。実際、T会員規約上で同意した段階では、医薬品販売業まで入るとは思っていなかった人たちもいるでしょう。

そもそも、個別列挙原則を緩和したのは、全国銀行協会など産業界が行政に要望を出したことによります。確かに個別列挙では、共同利用者の範囲があまりに硬直的で、M&Aや企業提携の組み替えが活発な今日の経営環境にはあまりにそぐわない。1社抜けたりはともかく、1社増えたりすると個人情報データベース上の本人全員の同意をとりつけなければならないということになると、まったく非現実的で、共同利用はまったく使えない方式ということになってしまいます。

行政もその要望を受け入れて、例外を認めたわけです。しかし、そこに含意されているものは、あくまでも共同利用者の範囲のコアがしっかり固まっている、増減はあくまでも例外的だというところです。このあたりの原則例外の関係やニュアンスが十分に伝わらなかった。

香月:なるほど。全国銀行協会には銀行しか入会できないから、銀行という縛りが明確にある。自ずと範囲が定まってきますね。増減も例外的で、会員名簿もネットで閲覧できますし、本人から見て個別列挙方式に準じるというところは理解できます。

鈴木:一般にA社からB社に個人データを移行させるための法律構成としては、(1)第三者提供における本人同意手続(23条1項)または(2)第三者提供におけるオプトアウト手続(23条2項)、それから(3)委託(23条4項1号)、(4)事業承継(23条4項2項)、そして(5)共同利用(23条4項3号)といった手続があります。ビジネスの実態とは無関係に自由に選択し法律構成できるわけではありません。A社からB社に個人データを移行するにあたって、それが第三者提供か、委託か、共同利用かは、その事実関係に基づいて決定されるはずです。もちろん法的構成に実態をあわせることも可能ですが。

しかし、CCCはデータベースの共同利用の実態がなく「共同利用」という構成を採用している。本来的意味から言えば流用といっていいわけです。経済産業分野ガイドラインは、いわゆる個人情報保護法の過剰反応によって取扱いが必要以上に萎縮しないよう利活用の有用性にも配慮する必要があります。過剰規制でネットビジネスのイノベーションを阻害してはならないと考えたのですね。

そこで、共同利用をもっと使い勝手よくしようと考えたところがあります。しかし、これは経産省の告示にすぎません。行政の第一次的判断を尊重するというところはありますが、やはり基本は法律の解釈です。告示も法律にそって理解しなくてはなりません。共同利用者の範囲を自由自在に制御し得るということによって、実は、第三者提供における、本人同意の原則を回避している。そしてさらに問題なのは、最低限本人に留保されるべきオプトアウトの機会すら回避する結果を許している。これでは個人の権利利益の保護(1条)も個人の尊重(3条)の理念も個別条項の解釈に反映されていないことになります。

利用目的の制限という縛りがあるからと言っても、行きすぎた「共同利用」構成はやはり違法と断じなくてはなりません。オプトアウト手続(23条2項)だって、本当にゆるゆるの義務規定なんですから、これすら潜脱する解釈を許すのは、とうてい法目的に合致しているとは言えません。

ちなみに、委託の場合も本人同意とオプトアウト手続を回避できる点では同じですが、委託は個人データを預けるのであって、その回収・消去を含めて委託先の監督義務(22条)の下に安全管理が徹底され、また委託の性質上、利用目的の制限は無論のこと委託先事業者は自由にそれを利活用することはできません。ところが共同利用の場合は、ポイント加盟企業に個人データが行ったきりとなり、引き渡してしまうことができるわけです。

1 2 3 4 5 6
津田大介
ジャーナリスト/メディア・アクティビスト。1973年生まれ。東京都出身。早稲田大学社会科学部卒。早稲田大学大学院政治学研究科ジャーナリズムコース非常勤講師。一般社団法人インターネットユーザー協会代表理事。J-WAVE『JAM THE WORLD』火曜日ナビゲーター。IT・ネットサービスやネットカルチャー、ネットジャーナリズム、著作権問題、コンテンツビジネス論などを専門分野に執筆活動を行う。ネットニュースメディア「ナタリー」の設立・運営にも携わる。主な著書に『Twitter社会論』(洋泉社)、『未来型サバイバル音楽論』(中央公論新社)など。

その他の記事

闇が深い国際ボクシング協会(AIBA)の問題点(本田雅一)
週刊金融日記 第299号【誰も教えてくれなかったWebサービスとアフィリエイトの勝利の方程式、日本も世界も株式市場はロケットスタート他】(藤沢数希)
FATF勧告でマネーロンダリング日本不合格の後始末(やまもといちろう)
大揉め都議選と「腐れ」小池百合子の明るい未来(やまもといちろう)
中国マネーが押し寄せる観光地の今(高城剛)
村上春樹から上田秋成、そしてイスラム神秘主義(内田樹&平川克美)
身体に響く音の道――音の先、音の跡(平尾文)
私事ながら、第4子になる長女に恵まれました(やまもといちろう)
株式会社ピースオブケイクのオフィスにお邪魔しました!(岩崎夏海)
「不思議の国」キューバの新型コロナワクチン事情(高城剛)
ネット上で盛り上がってる「働き方論」はすべてナンセンスです!(宇野常寛)
組織変革とは、まず自分が変わろうとすること(やまもといちろう)
思い込みと感情で政治は動く(やまもといちろう)
平成の終わり、そして令和の始まりに寄せて(やまもといちろう)
なぜ作家に「酒好き」が多いのか(ロバート・ハリス)
津田大介のメールマガジン
「メディアの現場」

[料金(税込)] 660円(税込)/ 月
[発行周期] 月1回以上配信(不定期)

ページのトップへ