共同利用者の範囲が不明確だった
香月:では、どこに法的問題があるのでしょうか?
鈴木:はい。今回のTカード問題でまず論点になるのが、(3)共同利用者の範囲です。T会員規約には、共同利用者の範囲は「当社の連結対象会社及び持分法適用会社」と「ポイントプログラム参加企業(TSUTAYA加盟店を含みます)」と示しています。
経済産業分野ガイドライン45頁をみると「本人からみてその範囲が明確であることを要するが、範囲が明確である限りは、必ずしも個別列挙が必要ない場合もある」というように示されています。
持って回った言い方をしていますが、ここの趣旨は、共同利用者の範囲は、第一に個別列挙方式を原則とすること。すなわち、A社、B社、C社とすべて限定列挙することが望ましいということを示しています。第二に、本人から見て共同利用者の範囲の明確性があれば例外的に個別列挙原則を緩和するということが書いてあります。
「当社の連結対象会社及び持分法適用会社」はその定義が明確であり、それが公開され容易に誰もが参照できる状態にあるのであれば問題がありません。問題となるところは、「ポイントプログラム参加企業」という表現です。
ポイント加盟企業というのは、一般に1社からはじまって、2社、3社、……100社、……1000社とどんどん拡大していくものですし、現に拡大しています。これでは、「個人データを特定の者との間で共同して利用する」ことにはなりません。これをして「特定の者」というのは大変苦しい解釈です。実際、T会員規約上で同意した段階では、医薬品販売業まで入るとは思っていなかった人たちもいるでしょう。
そもそも、個別列挙原則を緩和したのは、全国銀行協会など産業界が行政に要望を出したことによります。確かに個別列挙では、共同利用者の範囲があまりに硬直的で、M&Aや企業提携の組み替えが活発な今日の経営環境にはあまりにそぐわない。1社抜けたりはともかく、1社増えたりすると個人情報データベース上の本人全員の同意をとりつけなければならないということになると、まったく非現実的で、共同利用はまったく使えない方式ということになってしまいます。
行政もその要望を受け入れて、例外を認めたわけです。しかし、そこに含意されているものは、あくまでも共同利用者の範囲のコアがしっかり固まっている、増減はあくまでも例外的だというところです。このあたりの原則例外の関係やニュアンスが十分に伝わらなかった。
香月:なるほど。全国銀行協会には銀行しか入会できないから、銀行という縛りが明確にある。自ずと範囲が定まってきますね。増減も例外的で、会員名簿もネットで閲覧できますし、本人から見て個別列挙方式に準じるというところは理解できます。
鈴木:一般にA社からB社に個人データを移行させるための法律構成としては、(1)第三者提供における本人同意手続(23条1項)または(2)第三者提供におけるオプトアウト手続(23条2項)、それから(3)委託(23条4項1号)、(4)事業承継(23条4項2項)、そして(5)共同利用(23条4項3号)といった手続があります。ビジネスの実態とは無関係に自由に選択し法律構成できるわけではありません。A社からB社に個人データを移行するにあたって、それが第三者提供か、委託か、共同利用かは、その事実関係に基づいて決定されるはずです。もちろん法的構成に実態をあわせることも可能ですが。
しかし、CCCはデータベースの共同利用の実態がなく「共同利用」という構成を採用している。本来的意味から言えば流用といっていいわけです。経済産業分野ガイドラインは、いわゆる個人情報保護法の過剰反応によって取扱いが必要以上に萎縮しないよう利活用の有用性にも配慮する必要があります。過剰規制でネットビジネスのイノベーションを阻害してはならないと考えたのですね。
そこで、共同利用をもっと使い勝手よくしようと考えたところがあります。しかし、これは経産省の告示にすぎません。行政の第一次的判断を尊重するというところはありますが、やはり基本は法律の解釈です。告示も法律にそって理解しなくてはなりません。共同利用者の範囲を自由自在に制御し得るということによって、実は、第三者提供における、本人同意の原則を回避している。そしてさらに問題なのは、最低限本人に留保されるべきオプトアウトの機会すら回避する結果を許している。これでは個人の権利利益の保護(1条)も個人の尊重(3条)の理念も個別条項の解釈に反映されていないことになります。
利用目的の制限という縛りがあるからと言っても、行きすぎた「共同利用」構成はやはり違法と断じなくてはなりません。オプトアウト手続(23条2項)だって、本当にゆるゆるの義務規定なんですから、これすら潜脱する解釈を許すのは、とうてい法目的に合致しているとは言えません。
ちなみに、委託の場合も本人同意とオプトアウト手続を回避できる点では同じですが、委託は個人データを預けるのであって、その回収・消去を含めて委託先の監督義務(22条)の下に安全管理が徹底され、また委託の性質上、利用目的の制限は無論のこと委託先事業者は自由にそれを利活用することはできません。ところが共同利用の場合は、ポイント加盟企業に個人データが行ったきりとなり、引き渡してしまうことができるわけです。
その他の記事
総務省調査に見るネット利用の姿(小寺信良) | |
落ち込んで辛いときに、やってはいけないこと(名越康文) | |
「大阪でも維新支持急落」で第三極の未来に何を見るか(やまもといちろう) | |
沖縄、そして日本の未来を担う「やんばる」(高城剛) | |
信仰者の譲れない部分(甲野善紀) | |
お悩み相談室 スナックりさちゃんへようこそ!(若林理砂) | |
大騒ぎの野球賭博と山口組分裂騒動あれこれ(やまもといちろう) | |
アップル固有端末IDの流出から見えてくるスマホのプライバシー問題(津田大介) | |
極めてシンプルでありながら奥が深いシステマ小説(西條剛央) | |
一年のサイクルが循環して再びスタートする冬至を迎えて(高城剛) | |
アーユルヴェーダのドーシャで自分が知らない本当の自分と対面する(高城剛) | |
少ない金で豊かに暮らす–クローゼットから消費を見直せ(紀里谷和明) | |
伸びる人は「2週間1単位」で生活習慣を整える(名越康文) | |
銀座の通りにある歩道の意味(高城剛) | |
自然なき現代生活とアーユルヴェーダ(高城剛) |