共同利用者の範囲が不明確だった
香月:では、どこに法的問題があるのでしょうか?
鈴木:はい。今回のTカード問題でまず論点になるのが、(3)共同利用者の範囲です。T会員規約には、共同利用者の範囲は「当社の連結対象会社及び持分法適用会社」と「ポイントプログラム参加企業(TSUTAYA加盟店を含みます)」と示しています。
経済産業分野ガイドライン45頁をみると「本人からみてその範囲が明確であることを要するが、範囲が明確である限りは、必ずしも個別列挙が必要ない場合もある」というように示されています。
持って回った言い方をしていますが、ここの趣旨は、共同利用者の範囲は、第一に個別列挙方式を原則とすること。すなわち、A社、B社、C社とすべて限定列挙することが望ましいということを示しています。第二に、本人から見て共同利用者の範囲の明確性があれば例外的に個別列挙原則を緩和するということが書いてあります。
「当社の連結対象会社及び持分法適用会社」はその定義が明確であり、それが公開され容易に誰もが参照できる状態にあるのであれば問題がありません。問題となるところは、「ポイントプログラム参加企業」という表現です。
ポイント加盟企業というのは、一般に1社からはじまって、2社、3社、……100社、……1000社とどんどん拡大していくものですし、現に拡大しています。これでは、「個人データを特定の者との間で共同して利用する」ことにはなりません。これをして「特定の者」というのは大変苦しい解釈です。実際、T会員規約上で同意した段階では、医薬品販売業まで入るとは思っていなかった人たちもいるでしょう。
そもそも、個別列挙原則を緩和したのは、全国銀行協会など産業界が行政に要望を出したことによります。確かに個別列挙では、共同利用者の範囲があまりに硬直的で、M&Aや企業提携の組み替えが活発な今日の経営環境にはあまりにそぐわない。1社抜けたりはともかく、1社増えたりすると個人情報データベース上の本人全員の同意をとりつけなければならないということになると、まったく非現実的で、共同利用はまったく使えない方式ということになってしまいます。
行政もその要望を受け入れて、例外を認めたわけです。しかし、そこに含意されているものは、あくまでも共同利用者の範囲のコアがしっかり固まっている、増減はあくまでも例外的だというところです。このあたりの原則例外の関係やニュアンスが十分に伝わらなかった。
香月:なるほど。全国銀行協会には銀行しか入会できないから、銀行という縛りが明確にある。自ずと範囲が定まってきますね。増減も例外的で、会員名簿もネットで閲覧できますし、本人から見て個別列挙方式に準じるというところは理解できます。
鈴木:一般にA社からB社に個人データを移行させるための法律構成としては、(1)第三者提供における本人同意手続(23条1項)または(2)第三者提供におけるオプトアウト手続(23条2項)、それから(3)委託(23条4項1号)、(4)事業承継(23条4項2項)、そして(5)共同利用(23条4項3号)といった手続があります。ビジネスの実態とは無関係に自由に選択し法律構成できるわけではありません。A社からB社に個人データを移行するにあたって、それが第三者提供か、委託か、共同利用かは、その事実関係に基づいて決定されるはずです。もちろん法的構成に実態をあわせることも可能ですが。
しかし、CCCはデータベースの共同利用の実態がなく「共同利用」という構成を採用している。本来的意味から言えば流用といっていいわけです。経済産業分野ガイドラインは、いわゆる個人情報保護法の過剰反応によって取扱いが必要以上に萎縮しないよう利活用の有用性にも配慮する必要があります。過剰規制でネットビジネスのイノベーションを阻害してはならないと考えたのですね。
そこで、共同利用をもっと使い勝手よくしようと考えたところがあります。しかし、これは経産省の告示にすぎません。行政の第一次的判断を尊重するというところはありますが、やはり基本は法律の解釈です。告示も法律にそって理解しなくてはなりません。共同利用者の範囲を自由自在に制御し得るということによって、実は、第三者提供における、本人同意の原則を回避している。そしてさらに問題なのは、最低限本人に留保されるべきオプトアウトの機会すら回避する結果を許している。これでは個人の権利利益の保護(1条)も個人の尊重(3条)の理念も個別条項の解釈に反映されていないことになります。
利用目的の制限という縛りがあるからと言っても、行きすぎた「共同利用」構成はやはり違法と断じなくてはなりません。オプトアウト手続(23条2項)だって、本当にゆるゆるの義務規定なんですから、これすら潜脱する解釈を許すのは、とうてい法目的に合致しているとは言えません。
ちなみに、委託の場合も本人同意とオプトアウト手続を回避できる点では同じですが、委託は個人データを預けるのであって、その回収・消去を含めて委託先の監督義務(22条)の下に安全管理が徹底され、また委託の性質上、利用目的の制限は無論のこと委託先事業者は自由にそれを利活用することはできません。ところが共同利用の場合は、ポイント加盟企業に個人データが行ったきりとなり、引き渡してしまうことができるわけです。
その他の記事
|
これからのクリエーターに必要なのは異なる二つの世界を行き来すること(岩崎夏海) |
|
良い旅は、旅立つ前に決まるのです(高城剛) |
|
ソーシャルビジネスが世界を変える――ムハマド・ユヌスが提唱する「利他的な」経済の仕組み(津田大介) |
|
『もののあはれ』の実装は可能か(宇野常寛) |
|
「履歴」をもっと使おう(西田宗千佳) |
|
無駄に混迷する都知事選、都知事・小池百合子が迎え撃つ堀江貴文、宇都宮健児の勝ち筋(やまもといちろう) |
|
|
オーバーツーリズムの功罪(高城剛) |
|
|
ボツ原稿スペシャル 文春オンラインで掲載を見送られた幻のジャニー喜多川さん追悼記事(やまもといちろう) |
|
|
結局「仮想通貨取引も金商法と同じ規制で」というごく普通の議論に戻るまでの一部始終(やまもといちろう) |
|
|
「あたらしい領域」へ踏み込むときに行き先を迷わないために必要な地図(高城剛) |
|
|
ワクチン接種の遅速が招く国際的な経済格差(高城剛) |
|
「疑う力」を失った現代人(名越康文) |
|
「家族とはなんだって、全部背負う事ないんじゃない?」 〜子育てに苦しんだ人は必見! 映画『沈没家族 劇場版』(切通理作) |
|
|
国産カメラメーカーの誕生とその歴史を振り返る(高城剛) |
|
ショートショート「木曜日のエスケープ」(石田衣良) |
