ポイントカード事業における共同利用方式の違法性について（個人情報保護法 第 23条第4項第3号部分）

総務省第４回パーソナルデータの利用・流通に関する研究会におけるプレゼンテーション『わが国の個人情報保護法制の立法課題』において、新潟大学大学院実務法学研究科鈴木正朝教授が、ポイントカード事業の「約款の共同利用条項は、公序良俗に反する不当条項であり無効であるというべきである。」との指摘を行っていた。鈴木教授も指摘しているように、「国家権力による公的個人番号（マイナンバー）と社会的権力による民間個人番号（Tカード、Googleアカウント、ケータイ・スマホのID等）は同じ」懸念を抱えており、今日はマイナンバーを離れて、民間個人番号の問題、具体的には上記の「ポイントカード事業における共同利用方式の違法性」について、つらつら考えてみたい。


（本投稿は、法律の素人が個人的な関心から考えたことを記載したものであり、個人情報保護法の解釈について情報提供を行うことを目的にしたものではありません。個人情報保護法の解釈についての情報を必要としている方は、弁護士にご相談ください。）


共同利用方式の適法性を検討するに当たっては、まず、下記の個人情報保護法第23条第4項第3号の解釈から始めることとする。

『個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。』


■個人データ

個人データは、「個人情報データベース等を構成する個人情報をいう。」と第2条第4項で定義されており、「個人情報データベース等」とは、個人情報を含む情報の集合物であって、「特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」及び「前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの」と第2条第2項で定義されている。



■特定の者との間で

特定の者という表記は、個人情報保護法では、第23条第4項第3号以外には出てこない。「特定の者との間で」との表記は、信託法において、『特定の者との間で、当該特定の者に対し財産の譲渡、担保権の設定その他の財産の処分をする旨並びに当該特定の者が一定の目的に従い財産の管理又は処分及びその他の当該目的の達成のために必要な行為をすべき旨の契約（以下「信託契約」という。）を締結する方法』という規定がある。「特定の者との間」という表記は、個人情報保護法を除くと、前記の信託法を含め、わが国の法令では21の条項において用いられており、すべて契約を締結している場合についての規定である。したがって、個人情報保護法においても、明文化されていないが、立法過程において内閣法制局等は契約を締結することにより共同して利用することとした者という意味において検討したものと思われる。



■共同して利用

「共同して利用」との表記は、わが国の法令では、個人情報保護法以外に、5つの条項で使用されている。しかしながら、特に個人情報保護法の解釈に有用な例は存在しない。第23条第4項の「次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。」との規定から、個人データの提供を受けることが前提となっていることから、「共同して利用」は、「特定の者に契約に基づいて個人データを提供し、提供を受けた者が当該個人データを利用」する場合を含んでいると解される。

ただし、あくまで共同して利用するのであり、その技術的態様として個人データの提供が行われるものであるから、共同利用を停止した場合には、提供を受けた個人データを削除し、保有し続けてはならないことは自明である。



■個人データの管理

個人情報保護法において、「管理」という用語が用いられているのは、第23条第4項第3号のみである。管理という言葉を含む用語で、「個人データの管理」の解釈に有用と思われる用語は、第20条に規定される「安全管理」である。「個人データの管理」には、当然「個人データの安全管理」が含まれると解される。それでは、「個人データの管理」に含まれるのは、「個人データの安全管理」のみであろうか。そうであれば、第23条第4項第3号においても「当該個人データの安全管理に責任を有する」と規定すれば良いことから、「個人データの管理」には「個人データの安全管理」以外が含まれると解される。具体的には、第19条に定める（データ内容の正確性の確保）、第25条に定める（開示）、第26条に定める（訂正等）、第27条に定める（利用停止等）、第28条に定める（理由の説明）、第29条に定める（開示等の求めに応じる手続）等を含む可能性がある。このうち、第19条に定める（データ内容の正確性の確保）については、確実に個人データの管理に含まれると考えられる。それは、個人データ以外の分野においても一般に、正確性の確保はデータの管理の一要素であるからである。権限と責任は表裏一体であることを鑑みると、第2条第5項において「開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ」との規定があることから、開示、利用の停止等も管理に含まれると解される。



■個人データの管理について責任を有する

「個人データの管理について責任を有する」とは、本人に対して、少なくとも安全管理、正確性の確保及び利用の停止等について責任（以下「共同利用代表者の責任」という。）を有するものと考えられる。立法者の意図は、それに加えて、開示、理由の説明、開示等の求めに応じる手続きを定めること等について責任を有しているということである可能性がある。

共同利用代表者の責任は、責任を有する者（以下「共同利用代表者」という。）が保有する個人データについてのみでなく、共同利用代表者以外の共同して利用する者（以下「非代表共同利用者」という。）が保有する個人データの管理についても責任を有していると解される。自ら保有する保有個人データについて管理の責任を有しているのは当然であり、規定が置かれていることは、非代表共同利用者が保有する個人データについて共同利用代表者が本人に対して管理責任を有しているからに他ならない。したがって、共同利用代表者は、例えば第26条に基づいて訂正等が求められた場合には、非代表共同利用者が保有する個人データについても遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行うことについて責任を持たなければならない。共同利用代表者が自ら遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行う必要はないが、契約等に基づき非代表共同利用者が行うことを担保することはもちろん、第22条に定める（委託先の監督）同様に、共同利用者の監督を行う必要がある。明文規定はないものの、第22条が類推適用されるべきと解するのが相当である。そうした契約や監督の実施が無く、単に共同利用者代表者の氏名又は名称について、本人に通知し、又は本人が容易に知り得る状態に置いているだけでは、第3者に該当しないとすることはできない。これは、第3条の「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。」との理念からも明らかといえよう。また、責任を担える実態無く責任を有する者として名称を公表しているとしたら、個人情報を提供した本人を欺罔するものといえる。

また、前述したように非代表共同利用者で無くなった者は、個人データの保有を継続してはならないのであるから、非代表共同利用者と共同利用代表者間の契約においては、契約終了時の個人データの破棄等についての規定が必要である。



■あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき

「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」とは、「あらかじめ本人に通知しているとき、又はあらかじめ本人が容易に知り得る状態に置いているとき」と解される。これは、「あらかじめ本人に通知しているとき又は本人が容易に知り得る状態に置いているとき」という意味であれば、「あらかじめ」の後の読点は不要であるからである。

「あらかじめ」とは、「前もって」の意味であり、「当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。」との項の中の号における規定であるから、文言上は、「共同利用代表者から非代表共同利用者に個人データの提供を行う前に、非代表共同利用者から共同利用代表者に個人データの提供を行う前に、又は非代表共同利用者から別の非代表共同利用者に個人データの提供を行う前に」の意と解される。しかしながら、「個人データの提供を行う前に本人が容易に知り得る状態に置いて」おけば良いだけであれば、本人がそれに気が付く機会はほぼないと考えられる。情報を提供する際には、その後の個人情報の利用について本人も「知りえる状態に置かれた情報」を確認することが可能であるが、一度提供した情報について本人がその利用について「知りえる状態に置かれた情報」を定期的に確認する必要があると規定することは、第3条の「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない」との理念に反する。したがって、「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」とは「共同利用代表者又は非代表共同利用者が個人情報の提供を本人から受ける前に本人に通知し、又は本人が容易に知り得る状態に置いているとき」の意と解される。



■まとめ

以上の第23条第4項第3号の構成要素毎の検討を踏まえ、改めて第23条第4項第3号の規定の全体解釈を試みると、共同利用について、共同利用者代表者が法第4章第1節に規定する個人情報取扱事業者の義務について代表して責任をとる（義務の実施を確保する）ことから、第3者提供とみなす必要がないとの規定と解される。こうした点では、第15条第2項の「個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない」、第16条第1項の「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない」等の規定の担保についても、非代表共同利用者の利用を含めて、共同利用代表者は責任を本人に対して有していると解される。



■濫用的手法の判断基準について

総務省第４回パーソナルデータの利用・流通に関する研究会『わが国の個人情報保護法制の立法課題』（新潟大学 大学院実務法学研究科 教授 鈴木 正朝）においては、「個人データ管理者が自由に決定し、業種を問わず増減できるよう約款で定める共同利用」を濫用的手法としているが、上記の第23条第4項第3号の解釈によれば、共同利用代表者が非代表共同利用者を自由に決定し、業種を問わず増減できるようにしているからといって直ちに濫用的手法ということはできず、非代表共同利用者の追加に伴い、契約及び監督体制の整備を行うことにより共同利用責任者としての責任を担えているのであれば適法と考えられる。

同プレゼンテーションにある「特に、共同利用者の範囲が日々拡大し、その範囲が本人にまったく予見できないところで、これを認めるときは、本人から見て「特定の者」（23条4項3号）ということはできない。」との指摘については、「■特定の者との間で」の項で示したように、わが国の法令においては、特定の者との記載を契約関係の有無の文脈においてこれまで用いており、個人情報保護法においてのみ本人から見て特定の者であることを指していると解釈することに十分な根拠があるとはいえない。
同プレゼンテーションにある「ポイント加盟事業者に共同利用のための個人情報データベース等へのアクセス権を付与するなどの共同利用の実態がなく」との指摘については、前述したように、共同利用としての実態の有無は、契約関係及び監督体制によって共同利用代表者としての責任を担える実態があるかどうかにより判断されるべきものであり、情報システムの仕組みによりその判断が左右されるとは解されない。電子媒体によってデータを提供している場合であっても、契約解消に伴い提供した情報の破棄が監査により担保されている等々の場合には、共同利用の実態があると解するのが相当である。

ただし、共同利用者の範囲が日々拡大し、その範囲が本人にまったく予見できないところで、これを認めるときに、「本人に著しい不利益を与えかねない」との懸念があることは言をまたない。また、第3条の理念上も、適正な取り扱いが行われているとは言えない。「共同利用者の範囲が日々拡大し、その範囲が本人にまったく予見できないところで、これを認めるときに、本人に著しい不利益を与えかねない」という問題を解消するための個人情報保護法の法解釈が、第23条第4項第3号を『本人から見て「特定の者」』と解釈するしかないのであれば、当該解釈を是とすべきと考えられる。しかしながら、第23条第4項第3号以外の条項により、「共同利用者の範囲が日々拡大し、その範囲が本人にまったく予見できないところで、これを認めるときに、本人に著しい不利益を与えかねない」状況を防ぐことができるのであれば、そうした解釈を採用することは法的安定性の面から望ましくないと考えられる。

現時点では、「共同利用者の範囲が日々拡大し、その範囲が本人にまったく予見できないところで、これを認めるときに、本人に著しい不利益を与えかねない」との懸念の防止は、第15条第1項、第15条第2項及び第16条第1項の規定の解釈により担保できるのではないかと考えている。このため、ポイントカード事業における共同利用方式の違法性についての結論は、第15条第1項、第15条第2項及び第16条第1項の解釈及びそれへの適合性に基づくことになる。この点については、現時点で十分に考察できていないことから、別稿に譲りたいと思う。その解釈が成立しない場合には、改めて第23条第4項第3号の解釈変更を試みてみたい。


■今後の予定

繰り返しとなるが、今後、更に以下の検討が必要と思われる（検討を試みてみたい）。
第一に、共同利用は個人情報の利用の一様態であるから、共同利用の場合の第15条第1項、第15条第2項及び第16条第1項の規定の解釈の文書化を試みる。
第二に、上記解釈により「共同利用者の範囲が日々拡大し、その範囲が本人にまったく予見できないところで、これを認めるときに、本人に著しい不利益を与えかねない」との懸念をどの程度払拭できるかを明確にする。
第三に、法的安定性、一般性（他の懸念に対しても幅広く同じ解釈で対応できるかどうか）等の面から、共同利用方式の濫用の防止策として第15条等の解釈によるものと第23条第4項第3号の解釈によるものといずれが望ましいかを検討する。
第四に、事業者にとっていずれの解釈が望まれるものであるかを推察する。
最後に、上記の検討を総合的にとらえ、「ポイントカード事業における共同利用方式の違法性」について結論を導くと同時にその理由を明確にする。


○補足
素で解釈してみたかったので、産業省のガイドラインは読まずに（以前読んだのははるか昔なのでほぼ忘れている状況で）本稿を書いてみたが、書いた後にガイドラインを読んでみると、かなり近い感じであった。

（本投稿にパロディ的要素はありません）