『「第三者提供の制限」の例外と「第三者」に該当しないという条文の構造、構成の差異が本件解釈に反映されているか?この2点について、じっくり検討してみるといいのではないでしょうか。CCCは委託構成でいけるのでは?共同利用で穴を空ける実益あるの?』
という返事をもらい、また、別途
『Tポイント制度はCCCが主宰するビジネスモデルでありそれを支えるのが同社の情報システムである。加盟店だけを分解的に取り上げればPOSデータ+αとT番号だけ。彼らに特定個人の識別性はない。しかし個人情報の取扱いという視点ではCCCの委託先であり、CCCの個人情報の取得である。』
というわけで、ポイントサービス事業者→加盟店の個人情報の流れだけでなく、加盟店→ポイントサービス事業者の個人情報の流れも検討に含めないといけないというわけで、それら全体の認識を今日は整理しておきたいと思う(3月2日に更新)。委託構成で可能かどうかについては、私の知識レベルではほとんど対応できないが、素朴に思ったことも記載してみた。
※NPO法人 消費者支援ネット北海道(ホクネット)からの質問への回答では、加盟店→ポイントサービス事業者の個人情報の流れも共同利用と回答されており、下記の論考については、修正が必要な状況である(3月17日)。
※NPO法人 消費者支援ネット北海道(ホクネット)からの質問への回答では、加盟店→ポイントサービス事業者の個人情報の流れも共同利用と回答されており、下記の論考については、修正が必要な状況である(3月17日)。
◆用語の定義等
カルチュア・コンビニエンス・クラブ株式会社又は株式会社Tポイント・ジャパンをサービス事業者、ポイントプログラム参加企業を加盟店という。加盟店については、すべてを調査することは難しいため、株式会社ファミリーマートを代表的な加盟店と想定し、株式会社ファミリーマートの場合に該当することは、全加盟店について該当するとして記載する(当然、間違っていることがありえる)。また、T会員規約等のサービス事業者による規約をサービス事業者規約と総称し、ファミマTカード会員規約等の加盟店の規約を加盟店規約と総称する。
個人情報保護法における個人情報か否かに関わらず、本人(正確には私)が個人情報と思う情報を「個人情報」といい、個人情報保護法における個人情報を「法定個人情報」という。
◆個人情報が渡っているタイミングについて
サービス事業者と加盟店間の個人情報の交換の主なタイミングには、
A.会員登録申し込み時の加盟店→サービス事業者の個人情報の流れ
B.加盟店において購入等を行った場合の加盟店→サービス事業者の個人情報の流れ
C.サービス事業者→加盟店の個人情報の流れ
の3種類が存在する。
◆A.会員登録申し込み時の加盟店→サービス事業者の個人情報の流れの事実認識について
「A.会員登録申し込み時の加盟店→サービス事業者の個人情報の流れ」においては、『★の項目については、お客様からサービス事業者が直接取得させていただき、サービス事業者規約に従って管理・利用させていただきます』と入会申込書に記載されており、また、申込書の宛名は加盟店とサービス事業者の連盟となっている。★の項目とは、氏名、フリガナ、性別、生年月日、自宅の固定電話、携帯電話番号、自宅住所であり、法定個人情報はサービス事業者が直接取得するとされている。加盟店は申込書の取り次ぎを行っているという形式になっているものと思われる(法的な位置づけについては、私には知識不足でわからない)。
一方で、加盟店規約には、『カルチュア・コンビニエンス・クラブ社により取得される個人情報〔入会申込書★印の情報(氏名、住所、性別、生年月日、電話番号)、その更新情報およびその他T会員規約により定められた情報〕』と記載されている一方で『以下の個人情報を取得、保有します。(1) 入会の申込時、変更届出時にお届けいただいた氏名、生年月日、住所、電話番号、職業、勤務先・学校、Eメールアドレスなどの情報。』と記載されており、みずから取得するようにも記載されている。
矛盾なく理解しようとすると、★以外の項目は加盟店が直接取得し、★の項目はサービス事業者が直接取得し、それを加盟店に提供することになっていると考えざるをえない。
しかしながら、加盟店はサービス事業者規約に記載されている目的の範囲内でのみ法定個人情報を利用するしかなく、その場合加盟店におけるクレジットカード発行等の目的に氏名、住所等を利用できなくなる。したがって、加盟店も法定個人情報を直接取得していると考えざるをえない。したがって、『★の項目については、加盟店が取得するとともに、お客様からサービス事業者が直接取得させていただき、サービス事業者規約に従って管理・利用させていただきます』を省略して記載しているものと考えられる。
●加盟店・サービス事業者による個人情報保護法上の建付けについての考察
上記から、加盟店及びサービス事業者においては、「A.会員登録申し込み時の加盟店→サービス事業者の個人情報の流れ」においては、法定個人情報の第3者提供(法第23条に規定する法定個人情報の提供をいう。)は行われておらず、宛名が加盟店及びサービス事業者となっていることから、加盟店及びサービス事業者が各々本人から直接取得していると考えているものと想像される。
●第3者提供の有無についての考察
申込書の取り次ぎを行う際に、当該書面に記載されている法定個人情報の第3者提供を行っていると考えるべきか、それとも単に申込書を引き渡しているだけと考えるべきかについて、私は判断根拠を持っていない。第3者提供を行っているとした方が紳士的であることは間違いない。
●委託構成についての考察
鈴木先生が指摘するように、実態としてサービス事業者は法定個人情報の取得を加盟店に委託していることは間違いないと考えられる。個人情報保護法における委託に該当するかどうかについては、下記に記すように私にはよくわからない。共同利用方式の代わりに委託構成にするということが法第23条第4項第1号に該当するということであれば、否定的である。
△法第22条への該当性
上記のことから、少なくともサービス事業者は申込書の取り次ぎを加盟店に委託しているものと考えられる。これが、単なる書面の取り次ぎ委託なのか、法第22条に規定される「個人データの取扱いの全部又は一部を委託する場合」 に該当するのかは、私には判断する根拠がわからない。第22条に該当するとした方が、紳士的であることは間違いない。
上記のことから、少なくともサービス事業者は申込書の取り次ぎを加盟店に委託しているものと考えられる。これが、単なる書面の取り次ぎ委託なのか、法第22条に規定される「個人データの取扱いの全部又は一部を委託する場合」 に該当するのかは、私には判断する根拠がわからない。第22条に該当するとした方が、紳士的であることは間違いない。
△法第23条第4項第1号への該当性
法第23条第4項第1号への該当性については、前述したように結局否定することになったサービス事業者が一旦取得し、それを加盟店に提供しているという建付けであれば、該当する可能性があると考えられる。しかしながら、前述したように、少なくともサービス事業者と加盟店が各々法定個人情報を本人から直接取得していると考えられ、サービス事業者→加盟店の法定個人情報の提供はないと考えられることから、法第23条4項第1号に該当することはないと考えられる。また、最も紳士的と思われる加盟店がサービス事業者に法定個人情報を提供しているという建付けにおいては、当然該当することはないと思われる。なぜならば、法第23条第4項第1号は、委託の方向と法定個人情報の流れが同一の場合のみ(お金が流れる方向と法定個人情報が流れる方向が同一の場合のみ)規定しているとしか読めないからである。委託に基づいて個人情報を提供するのは(お金が流れる方向と法定個人情報が流れる方向が逆の場合は)消費者からみれば個人情報の販売であり、最も認めがたい(最も本人の同意が必要とされる)形態であり、それが「第三者に該当」しないとして認められることは絶対にないものと消費者としては信じたい(ポイント制度の場合は全体として加盟店がサービス事業者にポイントの運用を委託しているので、委託金額の減額という形になるものの、購入情報に限れば、ポイント購入料金の減額という形で氏名、住所等が加盟店からサービス事業者に販売されていると考えられる)。
◆B.加盟店において購入等を行った場合の加盟店→サービス事業者の流れの事実認識について
「B.加盟店において購入等を行った場合の加盟店→サービス事業者の個人情報の流れ」については、サービス事業者の良くあるご質問への回答によると、T会員番号、日時、店名、金額、ポイント数、商品コードである。武田先生の報告でも、JIPDECによりこのことは確認されている。サービス事業者規約の表現では、
- ポイントプログラム参加企業における利用の履歴(以下「購入品情報」という。)<日時、店名、金額、ポイント数、商品コード>
- サービスご利用内容(以下「購入サービス情報」という。)<日時、店名、金額、ポイント数、商品コード>
- ポイントの付与又は使用等に関する情報(以下「ポイント情報」という。)<ポイント数>
- その他の記述または個人別に付与された番号・記号その他の符号(以下「T番号」という。)<T会員番号>
が加盟店からサービス事業者に渡されているものと思われる(商品コードという名前であっても、サービスも含まれていると想定しているが、そうではない可能性もある。)。
●用語の定義
「購入品情報」及び「購入サービス情報」を合わせて、「購入情報」と総称する。
「購入情報」、「ポイント情報」及び「T番号」を合わせて、「連結可能匿名化情報」と総称する。これは、「購入情報」、「ポイント情報」及び「T番号」のみでは誰の情報か特定できないものの、サービス事業者及び加盟店が保有する他の情報と組み合わせれば誰の情報かを特定できるためである。
第二に、法定個人情報だとすると、その提供について、加盟店が本人同意を取得するか、法第23条第4項第3号に基づいて、加盟店が共同利用する旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の名称について、あらかじめ、本人が容易に知り得る状態に置いていなければならないが、加盟店はサービス事業者と共同利用する旨を本人が容易に知りえる状態に置いているのみで、共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の名称につちえは本人が容易に知りえる状態に置いていないからである(もしかしたら、この認識が間違っていて、サービス事業者規約を引用していれば、それでたりるということかもしれない。その場合は、鈴木先生の指摘のように、共同利用に基づいて法定個人情報としての連結可能匿名化情報が加盟店からサービス事業者に提供されることになる。しかしながら、前述の第一の理由から、そうした認識をサービス事事業者が持っている可能性は低いと思われる)。このように、加盟店保有連結可能匿名化情報は法定個人情報ではないので、加盟店が連結可能匿名化情報をサービス提供事業者に提供することは、法第23条第1項に規定される提供にあたらず、個人情報保護法の規制を受けない。
●加盟店・サービス事業者による個人情報保護法上の建付けについての考察
サービス事業者規約には、『会員がポイントサービスの利用のためにポイントプログラム参加企業においてT-IDを入力又はTカードを提示した場合、当社とポイントプログラム参加企業との間において当該会員の個人情報が相互に提供されることについて、当該会員は同意したとみなされることとさせていただきます。かかる個人情報の提供にご同意いただけない場合には、ポイントプログラム参加企業におけるポイントサービス(ポイントの付与及び使用を含みます)をご利用いただくことはできません』と記載されており、規約上は加盟店及びサービス事業者は連結可能匿名化情報を法定個人情報と認識している、又は法定個人情報とみなされる可能性を踏まえて規約を作成していると考えられるものの、現時点ではサービス事業者は「連結可能匿名化情報」を法定個人情報ではないとしている(法定個人情報ではないと言っている)というのが私の認識である。例えば、サービス事業者の良くあるご質問への回答には、『T会員規約に基づき、Tポイント提携企業の店舗でTカードを提示してお買いものをされた情報は、当社へ提供されます。その際に提供される情報は、T会員番号、日時、店名、金額、ポイント数、商品コードとなり、お客さま個人を特定できる情報は含まれていません。』と記載されている。個人を特定できる情報が含まれていないと記載しているということは、法定個人情報ではないということである。加盟店とサービス事業者を結ぶネットワーク上を流れている「連結可能匿名化情報」については、この認識は間違ってもいないと考えられる。一方で、サービス事業者が受け取った後の連結可能匿名化情報(以下「サービス事業者保有連結可能匿名化情報」という。)は、サービス事業者規約に個人情報と記載されているため、法定個人情報とサービス事業者は認識しているものと考えられる(ただし前述の良くあるご質問への回答では、『お客さまの個人情報を購買履歴や利用履歴と分けて、厳重に管理を行っています。』としており、法定個人情報ではないと説明を行っており、矛盾が生じている。正確に解釈しようとすると、現時点でのサービス事業者の業務内容、業務体制のもとでは購入情報は法定個人情報ではないが、業務内容、業務体制を変更すれば法定個人情報となり、その可能性も含めてサービス事業者規約は作成されているものと考えられる。)。もっとも微妙なのは、加盟店が保有している「連結可能匿名化情報」(以下、「加盟店保有連結可能匿名化情報」という。)であり、加盟店及びサービス提供事業者はこれを法定個人情報ではないと考えていると想像される。
その理由の第一は、前述したように「A.会員登録申し込み時の加盟店→サービス事業者の個人情報の流れ」において氏名、住所等の法定個人情報をサービス事業者が直接取得するとしていることにある。これは、暗に、ポイント事業に関しては、加盟店は、氏名、住所等を保有していないことを意味している。クレジットカード事業のために氏名、住所等を保有していたとしても、それは用途が異なるため、システムや担当者を十分に分け、職務分掌やアクセス権の管理を行っていれば、経済産業省のガイドラインに基づけば、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」にはあたらないと考えられる。クレジットカード事業等のために氏名、住所等が必要ない場合には、氏名、住所等を加盟店は保有していない場合もあると考えられる。その場合は、明らかに個人を識別することはできず、法定個人情報には当たらない。第二に、法定個人情報だとすると、その提供について、加盟店が本人同意を取得するか、法第23条第4項第3号に基づいて、加盟店が共同利用する旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の名称について、あらかじめ、本人が容易に知り得る状態に置いていなければならないが、加盟店はサービス事業者と共同利用する旨を本人が容易に知りえる状態に置いているのみで、共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の名称につちえは本人が容易に知りえる状態に置いていないからである(もしかしたら、この認識が間違っていて、サービス事業者規約を引用していれば、それでたりるということかもしれない。その場合は、鈴木先生の指摘のように、共同利用に基づいて法定個人情報としての連結可能匿名化情報が加盟店からサービス事業者に提供されることになる。しかしながら、前述の第一の理由から、そうした認識をサービス事事業者が持っている可能性は低いと思われる)。このように、加盟店保有連結可能匿名化情報は法定個人情報ではないので、加盟店が連結可能匿名化情報をサービス提供事業者に提供することは、法第23条第1項に規定される提供にあたらず、個人情報保護法の規制を受けない。
以上が、加盟店及びサービス事業者の建付けであると想像する。
●第3者提供の有無についての考察
●第3者提供の有無についての考察
連結可能匿名化情報の加盟店からサービス事業者への提供が法第23条第1項に規定される提供にあたるか否かについては、十分な判断材料を私は有していない。しかしながら、提供にあたるとした方が紳士的であることは間違いないだろう。提供にあたらないとした場合、明らかに法の規定を回避しようという意図が感じられるからである。
また、以下のようにも考えられる。連結可能匿名化情報を連結することができない者に提供する場合は確かに法第23条第1項に規定される提供にあたらないとしてもよいかもしれない。しかしながら、連結することができる者に提供する場合、特に連結できることを知っている場合は、法第23条第1項に規定される提供にあたると解するのが相当ではないかと思われる。それは、実質的な法定個人情報の提供に他ならないからである。
●委託構成についての考察
鈴木先生が指摘するように、実態としてサービス事業者は法定個人情報の取得を加盟店に委託していることは間違いないと考えられる。T番号及びポイント情報はポイントプログラムの実施に必要な情報であり、加盟店がサービス事業者にその取扱いを委託していると考えられる。一方で、購入情報はポイントプログラムに必須の情報ではなく、サービス事業者が加盟店にその提供を委託しているものと考えられる。
個人情報保護法における委託に該当するかどうかについては、第3者提供にあたらないのであれば、そもそも委託構成について検討する必要はないので、ここでは法第23条第1項に規定される提供にあたるとして考えてみたい。結論としては、下記に記すように私にはよくわからない。共同利用方式の代わりに委託構成にするということが法第23条第4項第1号に該当するということであれば、否定的である。
△法第22条への該当性
法第22条に規定される「個人データの取扱いの全部又は一部を委託する場合」 に該当するのか否かは、私には判断する根拠がわからない。素直に言葉どおりに読むならば、取り扱いを委託しているというよりも、提供を委託しているのであるから、法第22条にはあたらないように思える。
法第22条に規定される「個人データの取扱いの全部又は一部を委託する場合」 に該当するのか否かは、私には判断する根拠がわからない。素直に言葉どおりに読むならば、取り扱いを委託しているというよりも、提供を委託しているのであるから、法第22条にはあたらないように思える。
△法第23条第4項第1号への該当性
法第23条第4項第1号への該当性については、該当することはないと考えられる。なぜならば、前述したように、法第23条第4項第1号は、委託の方向と法定個人情報の流れが同一の場合のみ(お金が流れる方向と法定個人情報が流れる方向が同一の場合のみ)規定しているとしか読めないからである。委託に基づいて個人情報を提供するのは(お金が流れる方向と法定個人情報が流れる方向が逆の場合は)消費者からみれば個人情報の販売であり、最も認めがたい(最も本人の同意が必要とされる)形態であり、それが「第三者に該当」しないとして認められることは絶対にないものと消費者としては信じたい(ポイント制度の場合は全体として加盟店がサービス事業者にポイントの運用を委託しているので、委託金額の減額という形になるものの、購入情報に限れば、ポイント購入料金の減額という形で購入情報が加盟店からサービス事業者に販売されていると考えられる)。◆C.サービス事業者→加盟店の個人情報の流れの事実認識について
「C.サービス事業者→加盟店の個人情報の流れ」については、高木先生による『Tポイントは本当は何をやっているのか』が非常に詳しい。本稿の文脈で必要なことを抽出すると、サービス事業者の主張としては、「履歴は統計的にしか使っていないし、B社の情報はB社に提供しているだけだ」とのことなので、現状では第3者への法定個人情報の提供は行われていない。また、「POSクーポンの発券システムは、収集した情報を弊社で一元的に管理しており、弊社から各加盟店企業に提供するわけではなく、POSの発券システムに情報を組み込ませているだけであるので、一方のアライアンス加盟店の情報を他方のアライアンス加盟店に提供することはしていない」とのことなので、第3者への法定個人情報の提供は行われていない。良くあるご質問への回答でも『お客さまの個人情報や購買履歴を一般企業はもちろんのこと、Tポイント提携企業であっても相互に提供することはありません。』としている。
一方、営業資料によると、DBターゲティングメールにおいては、電子メールアドレスが提供されるように思われる。これは、法定個人情報の提供にあたる場合もあるかもしれないが、一般的なメールアドレスであれば、ガイドラインでは法定個人情報にはあたらないとされている。TSUTAYAの購入情報に限定すれば、DB WATCHにおいて第3者提供が行われているようである。ただし、何の情報が開示されているかは記載されておらず、特定の個人を識別できる情報は含まれていない可能性もある。このように、現在明らかとなっている情報からは、加盟店への法定個人情報の提供が行われているという確たる証拠はない。サービス事業者の主張を信じればサービス事業者→加盟店の法定個人情報の提供はなく、信じなければあるかもしれないということになる。
●加盟店・サービス事業者による個人情報保護法上の建付けについての考察
サービス事業者規約においては、加盟店と共同利用するとしており、法第23条第4項第3号に基づき、加盟店への法定個人情報の提供は可能とサービス事業者及び加盟店は認識していると想像される。これは、現在は行っていないとしても、将来行う可能性があることから、その際に本人の同意を再取得しなくても加盟店への法定個人情報の提供が可能となるように規定しているものと想像される。
なお、サービス事業者規定には、『会員がポイントサービスの利用のためにポイントプログラム参加企業においてT-IDを入力又はTカードを提示した場合、当社とポイントプログラム参加企業との間において当該会員の個人情報が相互に提供されることについて、当該会員は同意したとみなされることとさせていただきます。かかる個人情報の提供にご同意いただけない場合には、ポイントプログラム参加企業におけるポイントサービス(ポイントの付与及び使用を含みます)をご利用いただくことはできません』との規定があるが、これは、A加盟店からサービス事業者が受け取った法定個人情報をB加盟店に提供できるとの規定ではなく、あくまでA加盟店とサービス事業者間の法定個人情報の相互提供について規定しようとしているものと想像される。
一方共同利用の規定は、A加盟店から提供をうけ法定個人情報となった情報をB加盟店に提供することを可能にするために規定しているものと想像される。
●委託構成についての考察
加盟店がサービス事業者から法定個人情報を入手するのは、加盟店にとって有用な(マーケティングターゲットとして有望な)個人の取捨選択と当該個人の法定個人情報の提供を加盟店がサービス事業者に委託しているものと考えられる。
△法第22条への該当性
法第22条に規定される「個人データの取扱いの全部又は一部を委託する場合」 に該当するのかは、私には判断する根拠がわからない。素直に言葉どおりに読むならば、取り扱いを委託しているというよりも、提供を委託しているのであるから、法第22条にはあたらないように思える。
△法第23条第4項第1号への該当性
法第23条第4項第1号への該当性については、該当することはないと考えられる。なぜならば、前述したように、法第23条第4項第1号は、委託の方向と法定個人情報の流れが同一の場合のみ(お金が流れる方向と法定個人情報が流れる方向が同一の場合のみ)規定しているとしか読めないからである。委託に基づいて個人情報を提供するのは(お金が流れる方向と法定個人情報が流れる方向が逆の場合は)消費者からみれば個人情報の販売であり、最も認めがたい(最も本人の同意が必要とされる)形態であり、それが「第三者に該当」しないとして認められることは絶対にないものと消費者としては信じたい。
■まとめと感想
鈴木先生は、『CCCの共同利用はCCCと加盟店の双方向の個人データの提供を包括的に適法化するための方便として経産省ガイドライン上の文言から形式的に導いた手法』と指摘しているが、本稿で述べたように、加盟店→ポイントサービス事業者の個人情報の流れについては、共同利用以外の方法で法の趣旨を僭脱しており、共同利用方式を用いるまでもなく本人同意が不要な状況となっているというのが私の認識である。共同利用方式の是非(違法性の検討)の前に、連結可能匿名化情報による法第23条第1項の回避、書面の宛名を変更・追加することによる法第23条第1項の回避の適法性についての検討の方が、より法を回避する意図が明らかという面では優先順位が先ではないだろうか(影響の大きさという面では確かに加盟店を自由に増加できる方が懸念が大きいが)。また、違法性を指摘している法学者も寡聞にして知らない。ガイドラインではこの点についてほとんど明確となっておらず、その点では、各主務大臣は法第8条に規定する『国は、(中略)事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定(中略)措置を講ずるものとする』との義務を満たしていない違法状態にあるのではないだろうか(訓示的な意味しかないといえばないのではあろうが)。個人情報保護法の範囲内においてすら、何年も前から連結可能匿名化の議論を深めておく必要が、抽象的な意味だけでなく、ポイント制度という具体例が存在するレベルにおいてそうだったのではないだろうか。
委託構成での規約の可能性については、法解釈としてどうあるべきかはよくわからないものの、素朴な消費者感情としては、何としても避けてもらいたいと思う。なぜならば、個人情報の実質的な販売が委託として認められそうな感じがするからである。これが大いなる誤解であれば、ありがたい。
0 件のコメント:
コメントを投稿