レンタルビデオのツタヤ(TSUTAYA)や武雄市などのツタヤ図書館を運営し、約5000万人の会員のTポイント制度を運営するカルチュア・コンビニエンス・クラブ(CCC)が、この度、プライバシーマーク(Pマーク)を返納していたことが明らかとなり、大きな話題となっています。
・CCC(ツタヤ)がプライバシーマーク返上で日本中のプライバシーフリークが騒然の事態(山本一郎氏)
・【速報】TカードのツタヤCCCがプライバシーマークを返納!個人情報は?海老名図書館はどうなる?|togetter
■追記(2015年11月25日)
CCCの規約改正を受けて、新生銀行もTポイントに係る規約の改正を行う旨のプレスリリースを発表しました。それに関するブログ記事を書きました。
・TポイントのCCC(ツタヤ)のPマーク返上・利用規約改正と新生銀行・海老名市ツタヤ図書館
また、うえの記事で引用されているCCCの「【Tカードサポートセンター】ご質問への回答」にあるとおり、現在、CCCサイトに、利用規約の新旧対照表が掲載されていますが、それをみると、CCCは日本情報経済社会推進協会(JIPDEC)のプライバシーマークだけでなく、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」や、JIPDECの「情報セキュリティマネジメントシステム(ISMS)」に準拠することを止めることを明らかにしていることがわかります。
・CCCの利用規約の新旧対照表(PDF)|CCCサイト
しかし、約5000万人もの会員の個人情報を扱い、その巨大なデータベースをリソースとして各種の「ライフスタイル提案」を行う企業が、事業の中枢部分である個人情報保護についてレベルダウンすることが許されるのでしょうか?
2.経産省などの個人情報保護のガイドライン
まず、そもそも経済産業省の個人情報に関するガイドラインなど各官庁の個人情報保護に関するガイドラインは、個人情報保護法7条、8条および36条などに基づいて各官庁により規定されているものです。
事業者の講じるべき具体的内容は、属する業界によって多様なので、各事業分野の所管の主務大臣が指針としてのガイドラインを示すことによって、事業者を支援することとされています(宇賀克也『個人情報保護法の逐条解説[第3版]』79頁)。
CCCが従来の利用規約で、「経産省のガイドラインを取り入れ情報セキュリティの安全対策を講じます」としていた一行をカットしたのは、「当社は法律を守るのをやめます」と宣言しているにも近しい状況であり、個人情報保護の観点からも、コンプライアンスの観点からも非常に異常であると感じます。
3.プライバシーマーク
また、プライバシーマークも、民間企業が、自社が個人情報保護に真面目に取り組んでいることを社内外に示す指標であり、多くの企業が取得しています。
たとえば、うえの宇賀『個人情報保護法の逐条解説[第3版]』114頁においては、個人情報(個人データ)を事業者が委託する際に、再委託先を「プライバシーマークを取得している企業に限定する等」の委託先の安全管理措置を行うべきである等と、安全な企業の具体例として示されています。(委託先の安全管理措置については後述。)
プライバシーマークのサイトをみると、1995年に出されたEUデータ保護指令を受け、当時の通産省がガイドラインを策定し、第三者機関(日本情報経済社会推進協会:JIPDEC)が事業者がそれに適合していると判断した場合に付与したのがプライバシーマーク制度の始まりであるとされています。また、JIPDECは個人情報保護法37条により経産省および総務省より認定個人情報保護団体の認定を受けた組織です。
・プライバシーマーク制度|JIPDEC
この点も、5000万件もの個人情報のやり取りをコアな業務として行っているCCCが、従来取得していたプライバシーマークを返上したというのは非常に危険なものを感じます。
4.個人情報保護法上の安全管理措置
(1)個人情報保護法20条(安全管理措置)
個人情報保護法20条は、事業者は取り扱う個人情報(個人データ)の漏えいなどの防止のために安全管理措置を講じなければならないと規定しています。
そして、経産省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の、たとえば27ページは、同20条の解説部分で、「【組織的安全管理措置として講じなければならない事項】」のひとつとして、「④個人データの安全管理措置の評価、見直し及び改善」と規定しています。
つまり、経産省のガイドラインは個人情報保護に関して「改善」を求めているのであって、レベルダウンをしてよいという趣旨は経産省のガイドラインからはうかがわれません。
(2)個人情報保護法22条(委託先の監督)
また、CCCはファミリーマート、ヤフージャパン、エネオス、マルエツ、ガスト、洋服の青山、ドラッグイレブン、新生銀行、スルガ銀行、ジャパンネット銀行など、さまざまな業界の企業とTポイントで提携し、会員の個人情報の分析・管理を受託しています。
CCCやファミリーマート、新生銀行などのサイトの規約などをみると、CCCと新生銀行など提携企業における個人情報のやり取りの関係は、表向き、第三者提供(個人情報保護法23条)の関係にあるとされているようです。
しかし、それは、100を超える提携企業集団のまん中に、CCCを胴元とする生の個人データの集積された巨大なデータベースがあり、CCCがどの企業にどのようなデータを渡すかをコントロールしています。
つまり、CCCは、A社から受け取った個人データを分析し、分析結果をA社に返すだけでなく、Tポイントの会員番号をマスターキーとして、A社、B社、C社、D社の個人データを串刺しにして分析し、A社やB社などに分析結果を返しているのです(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』44頁、49頁)。
すなわち、それは、実質は限りなく個人情報のデータ分析などのための個人情報の委託(個人情報保護法22条)という形態に近いと思われます。
この点、個人情報保護法22条は、事業者が個人情報(個人データ)の取扱いを委託する際は、委託元は委託先の事業者においても安全管理措置が講じられるよう必要かつ適切な監督を行わなければならないと規定しています。
(3)経済産業省の個人情報に関するガイドライン
経産省の個人情報ガイドライン41頁以下は、事業者が委託先を選定する際のポイントをつぎのように規定しています。
「委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第20条で求められるものと同等であることを確認する」
つまり、ファミリーマートなどの委託元が例えばプライバシーマークを取得していたら、この時点でCCCは委託先としてNGなわけです。
そして、経産省ガイドラインは、法20条のレベルを確認するために、つぎのようにチェックすべきとしています。
「委託先の社内体制、規程等の確認、必要に応じて、実地検査等を行った上で、個人情報保護管理者(CPO)等が、適切に評価することが望ましい。
(ア)組織的安全管理措置
・ 個人データの安全管理措置を講じるための組織体制の整備
・ 個人データの安全管理措置を定める規程等の整備と規程等に従った運用
(略)」
(ア)組織的安全管理措置
・ 個人データの安全管理措置を講じるための組織体制の整備
・ 個人データの安全管理措置を定める規程等の整備と規程等に従った運用
(略)」
「個人データの安全管理措置を定める規程等の整備と規程等に従った運用」と一文がある以上、当然、ここでプライバシーマーク、情報セキュリティマネジメントシステム(ISMS)は取得されているかどうかがチェックされることになるでしょう。
さらに、経産省の個人情報ガイドラインは、つぎのように規定しています。
「③委託先における個人データ取扱状況の把握
委託先における委託された個人データの取扱状況を把握するためには、定期的に、監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、個人情報保護管理者(CPO)等が、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。」
委託先における委託された個人データの取扱状況を把握するためには、定期的に、監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、個人情報保護管理者(CPO)等が、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。」
つまり、ファミリーマートや新生銀行などの委託元企業は、委託先であるCCCに対して、定期的な監査を行い、委託契約に盛り込まれた内容の個人情報保護が実施されているかどうか調査をしなければなりません。
プライバシーマークなどをCCCが返納していること、CCCの規約が経産省の個人情報ガイドラインの準拠を止めていることなどを、ファミリーマートなどの委託元は調査の上で是正するよう監督しなければなりません。CCCが是正に応じないというのなら、委託契約を取りやめるなどの対応も必要でしょう。
(4)金融庁の個人情報保護に関するガイドライン
この点、金融庁の個人情報保護に関するガイドライン(「金融分野における個人情報保護に関するガイドライン」)も、委託先の選定にあたっては、あらかじめ「委託先選定の基準」を策定しなければならないとしています(12条3項)。
そして、安全管理措置について細目を定めた、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」の「5-2」はつぎのように規定しています。
「5-2 金融分野における個人情報取扱事業者は、5-3に基づき、委託契約後に委託先選定の基準に定める事項の委託先における遵守状況を定期的又は随時に確認するとともに、委託先が当該基準を満たしていない場合には、委託先が当該基準を満たすよう監督しなければならない。」
つまり、新生銀行やスルガ銀行などの委託元は、委託先であるCCCに対して、随時に確認を行わなければならず、もしCCCが自社の定める基準を満たしていない場合は、積極的に満たすよう監督をしなければならないのです。
このように金融庁の各ガイドラインは、一般の民間企業以上に、金融機関に対して、より積極的なを監督を義務づけています。
(5)厚生労働省の医療分野に関する個人情報保護のガイドライン
また、CCCに個人情報を委託している企業にはドラッグイレブンなど薬局も存在します。
厚労省の医療分野の個人情報に関するガイドラインは、委託元は委託先を「定期的に確認」し、「取扱いに疑義が生じた場合」は「受託者に対し、説明を求め、必要に応じ改善を求める」と厳しく規定しています(4.(3)②)。
厚労省的にもCCCのプライバシーマーク返上や規約変更等はNGなのではないかと思われます。
したがって、CCCが規約を改正し、個人情報保護などをレベルダウンさせたことは、CCC自身だけでなく、CCCを個人情報の取扱いの委託先とする多くの提携企業にとっても個人情報保護法に照らし、違法・不当な状態をもたらしています。
5.ツタヤ図書館に関して
また、CCCは武雄市や海老名市において公立図書館を指定管理者として運営しています。
自治体の条例上、CCCは指定管理者として守秘義務を負うとともに(「武雄市公の施設の指定管理者の指定の手続等に関する条例」12条)、市長などの実施機関は個人情報保護法20条の安全管理措置に類似した「適正管理」の義務を負い(武雄市個人情報保護条例11条)、また、委託先の監督に類似した「委託に伴う措置等」の規定も置かれています(同12条)。
武雄市や海老名市はCCCに対してツタヤ図書館の個人情報保護について問題がないかどうか確認するとともに、市議会もこの問題を追及すべきでしょう。
指定管理者に関する条例上も、地方自治法244条の2においても、自治体にはCCCに対して報告を求め、指導や実地調査を行い、業務の停止や指定管理者の指定を取消す権限があります。
6.その他のCCCの利用規約の改悪
なお、他にも、今回のCCCの利用規約の改正の新旧対照表を見ていて気になる点は複数あります。
まず、個人情報の「利用目的」のところで、「ライフスタイル提案のための会員情報分析」という箇所で、従来の規約は、「特定の個人を識別することができない状態に加工した上で分析などを行う」という一文を置いていたのを、新規約ではカットしてしまっています(4条3項3号)。
また、個人情報のCCCから他社への第三者提供の部分についても、従来の規約は、つぎの2つの規定を置いていました(4条5項2項)。
「また、実際に提供する際には、会員のプライバシー保護の観点から、氏名や住所など個人特定が容易にできる項目を置換・削除するなど、特定の個人を識別できない状態に加工をするものとし、利用目的や取扱注意義務を契約で限定した上で行います。ただし、この情報も個人情報と同等に取り扱います。」
「なお、各種サービスを提供するために、氏名、住所、電話番号、メールアドレスなどの個人を特定できる項目を提携先に提供する場合は、そのサービスのご利用手続き時等に、別途会員から同意をいただくものとします。」
ところが、この2つの規定も、新規約ではカットされてしまっています。
7.個人情報保護法の改正
改正個人情報保護法は本年9月に成立しました。ビッグデータの利活用による産業界の活性化が大きな柱です。
つまり、個人情報に匿名化の加工処理をして、できるだけ個人が特定される可能性を低減した情報を、「匿名加工情報」と定義し(改正個人情報保護法2条9項)、匿名加工情報とすれば、現行の個人情報保護法23条が義務付けている本人の同意(1項)やオプトアウト手続き(2項)などを経ることなく第三者提供をすることができると改正法はしました。
しかし、改正個人情報保護法は成立した本年9月から2年以内に施行予定とされているのみで、現在は、未だに現行の個人情報保護法や、経産省などの個人情報保護に関するガイドラインの適用を受けます。
もしCCCが改正個人情報保護法のビッグデータの利活用の趣旨を先取りして社内外で行動を起こしていたら、それは完全に違法です。
そもそも、改正個人情報保護法の、匿名加工情報の加工は、新設される個人情報保護委員会の定める基準に従わなければならない等の厳しい条件が課されています(改正個人情報保護法36条)。
また、改正法では、直接的な罰則(改正個人情報保護法83条)が新設され、そして、新設される個人情報保護委員会は立入検査などの強い権限(同40条、41条)が付与されることとなっています(日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』51頁)。
なにより、今回の法改正においても、個人情報保護法の目的を定める1条と、基本理念を定める3条には何ら変更はないのです。
個人情報保護法
第1条(目的)
この法律は…個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
第3条(基本理念)
個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。
第1条(目的)
この法律は…個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
第3条(基本理念)
個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。
個人情報保護法がビッグデータの利活用の方向で改正されたからといって、それによって、CCC、ヤフージャパン、新経済連盟などのコンプライアンス無視の企業運営が免責されるわけではありません。
いわんや、ビッグデータの有用性が大きいとしても、事業者の行動により、個人のプライバシー権・人格権(憲法13条)が踏みにじられることがあってはなりません。
■関連するブログ記事
・海老名市立中央“ツタヤ”図書館に行ってみた/#公設ツタヤ問題
・カルチュア・コンビニエンス・クラブ(CCC)の行動規範とコンプライアンス #公設ツタヤ問題
・Tサイト(CCC)から来た「アンケート」のメールが個人情報的にすごかった/利用目的の特定
・【解説】個人情報保護法の改正法案について
 |
 |
 |
 |
法律・法学 ブログランキングへ
にほんブログ村