つい先日、ある市民の方の問い合わせにより、Tポイントで5000万件の個人情報を扱うカルチュア・コンビニエンス・クラブ(CCC)がプライバシーマーク(Pマーク)を返上していることが明らかとなりました。
また同時に、CCCが利用規約を本年12月1日付で改正し、プライバシーマークの返上だけでなく、JIPDECの「情報セキュリティマネジメントシステム(ISMS)」に準拠することを止めることなどが明らかとなり、大きな話題となっています。
・T会員規約の新旧対照表(PDF)|CCCサイト
・CCC(ツタヤ)がプライバシーマーク返上で日本中のプライバシーフリークが騒然の事態(山本一郎氏)
・【速報】TカードのツタヤCCCがプライバシーマークを返納!個人情報は?海老名図書館はどうなる?|togetter
■以前のブログ記事
・Tポイントのツタヤ(CCC)がプライバシーマークを返上/個人情報保護法の安全管理措置
そうしたところ、TポイントでCCCと業務提携している新生銀行が、11月20日付でプレスリリースをウェブサイトで発表しました。
・「Tポイントサービスに関する個人情報の提供先における利用目的の変更について」|新生銀行
それによると、CCCの利用規約改正を受けて、新生銀行のTポイントプレゼントプログラム・キャンペーンに関する「お客さまの個人情報の第三者提供について」も一部改正を行うとのことで、その新旧対照表が掲載されています。
・Tポイントプレゼントプログラム・キャンペーンに関する「お客さまの個人情報の第三者提供について」変更(2015年12月1日適用)に係る新旧対照表(PDF)|新生銀行
2.顧客の統計情報の分析
新生銀行がプレスリリースで発表した「お客さまの個人情報の第三者提供について」の新旧対照表をみると、CCCの利用規約の改正と歩調を合わせる形で、「利用目的」の箇所の、「ライフスタイル提案のための会員情報分析」の部分において、現行の規定は、「特定の個人を識別できない状態に加工した上で、分析を行う」という文言を置いているところを、この文言を削除していることがわかります(「利用目的」3号)。
(新生銀行のTポイントに関する「お客さまの個人情報の第三者提供について」の新旧対照表より)
しかしこれは妥当なのでしょうか?
「ライフスタイル提案のための会員情報分析」とは、もったいぶってカタカナの造語を使っていますが、要するに、統計情報・統計資料として分析し、会社の業務等の向上をするということだと思われます。
この点、経済産業省の個人情報保護に関するガイドラインは、2-1-1.「個人情報」(法第2条第1項関連)で、「【個人情報に該当しない事例】」として、「事例3)特定の個人を識別することができない統計情報」を挙げています。
つまり、民間企業などの事業者は、特定の個人を識別できないような方法で分析を行う限りにおいて、統計情報の分析を行うことが、個人情報保護法2条1項により許されるのです。
そのため、統計情報の分析について解説したある情報システム企業のサイトは、『「利用目的に各種統計処理のためのデータとして利用します」と明示しておいて下さい。その上で、くれぐれも個人が識別されるような統計情報にしないで下さい。』と説明しています。
・[Q2-67-1]当団体の統計資料に使用する場合、利用目的として明示しなければならないでしょうか。|NECネクサソリューションズ
したがって、CCCが今回の利用規約の改正において、「ライフスタイル提案のための会員情報分析」の部分で、「特定の個人を識別できない状態に加工した上で、分析を行う」の文言をカットしたことは個人情報保護法2条1項に抵触するおそれがあります。
そして、今回の利用規約の改正を踏まえ、CCCが社内で顧客の個人情報の個人が識別できる状態のままで統計分析を行ったら、それは完全に個人情報保護法や経産省等のガイドライン違反です。
3.CCCと新生銀行など提携企業との関係
CCCや新生銀行などのサイトの規約などをみると、CCCと新生銀行など提携企業における個人情報のやり取りの関係は、表向き、第三者提供(個人情報保護法23条)の関係にあるとされているようです。
しかし、CCCのTポイントの提携企業は、CCCのサイトによると、主要企業だけでも100を超えるとされています。
そしてそれは、100を超える提携企業集団のまん中に、CCCを胴元とする生の個人データの集積された巨大なデータベースがあり、CCCがどの企業にどのようなデータを渡すかをコントロールしています。
つまり、CCCは、A社から受け取った個人データを分析し、分析結果をA社に返すだけでなく、Tポイントの会員番号をマスターキーとして、A社、B社、C社、D社の個人データを串刺しにして分析し、A社やB社などに分析結果を返しているのです(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』44頁、49頁)。
すなわち、新生銀行などの提携企業の規約は表向きは「第三者提供」という形をとりつつ、実質は限りなく個人情報のデータ分析などのための個人情報の委託(個人情報保護法22条)という形態に近いと思われます。
そこでここから先は、委託元の委託先への監督の問題についてふれたいと思います。
4.新生銀行の委託先の監督責任
個人情報保護法20条は、事業者は個人情報の漏えいなどを防止するために安全管理措置を取らなければならないと規定しています。
同時に、同法22条は、事業者は、個人情報の取扱いを委託する場合は、委託元の事業者は、その委託先において個人情報保護につき安全管理措置が図られるよう、必要かつ適切な監督を行わなければならないと規定しています。
この点、金融庁の個人情報保護に関するガイドライン(「金融分野における個人情報保護に関するガイドライン」)は、委託先の選定にあたっては、あらかじめ「委託先選定の基準」を策定しなければならないとしています(12条3項)。
そして、安全管理措置について詳細を定めた、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」の「5-2」は、委託先を「随時に確認」し、委託先が自行の基準を満たしていない場合には、「委託先が当該基準を満たすよう監督」しなければならないと厳しく規定しています。
このように、顧客の資産などを扱う金融機関は一般企業に比べてより高度な義務と責任を課せられています。
にもかかわらず、この利用規約の統計分析の部分だけでなく、CCCがプライバシーマークを返上したり、ISMSへの準拠をやめる等、さまざまな情報管理のレベルダウンを行っていることを、金融機関たる新生銀行が黙認しているようにみえるのは不可解です。
金融庁のガイドラインに従えば、新生銀行は監査でCCCの情報管理のレベルダウンに気が付いた時点で、随時、監督を行い、是正させなければならないはずです。
うえで挙げた金融庁の安全管理措置についての実務指針の「5-2」は義務規定であり、もし金融庁がこの規定に新生銀行が違反していると判断した場合、個人情報保護法34条および金融庁の個人情報に関するガイドライン24条により、新生銀行は「勧告」または「命令」を受けるリスクがあります。そしてもし新生銀行がこの命令にも反した場合は、罰則を受けることになります(個人情報保護法56条)。
このように今回のCCCの利用規約の改正などの情報管理のレベルダウンは、CCC自身だけでなく、提携先の多くの企業をも法的リスクに巻き込むことになります。
なお、CCCのサイトによると、新生銀行だけでなく、ジャパンネット銀行、スルガ銀行、琉球銀行もTポイントでCCCと提携しています。そのため、これらの銀行においても、うえでみた新生銀行と同様の問題が発生すると思われます。
5.薬局・ドラッグストアとCCC
CCCにTポイントで提携している企業にはドラッグイレブンなどの薬局も存在します。
厚労省の医療分野の個人情報に関するガイドラインはまず、「本ガイドラインの対象となる「医療・介護関係事業者」の範囲」で、薬局はこのガイドラインの対象に含まれるとしています(Ⅰ.3)。
そして、委託元は委託先を「定期的に確認」し、「取扱いに疑義が生じた場合」は「受託者に対し、説明を求め、必要に応じ改善を求める」と厳しく規定しています(4.(3)②)。
これは疾病や健康状態などがセンシティブ情報そのものなので、とりわけ厳格な取扱いが必要な個人情報であるためだと思われます(宇賀克也『個人情報保護法の逐条解説[第4版]』226頁)。
そのため、厚労省的にもCCCのプライバシーマーク返上や規約変更等について、CCCに対しても、また、提携する薬局に対しても、NGと考えるのではないかと思われます。
6.海老名市ツタヤ図書館とCCC
海老名市の条例上、CCCは指定管理者として秘密保持義務を負うとともに(「海老名市立図書館条例」20条)、市長などの実施機関は個人情報保護法20条の安全管理措置に類似した「適正な維持管理」の義務を負い(海老名市個人情報保護条例9条)、また、委託先の監督に類似した「委託に伴う措置等」の規定も置かれています(同11条)。さらに、受託者も「適正な維持管理」の義務を負うとの規定も置かれています(同12条)。
そのため、海老名市の市長などは、CCCに対して、ツタヤ図書館において情報管理が適正に行われているのか確認し、不備が見つかれば是正するよう指示・監督すべきです。
ところで、海老名市ツタヤ図書館について、従来より常にCCCとツタヤ図書館の弁護に必死な志野誠也・海老名市議は、今回のCCCのプライバシーマーク騒動について、ツイッターでつぎのように投稿しています。
『CCCのPマークの件についてです。私はPマークについて必要とするかどうかは企業の考え方だと考えます。あくまでも任意のもので法律上の定めがあるものではないからです。逆に言えば、指定管理者にPマークがあろうとなかろうと、市には行政が持つ個人情報保護条例があります。』
https://twitter.com/shinoseiya/status/668988913948602368
これは本気で言っているのでしょうか?
以前のブログ記事でもふれたとおり、プライバシーマークは1990年代にEUデータ保護指令を受け、当時の通産省がガイドラインを策定し、そのガイドラインを満たしている企業に対して第三者機関のJIPDECが付与制度を始めた、経産省肝いりの、なかば公的な制度です。JIPDECは経産省および総務省により個人情報保護法37条の認定を受けた、認定個人情報保護団体です。
また、志野市議の投稿の『私はPマークについて必要とするかどうかは企業の考え方だと考えます。あくまでも任意のもので法律上の定めがあるものではないからです。』という部分も、一般論としては間違っていないとしても、海老名市ツタヤ図書館を運営するCCCについて、これが本当に正しいのでしょうか?
うえであげた海老名市個人情報保護条例の「委託に伴う措置等」の11条2項は、「当該業務に係る協定において、個人情報の適正な取扱いについて指定管理者が講ずべき措置を明らかにしなければならない。」と規定しています。
この点、図書館の指定管理者の募集に使われた、海老名市教育委員会の平成25年7月付の「海老名市図書館指定管理者募集要項」21頁の「応募資格」の項目のひとつには、
『(7) 管理運営業務を担当する事業者が、プライバシーマーク使用許諾又はそれに類する個人情報保護に関する資格を所持していること。』
と明確に記載されています。
(『海老名市図書館指定管理者募集要項』の「応募資格」の部分)
・海老名市図書館指定管理者募集要項(PDF)|平成25年7月海老名市教育委員会
つまり、海老名市中央図書館の指定管理者となるには、「プライバシーマーク使用許諾又はそれに類する個人情報保護に関する資格」が応募の条件として必要だったわけです。
図書の貸出履歴というセンシティブな個人情報を扱うのですから当然です。
にもかかわらず、現在、CCCはプライバシーマークを返上し、また利用規約においては、従来は規定していた、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」や、JIPDECの「情報セキュリティマネジメントシステム(ISMS)」に準拠する旨の文章をも削除してしまっています。
つまり、CCCは海老名市が図書館の指定管理者の条件のひとつとして要求している、個人情報保護の条件を失効していることになります。
行政法的にいうと、公立図書館の指定管理者の指定は行政処分です(地方自治法244条の2第3項、鑓水三千男『図書館と法』73頁)。
成立当初は問題のなかった行政処分について、後発的事情の変化によって、その効力を存続させることができない新たな事由が発生したため、将来に向かってその行政処分の効力を失わせることを講学上「撤回」と呼びます(櫻井敬子・橋本博之『行政法[第4版]』102頁)。
この撤回は行政処分を行った処分庁が行うとされ、また、違法・不当な状況を適法・適切な状況にするための措置であるので、法律の明文規定がなくても撤回は可能とされています。しかし、指定管理者の指定の取消しに関しては、地方自治法や条例に根拠規定が存在します(地方自治法244条の2第11項、海老名市図書館条例14条)。
海老名市は、CCCに指示し、早急にプライバシーマークやそれに類する資格を取らせるか、あるいは、違法・不当な状態を是正すべく、地方自治法および条例に基づき、CCCの指定管理者の指定を取り消すべきです。
志野市議は、市民から付託を受けた政治家なのですから、少しは市政の業務に関して勉強をすべきでしょう。
7.おわりに
このように、CCCの「改革派・イノベーターの俺様こそがルールなのだ、法律やモラルなんかどうでもいい」と言わんばかりの不遜・傲慢な振る舞いは、提携している多くの民間企業だけでなく、自治体にも大迷惑を与えています。いわんや、消費者、国民・市民のことなど、CCCはまったく思いつきもしないのでしょう。
CCCが「カルチュア・インフラをつくっていく企業」を経営理念に掲げ、「ライフスタイル提案」事業を行うのは大いに結構ですが、まずは企業市民としてコンプライアンスを実践し、顧客・市民、取引先、業務提携先など各種のステークホルダーの声に耳を傾けることが、その大前提として必要です。
■参考文献
・宇賀克也『個人情報保護法の逐条解説[第4版]』226頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』44頁、49頁
・櫻井敬子・橋本博之『行政法[第4版]』102頁
・鑓水三千男『図書館と法』73頁
■関連するブログ記事
・Tポイントのツタヤ(CCC)がプライバシーマークを返上/個人情報保護法の安全管理措置
・カルチュア・コンビニエンス・クラブ(CCC)の行動規範とコンプライアンス #公設ツタヤ問題
・海老名市立中央"ツタヤ"図書館に行ってみた/#公設ツタヤ問題
 |
 |
 |
 |
 |
法律・法学 ブログランキングへ
にほんブログ村