前回の日記の続き。
あの後、パスモ社の担当者と何を話したかというと、同社の個人情報保護方針に反しているのではないかという点と、個人情報保護法に違反しているのではないかという点であった。
電話する前の時点では、「乗車履歴自体は個人情報ではない*1」という見解も出るかな*2と予想していたが、担当者は、前回の最後の部分で示したように、あっさりと個人情報だと認めたため、そこは論点にならなかった。
まず追求したのは、利用目的の明示。
個人情報保護法は、第18条で、個人情報を取得したときは速やかにその利用目的を本人に通知又は公表しなけれなばらないと定めており、その例外として、「あらかじめ利用目的を公表している場合を除き」としている。記名PASMOを作って利用を始めると、乗車履歴をパスモ社ほかに取得されることになるが、その乗車履歴が、このような形で利用されることについて、本人への通知や公表がなされているかという点。
駅で配布されている冊子「PASMOご利用案内」のp.12に、「PASMO履歴照会サービス」がある旨が書かれているので、そういうサービスの用に供するという利用目的はいちおう公表されていると言えるが、しかし、誰に乗車履歴を見せるものか(第三者にも見せるものか)ということは、冊子に書かれていない。(この点は、次の論点に続く。)
次に追求したのは、第三者提供の有無。
個人情報保護法は、第23条で、基本的に、あらかじめ本人の同意を得ないで個人データを第三者に提供してはならないと定めており、その例外として、同条第2項で、オプトアウトできるようにしているならば、そのことを事前に本人に通知するか、本人が容易に知り得る状態に置いているなら、本人の同意なく第三者提供してもよいとしている。
今回の場合、あれは第三者提供なのか。直感的に見れば、まさか第三者提供ではあるまいと普通は思うところだが、「マイページ停止センター」なるもの(要するにオプトアウト手段)が発足当初から用意されており、電話で尋ねてみても、第三者が閲覧することがあることを承知で、しかもそれを当然のものとして事業を継続していることから、故意による(意図した)第三者提供に当たるのではないかと、私は問いかけた。
それに対し、担当者は、当初は渋っていたものの、最終的に「第三者提供という方に倒れる」と認めた。なぜそうなるかというと、この「PASMO履歴照会サービス」は、本人以外によるアカウント作成を利用規約でも禁止していないからである。つまり、本人以外が使うことを想定したそういう仕様のサービスであるとみなせるのではないか。
ただ、「マイページ利用規約」は、第5条で「当社は、第1号及び第2号の確認*3をすることにより、当該手続きを行った者を当該記名PASMOの使用者とみなし、承認手続きを行う。」と規定していることから、さすがにその解釈も無理があるのではとも言える。
次は、安全管理措置義務。
個人情報保護法は、第20条で、取り扱う個人データの漏洩防止ほかの安全管理に必要かつ適切な措置を講じなければならないと定めている。
もし、今回の件が第三者提供ではないとするなら、事実上、第三者にも提供している現状は、安全管理措置義務違反ということになる。一方、第三者提供とするならば、安全管理措置義務違反ではないということになる。
電話で、「他人が使えるのはそういうサービスなんだと言えば、第三者提供になり、そうじゃなく本人しか使えないようにしているつもりだと言うんであれば、安全管理措置義務違反ということになる。どっちですか?」と尋ねたところ、担当者は「第三者提供という方に倒れるのかなと理解しますが」と答えた。
ちなみに、パスモ社の個人情報保護方針では、「第4条 当社は、法令等に基づく場合を除き、事前に本人の同意を得ることなく、個人情報を第三者に提供しません。」とだけ規定している(個人情報保護法23条2項に相当するものがない)ので、自社の個人情報保護方針には反していることになる。ただ、これは単に個人情報保護方針の出来がいい加減なだけ*4で、改正される余地があるのかもしれない。
上でも述べたように、第三者提供は直ちには違法ではない。オプトアウト手段を用意して、そのことを事前に本人に通知するか、本人が容易に知り得る状態に置いているならばである。「PASMO履歴照会サービス」の現状は、「事前に本人に通知」はしておらず、あとは、「本人が容易に知り得る状態に置いている」と言えるかどうかにかかってくる。
この点について検討すると、パンフレットやWebサイトに「マイページ停止センター」が存在することの記述はあるものの、それが第三者提供の停止手段であるとまでは説明されていないので、違法状態であると考えられる。
この違法状態をどう解消するかと尋ねたところ、担当者は、「やはり告知しかないでしょうね」と答えた。
つまり、パスモ社が今回の件を「告知」で解決するのであれば、これは、パスモ社による乗車履歴の第三者提供であるということが公式に確定することになる。
となると、どういうことになるか。
PASMO番号と氏名生年月日を知り得ている第三者が乗車履歴を閲覧してよいというのであれば、前回の日記で例として出てきた「タイムズクラブ」のように、鉄道事業者以外でPASMO番号を集めている事業者らは、乗車履歴を取得してよいことになってしまう。
これは、近ごろ流行の「ビッグデータ」、つまり、インターネットに散在する非構造化データを収集して「ビッグデータ」として自社の経営最適化のために活用するという、最近の風潮にとって、おあつらえ向きではないか。*5
そんなばかな!と思われるかもしれないが、実際、最近のビッグデータの宣伝記事を見ていると、「SNSなどインターネットに散在する非構造化データを集めて」といった類いの記述を散見するわけで、そこでは、よそのサービスから情報を集めて活用することが謳われている。
具体例としてKDDIのケースを挙げる。
同社では既存の顧客データやソーシャルメディア上のテキストデータを基に、顧客1人1人の趣味・嗜好や、クチコミのつながり、購買までの経験価値などを分析。着メロなどオンライン販売商品の開発やプロモーション、解約の抑止などに生かしている。*6(略)
これにより、各顧客の趣味・嗜好を精緻に把握するとともに、インターネット上における顧客のネットワークも分析。自社のプロモーションに影響を与え得る消費者コミュニティを特定し、さらに“クチコミが伝播するプロセス”も分析して、コミュニティの中心的な存在である「リーダー」、他の消費者に影響を与える「インフルエンサー」、仲間の行動を後追いする「フォロワー」など、インターネット上における顧客の“役割”を把握。顧客1人1人に適切なアプローチを施すことで、良好な関係の維持や効率的な拡販、連鎖的な解約の防止などを実現しているという。
さらに、Web 上の顧客の行動データを収集し、既存の顧客データや購買データなどと統合して分析できる製品も活用。顧客の関心事や、製品・サービスに対する期待、購買までのプロセスなどをきめ細かく分析することで、あるべき顧客体験価値を把握し、マーケティング活動の立案に生かしている。(略)
昨今、消費者のプロファイルやソーシャルメディア上のテキストデータから消費者の行動を分析し、消費行動パターンを予測して次のマーケティングアクションにつなげる“コンテキスト志向コンピューティング”が注目されている。KDDIの事例はまさしくこれに当てはまるものだが、(略)
「PASMO履歴照会サービス」が乗車履歴の第三者提供ということになれば、このビッグデータに乗り遅れまいとする様々な業種の事業者達が、こぞって乗車履歴の収集に手を出すのではないか。ビッグデータ事業者お得意のWebスクレイパーボットを使うことで、自動的に「PASMO履歴照会サービス」から乗車履歴を収集することができるだろう。
そのような収集は適法なのかという論点はあろう。個人情報保護法は、第17条で、偽りその他不正の手段により個人情報を取得してはならないと定めている。しかし、他人のPASMOの履歴を閲覧するのは「不正アクセス行為」かというと、そうではない。
「PASMO履歴照会サービス」で、他人のPASMOのIDiを入力してアカウントを取得した場合、そのアカウントの利用権者はそのアカウントを作成した人(カードの利用者というわけではない)であり、自分で作ったアカウントにログインするのは不正アクセス禁止法違反に当たらない。他人のPASMOのIDiを入力することも同法違反でない。なぜなら、PASMOのIDiは同法の「識別符号」に該当しないからである。
他人のPASMOでアカウントを作ること自体が何かの法に触れるかというと、利用規約違反なら触れるかもしれないが、利用規約で禁止されていないし、今は、「PASMO履歴照会サービス」が乗車履歴の第三者提供ということになればという仮定の下での話であるので、合法である。*7
いやいやいやいや、そんなことが許されていいのか?
たしかに、個人情報保護法では、オプトアウト手段を用意して、そのことを本人が容易に知り得る状態に置いているならば、無断で第三者提供できるとされている。それが嫌ならそういうサービスを使わなければいいという趣旨だろう。
しかし、記名PASMOというのは、首都圏の私鉄を通勤通学に使用する人にとって、定期券として作らざるを得ない、避けて通れないものである。そのような、社会の重要インフラである鉄道において、その乗車履歴の第三者提供がオプトアウト方式で許されるというのは、著しく社会常識に反するのではないか。
同様のことは、電気通信事業者における通信履歴についても言える。個人情報保護法では、一般論として、オプトアウト方式で個人情報の第三者提供ができるとされているが、個人情報の内容が通信履歴に当たる場合には、電気通信事業における個人情報保護に関するガイドラインがそれをオーバーライドする形で、本人同意なしの第三者提供を禁じている*8。同様に、電気通信事業に係る位置情報についても、このガイドラインで本人同意なしの第三者提供を禁じている。
ならば、公共交通機関における乗車履歴はどうなのか。
国土交通省告示の「国土交通省所管分野における個人情報保護に関するガイドライン」を読んでみたが、乗車履歴に関する特記事項は見当たらない。
これでいいのか? というのが私の言いたいことだ。
電気通信における「通信の秘密」の歴史は古くて長いのに対し、交通機関における「乗車履歴」なるものは、そもそも事業者側で記録されるようになったのは、Suicaが登場して以降の最近のことであり、「公共交通機関における乗車履歴の秘密は保護されるべきもの」とする社会通念が認知されていないのではないか。国土交通省のガイドラインにこれが記載されていないのは意外だった。
なんとなくの常識感で言えば、乗車履歴が本人同意なしに他社と共有されるなどというのは、あり得ない話と思っていたが、今日の「ビッグデータに乗り遅れるな」の流れの中では、そういうぼんやりした常識はいつの間にか通用しなくなる虞れがある。
やはり、国土交通省所管分野における個人情報保護に関するガイドラインで、公共交通機関における乗車履歴は、(電気通信事業における通信履歴と同様に)本人同意なしでの第三者提供を禁じるべきだと思う。
そうしなければ、やがて、乗車履歴のデータエクスチェンジなどといった話も出てきかねないだろう。(データエクスチェンジについてまた機会を改めて。)
*1 2011年11月6日の日記の図3参照。
*2 記名PASMOでは、氏名と生年月日に紐付けて乗車履歴が記録、管理されるので、パスモ社にとってそれは個人情報保護法の言う個人情報であることは間違いないが、そこから乗車履歴だけを切り出したデータ(氏名、生年月日を含まない)について個人情報に当たるかというときに、当たらないと考える人もいそうなのが昨今の風潮である。今回の場合、法解釈論は別として実質的にみても、氏名と生年月日の入力に対してそれに対応する乗車履歴を返しているのだから(入力された氏名生年月日と共に返しているのと同等であるから)、個人情報として扱われるべきものである。
*3 第1号は、当該PASMOのカード番号が入力されることを指し、第2号は、当該PASMOに登録されている氏名、生年月日、電話番号が入力されることを指している。(正しく入力されたことを利用規約は「確認」と称している。)
*4 パスモ社サイトのフッタにある「セキュリティポリシー」のリンク先を見ると、「セキュリティポリシーを定め」るとだけ規定されたセキュリティポリシーが掲げられており、この会社が掲げる「ポリシー」はいい加減なものでしかないと類推される。
*5 例えば、コインパーキングの会社であれば、ポイントクラブ会員に対して、乗車履歴を取得し分析することによって、その人が必要としていそうな周辺の駐車場を案内することができるだろう。
*6 この件には電気通信事業法第4条違反ではないかとの疑いがあり、その疑いがはれていない点に注意。
*7 唯一の問題点として、現状の「PASMO履歴照会サービス」の実装では、既に登録済みのPASMOに対して、別の者(ビッグデータとして収集を企てた事業者)がアカウントを作成すると、登録済みだったアカウントが無効になる(ログインできなくなる)ことから、既存ユーザに対する妨害となりかねない点がある。しかし、これは単に、実装上のバグであって、本来は、同一のカードに対して複数のアカウントが作成可能なサービスのつもりとも考えられる。(利用規約は、そのようなサービスであっても矛盾しない内容となっている。)
*8 電気通信事業における個人情報保護に関するガイドラインは、第23条で、利用者の同意がある場合ほかを除いて、通信履歴を他人に提供しないものとしている。
2012/02/27 高木浩光@自宅の日記
http://takagi-hiromitsu.jp/diary/20120227.html
>電気通信における「通信の秘密」の歴史は古くて長いのに対し、交通機関における「乗車履歴」なるものは、そ
[パスモは乗車履歴を第三者提供? 他社のビッグデータに取り込まれる可能性] より 気になった点 [誰に乗車履歴を見せるものか(第三者にも見せるものか)ということは、冊子に書かれていない] 「第三者が閲覧することがあることを承知で、しかもそれを当然のものとして事…