驚きのニュースが舞い込んできた。CCCがプライバシーマーク(Pマーク)を返上したというのである。日経コンピュータの取材によれば、CCC社の「管理本部法務部リーダー」と、「経営戦略本部リスク・コンプライアンス統括部情報管理Leader」と、「経営戦略本部法務部会員基盤Leader」の3氏もそろってこれを認めているという。
CCC(ツタヤ)がプライバシーマーク返上で日本中のプライバシーフリークが騒然の事態(山本一郎) - Y!ニュース https://t.co/BKKhMTRyqX
— やまもといちろう (@kirik) 2015, 11月 19
書きました。後編は来週掲載です。/ なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか(前編) https://t.co/mJFLHTEnvK
— Naoki Asakawa / 浅川直輝 (@nasakawa) 2015, 11月 20
CCC社のPマークを巡っては、昨年の2月に有効期限が切れたまま更新手続き中となり、今年9月までその状態が続くという異常事態があった(スラドの記事「CCCのPマークが再び有効に、オプトアウト実装のため?」参照)が、このことについて、今回の日経コンピュータの記事によると、CCC社法務部は、「他の認定企業よりも遅れたのは確かですが、Pマーク認定団体と見解の違いがあったわけではなく、手続きの不備もありません。今回も、我々が自主的に返上したものです。」と答えているそうだが、それはどうだろうか。
時系列順に振り返るとこうだった。
T-CARDの個人情報提供先に No.77「株式会社Tメモ」が追加されました(2014/11/25付) http://t.co/YGnakEee0q
— Tカード個人情報提供先新着bot (@ccc_privacy_bot) 2014, 11月 25
JIPDECへの問い合わせで興味深いことが判明しました。
CCCのPマークは期限が切れておりますが現時点でも「更新審査の途上」とのことです。
また、JIS不適合に関しては当方の指摘通り「利用者の同意を得ていない状態」であり、CCCに改善を求めるとの回答でした。
— 書肆ふろすてぃ(古本屋/JN4IFD) (@Alice_fst) 2014, 11月 26
T-CARDの個人情報提供先の設定ページ、いつの間にか「今後、追加される提供先も含め、すべての提供先への個人情報提供を停止する」って項目が出来てるのな。けど「停止するときはチェックを外せ」という少々わかりづらい仕様w
— 星夜 輝 a.k.a イケダ/急速潜行中 (@hoshiyo) 2015, 8月 31
おぉ、Tポイントの個人情報のやつ、いつのまにやら「今後、追加される提供先も含め、すべての提供先への個人情報提供を停止する」チェックが出来ておる。今後はもうわざわざ確認する必要がないな。
— Arai Jun (@arai_j) 2015, 9月 1
Tポイントカードの個人情報提供停止手続きを久しぶりにやったら「今後、追加される提供先も含め、すべての提供先への個人情報提供を停止する」のチェック項目が追加されてた。しかし、括弧書きの内容をどう解釈すれば良いのか悩むぞ! pic.twitter.com/6Rsrmjfkxl
— \(^o^)/ (@Twin_GN_Drive) 2015, 11月 7
さて、以上のような経緯であるわけだが、私としては、この流れを傍観しながら、2014年8月のあたりから、CCCのことが気の毒に思えるようになっていった。
というのも、「共同利用」から「第三者提供」に切り替えたというのだけども、そもそもCCCは「第三者提供」をしていないはずだ(一部を除き)と思っていたし、それ以前でも「共同利用」もしていなかったはず(一部を除き)と思っていた。2012年9月の記事「Tカードは個人情報保護法違反に該当するのか?──津田大介の「メディアの現場」vol.44より」でも、鈴木正朝先生は「実際やっているかどうか、どこまでどのようにやっているかについては調査が必要なところですが、T会員規約(約款)上は、そうした権利をCCCが留保していて、いつでも行使できる状態になっていることを問題視しています。」と述べており、実際にはやっていないのではないか?としつつも、規約の規定ぶりに問題があると指摘されていたものだった。
Tポイントが何をやっているかについては、2012年9月23日の日記「Tポイントは本当は何をやっているのか」と、2013年6月27日の日記「Tポイントは何を改善しなかったか」で書いている。これが今も変わっていないのだとすると、やはり、第三者提供はしていない(一部を除き)と言うべきである。
当時、CCCの北村取締役がテレビに出るたび強調していたのは、「統計的に処理しているだけだ」「データの横流しはしない」というものだった(図1)。
そのような事業も行っていることはその通りなのだろう。その事業だけならば、加盟店からの委託によって、CCCがデータ収集と統計処理を受託しているという位置付けにすることができ、その場合は、第三者提供でもなければ共同利用でもない、ごく適法な事業だということになる。この場合の委託関係を図で表すと図2のようになる。
1つ目の絵は、個人データ処理の委託における委託元(委託者)と委託先(受託者)を模式化したもので、破線の矢印は委託する関係を表しており、実線の矢印は個人データの流れを表している。青が委託者で、EUデータ保護指令で言うところの「controller」(英国のData Protection Act 1998では「data controller」)、緑が受託者で、EUでは「processor」(英国では「data processor」)と呼ばれるものに当たる。
2つ目の絵は、Tポイントおける、図1で北村取締役が強調していた事業を、加盟店を data controller として、CCCを data processor として整理した場合の委託関係を表している。加盟店のコンビニやファミレスのチェーン本部は、CCCからTカード読み取り対応POS端末を借りるなどしてFC店に設置し、これにより、購買履歴データが直接 data processor であるCCCに送信され蓄積・管理される。加盟店のチェーン本部は、CCCが提供するASPサービスにアクセスすることにより、 自分のところのチェーンの売り上げデータを分析し、図1のテレビ画面でいうところの「マーケティング情報」(濃い青の丸印)を得ることになる。このとき、data processor は、複数の data controller から受託したデータを混ぜてはいけない(図では「個別DB」に格納するとしている*2)。図1のテレビ画面でいうところの灰色の「マーケティング情報」に赤いバツ印が付けられているのが、この「混ぜてはいけない」ということに対応している。
このような事業であれば、全く適法で、個人情報保護法もPマーク上も問題にはならない。
ところが、やっているのはそれだけじゃないだろ!というのが、「Tポイントは本当は何をやっているのか」で言いたかったことであり、実際には、複数の加盟店からの個人データを混ぜて、串刺しで分析をしてターゲティング広告(主にクーポンの本人への発行)をやっているわけである。
そうすると、「受託したデータを混ぜている!」ということになれば、違法だということになりかねないわけで、むしろ、「CCCは受託者ではない」という整理をしたほうがマシということになるだろう。
このことについて、私は、CCCのターゲティング広告(クーポン)事業は、CCCを data controller とし、加盟店を data processor とした、CCCから加盟店への「個人データ取得の委託」として整理するのがよいと考えるようになった*3。つまり、次の図3のような委託関係である。図2とは青と緑が逆転している。
このモデルでは、CCCが、コンビニやファミレスのチェーン本部に委託して、そのFC店等にTカード読み取り対応POS端末を設置してもらう。CCCに直接送信される購買履歴データはCCCの「共通DB」に入れられて、CCCはT会員のデータを串刺しにプロファイリングすることができる。「Tポイントとはそのような事業である」としてT会員に十分に知られているならば、適法であり、加盟店は第三者提供していないし、CCCも加盟店への第三者提供をしていないことになる(クーポン発行時については脚注3参照)。ましてや、CCCと加盟店間の共同利用でもない。
このようなモデルは、現に広く行われている、保険契約における保険会社(委託者)と生命保険募集人(受託者)の関係や、携帯電話の新規回線契約における携帯電話会社(委託者)と代理店(受託者)の関係において、個人データの「取得の委託」として整理される*4ものであり、代理店や保険募集人が委託元に代行して個人データの取得を処理する形になっている。Tポイントの場合は、FC店から直接CCCに個人データが送信されるが、FC店の関与がなければその取得はできないのであり、FC店(及びその委託元のチェーン本部のTポイント加盟店)はCCCからの委託を受けているとみなすことができる。*5
このように整理すると、今度は、図2のテレビ画面にあった「マーケティング分析サービス」がどのような位置付けになるかが問題となる。加盟店が「共通DB」にアクセスすることを許し、その情報が加盟店に「マーケティング情報」として提供されることになれば、そこが第三者提供だということになるのかである。
加盟店に提供される情報が、北村取締役が主張していたように「統計的な処理」をしたものに限られるのであれば、非個人情報の提供であり、個人データの第三者提供ではないと整理することができ、何ら問題ない*6。ここで、もし、より詳細なデータを提供していて、(容易照合性によって)個人データに該当してしまいそうなレベルのもの(今日で言うところの「匿名加工情報」に当たるようなもの)を扱っているとなると、その場合はどうだろうか。
その場合も、次の図4のように整理すればよいのではないか。
つまり、図2の事業と図3の事業を同時に営んでいるとすればよい。FC店から送信される購買履歴データは1つだけれども、加盟店チェーン本部が data controller となって委託によりCCCで管理されている「個別DB」と、CCCが自ら data controller となって管理している「共通DB」の両方に格納されるのだと。加盟店が自ら扱うデータは、自分のところの「個別DB」に格納されたものに限られ、CCCは「共通DB」しか自由には扱えない。加盟店の店舗も、CCCの事業であるクーポン発行に際しては受託者として守秘義務を負う。
これは決して脱法行為ではない。個人情報保護法が個人データの同意なき第三者提供を原則禁じているのは、data controller から data controller へのデータ移転を許せば、データが流々転々して本人の権利利益を害し得るとしたところにあり、data controller から data processor へのデータ移転は、その data controller の管理下にあるから制限する必要はない*7わけで、図で言えば、点線でつながったグラフが、根のみを青とした木(というか森)になっていてれば適法ということになる。各事業者には複数のグラフを重ねることができ、それらの間でデータが分離されていればよい。
ただ、CCCのTポイント事業においては、このように整理できるとしても、実際に契約がそのようになっていて、それぞれの責任が明確化されているかが問われるだろう。そうでなければ、実態として第三者提供はないと言えるにしても、それぞれの事業者が適切に利用目的の特定をしていないという点で違法となるし、委託先の監督義務違反ともなり得る。また、利用者から見ても、2つの事業が同時に行われているのならば、そのことがわかるような規約(というかプライバシーポリシー)と説明が求められるところで、それができていなければ、利用目的の通知又は公表の義務違反ということになる。2014年8月に、CCCが「共同利用」から「第三者提供」に変更することを発表した際に「個人情報の第三者提供について」と題してT会員向けに説明された図(以下に引用)からでは、そのような事業だとは一般の方々には読み取れないだろう。
なお、前記で「一部を除き」とした例外部分がある。それは、Yahoo! IDとの統合によりヤフーと相互に履歴提供をする部分と、CCCの関連会社である(株)Platform IDとの間で相互に履歴提供する部分である。これは、双方が data controller となる事業モデルのようであるから、個人データの第三者提供となる。しかしこれらも、ヤフーの件については、Yahoo ID!との統合を本人が行わない限り始まらないものであるから、ID統合の場面で本人の個別かつ明確な同意を取ることができる*8ので、利用者が「そういうサービスだ」と思って使っている限りにおいては、23条1項の規定に違反しないし、Platform IDについては、1社だけに限られるのならば、これこそ「共同利用」として位置付けることができたのではないか*9。
このように、ちゃんと事業モデルを整理すれば、第三者提供にならず、オプトアウト手続きを用意する必要もなかった。それなのに、それどころか、2014年10月には前代未聞の「なんちゃってオプトアウト」方式をやらかしてしまい、Pマークの審査に合格できなかったばかりか、人々の反感を買うことにもなった。
2015年8月にオプトアウト方式を常識的なものにした*10が、それでもなお、Pマークの審査要件であるJIS Q 15001には適合していない。JIS Q 15001は、元々、初版(JIS Q 15001:1999)ではオプトアウト方式による第三者提供は認めていなかった。後に個人情報保護法が施行されたときに改定された、JIS Q 15001:2006では、23条2項に対応するオプトアウト方式による第三者提供を認める規定が入ったが、個人情報保護法が「公表」で足りるとしているのとは異なり、「大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難な場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又はそれに代わる同等の措置を講じているとき」(3.4.2.8 b))*11に限って認められるとしている。CCCはこの要件を満たすことができないのだろう。
今回の規約改定に際して、CCCは、Pマークを放棄する替わりに、「JIS Q 15001(略)やJIS Q 27001(略)などのセキュリティ基準を参考に自社基準を策定し、時代の変化や急速に発展するIT技術に対応できるセキュリティ環境を作ってまいります。」としたが、これは安全管理措置についてしか言っていない。JIS Q 15001 は漏洩対策だけを求めているのではないことをそろそろいいかげんに理解するべきである。
奇しくもこのタイミングで、CCCは「ツタヤ図書館」問題で炎上中のところであり、海老名市や多賀城市に対して、そして、これからツタヤ館契約を結ぼうとしている市町村に対して、Pマーク放棄をどう説明するのか?が問われるところ、安全管理措置だけ基準に従うと宣言したのは、個人情報保護法やJIS Q 15001の趣旨すらろくに理解していないことを自ら暴露したオウンゴールであろう。
もっとも、そもそもツタヤ館を契約しようとするような自治体は見る目が節穴の無能団体であることが必然の前提であるために、それら自治体もまた、個人情報保護法及びJIS Q 15001の趣旨が漏洩対策にすぎないと勘違いしているという、同じ穴のムジナであることが期待できるのなら、CCCは救われるのであろう。
公共図書館の指定管理を受けるに際して、Pマークを保有していることの意義はいかほどのものか。CCCは、武雄市図書館や海老名市立中央図書館において、Tカードを図書館カードに用いてTポイント事業を図書館運営に絡めつつも、貸し出し履歴は取得していないとしてきた。では、履歴を結合することさえしなければ、Pマークを放棄するような事業者に運営を任せていいのか?
Pマークは、第三者提供の制限が個人情報保護法よりも厳しく設定されているため、いわゆる名簿屋はPマークを取得することができない。逆に言えば、Pマークを持っている事業者ならば、裏で名簿屋のようなことをやっていることはないと安心できる。そういうマークである。マークのロゴには「たいせつにしますプライバシー」と描かれている。そういう安心できる事業者ですよという証である。
少しググってみれば見つかるが、いわゆる名簿屋を営んでいる小規模事業者の他の事業内容を見ると、驚いたことに、個人データ入力や帳票印刷の受託事業も同時に行っているところが複数見つかる。当然、データ入力や帳票印刷で委託した個人データが、販売名簿に流用されることはあってはならないことだが、こういう名簿屋事業者にそれをやっていないと信じて発注する事業者が存在するその神経が信じられない。
その意味においてCCCも名簿屋と同列だということになる。いくら指定管理の業務でのデータを混ぜないと言っていたところで、Pマークすら放棄せざるをえないようなところを、誰が信用できるというのか。
しかし、上記で述べたように、実はCCCは(基本的に)第三者提供をしていない。ちゃんと事業モデルを整理すれば、Pマークを取得できることしかやっていないと推察される。どうしてこんなことになったのか。
すべての始まりは、2012年に「共同利用」は違法だよと指摘されたときからの対応にあった。共同利用で何が悪いんだとろくに指摘を聞き入れず、2013年には共同利用範囲の明確化と称して利用目的の方だけ明確化する頓珍漢な対応をした挙句、2014年には第三者提供していないのに第三者提供に変更するとこれまた明後日の方角への対応、そして2015年には「なんちゃってオプトアウト」で人々の怒りを買うという、オウンゴールの連続ではないか。誰のせいでいったいこんなことになっているのか。おそらく、法務部が頼りにしている弁護士に問題があるのではないか。個人情報保護法を専門とする弁護士なら、図4のような事業モデルを整理することこそが仕事だろう。
CCCはお気の毒と言わざるをえない。早く弁護士を変えた方がいいとアドバイスしたい。
*1 その他、「当該範囲が明確である限りにおいては、事業者の名称等を個別にすべて列挙する必要がない場合もある。」として、そのような例として、「本人がどの事業者まで利用されるか判断できる程度に明確な形で示された「提携基準」及び「最新の共同利用者のリスト」等を、共同利用者の全員が、本人が容易に知り得る状態に置いているとき」が示された。
*2 なお、この「個別DB」は必ずしも物理的に別のDBである必要性はない。論理的に仕分けられたDBでもよい。もっとも、安全管理措置としてできるだけ物理的に近い分け方をするということも考えられる。
*3 2014年3月ごろからそのような考えに確信を持つようになり、8月にもそのことをツイートしている(Tポイントの会員規約改訂に高木先生が所見 - Togetterまとめ)し、「ニッポンの個人情報」49頁と、同175頁でも述べている。ただ、49頁では、クーポンを出す場面について「その店に第三者提供していることにならないか?という論点があります。」とし、50頁では「本人が望んでいればいい」とお茶を濁しているが、これは言葉足らずで、クーポンを出す場面も、クーポンを渡すことについての加盟店への委託として整理すれば、第三者提供でないとして整理できるだろう。この場合、受託者である店舗は、クーポンを見てしまうことになっても、受託者として守秘義務を負うことになり、それでよい。
*4 ただし、現行の個人情報保護法には不備があり、22条の「委託先の監督義務」が、このケースに適用されないという問題がある。なぜなら、22条は、「個人データの取扱いの全部又は一部を委託する場合」についてであり、「個人情報」とは書かれていない。保護法の15条から18条までが「個人データ」ではなく「個人情報」を対象としているのは、「取得の段階では、その個人情報がデータベースの形態に構成されるものか否かは明らかでないことから」とされている(「個人情報の保護に関する法律案《逐条解説》」開示資料54頁より)ように、「取得の委託」における取得段階では「個人データ」に該当しないことになるからである。これを理由に、22条の対象を「個人データ」から「個人情報」に改正しようという動きがあったが、私はそれに反対した。むしろ、取得段階では個人データに当たらないとする解釈を捨てて、15条から18条までを「個人データ」対象に改正するのが本来の立法趣旨に沿うものであると考えたからである。
*5 同様に、Webの行動ターゲティング広告も、この「取得の委託」モデルで整理することができると考えている。詳しくは、2014年7月18日の日記で予告したように、「パーソナルデータ保護法制の行方 その5」で書く予定である。簡単にではあるが、パーソナルデータ検討会で準個人情報の案が出て異論沸騰していたときに作成した資料「パーソナルデータ論点メモ(5月8日)」(2014年)の中にも書いている(34枚目のスライド)。
*6 ただし、本来の利用目的(この場合は、CCCのターゲティングクーポン事業の利用目的)の達成に必要な範囲でしかデータを保有し続けることは認められないとするべきである点に注意。
*7 第三国移転の場合を除く。
*8 現状で有効な同意をとっているかは確認していない。
*9 ただし、「共同利用しない」から「共同利用する」への利用目的の変更を伴うことになるから、そのための同意が必要となるという課題が出てくる。これについては、2015年3月8日の日記も参照。
*10 これも、未だ適切なオプトアウト方式になっているとは言い難い。オプトアウト画面には依然として、加盟店各社のチェックボックスが大量に並んでいて、画面の最下部に「今後、追加される提供先も含め、すべての提供先への個人情報提供を停止する」が設置されているのは、わざとそれを使われないように企図しているものであり、騙す気満々の態度を隠していない。
*11 なお、私の意見としては、Pマークは個人情報保護法に上乗せルールでより厳しく規律するものであるのなら、個人情報保護法ができたときに、23条2項に倣ってオプトアウトによる第三者提供を(このようなより厳しい条件が付いているとはいえ)認める改定をするべきではなかったのではないと思う。またその必要性もなかったのではないか。個人情報保護法の場合は、耳にしたところでは、起草段階で、NTT電話帳とゼンリンの住宅地図が23条1項違反になってしまうために、23条2項を入れたという経緯があるらしい。NTT電話帳はすでに新たな契約者は本人が選択する形になっているし、ゼンリン住宅地図は以前の通りであるが、ゼンリン社はPマークを取得しておらず、それはそれでよいのではないか。その他に、Pマークが付与されるのに相応しい事業者で「3.4.2.8 b)」の条件に従うオプトアウト方式が求められる事業がどこにあるのだろうか。