高木浩光＠自宅の日記

■ CCCはお気の毒と言わざるをえない

驚きのニュースが舞い込んできた。CCCがプライバシーマーク（Pマーク）を返上したというのである。日経コンピュータの取材によれば、CCC社の「管理本部法務部リーダー」と、「経営戦略本部リスク・コンプライアンス統括部情報管理Leader」と、「経営戦略本部法務部会員基盤Leader」の3氏もそろってこれを認めているという。

• CCC（ツタヤ）がプライバシーマーク返上で日本中のプライバシーフリークが騒然の事態(山本一郎) - Y!ニュース https://t.co/BKKhMTRyqX

  — やまもといちろう (@kirik) 2015, 11月 19

• 書きました。後編は来週掲載です。/ なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか（前編） https://t.co/mJFLHTEnvK

  — Naoki Asakawa / 浅川直輝 (@nasakawa) 2015, 11月 20

CCC社のPマークを巡っては、昨年の2月に有効期限が切れたまま更新手続き中となり、今年9月までその状態が続くという異常事態があった（スラドの記事「CCCのPマークが再び有効に、オプトアウト実装のため？」参照）が、このことについて、今回の日経コンピュータの記事によると、CCC社法務部は、「他の認定企業よりも遅れたのは確かですが、Pマーク認定団体と見解の違いがあったわけではなく、手続きの不備もありません。今回も、我々が自主的に返上したものです。」と答えているそうだが、それはどうだろうか。

時系列順に振り返るとこうだった。

2012年9月 T会員規約で個人データを「共同利用する」としている点に違法性が指摘される

当時のT会員規約では、会員の個人データをTポイント加盟企業と「共同利用」すると規定されており、たしかに個人情報保護法23条は「共同利用」を認めているものの、この共同利用の趣旨は本来、共同利用者の範囲が固まっている場合を想定したものであって、Tポイント加盟企業のように共同利用先が日々増加していくようなケースには適用できないものであり、この規約通りに実際に事業が行なわれているならば、個人情報保護法違反だとの指摘があった。（「Tカードは個人情報保護法違反に該当するのか？──津田大介の「メディアの現場」vol.44より」参照）

2012年11月 薬害オンブズパースン会議が「Ｔポイントサービスに関する要望書」を提出

Tポイント加盟店のドラッグストアが、医薬品の販売時に、購入者に告知することなくその販売事実をCCCに取得させているのは刑法134条の秘密漏示罪に当たり得るものであり、そのような仕組み自体がT会員に知らされていないと指摘する「Tポイントサービスに関する要望書」がCCC社ほかに突きつけられた。

2013年7月 Yahoo!ポイントがTポイントに統合、T-IDがYahoo! IDに統合される

TサイトなどのログインIDであった「T-ID」が廃止され、Yahoo! IDでのログインが強制された。この時点では、Yahoo!ポイントをTポイントに統合することが目的であり、「現時点ではショッピング履歴などの共有・統合は行われない」「商品・サービスの購入履歴などの情報は、CCCやYahoo! JAPAN、あるいは各提携サイトがそれぞれ保有。Yahoo! JAPANが保有するインターネット上の行動履歴などの情報も、CCC側に提供することは現時点で計画していないとYahoo! JAPANでは説明している。」とされていた。（INTERNET Watch「Yahoo!ポイントがTポイントへ、T-IDがYahoo! JAPAN IDへ、7月1日に統一」参照）

2013年9月 週刊東洋経済にTポイントの個人データ「共同利用」の違法性の指摘が掲載される

週刊東洋経済2013年9月7日号に「〔ポイントの落とし穴〕あなたの個人情報大丈夫？」として、T会員規約の共同利用規定について批判的に扱う記事が掲載され、「Tポイントにかぎらず，将来の事業拡大の可能性を見据えて，規約は幅広く解釈できるようにしておきたい，というのが個人情報を扱う企業の本音だろう。」といった皮肉が書かれた。

2013年10月 CCCがT会員規約を改定し共同利用の目的を明確化する

CCCは4日前の9月27日に「「顧客情報管理委員会」新設とT会員規約改訂についてのお知らせ」を公表し、個人データの共同利用範囲の見直しをしたと公表した。だが、規約の変更点は、共同利用先の範囲についてではなく、共同利用の目的の範囲を明確化しただけであった。

2014年1月 経産省ガイドライン改正の検討が始まる

2014年2月 CCC社のPマークの有効期限が切れる

2014年5月 経産省ガイドラインの改正案で「共同利用」制度の明確化が示された

経済産業省が「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を改正するとして、改正案がパブリックコメントにかけられ公表された。その内容は、共同利用の（目的ではなく）範囲についての要件を明確化するものであった。具体的には、「共同して利用する者の範囲」について、「「共同利用の趣旨」は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で当該個人データを共同して利用することである。したがって、共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある。」*1などと明記するものであった。（この改正はその後、ベネッセ事件の発生により遅れ、2014年12月12日になって、この部分についてほぼ原案通りで改正された。）

2014年6月 個人情報保護法改正の大綱が決定される

保護法改正大綱の内容からして、その改正でCCCの共同利用形態が認められることになるわけではないことが明確になった。

2014年8月 CCCが個人データの利用方式を「共同利用」から「第三者提供」に変更すると予告

8月14日にCCCが「T会員規約改訂と個人情報取り扱いに関する規定の変更」と題して、「ポイントプログラム参加企業を含む提携先との個人情報の利用方式を「共同利用」から「第三者提供」に変更」すると予告、11月1日付で改定するT会員規約を公表した。また、第三者提供について提供の停止（オプトアウト）を11月1日から受け付けるようにすると予告した。このとき、「個人情報の第三者提供について」と題して、CCCがどのように履歴データを提供するのかが図解入りで説明された。

2014年10月 CCCが第三者提供停止のオプトアウト受付を前代未聞の方法で開始して炎上

CCCは新規約が発効する4日前の10月28日、オプトアウトの受付を開始した。ところが、提供先の事業者ごとにオプトアウトを指定するという前代未聞の方式で、将来に新たに提供先が追加されたらその都度オプトアウト手続きをしない限り、その事業者には第三者提供されてしまうというものであったため、炎上した。11月5日には「Tカード個人情報提供先新着bot」なるボットまで登場し、新たな提供先が追加されるたびにRTされてプチ炎上していた。また、そのオプトアウト画面に到達するにはヤフーとの相互履歴提供に同意することが必須になっているという問題もあった。

• T-CARDの個人情報提供先に No.77「株式会社Tメモ」が追加されました(2014/11/25付) http://t.co/YGnakEee0q

  — Tカード個人情報提供先新着bot (@ccc_privacy_bot) 2014, 11月 25

2014年11月 有志の問い合わせによりCCCのPマークは「更新審査の途上」であることが確認される

• JIPDECへの問い合わせで興味深いことが判明しました。 CCCのPマークは期限が切れておりますが現時点でも「更新審査の途上」とのことです。 また、JIS不適合に関しては当方の指摘通り「利用者の同意を得ていない状態」であり、CCCに改善を求めるとの回答でした。

  — 書肆ふろすてぃ（古本屋/JN4IFD） (@Alice_fst) 2014, 11月 26

2014年12月 個人情報保護法改正案の骨子案が公表される

2015年6月 個人情報保護法の改正内容がほぼ確定的となる

これにより、仮名化データを「匿名加工情報」として扱うこともできるようになるわけではないことが明らかになる。

2015年8月 CCCがオプトアウトを常識的な方法にひっそりと変更していたことが発見される

• T-CARDの個人情報提供先の設定ページ、いつの間にか「今後、追加される提供先も含め、すべての提供先への個人情報提供を停止する」って項目が出来てるのな。けど「停止するときはチェックを外せ」という少々わかりづらい仕様w

  — 星夜 輝 a.k.a イケダ/急速潜行中 (@hoshiyo) 2015, 8月 31

• おぉ、Tポイントの個人情報のやつ、いつのまにやら「今後、追加される提供先も含め、すべての提供先への個人情報提供を停止する」チェックが出来ておる。今後はもうわざわざ確認する必要がないな。

  — Arai Jun (@arai_j) 2015, 9月 1

• Tポイントカードの個人情報提供停止手続きを久しぶりにやったら「今後、追加される提供先も含め、すべての提供先への個人情報提供を停止する」のチェック項目が追加されてた。しかし、括弧書きの内容をどう解釈すれば良いのか悩むぞ！ pic.twitter.com/6Rsrmjfkxl

  — ＼(^o^)／ (@Twin_GN_Drive) 2015, 11月 7

2015年9月 CCCのPマークが復活し平成28年2月7日まで有効となっているのが発見される

スラドの9月17日記事「CCCのPマークが再び有効に、オプトアウト実装のため？」が、遅くとも9月13日までに、JIPDECのPマーク付与事業者一覧にCCCが掲載されて、有効期限が「28.2.7まで有効」と延長されていることを伝えた。

2015年10月 「ツタヤ図書館」批判が本格的に加速

週刊朝日が8月21日号から週刊ツタヤ図書館問題の連載を開始。9月から燻り始めていた種火が10月1日の海老名市立中央図書館のオープンでいっきに炸裂し炎上。楽しみにされていたCCC増田社長の宣伝番組「プロフェッショナル仕事の流儀」も悲惨な内容で放送されるに至った。週刊ダイヤモンド、週刊東洋経済と続々批判的に取り上げられ、増田社長の「なんでこんなにアゲンストやねん」との迷言が遺される。その火勢は11月に入っても衰えることがなかった。（「ツタヤ図書館関連メディア報道一覧」参照）

2015年11月17日 CCCがT会員規約を12月1日付で改定すると公表

公表された「委員会の活動報告 T会員規約改訂について」では、Pマーク返上について書かれていないが、現行の規約に書かれている安全管理措置に関する「経済産業省が告示した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」はもとより、「プライバシーマーク」の要求事項や「情報セキュリティマネジメントシステム(ISMS)」の基準を取り入れ、」との記述が、改定後では削除されており、また、現行の規約にある「その他個人情報保護法及び、「JIS Q 15001」を遵守した上で」との記述が、改定後では「その他個人情報保護法を遵守した上で」と、「JIS Q 15001」の記述が削除されていた。「解説」には、「個人情報保護法（改正後の内容も含む）またはその関連法令を遵守することを大前提とした上で、日本工業規格のJIS Q 15001（個人情報保護マネジメントシステム ― 要求事項）や JIS Q 27001 （情報セキュリティマネジメントシステム）などのセキュリティ基準を参考に自社基準を策定し、時代の変化や急速に発展するIT技術に対応できるセキュリティ環境を作ってまいります。」と書かれていた。

2015年11月20日 日経コンピュータの取材にCCCはPマークを返上したと明言

日経コンピュータの記事によると、「今のPマークはまだ2016年2月7日まで期限が残っていましたが、我々は2015年11月16日にPマークを返上しました。」とのこと。

さて、以上のような経緯であるわけだが、私としては、この流れを傍観しながら、2014年8月のあたりから、CCCのことが気の毒に思えるようになっていった。

というのも、「共同利用」から「第三者提供」に切り替えたというのだけども、そもそもCCCは「第三者提供」をしていないはずだ（一部を除き）と思っていたし、それ以前でも「共同利用」もしていなかったはず（一部を除き）と思っていた。2012年9月の記事「Tカードは個人情報保護法違反に該当するのか？──津田大介の「メディアの現場」vol.44より」でも、鈴木正朝先生は「実際やっているかどうか、どこまでどのようにやっているかについては調査が必要なところですが、T会員規約（約款）上は、そうした権利をCCCが留保していて、いつでも行使できる状態になっていることを問題視しています。」と述べており、実際にはやっていないのではないか？としつつも、規約の規定ぶりに問題があると指摘されていたものだった。

Tポイントが何をやっているかについては、2012年9月23日の日記「Tポイントは本当は何をやっているのか」と、2013年6月27日の日記「Tポイントは何を改善しなかったか」で書いている。これが今も変わっていないのだとすると、やはり、第三者提供はしていない（一部を除き）と言うべきである。

当時、CCCの北村取締役がテレビに出るたび強調していたのは、「統計的に処理しているだけだ」「データの横流しはしない」というものだった（図1）。

図1: テレビ東京「たけしのニッポンのミカタ！」2012年8月17日放送より

そのような事業も行っていることはその通りなのだろう。その事業だけならば、加盟店からの委託によって、CCCがデータ収集と統計処理を受託しているという位置付けにすることができ、その場合は、第三者提供でもなければ共同利用でもない、ごく適法な事業だということになる。この場合の委託関係を図で表すと図2のようになる。

図2: 委託者と受託者 及び マーケティング分析サービス事業における委託関係

1つ目の絵は、個人データ処理の委託における委託元（委託者）と委託先（受託者）を模式化したもので、破線の矢印は委託する関係を表しており、実線の矢印は個人データの流れを表している。青が委託者で、EUデータ保護指令で言うところの「controller」（英国のData Protection Act 1998では「data controller」）、緑が受託者で、EUでは「processor」（英国では「data processor」）と呼ばれるものに当たる。

2つ目の絵は、Tポイントおける、図1で北村取締役が強調していた事業を、加盟店を data controller として、CCCを data processor として整理した場合の委託関係を表している。加盟店のコンビニやファミレスのチェーン本部は、CCCからTカード読み取り対応POS端末を借りるなどしてFC店に設置し、これにより、購買履歴データが直接 data processor であるCCCに送信され蓄積・管理される。加盟店のチェーン本部は、CCCが提供するASPサービスにアクセスすることにより、 自分のところのチェーンの売り上げデータを分析し、図1のテレビ画面でいうところの「マーケティング情報」（濃い青の丸印）を得ることになる。このとき、data processor は、複数の data controller から受託したデータを混ぜてはいけない（図では「個別DB」に格納するとしている*2）。図1のテレビ画面でいうところの灰色の「マーケティング情報」に赤いバツ印が付けられているのが、この「混ぜてはいけない」ということに対応している。

このような事業であれば、全く適法で、個人情報保護法もPマーク上も問題にはならない。

ところが、やっているのはそれだけじゃないだろ！というのが、「Tポイントは本当は何をやっているのか」で言いたかったことであり、実際には、複数の加盟店からの個人データを混ぜて、串刺しで分析をしてターゲティング広告（主にクーポンの本人への発行）をやっているわけである。

そうすると、「受託したデータを混ぜている！」ということになれば、違法だということになりかねないわけで、むしろ、「CCCは受託者ではない」という整理をしたほうがマシということになるだろう。

このことについて、私は、CCCのターゲティング広告（クーポン）事業は、CCCを data controller とし、加盟店を data processor とした、CCCから加盟店への「個人データ取得の委託」として整理するのがよいと考えるようになった*3。つまり、次の図3のような委託関係である。図2とは青と緑が逆転している。

図3: 串刺しプロファイリングによるターゲティング広告事業における委託関係

このモデルでは、CCCが、コンビニやファミレスのチェーン本部に委託して、そのFC店等にTカード読み取り対応POS端末を設置してもらう。CCCに直接送信される購買履歴データはCCCの「共通DB」に入れられて、CCCはT会員のデータを串刺しにプロファイリングすることができる。「Tポイントとはそのような事業である」としてT会員に十分に知られているならば、適法であり、加盟店は第三者提供していないし、CCCも加盟店への第三者提供をしていないことになる（クーポン発行時については脚注3参照）。ましてや、CCCと加盟店間の共同利用でもない。

このようなモデルは、現に広く行われている、保険契約における保険会社（委託者）と生命保険募集人（受託者）の関係や、携帯電話の新規回線契約における携帯電話会社（委託者）と代理店（受託者）の関係において、個人データの「取得の委託」として整理される*4ものであり、代理店や保険募集人が委託元に代行して個人データの取得を処理する形になっている。Tポイントの場合は、FC店から直接CCCに個人データが送信されるが、FC店の関与がなければその取得はできないのであり、FC店（及びその委託元のチェーン本部のTポイント加盟店）はCCCからの委託を受けているとみなすことができる。*5

このように整理すると、今度は、図2のテレビ画面にあった「マーケティング分析サービス」がどのような位置付けになるかが問題となる。加盟店が「共通DB」にアクセスすることを許し、その情報が加盟店に「マーケティング情報」として提供されることになれば、そこが第三者提供だということになるのかである。

加盟店に提供される情報が、北村取締役が主張していたように「統計的な処理」をしたものに限られるのであれば、非個人情報の提供であり、個人データの第三者提供ではないと整理することができ、何ら問題ない*6。ここで、もし、より詳細なデータを提供していて、（容易照合性によって）個人データに該当してしまいそうなレベルのもの（今日で言うところの「匿名加工情報」に当たるようなもの）を扱っているとなると、その場合はどうだろうか。

その場合も、次の図4のように整理すればよいのではないか。

図4: マーケティング分析サービス事業とターゲティング広告事業の同時実施

つまり、図2の事業と図3の事業を同時に営んでいるとすればよい。FC店から送信される購買履歴データは1つだけれども、加盟店チェーン本部が data controller となって委託によりCCCで管理されている「個別DB」と、CCCが自ら data controller となって管理している「共通DB」の両方に格納されるのだと。加盟店が自ら扱うデータは、自分のところの「個別DB」に格納されたものに限られ、CCCは「共通DB」しか自由には扱えない。加盟店の店舗も、CCCの事業であるクーポン発行に際しては受託者として守秘義務を負う。

これは決して脱法行為ではない。個人情報保護法が個人データの同意なき第三者提供を原則禁じているのは、data controller から data controller へのデータ移転を許せば、データが流々転々して本人の権利利益を害し得るとしたところにあり、data controller から data processor へのデータ移転は、その data controller の管理下にあるから制限する必要はない*7わけで、図で言えば、点線でつながったグラフが、根のみを青とした木（というか森）になっていてれば適法ということになる。各事業者には複数のグラフを重ねることができ、それらの間でデータが分離されていればよい。

ただ、CCCのTポイント事業においては、このように整理できるとしても、実際に契約がそのようになっていて、それぞれの責任が明確化されているかが問われるだろう。そうでなければ、実態として第三者提供はないと言えるにしても、それぞれの事業者が適切に利用目的の特定をしていないという点で違法となるし、委託先の監督義務違反ともなり得る。また、利用者から見ても、2つの事業が同時に行われているのならば、そのことがわかるような規約（というかプライバシーポリシー）と説明が求められるところで、それができていなければ、利用目的の通知又は公表の義務違反ということになる。2014年8月に、CCCが「共同利用」から「第三者提供」に変更することを発表した際に「個人情報の第三者提供について」と題してT会員向けに説明された図（以下に引用）からでは、そのような事業だとは一般の方々には読み取れないだろう。

図5: 2014年8月に示されたCCCによる解説より

なお、前記で「一部を除き」とした例外部分がある。それは、Yahoo! IDとの統合によりヤフーと相互に履歴提供をする部分と、CCCの関連会社である（株）Platform IDとの間で相互に履歴提供する部分である。これは、双方が data controller となる事業モデルのようであるから、個人データの第三者提供となる。しかしこれらも、ヤフーの件については、Yahoo ID!との統合を本人が行わない限り始まらないものであるから、ID統合の場面で本人の個別かつ明確な同意を取ることができる*8ので、利用者が「そういうサービスだ」と思って使っている限りにおいては、23条1項の規定に違反しないし、Platform IDについては、1社だけに限られるのならば、これこそ「共同利用」として位置付けることができたのではないか*9。

このように、ちゃんと事業モデルを整理すれば、第三者提供にならず、オプトアウト手続きを用意する必要もなかった。それなのに、それどころか、2014年10月には前代未聞の「なんちゃってオプトアウト」方式をやらかしてしまい、Pマークの審査に合格できなかったばかりか、人々の反感を買うことにもなった。

2015年8月にオプトアウト方式を常識的なものにした*10が、それでもなお、Pマークの審査要件であるJIS Q 15001には適合していない。JIS Q 15001は、元々、初版（JIS Q 15001:1999）ではオプトアウト方式による第三者提供は認めていなかった。後に個人情報保護法が施行されたときに改定された、JIS Q 15001:2006では、23条2項に対応するオプトアウト方式による第三者提供を認める規定が入ったが、個人情報保護法が「公表」で足りるとしているのとは異なり、「大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難な場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又はそれに代わる同等の措置を講じているとき」（3.4.2.8 b)）*11に限って認められるとしている。CCCはこの要件を満たすことができないのだろう。

今回の規約改定に際して、CCCは、Pマークを放棄する替わりに、「JIS Q 15001（略）やJIS Q 27001（略）などのセキュリティ基準を参考に自社基準を策定し、時代の変化や急速に発展するIT技術に対応できるセキュリティ環境を作ってまいります。」としたが、これは安全管理措置についてしか言っていない。JIS Q 15001 は漏洩対策だけを求めているのではないことをそろそろいいかげんに理解するべきである。

奇しくもこのタイミングで、CCCは「ツタヤ図書館」問題で炎上中のところであり、海老名市や多賀城市に対して、そして、これからツタヤ館契約を結ぼうとしている市町村に対して、Pマーク放棄をどう説明するのか？が問われるところ、安全管理措置だけ基準に従うと宣言したのは、個人情報保護法やJIS Q 15001の趣旨すらろくに理解していないことを自ら暴露したオウンゴールであろう。

もっとも、そもそもツタヤ館を契約しようとするような自治体は見る目が節穴の無能団体であることが必然の前提であるために、それら自治体もまた、個人情報保護法及びJIS Q 15001の趣旨が漏洩対策にすぎないと勘違いしているという、同じ穴のムジナであることが期待できるのなら、CCCは救われるのであろう。

公共図書館の指定管理を受けるに際して、Pマークを保有していることの意義はいかほどのものか。CCCは、武雄市図書館や海老名市立中央図書館において、Tカードを図書館カードに用いてTポイント事業を図書館運営に絡めつつも、貸し出し履歴は取得していないとしてきた。では、履歴を結合することさえしなければ、Pマークを放棄するような事業者に運営を任せていいのか？

Pマークは、第三者提供の制限が個人情報保護法よりも厳しく設定されているため、いわゆる名簿屋はPマークを取得することができない。逆に言えば、Pマークを持っている事業者ならば、裏で名簿屋のようなことをやっていることはないと安心できる。そういうマークである。マークのロゴには「たいせつにしますプライバシー」と描かれている。そういう安心できる事業者ですよという証である。

少しググってみれば見つかるが、いわゆる名簿屋を営んでいる小規模事業者の他の事業内容を見ると、驚いたことに、個人データ入力や帳票印刷の受託事業も同時に行っているところが複数見つかる。当然、データ入力や帳票印刷で委託した個人データが、販売名簿に流用されることはあってはならないことだが、こういう名簿屋事業者にそれをやっていないと信じて発注する事業者が存在するその神経が信じられない。

その意味においてCCCも名簿屋と同列だということになる。いくら指定管理の業務でのデータを混ぜないと言っていたところで、Pマークすら放棄せざるをえないようなところを、誰が信用できるというのか。

しかし、上記で述べたように、実はCCCは（基本的に）第三者提供をしていない。ちゃんと事業モデルを整理すれば、Pマークを取得できることしかやっていないと推察される。どうしてこんなことになったのか。

すべての始まりは、2012年に「共同利用」は違法だよと指摘されたときからの対応にあった。共同利用で何が悪いんだとろくに指摘を聞き入れず、2013年には共同利用範囲の明確化と称して利用目的の方だけ明確化する頓珍漢な対応をした挙句、2014年には第三者提供していないのに第三者提供に変更するとこれまた明後日の方角への対応、そして2015年には「なんちゃってオプトアウト」で人々の怒りを買うという、オウンゴールの連続ではないか。誰のせいでいったいこんなことになっているのか。おそらく、法務部が頼りにしている弁護士に問題があるのではないか。個人情報保護法を専門とする弁護士なら、図4のような事業モデルを整理することこそが仕事だろう。

CCCはお気の毒と言わざるをえない。早く弁護士を変えた方がいいとアドバイスしたい。