1.はじめに
ヤフー株式会社は、本年7月1日(月)よりヤフーが保有するビッグデータから開発した独自のスコア「Yahoo!スコア」を同社と契約した事業者が活用できる新ビジネスの提供を開始することを発表しました。同社サイトによると、Yahoo!スコアとは、①本人確認の度合い、②信用行動度合い、③消費行動度合い、④Yahoo! JAPAN利用度合いを測る4カテゴリーに属するスコアと、それらを集約した総合スコアで構成されるとのことです。しかし、このヤフーの情報銀行的な新ビジネスは、個人情報保護法の定める特に目的外利用の禁止(15条、16条)などとの関係から適法といえるのでしょうか?
・ヤフーが保有するビッグデータから開発した「Yahoo!スコア」 7月1日よりビジネスソリューションサービスの提供を開始|ヤフー株式会社
2.個人情報の目的外利用の禁止
個人情報保護法は、「事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。」と定め(15条1項)、そして事業者は、「特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」と定められています(16条1項)。
つまり国民の個人情報・プライバシー保護のために、事業者は漠然とした目的ではなく、できるだけ具体的な特定された利用目的を策定し、それをウェブサイトなどで公表しなければならず、そして個人情報を本人から取得したあとも、それを利用目的の範囲を超えて取り扱ってはならないのです(目的外利用の禁止)。
3.ヤフーのプライバシーポリシー
この点、ヤフー株式会社のプライバシーポリシーをみると、個人情報の利用目的はつぎのように列挙されています。
2.パーソナルデータの利用目的
当社は、以下のことを行うためパーソナルデータを利用させていただきます。
(1) お客様に適したサービス等をご提供するため
(2) お客様からのお問い合わせに対応するため
(3) 商品の配送、代金請求、ポイント付与等をするため
(4) お客様にサービス等に関するお知らせをするため
(5) サービス等を安全にご提供するため。これには、利用規約に違反しているお客様を発見して当該お客様に通知をしたり、サービス等を悪用した詐欺や不正アクセスなどの不正行為を調査・検出・予防したり、これらに対応することが含まれます
(6) サービス等の改善および新たなサービス等を検討するため
(7) サービス等のご利用状況等を調査、分析するため
・プライバシーポリシー|ヤフー株式会社
今回のYahoo!スコアは、6号の「サービス等の改善および新たなサービス等を検討するため」と7号の「サービス等のご利用状況等を調査、分析するため」が関わってくると思われますが、「Yahoo!Japanをご利用のお客さまの各サービスのご利用状況などのデータをスコア化し、当社が契約した事業者に当該スコアデータ等を第三者提供します」等とは明示されていません。したがって、ヤフーがプライバシーポリシーの改正を行うことなく7月1日以降、Yahoo!スコアの個人データを契約した事業者に第三者提供することは、個人情報の目的外利用であり違法です(15条、16条違反)。
あるいは産業技術総合研究所情報セキュリティ研究センター主任研究員の高木浩光先生がツイッター上で述べておられるとおり、「Yahoo!知恵袋」に質問を投稿したり回答を投稿しているユーザー達は、まさか自分たちの各行為が自分自身のスコア化に利用されているとは思わないでしょう。そのため、やはりヤフーの行っているスコア化は個人情報の目的外利用といえます。
さらに、ヤフーのサービス一覧をみると、「Yahoo!パートナー」、「Yahoo!しごと検索」などは、同じヤフーのサービスのなかでもより個人のデリケートな機微情報が含まれているように思われます。目的外利用の問題だけでなく、このようなサービスに基づく個人データをヤフーがスコア化することには疑問を感じます。
なお、今回のYahoo!スコアは、ヤフーのプレスリリースなどで「本人の同意に基づき」と大々的に宣伝されたにもかかわらず、自らの個人データのスコア化を望まないユーザーがスコア化を止めるサイトの場所が非常にわかりにくいことなど、ユーザーにとって非常に不親切なものです。
4.開示・訂正・利用停止などの請求権
このようにYahoo!スコアが個人情報保護法15条、16条違反であることから、Yahoo!のユーザーは、同法28条以下の条文に基づき、ヤフーに対して自分の個人情報について開示・訂正・利用停止・削除などの各措置を請求することができます。
5.個人情報保護委員会
また、ヤフーが約6600万人もの大量のユーザー・会員数であることから、今回のYahoo!スコアの影響範囲は大きいものと思われます。報告徴求・立入検査・助言・行政指導などの権限(40条以下)を有する個人情報保護委員会が何らかの対応すべきなのではと、一般人としては思います。
法律・法学ランキング