なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

カテゴリ: CCC・ツタヤ図書館

CCCマーケティングのプライバシーの考え方の図
(CCCマーケティングサイトより)

1.CCCがトレジャーデータと連携し7000万人分のT会員の個人データを販売開始
マイナビニュースの2022年7月28日付の記事「CCC、Tポイントデータをオープン化 - 7000万人の会員データが利用可能に」が、TポイントのCCC(カルチュア・コンビニエンス・クラブ)が、トレジャーデータと業務提携し、約7000万人分のT会員の個人データの販売を始めると報じ、ネット上では「CCCは正気か」と炎上しています。

記事によると、このCCCの新しい事業で注目すべきは、「利用する各企業が持っている自社データ(1st Party)を個人識別単位でT会員データと連携できる点」であるそうです。つまり、CCCからデータを購入する会社に提供されるのは、匿名加工情報などではなく、1対1で突合・名寄せされた個人データを分析・加工したものであるとのことです。(個人識別符号はメールアドレス・電話番号などになる予定とのこと。)CCCは約7000万人分のT会員の購入履歴・貸出履歴やネット閲覧履歴などを保有し、T会員の属性データなどを保有しているわけですが、このような個人データを匿名加工情報等ではなく、生データとして販売することが許容されるのでしょうか?

結論を先取りしてしまうと、CCCとトレジャーデータが提携して始めたこの新しいデータビジネスは、個人情報保護法上、「委託の混ぜるな危険」の問題」に抵触し法27条5項1号違反および法27条1項違反であり、また二重オプトアウトの禁止にも抵触し法27条2項違反のおそれがあります。そして利用企業側はCCCに対する委託先の監督の義務違反となる可能性があります(法25条)。これに対してTポイントのユーザーは、CCCに対して第三者への個人データの提供の停止を請求(法35条3項)することができると考えられます。

・CCC、Tポイントデータをオープン化 - 7000万人の会員データが利用可能に(TECH+)|マイナビニュース

2.個人情報保護法の「委託の「混ぜるな危険」の問題」違反
上のマイナビニュースには「利用する各企業が持っている自社データ(1st Party)を個人識別単位でT会員データと連携できる」と書かれていますが、この点、7月28日付のCCCとトレジャーデータのプレスリリース「CCCマーケティングとトレジャーデータ、生活者のライフスタイルを基点とした情報プラットフォーム構築に向けCDP領域で提携」もつぎのように記述しています。

■「CDP for LIFESTYLE Insights」ついて
「CDP for LIFESTYLE Insights」は、CCCマーケティングが有するユニークデータ※1と、トレジャーデータが有するデータ活用技術の掛け合わせにより提供されるデータサービスです。具体的には、CCCマーケティングの「Treasure Data CDP」において、「Treasure Data CDP」の利用企業が保有する自社顧客データと、T会員規約等にご同意いただいたT会員の皆さまに関するT会員データを、セキュアな環境下でプライバシーを保護した上で連携※2し、サービス※3を提供いたします。提供するレポートならびにT会員のデモグラフィック情報などにより、企業は自社顧客のインサイトを深く理解することができ、市場環境の把握、製品やサービス開発、顧客一人ひとりのライフスタイルに応じたコミュニケーション等への活用により、さらなる顧客エンゲージメントの向上を図ることが可能です。

今回の提携にあたり、データをお預かりするT会員の皆さまに向け、取り組み内容を説明するサイトを公開します。
(CCCとトレジャーデータのプレスリリース「CCCマーケティングとトレジャーデータ、生活者のライフスタイルを基点とした情報プラットフォーム構築に向けCDP領域で提携」より)

CCCのCDP
(CCCとトレジャーデータのプレスリリース「CCCマーケティングとトレジャーデータ、生活者のライフスタイルを基点とした情報プラットフォーム構築に向けCDP領域で提携」より)

つまり、利用企業が保有する自社顧客データ(個人データ)とCCCが保有するT会員の個人データを連携(=突合・名寄せ)し、利用企業が自社顧客の属性データなどのインサイトを深く理解できて、顧客エンゲージの向上を図ることができる個人データの提供を受けることができるとなっています。

すなわち、これは個人情報保護法的に考えると、いわゆる「委託の「混ぜるな危険」の問題」の典型例的な個人データの活用方法です。このような利用方法は個人情報保護委員会の個人情報保護法ガイドラインQ&A7-41、7‐42(=旧ガイドラインQ&A5-26-2の事例(2))に該当し違法です(法27条5項1号、法27条1項)。

QA7-41
(個人情報保護法ガイドラインQA7-41)

QA7-42
(個人情報保護法ガイドラインQA7-42)

これは、個人情報保護法上の「委託」とは、例えば委託元の企業が個人情報のPCへのデータ入力をIT企業に委託することなどのように、委託元の「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託すること」であるため、「委託された業務以外に当該個人データを取扱う」ことは「委託」に該当せず、これを本人の同意やオプトアウト手続きなしに行うことは原則に戻って本人の同意のない第三者提供として違法となります(法27条1項)。またこれは本人の同意のない個人データの目的外利用としても違法であり(法18条1項)、さらに委託元の事業者は個人データの安全管理措置に関する「委託先の監督」の義務違反にもなります(法25条)。(岡村久道『個人情報保護法 第4版』283頁。)

言い換えると、この「委託の混ぜるな危険の問題」が違法となるのは、そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、「委託元が自らやろうと思えばできるはずのことを委託先に依頼すること」であり、したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないからであると解されています。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています(田中浩之・北山昇『令和2年改正個人情報保護法Q&A』182頁、田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)。

このCCCの個人データの取扱いは、CCCのT会員規約4条6項の「他社データと組み合わせた個人情報の利用」を根拠としています。このT会員利用規約4条6項は2021年1月の規約改正で新設されたものですが、「委託の「混ぜるな危険」の問題」などとの関係で個人情報保護法上違法であることは、本ブログで以前より取り上げてきたとおりです。
CCC利用規約新旧対照表
(T会員利用規約4条6項。CCCサイトより)

(関連する記事)


なお、上のマイナビニュースの記事によると、CCCは現在約5700社の企業とTポイントで提携し、それらの企業でのユーザーの購買履歴などの個人データをPOSベースで保有しているとのことですが、これを約5700社の提携企業の側から考えると、今回のCCCの新事業により、新事業の利用企業である競合企業やライバル企業などに自社の重要なデータであるPOSベースの購買履歴などの個人データが渡ってしまう可能性があるので、日本全国のTポイントの提携企業は、法律論は抜きにしても、経営判断の問題として、CCCとTポイントで提携を続けるべきか再考すべきかもしれません。

3.オプトアウト手続き
また、CCCサイトの説明ページ「情報プラットフォームにおけるデータとプライバシーの保護の考え方」には、このCCCの新しい事業で個人データを取り扱われたくないユーザーのためには、オプトアウト手続きのための画面(行動ターゲティング広告事業者への個人情報の提供の停止)が用意されています。しかし、上でみたように個人情報保護法の専門家の方々や個人情報保護委員会は、「委託の「混ぜるな危険の問題」を回避するためには原則に戻って「本人の同意」(法27条1項)が必要であり、オプトアウト手続きによる本人同意(法27条2項)でよいとはしていないので、CCCの本人同意の取得方法は依然として違法のおそれがあります。

オプトアウトのボタン
CCCサイトより)

4.二重オプトアウトの禁止
また、このCCCの新しい事業の利用企業もおそらくオプトアウト方式による第三者提供の方法を取っていると思われ、それに対してCCCもオプトアウト方式による第三者提供の本人同意を取得することは、2022年4月の改正個人情報保護法27条2項かっこ書きが規定するいわゆる「二重オプトアウトの禁止」に抵触し、これも違法であると思われます。

5.第三者への提供の停止の請求
さらに、法27条1項違反(本人同意なしの第三者提供)があった場合、本人(ユーザー)はCCCに対して第三者への個人データの提供の停止を請求することができます(法35条3項)。

6.まとめ
このように、CCCとトレジャーデータが提携して始めた新しいデータビジネスは、個人情報保護法上、「委託の「混ぜるな危険」の問題」に抵触し法27条5項1号違反および法27条1項違反であり、また二重オプトアウトの禁止にも抵触し法27条2項違反のおそれがあります。そして利用企業側はCCCに対する委託先の監督の義務違反となる可能性があります(法25条)。これに対してTポイントのユーザーは、CCCに対して第三者への個人データの提供の停止を請求(法35条3項)することができると考えられます。

■追記
上でみたように、「委託の混ぜるな危険の問題」の論点については、PPCの個人情報保護法ガイドラインQA7-41等では本人同意がないと違法となります。しかしこの点、これも上でみたようにCCCは2021年1月に「委託の混ぜるな危険の問題」に関してT会員規約4条6項を新設しています。

そのため2021年1月以降の新規ユーザーに対してはT会員への加入の際にウェブサイトに規約への本人同意のチェックボックスを設けるなどして、「委託の混ぜるな危険の問題」は一応クリアされているように思われます。しかし既存のユーザーに対しては問題はクリアされている、つまりQA7-41等や法27条1項の要求する本人同意がとれているといえるのでしょうか?しかしもしそうであるなら、ただでさえゆるい個情法の本人同意が骨抜きになってしまうのではないでしょうか。

プライバシーポリシーも一種の約款であり、定型約款の変更に関して新設された民法548条の4(2020年4月施行)は、ユーザーの利益に適合すること、約款改正の必要性、相当性、合理性などが満たされる場合には定型約款は個別の本人の同意がなくても契約内容が変更されると規定しています。

民法

(定型約款の変更)
第548条の4

 定型約款準備者は、次に掲げる場合には、定型約款の変更をすることにより、変更後の定型約款の条項について合意があったものとみなし、個別に相手方と合意をすることなく契約の内容を変更することができる。
(1)定型約款の変更が、相手方の一般の利益に適合するとき。
(2)定型約款の変更が、契約をした目的に反せず、かつ、変更の必要性、変更後の内容の相当性、この条の規定により定型約款の変更をすることがある旨の定めの有無及びその内容その他の変更に係る事情に照らして合理的なものであるとき。
(以下略)

しかし既存のユーザーに対して民法548条の4で本人同意があったとみなして、個人情報保護法27条1項の本人同意があったとみなしてしまうことは、法27条1項の本人同意を骨抜きにしてしまうのではないでしょうか?(改正民法の制定に参画した民法の学者先生や官僚・国会議員の方々、情報法の先生方もそこまでは想定外なのではないでしょうか。)

既存のユーザーの一般人としての合理的な意思解釈として、「自分はそこまでのゆるい範囲でCCCから第三者の企業等に自分の個人データが1対1で突合され生データで提供されることを同意した覚えはない」と解釈されて、CCCのこの新しいデータビジネスは違法とされる余地があるのではないでしょうか。

個人情報保護委員会がこの件どのように考えているのか非常に気になるところです。もしこの部分が裁判所で争われた場合、裁判所がどのように判断するかも大いに気になるところです。

■追記
本件について日経新聞などが解説記事を掲載しています。

・CCC系とトレジャーデータの提携に懸念、「分かりにくい規約」での同意は有効か|日経XTECH
・Tカード会社、4千万人分の顧客データを販売へ…「同意」は有効か|読売新聞

日経XTECHの解説記事において、DataSignの太田祐一氏は、今回の同意取得のスキームがガイドラインの規定を満たしているとは思えないとした上で、「どのような同意が法的に有効なのか、これまで法改正などの過程で十分に議論できていなかった。個人情報保護委員会は改めて議論を整理する必要がある」とコメントされています。非常に同感です。

■参考文献
・岡村久道『個人情報保護法 第4版』283頁
・田中浩之・北山昇『令和2年改正個人情報保護法Q&A』182頁
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・児玉隆晴・伊藤完『改正民法(債権法)の要点解説』108頁

■関連する記事
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・武雄市のツタヤ図書館の公金支出に関する住民訴訟について-佐賀地判平成30・9・28
・CCCがT会員6千万人の購買履歴等を利用してDDDを行うことを個人情報保護法的に考える



[広告]








このエントリーをはてなブックマークに追加 mixiチェック

CCC委託の混ぜるな危険の問題1
(CCCサイトより)

1.個人情報保護委員会が令和2年改正に対応した個人情報保護法ガイドラインQ&Aを公表
個人情報保護委員会(PPC)が、2021年9月10日に令和2年改正に対応した個人情報保護法ガイドラインQ&Aをサイトで公表しました。
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会

(関連する記事)
・CCCがトレジャーデータと提携しTポイントの個人データを販売することで炎上中なことを考えたー個人情報保護法(追記あり)
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

今回公表された令和2年改正対応の個人情報保護法ガイドラインQ&Aをみると、QA7-38からQA7-43までの5つのQAが、個人情報の第三者提供の「委託」(法23条5項1号)に関するものであり、とくにいわゆる「委託の混ぜるな危険の問題」について詳しく解説を行っていることが注目されます。

このブログでは、以前、2021年1月15日にTポイントを運営するCCC カルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の第三者提供の委託の「混ぜるな危険の問題」に抵触する違法なものであることを取り上げました(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)。
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」-なか2656のblog

今回の本ブログ記事では、9月10日にPPCが公表した令和2年法改正に対応した個人情報保護法ガイドラインQ&Aの個人情報の第三者提供の委託に関する解説をみて、CCCの1月15日のT会員規約4条6項の「他社データと組み合わせた個人情報の利用の明確化」がやはり「委託の混ぜるな危険の問題」に抵触し違法であることを確認してみてみたいと思います。

2.委託の「混ぜるな危険の問題」
(1)個人情報保護法の本人の同意の必要な第三者提供の例外としての「委託」
1970年代以降のコンピュータやAIなどの発達により、個人情報・個人データが本人の同意なしに無制限にある事業者から第三者へ提供された場合、本人に関する他の種類のさまざまな個人データとの突合・結合・加工が容易に行われ、第三者提供後に当該個人データがどのように利用され、流通するかなどが不明の状態におかれ、個人データの主体である本人のプライバシーが侵害されるおそれや、本人がそれらの個人データで勝手にプロファイリング(=コンピュータ・AIによる個人データの自動処理により法的決定や重要な決定が行われること)されるおそれなど、本人に不測の権利利益の侵害や個人の尊重や基本的人権の侵害が行われる危険が増大しています。

そこで個人情報保護法は、事業者が保有する個人データを第三者提供することを特に注意すべき行為と位置づけ、本人が自らの個人データの流通をコントロールすることができるように、個人データの第三者提供には原則として本人の同意が必要であるとする規制を設けています(個人情報保護法23条1項、岡村久道『個人情報保護法 第3版』241頁)。

一方、近年は企業などの業務の外部委託(アウトソーシング)が普及しており、例えばある企業におけるPCへの紙データの入力作業などの情報処理関係の業務を外部の事業者に委託する場面が増えています。このような「委託」については、個人データの提供先の事業者は提供元の事業者とは別の主体として形式的には第三者に該当するものの、委託のたびに本人の同意を取得することは煩雑であるなど、委託先の事業者を個人データの主体の本人との関係において委託元の事業者と一体のものとして取り扱うことに合理性があるため、第三者提供における「第三者」に該当しないものと個人情報保護法はしています。

そのため、個人情報保護法は、事業者が「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴って当該個人データが提供される場合」、つまり「委託」の場合には第三者提供に該当しないので本人の同意やオプトアウト手続きは不要であるとしています(法23条5項1号、岡村・前掲262頁)。

(2)委託の混ぜるな危険の問題
しかし、「委託」とは上のように委託元の「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託すること」であるため、「委託された業務以外に当該個人データを取扱う」ことは「委託」に該当せず、これを本人の同意やオプトアウト手続きなしに行うことは原則に戻って本人の同意のない第三者提供として違法となります(法23条1項)。またこれは本人の同意のない個人データの目的外利用としても違法であり(法16条)、さらに委託元の事業者は個人データの安全管理措置に関する委託先の監督の義務違反にもなります(法22条)。

この違法となる「委託された業務以外に当該個人データを取扱うこと」の具体例として、個人情報保護法ガイドラインQ&A7-37の事例2(=旧ガイドラインQ&AQ&A5-26-2の事例(2))は、「複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合」をあげていますが、これがデータセンターなどにおける、いわゆる「委託の混ぜるな危険の問題」と呼ばれる事例です。

この「委託の混ぜるな危険の問題」が違法となるのは、そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、委託元が自らやろうと思えばできるはずのことを委託先に依頼することであり、したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないからであると解されています。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています(田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)。

3.CCCのT会員規約の改正による「他社データと組み合わせた個人情報の利用の明確化」
この点、2021年1月15日付でTポイントを運営するCCC カルチュア・コンビニエンス・クラブはT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行いました(T会員規約4条6項)。

T会員規約4条
6.他社データと組み合わせた個人情報の利用
当社は、提携先を含む他社から、他社が保有するデータ(以下「他社データ」といいます)を、他社が当該規約等で定める利用目的の範囲内でお預かりした上で、本条第2項で定める会員の個人情報の一部と組み合わせるために一時的に提供を受け、本条第 3 項で定める利用目的の範囲内で、統計情報等の個人に関する情報に該当しない情報に加工する利用および当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供(以下あわせて「本件利用」といいます)を行う場合があります。 なお、当社は、本件利用のための他社データを明確に特定して分別管理し、本件利用後に他社データを破棄するものとし、本件利用のための、前述、当該他社から当社への一時的な提供を除いては、それぞれの利用目的を超えて利用することも、当該他社その他第三者に対して会員の個人情報の一部または全部を提供することもありません。

CCC会員規約4条6項
(CCCサイトより)
・T会員規約等、各種規約の改訂について|CCC
・T会員規約 新旧比較表|CCC

つまり、CCCが2021年1月に規約改正を行って新設した、T会員規約4条6項は、①後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」と、②前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」の2つを行うことを明確化する内容となっています。

4.CCCのT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」(旅行代理店Bの事例)について
(1)CCCのT利用規約4条6項後段・「旅行代理店Bの事例」
このT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」について、CCCのプレスリリースはつぎのような具体例と図で説明しています。

CCC旅行代理店の事例
(CCCのプレスリリースより)

このT会員規約4条6項後段「旅行代理店Bの事例」は、旅行代理店Bが、「まだハワイに旅行していない人にハワイ旅行を販売促進したい」という意図で、旅行代理店Bが、「自社の保有するハワイに旅行したことのある人の顧客リスト」(B社の他社データ)をCCCに預け(委託、個人情報保護法23条5項1号)、CCCは「B社の他社データである顧客リストと、CCCの保有するT会員の個人データを突合し、「旅行代理店Bを利用してハワイ旅行をした人の趣味・嗜好・社会的属性などの特徴を分析」し、「ハワイ旅行に興味がありそうな人」を把握し、T会員の個人データの個人から、旅行代理店Bの顧客リストのハワイ旅行に行ったことのある人を除外し、その除外されたハワイ旅行に興味がありそうなT会員の個人(見込み客)に対して、ダイレクトメールなどでハワイ旅行の販売促進を行うという内容になっています。

(2)個人情報保護法ガイドラインQ&A7-41
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-41はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-41 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)

PPC個人情報ガイドラインQA7-41
(個人情報保護委員会サイトより)
・個人情報保護法ガイドラインQ&A(令和2年改正法関係)|個人情報保護委員会

つまり、個人情報保護法ガイドラインQ&A7-41が解説するとおり、CCCなど共通ポイント制度により複数の委託元の企業から個人データの管理などの委託を受けている事業者や、複数の委託元から個人データの管理などの委託を受けているデータセンターなど、独自に収集した個人データを保有している事業者は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先(=CCCなど)は、委託に伴って委託元(=旅行代理店Bなど)から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはでき」ないのです。

そして、同Q&A7-41の事例2は、「委託」として行うことができない具体例として、「既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること」と、CCCのT会員規約4条6項後段の旅行代理店Bのそっくりそのままの事例をあげています。

したがって、このCCCの旅行代理店Bの事例、つまりT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」は個人データの「委託」として行うことは違法であり、許されないことになります(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、CCCや旅行代理店Bは、この違法状態を回避するためには、個人情報保護法ガイドラインQ&A7-41が解説するとおり、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

(3)CCCマーケティングの「ハワイ州観光局」の事例
この点、CCCカルチュア・コンビニエンス・クラブ株式会社の子会社であるCCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「ハワイ州観光局」の事例が掲載されています。
・事例 ハワイ州観光局 CCCグループアセットの結集が実現する「五感に訴える観光地マーケティング」|CCCマーケティング

CCCマーケティングハワイ州観光局
(CCCマーケティング社サイトより)

このハワイ州観光局の事例は、上のT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」つまり「旅行代理店B」の事例と非常によく似ており、CCCはこの事例を念頭にT会員規約4条6号後段を新設したのであろうと思われます。

このCCCマーケティングのハワイ州観光局の事例の解説を読むと、「ハワイ州観光局では、ハワイ諸島のひとつであるハワイ島の渡航者数増加のために、2019年11月~12月にかけ、CCCマーケティングをパートナーとしてキャンペーンを実施した」とあります。

同サイトの解説によると、ハワイ州観光局の担当者は、「今回の施策では、リーチするべきターゲットを『海外旅行には行くが、ハワイには行ったことがない』、『ハワイには行ったことがあるが、ハワイ島には行ったことがない』というお客さまと設定したのですが、課題となったのが、アプローチするべきターゲットの顧客データでした」。「私たちでも、CRMや会員制公式ポータルサイト『allhawaii(オールハワイ)』、さらにソーシャルメディアなどで保有しているデータは、数十万件あります。ただ、その多くは、すでにハワイのファンとなっている顧客のデータであり、今回のキャンペーンのターゲットとは異なります。

そのため、ハワイ州観光局は、同局が保有する「すでにハワイのファンとなっている顧客のデータ」などの数十万件の個人データをCCCマーケティングに委託し、CCCはその他社データをCCCの保有するT会員の個人データと突合し分析を行い、ハワイ旅行に行きそうな見込み客の趣味・嗜好・社会的属性などの特徴を分析し、その特徴に合致する個人データを持つT会員から、すでにハワイ旅行に行ったことのあるT会員の個人データを除外し、残りの見込み客のT会員に対してDMを送信したり、蔦屋書店でハワイ旅行のキャンペーンを実施するなどの販売促進を、ハワイ州観光局とともに実施したようです。

このCCCマーケティングのハワイ州観光局の事例は、上でみた個人情報保護法ガイドラインQ&A7-41の事例2に該当するので、これをCCCが「委託」のスキームで行った場合は、それはガイドラインQ&A7-41などが施行となる2022年4月以降は完全に違法となります。

CCCおよびハワイ州観光局は違法状態を回避するためには、同ガイドラインQ&A7-41が解説するように「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

5.CCCのT利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について
(1)健康飲料メーカーAの自社の顧客の趣味・嗜好や社会的属性などを分析するための委託
T利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について、CCCのプレスリリースはつぎのような具体例と図で説明しています。
CCC健康飲料メーカーの事例
(CCCのプレスリリースより)

つまり、「自社の青汁を飲んでくれている顧客はどんな人々なのだろう?」と顧客の趣味嗜好や社会的属性などを知りたい健康飲料メーカーAが、自社の青汁を飲んでくれる顧客の個人データ(他社データ)をCCCに委託し、CCCはCCCの保有するT会員の個人データと健康飲料メーカーAの他社データを突合し、A社の青汁を飲んでいるT会員の個人データを分析し、その趣味・嗜好や社会的属性などを割り出し、それを統計データなどにした上でA社に戻し、A社は自社商品のマーケティングなどに当該データを利用すると説明されています。

(2)個人情報保護法ガイドラインQ&A7-42
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-42はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-42 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合し、新たな項目を付加して又は内容を修正して委託元に戻すことはできますか。

A7-42 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1) (略)
事例2) 顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと

これらの取扱いをする場合には、委託先において本人の同意を取得する等、付加・修正する情報を委託元に適法に提供するための対応を行う必要があります。(後略)(令和3年9月追加)

PPC個人情報QA7-42の1
PPC個人情報QA7-42の2
(個人情報保護委員会サイトより)

このように、個人情報保護法ガイドラインQ&A7-42は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。」としています。

そしてその具体例として、事例2は、「顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと」をあげています。

したがって、CCCのT会員規約6条の4前段の「「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」つまり健康飲料メーカーAの事例も、健康飲料メーカーAが自社の顧客情報をCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいてA社の青汁の顧客の趣味・嗜好や社会的属性などを分析し、それらの新たな項目を付加したデータをA社に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、この健康飲料メーカーAの事例も個人情報の委託として違法です(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、この健康飲料メーカーAの事例も、CCCおよび健康飲料メーカーAが違法状態を回避するためには、CCCにおいて本人の同意を取得することなどが必要となります。

(3)CCCマーケティングの「タケシダ醤油」の事例
この点、CCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「タケシゲ醤油」の事例が掲載されています。

CCCマーケティングタケシゲ醤油
(CCCマーケティング社サイトより)
・事例 タケシゲ醤油 購買データの分析でヒット商品のさらなる価値向上を実現|CCCマーケティング

CCCマーケティング社サイトの解説によると、タケシゲ醤油はもともと食品会社など法人向けに製造販売していた「博多ニワカそうす」という調味料を一般消費者向けにも販売を行ったところ売上が好調であったため、「博多ニワカそうす」を購入する一般消費者の趣味嗜好や社会的属性などを分析してマーケティングを行いたいと、CCCに委託を行い、CCCは自社のT会員の個人データで「博多ニワカそうす」の顧客の個人データの突合を行い、同商品の顧客の趣味嗜好や社会的属性、人物像などを分析し、CCCはその分析データをタケシゲ醤油に戻し、そのデータをもとにタケシゲ醤油は「博多ニワカそうす」のレシピ本を作成するなどして、さらに同商品の売り上げの増加を行ったとされています。

博多ニワカそうすの顧客の人物像
(CCCマーケティング社サイトより)

しかしこのタケシゲ醤油の事例も、タケシゲ醤油の「博多ニワカそうす」の顧客の個人データをCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいて「博多ニワカそうす」の顧客の趣味・嗜好や社会的属性、モデルとなる人物像などを分析し、それらの新たな項目を付加したデータをタケシゲ醤油に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、このタケシゲ醤油の事例も個人情報の委託として違法であると思われます(法23条5項1号・法23条1項・法22条・法16条の違反)。

(4)CCCマーケティングの「チューリッヒ保険」の事例
また、CCCマーケティングのサイトの「事例」をみると、通販型の傷害保険などの損害保険会社のチューリッヒ保険の事例も掲載されています。
・事例 チューリッヒ保険 ユニークデータと徹底分析で実現する長期・安定的な顧客獲得|CCCマーケティング

CCCマーケティングチューリッヒ保険
(CCCマーケティング社サイトより)

このチューリッヒ保険の事例は、サイトの解説によると、チューリッヒ保険がもつ優良な見込み客のセグメント(集団)などの情報・データの改善のための分析をCCCに委託し、CCCはその見込み客のセグメントのデータをCCCのT会員の個人データで分析・加工し、CCCはよりよい見込み客のセグメントのデータを作成し、チューリッヒ保険に戻しているようです。このチューリッヒ保険の事例も、もしその過程でチューリッヒ保険が保有する既存顧客の個人データをCCCに委託などしてCCCがT会員の個人データと突合などをしていた場合は、個人情報保護法ガイドラインQ&A7-42などに抵触する違法な「委託」スキームの利用である可能性があります。

6.まとめ
本年1月15日にCCCカルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の委託の「混ぜるな危険の問題」に抵触する違法(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)なものであることは、本ブログで取り上げただけでなく、ネット上でも大きな社会的注目を受けました。

・CCCがT会員規約等を改訂→改訂後規約が想定する事例の違法性及び問題点が指摘される。|togetter

そして本年9月10日に個人情報保護委員会が公表した、令和2年法改正対応の個人情報保護法ガイドラインQ&A7-41、7-42など追加された個人情報の「委託」に関する解説は、上でみたように、CCCのT会員規約6条4項の「他社データと組み合わせた個人情報の利用」が個人情報の「委託」スキームとしてやはり違法であることを明確に示しています。

今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aは2022年4月から施行予定であるそうなので、CCCやCCCと個人データのやり取りを行っている事業会社などは、それまでに自社のデータビジネスが個人情報保護法などの法令に抵触していないか、今一度再検討が必要であると思われます。

また、今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aの「委託」に関する解説は、ネットやSNSにおける行動ターゲティング広告やDMP(Data Management Platform)などの事業に与える影響も大きいと思われます。これらの業務を行う企業の実務担当者の方々も、自社のビジネスモデルが個人情報保護法など法令に抵触していないか、今一度再検討が必要であると思われます。

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・河野太郎大臣がTwitterで批判的なユーザーをブロックすることをトランプ氏の裁判例や憲法から考えたー表現の自由・全国民の代表(追記あり)
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権

■参考文献
・岡村久道『個人情報保護法 第3版』241頁、262頁
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会





















このエントリーをはてなブックマークに追加 mixiチェック

computer_server
1.CCCがT会員規約などを改定
Tポイントやツタヤ図書館などを運営するCCC(カルチュア・コンビニエンス・クラブ株式会社)の1月15日付のプレスリリースによると、同社はTポイントの個人情報・個人データの利用規約・プライバシーポリシーなどを一部変更したとのことです。

・T会員規約等、各種規約の改訂について|CCC

2.「他社データと組み合わせた個人情報の利用」の明確化
そのプレスリリースでは、CCCが個人情報・個人データの利用方法として新たにプライバシーポリシーなどに明確化したという使い方が説明されています(T会員規約4条6項)。

・T会員規約 改訂前後比較表|CCC

これは、おおざっぱにいうと、CCCが他社から他社の個人データを受け取り、CCCの持つ個人データと突合して分析・加工した個人データまたは統計データを生成して利用するというものですが、これは個人情報保護法上の委託スキームの、いわゆるデータセンター等における「混ぜるな危険の問題」に抵触してないでしょうか。

T会員規約4条6項
6.他社データと組み合わせた個人情報の利用
当社は、提携先を含む他社から、他社が保有するデータ(以下「他社データ」といいます)を、他社が当該規約等で定める利用目的の範囲内でお預かりした上で、本条第2項で定める会員の個人情報の一部と組み合わせるために一時的に提供を受け、本条第 3 項で定める利用目的の範囲内で、統計情報等の個人に関する情報に該当しない情報に加工する利用および当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供(以下あわせて「本件利用」といいます)を行う場合があります。
なお、当社は、本件利用のための他社データを明確に特定して分別管理し、本件利用後に他社データを破棄するものとし、本件利用のための、前述、当該他社から当社への一時的な提供を除いては、それぞれの利用目的を超えて利用することも、当該他社その他第三者に対して会員の個人情報の一部または全部を提供することもありません。

CCC他社データと組み合わせた個人情報の利用
(CCCサイトより)

3.飲料メーカーA社の事例(統計データ)
CCCのプレスリリースは、このT会員規約4条6項について、「飲料メーカーA社の事例(統計データ)」と「旅行代理店B社の事例(個人データ)」の二つの図を用意しているので、この二つの図で考えてみます。

飲料メーカーA社
(CCCサイトより)

まず一つ目の、飲料メーカーA社の事例では、飲料メーカーA社(他社)の他社個人データAをCCCがデータの分析・加工のために受取り(「委託」、個人情報保護法23条5項1号)、その他社個人データAとCCCの個人データを突合し、CCCの個人データに該当する個人の属性・嗜好などを分析した統計データ等を作成し、A社に渡すとなっています。

しかし、この事例のような個人データの委託元A社と委託先のCCCの個人データを混ぜて取り扱うことは禁止されています。

これは、たとえば、A社の個人データAとCCCの個人データを個人個人で本人同士突合し分析などを行うことがそれに該当します。つまり、個人データAとCCCの個人データの突合は、例えばD社、E社等などからCCCが本人同意の基に第三者提供を受けた個人データÐ・Eなどの合成されたCCCの個人データとの突合ということになります。委託のスキームをとらない本来の場合であれば、A社はD社、E社などから本人同意に基づく第三者提供を受けた上で個人データの突合が許されるわけですが、委託というスキームは、この第三者提供における本人同意の取得の省略を許すものではありません。(田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)

そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、委託元が自らやろうと思えばできるはずのことを委託先に依頼することです。したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないのです。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています。(田中・北山・前掲『ビジネス法務』2020年8月号30頁)

この点は、個人情報保護委員会の個人情報保護法ガイドラインQ&A5-26-2の事例(2)にも明示されています。また、個人データを本人ごとに突合して作成するデータが匿名加工情報などであっても、これは同様であると同QA11-13-2に明記されています。

個人情報QA5
(個人情報保護委員会サイトより)

したがって、CCCの明確化した新しい個人情報の取扱である、T会員規約4条6項の「飲料メーカーA社の事例(統計データ)」については、個人情報保護法23条1項、個人情報保護法ガイドラインQ&A5-26-2・11-13-2に違反しており、許されないものであると思われます。また、このような個人データの取扱は、法16条の定める目的外利用の禁止に抵触するおそれもあります(岡村久道『個人情報保護法 第3版』262頁)。

4.旅行代理店Bの事例(個人データ)
つぎに、二つ目のT会員規約4条6項の「旅行代理店Bの事例(個人データ)」は、旅行代理店Bから受け取った個人データBをCCCの個人データと本人同士で突合し、加工した結果の「個人データ」を「CCC」が自社のマーケティングや販売促進等に利用するようです。

旅行代理店B社
(CCCサイトより)

つまり、こちらも、上の飲料メーカーAの事例と同様に、突合してはいけない個人データBとCCCの個人データを本人同士で突合していますし、作成するのは統計データや匿名加工データ等ではなく、個人データのようであり、さらに当該個人データを販売促進などに利用するのはCCCのようです。

すなわち、個人データの委託というより、CCCの主導による他社の個人データの突合による個人データの利用のようです。したがって、これはそもそも個人情報保護法23条5項1号の委託のスキームを踏み越えているので、CCCは、原則に戻って、B社から本人同意に基づく第三者提供(法23条1項)によって個人データBを受け取っていない限り、この取り扱いは許されないことになると思われます。

5.まとめ
最近の世の中は、ビッグデータやAI、DX、官民のデジタル化という用語をニュースなどで聞かない日はないような状況ですが、CCCはデジタル化に少し浮かれ過ぎているのではないかと心配になります。

2019年の就活生の内定辞退予測データに関するリクナビ事件においては、リクナビだけでなくトヨタ等の採用企業側に対しても、個人情報保護委員会と厚労省から、「社内において個人情報保護法などの法令を十分に検討していない」として安全管理措置違反(法20条)があったとして行政処分・行政指導が出されたことを、個人情報取扱事業者の大手のCCCは失念しているのではないでしょうか(個人情報保護委員会・令和元年12月4日付「個人情報の保護に関する法律に基づく行政上の対応について」)。

CCCによるとTポイントの会員は約6900万人、提携企業数は188社、店舗数は1,052,092店舗(2019年3月現在)であるとのことであり、CCCの個人情報のデータベースには日本国民の50%を超える人間の個人データが集積されていることになります。そのような莫大な個人データを預かる企業市民としてのCCCの社会的責任、法的責任は重大であると思われます。

■関連するブログ記事
・CCCがT会員6千万人の購買履歴等を利用してDDDを行うことを個人情報保護法的に考える
・Tポイントのツタヤ(CCC)がプライバシーマークを返上/個人情報保護法の安全管理措置
・海老名市立中央“ツタヤ”図書館に行ってみた/#公設ツタヤ問題
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

■参考文献
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・岡村久道『個人情報保護法 第3版』262頁














このエントリーをはてなブックマークに追加 mixiチェック

武雄市図書館
1.はじめに
佐賀県の武雄市がカルチュア・コンビニエンス・クラブ株式会社(CCC)に地方自治法の定める指定管理者制度により武雄市図書館を業務委託し開館した際に、蔵書購入で違法な支出があったとして、市民が当時の責任者だった樋渡啓祐前市長らに約1900万円を賠償請求するよう佐賀県武雄市に求めた住民訴訟において、佐賀地裁は昨年9月28日、住民側の請求を棄却する判決を出しました(佐賀地裁平成30年9月28日判決、法学セミナー770号117頁)。

2.事案の概要
2012年、武雄市は同市が設置する武雄市図書館のリニューアルを計画し、2013年4月から代官山蔦屋書店などを運営するCCCを指定管理者として同図書館を運営させることとした。2012年11月、武雄市とCCCは、新図書館サービス環境整備業務に関する業務委託契約(「本件契約」)および新図書館空間創出業務に関する業務委託契約(「本件別契約」)を締結した。本件契約は蔵書1万冊の納入などについて、本件別契約は什器・照明の設置などについて定めていた。2013年5月、副市長(当時)は本件契約に基づく委託料の支出命令を行った。

2015年、同図書館リニューアル時に金銭の調整が行われ、蔵書1万冊について、新刊ではなく中古本を購入することで蔵書購入価格が約756万円に抑えられ、約1200万円の金銭が館内の安全対策のための追加工事に流用されていたことが発覚した。また、リニューアル当時より、蔵書の選書の分野の集中や、複数冊の重複などの問題も指摘されていた。

これを受けて武雄市の住民であるXらは、本件契約に基づく蔵書の納入について、CCCによる最終見積りによれば約1958万円であったにもかかわらず、実際には約756万円しか執行されておらず、残りの金銭が本件別契約に関する追加工事に流用されていたことは違法である等と主張して住民監査請求を行ったが棄却された。そのためXらが提起したのが本件住民訴訟である(地方自治法242条の2)。

3.判旨
請求棄却(控訴)。
判旨1
 1958万円余で1万冊の書籍を購入するということは、最終的な見積りの金額を算出するための明細の一部にすぎない。本件契約においては、契約金額の内訳は明示されていないし、本件契約書に見積書が引用されていない。本件契約書と一体の本件仕様書には、「蔵書となるべき書籍の購入」「蔵書購入1万冊」といった記載はあるが、書籍の購入にかかる金額の記載はない。そうすると、見積書の記載をもって、CCCが、本件契約において、1万冊の蔵書を購入する費用として1958万円余を使う債務を負っていたとはいえない。』

判旨2
 武雄市図書館のリニューアル業務において最も重視されたのは、代官山蔦屋書店のコンセプトおよびノウハウを図書館に導入すること、リニューアルするに当たり、同店を運営するCCCが主導的役割を果たすことである。図書館への導入が想定されていたのは、書籍等を通じてライフスタイルを提案する場を作ること、同店と同じような空間を演出することなどであるから、その中には当然書籍の選定も含まれる。同店のコンセプトおよびノウハウを熟知しているのはCCCであるから、武雄市としても、具体的な書籍の種類、内容、構成などについては、広く同社に委ねるほかはない。

そうすると、本件契約上、CCCが書籍に関して追う債務は、代官山蔦屋書店のコンセプトおよびノウハウを図書館に導入するため、書籍等を通じてライフスタイルを提案する場を作り、同店と同じような空間を創出するのにふさわしい書籍1万冊を、広い裁量の下で自ら選び出し、納入することであったというべきである。』

4.検討
本判決に反対。

(1)公立図書館の趣旨・目的
本訴訟の対象となっているいわゆるツタヤ図書館は、代官山蔦屋書店のような民間施設ではなく、公立図書館であるため、その法的な趣旨・目的が問題となります。

この点、図書館法1条は、「この法律は、社会教育法の精神に基づき、図書館の設置及び運営に関して必要な事項を定め、その健全な発展を図り、もって国民の教育と文化の発展に寄与することを目的とする」と、「社会教育法の精神」を前提としていることから、公立図書館は、すべての国民の教育を受ける権利(憲法26条)の保障を基本的精神としています。

つぎに、公立図書館の設置・運営に関する事項は、地方自治体の自治事務ですが、図書館法は、図書館奉仕(=サービス)の例示(3条)、図書館評価の実施(7条の3)、図書館協議会の設置(14条)、公立図書館の無償制(17条)など、地方自治体と公立図書館に対して一定の制約を加えています。

このような図書館法の規制は、「図書館の健全な発展」と「国民の教育と文化の発展」つまり国民の教育を受ける権利を保障するために、個々の地方自治体の施策を越えて、「全国画一的保障=ナショナル・ミニマム確保の見地から、それぞれの図書館が提供する役務・サービスの最低限度の内容あるいはその利用手続き」について法律で定めたものと解されています(塩見昇・山口源治郎『新図書館法と現代の図書館』101頁)。

すなわち、図書館法3条各号の図書館奉仕の規定などは、国民の教育を受ける権利を保障する観点から、図書館の最低条件(ナショナル・ミニマム)を確保するためのものです。そのため、地方自治体および公立図書館はこうした図書館の最低条件を達成したうえで、「土地の事情および一般公衆の希望」(3条)に沿った創意工夫に富む図書館サービスを展開すべきと解されています。

(2)図書館の蔵書の収集
この点、本訴訟ではCCCによる武雄市図書館の蔵書の収集の妥当性が大きな争点となっていますが、図書館法3条1号は、図書館奉仕の一つとして「図書、記録、視聴覚教育の資料その他必要な資料(略)を収集し、一般公衆の利用に供すること」と規定しているところ、CCCは蔵書の収集にあたり、新刊ではなく中古の図書を収集しており、また、蔵書の選書の分野の集中や、複数冊の重複などの問題も発生していました。

そのため、武雄市図書館を指定管理者として運営するCCCは、図書の収集にあたり図書館の最低条件たる図書館法3条1号を満たしておらず、その運営は違法・不当です。

(3)「武雄市図書館のリニューアル業務において最も重視されたのは、CCCが主導的役割を果たすこと」の妥当性
本件判決において一番驚くべきことは、裁判所が武雄市図書館について、判旨のとおり「武雄市図書館のリニューアル業務において最も重視されたのは、代官山蔦屋書店のコンセプトおよびノウハウを図書館に導入すること、リニューアルするに当たり、同店を運営するCCCが主導的役割を果たすことである」とし、その上で「同店のコンセプトおよびノウハウを熟知しているのはCCCであるから、武雄市としても、具体的な書籍の種類、内容、構成などについては、広く同社に委ねるほかはない。」と言い切って平然としている点です。

しかし”代官山蔦屋書店をそのまま武雄市に持ってくる”ことをコンセプトとして図書館を集客施設とし、それにより「町おこし」や「街のにぎわいの創出」を目的として公立図書館をリニューアルすることが「土地の事情および一般公衆の希望」(図書館法3条)に照らし、地方自治の一環として仮に許容されるとしても、上でみたとおり、そのリニューアルは公立図書館の「図書館の最低条件(ナショナル・ミニマム)」を達成したうえで実現されなければ違法となります。

そもそも公立図書館などの「公の施設」を指定管理者制度により「民営化」することが許される要件は、「公の施設の設置の目的を効果的に達成するため必要があると認めるとき」です(地方自治法244条の2第3項)。

すなわち、図書館の開館時間の長期化、開館日数の増加などだけでなく、図書館法3条各号が例示する、レファレンスの充実、図書・蔵書の充実などが「効果的に達成」されることが求められるのです(鑓水三千男『図書館と法』84頁)。

この点、武雄市および本判決は、武雄市図書館のリニューアルは、蔵書の品質などはどうでもよいことであって、「代官山蔦屋書店のコンセプトおよびノウハウを図書館に導入すること」により町おこしをする目的であると開き直っていますが、これらは図書館法の定める公立図書館の目的外のものであって、図書館法の趣旨および地方自治法244条の2第3項の解釈・適用を誤った違法なものです。

(4)武雄市教育委員会はCCCに白地委任をすることが許されるのか
さらに本判決は、「同店のコンセプトおよびノウハウを熟知しているのはCCCであるから、武雄市としても、具体的な書籍の種類、内容、構成などについては、広く同社に委ねるほかはない。」とも述べていますが、地方自治体(教育委員会)が公の施設たる図書館の設置・運営に関し、民間企業たる指定管理者に白地委任ともいうべき全面的な委任をすることが許容されるのでしょうか。

この点、公立図書館は社会教育施設として自律的に運営されるべきであり、国・自治体からの不当な介入は許されないという制度設計がなされている一方で、各自治体の社会教育を所轄する教育委員会が公立図書館を指揮監督する構造となっています(社会教育法9条の3、11条、12条、地方教育行政の組織及び運営に関する法律19条、21条、鑓水・前掲78頁)。

地方自治法も、地方自治体に指定管理者に対する報告徴求、実地調査、指示、指定の取消などの規定を置いており、地方自治体が指定管理者を管理監督する制度となっています(地方自治法244条の2第10項、11項)。

したがって、武雄市の教育委員会がCCCに武雄図書館のリニューアル・運営を丸投げしている状況と、それを追認してしまっている本判決は、社会教育法などの関連法規の観点からも違法・不当といえます。

本件住民訴訟は控訴がされているそうであり、上級審で適切な判断がなされることが望まれます。

■関連するブログ記事
・海老名市ツタヤ図書館に関する住民訴訟判決について

■参考文献
・児玉弘「CCCを指定管理者とする武雄市図書館に関する住民訴訟」『法学セミナー』770号117頁
・塩見昇・山口源治郎『新図書館法と現代の図書館』101頁
・鑓水三千男『図書館と法』78頁、84頁















このエントリーをはてなブックマークに追加 mixiチェック

o0640048013443134405

1.はじめに
『判例地方自治』平成30年7月号55頁に、海老名市のいわゆるツタヤ図書館に関する住民訴訟の地裁判決が掲載されていました。結論として住民側敗訴の残念な内容の判決です。なお本判決は、公立図書館の指定管理者に関する住民訴訟の判決としては、公開された判決として初のものと思われ、先例的な意義があります。

2.横浜地裁平成29年1月30日判決(一部却下・一部棄却・控訴(控訴棄却))
(1)事案の概要
海老名市は、 市立中央図書館の管理・運営について、地方自治法244条の2 第3項の指定管理者制度を導人し、その指定管理者として、A共同事業体(カルチュア・コンビニエンス・クラブ(CCC)と図書館流通センターの共同事業体、以下「本件事業体」という。なお図書館流通センターは後に本件共同事業体から撤退した)を指定し、本件事業体との間で基本協定(以下「本件基本協定」という)を締結し、本件事業体に市立中央図書館の管理を委ねるとともに、市立中央図書館の大規模改修工事(以下「本件改修工事」という 。)を行った上で、本件事業体を構成するB社(CCC)に対し、市立中央図書館の一部を書籍等の販売及び喫茶の営業のために使用することを許可した(以下「本件許可」という)。

本件住民訴訟は、海老名市の住民である原告ら(X)が、市の執行機関である被告(海老名市長、以下Yとする)に対し、①本件基本協定は、市立図書館の指定管理者としての適格がない本件事業体との間で締結されたもので違法である旨主張して、本件基本協定を解約することを求め (請求1 )、 ②YがB社に対してした本件使用許可は、市立中央図書館の機能を著しく阻害し、かつ、権限なくされたものであるから違法である旨主張して本件使用許可を取り消すことを求めるとともに(請求2)、本件使用許可をした当時の市長であるCに対して本件使用許可により市が被った損害の賠償請求をすることを求め(請求3)、③市が指定管理者である本件事業体に市立中央図書館の図書購入を委託してその支払を代行させることは違法である旨主張してこれを禁止することを求め(請求4)、④市が本件事業体に対して支出した平成26年度の指定管理料は杜撰な積算のため余剰を生じ、また、本件改修工事にはB社の営業を支援するために行われた必要性のない工事が含まれていたと主張して、上記指定管理料の支出及び本件改修工事に係る請負契約(以下「本件請負契約」という。)締結の当時の市長であるCに対し、当該支出及び本件請負契約締結により市が被った損害の賠償請求(請求5 )をすることを求めた訴訟である。

(2)裁判所の判断
横浜地裁は、Xの請求1、請求2、請求4について、地方自治法242条の2第1項各号の定める住民訴訟の各類型のいずれにも該当しない、あるいはXには訴えの利益がない等の理由により却下しました。

その上で、横浜地裁はXの請求3について次のように判示しています。

『地自法242条の2第1項が定める住民訴訟は、地方財務行政の適正な運営を確保することを目的とし、その対象とされる事項は同法242条第1項の定める事項、すなわち、公金の支出、財産の取得、管理若しくは処分、契約の締結若しくは履行若しくは徴収、管理若しくは債務その他の義務の負担、又は、公金の賦課若しくは徴収若しくは財産の管理を怠る事実に限られるのであり、これらの事項はいずれも財務会計上の行為又は事実としての性質を有するものである。

したがって、 請求3に係る訴えが適法といえるためには、Yがした本件使用許可が、中央図書館の財産的価値に着目し、その価値の維持、保全を図る財務的処理を直接の日的とする財務会計上の行為としての財産管理行為に当たるものでなければならないと解するのが相当である (最高裁平成2年4月12日第一小法廷判決、民集44第31頁参照)。

地教法21条2項所定の教育財産である中央図書館の目的外利用についての使用許可(地自法238条の4 第7項)は、本来、市の教育財産の管理権限を有している市教委(地教法21条2号)が、その管理行為の一環として行うべきものである。

そして、地教法は、教育財産について、その取得及び処分を地方公共団体の長の権限とする一方で(22条4 号)、その管理を教育委員会の権限としていること(21 条2号)、 地自法238条の4第7項の許可を受けてする行政財産の使用については借地借家法の適用がなく(同条8項)、当該使用を許可した場合において、公用若しくは公共用に供するため必要が生じたとき等は、普通地方公共団体の長又は委員会はその許可を取り消すことができるとされており(同条9項)、使用料の額の決定及び減免については別途の処分が予定されていること (同法225条、 228条1項前段参照) に照らせば、 市の教育財産である図書館の目的外使用の許否処分それ自体は、教育行政を所掌する教育財産の管理である市教委が、 教育上及び公共上の政策的な見地から、図書館施設の管理に係る教育行政上の処理を直接の目的としてその許否を決すべき処分というべきであって、当該図書館施設の財産的価値に着目し、その価値の維持、保全を図る財務的処理を直接の目的とする財務会計上の行為としての財産管理行為には当たらないと解するのが相当である。

そして、 中央図書館の本件目的外使用につきYがした本件使用許可は、 許可権限のないYが誤って行ったものであるが、 そうであるからといって、教育上及び公共上の政策的見地から図書館施設の管理に係る教育行政上の処理を直接の目的としてその許否を決すべき処分である図書館の使用許可の性質が変わるものではないから、Yがした本件使用許可も、財務会計上の行為としての財産管理行為に当たらないというべきである。

そうすると、Yがした本件使用許可は、地自法242条1項が定める住民訴訟の対象となる行為であるということはできない』。

このように裁判所は判示し、請求3について却下しています。また、請求5についても裁判所は形式的な審査を行い「本件改修工事はB社の営業支援のために行われたとはいえない」と棄却しています。そして結論として、住民Xらの主張をすべてしりぞけています。

3.検討・解説
(1)住民訴訟の対象
住民訴訟の対象となる事項(地方自治法242条の2第1項)は財務会計行為に限るとされていますが(最判平成2・4・12)、何が財務会計行為かが本件訴訟のように問題となることが少なくありません。

(2)指定管理者制度
指定管理者の指定(地方自治法244条の2第3項)については、市立駐車場の運営に指定管理者を指定した事案において、指定管理者の指定は、当該公共要物の財産的価値の維持、保全を図る財務処理を直接の目的とする財務会計上の行為にあたらないとする裁判例が存在します(大阪地判平成18・9・14、判例タイムズ1236号201号)。このように、裁判例においては、財務会計行為該当性を判断するにあたり、財務会計処分を直接の目的としているかを重視する傾向がみられます(宇賀克也『地方自治法概説 第7版』357頁)。

このような裁判例に対しては、「公物の公物管理権は、当該公物の所有権から派生する権能であると解すれば、公の施設=公物を所有している自治体は、所有権に内包されている管理権限の1つとして管理者を指定する権能を行使することが地自法により認められているのである。それ故に管理者を指定する権能は当然にして財産的側面を有しているのである。それゆえ、住民訴訟の対象性が認められるべきである。すなわち、公の施設=公物の管理に関して、財産的管理と公物の機能管理を截然と区分(することはできない。)」(寺田友子「公の施設の管理外部化にみる住民訴訟」『桃山法学』7号31頁)との批判がなされています。

また、指定管理者の指定の問題は本件訴訟も否定するとおり、取消訴訟などの訴訟類型では争えないものです。そのため、住民としては指定管理者による公の施設の運営などに違法・不当の疑義がある際に住民訴訟で争えないとなれば、指定管理者制度による公の施設の運営は、司法審査が及ばないブラックボックスとなってしまい、これは妥当とは思われません。

(3)先行行為・後行行為論
なお、住民訴訟の場面においても、先行行為に違法があった場合にはその違法性は後行行為である財務会計行為に承継され、当該財務会計行為は住民訴訟の対象となるとするのが判例です(最判昭和60・9・12、宇賀・前掲375頁)。本件訴訟は、海老名市の予算執行部門による指定管理費の支給を後行行為として住民訴訟を提起する道もあったかもしれません。

(4)ツタヤ図書館
ツタヤ図書館は、「町おこし」「街のにぎわいの創出」を目的として、海老名市立中央図書館のおよそ半分の面積を目的外利用で本屋や喫茶店、各種のグッズ売り場とし、大音響のBGMを館内で流し、ツタヤの営業部分が主で図書館機能は従の関係になっています。そして図書館機能をみても、利用者にわかりにくい図書の「独自分類」を採用し図書を配架・分類しており、また、肝心の図書も1990年代、00年代の本が多く並んでいる状態です。

o0640048013443251740
(WindowsXPの図書が大量に並んでいる海老名市立中央図書館。2015年当時。)

図書館法1条は、図書館の目的を「社会教育法の精神に基づき、図書館の設置及び運営に関して必要な事項を定め、その健全な発達を図り、もって国民の教育と文化の発展に寄与することを目的とする」と規定しています。

解説書によれば、「社会教育法の精神」とは、「教育を受ける権利」(憲法26条)であり、同法は、「国民の教育と文化の発展に寄与する」ために、個々の地方自治体の施策を超えて、「全国画一的保障=ナショナル・ミニマム確保の見地から、それぞれの図書館施設が提供する役務・サービスの最低限度の内容あるいはその利用手続き」を規定したものであるとされています(塩見昇・山口源治郎『新図書館法と現代の図書館』98頁、101頁)。

また、図書館は利用者・国民の「知る権利」(憲法21条1項)に奉仕する公の施設であり、その機能は民主主義の土台でもあります。

図書館法3条は、それぞれの自治体・図書館が「土地の事情及び一般公衆の希望」に沿った創意工夫を行うことも規定していますが、しかしそれは同法3条各号が掲げる、図書・郷土資料等の収集・一般公衆への提供(1号)、図書の分類配置・目録の整備(2号)、レファレンス(3号)などのナショナル・ミニマムの役務・サービスを達成した上で行なわれるべきものです。

利用者・国民の「教育を受ける権利」や「知る権利」・民主主義ではなく、「町おこし」「街のにぎわいの創出」を目的としたCCCを指定管理者とした全国のツタヤ図書館の導入・運営は、図書館法1条に抵触する違法なものであると思われます。

民間により行政が担ってきた公的事業の代替が認められるためには、いやしくも民間化によって、それまで行政により確保されてきた国民の憲法が保障する社会権・生存権がないがしろにされてはならないのです(晴山一穂『現代国家と行政法学の課題』161頁)。

4.まとめ
本件訴訟は住民側敗訴という残念な結果に終わりました。しかしそれは住民訴訟という訴訟類型に住民側の訴えが適合していなかったという形式的な理由に止まるのであり、裁判所はツタヤ図書館に積極的なお墨付きを与えたわけではありません。

ボールは海老名市議会や市当局、海老名市の住民の方々に戻されたものと思われます。海老名市議会にはツタヤ図書館問題の追及を続けておられる理性的な議員の方もおられます。そのような方々のより一層の奮闘が望まれます。

■関連するブログ記事
・海老名市立中央“ツタヤ”図書館に行ってみた

■参考文献
・『判例地方自治』平成30年7月号55頁
・宇賀克也『地方自治法概説 第7版』357頁
・寺田友子「公の施設の管理外部化にみる住民訴訟」『桃山法学』7号31頁
・塩見昇・山口源治郎『新図書館法と現代の図書館』98頁、101頁
・晴山一穂『現代国家と行政法学の課題』161頁

地方自治法概説 第7版

新図書館法と現代の図書館

現代国家と行政法学の課題―新自由主義・国家・法

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ