なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:信用スコア

ITmediaニュースによると、三菱UFJ信託銀行情報銀行事業を開始することを発表したそうです。

・三菱UFJ信託が情報銀行事業開始 Dprimeで「お金の代わりに個人情報を預かる」|ITmediaニュース
・情報銀行サービス「Dprime」ブランドアンバサダー・中田英寿氏の就任について|三菱UFJ信託銀行

記事によると、三菱UFJ信託銀行は、本人の同意のもとに、個人の氏名、住所などの情報とともに、趣味嗜好、位置情報・行動履歴、資産情報などを収集・保管して、本人が選択した企業に対して、本人の同意のもとにこれらの個人情報・個人データを第三者提供し、本人は当該企業から割引などの対価を受けるとのことです。

三菱信託銀行の情報銀行ビジネス
(ITmediaニュースより)

ところで、記事を読むと、「氏名、住所の詳細、メールアドレス等、個人が特定される法的に個人情報に該当するものは企業に第三者提供しない」と三菱UFJ信託銀行の方が記者会見で発表したとの点が個人的には非常に気になります。

三菱信託銀行法的に個人情報に該当する情報は第三者提供しない
(ITmediaニュースより)

この、「氏名、住所さえ消去すれば個人情報ではない」的な、まるで石器時代のような個人情報保護法の基本的な部分の誤解を前提にしたような発言は、本当に天下の三菱グループの、かつ金融機関の三菱UFJ信託銀行の方が発表したものなのでしょうか?そしてそれをIT系メディア大手のITmediaニュースの記者もツッコミを入れることなく報道してしまったのでしょうか?

記事によると、この三菱信託の情報銀行ビジネスのアンバサダーにはサッカーの中田英寿氏が就任したそうで、中田氏は「企業による個人データの利活用の重要性」を記者会見で力説したそうであり、この情報銀行ビジネスのアレな感じがさらに強調されているような気がします。

言うまでもなく、個人情報保護法2条1項1号は、「個人に関する情報」であって、かつ、「特定の個人を識別できるもの」は個人情報に該当すると定義しています。そのため、趣味嗜好、位置情報・行動履歴、資産情報などの情報・データも、この個人情報の定義に該当するものはやはり個人情報です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。

個人情報の定義『ニッポンの個人情報』
鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZineより

また、本年5月にパブコメで公表された、令和2年改正の個人情報保護法に対応する「個人情報保護法ガイドライン(通則編)」も、「行動履歴、閲覧履歴、位置情報・移動履歴、サービス利用履歴等も連続的蓄積されて特定の個人が識別できれば個人情報に該当すること」と、趣味・嗜好個人関連情報に該当すること」を明確化しています。

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について|e-GOV

■詳しくはこちら
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

そのため、行動履歴、資産情報等のデータの多くはおおむね個人情報に該当すると思われますが、「法的に個人情報に該当するものは提供しない」との三菱UFJ信託銀行は、この情報銀行ビジネスにおいて、相手方の企業に対して一体何を第三者提供するつもりなのか非常に疑問です。

情報銀行ビジネスを開始すると経営判断した三菱UFJ信託銀行の経営陣の判断能力も心配ですし、同行の法務部は、この情報銀行業を事前にしっかりリーガルチェックしたのだろうかと非常に心配です。(ITmediaニュースの記者の方の個人情報保護法の理解も。)

三菱UFJ信託銀行の情報銀行ビジネスは、個人情報保護法の基本的な理解が間違っていて、開始前からグダグダな予感がします。日本は、EUのGDPRやAI規制法案など、西側自由主義・民主主義諸国の個人データ保護法の流れからますます離れてゆくガラパゴスだと思わざるを得ません。

■関連する記事
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?
・みずほ銀行のみずほマイレージクラブの改正を考える-J.Score・信用スコア・個人情報
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた













このエントリーをはてなブックマークに追加 mixiチェック

tatemono_bank_money

1.みずほマイレージクラブが改正となる
みずほ銀行のプレスリリースによると、来年(2020年)3月1日から、ATMの料金などに関する優待制度の「みずほマイレージクラブ」が大きく改悪となり、全体的に利用者にとって厳しいものとなるようです。

・「みずほマイレージクラブ」のサービス内容の変更について|みずほ銀行

みずほマイレージクラブ改正図
(みずほ銀行サイトより)

このみずほマイレージクラブでは利用者を、Bステージ、Aステージ、Sステージ と三段階のステージに分けて条件を設定しています。

今回の改正では、投資信託など資産運用商品について、現在は「残高あり」の条件を満たすとSステージとなったものが、来年3月からは「合計100万円以上」に条件が変更になるようです。

また、預金などの「預かり資産」について、現在は「50万円以上」の条件を満たすと、Aステージとなったものが、来年3月からはこの条件が廃止となるようです。

さらに、コンビニATMについては、イーネットATM(ファミリーマート等)での手数料の一部無料は継続するようですが、セブン銀行およびローソン銀行は一部無料を完全に廃止するようです。

加えて、Bステージ・Aステージは、他行宛振込手数料の一部無料がこれも完全に廃止となるようです。

このように、みずほ銀行の制度改正により、全体的に顧客の利便性、みずほ銀行に口座を持っているメリットは大きく後退しそうです。

2.信用スコア「J.Score」の登場
ところで、今回のみずほマイレージクラブの改正においては、一番エントリーレベルのBステージに、「J.Score を利用し、スコアをみずほ銀行に提供すること」という条件を新たに創設していることが、この改正の一番のポイントといえるのではないでしょうか。

AI、フィンテック(Fintech)、「個人情報の利活用」、「データ経済」などの言葉がもてはやされる時代に、メガバンクの一角であるみずほ銀行が、数年前からJ.Scoreという信用スコア事業を行っているのが気味が悪いと思っていたのですが、今回のみずほマイレージクラブの改正で、ついにJ.Scoreがみずほの正面に出てきてしまいました。

Sステージ、Aステージの、いわば富裕層に対しては、J.Scoreによる個人情報を寄越せとは言わないが、Bステージのあまりお金のない人に対しては、「ATMの時間外手数料やコンビニATM手数料をちょっと無料にしてほしければ、個人情報の山である信用スコアをよこせ」と言うみずほ銀行の姿勢は、控えめにいっても、銀行、とくにわが国を代表するメガバンクの一つとしての品格がある姿勢とは思えません。(日銀のマイナス金利政策など、みずほ銀行側の事情は理解できますが。)

今はまだ、みずほマイレージクラブのエントリーレベルの条件のみにJ.Score を限定していますが、近い将来、みずほ銀行のすべてのサービスの条件になってしまうのではと、昔からの利用者としては不安になります。

あるいはもし今後、三菱UFJ銀行や三井住友銀行も、信用スコアを自社サービスの前提条件とするようになったら、メガバンクによる、信用スコアの国民への事実上の強制が始まってしまいます。中国のような監視社会を連想させるものがあります。

3.個人情報保護法
このような、みずほ銀行の、圧力営業的あるいは強要・脅迫的な手法で個人情報を取得するという手法は、「偽りその他不正な手段で個人情報を取得してはならない」という個人情報保護法17条に抵触しないのか、気になるところです。

また、少し前に炎上した、ヤフースコア(Yahoo!スコア)、LINEスコアなどと同様に、J.Scoreについても、「これまで利用者・顧客が各銀行サービスを利用する目的で各取引においてみずほ銀行に提供してきた個人情報・個人データの山を、みずほ銀行が信用スコア事業という別の事業の目的に使用してよいのか?」という目的外利用(同法15条、16条)の問題がやはり発生するように思われます。

あるいは、社会一般の事業会社、例えば自動車メーカー、百貨店・スーパー・コンビニなどの小売業などと比較して、銀行・金融機関は、利用者・国民に対して、時間的スパンの長い、継続的な取引とさまざまな種類の金融商品の取引により、時間的にも質的・量的にも非常に多い、顧客の個人データの山を保有しているように思えます。

「相手は銀行だから」と信頼してデリケートな内容を相談する顧客も多いでしょうし、資産情報そのものがデリケートな個人情報です。近年は銀行も保険の販売等を扱っているので、顧客やその家族の傷病の情報など、センシティブな個人情報を保有する度合いは高くなっていると思われます。

このような機微で大量の個人情報を保有する銀行・金融機関と、一般の事業会社を同列に扱い、一般の事業会社と同じように銀行・金融機関に簡単に信用スコア事業をさせてしまってよいのか、それが国民個人の権利利益や福利にかなうのか、大いに疑問です(同法3条)。

このような問題について、個人情報保護委員会や公取委はどう考えているのか、一国民として気になるところです。

■関連するブログ記事
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?


人気ブログランキング





このエントリーをはてなブックマークに追加 mixiチェック

ヤフースコア
1.はじめに
ヤフー株式会社は、本年7月1日(月)よりヤフーが保有するビッグデータから開発した独自のスコア「Yahoo!スコア」を同社と契約した事業者が活用できる新ビジネスの提供を開始することを発表しました。同社サイトによると、Yahoo!スコアとは、①本人確認の度合い、②信用行動度合い、③消費行動度合い、④Yahoo! JAPAN利用度合いを測る4カテゴリーに属するスコアと、それらを集約した総合スコアで構成されるとのことです。しかし、このヤフーの情報銀行的な新ビジネスは、個人情報保護法の定める特に目的外利用の禁止(15条、16条)などとの関係から適法といえるのでしょうか?

・ヤフーが保有するビッグデータから開発した「Yahoo!スコア」 7月1日よりビジネスソリューションサービスの提供を開始|ヤフー株式会社

2.個人情報の目的外利用の禁止
個人情報保護法は、「事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。」と定め(15条1項)、そして事業者は、「特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」と定められています(16条1項)。

つまり国民の個人情報・プライバシー保護のために、事業者は漠然とした目的ではなく、できるだけ具体的な特定された利用目的を策定し、それをウェブサイトなどで公表しなければならず、そして個人情報を本人から取得したあとも、それを利用目的の範囲を超えて取り扱ってはならないのです(目的外利用の禁止)。

3.ヤフーのプライバシーポリシー
この点、ヤフー株式会社のプライバシーポリシーをみると、個人情報の利用目的はつぎのように列挙されています。

2.パーソナルデータの利用目的
当社は、以下のことを行うためパーソナルデータを利用させていただきます。

(1) お客様に適したサービス等をご提供するため
(2) お客様からのお問い合わせに対応するため
(3) 商品の配送、代金請求、ポイント付与等をするため
(4) お客様にサービス等に関するお知らせをするため
(5) サービス等を安全にご提供するため。これには、利用規約に違反しているお客様を発見して当該お客様に通知をしたり、サービス等を悪用した詐欺や不正アクセスなどの不正行為を調査・検出・予防したり、これらに対応することが含まれます
(6) サービス等の改善および新たなサービス等を検討するため
(7) サービス等のご利用状況等を調査、分析するため

利用目的

・プライバシーポリシー|ヤフー株式会社

今回のYahoo!スコアは、6号の「サービス等の改善および新たなサービス等を検討するため」と7号の「サービス等のご利用状況等を調査、分析するため」が関わってくると思われますが、「Yahoo!Japanをご利用のお客さまの各サービスのご利用状況などのデータをスコア化し、当社が契約した事業者に当該スコアデータ等を第三者提供します」等とは明示されていません。したがって、ヤフーがプライバシーポリシーの改正を行うことなく7月1日以降、Yahoo!スコアの個人データを契約した事業者に第三者提供することは、個人情報の目的外利用であり違法です(15条、16条違反)。

あるいは産業技術総合研究所情報セキュリティ研究センター主任研究員の高木浩光先生がツイッター上で述べておられるとおり、「Yahoo!知恵袋」に質問を投稿したり回答を投稿しているユーザー達は、まさか自分たちの各行為が自分自身のスコア化に利用されているとは思わないでしょう。そのため、やはりヤフーの行っているスコア化は個人情報の目的外利用といえます。

さらに、ヤフーのサービス一覧をみると、「Yahoo!パートナー」、「Yahoo!しごと検索」などは、同じヤフーのサービスのなかでもより個人のデリケートな機微情報が含まれているように思われます。目的外利用の問題だけでなく、このようなサービスに基づく個人データをヤフーがスコア化することには疑問を感じます。

なお、今回のYahoo!スコアは、ヤフーのプレスリリースなどで「本人の同意に基づき」と大々的に宣伝されたにもかかわらず、自らの個人データのスコア化を望まないユーザーがスコア化を止めるサイトの場所が非常にわかりにくいことなど、ユーザーにとって非常に不親切なものです。

4.開示・訂正・利用停止などの請求権
このようにYahoo!スコアが個人情報保護法15条、16条違反であることから、Yahoo!のユーザーは、同法28条以下の条文に基づき、ヤフーに対して自分の個人情報について開示・訂正・利用停止・削除などの各措置を請求することができます。

5.個人情報保護委員会
また、ヤフーが約6600万人もの大量のユーザー・会員数であることから、今回のYahoo!スコアの影響範囲は大きいものと思われます。報告徴求・立入検査・助言・行政指導などの権限(40条以下)を有する個人情報保護委員会が何らかの対応すべきなのではと、一般人としては思います。


法律・法学ランキング

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ