なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:委託

CCC委託の混ぜるな危険の問題1
(CCCサイトより)

1.個人情報保護委員会が令和2年改正に対応した個人情報保護法ガイドラインQ&Aを公表
個人情報保護委員会(PPC)が、2021年9月10日に令和2年改正に対応した個人情報保護法ガイドラインQ&Aをサイトで公表しました。
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会

今回公表された令和2年改正対応の個人情報保護法ガイドラインQ&Aをみると、QA7-38からQA7-43までの5つのQAが、個人情報の第三者提供の「委託」(法23条5項1号)に関するものであり、とくにいわゆる「委託の混ぜるな危険の問題」について詳しく解説を行っていることが注目されます。

このブログでは、以前、2021年1月15日にTポイントを運営するCCC カルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の第三者提供の委託の「混ぜるな危険の問題」に抵触する違法なものであることを取り上げました(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)。
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」-なか2656のblog

今回の本ブログ記事では、9月10日にPPCが公表した令和2年法改正に対応した個人情報保護法ガイドラインQ&Aの個人情報の第三者提供の委託に関する解説をみて、CCCの1月15日のT会員規約4条6項の「他社データと組み合わせた個人情報の利用の明確化」がやはり「委託の混ぜるな危険の問題」に抵触し違法であることを確認してみてみたいと思います。

2.委託の「混ぜるな危険の問題」
(1)個人情報保護法の本人の同意の必要な第三者提供の例外としての「委託」
1970年代以降のコンピュータやAIなどの発達により、個人情報・個人データが本人の同意なしに無制限にある事業者から第三者へ提供された場合、本人に関する他の種類のさまざまな個人データとの突合・結合・加工が容易に行われ、第三者提供後に当該個人データがどのように利用され、流通するかなどが不明の状態におかれ、個人データの主体である本人のプライバシーが侵害されるおそれや、本人がそれらの個人データで勝手にプロファイリング(=コンピュータ・AIによる個人データの自動処理により法的決定や重要な決定が行われること)されるおそれなど、本人に不測の権利利益の侵害や個人の尊重や基本的人権の侵害が行われる危険が増大しています。

そこで個人情報保護法は、事業者が保有する個人データを第三者提供することを特に注意すべき行為と位置づけ、本人が自らの個人データの流通をコントロールすることができるように、個人データの第三者提供には原則として本人の同意が必要であるとする規制を設けています(個人情報保護法23条1項、岡村久道『個人情報保護法 第3版』241頁)。

一方、近年は企業などの業務の外部委託(アウトソーシング)が普及しており、例えばある企業におけるPCへの紙データの入力作業などの情報処理関係の業務を外部の事業者に委託する場面が増えています。このような「委託」については、個人データの提供先の事業者は提供元の事業者とは別の主体として形式的には第三者に該当するものの、委託のたびに本人の同意を取得することは煩雑であるなど、委託先の事業者を個人データの主体の本人との関係において委託元の事業者と一体のものとして取り扱うことに合理性があるため、第三者提供における「第三者」に該当しないものと個人情報保護法はしています。

そのため、個人情報保護法は、事業者が「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴って当該個人データが提供される場合」、つまり「委託」の場合には第三者提供に該当しないので本人の同意やオプトアウト手続きは不要であるとしています(法23条5項1号、岡村・前掲262頁)。

(2)委託の混ぜるな危険の問題
しかし、「委託」とは上のように委託元の「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託すること」であるため、「委託された業務以外に当該個人データを取扱う」ことは「委託」に該当せず、これを本人の同意やオプトアウト手続きなしに行うことは原則に戻って本人の同意のない第三者提供として違法となります(法23条1項)。またこれは本人の同意のない個人データの目的外利用としても違法であり(法16条)、さらに委託元の事業者は個人データの安全管理措置に関する委託先の監督の義務違反にもなります(法22条)。

この違法となる「委託された業務以外に当該個人データを取扱うこと」の具体例として、個人情報保護法ガイドラインQ&A7-37の事例2(=旧ガイドラインQ&AQ&A5-26-2の事例(2))は、「複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合」をあげていますが、これがデータセンターなどにおける、いわゆる「委託の混ぜるな危険の問題」と呼ばれる事例です。

この「委託の混ぜるな危険の問題」が違法となるのは、そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、委託元が自らやろうと思えばできるはずのことを委託先に依頼することであり、したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないからであると解されています。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています(田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)。

3.CCCのT会員規約の改正による「他社データと組み合わせた個人情報の利用の明確化」
この点、2021年1月15日付でTポイントを運営するCCC カルチュア・コンビニエンス・クラブはT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行いました(T会員規約4条6項)。

T会員規約4条
6.他社データと組み合わせた個人情報の利用
当社は、提携先を含む他社から、他社が保有するデータ(以下「他社データ」といいます)を、他社が当該規約等で定める利用目的の範囲内でお預かりした上で、本条第2項で定める会員の個人情報の一部と組み合わせるために一時的に提供を受け、本条第 3 項で定める利用目的の範囲内で、統計情報等の個人に関する情報に該当しない情報に加工する利用および当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供(以下あわせて「本件利用」といいます)を行う場合があります。 なお、当社は、本件利用のための他社データを明確に特定して分別管理し、本件利用後に他社データを破棄するものとし、本件利用のための、前述、当該他社から当社への一時的な提供を除いては、それぞれの利用目的を超えて利用することも、当該他社その他第三者に対して会員の個人情報の一部または全部を提供することもありません。

CCC会員規約4条6項
(CCCサイトより)
・T会員規約等、各種規約の改訂について|CCC
・T会員規約 新旧比較表|CCC

つまり、CCCが2021年1月に規約改正を行って新設した、T会員規約4条6項は、①後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」と、②前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」の2つを行うことを明確化する内容となっています。

4.CCCのT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」(旅行代理店Bの事例)について
(1)CCCのT利用規約4条6項後段・「旅行代理店Bの事例」
このT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」について、CCCのプレスリリースはつぎのような具体例と図で説明しています。

CCC旅行代理店の事例
(CCCのプレスリリースより)

このT会員規約4条6項後段「旅行代理店Bの事例」は、旅行代理店Bが、「まだハワイに旅行していない人にハワイ旅行を販売促進したい」という意図で、旅行代理店Bが、「自社の保有するハワイに旅行したことのある人の顧客リスト」(B社の他社データ)をCCCに預け(委託、個人情報保護法23条5項1号)、CCCは「B社の他社データである顧客リストと、CCCの保有するT会員の個人データを突合し、「旅行代理店Bを利用してハワイ旅行をした人の趣味・嗜好・社会的属性などの特徴を分析」し、「ハワイ旅行に興味がありそうな人」を把握し、T会員の個人データの個人から、旅行代理店Bの顧客リストのハワイ旅行に行ったことのある人を除外し、その除外されたハワイ旅行に興味がありそうなT会員の個人(見込み客)に対して、ダイレクトメールなどでハワイ旅行の販売促進を行うという内容になっています。

(2)個人情報保護法ガイドラインQ&A7-41
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-41はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-41 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)

PPC個人情報ガイドラインQA7-41
(個人情報保護委員会サイトより)
・個人情報保護法ガイドラインQ&A(令和2年改正法関係)|個人情報保護委員会

つまり、個人情報保護法ガイドラインQ&A7-41が解説するとおり、CCCなど共通ポイント制度により複数の委託元の企業から個人データの管理などの委託を受けている事業者や、複数の委託元から個人データの管理などの委託を受けているデータセンターなど、独自に収集した個人データを保有している事業者は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先(=CCCなど)は、委託に伴って委託元(=旅行代理店Bなど)から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはでき」ないのです。

そして、同Q&A7-41の事例2は、「委託」として行うことができない具体例として、「既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること」と、CCCのT会員規約4条6項後段の旅行代理店Bのそっくりそのままの事例をあげています。

したがって、このCCCの旅行代理店Bの事例、つまりT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」は個人データの「委託」として行うことは違法であり、許されないことになります(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、CCCや旅行代理店Bは、この違法状態を回避するためには、個人情報保護法ガイドラインQ&A7-41が解説するとおり、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

(3)CCCマーケティングの「ハワイ州観光局」の事例
この点、CCCカルチュア・コンビニエンス・クラブ株式会社の子会社であるCCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「ハワイ州観光局」の事例が掲載されています。
・事例 ハワイ州観光局 CCCグループアセットの結集が実現する「五感に訴える観光地マーケティング」|CCCマーケティング

CCCマーケティングハワイ州観光局
(CCCマーケティング社サイトより)

このハワイ州観光局の事例は、上のT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」つまり「旅行代理店B」の事例と非常によく似ており、CCCはこの事例を念頭にT会員規約4条6号後段を新設したのであろうと思われます。

このCCCマーケティングのハワイ州観光局の事例の解説を読むと、「ハワイ州観光局では、ハワイ諸島のひとつであるハワイ島の渡航者数増加のために、2019年11月~12月にかけ、CCCマーケティングをパートナーとしてキャンペーンを実施した」とあります。

同サイトの解説によると、ハワイ州観光局の担当者は、「今回の施策では、リーチするべきターゲットを『海外旅行には行くが、ハワイには行ったことがない』、『ハワイには行ったことがあるが、ハワイ島には行ったことがない』というお客さまと設定したのですが、課題となったのが、アプローチするべきターゲットの顧客データでした」。「私たちでも、CRMや会員制公式ポータルサイト『allhawaii(オールハワイ)』、さらにソーシャルメディアなどで保有しているデータは、数十万件あります。ただ、その多くは、すでにハワイのファンとなっている顧客のデータであり、今回のキャンペーンのターゲットとは異なります。

そのため、ハワイ州観光局は、同局が保有する「すでにハワイのファンとなっている顧客のデータ」などの数十万件の個人データをCCCマーケティングに委託し、CCCはその他社データをCCCの保有するT会員の個人データと突合し分析を行い、ハワイ旅行に行きそうな見込み客の趣味・嗜好・社会的属性などの特徴を分析し、その特徴に合致する個人データを持つT会員から、すでにハワイ旅行に行ったことのあるT会員の個人データを除外し、残りの見込み客のT会員に対してDMを送信したり、蔦屋書店でハワイ旅行のキャンペーンを実施するなどの販売促進を、ハワイ州観光局とともに実施したようです。

このCCCマーケティングのハワイ州観光局の事例は、上でみた個人情報保護法ガイドラインQ&A7-41の事例2に該当するので、これをCCCが「委託」のスキームで行った場合は、それはガイドラインQ&A7-41などが施行となる2022年4月以降は完全に違法となります。

CCCおよびハワイ州観光局は違法状態を回避するためには、同ガイドラインQ&A7-41が解説するように「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

5.CCCのT利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について
(1)健康飲料メーカーAの自社の顧客の趣味・嗜好や社会的属性などを分析するための委託
T利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について、CCCのプレスリリースはつぎのような具体例と図で説明しています。
CCC健康飲料メーカーの事例
(CCCのプレスリリースより)

つまり、「自社の青汁を飲んでくれている顧客はどんな人々なのだろう?」と顧客の趣味嗜好や社会的属性などを知りたい健康飲料メーカーAが、自社の青汁を飲んでくれる顧客の個人データ(他社データ)をCCCに委託し、CCCはCCCの保有するT会員の個人データと健康飲料メーカーAの他社データを突合し、A社の青汁を飲んでいるT会員の個人データを分析し、その趣味・嗜好や社会的属性などを割り出し、それを統計データなどにした上でA社に戻し、A社は自社商品のマーケティングなどに当該データを利用すると説明されています。

(2)個人情報保護法ガイドラインQ&A7-42
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-42はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-42 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合し、新たな項目を付加して又は内容を修正して委託元に戻すことはできますか。

A7-42 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1) (略)
事例2) 顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと

これらの取扱いをする場合には、委託先において本人の同意を取得する等、付加・修正する情報を委託元に適法に提供するための対応を行う必要があります。(後略)(令和3年9月追加)

PPC個人情報QA7-42の1
PPC個人情報QA7-42の2
(個人情報保護委員会サイトより)

このように、個人情報保護法ガイドラインQ&A7-42は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。」としています。

そしてその具体例として、事例2は、「顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと」をあげています。

したがって、CCCのT会員規約6条の4前段の「「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」つまり健康飲料メーカーAの事例も、健康飲料メーカーAが自社の顧客情報をCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいてA社の青汁の顧客の趣味・嗜好や社会的属性などを分析し、それらの新たな項目を付加したデータをA社に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、この健康飲料メーカーAの事例も個人情報の委託として違法です(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、この健康飲料メーカーAの事例も、CCCおよび健康飲料メーカーAが違法状態を回避するためには、CCCにおいて本人の同意を取得することなどが必要となります。

(3)CCCマーケティングの「タケシダ醤油」の事例
この点、CCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「タケシゲ醤油」の事例が掲載されています。

CCCマーケティングタケシゲ醤油
(CCCマーケティング社サイトより)
・事例 タケシゲ醤油 購買データの分析でヒット商品のさらなる価値向上を実現|CCCマーケティング

CCCマーケティング社サイトの解説によると、タケシゲ醤油はもともと食品会社など法人向けに製造販売していた「博多ニワカそうす」という調味料を一般消費者向けにも販売を行ったところ売上が好調であったため、「博多ニワカそうす」を購入する一般消費者の趣味嗜好や社会的属性などを分析してマーケティングを行いたいと、CCCに委託を行い、CCCは自社のT会員の個人データで「博多ニワカそうす」の顧客の個人データの突合を行い、同商品の顧客の趣味嗜好や社会的属性、人物像などを分析し、CCCはその分析データをタケシゲ醤油に戻し、そのデータをもとにタケシゲ醤油は「博多ニワカそうす」のレシピ本を作成するなどして、さらに同商品の売り上げの増加を行ったとされています。

博多ニワカそうすの顧客の人物像
(CCCマーケティング社サイトより)

しかしこのタケシゲ醤油の事例も、タケシゲ醤油の「博多ニワカそうす」の顧客の個人データをCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいて「博多ニワカそうす」の顧客の趣味・嗜好や社会的属性、モデルとなる人物像などを分析し、それらの新たな項目を付加したデータをタケシゲ醤油に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、このタケシゲ醤油の事例も個人情報の委託として違法であると思われます(法23条5項1号・法23条1項・法22条・法16条の違反)。

(4)CCCマーケティングの「チューリッヒ保険」の事例
また、CCCマーケティングのサイトの「事例」をみると、通販型の傷害保険などの損害保険会社のチューリッヒ保険の事例も掲載されています。
・事例 チューリッヒ保険 ユニークデータと徹底分析で実現する長期・安定的な顧客獲得|CCCマーケティング

CCCマーケティングチューリッヒ保険
(CCCマーケティング社サイトより)

このチューリッヒ保険の事例は、サイトの解説によると、チューリッヒ保険がもつ優良な見込み客のセグメント(集団)などの情報・データの改善のための分析をCCCに委託し、CCCはその見込み客のセグメントのデータをCCCのT会員の個人データで分析・加工し、CCCはよりよい見込み客のセグメントのデータを作成し、チューリッヒ保険に戻しているようです。このチューリッヒ保険の事例も、もしその過程でチューリッヒ保険が保有する既存顧客の個人データをCCCに委託などしてCCCがT会員の個人データと突合などをしていた場合は、個人情報保護法ガイドラインQ&A7-42などに抵触する違法な「委託」スキームの利用である可能性があります。

6.まとめ
本年1月15日にCCCカルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の委託の「混ぜるな危険の問題」に抵触する違法(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)なものであることは、本ブログで取り上げただけでなく、ネット上でも大きな社会的注目を受けました。

・CCCがT会員規約等を改訂→改訂後規約が想定する事例の違法性及び問題点が指摘される。|togetter

そして本年9月10日に個人情報保護委員会が公表した、令和2年法改正対応の個人情報保護法ガイドラインQ&A7-41、7-42など追加された個人情報の「委託」に関する解説は、上でみたように、CCCのT会員規約6条4項の「他社データと組み合わせた個人情報の利用」が個人情報の「委託」スキームとしてやはり違法であることを明確に示しています。

今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aは2022年4月から施行予定であるそうなので、CCCやCCCと個人データのやり取りを行っている事業会社などは、それまでに自社のデータビジネスが個人情報保護法などの法令に抵触していないか、今一度再検討が必要であると思われます。

また、今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aの「委託」に関する解説は、ネットやSNSにおける行動ターゲティング広告やDMP(Data Management Platform)などの事業に与える影響も大きいと思われます。これらの業務を行う企業の実務担当者の方々も、自社のビジネスモデルが個人情報保護法など法令に抵触していないか、今一度再検討が必要であると思われます。

■関連する記事
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・河野太郎大臣がTwitterで批判的なユーザーをブロックすることをトランプ氏の裁判例や憲法から考えたー表現の自由・全国民の代表(追記あり)
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権

■参考文献
・岡村久道『個人情報保護法 第3版』241頁、262頁
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会





















このエントリーをはてなブックマークに追加 mixiチェック

LINEペイ
1.LINEペイの決済情報なども韓国のネイバー社サーバーに保存が発覚
LINEの個人情報漏洩・通信の秘密侵害が大きな問題となっています。

■前回のブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた

朝日新聞の3月23日の続報によると、トークに投稿された画像・動画データの全データだけでなく、LINE Payによる利用者の決済に関する情報も、韓国のLINEの関連会社ネイバー(NVER)のサーバーに保存されていることが発覚したとのことです。

・LINE Pay情報、韓国に保管 加盟店の口座番号も|朝日新聞

2.金融分野における個人情報保護に関するガイドライン
(1)第8条(安全管理措置)
金融分野における個人情報保護ガイドライン8条は、個人情報保護法20条の安全管理措置の細目を定めていますが、金融機関は、①組織的安全管理措置、②人的安全管理措置および③技術的安全管理措置を講じなければならないと規定しています。

この③の技術的安全管理措置には、「個人データの管理区分の設定及びアクセス制御」などが含まれます。

この点、LINEは東京都新宿区に本社がありながら、なぜ日本の8600万人の利用者の画像・動画データの全てのデータや、LINEペイの利用者の決済情報などのデリケートな金融情報を、わざわざ海外の韓国のネイバー社のサーバーに保存していたのでしょうか?

例えば韓国のネイバー社に、LINEの決済を担当する金融事務センターがあるなどの合理的な理由がないと、日本の多くの利用者や、日本の個人情報保護委員会や金融庁などの各監督官庁は納得できないのではないでしょうか?

(日本の金融機関・保険会社なども、経費節減などの観点から、事務拠点を地方に置くことはよくありますが、わざわざ海外に置くという例はあまりないのではないでしょうか。お客様とのやり取りや、日本の税務当局や各行政当局とのやり取りとの関係で、あえて海外に事務拠点を置く理由はないように思われますが。)

(2)第3条(同意の形式)
また、金融分野ガイドライン3条は、個人情報保護法16条、23条、24条における「本人の同意」に関して、「文字の大きさ及び文章の表現を変えること等により、個人情報の取扱いに関する条項が他と明確に区別され、本人に理解されることが望ましい。または、あらかじめ作成された同意書面に確認欄を設け本人がチェックを行うこと等、本人の意思が明確に反映できる方法により確認」を行わなければならないと規定しています。

この点、LINEペイのアプリをスマホにインストールした際に表れる本人の同意の画面はつぎのようになっています。

LINEペイの同意画面


この画面からそれぞれのプライバシーポリシーなどの画面にダイレクトに遷移できないのは今どきにしてはずいぶん利用者・消費者に不親切に思えます。とはいえ、「LINE Cashアカウント利用規定」、「LINEユーザー情報提供ポリシー」をPCからLINEサイトで確認すると、あまり本件には関係がいないようで、結局、LINEペイもLINE本体のLINEプライバシーポリシーに準拠するようです。

すると、前回のブログ記事でみたように、LINEプライバシーポリシーは、「5.パーソナルデータの提供」の部分で、利用者の個人データを外国の第三者に移転や提供することがあると規定されていますが、この「外国」韓国中国などの国名は明記されておらず、この点が不明確なままです。

LINEプライバシーポリシー「パーソナルデータの提供」

そのため、韓国などへの個人データの移転について日本の利用者の本人の同意はなされていないことになります。

したがって、LINEペイおよびLINEの韓国のネイバー社サーバーへの決済情報等の個人情報の移転は、やはり金融分野の個人情報ガイドライン3条に抵触しており、個人情報保護法24条に違反・抵触していることになります。

3.個人情報保護ガイドライン(外国にある第三者への提供編)
また、すでに報道されているとおり、LINEは中国企業に個人データに関する業務を委託しており、また再委託も行われています。

この点、個人情報保護委員会の個人情報保護ガイドライン(外国にある第三者への提供編)4-2-8(委託先の監督(法第22条の趣旨に沿った措置))は、事業者が外国にある第三者への個人データの委託等の提供を行う場合は、①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取扱状況の把握、の3つの段階で委託先の監督を行わなければならないとしています。

つまり、個人データの業務の委託を行おうとする委託元事業者は、まず、①委託先選定のための社内基準を策定し、その基準を満たす事業者を委託先としなくてはなりません。つぎに、②委託元事業者は、委託先に個人データの第三者提供禁止や目的外利用の禁止、守秘義務などを盛り込んだ契約書を委託先企業と締結しなければなりません。さらに、③委託元事業者は、例えば年1回など定期的に委託先事業者に立入検査を行うなどして、委託先の個人データの取扱状況の確認を行わなければなりません。

加えて、同ガイドライン(外国にある第三者への提供編)は、再委託についても、「委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先から事前報告又は承認を求める、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施する等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第20条の趣旨に沿った安全管理措置を講ずることを十分に確認」しなければならないと規定しています。

つまり、委託元は、委託先を選定するのと同様に、自らがチェックあるいは委託先にチェックさせることにより、再委託先を選定し、委託契約を締結させ、さらに自らあるいは委託先に再委託先を定期的に立入検査するなどして、個人情報保護法20条の安全管理措置を講じなければならないのです。

にもかかわらず、LINEの経営幹部達が自社の個人データが中国企業に委託や再委託されていたことを知ったのは、ヤフージャパンとの統合を交渉中の本年1月の、外部からの告発によるとのことです。

・LINE不備、統合協議中に判明 中国子会社の存在指摘、幹部「初めて聞く名」|朝日新聞

つまり、LINEは個人データの委託や再委託に関して、個人情報保護法22条、24条や、個人情報ガイドライン(外国にある第三者への提供編)4-2-8 などが定める委託のために講じなければならない手順をまったく実施していなかったことになります。LINEの経営幹部が後から委託・再委託を知ったというレベルなのですから。

ベネッセの個人情報漏洩事件では、ベネッセの委託先のSEが私物スマホを使って個人情報を持ち出したことについて、最高裁はベネッセの安全管理措置が不十分であったと認定して、個人情報保護法20条違反を認めています(最高裁平成29年10月23日判決)。

LINEの広報部は「プライバシーポリシーに不明確な部分があったので、今後改正する」等と釈明しているようですが、問題はプライバシーポリシーを訂正して済むというレベルではもはやないようです。

すなわち、個人データの漏洩や滅失・棄損などを防止するための安全管理措置が、個人データの中国・韓国という外国への移転という場面でまったく講じられていなかったのですから、LINEの個人情報取扱事業者としての責任は重大であると思われます。

同時に、経営統合の過程で発覚したこの重大な不祥事を放置して、LINEとの経営統合に踏み切ったヤフージャパン・Zホールディングスの経営幹部の責任も重大です。LINEだけでなくヤフー・Zホールデングスの経営陣も、取締役の忠実義務・善管注意義務などの責任を追及されることは必至であると思われます。

4.規制強化の必要性・個人データの安全保障
なお現在、官民の個人情報保護法制を一元化するために、個人情報保護法の改正法案などが国会で審議中です。せっかくの機会ですから、今回のLINEの件やコロナ接触確認アプリCOCOAの開発・運営の迷走の件、日本年金機構の中国へのマイナンバーの漏洩疑惑の件、あるいはみずほ銀行のシステム障害の件などを踏まえ、国会は、個人データの委託・再委託やシステム開発・保守・運営などにおける委託の規定の規制強化・罰則の強化や、多重下請けや多重委託の禁止などのための立法を行うべきではないでしょうか。

また、LINEの件で明らかになったように、海外にある第三者への個人情報の移転は、国民の個人情報保護・プライバシー保護の問題であると当時に、国・企業の機微情報や営業秘密など、国家の主権や安全保障などに密接に関連する問題であることに鑑み、監督官庁の事前・事後の監督手続きの強化や罰則の強化などの規定を設けるべきではないでしょうか。

同時に、個人データの安全保障のために、企業や国・自治体・公的団体等は、日本の国民の個人データに関しては、その保存場所を国内のサーバー等に限定し、外国のサーバーなどに保存することを禁止する規定を個人情報保護法などに設けるべきではないでしょうか。

■関連するブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・日本年金機構からの再委託による中国へのマイナンバー等の流出疑惑について
・『週刊東洋経済』2021年3月6日号の改正個人情報保護法の解説記事を読んでみた
・漫画の海賊版サイトのブロッキングに関する福井弁護士の論考を読んでー通信の秘密
・内閣府のゲーム依存・フィルタリング等に関する「子供・若者育成支援推進大綱(案)」パブコメに意見を書いてみた



新書732 潜入中国 厳戒現場に迫った特派員の2000日 厳戒現場に迫った特派員の2000日 [ 峯村健司 ]

個人情報保護法〔第3版〕 [ 岡村 久道 ]

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じている [ 鈴木正朝 ]

このエントリーをはてなブックマークに追加 mixiチェック

computer_server
1.CCCがT会員規約などを改定
Tポイントやツタヤ図書館などを運営するCCC(カルチュア・コンビニエンス・クラブ株式会社)の1月15日付のプレスリリースによると、同社はTポイントの個人情報・個人データの利用規約・プライバシーポリシーなどを一部変更したとのことです。

・T会員規約等、各種規約の改訂について|CCC

2.「他社データと組み合わせた個人情報の利用」の明確化
そのプレスリリースでは、CCCが個人情報・個人データの利用方法として新たにプライバシーポリシーなどに明確化したという使い方が説明されています(T会員規約4条6項)。

・T会員規約 改訂前後比較表|CCC

これは、おおざっぱにいうと、CCCが他社から他社の個人データを受け取り、CCCの持つ個人データと突合して分析・加工した個人データまたは統計データを生成して利用するというものですが、これは個人情報保護法上の委託スキームの、いわゆるデータセンター等における「混ぜるな危険の問題」に抵触してないでしょうか。

T会員規約4条6項
6.他社データと組み合わせた個人情報の利用
当社は、提携先を含む他社から、他社が保有するデータ(以下「他社データ」といいます)を、他社が当該規約等で定める利用目的の範囲内でお預かりした上で、本条第2項で定める会員の個人情報の一部と組み合わせるために一時的に提供を受け、本条第 3 項で定める利用目的の範囲内で、統計情報等の個人に関する情報に該当しない情報に加工する利用および当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供(以下あわせて「本件利用」といいます)を行う場合があります。
なお、当社は、本件利用のための他社データを明確に特定して分別管理し、本件利用後に他社データを破棄するものとし、本件利用のための、前述、当該他社から当社への一時的な提供を除いては、それぞれの利用目的を超えて利用することも、当該他社その他第三者に対して会員の個人情報の一部または全部を提供することもありません。

CCC他社データと組み合わせた個人情報の利用
(CCCサイトより)

3.飲料メーカーA社の事例(統計データ)
CCCのプレスリリースは、このT会員規約4条6項について、「飲料メーカーA社の事例(統計データ)」と「旅行代理店B社の事例(個人データ)」の二つの図を用意しているので、この二つの図で考えてみます。

飲料メーカーA社
(CCCサイトより)

まず一つ目の、飲料メーカーA社の事例では、飲料メーカーA社(他社)の他社個人データAをCCCがデータの分析・加工のために受取り(「委託」、個人情報保護法23条5項1号)、その他社個人データAとCCCの個人データを突合し、CCCの個人データに該当する個人の属性・嗜好などを分析した統計データ等を作成し、A社に渡すとなっています。

しかし、この事例のような個人データの委託元A社と委託先のCCCの個人データを混ぜて取り扱うことは禁止されています。

これは、たとえば、A社の個人データAとCCCの個人データを個人個人で本人同士突合し分析などを行うことがそれに該当します。つまり、個人データAとCCCの個人データの突合は、例えばD社、E社等などからCCCが本人同意の基に第三者提供を受けた個人データÐ・Eなどの合成されたCCCの個人データとの突合ということになります。委託のスキームをとらない本来の場合であれば、A社はD社、E社などから本人同意に基づく第三者提供を受けた上で個人データの突合が許されるわけですが、委託というスキームは、この第三者提供における本人同意の取得の省略を許すものではありません。(田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)

そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、委託元が自らやろうと思えばできるはずのことを委託先に依頼することです。したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないのです。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています。(田中・北山・前掲『ビジネス法務』2020年8月号30頁)

この点は、個人情報保護委員会の個人情報保護法ガイドラインQ&A5-26-2の事例(2)にも明示されています。また、個人データを本人ごとに突合して作成するデータが匿名加工情報などであっても、これは同様であると同QA11-13-2に明記されています。

個人情報QA5
(個人情報保護委員会サイトより)

したがって、CCCの明確化した新しい個人情報の取扱である、T会員規約4条6項の「飲料メーカーA社の事例(統計データ)」については、個人情報保護法23条1項、個人情報保護法ガイドラインQ&A5-26-2・11-13-2に違反しており、許されないものであると思われます。また、このような個人データの取扱は、法16条の定める目的外利用の禁止に抵触するおそれもあります(岡村久道『個人情報保護法 第3版』262頁)。

4.旅行代理店Bの事例(個人データ)
つぎに、二つ目のT会員規約4条6項の「旅行代理店Bの事例(個人データ)」は、旅行代理店Bから受け取った個人データBをCCCの個人データと本人同士で突合し、加工した結果の「個人データ」を「CCC」が自社のマーケティングや販売促進等に利用するようです。

旅行代理店B社
(CCCサイトより)

つまり、こちらも、上の飲料メーカーAの事例と同様に、突合してはいけない個人データBとCCCの個人データを本人同士で突合していますし、作成するのは統計データや匿名加工データ等ではなく、個人データのようであり、さらに当該個人データを販売促進などに利用するのはCCCのようです。

すなわち、個人データの委託というより、CCCの主導による他社の個人データの突合による個人データの利用のようです。したがって、これはそもそも個人情報保護法23条5項1号の委託のスキームを踏み越えているので、CCCは、原則に戻って、B社から本人同意に基づく第三者提供(法23条1項)によって個人データBを受け取っていない限り、この取り扱いは許されないことになると思われます。

5.まとめ
最近の世の中は、ビッグデータやAI、DX、官民のデジタル化という用語をニュースなどで聞かない日はないような状況ですが、CCCはデジタル化に少し浮かれ過ぎているのではないかと心配になります。

2019年の就活生の内定辞退予測データに関するリクナビ事件においては、リクナビだけでなくトヨタ等の採用企業側に対しても、個人情報保護委員会と厚労省から、「社内において個人情報保護法などの法令を十分に検討していない」として安全管理措置違反(法20条)があったとして行政処分・行政指導が出されたことを、個人情報取扱事業者の大手のCCCは失念しているのではないでしょうか(個人情報保護委員会・令和元年12月4日付「個人情報の保護に関する法律に基づく行政上の対応について」)。

CCCによるとTポイントの会員は約6900万人、提携企業数は188社、店舗数は1,052,092店舗(2019年3月現在)であるとのことであり、CCCの個人情報のデータベースには日本国民の50%を超える人間の個人データが集積されていることになります。そのような莫大な個人データを預かる企業市民としてのCCCの社会的責任、法的責任は重大であると思われます。

■関連するブログ記事
・CCCがT会員6千万人の購買履歴等を利用してDDDを行うことを個人情報保護法的に考える
・Tポイントのツタヤ(CCC)がプライバシーマークを返上/個人情報保護法の安全管理措置
・海老名市立中央“ツタヤ”図書館に行ってみた/#公設ツタヤ問題
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

■参考文献
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・岡村久道『個人情報保護法 第3版』262頁














このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ