なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:混ぜるな危険

CCCマーケティングのプライバシーの考え方の図
(CCCマーケティングサイトより)

1.CCCがトレジャーデータと連携し7000万人分のT会員の個人データを販売開始
マイナビニュースの2022年7月28日付の記事「CCC、Tポイントデータをオープン化 - 7000万人の会員データが利用可能に」が、TポイントのCCC(カルチュア・コンビニエンス・クラブ)が、トレジャーデータと業務提携し、約7000万人分のT会員の個人データの販売を始めると報じ、ネット上では「CCCは正気か」と炎上しています。

記事によると、このCCCの新しい事業で注目すべきは、「利用する各企業が持っている自社データ(1st Party)を個人識別単位でT会員データと連携できる点」であるそうです。つまり、CCCからデータを購入する会社に提供されるのは、匿名加工情報などではなく、1対1で突合・名寄せされた個人データを分析・加工したものであるとのことです。(個人識別符号はメールアドレス・電話番号などになる予定とのこと。)CCCは約7000万人分のT会員の購入履歴・貸出履歴やネット閲覧履歴などを保有し、T会員の属性データなどを保有しているわけですが、このような個人データを匿名加工情報等ではなく、生データとして販売することが許容されるのでしょうか?

結論を先取りしてしまうと、CCCとトレジャーデータが提携して始めたこの新しいデータビジネスは、個人情報保護法上、「委託の混ぜるな危険」の問題」に抵触し法27条5項1号違反および法27条1項違反であり、また二重オプトアウトの禁止にも抵触し法27条2項違反のおそれがあります。そして利用企業側はCCCに対する委託先の監督の義務違反となる可能性があります(法25条)。これに対してTポイントのユーザーは、CCCに対して第三者への個人データの提供の停止を請求(法35条3項)することができると考えられます。

・CCC、Tポイントデータをオープン化 - 7000万人の会員データが利用可能に(TECH+)|マイナビニュース

2.個人情報保護法の「委託の「混ぜるな危険」の問題」違反
上のマイナビニュースには「利用する各企業が持っている自社データ(1st Party)を個人識別単位でT会員データと連携できる」と書かれていますが、この点、7月28日付のCCCとトレジャーデータのプレスリリース「CCCマーケティングとトレジャーデータ、生活者のライフスタイルを基点とした情報プラットフォーム構築に向けCDP領域で提携」もつぎのように記述しています。

■「CDP for LIFESTYLE Insights」ついて
「CDP for LIFESTYLE Insights」は、CCCマーケティングが有するユニークデータ※1と、トレジャーデータが有するデータ活用技術の掛け合わせにより提供されるデータサービスです。具体的には、CCCマーケティングの「Treasure Data CDP」において、「Treasure Data CDP」の利用企業が保有する自社顧客データと、T会員規約等にご同意いただいたT会員の皆さまに関するT会員データを、セキュアな環境下でプライバシーを保護した上で連携※2し、サービス※3を提供いたします。提供するレポートならびにT会員のデモグラフィック情報などにより、企業は自社顧客のインサイトを深く理解することができ、市場環境の把握、製品やサービス開発、顧客一人ひとりのライフスタイルに応じたコミュニケーション等への活用により、さらなる顧客エンゲージメントの向上を図ることが可能です。

今回の提携にあたり、データをお預かりするT会員の皆さまに向け、取り組み内容を説明するサイトを公開します。
(CCCとトレジャーデータのプレスリリース「CCCマーケティングとトレジャーデータ、生活者のライフスタイルを基点とした情報プラットフォーム構築に向けCDP領域で提携」より)

CCCのCDP
(CCCとトレジャーデータのプレスリリース「CCCマーケティングとトレジャーデータ、生活者のライフスタイルを基点とした情報プラットフォーム構築に向けCDP領域で提携」より)

つまり、利用企業が保有する自社顧客データ(個人データ)とCCCが保有するT会員の個人データを連携(=突合・名寄せ)し、利用企業が自社顧客の属性データなどのインサイトを深く理解できて、顧客エンゲージの向上を図ることができる個人データの提供を受けることができるとなっています。

すなわち、これは個人情報保護法的に考えると、いわゆる「委託の「混ぜるな危険」の問題」の典型例的な個人データの活用方法です。このような利用方法は個人情報保護委員会の個人情報保護法ガイドラインQ&A7-41、7‐42(=旧ガイドラインQ&A5-26-2の事例(2))に該当し違法です(法27条5項1号、法27条1項)。

QA7-41
(個人情報保護法ガイドラインQA7-41)

QA7-42
(個人情報保護法ガイドラインQA7-42)

これは、個人情報保護法上の「委託」とは、例えば委託元の企業が個人情報のPCへのデータ入力をIT企業に委託することなどのように、委託元の「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託すること」であるため、「委託された業務以外に当該個人データを取扱う」ことは「委託」に該当せず、これを本人の同意やオプトアウト手続きなしに行うことは原則に戻って本人の同意のない第三者提供として違法となります(法27条1項)。またこれは本人の同意のない個人データの目的外利用としても違法であり(法18条1項)、さらに委託元の事業者は個人データの安全管理措置に関する「委託先の監督」の義務違反にもなります(法25条)。(岡村久道『個人情報保護法 第4版』283頁。)

言い換えると、この「委託の混ぜるな危険の問題」が違法となるのは、そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、「委託元が自らやろうと思えばできるはずのことを委託先に依頼すること」であり、したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないからであると解されています。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています(田中浩之・北山昇『令和2年改正個人情報保護法Q&A』182頁、田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)。

このCCCの個人データの取扱いは、CCCのT会員規約4条6項の「他社データと組み合わせた個人情報の利用」を根拠としています。このT会員利用規約4条6項は2021年1月の規約改正で新設されたものですが、「委託の「混ぜるな危険」の問題」などとの関係で個人情報保護法上違法であることは、本ブログで以前より取り上げてきたとおりです。
CCC利用規約新旧対照表
(T会員利用規約4条6項。CCCサイトより)

(関連する記事)


なお、上のマイナビニュースの記事によると、CCCは現在約5700社の企業とTポイントで提携し、それらの企業でのユーザーの購買履歴などの個人データをPOSベースで保有しているとのことですが、これを約5700社の提携企業の側から考えると、今回のCCCの新事業により、新事業の利用企業である競合企業やライバル企業などに自社の重要なデータであるPOSベースの購買履歴などの個人データが渡ってしまう可能性があるので、日本全国のTポイントの提携企業は、法律論は抜きにしても、経営判断の問題として、CCCとTポイントで提携を続けるべきか再考すべきかもしれません。

3.オプトアウト手続き
また、CCCサイトの説明ページ「情報プラットフォームにおけるデータとプライバシーの保護の考え方」には、このCCCの新しい事業で個人データを取り扱われたくないユーザーのためには、オプトアウト手続きのための画面(行動ターゲティング広告事業者への個人情報の提供の停止)が用意されています。しかし、上でみたように個人情報保護法の専門家の方々や個人情報保護委員会は、「委託の「混ぜるな危険の問題」を回避するためには原則に戻って「本人の同意」(法27条1項)が必要であり、オプトアウト手続きによる本人同意(法27条2項)でよいとはしていないので、CCCの本人同意の取得方法は依然として違法のおそれがあります。

オプトアウトのボタン
CCCサイトより)

4.二重オプトアウトの禁止
また、このCCCの新しい事業の利用企業もおそらくオプトアウト方式による第三者提供の方法を取っていると思われ、それに対してCCCもオプトアウト方式による第三者提供の本人同意を取得することは、2022年4月の改正個人情報保護法27条2項かっこ書きが規定するいわゆる「二重オプトアウトの禁止」に抵触し、これも違法であると思われます。

5.第三者への提供の停止の請求
さらに、法27条1項違反(本人同意なしの第三者提供)があった場合、本人(ユーザー)はCCCに対して第三者への個人データの提供の停止を請求することができます(法35条3項)。

6.まとめ
このように、CCCとトレジャーデータが提携して始めた新しいデータビジネスは、個人情報保護法上、「委託の「混ぜるな危険」の問題」に抵触し法27条5項1号違反および法27条1項違反であり、また二重オプトアウトの禁止にも抵触し法27条2項違反のおそれがあります。そして利用企業側はCCCに対する委託先の監督の義務違反となる可能性があります(法25条)。これに対してTポイントのユーザーは、CCCに対して第三者への個人データの提供の停止を請求(法35条3項)することができると考えられます。

■追記
上でみたように、「委託の混ぜるな危険の問題」の論点については、PPCの個人情報保護法ガイドラインQA7-41等では本人同意がないと違法となります。しかしこの点、これも上でみたようにCCCは2021年1月に「委託の混ぜるな危険の問題」に関してT会員規約4条6項を新設しています。

そのため2021年1月以降の新規ユーザーに対してはT会員への加入の際にウェブサイトに規約への本人同意のチェックボックスを設けるなどして、「委託の混ぜるな危険の問題」は一応クリアされているように思われます。しかし既存のユーザーに対しては問題はクリアされている、つまりQA7-41等や法27条1項の要求する本人同意がとれているといえるのでしょうか?しかしもしそうであるなら、ただでさえゆるい個情法の本人同意が骨抜きになってしまうのではないでしょうか。

プライバシーポリシーも一種の約款であり、定型約款の変更に関して新設された民法548条の4(2020年4月施行)は、ユーザーの利益に適合すること、約款改正の必要性、相当性、合理性などが満たされる場合には定型約款は個別の本人の同意がなくても契約内容が変更されると規定しています。

民法

(定型約款の変更)
第548条の4

 定型約款準備者は、次に掲げる場合には、定型約款の変更をすることにより、変更後の定型約款の条項について合意があったものとみなし、個別に相手方と合意をすることなく契約の内容を変更することができる。
(1)定型約款の変更が、相手方の一般の利益に適合するとき。
(2)定型約款の変更が、契約をした目的に反せず、かつ、変更の必要性、変更後の内容の相当性、この条の規定により定型約款の変更をすることがある旨の定めの有無及びその内容その他の変更に係る事情に照らして合理的なものであるとき。
(以下略)

しかし既存のユーザーに対して民法548条の4で本人同意があったとみなして、個人情報保護法27条1項の本人同意があったとみなしてしまうことは、法27条1項の本人同意を骨抜きにしてしまうのではないでしょうか?(改正民法の制定に参画した民法の学者先生や官僚・国会議員の方々、情報法の先生方もそこまでは想定外なのではないでしょうか。)

既存のユーザーの一般人としての合理的な意思解釈として、「自分はそこまでのゆるい範囲でCCCから第三者の企業等に自分の個人データが1対1で突合され生データで提供されることを同意した覚えはない」と解釈されて、CCCのこの新しいデータビジネスは違法とされる余地があるのではないでしょうか。

個人情報保護委員会がこの件どのように考えているのか非常に気になるところです。もしこの部分が裁判所で争われた場合、裁判所がどのように判断するかも大いに気になるところです。

■参考文献
・岡村久道『個人情報保護法 第4版』283頁
・田中浩之・北山昇『令和2年改正個人情報保護法Q&A』182頁
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・児玉隆晴・伊藤完『改正民法(債権法)の要点解説』108頁

■関連する記事
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・武雄市のツタヤ図書館の公金支出に関する住民訴訟について-佐賀地判平成30・9・28
・CCCがT会員6千万人の購買履歴等を利用してDDDを行うことを個人情報保護法的に考える



[広告]








このエントリーをはてなブックマークに追加 mixiチェック

tatemono_yuubinkyoku
総務省が「郵便局データの活用とプライバシー保護の在り方に関する検討会」報告書(案)等」に関するパブコメを7月15日まで実施していたので、つぎのような意見を提出しました。

1.地方公共団体や地図会社等に日本郵便が収集した公道の街路データ・外観データ・空き家情報やデジタル地図などの情報を販売・第三者提供するとのことについて(報告書(案)13頁4.(2)アなど)
(1)地方公共団体や地図会社等に日本郵便が収集した公道の街路データ・外観データ・空き家情報やデジタル地図などの情報を販売・第三者提供するとのことであるが、2022年4月に施行された個人情報保護法は「二重オプトアウトの禁止」を明示している(個人情報保護法27条2項ただし書き、佐脇紀代志『一問一答令和2年改正個人情報保護法』48頁参照)。

この点、表札等や人物等が映り込んでいない街頭データ・外観データ・空き家情報であっても、日本郵便が保有する配達原簿システムなどの国民・住民の居宅の住所データベースを照会すれば、街頭データに居住する特定の個人を容易に照合できるのであるから、個人の居宅などが写っている街頭データも個人情報・個人データである(個人情報保護法2条1項1号、16条3項)。

また、一般の地図会社はオプトアウト方式で本人同意をとり地図を作製していることを考えると、日本郵政グループも同様にオプトアウト方式により街頭データ・外観データ・空き家情報や「デジタル地図」等を収集・作成すると思われ、日本郵政がオプトアウト方式で作成した街頭データやデジタル地図等の個人データを地図会社が購入などすることは、個人情報の第三者提供のオプトアウトに該当し、「二重オプトアウト」(個人情報保護法23条2項ただし書き)に該当してしまうので、地図会社などは日本郵政のデジタル地図の個人データを購入することは違法となる。

そのため、本報告書13頁が提言している、日本郵政が郵便配達員などの目視やバイク、ドローンなどに設置されたカメラ・センサーなどの情報から居住者情報などの個人データの添付されたデジタル地図や街頭データ等を収集・作製し、地方自治体や地図会社などに販売・第三者提供しようというスキームは個人情報保護法との関係で違法であり許容されない(なお本報告書案は本スキームを「委託」と整理しているようであるが、「委託」とは委託元の事業者が保有する個人情報をIT企業にPCにデータ入力させるような、委託元ができる範囲の事柄を委託するスキームを指すのであり、街頭データの提供やデジタル地図のデータの提供などは委託ではなく第三者提供であると考えられる。)。

さらに、GPS捜査事件判決(最高裁平成29年3月15日判決)は、公道上の情報であっても継続的・網羅的に収集される場合にはプライバシー権の侵害となるとしていることから、郵便局の配達車やバイクなどの車載カメラやドローン、配達員の目視などによる継続的・網羅的な住民・国民の居宅の居住データやデジタル地図の収集・作成はプライバシー権との関係で違法の危険性があり慎重な検討がなされるべきである(民法709条、憲法13条、憲法35条)。

(2)地方公共団体や地図会社等に日本郵便が収集した公道上の街頭データ・街路データ・外観データ・空き家情報やデジタル地図などの情報を販売・第三者提供するとのことであるが、郵便法8条および憲法21条2項の定める「通信の秘密」・「信書の秘密」との関係で違法・違憲であり許容されないと考えられる。

なぜなら「通信の秘密」とは通信内容・信書の内容そのものだけでなく、通信の送信者・受信者、宛先、電話番号、住所、通信の個数や通信日時、通信の有無などの「通信の外形的事項」も含まれると解されている(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁、大阪高裁昭和41年2月26日判決、賽原隆志『新・判例ハンドブック情報法』(宍戸常寿編)140頁)。郵便配達車やバイク等の車載カメラやドローン、郵便配達員などにより収集される街頭データやデジタル地図にはそれら通信の外形的事項も混入されざるを得ないから、それらの通信の秘密や信書の秘密に関する情報・データを地方自治体や地図業者などに第三者提供・販売等することは郵便法8条・憲法21条2項との関係で違法・違憲であり許容されない。

(3)地方公共団体や地図会社等に日本郵便が収集した公道上の街頭データ・街路データ・外観データ・空き家情報やデジタル地図などの情報を販売・第三者提供するとのことであるが、かりに地方自治体などと日本郵便との関係を個人情報保護法における「委託」(法27条5項1号)と整理した場合、いわゆる「委託の「混ぜるな危険」の問題」の規制があるため(令和2年改正の個人情報保護法ガイドラインQA15-18(2022年4月より施行)、田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁、田中浩之・北山昇『令和2年改正個人情報保護法Q&A』182頁)、日本郵便は地方自治体等の委託元から委託された範囲の個人データを収集・利用できるにとどまる。そのため、日本郵便は委託元ごとに街頭データやデジタル地図等を分別管理する必要があり、それらの複数のデータを「混ぜて」利用することは違法であり許容されない(法27条5項1号)。

また同様に日本郵便が、委託元から預かった個人データを自社が保有する個人データと名寄せ・突合して分析や加工などをした個人データを委託元に渡すなどの業務を行うことも違法であり許容されない。(「委託の「混ぜるな危険」の問題」を回避するためには、原則に戻り、日本の全国民のオプトイン方式による事前の個別の同意が必要である(法27条1項))。

2.カメラ画像の利用について(郵便局データの活用とプライバシー保護の在り方に関する検討会報告書(案)15頁ア)
総務省・経産省の「カメラ画像利活用ガイドブックver3.0」の遵守が提言されているが、カメラ画像の利用に関する事柄であり、郵便局のカメラは商用カメラだけではなく防犯カメラも存在するため、個人情報保護委員会で現在審議中の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」の作成する報告書やガイドライン等も遵守すべき旨を追記すべきである。

3.情報銀行について(郵便局データの活用とプライバシー保護の在り方に関する検討会報告書(案)24頁の「情報銀行」の部分)
郵便局の配達員などが配達業務に関連して目視や配送バイクに設置されたカメラ、ドローンのカメラなどで収集された顧客の個人情報・個人データを顧客本人の同意なく情報銀行や「デジタル地図」などに利用することは(あるいはオプトアウト方式の本人同意により利用することは)、本人同意なしに個人情報の目的外利用を禁止し、また第三者提供を禁止する個人情報保護法に抵触する違法なものであるだけでなく(法19条、27条1項)、郵便法8条や憲法21条2項の規定する「信書の秘密」「通信の秘密」や国民のプライバシー権(民法709条、憲法13条)をも侵害する違法・違憲のおそれがあり、許容されないのではないか。

また、日本郵政グループのかんぽ生命は生命保険の引き受けの告知や保険金・給付金支払い業務のために、国民の被保険者の医療データ・傷病データ・職業データ等を収集・保存しており、ゆうちょ銀行は国民・顧客の金融資産情報を保有しているが、それらのセンシティブな要配慮個人情報や機微な情報を「情報銀行」に利活用することは、金融庁の「金融分野の個人情報保護に関するガイドライン」第5条(機微(センシティブ)情報)が「機微(センシティブ)情報」という。)については、次に掲げる場合を除くほか、取得、利用又は第三者提供を行わないことと」と利用目的を限定列挙している規定に違反し許されないのではないか。

さらに、日本郵政グループが保有するセンシティブ情報・要配慮個人情報・金融資産などに関する機微情報を情報銀行に利活用することは、本人の明確な同意がないままに銀行など金融機関が保有するセンシティブ情報を保険営業に利用することを禁止する、保険業法や銀行法が定める「銀行窓販規制」に抵触し許容されないのではないか(保険業法300条1項9号、同施行規則212条3項1号等、中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第4版』260頁、経済法令研究会『保険コンプライアンスの実務』227頁)。

4.郵便局データなどの「データビジネスの段階的な展開」について(報告書(案)24頁の「データビジネスの段階的な展開」の部分)
日本郵政グループが情報銀行など、郵便局データなどの「データビジネスの段階的な展開」を実施することは、日本郵便が個人情報保護法上の個人情報取扱事業者(法16条2項)となることである。

すなわち、郵便局・日本郵便に信書や郵便物などの配達を委託する全国の中小企業を含む法人(個人情報取扱事業者)は、日本郵便に対して安全管理措置に関する「委託先の監督」(法25条)を実施することが法的に要求され、郵便物の配達の委託に際して日本郵便が十分な安全管理措置を講じているか事前のチェックや年1回の立入検査の実施、業務委託契約書の締結、秘密保持契約書の締結などが法的に要求されることになるが、これは現実的ではない。

日本郵便は「データビジネスの段階的な展開」を実施するとの計画は撤回し、郵便事業に専念すべきである。(産業技術総合研究所サイバーフィジカルセキュリティ研究センター主任研究員の高木浩光氏の「郵便事業がコモンキャリアを逸脱すれば郵便物を差し出す事業者が個人情報保護法に抵触する」『高木浩光@自宅の日記』参照。)

日本郵便が本業たる郵便事業だけでは経営が成り立たず、「データビジネス」という「副業」を行う必要があるということは、「郵政民営化」は失敗したということであり、国民の信書の自由(憲法21条2項)の基本的人権のための郵便局・日本郵便の事業は再び国が運営すべきである。

5.スマートシティについて(郵便局データの活用とプライバシー保護の在り方に関する検討会報告書(案)21頁の「スマートシティ」の部分)
「スマートシティ」(「デジタル田園都市構想」)は、当該地域の行政、商業施設、学校、医療機関などの個人データを収集し、住民の「共通ID」を基にそれらの個人データを突合・名寄せ・分析・加工し、行政・民間・病院・学校などがそれらの個人データを共有するスキームであるが、これは個人情報保護法17条(利用目的の特定)やOECD8原則の「1.目的明確化の原則 (Purpose Specification Principle)」の背景となっている「個人データの必要最低限度の原則」に反しており、許容されない。

海外の例をみても、中国など国家主義諸国においては一定の実績があるものの、国民の個人の尊重と基本的人権を重視する西側自由主義諸国では失敗している。そのため、公的機関である日本郵便や日本郵政がスマートシティ構想に参加することは控えるべきである。

■関連する記事
・日本郵政がデジタル地図事業や情報銀行等に参入することを個人情報保護法などから考えた
・情報銀行ビジネス開始を発表した三菱UFJ信託銀行の個人情報保護法の理解が心配な件
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?



[広告]












このエントリーをはてなブックマークに追加 mixiチェック

ラインのアイコン
1.LINE社のLINE通知メッセージ
ネット上でLINEの「LINE通知メッセージ」は個人情報保護法的に大丈夫なのか?という声があがっています。

「LINE通知メッセージ」とは、郵便局(日本郵便)の「郵便局eお届け通知」などのメッセージが、郵便局等のアカウントを友だち追加していなくても勝手に突然届くサービスのことです。LINE社の説明サイト「LINE通知メッセージを受信する方法」などによると、本サービスは郵便局などの提携事業者から電話番号とメッセージを、委託されたLINE社が自社が保有する顧客個人データの電話番号と突合し、該当するユーザーに当該メッセージを送信するものであるそうです。またLINE社は該当するユーザーのユーザー識別符号を郵便局などの提携事業者に第三者提供するそうです。そしてユーザー本人はLINEの設定画面からこのユーザー識別符号の提供をオプトアウト手続きで停止することができるとされています。

結論を先取りしてしまうと、この「LINE通知メッセージ」は、①いわゆる委託の「混ぜるな危険」の問題(個人情報保護法27条5項1号)の違反②提携企業にユーザー識別符号をオプトアウト方式で提供するとなっていること等がプライバシーポリシーに明記がなく法27条2項違反、の2点で違法なのではないかと思われます。

2.委託の「混ぜるな危険」の問題
個人情報保護委員会(PPC)の個人情報保護法ガイドラインQA7-41は、委託に伴って委託元から提供された個人データを委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできないとしています。

これは「委託」(個人情報保護法27条5項1号)とは、PCへのデータ入力など委託元ができる業務を委託先に委託するスキームであり、委託元ができないことを委託先に行わせることは「委託」のスキームを超えるものであるからです。これはいわゆる「委託の「混ぜるな危険」の問題」と呼ばれるものです(岡村久道『個人情報保護法 第4版』327頁、田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁)。

個人情報保護法ガイドラインQA7-41
(個人情報保護法ガイドラインQA7-41。個人情報保護委員会サイトより)

この点、LINE社の「LINE通知サービス」は日本郵便などの委託元から提供された電話番号という個人データを委託先であるLINE社が独自に収集して保有するユーザーの電話番号等の個人データと突合し、該当するユーザーに提供されたメッセージ等を表示するものであり、個人情報保護法の「委託」のスキームを踏み越えており違法なものです(法27条5項1号、個人情報保護法ガイドラインQA7-41)。(もしLINE社がこのような業務を行うためには、第三者提供の原則に戻って、ユーザー本人のあらかじめの本人の同意が必要となります(法27条1項)。)

3.「LINE通知サービス」のオプトアウト手続き
つぎに、個人情報保護法27条2項はオプトアウト方式による第三者提供のためには、第三者に個人データをオプトアウト方式で提供することをプライバシーポリシーなどの利用目的に明示すること(法27条2項2号)や、本人はオプトアウトできること(同6号)等の事項をあらかじめプライバシーポリシー等に表示しなければならないと規定していますが、LINE社のLINEのプライバシーポリシーにはその明示がありません。 パーソナルデータの利用目的
(LINEの「パーソナルデータの利用目的」。LINE社のLINEプライバシーポリシーより)

そして、LINEプライバシーポリシーの「4.d.お客様に最適化されたコンテンツの提供」と、Google検索などでようやく出てくる「LINE通知メッセージを受信する方法」サイトやLINEの設定画面などを読んでようやく「LINE通知サービス」の概要とオプトアウト方法が分かるのは、個人情報保護法27条2項違反と言わざるを得ないのではないでしょうか。 お客様に最適化されたコンテンツの提供
(LINEプライバシーポリシーの「4.d.お客様に最適化されたコンテンツの提供」より)

LINE通知メッセージを受信する方法
(LINE社サイト「LINE通知メッセージを受信する方法」より)

LINE通知メッセージの設定画面
(LINEアプリの設定画面の「LINE通知メッセージの設定画面」より)

4.個人情報・個人関連情報
なお、LINE社はユーザー識別符号や電話番号は個人情報ではないと反論するかもしれません。しかし、提供元のLINE社内の顧客情報DB等を照合して、「個人に関する情報」であって「あの人、この人」と「個人を識別できるもの」は個人情報です(法2条1項1号)。

PSX_20220610_102905
(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁より)

また、万一、これらのユーザー識別符号や電話番号が個人情報でないとしても個人関連情報に該当するので、第三者提供にはやはり本人の同意が必要です(法31条1項1号)。

5.まとめ
このように、「LINE通知メッセージ」は、①いわゆる委託の「混ぜるな危険」の問題(個人情報保護法27条5項1号)の違反②提携企業にユーザー識別符号をオプトアウト方式で提供するとなっていること等がプライバシーポリシーに明記がなく法27条2項違反、の2点で違法なのではないかと思われます。

LINE社のLINEは2021年3月に、峯村健司氏などの朝日新聞のスクープ報道により個人情報の杜撰な取扱いが発覚し、大きな社会問題となり、個人情報保護委員会と総務省から行政指導を受けました。また内閣官房・個人情報保護委員会・金融庁などは、行政機関・自治体のLINE利用のガイドラインを制定する等しました。Zホールディングスが設置した有識者委員会の最終報告書は、LINE社内の情報セキュリティ部門などが繰り返し問題点を経営陣に伝えていたのに、出澤剛社長ら経営陣はそれらの問題の解決を放置していたことなど、LINE社の経営陣はコンプライアンスやガバナンスの意識が欠落していたことを指摘していました。出澤社長を始めとするLINE社は、コンプライアンスとガバナンスの徹底を記者会見などで誓ったはずですが、この「LINE通知メッセージ」の個人情報保護法違反の問題には、LINE社の姿勢に大きな疑問が残ります。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・LINEの改正プライバシーポリシーがいろいろとひどいー委託の「混ぜるな危険」の問題・外国にある第三者
・LINE Pay の約13万人の決済情報がGitHub上に公開されていたことを考えた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・CCCがトレジャーデータと提携しTポイントの個人データを販売することで炎上中なことを考えたー委託の「混ぜるな危険」の問題

■参考文献
・岡村久道『個人情報保護法 第4版』319頁
・田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁













このエントリーをはてなブックマークに追加 mixiチェック

ラインのアイコン

1.LINEがプライバシーポリシーを改正
LINE社が3月31日付でLINEのプライバシーポリシーを改正するようです。その内容は、①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用、②統計情報の作成・提供、③越境移転に関する情報の追加、の3点となっています。

このなかで①②はどちらも他社データをLINEの保有する個人データに突合・名寄せをして該当するユーザーに広告やメッセージ等を表示する等となっておりますが、これは委託の「混ぜるな危険の問題」に該当し、本年4月施行の個人情報保護委員会(PPC)の個人情報保護法ガイドラインQA7-41、42、43から違法の可能性があると思われます。また、この改正がLINEのプライバシーポリシー本体に記載されていないこと、昨年3月に炎上した「外国にある第三者」の外国の個人情報保護の制度等の情報の部分が「準備中」となっていることも個人情報保護法上問題であると思われます。

・プライバシーポリシー改定のお知らせ|LINE
・LINEプライバシーポリシー|LINE

2.①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用
LINE社の「LINEプライバシーポリシー変更のご案内」によると、「①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用」は、「ユーザーの皆さまへ提携事業者が「公式アカウントメッセージ送信」や「広告配信」などを行う際、当該提携事業者から取得した情報(ユーザーの皆さまを識別するIDなど)をLINEが保有する情報と組み合わせて実施することがあります。」と説明されています。

ラインプライバシーポリシー変更のご案内2
(LINE社の「LINEプライバシーポリシー変更のご案内」より)

そして、この点を詳しく説明した「LINEプライバシーポリシー改正のご案内」は①についてつぎのように説明しています。

情報の流れ
1.A社(提携事業者)が、商品の購入履歴のあるユーザー情報(ユーザーに関する識別子、ハッシュ化されたメールアドレス、電話番号、IPアドレス、OS情報など)を加工してLINEに伝える
   ↓
2.LINEが、A社から受け取ったユーザー情報の中からLINEのユーザー情報だけを抽出する
   ↓
3.抽出されたユーザーに対して、A社の保有するLINE公式アカウントからのメッセージ送信や、広告の配信を実施する
ライン1
ライン2
(LINE社の「LINEプライバシーポリシー変更のご案内」より)

この「情報の流れ」によると、LINE社の提携事業者A社は、ユーザーを識別するためのハッシュ化されたメールアドレス、電話番号、IPアドレスなどのユーザー情報をLINE社に提供し、当該ユーザー情報をLINE社は同社が保有する個人データ(個人情報データベース)と突合・名寄せし(=混ぜる)、LINEのユーザー情報だけを抽出し、当該抽出されたユーザーに対して、A社の保有するLINE公式アカウントからのメッセージ送信や、広告の配信を実施するとなっています。

3.委託の「混ぜるな危険」の問題
しかしこのプロセス中の、「提携事業者A社は、ユーザーを識別するためのユーザー情報をLINE社に提供し、当該ユーザー情報をLINE社は同社が保有する個人データ(個人情報データベース)と突合・名寄せし、LINEのユーザー情報だけを抽出する」というプロセスは、いわゆる委託の「混ぜるな危険の問題」そのものです。

この点、PPCの「個人情報保護法ガイドライン(通則編)」(2022年4月1日施行版)3-6-3(1)は、委託の「委託先は、委託された業務の範囲内でのみ本人との関係において委託元である個人情報取扱事業者と一体のものと取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない」と規定しています(個人情報保護法ガイドライン(通則編)3-6-3 第三者に該当しない場合(法第27条第5項・第6項関係)(1)委託(法第27条第5項第1号関係))。

そして改正前のPPCの個人情報保護法ガイドラインQA5-26-2は、「委託先が委託元から提供された個人データを他社の個人データと区別せずに混ぜて取り扱う場合(いわゆる「混ぜるな危険」の問題)について、委託として許されない」としています(田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁)。

すなわち、委託(改正個人情報保護法27条5項1号・改正前法23条第5項第1号)とは、コンピュータへの個人情報のデータ入力業務などのアウトソーシング(外部委託)のことですが、委託元がすることができる業務を委託先に委託できるにとどまるものであることから、委託においては、委託元の個人データを委託先の保有する個人データと突合・名寄せなどして「混ぜて」、利用・加工などすることは委託を超えるものとして許されないとされているのです。

そして、2022年4月1日施行の改正版のPPCの個人情報保護法ガイドラインQA7-41はこの点を次のように明確化しています。
Q7-41
委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41
個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)

QA7-41
(個人情報保護法ガイドラインQA7-41より)

したがって、委託先であるLINE社が委託元の提携事業者A社から商品の購入履歴のあるユーザー情報を受け取り、LINE社が自社が保有する個人データと当該A社の他社データを突合・名寄せしてユーザーを抽出し、当該ユーザーに広告やダイレクトメールを送信するなどの行為は、PPCの個人情報保護法ガイドラインQA7ー41の事例1、事例2にあてはまる行為であるため許されません。

この点、PPCの個人情報保護法ガイドラインQA7ー41はこの委託の「混ぜるな危険」の問題をクリアするためには、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要がある」としています。

そのため、LINE社が第三者提供としての本人の同意を取得しないと、今回のLINE社のプライバシーポリシーの改正の①の部分は違法となります。

4.「本人の同意」について
なおこの場合は、法27条5項1号の「委託」に該当しないことになり、原則に戻るため、法27条1項の本人の同意が必要となるため、法27条2項のオプトアウト方式による本人の同意では足りないことになります(岡村久道『個人情報保護法 第3版』263頁)。

また、個人情報保護法ガイドライン(通則編)3-4-1は、本人の同意の「同意」について、「同意取得の際には、事業の規模、性質、個人データの取扱状況等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなくてはならない」と規定しています。

しかし、LINE社のスマホアプリ版のLINEを確認すると、冒頭でみたように、①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用、②統計情報の作成・提供、③越境移転に関する情報の追加、の3点が簡単に表示されているだけで、①②が委託の「混ぜるな危険の問題」に関するものであることの明示もなく、プライバシーポリシーの改正への「同意」ボタンしか用意されていません。これではPPCのガイドラインの要求する「本人の同意」に関する十分な説明がなされていないのではないかと大いに疑問です。

5.プライバシーポリシーに記載がない?
さらに気になるのは、LINE社の改正版のプライバシーポリシーをみると、上の①②に関する事項が「パーソナルデータの提供」の部分にまったく記載されていないようなことです。さすがにこれはひどいのではないでしょうか。たしかに「LINEプライバシーポリシー変更のご案内」には最低限の記載は存在し、これやプライバシーポリシーを両方とも一体のものとして読めばいいのかもしれませんが、これで通常の判断能力を持つ一般人のユーザーは合理的にLINEのプライバシーポリシーの改正を理解できるのでしょうか?

パーソナルデータの提供
(LINEプライバシーポリシーより)

LINE社の経営陣や法務部、情報システム部などは、昨年、情報管理の問題が国・自治体を巻き込んで大炎上したにもかかわらず、あまりにも情報管理を軽視しすぎなのではないでしょうか。

6.「②統計情報の作成・提供」について
LINE社のプライバシーポリシーの改正点の2つ目の「②統計情報の作成・提供」は、「LINEプライバシーポリシー変更のご案内」によると、広告主等の提携事業者から情報(ユーザーの皆さまを識別するIDや購買履歴など)を受領し、LINEが保有する情報と組み合わせて統計情報を作成することがあります。提携事業者には統計情報のみを提供し、ユーザーの皆さまを特定可能な情報は提供しません。」と説明されています。

ライン3
ライン4
(「LINEプライバシーポリシー変更のご案内」より)

つまり、「②統計情報の作成・提供」も①と同様に広告主などの提携事業者の他社データをLINE社が自社の個人データと突合・名寄せして、ユーザーの行動傾向や趣味・指向などを分析・作成等するものであるようです。LINE社は分析・作成した成果物は統計情報であるとしていますが、4月1日施行のPPCの個人情報保護法ガイドラインQA7ー38は、成果物が統計情報であったとしても、委託元の利用目的を超えて委託先が当該統計情報を利用等することはできないと規定しており、同時に同QA7ー43も、統計情報を作成するためであったとしても、委託の「混ぜるな危険の問題」を回避することはできないと規定しています。したがって、②の場合についても、第三者提供として本人の同意を取得しない限りは、同取扱いは違法となります。

7.「外国にある第三者」の外国の個人情報保護の制度等の情報の部分が「準備中」?
さらに、今回のLINE社のプライバシーポリシー改正の三番目の「③越境移転に関する情報の追加」の部分については、プライバシーポリシーの該当部分の「外国のパーソナルデータ保護の制度等の情報はこちら」の部分をクリックして開いても、「ただいま準備中てす」との文言しか表示されませんでした(2022年3月28日現在)。この「外国にある第三者」に係る外国の個人情報保護の制度等の情報については、あらかじめ本人に提供しなければならないと改正個人情報保護法28条2項が明記しているのにです。PPCや総務省からみて、LINE社のこのような仕事ぶりが許容されるのか大いに疑問です。

(なお、プライバシーポリシーも民法の定型約款の一種ですが、民法548条の2第2号の規定から、事業者は契約締結や契約が改正された場合はあらかじめ約款の表示が必要と解されています。PPCサイトにはすでに事業者が参考になる外国の制度等の情報が掲載されていることも考えると、3月下旬ごろからプライバシーポリシー改正の本人同意の取得をはじめているLINE社のプライバシーポリシーの一部が未完成なのは、民法や消費者保護の観点からもやはり大問題です。)

ただいま準備中です
(LINE社のプライバシーポリシーより)

8.まとめ
このように、今回、LINE社がプライバシーポリシーを改正した①②は、委託の「混ぜるな危険」の問題に関するものであり、LINE社は第三者提供の本人の同意を取得しなければ違法となります。この「本人の同意」について、PPCの個人情報保護法ガイドライン(通則編)は、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示す」ことが必要としているにもかかわらず、LINE社の説明はオブラートにくるんだようなものであり、これで通常の一般人のユーザーがプライバシーポリシーの改正内容を十分理解をした上で「本人の同意」をできるのか非常に疑問です。とくに今回の改正内容がプライバシーポリシー本体に盛り込まれていないことは非常に問題なのではないでしょうか。

また、「外国にある第三者」の外国の個人情報保護法制などの制度の情報に関する部分が「準備中」となっているのも、昨年3月にこの部分が大炎上したことに鑑みても非常に問題です。

LINEの日本のユーザー数は約8900万人(2021年11月現在)であり、日本では最大級のSNSであり、またLINE社は2021年3月に朝日新聞の峰村健司氏などのスクープ記事により、個人情報の杜撰な管理が大炎上したのに、LINE社の経営陣や法務部門、情報システム部門、リスク管理部門などの管理部門は、社内の情報管理をあいかわらず非常に軽視しているのではないでしょうか。大いに疑問です。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・宇賀克也『新・個人情報保護法の逐条解説』245頁、277頁
・岡村久道『個人情報保護法 第3版』246頁、125頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』52頁、54頁
・田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁
・児玉隆晴・伊藤元『改正民法(債権法)の要点解説』108頁

■関連する記事
・2022年の改正職業安定法・改正個人情報保護法とネット系人材紹介会社や就活生のSNS「裏アカ」調査会社等について考えるープロファイリング
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・個人情報保護法改正対応の日経新聞の日経IDプライバシーポリシーの改正版がいろいろとひどい
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・ドイツ・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権について
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・CCCがトレジャーデータと提携しTポイントの個人データを販売することで炎上中なことを考えたー委託の「混ぜるな危険」の問題





















このエントリーをはてなブックマークに追加 mixiチェック

CCC委託の混ぜるな危険の問題1
(CCCサイトより)

1.個人情報保護委員会が令和2年改正に対応した個人情報保護法ガイドラインQ&Aを公表
個人情報保護委員会(PPC)が、2021年9月10日に令和2年改正に対応した個人情報保護法ガイドラインQ&Aをサイトで公表しました。
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会

(参考)
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

今回公表された令和2年改正対応の個人情報保護法ガイドラインQ&Aをみると、QA7-38からQA7-43までの5つのQAが、個人情報の第三者提供の「委託」(法23条5項1号)に関するものであり、とくにいわゆる「委託の混ぜるな危険の問題」について詳しく解説を行っていることが注目されます。

このブログでは、以前、2021年1月15日にTポイントを運営するCCC カルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の第三者提供の委託の「混ぜるな危険の問題」に抵触する違法なものであることを取り上げました(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)。
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」-なか2656のblog

今回の本ブログ記事では、9月10日にPPCが公表した令和2年法改正に対応した個人情報保護法ガイドラインQ&Aの個人情報の第三者提供の委託に関する解説をみて、CCCの1月15日のT会員規約4条6項の「他社データと組み合わせた個人情報の利用の明確化」がやはり「委託の混ぜるな危険の問題」に抵触し違法であることを確認してみてみたいと思います。

2.委託の「混ぜるな危険の問題」
(1)個人情報保護法の本人の同意の必要な第三者提供の例外としての「委託」
1970年代以降のコンピュータやAIなどの発達により、個人情報・個人データが本人の同意なしに無制限にある事業者から第三者へ提供された場合、本人に関する他の種類のさまざまな個人データとの突合・結合・加工が容易に行われ、第三者提供後に当該個人データがどのように利用され、流通するかなどが不明の状態におかれ、個人データの主体である本人のプライバシーが侵害されるおそれや、本人がそれらの個人データで勝手にプロファイリング(=コンピュータ・AIによる個人データの自動処理により法的決定や重要な決定が行われること)されるおそれなど、本人に不測の権利利益の侵害や個人の尊重や基本的人権の侵害が行われる危険が増大しています。

そこで個人情報保護法は、事業者が保有する個人データを第三者提供することを特に注意すべき行為と位置づけ、本人が自らの個人データの流通をコントロールすることができるように、個人データの第三者提供には原則として本人の同意が必要であるとする規制を設けています(個人情報保護法23条1項、岡村久道『個人情報保護法 第3版』241頁)。

一方、近年は企業などの業務の外部委託(アウトソーシング)が普及しており、例えばある企業におけるPCへの紙データの入力作業などの情報処理関係の業務を外部の事業者に委託する場面が増えています。このような「委託」については、個人データの提供先の事業者は提供元の事業者とは別の主体として形式的には第三者に該当するものの、委託のたびに本人の同意を取得することは煩雑であるなど、委託先の事業者を個人データの主体の本人との関係において委託元の事業者と一体のものとして取り扱うことに合理性があるため、第三者提供における「第三者」に該当しないものと個人情報保護法はしています。

そのため、個人情報保護法は、事業者が「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴って当該個人データが提供される場合」、つまり「委託」の場合には第三者提供に該当しないので本人の同意やオプトアウト手続きは不要であるとしています(法23条5項1号、岡村・前掲262頁)。

(2)委託の混ぜるな危険の問題
しかし、「委託」とは上のように委託元の「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託すること」であるため、「委託された業務以外に当該個人データを取扱う」ことは「委託」に該当せず、これを本人の同意やオプトアウト手続きなしに行うことは原則に戻って本人の同意のない第三者提供として違法となります(法23条1項)。またこれは本人の同意のない個人データの目的外利用としても違法であり(法16条)、さらに委託元の事業者は個人データの安全管理措置に関する委託先の監督の義務違反にもなります(法22条)。

この違法となる「委託された業務以外に当該個人データを取扱うこと」の具体例として、個人情報保護法ガイドラインQ&A7-37の事例2(=旧ガイドラインQ&AQ&A5-26-2の事例(2))は、「複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合」をあげていますが、これがデータセンターなどにおける、いわゆる「委託の混ぜるな危険の問題」と呼ばれる事例です。

この「委託の混ぜるな危険の問題」が違法となるのは、そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、委託元が自らやろうと思えばできるはずのことを委託先に依頼することであり、したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないからであると解されています。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています(田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)。

3.CCCのT会員規約の改正による「他社データと組み合わせた個人情報の利用の明確化」
この点、2021年1月15日付でTポイントを運営するCCC カルチュア・コンビニエンス・クラブはT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行いました(T会員規約4条6項)。

T会員規約4条
6.他社データと組み合わせた個人情報の利用
当社は、提携先を含む他社から、他社が保有するデータ(以下「他社データ」といいます)を、他社が当該規約等で定める利用目的の範囲内でお預かりした上で、本条第2項で定める会員の個人情報の一部と組み合わせるために一時的に提供を受け、本条第 3 項で定める利用目的の範囲内で、統計情報等の個人に関する情報に該当しない情報に加工する利用および当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供(以下あわせて「本件利用」といいます)を行う場合があります。 なお、当社は、本件利用のための他社データを明確に特定して分別管理し、本件利用後に他社データを破棄するものとし、本件利用のための、前述、当該他社から当社への一時的な提供を除いては、それぞれの利用目的を超えて利用することも、当該他社その他第三者に対して会員の個人情報の一部または全部を提供することもありません。

CCC会員規約4条6項
(CCCサイトより)
・T会員規約等、各種規約の改訂について|CCC
・T会員規約 新旧比較表|CCC

つまり、CCCが2021年1月に規約改正を行って新設した、T会員規約4条6項は、①後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」と、②前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」の2つを行うことを明確化する内容となっています。

4.CCCのT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」(旅行代理店Bの事例)について
(1)CCCのT利用規約4条6項後段・「旅行代理店Bの事例」
このT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」について、CCCのプレスリリースはつぎのような具体例と図で説明しています。

CCC旅行代理店の事例
(CCCのプレスリリースより)

このT会員規約4条6項後段「旅行代理店Bの事例」は、旅行代理店Bが、「まだハワイに旅行していない人にハワイ旅行を販売促進したい」という意図で、旅行代理店Bが、「自社の保有するハワイに旅行したことのある人の顧客リスト」(B社の他社データ)をCCCに預け(委託、個人情報保護法23条5項1号)、CCCは「B社の他社データである顧客リストと、CCCの保有するT会員の個人データを突合し、「旅行代理店Bを利用してハワイ旅行をした人の趣味・嗜好・社会的属性などの特徴を分析」し、「ハワイ旅行に興味がありそうな人」を把握し、T会員の個人データの個人から、旅行代理店Bの顧客リストのハワイ旅行に行ったことのある人を除外し、その除外されたハワイ旅行に興味がありそうなT会員の個人(見込み客)に対して、ダイレクトメールなどでハワイ旅行の販売促進を行うという内容になっています。

(2)個人情報保護法ガイドラインQ&A7-41
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-41はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-41 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)

PPC個人情報ガイドラインQA7-41
(個人情報保護委員会サイトより)
・個人情報保護法ガイドラインQ&A(令和2年改正法関係)|個人情報保護委員会

つまり、個人情報保護法ガイドラインQ&A7-41が解説するとおり、CCCなど共通ポイント制度により複数の委託元の企業から個人データの管理などの委託を受けている事業者や、複数の委託元から個人データの管理などの委託を受けているデータセンターなど、独自に収集した個人データを保有している事業者は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先(=CCCなど)は、委託に伴って委託元(=旅行代理店Bなど)から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはでき」ないのです。

そして、同Q&A7-41の事例2は、「委託」として行うことができない具体例として、「既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること」と、CCCのT会員規約4条6項後段の旅行代理店Bのそっくりそのままの事例をあげています。

したがって、このCCCの旅行代理店Bの事例、つまりT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」は個人データの「委託」として行うことは違法であり、許されないことになります(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、CCCや旅行代理店Bは、この違法状態を回避するためには、個人情報保護法ガイドラインQ&A7-41が解説するとおり、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

(3)CCCマーケティングの「ハワイ州観光局」の事例
この点、CCCカルチュア・コンビニエンス・クラブ株式会社の子会社であるCCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「ハワイ州観光局」の事例が掲載されています。
・事例 ハワイ州観光局 CCCグループアセットの結集が実現する「五感に訴える観光地マーケティング」|CCCマーケティング

CCCマーケティングハワイ州観光局
(CCCマーケティング社サイトより)

このハワイ州観光局の事例は、上のT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」つまり「旅行代理店B」の事例と非常によく似ており、CCCはこの事例を念頭にT会員規約4条6号後段を新設したのであろうと思われます。

このCCCマーケティングのハワイ州観光局の事例の解説を読むと、「ハワイ州観光局では、ハワイ諸島のひとつであるハワイ島の渡航者数増加のために、2019年11月~12月にかけ、CCCマーケティングをパートナーとしてキャンペーンを実施した」とあります。

同サイトの解説によると、ハワイ州観光局の担当者は、「今回の施策では、リーチするべきターゲットを『海外旅行には行くが、ハワイには行ったことがない』、『ハワイには行ったことがあるが、ハワイ島には行ったことがない』というお客さまと設定したのですが、課題となったのが、アプローチするべきターゲットの顧客データでした」。「私たちでも、CRMや会員制公式ポータルサイト『allhawaii(オールハワイ)』、さらにソーシャルメディアなどで保有しているデータは、数十万件あります。ただ、その多くは、すでにハワイのファンとなっている顧客のデータであり、今回のキャンペーンのターゲットとは異なります。

そのため、ハワイ州観光局は、同局が保有する「すでにハワイのファンとなっている顧客のデータ」などの数十万件の個人データをCCCマーケティングに委託し、CCCはその他社データをCCCの保有するT会員の個人データと突合し分析を行い、ハワイ旅行に行きそうな見込み客の趣味・嗜好・社会的属性などの特徴を分析し、その特徴に合致する個人データを持つT会員から、すでにハワイ旅行に行ったことのあるT会員の個人データを除外し、残りの見込み客のT会員に対してDMを送信したり、蔦屋書店でハワイ旅行のキャンペーンを実施するなどの販売促進を、ハワイ州観光局とともに実施したようです。

このCCCマーケティングのハワイ州観光局の事例は、上でみた個人情報保護法ガイドラインQ&A7-41の事例2に該当するので、これをCCCが「委託」のスキームで行った場合は、それはガイドラインQ&A7-41などが施行となる2022年4月以降は完全に違法となります。

CCCおよびハワイ州観光局は違法状態を回避するためには、同ガイドラインQ&A7-41が解説するように「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

5.CCCのT利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について
(1)健康飲料メーカーAの自社の顧客の趣味・嗜好や社会的属性などを分析するための委託
T利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について、CCCのプレスリリースはつぎのような具体例と図で説明しています。
CCC健康飲料メーカーの事例
(CCCのプレスリリースより)

つまり、「自社の青汁を飲んでくれている顧客はどんな人々なのだろう?」と顧客の趣味嗜好や社会的属性などを知りたい健康飲料メーカーAが、自社の青汁を飲んでくれる顧客の個人データ(他社データ)をCCCに委託し、CCCはCCCの保有するT会員の個人データと健康飲料メーカーAの他社データを突合し、A社の青汁を飲んでいるT会員の個人データを分析し、その趣味・嗜好や社会的属性などを割り出し、それを統計データなどにした上でA社に戻し、A社は自社商品のマーケティングなどに当該データを利用すると説明されています。

(2)個人情報保護法ガイドラインQ&A7-42
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-42はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-42 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合し、新たな項目を付加して又は内容を修正して委託元に戻すことはできますか。

A7-42 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1) (略)
事例2) 顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと

これらの取扱いをする場合には、委託先において本人の同意を取得する等、付加・修正する情報を委託元に適法に提供するための対応を行う必要があります。(後略)(令和3年9月追加)

PPC個人情報QA7-42の1
PPC個人情報QA7-42の2
(個人情報保護委員会サイトより)

このように、個人情報保護法ガイドラインQ&A7-42は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。」としています。

そしてその具体例として、事例2は、「顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと」をあげています。

したがって、CCCのT会員規約6条の4前段の「「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」つまり健康飲料メーカーAの事例も、健康飲料メーカーAが自社の顧客情報をCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいてA社の青汁の顧客の趣味・嗜好や社会的属性などを分析し、それらの新たな項目を付加したデータをA社に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、この健康飲料メーカーAの事例も個人情報の委託として違法です(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、この健康飲料メーカーAの事例も、CCCおよび健康飲料メーカーAが違法状態を回避するためには、CCCにおいて本人の同意を取得することなどが必要となります。

(3)CCCマーケティングの「タケシダ醤油」の事例
この点、CCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「タケシゲ醤油」の事例が掲載されています。

CCCマーケティングタケシゲ醤油
(CCCマーケティング社サイトより)
・事例 タケシゲ醤油 購買データの分析でヒット商品のさらなる価値向上を実現|CCCマーケティング

CCCマーケティング社サイトの解説によると、タケシゲ醤油はもともと食品会社など法人向けに製造販売していた「博多ニワカそうす」という調味料を一般消費者向けにも販売を行ったところ売上が好調であったため、「博多ニワカそうす」を購入する一般消費者の趣味嗜好や社会的属性などを分析してマーケティングを行いたいと、CCCに委託を行い、CCCは自社のT会員の個人データで「博多ニワカそうす」の顧客の個人データの突合を行い、同商品の顧客の趣味嗜好や社会的属性、人物像などを分析し、CCCはその分析データをタケシゲ醤油に戻し、そのデータをもとにタケシゲ醤油は「博多ニワカそうす」のレシピ本を作成するなどして、さらに同商品の売り上げの増加を行ったとされています。

博多ニワカそうすの顧客の人物像
(CCCマーケティング社サイトより)

しかしこのタケシゲ醤油の事例も、タケシゲ醤油の「博多ニワカそうす」の顧客の個人データをCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいて「博多ニワカそうす」の顧客の趣味・嗜好や社会的属性、モデルとなる人物像などを分析し、それらの新たな項目を付加したデータをタケシゲ醤油に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、このタケシゲ醤油の事例も個人情報の委託として違法であると思われます(法23条5項1号・法23条1項・法22条・法16条の違反)。

(4)CCCマーケティングの「チューリッヒ保険」の事例
また、CCCマーケティングのサイトの「事例」をみると、通販型の傷害保険などの損害保険会社のチューリッヒ保険の事例も掲載されています。
・事例 チューリッヒ保険 ユニークデータと徹底分析で実現する長期・安定的な顧客獲得|CCCマーケティング

CCCマーケティングチューリッヒ保険
(CCCマーケティング社サイトより)

このチューリッヒ保険の事例は、サイトの解説によると、チューリッヒ保険がもつ優良な見込み客のセグメント(集団)などの情報・データの改善のための分析をCCCに委託し、CCCはその見込み客のセグメントのデータをCCCのT会員の個人データで分析・加工し、CCCはよりよい見込み客のセグメントのデータを作成し、チューリッヒ保険に戻しているようです。このチューリッヒ保険の事例も、もしその過程でチューリッヒ保険が保有する既存顧客の個人データをCCCに委託などしてCCCがT会員の個人データと突合などをしていた場合は、個人情報保護法ガイドラインQ&A7-42などに抵触する違法な「委託」スキームの利用である可能性があります。

6.まとめ
本年1月15日にCCCカルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の委託の「混ぜるな危険の問題」に抵触する違法(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)なものであることは、本ブログで取り上げただけでなく、ネット上でも大きな社会的注目を受けました。

・CCCがT会員規約等を改訂→改訂後規約が想定する事例の違法性及び問題点が指摘される。|togetter

そして本年9月10日に個人情報保護委員会が公表した、令和2年法改正対応の個人情報保護法ガイドラインQ&A7-41、7-42など追加された個人情報の「委託」に関する解説は、上でみたように、CCCのT会員規約6条4項の「他社データと組み合わせた個人情報の利用」が個人情報の「委託」スキームとしてやはり違法であることを明確に示しています。

今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aは2022年4月から施行予定であるそうなので、CCCやCCCと個人データのやり取りを行っている事業会社などは、それまでに自社のデータビジネスが個人情報保護法などの法令に抵触していないか、今一度再検討が必要であると思われます。

また、今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aの「委託」に関する解説は、ネットやSNSにおける行動ターゲティング広告やDMP(Data Management Platform)などの事業に与える影響も大きいと思われます。これらの業務を行う企業の実務担当者の方々も、自社のビジネスモデルが個人情報保護法など法令に抵触していないか、今一度再検討が必要であると思われます。

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・河野太郎大臣がTwitterで批判的なユーザーをブロックすることをトランプ氏の裁判例や憲法から考えたー表現の自由・全国民の代表(追記あり)
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権

■参考文献
・岡村久道『個人情報保護法 第3版』241頁、262頁
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会





















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ