(CCCマーケティングサイトより)
1.CCCがトレジャーデータと連携し7000万人分のT会員の個人データを販売開始
マイナビニュースの2022年7月28日付の記事「CCC、Tポイントデータをオープン化 - 7000万人の会員データが利用可能に」が、TポイントのCCC(カルチュア・コンビニエンス・クラブ)が、トレジャーデータと業務提携し、約7000万人分のT会員の個人データの販売を始めると報じ、ネット上では「CCCは正気か」と炎上しています。
記事によると、このCCCの新しい事業で注目すべきは、「利用する各企業が持っている自社データ(1st Party)を個人識別単位でT会員データと連携できる点」であるそうです。つまり、CCCからデータを購入する会社に提供されるのは、匿名加工情報などではなく、1対1で突合・名寄せされた個人データを分析・加工したものであるとのことです。(個人識別符号はメールアドレス・電話番号などになる予定とのこと。)CCCは約7000万人分のT会員の購入履歴・貸出履歴やネット閲覧履歴などを保有し、T会員の属性データなどを保有しているわけですが、このような個人データを匿名加工情報等ではなく、生データとして販売することが許容されるのでしょうか?
結論を先取りしてしまうと、CCCとトレジャーデータが提携して始めたこの新しいデータビジネスは、個人情報保護法上、「委託の混ぜるな危険」の問題」に抵触し法27条5項1号違反および法27条1項違反であり、また二重オプトアウトの禁止にも抵触し法27条2項違反のおそれがあります。そして利用企業側はCCCに対する委託先の監督の義務違反となる可能性があります(法25条)。これに対してTポイントのユーザーは、CCCに対して第三者への個人データの提供の停止を請求(法35条3項)することができると考えられます。
・CCC、Tポイントデータをオープン化 - 7000万人の会員データが利用可能に(TECH+)|マイナビニュース
2.個人情報保護法の「委託の「混ぜるな危険」の問題」違反
上のマイナビニュースには「利用する各企業が持っている自社データ(1st Party)を個人識別単位でT会員データと連携できる」と書かれていますが、この点、7月28日付のCCCとトレジャーデータのプレスリリース「CCCマーケティングとトレジャーデータ、生活者のライフスタイルを基点とした情報プラットフォーム構築に向けCDP領域で提携」もつぎのように記述しています。
■「CDP for LIFESTYLE Insights」ついて
「CDP for LIFESTYLE Insights」は、CCCマーケティングが有するユニークデータ※1と、トレジャーデータが有するデータ活用技術の掛け合わせにより提供されるデータサービスです。具体的には、CCCマーケティングの「Treasure Data CDP」において、「Treasure Data CDP」の利用企業が保有する自社顧客データと、T会員規約等にご同意いただいたT会員の皆さまに関するT会員データを、セキュアな環境下でプライバシーを保護した上で連携※2し、サービス※3を提供いたします。提供するレポートならびにT会員のデモグラフィック情報などにより、企業は自社顧客のインサイトを深く理解することができ、市場環境の把握、製品やサービス開発、顧客一人ひとりのライフスタイルに応じたコミュニケーション等への活用により、さらなる顧客エンゲージメントの向上を図ることが可能です。
今回の提携にあたり、データをお預かりするT会員の皆さまに向け、取り組み内容を説明するサイトを公開します。
(CCCとトレジャーデータのプレスリリース「CCCマーケティングとトレジャーデータ、生活者のライフスタイルを基点とした情報プラットフォーム構築に向けCDP領域で提携」より)
(CCCとトレジャーデータのプレスリリース「CCCマーケティングとトレジャーデータ、生活者のライフスタイルを基点とした情報プラットフォーム構築に向けCDP領域で提携」より)
つまり、利用企業が保有する自社顧客データ(個人データ)とCCCが保有するT会員の個人データを連携(=突合・名寄せ)し、利用企業が自社顧客の属性データなどのインサイトを深く理解できて、顧客エンゲージの向上を図ることができる個人データの提供を受けることができるとなっています。
すなわち、これは個人情報保護法的に考えると、いわゆる「委託の「混ぜるな危険」の問題」の典型例的な個人データの活用方法です。このような利用方法は個人情報保護委員会の個人情報保護法ガイドラインQ&A7-41、7‐42(=旧ガイドラインQ&A5-26-2の事例(2))に該当し違法です(法27条5項1号、法27条1項)。
(個人情報保護法ガイドラインQA7-41)
(個人情報保護法ガイドラインQA7-42)
これは、個人情報保護法上の「委託」とは、例えば委託元の企業が個人情報のPCへのデータ入力をIT企業に委託することなどのように、委託元の「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託すること」であるため、「委託された業務以外に当該個人データを取扱う」ことは「委託」に該当せず、これを本人の同意やオプトアウト手続きなしに行うことは原則に戻って本人の同意のない第三者提供として違法となります(法27条1項)。またこれは本人の同意のない個人データの目的外利用としても違法であり(法18条1項)、さらに委託元の事業者は個人データの安全管理措置に関する「委託先の監督」の義務違反にもなります(法25条)。(岡村久道『個人情報保護法 第4版』283頁。)
言い換えると、この「委託の混ぜるな危険の問題」が違法となるのは、そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、「委託元が自らやろうと思えばできるはずのことを委託先に依頼すること」であり、したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないからであると解されています。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています(田中浩之・北山昇『令和2年改正個人情報保護法Q&A』182頁、田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)。
このCCCの個人データの取扱いは、CCCのT会員規約4条6項の「他社データと組み合わせた個人情報の利用」を根拠としています。このT会員利用規約4条6項は2021年1月の規約改正で新設されたものですが、「委託の「混ぜるな危険」の問題」などとの関係で個人情報保護法上違法であることは、本ブログで以前より取り上げてきたとおりです。
(T会員利用規約4条6項。CCCサイトより)
(関連する記事)
なお、上のマイナビニュースの記事によると、CCCは現在約5700社の企業とTポイントで提携し、それらの企業でのユーザーの購買履歴などの個人データをPOSベースで保有しているとのことですが、これを約5700社の提携企業の側から考えると、今回のCCCの新事業により、新事業の利用企業である競合企業やライバル企業などに自社の重要なデータであるPOSベースの購買履歴などの個人データが渡ってしまう可能性があるので、日本全国のTポイントの提携企業は、法律論は抜きにしても、経営判断の問題として、CCCとTポイントで提携を続けるべきか再考すべきかもしれません。
3.オプトアウト手続き
また、CCCサイトの説明ページ「情報プラットフォームにおけるデータとプライバシーの保護の考え方」には、このCCCの新しい事業で個人データを取り扱われたくないユーザーのためには、オプトアウト手続きのための画面(行動ターゲティング広告事業者への個人情報の提供の停止)が用意されています。しかし、上でみたように個人情報保護法の専門家の方々や個人情報保護委員会は、「委託の「混ぜるな危険の問題」を回避するためには原則に戻って「本人の同意」(法27条1項)が必要であり、オプトアウト手続きによる本人同意(法27条2項)でよいとはしていないので、CCCの本人同意の取得方法は依然として違法のおそれがあります。
(CCCサイトより)
4.二重オプトアウトの禁止
また、このCCCの新しい事業の利用企業もおそらくオプトアウト方式による第三者提供の方法を取っていると思われ、それに対してCCCもオプトアウト方式による第三者提供の本人同意を取得することは、2022年4月の改正個人情報保護法27条2項かっこ書きが規定するいわゆる「二重オプトアウトの禁止」に抵触し、これも違法であると思われます。
5.第三者への提供の停止の請求
さらに、法27条1項違反(本人同意なしの第三者提供)があった場合、本人(ユーザー)はCCCに対して第三者への個人データの提供の停止を請求することができます(法35条3項)。
6.まとめ
このように、CCCとトレジャーデータが提携して始めた新しいデータビジネスは、個人情報保護法上、「委託の「混ぜるな危険」の問題」に抵触し法27条5項1号違反および法27条1項違反であり、また二重オプトアウトの禁止にも抵触し法27条2項違反のおそれがあります。そして利用企業側はCCCに対する委託先の監督の義務違反となる可能性があります(法25条)。これに対してTポイントのユーザーは、CCCに対して第三者への個人データの提供の停止を請求(法35条3項)することができると考えられます。
■追記
上でみたように、「委託の混ぜるな危険の問題」の論点については、PPCの個人情報保護法ガイドラインQA7-41等では本人同意がないと違法となります。しかしこの点、これも上でみたようにCCCは2021年1月に「委託の混ぜるな危険の問題」に関してT会員規約4条6項を新設しています。
そのため2021年1月以降の新規ユーザーに対してはT会員への加入の際にウェブサイトに規約への本人同意のチェックボックスを設けるなどして、「委託の混ぜるな危険の問題」は一応クリアされているように思われます。しかし既存のユーザーに対しては問題はクリアされている、つまりQA7-41等や法27条1項の要求する本人同意がとれているといえるのでしょうか?しかしもしそうであるなら、ただでさえゆるい個情法の本人同意が骨抜きになってしまうのではないでしょうか。
プライバシーポリシーも一種の約款であり、定型約款の変更に関して新設された民法548条の4(2020年4月施行)は、ユーザーの利益に適合すること、約款改正の必要性、相当性、合理性などが満たされる場合には定型約款は個別の本人の同意がなくても契約内容が変更されると規定しています。
民法
(定型約款の変更)
第548条の4
定型約款準備者は、次に掲げる場合には、定型約款の変更をすることにより、変更後の定型約款の条項について合意があったものとみなし、個別に相手方と合意をすることなく契約の内容を変更することができる。
(1)定型約款の変更が、相手方の一般の利益に適合するとき。
(2)定型約款の変更が、契約をした目的に反せず、かつ、変更の必要性、変更後の内容の相当性、この条の規定により定型約款の変更をすることがある旨の定めの有無及びその内容その他の変更に係る事情に照らして合理的なものであるとき。
(以下略)
しかし既存のユーザーに対して民法548条の4で本人同意があったとみなして、個人情報保護法27条1項の本人同意があったとみなしてしまうことは、法27条1項の本人同意を骨抜きにしてしまうのではないでしょうか?(改正民法の制定に参画した民法の学者先生や官僚・国会議員の方々、情報法の先生方もそこまでは想定外なのではないでしょうか。)
既存のユーザーの一般人としての合理的な意思解釈として、「自分はそこまでのゆるい範囲でCCCから第三者の企業等に自分の個人データが1対1で突合され生データで提供されることを同意した覚えはない」と解釈されて、CCCのこの新しいデータビジネスは違法とされる余地があるのではないでしょうか。
個人情報保護委員会がこの件どのように考えているのか非常に気になるところです。もしこの部分が裁判所で争われた場合、裁判所がどのように判断するかも大いに気になるところです。
■追記
本件について日経新聞などが解説記事を掲載しています。
・CCC系とトレジャーデータの提携に懸念、「分かりにくい規約」での同意は有効か|日経XTECH
・Tカード会社、4千万人分の顧客データを販売へ…「同意」は有効か|読売新聞
日経XTECHの解説記事において、DataSignの太田祐一氏は、今回の同意取得のスキームがガイドラインの規定を満たしているとは思えないとした上で、「どのような同意が法的に有効なのか、これまで法改正などの過程で十分に議論できていなかった。個人情報保護委員会は改めて議論を整理する必要がある」とコメントされています。非常に同感です。
■参考文献
・岡村久道『個人情報保護法 第4版』283頁
・田中浩之・北山昇『令和2年改正個人情報保護法Q&A』182頁
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・児玉隆晴・伊藤完『改正民法(債権法)の要点解説』108頁
■関連する記事
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・武雄市のツタヤ図書館の公金支出に関する住民訴訟について-佐賀地判平成30・9・28
・CCCがT会員6千万人の購買履歴等を利用してDDDを行うことを個人情報保護法的に考える
[広告]