なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:CCC

CCC委託の混ぜるな危険の問題1
(CCCサイトより)

1.個人情報保護委員会が令和2年改正に対応した個人情報保護法ガイドラインQ&Aを公表
個人情報保護委員会(PPC)が、2021年9月10日に令和2年改正に対応した個人情報保護法ガイドラインQ&Aをサイトで公表しました。
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会

今回公表された令和2年改正対応の個人情報保護法ガイドラインQ&Aをみると、QA7-38からQA7-43までの5つのQAが、個人情報の第三者提供の「委託」(法23条5項1号)に関するものであり、とくにいわゆる「委託の混ぜるな危険の問題」について詳しく解説を行っていることが注目されます。

このブログでは、以前、2021年1月15日にTポイントを運営するCCC カルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の第三者提供の委託の「混ぜるな危険の問題」に抵触する違法なものであることを取り上げました(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)。
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」-なか2656のblog

今回の本ブログ記事では、9月10日にPPCが公表した令和2年法改正に対応した個人情報保護法ガイドラインQ&Aの個人情報の第三者提供の委託に関する解説をみて、CCCの1月15日のT会員規約4条6項の「他社データと組み合わせた個人情報の利用の明確化」がやはり「委託の混ぜるな危険の問題」に抵触し違法であることを確認してみてみたいと思います。

2.委託の「混ぜるな危険の問題」
(1)個人情報保護法の本人の同意の必要な第三者提供の例外としての「委託」
1970年代以降のコンピュータやAIなどの発達により、個人情報・個人データが本人の同意なしに無制限にある事業者から第三者へ提供された場合、本人に関する他の種類のさまざまな個人データとの突合・結合・加工が容易に行われ、第三者提供後に当該個人データがどのように利用され、流通するかなどが不明の状態におかれ、個人データの主体である本人のプライバシーが侵害されるおそれや、本人がそれらの個人データで勝手にプロファイリング(=コンピュータ・AIによる個人データの自動処理により法的決定や重要な決定が行われること)されるおそれなど、本人に不測の権利利益の侵害や個人の尊重や基本的人権の侵害が行われる危険が増大しています。

そこで個人情報保護法は、事業者が保有する個人データを第三者提供することを特に注意すべき行為と位置づけ、本人が自らの個人データの流通をコントロールすることができるように、個人データの第三者提供には原則として本人の同意が必要であるとする規制を設けています(個人情報保護法23条1項、岡村久道『個人情報保護法 第3版』241頁)。

一方、近年は企業などの業務の外部委託(アウトソーシング)が普及しており、例えばある企業におけるPCへの紙データの入力作業などの情報処理関係の業務を外部の事業者に委託する場面が増えています。このような「委託」については、個人データの提供先の事業者は提供元の事業者とは別の主体として形式的には第三者に該当するものの、委託のたびに本人の同意を取得することは煩雑であるなど、委託先の事業者を個人データの主体の本人との関係において委託元の事業者と一体のものとして取り扱うことに合理性があるため、第三者提供における「第三者」に該当しないものと個人情報保護法はしています。

そのため、個人情報保護法は、事業者が「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴って当該個人データが提供される場合」、つまり「委託」の場合には第三者提供に該当しないので本人の同意やオプトアウト手続きは不要であるとしています(法23条5項1号、岡村・前掲262頁)。

(2)委託の混ぜるな危険の問題
しかし、「委託」とは上のように委託元の「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託すること」であるため、「委託された業務以外に当該個人データを取扱う」ことは「委託」に該当せず、これを本人の同意やオプトアウト手続きなしに行うことは原則に戻って本人の同意のない第三者提供として違法となります(法23条1項)。またこれは本人の同意のない個人データの目的外利用としても違法であり(法16条)、さらに委託元の事業者は個人データの安全管理措置に関する委託先の監督の義務違反にもなります(法22条)。

この違法となる「委託された業務以外に当該個人データを取扱うこと」の具体例として、個人情報保護法ガイドラインQ&A7-37の事例2(=旧ガイドラインQ&AQ&A5-26-2の事例(2))は、「複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合」をあげていますが、これがデータセンターなどにおける、いわゆる「委託の混ぜるな危険の問題」と呼ばれる事例です。

この「委託の混ぜるな危険の問題」が違法となるのは、そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、委託元が自らやろうと思えばできるはずのことを委託先に依頼することであり、したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないからであると解されています。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています(田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)。

3.CCCのT会員規約の改正による「他社データと組み合わせた個人情報の利用の明確化」
この点、2021年1月15日付でTポイントを運営するCCC カルチュア・コンビニエンス・クラブはT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行いました(T会員規約4条6項)。

T会員規約4条
6.他社データと組み合わせた個人情報の利用
当社は、提携先を含む他社から、他社が保有するデータ(以下「他社データ」といいます)を、他社が当該規約等で定める利用目的の範囲内でお預かりした上で、本条第2項で定める会員の個人情報の一部と組み合わせるために一時的に提供を受け、本条第 3 項で定める利用目的の範囲内で、統計情報等の個人に関する情報に該当しない情報に加工する利用および当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供(以下あわせて「本件利用」といいます)を行う場合があります。 なお、当社は、本件利用のための他社データを明確に特定して分別管理し、本件利用後に他社データを破棄するものとし、本件利用のための、前述、当該他社から当社への一時的な提供を除いては、それぞれの利用目的を超えて利用することも、当該他社その他第三者に対して会員の個人情報の一部または全部を提供することもありません。

CCC会員規約4条6項
(CCCサイトより)
・T会員規約等、各種規約の改訂について|CCC
・T会員規約 新旧比較表|CCC

つまり、CCCが2021年1月に規約改正を行って新設した、T会員規約4条6項は、①後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」と、②前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」の2つを行うことを明確化する内容となっています。

4.CCCのT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」(旅行代理店Bの事例)について
(1)CCCのT利用規約4条6項後段・「旅行代理店Bの事例」
このT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」について、CCCのプレスリリースはつぎのような具体例と図で説明しています。

CCC旅行代理店の事例
(CCCのプレスリリースより)

このT会員規約4条6項後段「旅行代理店Bの事例」は、旅行代理店Bが、「まだハワイに旅行していない人にハワイ旅行を販売促進したい」という意図で、旅行代理店Bが、「自社の保有するハワイに旅行したことのある人の顧客リスト」(B社の他社データ)をCCCに預け(委託、個人情報保護法23条5項1号)、CCCは「B社の他社データである顧客リストと、CCCの保有するT会員の個人データを突合し、「旅行代理店Bを利用してハワイ旅行をした人の趣味・嗜好・社会的属性などの特徴を分析」し、「ハワイ旅行に興味がありそうな人」を把握し、T会員の個人データの個人から、旅行代理店Bの顧客リストのハワイ旅行に行ったことのある人を除外し、その除外されたハワイ旅行に興味がありそうなT会員の個人(見込み客)に対して、ダイレクトメールなどでハワイ旅行の販売促進を行うという内容になっています。

(2)個人情報保護法ガイドラインQ&A7-41
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-41はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-41 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)

PPC個人情報ガイドラインQA7-41
(個人情報保護委員会サイトより)
・個人情報保護法ガイドラインQ&A(令和2年改正法関係)|個人情報保護委員会

つまり、個人情報保護法ガイドラインQ&A7-41が解説するとおり、CCCなど共通ポイント制度により複数の委託元の企業から個人データの管理などの委託を受けている事業者や、複数の委託元から個人データの管理などの委託を受けているデータセンターなど、独自に収集した個人データを保有している事業者は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先(=CCCなど)は、委託に伴って委託元(=旅行代理店Bなど)から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはでき」ないのです。

そして、同Q&A7-41の事例2は、「委託」として行うことができない具体例として、「既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること」と、CCCのT会員規約4条6項後段の旅行代理店Bのそっくりそのままの事例をあげています。

したがって、このCCCの旅行代理店Bの事例、つまりT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」は個人データの「委託」として行うことは違法であり、許されないことになります(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、CCCや旅行代理店Bは、この違法状態を回避するためには、個人情報保護法ガイドラインQ&A7-41が解説するとおり、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

(3)CCCマーケティングの「ハワイ州観光局」の事例
この点、CCCカルチュア・コンビニエンス・クラブ株式会社の子会社であるCCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「ハワイ州観光局」の事例が掲載されています。
・事例 ハワイ州観光局 CCCグループアセットの結集が実現する「五感に訴える観光地マーケティング」|CCCマーケティング

CCCマーケティングハワイ州観光局
(CCCマーケティング社サイトより)

このハワイ州観光局の事例は、上のT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」つまり「旅行代理店B」の事例と非常によく似ており、CCCはこの事例を念頭にT会員規約4条6号後段を新設したのであろうと思われます。

このCCCマーケティングのハワイ州観光局の事例の解説を読むと、「ハワイ州観光局では、ハワイ諸島のひとつであるハワイ島の渡航者数増加のために、2019年11月~12月にかけ、CCCマーケティングをパートナーとしてキャンペーンを実施した」とあります。

同サイトの解説によると、ハワイ州観光局の担当者は、「今回の施策では、リーチするべきターゲットを『海外旅行には行くが、ハワイには行ったことがない』、『ハワイには行ったことがあるが、ハワイ島には行ったことがない』というお客さまと設定したのですが、課題となったのが、アプローチするべきターゲットの顧客データでした」。「私たちでも、CRMや会員制公式ポータルサイト『allhawaii(オールハワイ)』、さらにソーシャルメディアなどで保有しているデータは、数十万件あります。ただ、その多くは、すでにハワイのファンとなっている顧客のデータであり、今回のキャンペーンのターゲットとは異なります。

そのため、ハワイ州観光局は、同局が保有する「すでにハワイのファンとなっている顧客のデータ」などの数十万件の個人データをCCCマーケティングに委託し、CCCはその他社データをCCCの保有するT会員の個人データと突合し分析を行い、ハワイ旅行に行きそうな見込み客の趣味・嗜好・社会的属性などの特徴を分析し、その特徴に合致する個人データを持つT会員から、すでにハワイ旅行に行ったことのあるT会員の個人データを除外し、残りの見込み客のT会員に対してDMを送信したり、蔦屋書店でハワイ旅行のキャンペーンを実施するなどの販売促進を、ハワイ州観光局とともに実施したようです。

このCCCマーケティングのハワイ州観光局の事例は、上でみた個人情報保護法ガイドラインQ&A7-41の事例2に該当するので、これをCCCが「委託」のスキームで行った場合は、それはガイドラインQ&A7-41などが施行となる2022年4月以降は完全に違法となります。

CCCおよびハワイ州観光局は違法状態を回避するためには、同ガイドラインQ&A7-41が解説するように「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

5.CCCのT利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について
(1)健康飲料メーカーAの自社の顧客の趣味・嗜好や社会的属性などを分析するための委託
T利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について、CCCのプレスリリースはつぎのような具体例と図で説明しています。
CCC健康飲料メーカーの事例
(CCCのプレスリリースより)

つまり、「自社の青汁を飲んでくれている顧客はどんな人々なのだろう?」と顧客の趣味嗜好や社会的属性などを知りたい健康飲料メーカーAが、自社の青汁を飲んでくれる顧客の個人データ(他社データ)をCCCに委託し、CCCはCCCの保有するT会員の個人データと健康飲料メーカーAの他社データを突合し、A社の青汁を飲んでいるT会員の個人データを分析し、その趣味・嗜好や社会的属性などを割り出し、それを統計データなどにした上でA社に戻し、A社は自社商品のマーケティングなどに当該データを利用すると説明されています。

(2)個人情報保護法ガイドラインQ&A7-42
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-42はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-42 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合し、新たな項目を付加して又は内容を修正して委託元に戻すことはできますか。

A7-42 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1) (略)
事例2) 顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと

これらの取扱いをする場合には、委託先において本人の同意を取得する等、付加・修正する情報を委託元に適法に提供するための対応を行う必要があります。(後略)(令和3年9月追加)

PPC個人情報QA7-42の1
PPC個人情報QA7-42の2
(個人情報保護委員会サイトより)

このように、個人情報保護法ガイドラインQ&A7-42は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。」としています。

そしてその具体例として、事例2は、「顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと」をあげています。

したがって、CCCのT会員規約6条の4前段の「「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」つまり健康飲料メーカーAの事例も、健康飲料メーカーAが自社の顧客情報をCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいてA社の青汁の顧客の趣味・嗜好や社会的属性などを分析し、それらの新たな項目を付加したデータをA社に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、この健康飲料メーカーAの事例も個人情報の委託として違法です(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、この健康飲料メーカーAの事例も、CCCおよび健康飲料メーカーAが違法状態を回避するためには、CCCにおいて本人の同意を取得することなどが必要となります。

(3)CCCマーケティングの「タケシダ醤油」の事例
この点、CCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「タケシゲ醤油」の事例が掲載されています。

CCCマーケティングタケシゲ醤油
(CCCマーケティング社サイトより)
・事例 タケシゲ醤油 購買データの分析でヒット商品のさらなる価値向上を実現|CCCマーケティング

CCCマーケティング社サイトの解説によると、タケシゲ醤油はもともと食品会社など法人向けに製造販売していた「博多ニワカそうす」という調味料を一般消費者向けにも販売を行ったところ売上が好調であったため、「博多ニワカそうす」を購入する一般消費者の趣味嗜好や社会的属性などを分析してマーケティングを行いたいと、CCCに委託を行い、CCCは自社のT会員の個人データで「博多ニワカそうす」の顧客の個人データの突合を行い、同商品の顧客の趣味嗜好や社会的属性、人物像などを分析し、CCCはその分析データをタケシゲ醤油に戻し、そのデータをもとにタケシゲ醤油は「博多ニワカそうす」のレシピ本を作成するなどして、さらに同商品の売り上げの増加を行ったとされています。

博多ニワカそうすの顧客の人物像
(CCCマーケティング社サイトより)

しかしこのタケシゲ醤油の事例も、タケシゲ醤油の「博多ニワカそうす」の顧客の個人データをCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいて「博多ニワカそうす」の顧客の趣味・嗜好や社会的属性、モデルとなる人物像などを分析し、それらの新たな項目を付加したデータをタケシゲ醤油に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、このタケシゲ醤油の事例も個人情報の委託として違法であると思われます(法23条5項1号・法23条1項・法22条・法16条の違反)。

(4)CCCマーケティングの「チューリッヒ保険」の事例
また、CCCマーケティングのサイトの「事例」をみると、通販型の傷害保険などの損害保険会社のチューリッヒ保険の事例も掲載されています。
・事例 チューリッヒ保険 ユニークデータと徹底分析で実現する長期・安定的な顧客獲得|CCCマーケティング

CCCマーケティングチューリッヒ保険
(CCCマーケティング社サイトより)

このチューリッヒ保険の事例は、サイトの解説によると、チューリッヒ保険がもつ優良な見込み客のセグメント(集団)などの情報・データの改善のための分析をCCCに委託し、CCCはその見込み客のセグメントのデータをCCCのT会員の個人データで分析・加工し、CCCはよりよい見込み客のセグメントのデータを作成し、チューリッヒ保険に戻しているようです。このチューリッヒ保険の事例も、もしその過程でチューリッヒ保険が保有する既存顧客の個人データをCCCに委託などしてCCCがT会員の個人データと突合などをしていた場合は、個人情報保護法ガイドラインQ&A7-42などに抵触する違法な「委託」スキームの利用である可能性があります。

6.まとめ
本年1月15日にCCCカルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の委託の「混ぜるな危険の問題」に抵触する違法(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)なものであることは、本ブログで取り上げただけでなく、ネット上でも大きな社会的注目を受けました。

・CCCがT会員規約等を改訂→改訂後規約が想定する事例の違法性及び問題点が指摘される。|togetter

そして本年9月10日に個人情報保護委員会が公表した、令和2年法改正対応の個人情報保護法ガイドラインQ&A7-41、7-42など追加された個人情報の「委託」に関する解説は、上でみたように、CCCのT会員規約6条4項の「他社データと組み合わせた個人情報の利用」が個人情報の「委託」スキームとしてやはり違法であることを明確に示しています。

今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aは2022年4月から施行予定であるそうなので、CCCやCCCと個人データのやり取りを行っている事業会社などは、それまでに自社のデータビジネスが個人情報保護法などの法令に抵触していないか、今一度再検討が必要であると思われます。

また、今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aの「委託」に関する解説は、ネットやSNSにおける行動ターゲティング広告やDMP(Data Management Platform)などの事業に与える影響も大きいと思われます。これらの業務を行う企業の実務担当者の方々も、自社のビジネスモデルが個人情報保護法など法令に抵触していないか、今一度再検討が必要であると思われます。

■関連する記事
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・河野太郎大臣がTwitterで批判的なユーザーをブロックすることをトランプ氏の裁判例や憲法から考えたー表現の自由・全国民の代表(追記あり)
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権

■参考文献
・岡村久道『個人情報保護法 第3版』241頁、262頁
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会





















このエントリーをはてなブックマークに追加 mixiチェック


サーバー群

1.図書館の貸出履歴なども連続的に蓄積されて特定の個人を識別できる場合は個人情報になる
(1)令和2年個人情報保護法ガイドライン改正パブコメ
令和2年個人情報保護法ガイドライン改正パブコメが6月18日まで実施されていました。
・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について|e-GOV

ここで個人情報保護委員会(PPC)が示した個人情報保護法ガイドラインの案を読んで、個人的にPPCの一番のファインプレーだと思ったのは、個人情報保護法ガイドライン(通則編)90頁の、「3-7-1-1個人関連情報」(個人情報保護法26条の2)のところの注意書きに、次のようにと明示し、"図書館貸出履歴等「連続的に蓄積」されて特定の個人を識別できる場合は個人情報に該当し、さらにそれがある個人の思想・信条などに該当する場合は要配慮個人情報に該当すること"を明確化したことではないかと思われます。

個人情報に該当する場合は個人関連情報には該当しないことになる。例えば、ある個人の位置情報それ自体のみでは個人情報には該当しないものではあるが、個人に関する位置情報が連続的蓄積される等して特定の個人を識別することができる場合には、個人情報該当」する(個人情報保護委員会「個人情報保護法ガイドライン(通則編)」90頁「3-7-1-1個人関連情報」(個人情報保護法26条の2)注意書き)。
つまり、例えば、図書館等の貸出履歴や書店での本・DVD・CD等の購入履歴等が「連続的に蓄積」されて「特定の個人を識別できる場合」(=実名等がわからなくても「あの人、この人」と識別できる場合)には当該情報・データは「個人情報」に該当し、さらにそれが個人の「思想・信条」「病歴」などに該当すれば「要配慮個人情報」に該当するとPPCは考えていると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

すなわち、図書館の連続的に蓄積されて特定の個人を識別できる貸出履歴・利用履歴等は個人情報であり、それが思想・信条等に該当する場合には要配慮個人情報であると個人情報保護委員会が認めたことになります。

(2)これまでの個人情報保護委員会の「要配慮個人情報を推知させる情報」の考え方
もちろん、個人情報保護法2条1項の個人情報の定義は、「個人に関する情報」であって、電磁的記録などを含むさまざまな情報・記述などで「特定の個人を識別できるもの」は個人情報に該当するとしているので、この個人情報保護委員会の考え方は当然といえば当然です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。
個人情報の定義『ニッポンの個人情報』
鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZineより

しかし、2017年法改正を受けたこれまでの個人情報保護法ガイドライン(通則編)の「2-3 要配慮個人情報」は、「なお、次に掲げる情報(=要配慮個人情報)を推知させる情報にすぎないもの(例:宗教に関する書籍購買貸出しに係る情報等)は、要配慮個人情報には含まない」という塩対応な注意書きを明示していました(岡村久道『個人情報保護法 第3版』87頁)。

そのため、「本人の思想・信条などの内心を推知させる情報も要配慮個人情報に含めて扱うべき」と、宮下紘・中大教授(憲法・情報法)などの学者の方々から批判されてきたところです(宮下紘「図書館と個人情報保護」『時の法令』平成28年1月15日号50頁)。

(3)図書館の貸出履歴などの情報の利活用の推進派は、個人情報保護法などの再検討が必要となる
もし、図書館の貸出履歴・利用履歴などが個人関連情報でしかないとすると、第三者提供の際の本人同意が必要なだけにとどまりますが(法26条の2)、個人情報であるとなると、利用目的の特定(法15条)や、本人同意のない目的外利用の禁止(法16条)、不適正な収集の禁止(法17条)、安全管理措置(法20条~22条)、第三者提供の本人同意(法23条1項)、開示・訂正・利用停止等の請求への対応(法28条~34条)などの各義務が事業者に要求されることになります。

そしてさらに図書館の貸出履歴・利用履歴などが要配慮個人情報に該当するとなると、原則として収集の際に事前の本人の同意が必要(法17条2項)となり、また、オプトアウト方式による第三者提供も禁止(法23条2項かっこ書き)されることになり、さらに事業者の義務が重くなります。

また、個人情報、要配慮個人情報、その他個人に関する情報を事業者などが不適正に取り扱った場合、個人情報保護法とは別に、事業者などが当該個人からプライバシー権侵害などを主張され、不法行為に基づく損害賠償責任を負う可能性もあります(民法709条、憲法13条)。

この点、最近も、法政大学の大学図書館の貸出履歴などを保存する方針に対して教職員、有識者などから反対の声が上がっていることが話題となっています。
・広がる図書館の履歴保存 脅かされる秘密、懸念の声も|朝日新聞

2021年4月から学長の廣瀬克哉総長は、同大学の学部横断型科目の学生の履修データなどの教育データ「見える化」を推進するなど、「大学のDX(デジタル・トランスフォーメーション)」の推進に熱心な学長のようです。

もし廣瀬氏などが、大学図書館の貸出履歴・利用履歴などのデータもDX化し、教育データの一つとしてさまざまな用途に利用・分析・加工・第三者提供などをすることを考えているとしたら、法令や日本図書館協会の「図書館の自由に関する宣言」などに基づいて、今一度慎重な再検討が必要であると思われます。

同様に、全国の自治体の公立図書館国立国会図書館などにおいても、貸出履歴・利用履歴などのデータを保存する図書館が増えているようですが、そのような図書館・自治体なども、同様に個人情報保護法・行政機関個人情報保護法・独法個人情報保護法・自治体の個人情報保護条例などや「図書館の自由に関する宣言」などに基づいて慎重な再検討が必要になるものと思われます。

*追記
なお、2017年の個人情報保護法改正では、いわゆる2号個人識別符号として、スマホの端末ID、携帯電話番号、IPアドレス、会員証番号なども個人識別符号(法2条2項2号)として個人情報に含まれることが明確化されようとしました。これは当時の政府のパーソナルデータ保護に関する検討会議の委員の森亮二弁護士や、産業技術総合研究所の高木浩光氏などが主張していたものです。しかしこれは楽天やヤフージャパンなどの経済界、経産省や与党などの強い圧力により頓挫してしまいました。
・携帯電話・スマホ等のIDやIPアドレスは個人情報に含まれない?/個人情報保護法改正法案
・【プレゼン】2月4日、自民党で、三木谷代表理事が 個人情報保護法改正案について意見を述べました|新経済連盟
・個人情報定義は新経連の意向で米国定義から乖離しガラパゴスへ(パーソナルデータ保護法制の行方 その16)|高木浩光@自宅の日記
o0800055513265690722
(新経済連盟サイトより)

とはいえ、今回、個人情報保護委員会がガイドラインで貸出履歴・閲覧履歴・購入履歴・位置情報・移動履歴なども一定の場合、個人情報に含まれると明確化したことは、2017年改正のこの2号個人識別符号の考え方の事実上の復活であり、国民の個人情報の保護つまり個人の尊重個人の権利利益の保護(個人情報保護法1条、3条、憲法13条)の観点からは画期的です。

2.「ある個人の興味・関心を示す情報」も個人関連情報となる
(1)「ある個人の興味・関心を示す情報」
また、令和2年個人情報保護法ガイドライン改正パブコメで、ガイドライン(通則編)89頁の個人関連情報の具体例に、閲覧履歴・購買履歴・位置情報とともに「ある個人の興味・関心を示す情報」も明示している点も、個人情報保護委員会のファインプレーでないかと思われます。

個人情報保護法ガイドライン個人関連情報の具体例
つまり、2019年のリクナビ事件における就活生・求職者等の、「どの企業に入社したいか/どのような企業には入社したくないかなどに関する情報」や、内定辞退予測データなども、「ある個人の興味・関心を示す情報」なので、個人に紐付かない、特定の個人を識別できるものでない状態であったとしても、それらの情報は個人関連情報に該当することが個人情報保護委員会により明確化されたのです。

したがって、リクナビなどの人材紹介会社などは、個人情報保護法の法の網をかいくぐるような個人情報・個人データなどの脱法的な利用が今回の法改正で新設された、不適正利用の禁止条項(法16条の2)で規制されるだけでなく、取り扱う情報が「ある個人の興味・関心を示す情報」に該当する場合には個人関連情報に該当するので、第三者提供する際のあらかじめの本人同意の取得の法規制がここでもかかることになります。「PPC、グッジョブ!」としか言いようがありません。

(2)CCCなどのデータマーケティング企業など
同様に、TSUTAYAや武雄市図書館等のツタヤ図書館などを運営し、また共通ポイントのTポイントの運営で約7000万件の国民の個人情報と年間50億件のトランザクション・データを保有するCCCカルチュア・コンビニエンス・クラブ株式会社などのデータマーケティング企業などは、自社のビジネスモデルが個人情報保護法などを遵守しているか、今一度、慎重な再検討が必要なのではないでしょうか。

(3)ネット系人材紹介会社など
また、SNSやGithubなどからさまざまな情報をコンピュータで網羅的に収集し、AIによる分析・加工などを行っているLAPRASHackerBase Jobsなどのネット系人材紹介会社や、それらの人材会社を就活生や転職者などの採用選考に利用しているトヨタ、日産、サイバーエージェント、GMOなどの企業なども、自社のビジネスモデルや人事労務の業務が個人情報保護法制や職業安定法や関連する厚労省通達・指針などの労働法制に抵触していないか、今一度慎重な再検討が必要がなのではないでしょうか。

LAPRASを採用している企業
(LAPRASを利用している企業。LAPRAS社サイトより)

2019年のリクナビ事件では、個人情報保護委員会と厚労省は、リクルートキャリアだけでなく、トヨタなどの企業についても、「社内で個人情報保護法などを十分に検討していなかった」ことは安全管理措置(法20条)違反であると認定し、行政指導・行政処分を実施しています。
・個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について(PDF)|個人情報保護委員会

3.まとめ
このように、個人情報保護委員会は令和2年個人情報保護法改正対応の個人情報保護法ガイドライン改正で、図書館の貸出履歴なども一定の場合に個人情報または要配慮個人情報保護法に該当することを明確化し、「興味・関心」も個人関連情報に該当することを明確化しました。

採用選考・人事評価、PCや監視カメラ・スマホ・センサーなどによる従業員のモニタリングなどの労働分野、GIGAスクール構想や「教育の個別最適化」が推進されている教育分野、信用スコア事業、融資や保険引受審査などに関する金融・保険業、ターゲティング広告などの広告事業、顔認証システムや防犯カメラなどによる防犯事業、SNSのAI分析システムを導入しようとしている警察などは、業務を法的に再検討する必要があると思われます。

■関連する記事
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・Github利用規約や厚労省通達などからSNSなどをAI分析するネット系人材紹介会社を考えた















このエントリーをはてなブックマークに追加 mixiチェック

computer_server
1.CCCがT会員規約などを改定
Tポイントやツタヤ図書館などを運営するCCC(カルチュア・コンビニエンス・クラブ株式会社)の1月15日付のプレスリリースによると、同社はTポイントの個人情報・個人データの利用規約・プライバシーポリシーなどを一部変更したとのことです。

・T会員規約等、各種規約の改訂について|CCC

2.「他社データと組み合わせた個人情報の利用」の明確化
そのプレスリリースでは、CCCが個人情報・個人データの利用方法として新たにプライバシーポリシーなどに明確化したという使い方が説明されています(T会員規約4条6項)。

・T会員規約 改訂前後比較表|CCC

これは、おおざっぱにいうと、CCCが他社から他社の個人データを受け取り、CCCの持つ個人データと突合して分析・加工した個人データまたは統計データを生成して利用するというものですが、これは個人情報保護法上の委託スキームの、いわゆるデータセンター等における「混ぜるな危険の問題」に抵触してないでしょうか。

T会員規約4条6項
6.他社データと組み合わせた個人情報の利用
当社は、提携先を含む他社から、他社が保有するデータ(以下「他社データ」といいます)を、他社が当該規約等で定める利用目的の範囲内でお預かりした上で、本条第2項で定める会員の個人情報の一部と組み合わせるために一時的に提供を受け、本条第 3 項で定める利用目的の範囲内で、統計情報等の個人に関する情報に該当しない情報に加工する利用および当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供(以下あわせて「本件利用」といいます)を行う場合があります。
なお、当社は、本件利用のための他社データを明確に特定して分別管理し、本件利用後に他社データを破棄するものとし、本件利用のための、前述、当該他社から当社への一時的な提供を除いては、それぞれの利用目的を超えて利用することも、当該他社その他第三者に対して会員の個人情報の一部または全部を提供することもありません。

CCC他社データと組み合わせた個人情報の利用
(CCCサイトより)

3.飲料メーカーA社の事例(統計データ)
CCCのプレスリリースは、このT会員規約4条6項について、「飲料メーカーA社の事例(統計データ)」と「旅行代理店B社の事例(個人データ)」の二つの図を用意しているので、この二つの図で考えてみます。

飲料メーカーA社
(CCCサイトより)

まず一つ目の、飲料メーカーA社の事例では、飲料メーカーA社(他社)の他社個人データAをCCCがデータの分析・加工のために受取り(「委託」、個人情報保護法23条5項1号)、その他社個人データAとCCCの個人データを突合し、CCCの個人データに該当する個人の属性・嗜好などを分析した統計データ等を作成し、A社に渡すとなっています。

しかし、この事例のような個人データの委託元A社と委託先のCCCの個人データを混ぜて取り扱うことは禁止されています。

これは、たとえば、A社の個人データAとCCCの個人データを個人個人で本人同士突合し分析などを行うことがそれに該当します。つまり、個人データAとCCCの個人データの突合は、例えばD社、E社等などからCCCが本人同意の基に第三者提供を受けた個人データÐ・Eなどの合成されたCCCの個人データとの突合ということになります。委託のスキームをとらない本来の場合であれば、A社はD社、E社などから本人同意に基づく第三者提供を受けた上で個人データの突合が許されるわけですが、委託というスキームは、この第三者提供における本人同意の取得の省略を許すものではありません。(田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)

そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、委託元が自らやろうと思えばできるはずのことを委託先に依頼することです。したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないのです。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています。(田中・北山・前掲『ビジネス法務』2020年8月号30頁)

この点は、個人情報保護委員会の個人情報保護法ガイドラインQ&A5-26-2の事例(2)にも明示されています。また、個人データを本人ごとに突合して作成するデータが匿名加工情報などであっても、これは同様であると同QA11-13-2に明記されています。

個人情報QA5
(個人情報保護委員会サイトより)

したがって、CCCの明確化した新しい個人情報の取扱である、T会員規約4条6項の「飲料メーカーA社の事例(統計データ)」については、個人情報保護法23条1項、個人情報保護法ガイドラインQ&A5-26-2・11-13-2に違反しており、許されないものであると思われます。また、このような個人データの取扱は、法16条の定める目的外利用の禁止に抵触するおそれもあります(岡村久道『個人情報保護法 第3版』262頁)。

4.旅行代理店Bの事例(個人データ)
つぎに、二つ目のT会員規約4条6項の「旅行代理店Bの事例(個人データ)」は、旅行代理店Bから受け取った個人データBをCCCの個人データと本人同士で突合し、加工した結果の「個人データ」を「CCC」が自社のマーケティングや販売促進等に利用するようです。

旅行代理店B社
(CCCサイトより)

つまり、こちらも、上の飲料メーカーAの事例と同様に、突合してはいけない個人データBとCCCの個人データを本人同士で突合していますし、作成するのは統計データや匿名加工データ等ではなく、個人データのようであり、さらに当該個人データを販売促進などに利用するのはCCCのようです。

すなわち、個人データの委託というより、CCCの主導による他社の個人データの突合による個人データの利用のようです。したがって、これはそもそも個人情報保護法23条5項1号の委託のスキームを踏み越えているので、CCCは、原則に戻って、B社から本人同意に基づく第三者提供(法23条1項)によって個人データBを受け取っていない限り、この取り扱いは許されないことになると思われます。

5.まとめ
最近の世の中は、ビッグデータやAI、DX、官民のデジタル化という用語をニュースなどで聞かない日はないような状況ですが、CCCはデジタル化に少し浮かれ過ぎているのではないかと心配になります。

2019年の就活生の内定辞退予測データに関するリクナビ事件においては、リクナビだけでなくトヨタ等の採用企業側に対しても、個人情報保護委員会と厚労省から、「社内において個人情報保護法などの法令を十分に検討していない」として安全管理措置違反(法20条)があったとして行政処分・行政指導が出されたことを、個人情報取扱事業者の大手のCCCは失念しているのではないでしょうか(個人情報保護委員会・令和元年12月4日付「個人情報の保護に関する法律に基づく行政上の対応について」)。

CCCによるとTポイントの会員は約6900万人、提携企業数は188社、店舗数は1,052,092店舗(2019年3月現在)であるとのことであり、CCCの個人情報のデータベースには日本国民の50%を超える人間の個人データが集積されていることになります。そのような莫大な個人データを預かる企業市民としてのCCCの社会的責任、法的責任は重大であると思われます。

■関連するブログ記事
・CCCがT会員6千万人の購買履歴等を利用してDDDを行うことを個人情報保護法的に考える
・Tポイントのツタヤ(CCC)がプライバシーマークを返上/個人情報保護法の安全管理措置
・海老名市立中央“ツタヤ”図書館に行ってみた/#公設ツタヤ問題
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

■参考文献
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・岡村久道『個人情報保護法 第3版』262頁














このエントリーをはてなブックマークに追加 mixiチェック

武雄市図書館
1.はじめに
佐賀県の武雄市がカルチュア・コンビニエンス・クラブ株式会社(CCC)に地方自治法の定める指定管理者制度により武雄市図書館を業務委託し開館した際に、蔵書購入で違法な支出があったとして、市民が当時の責任者だった樋渡啓祐前市長らに約1900万円を賠償請求するよう佐賀県武雄市に求めた住民訴訟において、佐賀地裁は昨年9月28日、住民側の請求を棄却する判決を出しました(佐賀地裁平成30年9月28日判決、法学セミナー770号117頁)。

2.事案の概要
2012年、武雄市は同市が設置する武雄市図書館のリニューアルを計画し、2013年4月から代官山蔦屋書店などを運営するCCCを指定管理者として同図書館を運営させることとした。2012年11月、武雄市とCCCは、新図書館サービス環境整備業務に関する業務委託契約(「本件契約」)および新図書館空間創出業務に関する業務委託契約(「本件別契約」)を締結した。本件契約は蔵書1万冊の納入などについて、本件別契約は什器・照明の設置などについて定めていた。2013年5月、副市長(当時)は本件契約に基づく委託料の支出命令を行った。

2015年、同図書館リニューアル時に金銭の調整が行われ、蔵書1万冊について、新刊ではなく中古本を購入することで蔵書購入価格が約756万円に抑えられ、約1200万円の金銭が館内の安全対策のための追加工事に流用されていたことが発覚した。また、リニューアル当時より、蔵書の選書の分野の集中や、複数冊の重複などの問題も指摘されていた。

これを受けて武雄市の住民であるXらは、本件契約に基づく蔵書の納入について、CCCによる最終見積りによれば約1958万円であったにもかかわらず、実際には約756万円しか執行されておらず、残りの金銭が本件別契約に関する追加工事に流用されていたことは違法である等と主張して住民監査請求を行ったが棄却された。そのためXらが提起したのが本件住民訴訟である(地方自治法242条の2)。

3.判旨
請求棄却(控訴)。
判旨1
 1958万円余で1万冊の書籍を購入するということは、最終的な見積りの金額を算出するための明細の一部にすぎない。本件契約においては、契約金額の内訳は明示されていないし、本件契約書に見積書が引用されていない。本件契約書と一体の本件仕様書には、「蔵書となるべき書籍の購入」「蔵書購入1万冊」といった記載はあるが、書籍の購入にかかる金額の記載はない。そうすると、見積書の記載をもって、CCCが、本件契約において、1万冊の蔵書を購入する費用として1958万円余を使う債務を負っていたとはいえない。』

判旨2
 武雄市図書館のリニューアル業務において最も重視されたのは、代官山蔦屋書店のコンセプトおよびノウハウを図書館に導入すること、リニューアルするに当たり、同店を運営するCCCが主導的役割を果たすことである。図書館への導入が想定されていたのは、書籍等を通じてライフスタイルを提案する場を作ること、同店と同じような空間を演出することなどであるから、その中には当然書籍の選定も含まれる。同店のコンセプトおよびノウハウを熟知しているのはCCCであるから、武雄市としても、具体的な書籍の種類、内容、構成などについては、広く同社に委ねるほかはない。

そうすると、本件契約上、CCCが書籍に関して追う債務は、代官山蔦屋書店のコンセプトおよびノウハウを図書館に導入するため、書籍等を通じてライフスタイルを提案する場を作り、同店と同じような空間を創出するのにふさわしい書籍1万冊を、広い裁量の下で自ら選び出し、納入することであったというべきである。』

4.検討
本判決に反対。

(1)公立図書館の趣旨・目的
本訴訟の対象となっているいわゆるツタヤ図書館は、代官山蔦屋書店のような民間施設ではなく、公立図書館であるため、その法的な趣旨・目的が問題となります。

この点、図書館法1条は、「この法律は、社会教育法の精神に基づき、図書館の設置及び運営に関して必要な事項を定め、その健全な発展を図り、もって国民の教育と文化の発展に寄与することを目的とする」と、「社会教育法の精神」を前提としていることから、公立図書館は、すべての国民の教育を受ける権利(憲法26条)の保障を基本的精神としています。

つぎに、公立図書館の設置・運営に関する事項は、地方自治体の自治事務ですが、図書館法は、図書館奉仕(=サービス)の例示(3条)、図書館評価の実施(7条の3)、図書館協議会の設置(14条)、公立図書館の無償制(17条)など、地方自治体と公立図書館に対して一定の制約を加えています。

このような図書館法の規制は、「図書館の健全な発展」と「国民の教育と文化の発展」つまり国民の教育を受ける権利を保障するために、個々の地方自治体の施策を越えて、「全国画一的保障=ナショナル・ミニマム確保の見地から、それぞれの図書館が提供する役務・サービスの最低限度の内容あるいはその利用手続き」について法律で定めたものと解されています(塩見昇・山口源治郎『新図書館法と現代の図書館』101頁)。

すなわち、図書館法3条各号の図書館奉仕の規定などは、国民の教育を受ける権利を保障する観点から、図書館の最低条件(ナショナル・ミニマム)を確保するためのものです。そのため、地方自治体および公立図書館はこうした図書館の最低条件を達成したうえで、「土地の事情および一般公衆の希望」(3条)に沿った創意工夫に富む図書館サービスを展開すべきと解されています。

(2)図書館の蔵書の収集
この点、本訴訟ではCCCによる武雄市図書館の蔵書の収集の妥当性が大きな争点となっていますが、図書館法3条1号は、図書館奉仕の一つとして「図書、記録、視聴覚教育の資料その他必要な資料(略)を収集し、一般公衆の利用に供すること」と規定しているところ、CCCは蔵書の収集にあたり、新刊ではなく中古の図書を収集しており、また、蔵書の選書の分野の集中や、複数冊の重複などの問題も発生していました。

そのため、武雄市図書館を指定管理者として運営するCCCは、図書の収集にあたり図書館の最低条件たる図書館法3条1号を満たしておらず、その運営は違法・不当です。

(3)「武雄市図書館のリニューアル業務において最も重視されたのは、CCCが主導的役割を果たすこと」の妥当性
本件判決において一番驚くべきことは、裁判所が武雄市図書館について、判旨のとおり「武雄市図書館のリニューアル業務において最も重視されたのは、代官山蔦屋書店のコンセプトおよびノウハウを図書館に導入すること、リニューアルするに当たり、同店を運営するCCCが主導的役割を果たすことである」とし、その上で「同店のコンセプトおよびノウハウを熟知しているのはCCCであるから、武雄市としても、具体的な書籍の種類、内容、構成などについては、広く同社に委ねるほかはない。」と言い切って平然としている点です。

しかし”代官山蔦屋書店をそのまま武雄市に持ってくる”ことをコンセプトとして図書館を集客施設とし、それにより「町おこし」や「街のにぎわいの創出」を目的として公立図書館をリニューアルすることが「土地の事情および一般公衆の希望」(図書館法3条)に照らし、地方自治の一環として仮に許容されるとしても、上でみたとおり、そのリニューアルは公立図書館の「図書館の最低条件(ナショナル・ミニマム)」を達成したうえで実現されなければ違法となります。

そもそも公立図書館などの「公の施設」を指定管理者制度により「民営化」することが許される要件は、「公の施設の設置の目的を効果的に達成するため必要があると認めるとき」です(地方自治法244条の2第3項)。

すなわち、図書館の開館時間の長期化、開館日数の増加などだけでなく、図書館法3条各号が例示する、レファレンスの充実、図書・蔵書の充実などが「効果的に達成」されることが求められるのです(鑓水三千男『図書館と法』84頁)。

この点、武雄市および本判決は、武雄市図書館のリニューアルは、蔵書の品質などはどうでもよいことであって、「代官山蔦屋書店のコンセプトおよびノウハウを図書館に導入すること」により町おこしをする目的であると開き直っていますが、これらは図書館法の定める公立図書館の目的外のものであって、図書館法の趣旨および地方自治法244条の2第3項の解釈・適用を誤った違法なものです。

(4)武雄市教育委員会はCCCに白地委任をすることが許されるのか
さらに本判決は、「同店のコンセプトおよびノウハウを熟知しているのはCCCであるから、武雄市としても、具体的な書籍の種類、内容、構成などについては、広く同社に委ねるほかはない。」とも述べていますが、地方自治体(教育委員会)が公の施設たる図書館の設置・運営に関し、民間企業たる指定管理者に白地委任ともいうべき全面的な委任をすることが許容されるのでしょうか。

この点、公立図書館は社会教育施設として自律的に運営されるべきであり、国・自治体からの不当な介入は許されないという制度設計がなされている一方で、各自治体の社会教育を所轄する教育委員会が公立図書館を指揮監督する構造となっています(社会教育法9条の3、11条、12条、地方教育行政の組織及び運営に関する法律19条、21条、鑓水・前掲78頁)。

地方自治法も、地方自治体に指定管理者に対する報告徴求、実地調査、指示、指定の取消などの規定を置いており、地方自治体が指定管理者を管理監督する制度となっています(地方自治法244条の2第10項、11項)。

したがって、武雄市の教育委員会がCCCに武雄図書館のリニューアル・運営を丸投げしている状況と、それを追認してしまっている本判決は、社会教育法などの関連法規の観点からも違法・不当といえます。

本件住民訴訟は控訴がされているそうであり、上級審で適切な判断がなされることが望まれます。

■関連するブログ記事
・海老名市ツタヤ図書館に関する住民訴訟判決について

■参考文献
・児玉弘「CCCを指定管理者とする武雄市図書館に関する住民訴訟」『法学セミナー』770号117頁
・塩見昇・山口源治郎『新図書館法と現代の図書館』101頁
・鑓水三千男『図書館と法』78頁、84頁









このエントリーをはてなブックマークに追加 mixiチェック

o0640048013443134405

1.はじめに
『判例地方自治』平成30年7月号55頁に、海老名市のいわゆるツタヤ図書館に関する住民訴訟の地裁判決が掲載されていました。結論として住民側敗訴の残念な内容の判決です。なお本判決は、公立図書館の指定管理者に関する住民訴訟の判決としては、公開された判決として初のものと思われ、先例的な意義があります。

2.横浜地裁平成29年1月30日判決(一部却下・一部棄却・控訴(控訴棄却))
(1)事案の概要
海老名市は、 市立中央図書館の管理・運営について、地方自治法244条の2 第3項の指定管理者制度を導人し、その指定管理者として、A共同事業体(カルチュア・コンビニエンス・クラブ(CCC)と図書館流通センターの共同事業体、以下「本件事業体」という。なお図書館流通センターは後に本件共同事業体から撤退した)を指定し、本件事業体との間で基本協定(以下「本件基本協定」という)を締結し、本件事業体に市立中央図書館の管理を委ねるとともに、市立中央図書館の大規模改修工事(以下「本件改修工事」という 。)を行った上で、本件事業体を構成するB社(CCC)に対し、市立中央図書館の一部を書籍等の販売及び喫茶の営業のために使用することを許可した(以下「本件許可」という)。

本件住民訴訟は、海老名市の住民である原告ら(X)が、市の執行機関である被告(海老名市長、以下Yとする)に対し、①本件基本協定は、市立図書館の指定管理者としての適格がない本件事業体との間で締結されたもので違法である旨主張して、本件基本協定を解約することを求め (請求1 )、 ②YがB社に対してした本件使用許可は、市立中央図書館の機能を著しく阻害し、かつ、権限なくされたものであるから違法である旨主張して本件使用許可を取り消すことを求めるとともに(請求2)、本件使用許可をした当時の市長であるCに対して本件使用許可により市が被った損害の賠償請求をすることを求め(請求3)、③市が指定管理者である本件事業体に市立中央図書館の図書購入を委託してその支払を代行させることは違法である旨主張してこれを禁止することを求め(請求4)、④市が本件事業体に対して支出した平成26年度の指定管理料は杜撰な積算のため余剰を生じ、また、本件改修工事にはB社の営業を支援するために行われた必要性のない工事が含まれていたと主張して、上記指定管理料の支出及び本件改修工事に係る請負契約(以下「本件請負契約」という。)締結の当時の市長であるCに対し、当該支出及び本件請負契約締結により市が被った損害の賠償請求(請求5 )をすることを求めた訴訟である。

(2)裁判所の判断
横浜地裁は、Xの請求1、請求2、請求4について、地方自治法242条の2第1項各号の定める住民訴訟の各類型のいずれにも該当しない、あるいはXには訴えの利益がない等の理由により却下しました。

その上で、横浜地裁はXの請求3について次のように判示しています。

『地自法242条の2第1項が定める住民訴訟は、地方財務行政の適正な運営を確保することを目的とし、その対象とされる事項は同法242条第1項の定める事項、すなわち、公金の支出、財産の取得、管理若しくは処分、契約の締結若しくは履行若しくは徴収、管理若しくは債務その他の義務の負担、又は、公金の賦課若しくは徴収若しくは財産の管理を怠る事実に限られるのであり、これらの事項はいずれも財務会計上の行為又は事実としての性質を有するものである。

したがって、 請求3に係る訴えが適法といえるためには、Yがした本件使用許可が、中央図書館の財産的価値に着目し、その価値の維持、保全を図る財務的処理を直接の日的とする財務会計上の行為としての財産管理行為に当たるものでなければならないと解するのが相当である (最高裁平成2年4月12日第一小法廷判決、民集44第31頁参照)。

地教法21条2項所定の教育財産である中央図書館の目的外利用についての使用許可(地自法238条の4 第7項)は、本来、市の教育財産の管理権限を有している市教委(地教法21条2号)が、その管理行為の一環として行うべきものである。

そして、地教法は、教育財産について、その取得及び処分を地方公共団体の長の権限とする一方で(22条4 号)、その管理を教育委員会の権限としていること(21 条2号)、 地自法238条の4第7項の許可を受けてする行政財産の使用については借地借家法の適用がなく(同条8項)、当該使用を許可した場合において、公用若しくは公共用に供するため必要が生じたとき等は、普通地方公共団体の長又は委員会はその許可を取り消すことができるとされており(同条9項)、使用料の額の決定及び減免については別途の処分が予定されていること (同法225条、 228条1項前段参照) に照らせば、 市の教育財産である図書館の目的外使用の許否処分それ自体は、教育行政を所掌する教育財産の管理である市教委が、 教育上及び公共上の政策的な見地から、図書館施設の管理に係る教育行政上の処理を直接の目的としてその許否を決すべき処分というべきであって、当該図書館施設の財産的価値に着目し、その価値の維持、保全を図る財務的処理を直接の目的とする財務会計上の行為としての財産管理行為には当たらないと解するのが相当である。

そして、 中央図書館の本件目的外使用につきYがした本件使用許可は、 許可権限のないYが誤って行ったものであるが、 そうであるからといって、教育上及び公共上の政策的見地から図書館施設の管理に係る教育行政上の処理を直接の目的としてその許否を決すべき処分である図書館の使用許可の性質が変わるものではないから、Yがした本件使用許可も、財務会計上の行為としての財産管理行為に当たらないというべきである。

そうすると、Yがした本件使用許可は、地自法242条1項が定める住民訴訟の対象となる行為であるということはできない』。

このように裁判所は判示し、請求3について却下しています。また、請求5についても裁判所は形式的な審査を行い「本件改修工事はB社の営業支援のために行われたとはいえない」と棄却しています。そして結論として、住民Xらの主張をすべてしりぞけています。

3.検討・解説
(1)住民訴訟の対象
住民訴訟の対象となる事項(地方自治法242条の2第1項)は財務会計行為に限るとされていますが(最判平成2・4・12)、何が財務会計行為かが本件訴訟のように問題となることが少なくありません。

(2)指定管理者制度
指定管理者の指定(地方自治法244条の2第3項)については、市立駐車場の運営に指定管理者を指定した事案において、指定管理者の指定は、当該公共要物の財産的価値の維持、保全を図る財務処理を直接の目的とする財務会計上の行為にあたらないとする裁判例が存在します(大阪地判平成18・9・14、判例タイムズ1236号201号)。このように、裁判例においては、財務会計行為該当性を判断するにあたり、財務会計処分を直接の目的としているかを重視する傾向がみられます(宇賀克也『地方自治法概説 第7版』357頁)。

このような裁判例に対しては、「公物の公物管理権は、当該公物の所有権から派生する権能であると解すれば、公の施設=公物を所有している自治体は、所有権に内包されている管理権限の1つとして管理者を指定する権能を行使することが地自法により認められているのである。それ故に管理者を指定する権能は当然にして財産的側面を有しているのである。それゆえ、住民訴訟の対象性が認められるべきである。すなわち、公の施設=公物の管理に関して、財産的管理と公物の機能管理を截然と区分(することはできない。)」(寺田友子「公の施設の管理外部化にみる住民訴訟」『桃山法学』7号31頁)との批判がなされています。

また、指定管理者の指定の問題は本件訴訟も否定するとおり、取消訴訟などの訴訟類型では争えないものです。そのため、住民としては指定管理者による公の施設の運営などに違法・不当の疑義がある際に住民訴訟で争えないとなれば、指定管理者制度による公の施設の運営は、司法審査が及ばないブラックボックスとなってしまい、これは妥当とは思われません。

(3)先行行為・後行行為論
なお、住民訴訟の場面においても、先行行為に違法があった場合にはその違法性は後行行為である財務会計行為に承継され、当該財務会計行為は住民訴訟の対象となるとするのが判例です(最判昭和60・9・12、宇賀・前掲375頁)。本件訴訟は、海老名市の予算執行部門による指定管理費の支給を後行行為として住民訴訟を提起する道もあったかもしれません。

(4)ツタヤ図書館
ツタヤ図書館は、「町おこし」「街のにぎわいの創出」を目的として、海老名市立中央図書館のおよそ半分の面積を目的外利用で本屋や喫茶店、各種のグッズ売り場とし、大音響のBGMを館内で流し、ツタヤの営業部分が主で図書館機能は従の関係になっています。そして図書館機能をみても、利用者にわかりにくい図書の「独自分類」を採用し図書を配架・分類しており、また、肝心の図書も1990年代、00年代の本が多く並んでいる状態です。

o0640048013443251740
(WindowsXPの図書が大量に並んでいる海老名市立中央図書館。2015年当時。)

図書館法1条は、図書館の目的を「社会教育法の精神に基づき、図書館の設置及び運営に関して必要な事項を定め、その健全な発達を図り、もって国民の教育と文化の発展に寄与することを目的とする」と規定しています。

解説書によれば、「社会教育法の精神」とは、「教育を受ける権利」(憲法26条)であり、同法は、「国民の教育と文化の発展に寄与する」ために、個々の地方自治体の施策を超えて、「全国画一的保障=ナショナル・ミニマム確保の見地から、それぞれの図書館施設が提供する役務・サービスの最低限度の内容あるいはその利用手続き」を規定したものであるとされています(塩見昇・山口源治郎『新図書館法と現代の図書館』98頁、101頁)。

また、図書館は利用者・国民の「知る権利」(憲法21条1項)に奉仕する公の施設であり、その機能は民主主義の土台でもあります。

図書館法3条は、それぞれの自治体・図書館が「土地の事情及び一般公衆の希望」に沿った創意工夫を行うことも規定していますが、しかしそれは同法3条各号が掲げる、図書・郷土資料等の収集・一般公衆への提供(1号)、図書の分類配置・目録の整備(2号)、レファレンス(3号)などのナショナル・ミニマムの役務・サービスを達成した上で行なわれるべきものです。

利用者・国民の「教育を受ける権利」や「知る権利」・民主主義ではなく、「町おこし」「街のにぎわいの創出」を目的としたCCCを指定管理者とした全国のツタヤ図書館の導入・運営は、図書館法1条に抵触する違法なものであると思われます。

民間により行政が担ってきた公的事業の代替が認められるためには、いやしくも民間化によって、それまで行政により確保されてきた国民の憲法が保障する社会権・生存権がないがしろにされてはならないのです(晴山一穂『現代国家と行政法学の課題』161頁)。

4.まとめ
本件訴訟は住民側敗訴という残念な結果に終わりました。しかしそれは住民訴訟という訴訟類型に住民側の訴えが適合していなかったという形式的な理由に止まるのであり、裁判所はツタヤ図書館に積極的なお墨付きを与えたわけではありません。

ボールは海老名市議会や市当局、海老名市の住民の方々に戻されたものと思われます。海老名市議会にはツタヤ図書館問題の追及を続けておられる理性的な議員の方もおられます。そのような方々のより一層の奮闘が望まれます。

■関連するブログ記事
・海老名市立中央“ツタヤ”図書館に行ってみた

■参考文献
・『判例地方自治』平成30年7月号55頁
・宇賀克也『地方自治法概説 第7版』357頁
・寺田友子「公の施設の管理外部化にみる住民訴訟」『桃山法学』7号31頁
・塩見昇・山口源治郎『新図書館法と現代の図書館』98頁、101頁
・晴山一穂『現代国家と行政法学の課題』161頁

地方自治法概説 第7版

新図書館法と現代の図書館

現代国家と行政法学の課題―新自由主義・国家・法

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ