Tポイントを運営するカルチュア・コンビニエンス・クラブ(CCC)が「DATA DEMOCRACY DAYS」(以下「DDD」とする)というコンテストを行うそうです。これは約6500万人の「Tカード」会員の購買データなどを活用した新たな事業やサービスを、一般の社会人や学生などに企画してもらい、その優劣を競うコンテストであるそうです。
・DATA DEMOCRACY DAYS|CCCマーケティング
・「T会員」6500万人の購買データ使ってサービス企画 CCC「DATA DEMOCRACY DAYS」|ITmedia
CCCはDDDサイトで、「個人情報は提供しない」と主張していますが、ネット上では、「T会員の個人情報は大丈夫なのか?」とちょっとした炎上状態となっています。
2.これらの購買データ等は個人情報・個人データではないのか?
上であげたITmediaの記事によると、このDDD参加者にCCCから提供される購買履歴等のデータはつぎのとおりです。
(「T会員」6500万人の購買データ使ってサービス企画 CCC「DATA DEMOCRACY DAYS」ITmediaより)
この図をみると、購買履歴等のデータベースである「ID-POSデータ」においては、暗号化されたT会員IDと、生データのままと思われる「購入した日時」、「提供先企業CD」、「店舗CD」、「商品CD」、「単価」、「数量」、「売上」の項目がならんでいます。
そして「ID-POSデータ」DBと連動している「商品マスタ」においては、「商品CD」から商品のカテゴリーや商品名などをみることができるようになっています。
さらに、「ID-POSデータ」DBと連動している「店舗マスタ」においては、「A社渋谷支店」など、店舗の具体的な地名が表示されてしまっています。
加えて、たしかに「会員マスタ」において、T会員IDは「暗号化」がなされ、氏名の項目は削除されているようです。しかし性別は残っており、住所も郵便番号の上3ケタが残ってしまっており、T会員の住所が市町村レベルで特定できてしまいます。また、会員の生年月日も、日はカットされていますが、年月はそのままになってしまっています。なにより、T会員IDは暗号化がなされているものの、「ID-POSデータ」DBの暗号化されたT会員IDと連動しているようです。(図には、「ID-POSデータ」DB上に「誰が、いつ、どこで、どのように、何を、どのくらい」と書かれ、「会員マスタ」にも「誰が」と書かれている等)。)
このように、今回、DDDのコンテスト参加者に提供されるデータは、ほとんど生データであり、個人を容易に特定できる個人データ(個人情報)であるといえます。
平成27年改正個人情報保護法においても、個人情報とは「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(略)(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」(2条1項1号)
たとえCCCが提供するデータにおいて、T会員IDを暗号化したり、氏名を削除する等しても、ある人物がいつ、どこで、どんな商品をどのくらい購入したかが明確にわかる以上、本人を容易に特定できるので、これらの提供されるデータはやはり個人情報(個人データ)です。
なお、平成27年改正個人情報保護法は、本人の同意がなくても第三者提供ができる匿名加工情報という制度を新設しました。これは提供元の事業者に情報が「特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにする」ことを義務付けています(個人情報保護法36条)。
そして、同施行規則や、個人情報保護委員会のガイドラインは、特定の個人が識別できないように、データに対して、「特異な記述等の削除」や、「項目削除等」・「一般化」・「トップコーディング」等の加工を行い「個人情報データベース等の性質を踏まえた措置」を行うことを提供元の事業者に義務付けています(施行規則19条4号、5号、「個人情報保護法ガイドライン(匿名加工情報編)」12頁、13頁)。
CCCが提供予定である個人データはほぼ生、あるいは半生の個人データであり、とても匿名加工情報とは考えられません。
3.個人情報の目的外利用に該当しないのか?
つぎに、個人情報保護法は、事業者に個人情報の利用目的をできるだけ特定するよう定め、個人情報の目的外利用を禁止しています(個人情報保護法15条、16条)。
この点、CCCのT会員規約における利用目的には、「ライフスタイル提案のための会員情報分析」というなんとでもとれる文言が入っています(4条3項3号)。
しかしDDDサイトを読むと、本コンテストの趣旨は、「データに接する機会を広くオープンにし、アプリなどの開発につながるようなコミュニケーションを通じて、あなたが幸せを感じたり、毎日の生活が楽しくなるような企画や事業、サービスを提案、創出いただける場を作る」等となっています。
この点を考えるに、「毎日の生活が楽しくなるような企画や事業、サービスを提案、創出」することは、CCCの大好きな「ライフスタイル提案」の利用目的に含まれるとも考えられますが、しかし、「データに接する機会を広くオープンにし、アプリなどの開発につながるようなコミュニケーション」を行うことは、CCCの顧客へのライフスタイル提案とは言えず、個人情報(個人データ)の目的外利用であり違法と考えられます(16条)。
4.個人情報の第三者提供の例外である「委託」に該当するのか?
個人情報保護法は本人の同意のない第三者提供を原則として禁止しています(23条1項)。ただしその例外の一つに「委託」があります(23条5項1号)。
DDDサイトによると、CCCはコンテスト参加者との関係を「委託」としています。しかし委託は「利用目的の達成に必要な範囲内において」許されているにすぎません。3.で検討したように、本コンテストはCCCのT会員規約が定める利用目的を超えているので、コンテスト参加者への「委託」も違法です(23条5項1号)
また事業者(委託元)が委託を行う際には、委託元は委託先が法20条の安全管理措置につき、委託元と同レベルの者を選定するための基準・指針を策定し、委託先となろうとする者の事業所等を立ち入り検査などしなければならないとされています(22条、「個人情報の保護に関する法律についてのガイドライン(通則編)」86頁以下)。
このDDDは、学生や一般人などから広くライトな感覚でコンテスト応募者を募ろうとしていますが、CCCが6500万名分の個人情報保護事業者として、十分な安全管理措置および委託先への安全管理措置を講じているのか、大いに疑問です。
5.まとめ
以上をまとめると、DDDのコンテストにおいてCCCから提供されるデータはまぎれもなく個人情報(個人データ)であり、また、DDDという企画自体がT会員規約の利用目的を超える違法なものです。したがって、CCCはDDD参加者との関係を「委託」としているようですが、これも違法です。目的外利用でかつ第三者提供なので、CCCはT会員一人一人から同意を得なければこのDDDを行うことはできません。
また、CCCが保有する大量の個人データについて十分な安全管理措置を講じているかどうか、委託先への十分な安全管理措置を講じているかについても疑問が残ります。
■参考文献
・宇賀克也『個人情報保護法の逐条解説 第5版』33頁
・岡村久道『個人情報保護法 第3版』227頁、262頁
 |
 |
 |
