« クロスサイトスクリプティング(XSS)攻撃が増加との調査結果 | トップページ | PayPalがSQLインジェクション攻撃を受けるバグを補修 »

2013年1月31日 (木曜日)

Tポイントにより収集される個人データの「共同利用」に関する高木浩光氏の疑問

下記の記事がある。

 Tポイントは本当は何をやっているのか
 高木浩光@自宅の日記:2012年09月23日
 http://takagi-hiromitsu.jp/diary/20120923.html

本日現在,この日記の末尾には,「はたして、このような共同利用は適法なのだろうか」という趣旨の疑問文がある。

ブログなので詳細は書かないが,結論としては無効だと考えられる。

現状の約定を前提とする限り,個人情報保護法上の適法な共同利用とはならないと考えられるし,また,消費者契約法上も問題がある。

適法にビジネスするためには,Tポイントの解説の表示として,「顧客情報を収集・蓄積・分析・共同利用・加工または修正・販売または交換または贈与・第三者提供すること」を大きな赤色の太字で表示しなければならない(←個人情報保護法上適法かどうかはひとまずおく。)。そして,その次に,小さな字で「ポイントサービスもあります」と書かなければならない。

要するに,顧客のメリットを強調してはならない。それは,単なる誘引または個人データ収集の対価(代償)の一種なので,主たる目的ではあり得ない。

主たる目的が個人データの収集である以上,それを第一のものとしてできる限り目立つように表示するのでなければ,消費者保護法の趣旨に反することになる。

それでもよいという顧客はいっぱいるだろう。それでもよいとしてサービスを利用する顧客は,自己責任で行動していると考える。

なお,たまたまTポイントに関する高木さんの記事を読んだのでTポイントを素材にしてこの記事を書いたのだが,Tポイントだけを狙い撃ちにする趣旨ではない。当然のことながら,Suicaなどを含め,全てのポイントカード及びポイント付加機能のあるカードについて書いている。Tポイントは,その一例に過ぎない。

*************************************

(余談)

個人情報保護法の解釈については,論者により様々な見解がある。特に業界の顧問をしている法律家等の場合には業界にとって不利な見解は絶対に公けにしない。

そういう前提なので,もちろん反対論もあるとは思う。

また,このブログは,私的なメモを公開しているだけのもので,法律論文ではないので,詳しいことは書かない。

そこで,簡単に結論だけ示しておくと,「共同利用」の場合でも「第三者提供」の場合でも,誰と共同利用するのかまたは誰に提供するのかが明確に特定されて表示されていなければ違法だと考えている。特に当該共同利用者や第三者が個人情報取扱事業者でない場合には主務大臣の監督を一切受けない。このような場合,行政措置(措置命令や罰則の適用を含む。)を受けない者によって個人情報が共同利用されまたはそのような者に対して第三者提供されるかもしれないのに,個人情報の本人は,そのことを全く知らされていないことになる。つまり,判断の前提となる重要な情報が提供されていない以上,有効かつ適法に承諾や同意をすることできない。

これほど不当なことはない。

もし,そのような共同利用者や第三者の中に暴力団や著名な悪徳業者が混ざっていたとしても,個人情報の本人は,それを知ることができなくなってしまうのだ。

というわけで,漠然と「共同利用」や「第三者提供」などがあることが約定に記載されていたとしても,それだけでは違法だというのが私見だ。

なお,特定の者が記載されている場合でも,後になって共同利用者が増加したときや第三者が追加された場合には,当該個人情報を取得した個人情報取扱事業者としては,その都度,当該個人情報の本人に対し,個別に通知等をして,オプトアウト(利用停止)の機会を確保しなければ,もちろん違法行為となる。

************************************

(余談2)

個人データの共同利用者や第三者提供先が明示されていない場合,国防上や企業防衛上も深刻な問題が発生し得ることがある。

例えば,共同利用者や第三者提供先が,実質的にみて,外国のスパイの役割を果たしている個人・組織・団体等である場合,国防上の問題が発生し得る。特に,特定の仕事をしている公務員等がポイントカードの会員である場合には,様々な問題の発生を予想することができる。身の安全に危険が及ぶこともあり得る。

他方,共同利用者や第三者提供先が,当該個人情報の本人が所属する企業等のライバル企業である場合,やり方次第では不正競争防止法違反となるような行為またはこれに類する行為を実行することが不可能ではない。悪用されると困るので詳論は避ける。

なお,個人情報を最初に収集する事業者が,共同利用者や第三者提供先の名称等について嘘や偽りの記載をしている場合においても,当然のことながら,同様の問題が発生し得る。法的または企業会計上では当該事業者と同一の組織・団体等とみなされるべき場合でも,子会社や関連会社等の実質に問題がある場合には同様の問題が生じ得る。

 

これらの問題は,従来,個人情報(個人データ)の保護が一般国民としての私人のプライバシー保護等の問題だけに矮小化されてきたことにそもそもの原因がある。

 

[このブログ内の関連記事]

 カルピスのキャンペーンのために収集した個人情報9万6000件の処理を委託していた委託先の従業員が,キャンペーン終了後に廃棄すべきなのに無権限で複製してレンタルサーバー上に保存していたため,そのレンタルサーバから外部流出
 http://cyberlaw.cocolog-nifty.com/blog/2012/07/96000-ad24.html

 佐賀の図書館騒動
 http://cyberlaw.cocolog-nifty.com/blog/2012/06/post-5a12.html

 米国:顧客データ追跡・分析し第三者に提供する業務を遂行していることが違法であるとしてFTCから訴追を受けていた企業が,追跡により収集した顧客情報を削除または匿名化することに同意
 http://cyberlaw.cocolog-nifty.com/blog/2012/10/ftc-3260.html

 位置情報を用いた商品やサービスの案内情報提供サービスはプライバシー侵害の疑いがある
 http://cyberlaw.cocolog-nifty.com/blog/2011/05/post-116c.html

 

|

« クロスサイトスクリプティング(XSS)攻撃が増加との調査結果 | トップページ | PayPalがSQLインジェクション攻撃を受けるバグを補修 »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



« クロスサイトスクリプティング(XSS)攻撃が増加との調査結果 | トップページ | PayPalがSQLインジェクション攻撃を受けるバグを補修 »