鈴木正朝先生の「共同利用」はどこまでやるの

pseudoidentifier @pseudoidentifie

.@suzukimasatomo 論文に含まれているとうれしいと思う内容をご参考までにお伝えしておきたいと思います。 「個人情報データベース等へのアクセス権を付与」する実態があれば、共同利用方式として良いのでしょうか。たぶん十分ではないのでしょう。

pseudoidentifier @pseudoidentifie

.@suzukimasatomo 個人情報データベース等へのアクセス権を付与ことについて営業行為を行っていたら、共同利用方式として良いのでしょうか。多分だめなのでしょう。

pseudoidentifier @pseudoidentifie

.@suzukimasatomo Tポイントカードの場合、 私個人的には共同利用の範囲の拡大は何となく見込める感じですが、法的にはまったく見込めないという理解で良いのでしょうか。

pseudoidentifier @pseudoidentifie

.@suzukimasatomo 「業種を問わず増減できるよう約款で定める共同利用の濫用的手法」とありますが、なぜ業種が関係してくるのでしょう。大分類とか、小分類とかどれぐらいの粒度で考えれば良いのでしょう。コングロマリットのグループ企業での共同利用は良いのでしょうか。

pseudoidentifier @pseudoidentifie

.@suzukimasatomo Tポイントが共同利用でないとすると、そもそもポイントプログラム参加企業がCCCに個人情報を渡すことにつき、個別に同意を得る必要があるという理解で良いでしょうか。

pseudoidentifier @pseudoidentifie

.@suzukimasatomo その場合、参加企業の利用規約は、CCCの利用規約を参照すれば良いのでしょうか。ユーザにとっては、かえって分かり難くくて望ましくないような気もしますが、その方が良いとするとその理由はどのようなものでしょうか。

pseudoidentifier @pseudoidentifie

.@suzukimasatomo 私が関心があるのは、あくまで、CCCが保有する個人情報データベース等へのアクセス権をプログラム参加企業が持っている実態がある場合で、そのことにつき十分規約とわかりやすい説明資料で会員に説明してあることが前提の場合の、ありかたです。

pseudoidentifier @pseudoidentifie

.@suzukimasatomo 個人的に関心があるので、可能なら知りたいということで、可能な範囲で論文をお書きになるときに、ご高配いただけましたら感謝いたします。

pseudoidentifier @pseudoidentifie

@suzukimasatomo いろいろ知りたいことが次々出てくるのですが、メンションをつけていると、ご迷惑な気がしてきましたので、もし関心があれば、検索してご覧ください。

pseudoidentifier @pseudoidentifie

DB直接アクセスの実態があれば共同利用方式で良いのだとすると、次に知りたいのは、直接アクセスのためのシステムはあるのだが、参加企業が皆無な時はいいのだろうか。営業行為はあるけれど、お客がいてからシステム開発する状況だとどうなのだろうか。営業行為もなくて、中長期計画だけのときは？

pseudoidentifier @pseudoidentifie

DB直接アクセスの実態があっても共同利用方式がだめだとすると、どうすればよいのだろう。単に参加企業に提供することを目的に含めて置けば良いのだろうか？ユーザから見ると、共同利用方式より何に使われるのかわからなくなって、不安が増すけど、仕方ないのだろうか。

pseudoidentifier @pseudoidentifie

共同利用方式の場合、共同利用企業のリストをホームページで公開するだけではだめだとすると、第3者提供の場合はどうなのだろう。リストで公表するだけで良いだろうか？法律の文言だけ見ていると、公表も不要なような気がするが。

pseudoidentifier @pseudoidentifie

一方で個人情報を受け取った企業は利用目的を公表しないといけないが、そうして公表された利用目的をユーザは見つけることがとても難しく、なんだか望ましくない状況になりそうな気がする。

pseudoidentifier @pseudoidentifie

そもそもCCCのは、形式的には、本人同意のある共同利用なので、形式的に妥3者提供に利用規約を変更しても、OKな気がするけど、間違っている気もするので、だれか教えてください。

pseudoidentifier @pseudoidentifie

「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない」ってなっているけど、第3者に提供することを目的にすると、てきる限りって、提供先を特定しないといけないってこと？

pseudoidentifier @pseudoidentifie

改めて読んでみると「T-IDを入力又はTカードを提示した場合、当社とポイントプログラム参加企業との間において当該会員の個人情報が相互に提供されることについて、当該会員は同意したとみなされることとさせていただきます」って、形式的には共同利用方式無くても第3者提供で合意とってる形？

pseudoidentifier @pseudoidentifie

Tポイントカードの利用規約は、出来の良しあしはおいておけば、一応オプトアウトの規定と第3者提供の合意の規定を置いているが、それでも「本人同意とオプトアウト手続を回避する僭脱手段を講じていることにほかならない。」ということになるのだろうか？

pseudoidentifier @pseudoidentifie

あらためて関心事項は、現状約款に問題があるかどうかではなく、約款は十分に良いものに改善したとしても、共同利用方式は不可なのかどうかです。すなわち、共同利用方式の方向で利用規約を改善する努力が無駄なのかどうかです。

pseudoidentifier @pseudoidentifie

Tポイントカードの利用規約がオプトアウトの規定と第3者提供の合意の規定を置いていることを前提とすると「利用規約の変更に伴う本人同意の再取得を回避する僭脱手段を講じている。」という理解の方が適切ではないだろうか？

pseudoidentifier @pseudoidentifie

第3者提供の場合と共同利用の場合で、利用規約の変更に対して法が求める頻度は異なるのであろうか？利用目的をできるだけ特定のできるだけの程度が第3者提供の場合と共同利用の場合で異なるべきなのであろうか？どう法を解釈すれば良いのであろうか？

pseudoidentifier @pseudoidentifie

第3者提供と共同利用を両方規定し、その区分を明示していない利用規約（どういうケースでどっちで提供又は利用しているか消費者が判断できない）は規約としてなりたっていないと考えるべきだろうか？

pseudoidentifier @pseudoidentifie

連結可能匿名化は、本人同意なき利用を可能にするための検討テーマで、Tポイントカードは形式的には本人同意がある共同利用なのではないだろうか（本人が本当に同意しているかどうかに問題は残るものの）。

pseudoidentifier @pseudoidentifie

Tカードが個人情報の扱いにつき、利用目的の明示とか公表とか容易に知りえる状態に置くとかの方法を採用しているのか、同意を取得する方法を採用しているのか確認するために、ファミマTカード入会申込書を見てみた。「内容を承認のうえ、本契約を申し込みます」と書いてあった。形式は同意方式のよう

pseudoidentifier @pseudoidentifie

共同利用について規約に書いてあったら、申込書に「利用規約を承認のうえ、申し込みます。」と書いてあっても「本人同意を回避する僭脱手段を講じていることにほかならない。」ことになるのだろうか？

pseudoidentifier @pseudoidentifie

「本人同意を回避する僭脱手段を講じ」る意図があるのであれば、個人情報保護法上必ずしも必須ではない「規約を承認のうえ」の文言はあえて書かないのではないだろうか。