Tポイントの会員規約改訂に高木先生が所見

Tポイントの会員規約改訂に高木先生が所見を投稿中… 【まとめのまとめ by まとめ主】 1.CCCが考えている個人情報に対する定義がより明確になった(とりあえずYahoo JAPANよりマシ) 2.DBを分割しても照合可能な限りどちらも個人情報との認識 3.提携先にも個人情報を取得しているという概念を持たせることにより負担を増やしている感じ 続きを読む
43

CCC(カルチャーコンビニエンスクラブ)は2014年11月1日からT会員規約を改定すると発表しました。それについての高木先生の所見です。

Hiromitsu Takagi @HiromitsuTakagi

ccc.co.jp/customer/kaise… Tポイントの会員規約改訂について以下所見。

2014-08-14 23:27:21
Hiromitsu Takagi @HiromitsuTakagi

CCCは、ヤフーのように「個人を特定する情報(氏名・連絡先等)が個人情報である」などという勘違いはしておらず、それは以前からであったが、今回それはより明確になった。

2014-08-14 23:33:19
Hiromitsu Takagi @HiromitsuTakagi

今回の改訂で、照合による識別について、提供元基準で判断するようになったことが伺える。 根拠: 4条1項で「当社では、会員の個人情報を、特定の個人を識別することができない状態に加工し、且つ、特定の個人を識別することができる他の情報と容易に照合することができないようにすることにより…

2014-08-14 23:40:48
Hiromitsu Takagi @HiromitsuTakagi

…個人情報にはあたらないデータとして、当社の連結対象会社もしくは持分法適用会社、または提携先等の第三者に提供することがあります。」とあるが、ここで言っていることは、提供先にとって「個人情報にはあたらないデータとして」という意味であって、あくまでも自社にとっては個人情報とみなして…

2014-08-14 23:44:29
Hiromitsu Takagi @HiromitsuTakagi

…みなしているはず。なぜなら、この項は「個人情報のお取り扱い」について書いたものであるし、4条5項で、それを指して「個人情報を提供先に提供する」としているのだから、そう理解しない限り、矛盾してしまう。

2014-08-14 23:48:20
Hiromitsu Takagi @HiromitsuTakagi

(もっともこのことは改訂前からそう書いてあったとも言える。同じ趣旨の文は改定前の4条1項にもあるし、共同利用するとしていたのだから個人情報の提供として扱っていたはず。ただ、改定前は「個人情報には当たらないデータとして、当社が適切と判断した企業に提供することがあります」とあり、…

2014-08-14 23:52:19
Hiromitsu Takagi @HiromitsuTakagi

…とあり、共同利用とは別に、非個人情報提供のつもりで「当社が適切と判断した企業に提供する」と書いていたようにも読める。それが今回の改訂で、そうではないことが明確になった。)

2014-08-14 23:53:18
Hiromitsu Takagi @HiromitsuTakagi

Q14(データベースを分割したから片方は個人情報じゃない)的考え方は捨てたもよう。 根拠: 説明図 ccc.co.jp/customer/image… で、「利用履歴データベース」と「会員データベース」を分割管理するとあるが、「…ご利用情報を含めた全ての情報を個人情報として」とある。

2014-08-14 23:56:33
Hiromitsu Takagi @HiromitsuTakagi

それでもデータベースを分割管理することは安全管理措置として意義があるので、やることは良いこと。ただ、それぞれのデータベースを別会社で管理するよう分社化した意義(個人情報の取扱いではないとするためだけの潜脱的目的の分社化)はなかったことになる。

2014-08-14 23:59:18
Hiromitsu Takagi @HiromitsuTakagi

残念なのは、4条4項「提携先から当社に対して提供される個人情報について」のところ。加盟店でTカードを提示したときに履歴がCCCに入って来る部分を、加盟店事業者(「提携先」)からCCCへの個人情報の提供として整理されてしまった点。 これについては、「取得の委託」で整理するのが…

2014-08-15 00:13:17
Hiromitsu Takagi @HiromitsuTakagi

…「取得の委託」で整理するのがよいと、私としては今年3月から言い始めており、一部方面には既に説明していたが、CCCには届かなかったか。 「取得の委託」は、例えば、携帯電話会社が代理店に契約させる場合がそれで、それは氏名・連絡先情報の取得のケースだが、そうでなくて、履歴要素のみ…

2014-08-15 00:19:36
Hiromitsu Takagi @HiromitsuTakagi

…履歴要素のみの取得の場合であっても、個人データとして取得する(CCCにとって取得する履歴要素は個人データとなる)ものとして位置付けることができる。 この整理のよいところは、加盟店は、自社事業とは分離された業務を受託しているだけとして扱える点。

2014-08-15 00:23:14
Hiromitsu Takagi @HiromitsuTakagi

そのように整理せず、今回改訂のような第三者提供として位置付けてしまうと、加盟店は、自社の個人情報の利用目的に、CCCへ履歴情報を提供することを入れなくてはならなくなり、それは加盟店事業者にとって負担だろう。この点、加盟店にとっては特定の個人を識別できないとして、それをやらない…

2014-08-15 00:26:13
Hiromitsu Takagi @HiromitsuTakagi

…それをやらないという整理なのかもしれない。しかし、改訂規約では「Tカードを提示した場合、当該会員は、当該提携先から当社に対して以下に記載される個人情報が提供されることについて、当該提携先に対して同意したものとさせていただきます。」と、加盟店が個人情報をCCCに提供すると…

2014-08-15 00:28:45
Hiromitsu Takagi @HiromitsuTakagi

…するという扱いになっていて、しかも、その加盟店の行為について同意するものとするとCCCの規約で書いているところが変だ。やはり無理がある。 「取得の委託」ならすっきりする。委託先の監督もCCCが行い、取得時における利用目的の表示や通知を、委託先に業務委託するという整理でよい。

2014-08-15 00:31:01
Hiromitsu Takagi @HiromitsuTakagi

なお、取得の委託であっても、加盟店が医薬品販売業者であって、医薬品の販売履歴をCCCに渡すことについては、本人の実効性ある同意がないと、刑法134条の秘密漏示罪に当たりかねない点はかわりない。そのような業務を受託したこと自体が問題となる。

2014-08-15 00:39:03
Hiromitsu Takagi @HiromitsuTakagi

このモデルは、アドネットワークによる行動ターゲティング広告にも適用できる。Webサイトは広告のタグを貼るとき、アドネットワーク事業者の利用規約に約款同意しており、それが履歴情報取得の委託契約になっていれば、Webサイトは自社事業と分離された形で、アドネットワークに参加できる。

2014-08-15 00:50:33
Hiromitsu Takagi @HiromitsuTakagi

この整理はけして潜脱的なものではない。第三者提供と取得の委託とでは、後者は、他の情報と混ぜられたり別目的で使用されることがない点で、プライバシー影響が小さく抑えられることが法的に保証される。

2014-08-15 01:00:34
Hiromitsu Takagi @HiromitsuTakagi

総務省の第二次提言(2010年)の配慮原則で、「広告の掲載者のウェブサイトにおいて、第三者による対象情報の取得や広告等の配信が行われていることを明示した上で、取得者の名称、取得事実等に係る情報が掲載されたページへのリンクをはることが望ましい」とされたが、これをどのような根拠で…

2014-08-15 01:03:25
Hiromitsu Takagi @HiromitsuTakagi

…どのような根拠で義務化できるか疑問だったが、取得の委託モデルならば、アドネットワーク事業者から「広告の掲載者」への委託契約で義務付ければよく、また、そのような委託契約とすることをアドネットワークに義務付けるには、委託先の監督義務の一部として保護法で規定すればよい。

2014-08-15 01:05:00
Hiromitsu Takagi @HiromitsuTakagi

取得の委託における委託先の監督義務の例としては、経産省ガイドラインQ&AのQ75がある。 「メーカーからの代理店に対する個人情報収集(取得)の委託と考えられ(略)本人から書面で個人情報を取得することとなるため、(略)に個人情報の利用目的を記載(明示)しなければなりません。」

2014-08-15 01:08:13
Hiromitsu Takagi @HiromitsuTakagi

直接書面取得については、現行法はどういうわけか特別扱いで18条2項で「利用目的を明示しなければならない」とされているため、このように取得の委託時に委託先で書面に明示する義務が生ずるわけだが、これを、書面に限らずに、Webサイトを経由して取得させる場合にまで「直接取得」を拡張すれ…

2014-08-15 01:11:32
Hiromitsu Takagi @HiromitsuTakagi

…拡張すれば(立法論であるが)、現行法から連続的にごく自然に、第二次提言の配慮原則を法制化できる。 なお、本人関与(オプトアウト等)については、現行法は取得に制限がないため、義務がないことになる。これは、取得に本人関与手段提供の義務を設けるべき。

2014-08-15 01:15:28
Hiromitsu Takagi @HiromitsuTakagi

その他、残る疑問は、他の方々も指摘していたように、4条5項で第三者提供するとしている情報がどういうものか不明なところ。「本条第2項に定める各個人情報の項目のうち、本条第3項に記載する利用目的の達成に必要な範囲」としか書かれていない。これで23条2項2号の要件を満たすのだろうか。

2014-08-15 01:35:19