2019/01/25 町田徹のふかぼり! ラジオNIKKEI第1 を元に作成

お粗末な日本企業の個人情報保護 Tカード問題は氷山の一角だ!



日曜日、買い物やレンタルをするとポイントが貯まるTカードを展開するCCC(カルチュア・コンビニエンス・クラブ)が、蓄積した顧客の個人情報を捜査当局に、裁判所の令状がなくても提供していると報じられました。

これがネット上で大きな反響を呼んでいます。

問題の個人情報の提供にどれほどの緊急性があったのかなど不明な点も多いんですが、捜査当局が刑事訴訟法にもとづく捜査関係事項照会手続をしていたのならば、個人情報保護法の「情報の第三者への提供禁止」の例外に当たるので、違法行為ではないと考えられます。

しかし、CCC側が、裁判所の令状がない任意捜査に広範な協力をしていたというのは、やっぱり顧客の信頼を損ないかねない行為であり、その意味では不適切と言わざるを得ない面が残りますよね。

ネット上で批判の声が上がっているのもうなづけるように思います。
 
問題は、こういう情報提供というのをTカードだけが行なっているのかという点です。

CCCだけにとどまらず、検察が作成した顧客情報取得リストによると、こうした対応をしている可能性のある企業などがおよそ290にも及ぶ、という報道があります。

これが事実だとすれば、日本も中国のような国家と変わらない人権軽視国家ということになりかねません。

そこで今日は、この問題をめぐるこの数日間の報道を整理しておきましょう。


ここまでのTカードの問題を整理


みなさんご存知の通り、Tカードは、早くから本屋や音楽ソフト、ビデオのレンタル店を営んでいたTSUTAYAの会員証が始まりです。

現在会員数はおよそ6700万人と巨大なポイントカードに発展。提携先もエンターテイメントサービスやネットショッピング、金融など、多岐にわたっています。

報道によると捜査当局は、会員の氏名や生年月日、住所のほか、これらの店舗で購入した商品、借りたビデオソフトのタイトル、ポイントの履歴、レンタル日、防犯カメラの画像など、さまざまな情報を取得していたそうです。
 
にもかかわらず、CCCは会員規約に捜査当局に情報を提供している事実を明記せず、当局側も、CCCから情報を得たことをカード保持者に知らせないよう、秘密保持を徹底していたとも報じられています。


この報道を受けて、カルチュア・コンビニエンス・クラブは月曜日に、HPにコメントを掲載。

コメントは、「Tカードの情報に関する一部報道により、皆様に多大なるご心配をおかけし、申し訳ございません。」と一応謝罪した上で、当局への個人情報開示の経緯と対応策を説明する内容になっています。

それによるとCCCグループは1983年からTSUTAYA事業、2003年からTカード事業を行なっており、顧客価値向上に向け、顧客の個人情報を収集するとともに、データベースで適切に管理してきたと言っています。


捜査機関への情報提供についてのコメント


当初は捜査令状がある場合のみ、必要最小限の情報提供をする対応をしていたんですが、
保有する個人情報が年々拡大して、社会的情報インフラとしての価値が高まってきたので、
2012年から捜査機関の要請にもとづいて、捜査関係事項照会書を示された場合にも、つまり、捜査令状がない場合でも、個人情報保護法を遵守しつつ、協力してきた、といいます。

ただ、ここで、情報を提供する場合の具体的な判断基準は明らかにしていません。 

その一方で、これまでは個人情報を捜査当局に提供していることを明らかにしてこなかったんですが、月曜日付けで、個人情報保護方針とT会員規約に明記した、と釈明。

ただ、ネット上では「嫌な感じ」「にわかに信じられない話」「中国が恐ろしいなんて言ってる場合じゃなくなってきた」といった書き込みがあふれています。


この問題はTカードだけの問題か?


TSUTAYA報道に先立ち、日本の通信社が今月4日付けで、検察の顧客情報取得リストに記載された企業などがおよそ290あり、それらに対してアンケート調査をしたところ、少なくとも3割にあたる91団体が、検察や警察による捜査関係事項照会などの要請にもとづき、顧客の氏名や住所、利用履歴といった情報を任意で提出している、などと回答したということです。

このうち29団体は顧客向けの利用規約やプライバシーポリシーなどに、捜査当局に協力する旨を明記していなかったとしており、事はTSUTAYAにとどまらず、さまざまな企業に共通の問題であることが浮き彫りになっています。


TSUTAYA以外の企業は顧客の個人情報をどのように扱っているのか

 
これはまた別の新聞の報道なんですけども、個人情報の扱いは企業によって大分異なっていると。

例えば、NTTドコモですが、携帯電話や自社が提供しているdポイントカードの情報について、捜査関係事項照会書により、捜査機関に提供するケースはあるが、利用者の通信履歴や位置情報など、通信の秘密に該当する部分は令状なしに提供することはない、と説明しています。

令状なしで提供できる情報についても、ケースバイケースにしているそうです。


それから情報提供状況を公開しているというのが、無料通信アプリのLINEです。

令状などにもとづいてLINEアプリの利用者の通信履歴などを捜査機関に提供、その状況を2016年下半期分から6ヶ月ごとに「透明性リポート」という名前で公表しているというんですね。

LINEが捜査当局に提供しているのは、事件の解決や身体・人命保護に必要な容疑者と被害者の情報、具体的には、利用者のメールアドレスや電話番号、ID、通信日時、送信元のIPアドレス、最大7日分の文字チャットだといいます。

ただし、チャットの提供は令状がある場合に限られ、さらに利用者が暗号化している場合は提供できないし、動画や音声通話は開示していないといいます。
 

LINE「透明性リポート」の内容は


最新の透明性リポートは去年の1月〜6月分で、7カ国・地域の捜査機関から計1576件の要請を受け、うち1190件、1560回線分について、情報を提供したと。

提供根拠は令状にもとづくものが1189件とほとんどで、緊急避難は日本での1件のみと。捜査関係事項照会書によるものはなかったそうです。

国・地域ごとの内訳では、日本の捜査機関からの要請が1347件で、開示件数が1022件と、ともに最も多かったとしています。


このほか、交通系の電子マネーPASMOのシステムを利用する東京メトロ、SUICAのシステムを利用するJR東日本、それからポイントサービスPontaを運営するロイヤリティーマーケティングなどはいずれも、捜査関係事項照会書の提示があった場合、個人情報を提供している、と回答したそうです。 


これらの企業の対応は合法的?


合法的なんですね。

個人情報保護法の第23条第1項の4は、個人情報の第三者への提供を原則禁止にしているんですけども、そこに例外規定もあって、例えば政府機関が法にもとづいて企業に個人情報の提供を求めることを認めています。

つまり、捜査機関が捜査関係事項照会書を示した上で企業に情報提供を求めることは、そうした行為に当たるので、企業が求めに応じることも法律上は問題ないと言えます。

また、個人情報保護法に関するガイドラインというのもあるんですが、それによると、捜査関係事項照会や令状に対応する場合であれば、あらかじめ本人の同意を得なくても情報を提供できる、と明確に規定しています。


捜査機関側はどのように考えているのか


ある新聞は、Tカードなどの情報を入手するのは捜査の基本であり、すべて令状を取るのは手間が膨大になりすぎるので非現実的だ、という現場の捜査員の言葉とか、
不特定多数の情報ではなく、捜査に必要な個別具体的な内容を収集している、と話す警察幹部の釈明を紹介しています。

しかし、検察や警察が起訴した案件が必ず有罪になるとは限らないことを見れば明らかなように、企業や団体に特定の人物の個人情報の提供を求めるという判断が常に適切だ、という保証はないですよね。

客観性に欠け、捜査当局の主観にもとづいていると思います。

だからその判断に客観性や適切性を持たせるのが裁判所に令状の発行を求めて承認を得るという行為なんですね。

やはり、よほどの緊急性があって令状の取得に必要な時間さえかけられないというケース、そういう極稀なケースを除いて、原則はきちんと手続きを踏むのが筋でしょう。


大変参考になるのは、個人の思想・信条が推し量りやすい個人情報を持つ、図書館の団体である日本図書館協会の対応方針です。

令状を確認した場合を除き、読書履歴を外部に漏らさないと宣言しています。

一般の企業にも見習ってほしい対応と言えるんじゃないでしょうか。


まとめ


個人情報保護法が最初に制定されてからすでにもう何年も経っていて、企業が収集している個人情報というのは飛躍的に増えています。

世界ではGAFAを規制するような動きもあるので、オーソドックスに人権に最大限の配慮をする個人情報保護のルールを確立しないと、日本は人権法がないがしろにされているということになりかねない、と僕は思います。

みなさんいかがでしょうか。




番組HP:http://www.radionikkei.jp/fukabori/ 
「町田徹のふかぼり!」ポッドキャスト書き起こし

毎週金曜日更新、とても勉強になるので、オススメです。