今年1月、Tポイントサービスを運営するカルチュア・コンビニエンス・クラブ(CCC)が利用者の情報を裁判官の令状なしで捜査機関に提供していたことが報道され、物議を醸しました。

 企業の保有する消費者の情報は大きな価値を生むと同時に、その取り扱いは社会的に大きな関心事であり、企業のレピュテーション(評判)にも大きく影響します。

 CCCの事例を踏まえながら、個人情報の取り扱いについて改めて考えてみましょう。

CCCの対応に法的な問題はあったのか?

 個人データを第三者に提供するには、原則として本人の事前同意を取得する必要があります(個人情報保護法23条1項柱書)。

 ただし、本人同意の原則には例外があり、その例外にあたる場合には本人の事前同意は不要となります。

 その例外の1つに「法令に基づく場合」があります(個人情報保護法23条1項1号)。

 CCCの事例で問題となった「捜査関係事項照会」(刑事訴訟法197条2項)は、個人情報の保護に関する法律についてのガイドライン(通則編)で「法令に基づく場合」の1つされています(同ガイドライン3-4-1・3-1-5)

 従って、個人情報保護法の一般的な解釈に従う限り、少なくとも同法との関係ではCCCの対応に問題はなかったということになります。

 CCCは2014年にも利用者情報の第三者提供を巡って炎上したことがあります。

 CCCが利用者情報を他社に提供することについて、「共同利用」という方式(個人情報保護法23条5項3号)から「第三者提供」という方式(個人情報保護法23条1項)に改めた上で、第三者提供の停止についてオプトアウト(個人情報保護法23条2項)を受け付ける旨を発表したことが炎上したのです。

※オプトアウトとは、本人の同意を得ずに個人データを第三者に提供できるとした上で、本人が停止を求めた場合に初めて第三者提供を停止する取り扱いをいいます。これに対して、本人の事前同意を得る取り扱いをオプトインといいます。

 本人の事前同意が必要とされない「共同利用」から本人同意の原則が適用される「再三者提供」に立ち返ったわけですから、少なくとも個人情報保護法上の問題はありませんでした。

 しかし、CCCの発表に先立ち発生したベネッセコーポレーションの個人情報流出事件により個人情報の取り扱いについて世間が敏感になっていたこと、もともとCCCの利用者情報の取り扱いに疑念が向けられていたこと、報道により「第三者提供」という部分がクローズアップされたことなどから、結果として炎上騒ぎとなってしまいました。

 また、オプトアウトの手続きがやたら煩雑であったことも火に油を注ぐ結果となりました。

 いずれの事例も、CCCの対応は個人情報保護法には違反していなかったにもかかわらず、炎上することとなってしまったものです。

なぜ炎上してしまうのか?

 CCCの事例に限らず、個人情報やプライバシーに関する問題は、炎上しやすい傾向があります。

 その原因として、例えば以下のようなものが考えられます。