もっと身近にセキュリティ

Tポイントカードに握られる個人情報

皆さんはTポイントカードをお持ちでしょうか?

筆者も持っていますが長らくコンビニなどで買い物をしても出していませんし、レンタルの有効期限も5年くらい前に切れたまま更新していません。
以前からTポイントカードを発行・運営しているカルチュア・コンビニエンス・クラブ(CCC)のセキュリティや個人情報保護の姿勢に対する批判が多く、積極的に提示する気にならないというのもあります。

そんなTポイントカードを巡って、年明けに過去最大級の炎上騒ぎが起きています。警察など捜査機関からの照会に対し、裁判所が発行する令状がなくても会員の個人情報が提供されていたと報じられています。

「またCCCか」という先入観もあり批判が先行していますが、ちょっと複雑な側面もあるので少し整理したいと思います。

大前提として個人情報保護法では、本人の同意を得ない第三者への情報提供を禁止している一方、例外として「公的機関等が法令の定める事務を遂行することに対して協力する必要がある場合」は提供を認めています。
ここで想定されているのは裁判所が発行して強制力のある「捜索差押許可状」(いわゆる令状)と、警察が発行して任意での捜査協力を求める「捜査関係事項照会書」です。
前者は捜査機関がその必要性を示した上で裁判所に申請をしなければならず、令状を示された側は断ることができない強制力があるものです。
一方で後者の方はあくまで捜査協力を求めるもので依頼された側は断ることができます。
どちらも刑事訴訟法の規定に基づくもので、メディアの取材に対して個人情報保護委員会も「限りなく法令に基づくものと考えられます」としています。
また同じ取材記事の中で、他のポイントカードを運用している各社も「捜査関係事項照会書」などによる情報提供を行う場合があるとコメントしています。
この記事の中で注目すべきはNTTドコモは「通信の秘密に関連する事項については、令状がなければ提供していない」としていたり、Pontaを運営するロイヤリティマーケティングは「『購買履歴』については提供していない」としているところです。
つまり各社とも法令に基づく捜査協力は行うものの、プライバシーの度合いが高い情報については令状などの強制力がないと提供しないという一定のコンセンサスが垣間見えます。

今回CCCが大きく批判されているのは、本来は任意の捜査協力であるはずの「捜査関係事項照会書」だけで、「(1)会員情報(氏名、生年月日、住所など)(2)ポイント履歴(付与日時、ポイント数、企業名)(3)レンタル日、店舗、レンタル商品名」などを提供していたと報じられている点です。
これらの情報からある捜査対象者がほぼ毎日、同じ時間帯に特定のコンビニに来店していると判明し、捜査員が待ち伏せして身柄を拘束した事例もあると報じられていますので、CCCが把握しているかなり詳細な情報が捜査機関に提供されていたと考えられます。
しかも利用規約や個人情報保護方針の中で捜査機関への情報提供を明記していないというのが批判に輪をかける格好になったということと思われます。
そもそもの批判の源泉は、以前からCCCの個人情報の取扱に批判が多かったという点があります。

Tカードの利用規約の中で加盟企業間での共同利用の定義が曖昧で個人情報が相互に自由にやり取りがされるのではないかとの疑念を生んだり、プライバシーマーク(Pマーク)を返上してその管理体制に対する客観的評価を自ら切り捨てたりと、その体制面で本当に十分なのかと以前から言われていました。またCCCの祖業であるTSUTAYAはレンタルビデオ店であり、そのノウハウを活用して一部の自治体では図書館の管理運営を受託してTカードと連携させるなどの事業を行っていますが、図書館の存在意義はその歴史的背景から「利用者の秘密」に対して最もデリケートでなければならないはずなのに、この体制や姿勢は大丈夫なのかと批判を浴びたこともあります。

そこに来て今回の報道は「またCCCか」と思ってしまうところではありますが、今どきの個人情報を取り扱う企業として、ましてや購買履歴などのデリケートさの高い個人情報を収集している企業として、あるいは図書館の運営まで行っている企業として、もう少し高い志を持てないものなのかと感じずにはいられません。
度々批判を浴びるこれらの姿勢が、CCCの意識の持ち方による問題なのか法制度に対する理解や企業としてのガバナンスなどの問題なのかというのもまた興味深いところです。

一般市民の心情として任意とは言え警察に言われると断りにくいという側面もあるので、「捜査関係事項照会書」で開示してもよい情報と「令状」が必要な情報の境目についてガイドラインを定めるというのも一案ではないかと思うのですが、難しいのでしょうか。
誰が定め、特に捜査機関と各企業や個人情報保護委員会の利害を調整するのかという問題はありますが。