「Tカード」の情報を裁判所の令状なしに捜査当局に提供していることが明らかになったCCC(撮影:今井 康一)

ツタヤの会員証を起源とするポイントシステム「Tポイント」を運営するカルチュア・コンビニエンス・クラブ(CCC)が、裁判所の令状なしに「Tカード」の情報を捜査当局に提供していることが報道され、波紋を呼んでいる。

CCCはこれまでにも個人情報の扱いに関し、多くの批判にさらされてきた。海外ではフェイスブックやグーグルも批判にさらされているように、“プライバシーのマネタイズ”に関しては近年、厳しい目が向けられているが、同社はまったく気にする素振りもないようだ。

CCCが悪びれない理由

同社は1月21日に「個人情報保護方針を改訂いたしました」とするリリースを配信し、一連の報道を認めた。同社によると、2012年から「捜査関係事項照会書」を提出するだけで、令状なしに会員の行動履歴を提供しているという。

同リリースによると、CCCは「個人情報保護法を順守したうえで、一層の社会への貢献を目指し捜査機関に協力してまいりました」。ただ今後は、同社が公表している個人情報保護方針を改訂し、会員規約にも明記するとしている。

CCCが悪びれることがない理由は、令状なしでの捜査当局への情報提供に違法性がないためだ。個人情報保護法では法令にのっとった第三者への情報提供を認めており、刑事訴訟法に沿った手続きである捜査事項照会に応じることは違法ではない。

しかし、問題の本質は違法性ではない。個人情報の扱いに関する「雑さ」と「意識の低さ」だ。

コンビニやレンタルショップなど、提携するレストラン、ドラッグストアなどで買い物をするとポイントがたまるTカードには、氏名や電話番号といった会員情報のほか、レンタルしたDVDや音楽のタイトル、購入・レンタルした日付、提携企業の利用日時と取得したポイント数などの履歴が記録される。

近年は実店舗だけではなく、宅配便からネットサービスなど、消費行動のあらゆる場面でポイントが貯まる仕組みを構築して会員数を伸ばし、現在は約6700万人が加入。提携先の業態も多岐にわたっている。

まさに「生活の痕跡そのもの」と言え、実店舗を利用していなくとも、Tポイントに対応したサービスを利用するだけで、とりわけビッグデータを活用した消費行動分析などに活用されていると考えられている。しかし、“生活の足跡”は犯罪捜査にも有効だ。ビッグデータにもさまざまなレベルの情報があるが、CCCが管理しているのは住所・氏名など個人が特定できる会員情報と結びつけられている。

大切な情報の扱いがあまりに軽い

これだけ提携先が広ければ、日常的にTポイントを貯めている会員の利用履歴を時系列で並べていくだけで、細かく行動を追うことが可能だ。履歴は過去13カ月分が保管されており、捜査対象者のカード番号か、住所、氏名、生年月日があれば問い合わせできたというから、迅速な捜査に役立っていたことは間違いないだろう。

CCCの言い分は「犯罪捜査に協力し事件の速やかな解決に協力することで社会貢献しようとした」というものだ。この部分だけを取り出すならば、決して間違っているわけではない。問題は個人の消費履歴を預かる立場にあり、それを活用・事業化しているにもかかわらず、その大切な情報の扱いが軽いことだ。

CCCは捜査機関からの情報提供の依頼に対し、任意で情報を提供していたことになるが、「その情報が本当に正しい目的で使われるのか」は、誰が判断しているのか。

同社がリリースで「弊社の保有する個人情報は年々拡大し、社会的情報インフラとしての価値も高まってきた」と書いているように、情報の価値が高まったからこそ、襟を正して丁寧に扱うべきであることは言うまでもない。

捜査とは公的権力であり、権力であるからこそ、それを監視する仕組みが取り入れられている。捜査権力に対する監視、抑止の役割は裁判所が担っている。だからこそ、情報提出を強制するには、裁判所が発行する捜査令状が必要なわけだ。


適切な情報提供なのか、それとも不適切なのかを決めるのは、捜査当局でも、CCCでもないというのに「社会貢献のための情報提供」というのでは失笑を買われても致し方ないところだろう。

CCCは過去にも、個人情報の取り扱いを軽視してきた多数の“前科”があり、今回が初めてのことではない。

「生身の人間の履歴」という意識が低い

2012年9月には取得データを提携先企業で「共同利用」すると会員規約に規定し、その違法性が問われ始めた。翌年10月に規約改定するものの、共同利用そのものは否定せず、共同利用の範囲のみを限定するものだった。

個人情報保護法改正大綱が2014年6月に発表された後には、共同利用ではなく「第三者への提供」であると書き直し、提供停止は会員自身が行う必要があるとの規約へと変更した。だが、規定値では提供が有効になっているうえ、新たな提携企業が追加されるたびに提供停止を会員自身がしなければならないというものだった。

こうした状況が改訂され、第三者提供を簡単に拒否できるようになったのは2015年になってのことだった。

実際には、CCCはデータ利用の可能性に関して留保することが目的だったと筆者は考えている。データ運用の形態も「個人情報の第三者提供に関して」とする図を見る限り、不適切なものだとは断定できない。

では何が問題なのか。

同社が忘れているのは、自分たちが扱っているのが「生身の人間の履歴」であるという意識にほかならない。事業としての適法性や、ルールにのっとっていることなどは最低限のことなのだ。「データの基」を提供する会員は生身の人間である。感情を持つ人間に対する配慮、意識の低さが今後も変わらないようであれば、同様の騒動を何度でも繰り返すだろう。