カルチュア・コンビニエンス・クラブ(CCC)が、Tカード利用者の個人データ販売を本格化させる。使われるのは、全国5300の提携企業から集めた私たちの利用履歴だ。CCC側は「規約で説明し、利用者の同意は得ている」というが、自分が「同意」したと気づいている人はどのくらいいるだろう。そのような「同意」は果たして有効なのだろうか。有識者から疑問の声も出ている。
プロファイリングで「顧客DNA」
CCC傘下のCCCマーケティングによると、Tカード利用者は現在約7000万人。30代では同世代の日本人の81・4%に上る。TSUTAYAのほか、コンビニ、ドラッグストア、ガソリンスタンド、家電量販店やネットショップなど約5300社の15万店舗でポイントをためたり使ったりすることができる。
CCCは、こうした提携企業から、利用者がいつ、どこで、何に、いくら使ったかの履歴を長期にわたり入手している。さらに機械学習でこれらの情報を一人一人プロファイリング(分析)し、「浪費タイプ」「助言信用タイプ」「肩書気にするタイプ」「情報拡散タイプ」など370以上の項目をスコア化したデータベース「顧客DNA」を作る。
私たちの様々な「顔」を知るCCCマーケティング。それだけに、7月末、データ統合サービスを手がけるトレジャーデータ(TD)と共同発表したサービスは注目された。
TDのデータ連携基盤の中で、氏名や住所を除いたCCCのデータと、TD利用企業の顧客データをメールアドレスなどの識別子で突合する。分析結果を統計データとして提供するサービスもあるが、目を引いたのは、CCCのデータを識別子に 紐ひも づけて企業に渡すサービスだ=図=。
提供データから氏名などは削除されているが、受け取る企業は識別子によってどの顧客のデータか知ることができるので、実態は個人データの提供にほかならない。提供対象の情報は、ウェブサービスを使えるTサイト利用者4000万人分だ。
利用規約で「説明し同意を取っている」
CCCマーケティングは「企業には自社の顧客をより深く知りたいというニーズがある。顧客がよそで何を買い、どんな生活を送り、どんな価値観をもつか。このサービスを使えば、自社との関係だけでは知りえない顧客の別の顔が見えてくる」と説明する。既に、飲料水メーカーや小売り大手など50社以上から問い合わせがあるという。
だが、顧客はどう感じるだろう。CCCや加盟店がデータを活用することは想定内で、納得の上で使っているだろうが、ポイントと無関係の企業にまで知られると想像できるだろうか。
CCC側は「利用規約で説明し同意をとっている」という。だが、それは法的に有効な同意といえるのか。
個人情報保護法では個人データの第三者提供には本人の同意が必要で、ガイドラインではその同意の取得は「合理的かつ適切な方法によらなければならない」とされる。
利用規約の該当部分を見てみよう。「(会員の個人情報を)行動ターゲティング広告事業者に第三者提供することがある」と書かれ、広告事業者には「行動ターゲティング広告を自社の媒体で行う事業者」が含まれる、とある。担当者は「企業が顧客の関心に沿った商品紹介のメールを送るケースなどを想定している」というが、それでは広告が本業でなくても、顧客にマーケティングを行うほぼ全ての企業が対象になる。
「この規約を読んでそう理解する人がいるだろうか」。データ分析会社データサインの社長で、プライバシー問題に詳しい太田祐一氏は疑問を投げかける。
しかも、規約には、提供情報に氏名や住所が含まれないことを理由に「匿名のままに保たれ、個人を特定できる情報は一切取得できない」とも書いてある。前述のように、識別子に紐づけられた情報は提供先で個人情報と統合される仕組みだ。「このような誤った説明で取得した同意は有効といえないのではないか」と太田氏は批判する。
利用者保護へ議論必要
該当部分の規約は昨年7月の改定で追加された。改定前からの利用者についても同意があるといえるだろうか。この改定の際、CCC側は登録者にメールで変更点を知らせたり、同意を取り直したりはしていない。これに対し、名古屋大学の栗田昌裕教授(民法)は「規約を改定するだけでは個情法ガイドラインのいう『合理的かつ適切な方法』で『同意を得』たといえるか問題がある」と指摘する。
民法では約款作成者に一方的な定型約款の変更を認めているが、それは変更が合理的な場合や相手方の利益にかなう場合などに限られる。栗田教授は「第三者提供の相手先や提供情報の拡大は『合理的』ではないと判断され、規約変更の効力が否定される可能性がある」とみる。
CCC側は「実稼働の前に、規約の見直しも含め、利用者にわかりやすい説明をしていきたい」としている。
ネット上で様々なサービスが展開され、そこで得られた個人データの活用が進む中、私たちが規約やプライバシーポリシーへの「同意」を求められる機会も増えている。
どのような同意であれば有効か。欧州連合の一般データ保護規則は、同意が有効であるためには「自由に選べる」「何についての同意か特定されている」「事前に説明を受けている」「明瞭に同意の意思が表示される」ことを要件とし、ガイドラインでも詳細を示している。消費者の正しい理解と納得の上でデータ利活用を進めるためにも、日本でも同意のあり方についての議論が急がれる。
原文出處 讀賣新聞