CCCによる #Tカード の『#捜査関係事項照会書』 による個人情報提供問題。

 

2019年 の CCC による Tカード の『捜査関係事項照会書』 による個人情報提供問題。

『筒抜けの個人情報』

▲客と会社の双方にメリットをもたらすシステムの裏で、プライバシーに関する重大な問題が発覚した。ポイントカード最大手の「Tカード」の会員情報について、捜査当局が裁判所の令状を取らずに運営会社に提供を要請し、会社側がそれに応じているというのだ
▲客の氏名や住所、ポイント履歴などの個人情報が、外部のチェックを経ずに捜査関係者に渡っていた。会員規約に記載されていないため、会員は何も知らなかった
▲客にとってみれば、自分の行動や趣味嗜好(しこう)が、国家権力に筒抜けになるかもしれないということだ。それがこっそり行われていたことには不信感を抱くほかない
▲Tカードの会員は6700万人を超えるという。それほど大量の個人情報が捜査機関の意のままに収集されうるとしたら、空恐ろしい社会になったと震えがくる。(泉)
https://nordot.app/460610287503148129?c=89992230028859801

■CCCのTカード情報提供、違反ではないが「十分性」に反する

□CCCの情報提供は、個人情報保護法には違反していない。だが日本政府が欧州連合(EU)に説明した内容には反している。

□報道によると、CCCは約6700万人いるTカード利用者の氏名などの会員情報や、商品の購入時に得たポイント履歴、レンタルビデオのタイトルなどを裁判所の令状なしに捜査機関に提供していた。捜査機関はCCCに「捜査関係事項照会書」を使って、情報を得ていたという。

□ CCCは「T会員規約」に情報提供を明記していなかった。報道を受けてCCCは、2019年1月21日に「2012年から、『捜査関係事項照会書』があった場合にも、個人情報保護法を順守したうえで、一層の社会への貢献を目指し捜査機関に協力」してきたと公表。そのうえで個人情報保護方針を改訂して、T会員規約にも明記するとした。

□(1)法令に基づく場合(法16条第3項第1号関係)
法令に基づく場合は、法第16条第1項又は第2項の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。
事例1)警察の捜査関係事項照会に対応する場合(刑事訴訟法第197条第2項)
事例2)裁判官の発する令状に基づく捜査に対応する場合(刑事訴訟法第218条)

□日本政府が法務大臣らの連名でEUに提出した2018年9月14日付の文書だったのではないかと筆者は考える。文書は一般データ保護規則(GDPR)の十分性の決定を得るため、日本の公的機関が刑事法執行や国家安全保障の目的で個人データを収集する際の法制度を説明したものだ。

https://xtech.nikkei.com/atcl/nxt/column/18/00138/021200233/

現在に至るまで、この問題に関する法的解釈の変更があったかは不明だが、当時はEUのGDPR基準を満たしていなかった可能性が高く、Tカード会員への無断情報提供も問題視された重大な事案であった。

正当性と違法性

個人情報保護法の観点から

  • 個人情報保護法に基づく情報提供:
    • CCCの行為は、法令に基づく捜査関係事項照会書に応じて情報を提供するという点で、個人情報保護法に違反しているわけではない。
    • 具体的には、個人情報保護法第16条第3項第1号に基づき、警察などの捜査機関の要求に対しては、本人の同意なしに情報提供が可能となっている。

GDPRの観点から

  • GDPRの十分性認定と日本政府の説明:
    • 日本政府は、2018年にEUに対して、GDPRの十分性認定を得るために、日本の法制度を説明する文書を提出しました。この文書は、日本が個人データを適切に保護する制度を持っていることを示すものでした。
    • CCCの事例は、日本政府がEUに対して説明した内容とは一致していない可能性があり、その点が問題視されました。

その後の法的解釈の違い

  • 会員規約の改訂:
    • 報道を受けてCCCは、2019年1月に個人情報保護方針を改訂し、会員規約にも情報提供に関する明記を行いました。
    • これにより、会員に対して情報提供が行われる可能性についての透明性が向上しました。
  • 法的および規制当局の反応:
    • 日本の規制当局が具体的にどのような対応をしたかについての詳細な情報は不明ですが、この問題はプライバシー保護の観点から大きな議論を引き起こしました。

現在の状況

  • 現行法およびガイドライン:
    • 現在も捜査関係事項照会書を用いた情報提供は、個人情報保護法に基づいて合法とされています。ただし、企業は情報提供に際しての透明性を確保することが求められています。
    • GDPRに関しては、日本とEUの間でのデータ保護に関する協定やガイドラインの更新が行われており、引き続き監視されています。

■捜査関係事項照会書 とは

捜査関係事項照会書とは、捜査機関が捜査を進めるために必要な情報を収集する際に、関係者や関係機関に対して情報提供を求める文書のことを指します。これは、日本の刑事訴訟法に基づいて行われる手続きの一部であり、捜査の円滑な進行を目的としています。

主な特徴と目的

項目 詳細
目的 捜査に必要な情報を収集するため
法的根拠 刑事訴訟法
提出者 捜査機関(警察、検察など)
対象者 関係者および関係機関(個人、企業、公的機関など)
要求する情報の種類 事件の解明に必要な情報(証拠資料、証言、記録など)
効果 捜査の効率化および正確な情報収集
回答の義務 情報提供の要求に対する協力義務(一定の条件下で)

法的基盤

捜査関係事項照会書の発行および情報提供の要求は、日本の刑事訴訟法第197条などの規定に基づいて行われます。これにより、捜査機関は必要な情報を迅速かつ適切に収集することが可能となります。

情報提供の範囲

要求される情報は、捜査の進展に直結するものに限られ、関係者や関係機関はこれに対して必要な範囲で協力する義務を負います。ただし、個人情報保護や企業の秘密保護など、一定の制約が存在する場合もあります。

具体例

  • 銀行取引記録の照会
  • 電話通話記録の照会
  • 防犯カメラ映像の提供依頼
  • インターネットサービスプロバイダへのログ情報照会

このように、捜査関係事項照会書は、捜査機関が必要な情報を効率的に収集し、事件解決に向けた手続きを進めるための重要な手段です。