プロバイダならOCN
「バイト先に庵野秀明来てやばい」。サイン欄に「庵野秀明」の文字があるレシート写真と共につぶやかれたツイートが話題となっている。
レシートの写真を見ると、「ガソリン税」と書かれており、ガソリンスタンドで発行されたもののようだ。ツイート主は「マジで嘘じゃないから信じて欲しい」とも呟いていたが、現在はアカウントが削除されている。
ENEOSは弁護士ドットコムニュースの取材に「調査した結果、当社系列のサービスステーション(SS)のレシートであることが判明しました」とコメント。「このようなことが二度と起きないよう、早急に全国のSSを運営する特約店に向けて、個人情報保護法の順守を改めて指導いたします」と謝罪した。
今回のレシートの情報は、個人情報にあたるのだろうか。また、晒す行為は違法になるのだろうか。個人情報にくわしい板倉陽一郎弁護士に聞いた。
⚫︎個人データにあたるのか?
——従業員が店に来た著名人の情報をサインの入ったレシートと共にツイッターに呟くということがおきました。今回の事案をどうみましたか。
こういうケースでは、すぐに個人情報保護法の話が出ます。
ただ、個人情報保護法は、個人情報データベース等を構成する個人情報である「個人データ」に対する規律を中心としており、個人情報(法2条1項)の取扱いをなんでも規制しているわけではありません。
また、個人情報保護法は基本的に事業者(個人情報取扱事業者)を規制しており、個人である従業者への規律は一部の刑事罰に限られています。
——今回のレシートには、庵野監督の署名に加えて、(1)売上のデータ、(2)クレジット利用のデータ、(3)Tポイントのデータが含まれていました。
まず、レシート上の「庵野秀明」の文字列により、特定の個人が識別できますので、レシートの情報はまとめて個人情報に該当します(法2条1項1号)。
では、個人データに該当するのかを考えていきたいと思います。
このうち、(1)売上のデータは、特定の個人を識別せずに集積されているのが普通です。特定の個人を識別するために事業者が用いているのが、会員カード(とその誘因のための割引やポイント)です。
今回問題となっているのは、ENEOSのようですが、ENEOSにも会員登録のあるカードがあるようです。 しかし、クレジットカードであるENEOSカードのブランドと、庵野監督が使ったカードブランドは違うようですから、このカードは使っていないでしょう。また、ENEOSキャッシュは、現金払いのときのみに用いられる会員カードですので、これも用いていません。
したがって、少なくとも、今回の売上のデータは、会員登録と紐づく「個人データ」になっているようには見えません。
——クレジット利用のデータはどうでしょうか。
ENEOSは、クレジットカード加盟店の立場であり、クレジットカードの登録情報は保有していません。ENEOSカードの場合は例外的に保有していますが、今回は違うカードが使われており、万が一庵野監督がENEOSカードを保有していてもそのデータと紐付けはされていないでしょう。されていたら違法です。
クレジットカード加盟店は、せいぜい、クレジットカード番号を保有しているのみです(非保持化が推奨されていますが、保有している場合にはPCI DSSというセキュリティの基準に従う必要があります)。
そして、仮にクレジットカード番号を全桁保有しているとしても、一般的にはそれ自体は個人情報であるとはされていません(その代わり、割賦販売法でクレジットカード番号自体の保護が義務付けられています。法35条の16以下)。
そうすると、今回のクレジット利用のデータ部分は、それだけでは特定の個人を識別できるデータではありません。
——Tポイントのデータはどうでしょうか。
レシートにあるように、今回の店舗(の運営企業)では、Tポイントが付与されますから、Tポイントカードの番号と、付与についての情報は保有されています。
しかし、T会員の登録情報は、Tポイントについての管理をおこなっているCCCMKホールディングスが保有しているのであって、Tポイントの加盟店である今回の店舗(の運営企業)は、Tポイント付与のための情報を、本人の同意を得てCCCMKホールディングスに提供しているにすぎません(T会員規約4条4項)。
そうすると、Tポイントのデータ部分も、それだけでは特定の個人を識別できるデータではありません。
このように、(1)ないし(3)のデータは、データベース化されていることは間違いないですが、履歴の集積により特定の個人が識別できるという特殊な場合を除けば、特定の個人を識別できる情報を含んでいないと思われます。
⚫︎レシートのサインは?
——レシートには、庵野監督のサインがありますが、これはどう考えられますか。
この部分は本人確認をおこなったことの控えであって、データベースは構成していないでしょう。そうすると、レシート上のデータは、個人データではない、ということになるのではないかと思います。
したがって、今回のレシートの情報について、個人情報保護法上、事業者が負う義務は、「個人情報」についての義務に限られ、「個人データ」に関する義務は適用がないものと思われます。
「従業者が顧客の個人データを不正に持ち出して第三者に提供した場合」は、当然に、安全管理措置における「取り扱う個人データの漏えい」(法23条)に該当すると考えられますが、その対象は「個人データ」であり、公開されている情報からは、今回のレシートの情報には適用がないと言わざるをえなさそうです。
一方で、個人情報であっても、第三者に提供する場合は利用目的として通知または公表される必要があり(個人情報保護法ガイドライン通則編3-1-1)、このような利用目的は特定されていないと思われますので、法17条1項の問題は生じます。
また、個人情報であっても、安全管理措置について、まったく気を付けなくてよいわけではなく、適正利用義務(法19条)の問題ともなりうるでしょう。 ENEOSのプライバシーポリシーは安全管理措置の対象を「個人情報」にまで広げているのでなおさらです。これらは、個人情報取扱事業者としてのENEOSの問題となることになります。
⚫︎従業者自身を個人情報保護法違反だというのは難しい
——今回レシートの情報をアップロードした従業者自身についてはどのような問題が生じますか。
個人情報保護法上の刑事罰としては、個人情報データベース等提供罪(法179条)が存在します。
ただ、ここでの客体は「業務に関して取り扱った個人情報データベース等(その全部または一部を複製し、または加工したものを含む)」であり、レシートの情報は個人データにも該当しないという分析から考えると、適用はなさそうです。
今回のケースで従業者自身を個人情報保護法違反だというのは難しいでしょう。
これが顧客データベース等であれば、不正競争防止法上の営業秘密に関する罪が問題になることもありえますが(同法21条1項各号)、「不正の利益を図る目的」が必要ですし、あまりに安易にアップロードされていることからすると、営業秘密の該当性(秘密管理性)についても論点になりうるでしょう。
その他、従業者であることに伴ってENEOSの就業規則等に個人情報の取扱いについての定めが存在していたり、個別にENEOSと機密保持に関する契約を締結していたりすれば、これらに反することはありえますが、基本的に民事上の効力に止まります。
【取材協力弁護士】
板倉 陽一郎(いたくら・よういちろう)弁護士
2002年慶應義塾大学総合政策学部卒、2004年京都大学大学院情報学研究科社会情報学専攻修士課程修了、2007年慶應義塾大学法務研究科(法科大学院)修了。2008年弁護士(ひかり総合法律事務所)。2016年4月よりパートナー弁護士。2010年4月より2012年12月まで消費者庁に出向(消費者制度課個人情報保護推進室(現・個人情報保護委員会事務局)政策企画専門官)。2017年4月より理化学研究所革新知能統合研究センター社会における人工知能研究グループ客員主管研究員、2018年5月より国立情報学研究所客員教授。2020年5月より大阪大学社会技術共創研究センター招へい教授。2021年4月より国立がん研究センター研究所医療AI研究開発分野客員研究員。法とコンピュータ学会理事、日本メディカルAI学会監事、一般社団法人データ社会推進協議会監事等。
事務所名:ひかり総合法律事務所
事務所URL:http://www.hikari-law.com/
