1. 携帯電話会社が、顧客データベースと照合可能な契約者IDを第三者に提供する場合は、あらかじめ本人の同意が必要である。


2. 携帯電話会社が、顧客コードとは別に、契約者IDを新たに付与している場合においても、第三者提供に際して本人同意が必要である。


3. 携帯電話会社が、顧客コードとは別に、契約者IDを新たに付与するに際して、顧客データベースと容易に照合できないように従業者のアクセスコントロールを徹底している場合も、第三者提供の本人同意は必要である。


【答え】


1. ○

2. ○

3. ○


【解説】

 

携帯電話の契約者IDは個人情報か?

単なる記号でしかない契約者IDは、個人情報なのでしょうか。

確かに、契約者IDだけを受け取った第三者においては、それだけでは本人の氏名も住所もわかりませんから特定個人を識別できません。その意味では、第三者においては「個人情報」に該当しないといっていいでしょう。

しかし、携帯電話会社においては、顧客データベースと技術的に照合可能なかたちで契約者IDを発行しているわけですから、「個人情報」に該当しますし、個人情報データベース等を構成するものとして「個人データ」でもあるわけです。

携帯電話会社が契約者IDを第三者に提供する場合はあらかじめ本人の同意が必要か?

1. 個人情報取扱事業者である携帯電話会社は、あらかじめ本人の同意を得ないで、「個人データ」である契約者IDを第三者に提供してはなりません(法23条1項)。

2. 携帯電話会社が、顧客コードとは別に、隠し番号のような契約者IDを新たに付与している場合においても「個人データ」であることに変わりはありませんので、第三者提供の本人同意は必要です。

3. 携帯電話会社が、契約者IDと顧客データベースとを容易に照合できないように従業者のアクセスコントロールを徹底している場合であっても、会社全体からみた場合は、やはり「個人情報」であり、「個人データ」であるといわざるを得ません。やはり第三者提供の本人同意は必要です。

契約者IDが流通することの問題は何か?

契約者IDが流通した場合は、他のWebサイトで入力した住所氏名等と契約者IDがひもつけられて流通するおそれがありますし、その結果、その契約者IDを発行した携帯電話会社だけではなく、第三者である事業者においても特定個人が識別できるようになります。

例えば、商品やサービスの申込時の顧客情報と同時に契約者IDを取得することも可能ですし、無料の占いサイトや懸賞サイトに誘導して氏名、住所、電話番号等を入力させるのと同時に、契約者IDを取得し利用者を特定するという手口などもあるようです。

これによって、具体的には、ワンクリック詐欺において、実名での請求が可能になります。単なる威嚇的画面を見せるだけではなく、ウェブサイト上に本人の氏名、住所を表示することも、電話やはがきで督促することも可能となりますから、畏怖する利用者もかなり増える可能性があります。

その他、行動追跡型ターゲット広告により、氏名、住所を捕捉されたかたちで嗜好を分析されるといった脅威などもあるようです。

確かに個人情報保護法上は、契約者IDの第三者提供について、携帯電話の契約時に承諾を得ておくことによって、法23条1項の本人同意を得たことにすることも可能でしょうし、最初の利用時に利用者に同意ボタンを押してもらうということでもいいのかもしれません(デフォルトで契約者IDを送信状態にしておくというのでは問題があると言わざるを得ません)。また、法23条2項に基づき、いわゆるオプトアウト手続きをすることも可能でしょう。

しかし、ワンクリック詐欺が横行している昨今、それを助長しかねない機能を安易に提供していいものかどうか、再考してみる余地は大いにあるのではないでしょうか。 独立行政法人産業技術総合研究所主任研究員の高木浩光さんは、こうした問題を提起するとともに、「簡単ログイン」機能の実装が目的であれば、端末がcookie機能を搭載すればすむ話で、なぜに安易にこのような契約者IDを送信するのか、と疑問を呈されています。

参考:高木浩光@自宅の日記「日本のインターネットが終了する日」

http://takagi-hiromitsu.jp/diary/20080710.html#p01

技術的に他のより安全な方法が選択できるのであれば、それを採用するのが正しいありかたです。

なお、本件のように第三者として契約者IDを用いるという事例においては、利用者の知らないところで契約者IDを利用するのではなく、最初の個人情報の登録時に(送信ボタンを押す前に)本人に“契約者IDを取得すること”を明示する運用が望ましいように思います。

また、契約者IDを用いる場合は、(cookie機能についての告知の例にならって)個人情報保護方針等のページでその利用の方針等を消費者等にわかりやすく説明しておくということも検討すべきだろうと思います。


【監修者】
鈴木 正朝(すずき・まさとも)


新潟大学法科大学院 教授
1962年4月生まれ。
中央大学大学院法学研究科博士前期課程修了 修士(法学)、情報セキュリティ大学院大学博士後期課程修了 博士(情報学)。専門は情報法。
ニフティ(株)を経て、現職。この間,山口大学,京都女子大学等の非常勤講師、(独)メディア教育開発センター客員教授を兼任。学外活動として、情報ネットワーク法学会理事、経済産業分野個人情報保護ガイドラインやJISQ15001の作成やプライバシーマーク制度の創設にかかわる。
主著は『個人情報保護法とコンプライアンス・プログラム』(商事法務)岡村久道弁護士との共著『これだけは知っておきたい個人情報保護』(日本経済新聞社)は、 2005年のベストセラーとなる。その他著書論文多数。


[イラスト]

加藤 豪(かとう ごう)

大阪府出身。ユーモアを含んだ勢いとコントラストの強いカラーのイラスト、人の心理をテーマにしたちょっとシュールな4コマ漫画、短編等を制作しています。