まるちゃんの情報セキュリティ気まぐれ日記

　
■高木浩光＠自宅の日記・Edyカード番号毎の購買履歴を保存していている。
・2006.12.24 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。

（参考）
・2004.07.11 Edyナンバーはどのように使われるものか
・2004.07.11 許諾なしに公表されるEdyナンバーとSuica番号

＝＝＝＝＝
・am/pmでは常にEdyカード番号をキーにして購買履歴を取得、保管している。
・Edyカード番号と仮パスワード（am/pmでいつでも教えてもらえる）を使ってclub ap会員（am/pmのサービス）になることができる。
・club ap会員になるときには個人情報を入力する必要がある。

結果、club ap会員になれば、
・保管されている全ての購買履歴（会員登録前も）＝Edyカード番号＝氏名等
というマッチングができてしまい、
・会員登録前のEdyによる購買履歴についてもam/pmに知られることになる。

ということですね。。。

一方、am/pmは
・club ap ご利用規約
・club ap プライバシーポリシー
・club ap セキュリティ
・club ap よくある質問
　において、上記の事実をどこにも明確には記載していない。
＝＝＝＝＝
【club ap ご利用規約】
第8条 顧客情報
1. am/pmは、利用者情報を別途ウェブサイト上に掲示する「プライバシーポリシー」に基づき、適切に取り扱うものとします。
2. 本サービスに登録いただいた利用者情報をサービスの提供と個人認証以外の目的で利用しないものとします。但し以下の場合はこの限りではありません。
　 (1) 本サービスまたはam/pmの業務提携先等がアフターサービスを提供する為に使用する場合。
　 (2) 本サービスまたはam/pmの業務提携先等からの電子メール、その他情報の送付をする場合
　 (3) 利用者情報を統計的に集計・分析し、個人を識別・特定できない形態に加工した統計データを作成する場合
　 (4) 法令の規定による場合
　 (5) その他利用者の同意を得た場合
＝＝＝＝＝
【club ap プライバシーポリシー】
◆個人情報の取扱いについて
　個人情報とは、am/pmジャパンがインターネットを通じ、サイトにおいてお客様からご提供いただく名前、住所、電話番号、メールアドレス等、お客様個人を識別できる情報あるいはお客様個人の固有情報を意味します。　お客様に個人情報の提供をお願いする際は、あらかじめその利用目的を明示いたします。個人情報を提供いただいたことで個人情報の取扱いに対するお客様の同意をいただいたものとさせていただきます。
　am/pmジャパンがサイトで取得した個人情報は、原則として、お客様の同意なく明示した利用目的以外に扱うことはいたしません。また、アクセスログを取得してサイトの閲覧状況を把握することがありますが、取得する情報に個人を特定する情報は含まれておらず、マーケティング目的及びサイトの改善のために利用します｡　またお客様ご自身のご判断で、個人情報の提供を拒否することは可能ですが、サイトにおけるサービスをご利用いただけない場合がございますので、あらかじめご了承ください。

◆個人情報収集の内容・目的について
　お客様からご提供いただく個人情報は、具体的に以下のような情報です。
（1）am/pmオフィシャルサイトメールマガジンの申込
　 　収集項目:メールアドレス
　 　収集目的:メールマガジンの配信
（2）キャンペーン･懸賞企画への応募
　 　収集項目:名前、住所、電話番号、メールアドレス等
　 　収集目的:当選者の選出及びプレゼントの発送
（3）お客様の声
　 　収集項目:名前、住所、電話番号、メールアドレス、お問い合せ内容等
　 　収集目的:お問い合せ受付、対応、お問い合せ内容の記録
（4）開業に関する資料請求
　 　収集項目:名前、住所、電話番号、メールアドレス、年齢、現職業、家族構成等
　 　収集目的:am/pm開業に関する資料発送
（5）club apにおける会員登録
　 　収集項目:名前、住所、電話番号、メールアドレス、Edy番号等
　 　収集目的:会員向けお知らせ、その他会員向けサービスの提供等
（6）サイバーデリス便における会員登録
　 　収集項目:名前、住所、電話番号、メールアドレス等
　 　収集目的:店舗によるデリス便の配達、メニューカタログの送付、会員向けお知らせ、
　 　その他会員向けサービスの提供等
（7）年賀状印刷
　 　収集項目:名前、住所、電話番号、メールアドレス等
　 　収集目的:年賀状、ポストカード印刷サービスの提供等
　am/pmジャパンは、お客様から収集させていただいた個人情報を、サイトにおけるサービスを提供する目的のために利用する他に、次に掲げる目的のために利用することがございます。
（1）お客様からお問い合せいただいた場合に回答を行うため
（2）お客様に対してam/pmジャパンの商品やサービスをご案内するため
（3）お客様に対してam/pmジャパンの商品やサービスに対するご意見をお伺いするため
（4）サイトにおけるサービスの利用動向等の統計的資料を作成するため

◆個人情報の第三者提供について
　サイトで取得した個人情報を、次のいずれかに該当する場合を除き、第三者に提供することはありません。
1．お客様の同意がある場合
2．個人が識別できない状態で開示する場合（マーケティングデータ作成等）
3．法令等または行政等の要請により開示を求められた場合
4．個人の生命、身体、財産の保護、または公共の利益の為に必要でかつお客様の同意を得ることが困難な場合
（以下略）
＝＝＝＝＝
【club ap よくある質問】
（前略）
Q.利用脱退
・利用から脱退したいのですが？
Answer
・脱退可能です。club apにログイン後「メンバー脱退」を選択し、画面の指示に従ってご入力ください。 （脱退にはメンバーIDとパスワードが必要です。）

Q.Edyの破損、紛失
・Edyを紛失（割れて）してしまったのですが。
Answer
・すみやかに脱退の手続きをお願いします。 また、新しいEdyをお持ちの際はお手数ですが再度ご登録いただきますようお願いいたします。なお、Edyの利用金額などの各種データは引き継ぎませんので、ご了承下さい。
＝＝＝＝＝

個人情報保護法では、
・利用目的の範囲内の利用は法令等に違反しない限り違反とはならない。
わけですから、本人が登録をした瞬間、過去の購買履歴が個人情報取扱事業者に明らかになったとしても、利用目的（購買履歴をマーケティングに使うということ等）の範囲内であれば、個人情報保護法違反にはならないのではないか・・・ということですかね。。。

ということで、
＝＝＝＝＝
個人情報保護法が無能だということだ。
＝＝＝＝＝
　となるわけですね。。。

　利用目的を特定して本人に明示することは、個人情報取扱事業者による利用により本人がどのような不利益をこうむる可能性があるかを想定するための情報提供ですから、このような場合は、本人登録をした時に過去の購買履歴までも個人情報取扱事業者に明らかになることを伝えたほうがよいのでしょうね。。。

　さてと。。。

　ところで、「脱会」することができるのですが、その場合でもEdy番号による購買履歴はとり続けるわけですね。。。
個人情報を完全に削除するかどうかは別にして、Edy番号と個人情報のリンクを切るのでしょうね。。。
・Edyのような繰り返し利用可能なプリペイドカード番号の利用制限についての社会的なルール形成は必要か・・・
ということですね。。。

　さてと。。。