ユーザー本人が個人情報の開示請求をすることは法律が認める権利だ。しかし、今回の調査を通じて、「全個人情報の開示」に応じることが技術的に簡単なものではないことも判明した。そのため、開示に応じないこと自体がどこまで社会的に責められるべき問題なのか、理由次第で議論の余地がある。このことは連載の第3回で詳しく解説する。

　ただし、開示に応じられないならば、そのことは理由とともに消費者に説明されるべきだ。そうすれば、消費者は開示ができないことも考慮した上で、サービスを利用するか否かの選択ができる。個人情報保護法も、開示を拒否した企業に対し、本人に拒否を通知する義務、拒否の理由を説明する努力義務を課している。楽天とLINEの対応はこの義務、努力義務を履行できているのか疑問が残る結果となった。

　 プロフィルやクレカしか開示しない？

　両社の対応は前後半に分けて説明するとわかりやすい。前半は昨年4月の調査開始から同年9月まで。この間、両社は個人情報保護法のガイドラインのある条項を盾にして、全情報の開示に応じなかった。

（写真＝共同通信）

　まずは、楽天の対応を時系列で見ていこう。4月末にサポート窓口に情報開示を求め、3日後に送られてきた最初の返信がこうだ。「お客様へ開示可能な情報は『楽天会員情報管理』ページで確認できる内容と同じになります」

　楽天会員情報管理の画面を見ても、表示されるのは記者自身が登録したプロフィルや、クレジットカード情報などだけだ。

楽天が示した楽天会員情報管理ページにはごく限られた情報しか掲載されていない

[画像のクリックで拡大表示]

　楽天のサービスで商品を閲覧したり購買したりした履歴を楽天は保有している。その情報は別の情報管理ページを調べれば見つけることができた。しかし、米フェイスブックが開示したようなログインの履歴や検索ワードの履歴は見当たらない。

　「どういった整理で『開示可能な情報』を定めているのか」と質問したところ、8日後にようやく返信。質問にはっきり回答することなく、今度は個人情報の開示請求書を送ってきた。

「開示する情報を指定してほしい」

　改めて楽天に全個人情報の開示を求めると、今度は「どの個人情報を開示すべきか特定するための情報をいただけない場合、開示のための調査ができかねてしまいます」と返信してきた。「全個人情報」ではなく特定の情報の開示にとどめるよう求めてきたのだ。

　前回の記事でも示した通り、ユーザーはプラットフォーマーがどんな情報を保有しているのか、全容が分からない。無意識のうちに取得されている情報があるかもしれない。情報開示請求をするのは、データの全容を把握するためだ。その目的を達成するには全情報を請求するしかないのではないだろうか。

　そこで、自分が知らないうちにデータを楽天が保有していないか調べる方法はないのか、再度問い合わせた。その答えはこうだ。「例えば、楽天には教えていないはずの住所に楽天からダイレクトメールが届いた時、担当部署に調査を依頼させていただくことが可能です」。裏を返せば、何か具体的に問題が発生した後でないと、楽天は協力してくれないことになる。

　ここで、開示請求が取材目的であることを明かし、「なぜこのような対応になるのか」と楽天の広報担当者に正式に取材を申し込んだ。そこで示されたのが、個人情報保護法のガイドラインに示された一文だった。

　ガイドラインには、全個人情報の開示を請求された際の対応として「本人に開示を請求する範囲を特定してもらい、本人が特定した範囲で開示をすれば足りる」としていたのだ。

中身のない開示

　LINEの対応も楽天と同様の経緯をたどった。

　カスタマーサポートへの問い合わせから10日後に返ってきたメールで「開示を請求される情報について具体的にお知らせください」と求めてきた。「既に全情報だと指定している」と返信すると、楽天と同じガイドラインの一文を示した上で、開示のために「対象サービス（LINEストアなど）及び具体的な項目（スタンプ購入履歴など）の指定」が必要だとしてきた。

　そこで、記者は「LINEが提供しているサービスの一覧リストと、そのサービスが取得している情報の項目の一覧リスト」をまず開示するよう求めた。そのリストを元に、開示を求める内容を検討するためだ。だが、広報担当者から「そのような法的義務はない」と返事が返ってきた。

　やむなく一旦、楽天とLINEが公開しているプライバシーポリシーなどを参考にしながら、対象のデータ項目を限定した形で両社に開示を求めた。ネット上の情報管理ページなどで確認可能なものを除いて開示されたデータは、楽天でA4用紙22枚分、LINEで同47枚分だった。

左は楽天から簡易書留で送られてきたデータ。右のLINEのデータは、パスワードロックが施されたファイルの形式でメールに添付されてきた。

[画像のクリックで拡大表示]

　楽天のデータの中身は、楽天のウェブページへのアクセス履歴や、「楽天トラベル」でのホテルの予約履歴。LINEは、SNS上で使う「スタンプ」の種類別の利用回数や、「LINEニュース」での記事の閲覧履歴などだ。前回のフェイスブックの記事で詳しく検証した、ターゲティング広告（データから推測した消費者の趣味嗜好に合わせて打つ広告）に関連する情報はどこにもなかった。

　ここまでが、楽天とLINEに対する前半の調査の結果だ。

楽天とLINEの対応は「適切ではない」

　開示対象を限定するよう要求してくる楽天とLINEの対応は、果たして本当に法の趣旨に沿ったものだろうか。疑問をぶつけるために7月、個人情報保護委員会に取材を申し込んだ。「ガイドラインの趣旨が両社の解釈通りであれば、委員会は本来の職務に反し、情報の保護よりも情報の流通を重んじていることになるのではないか」と。

　委員会は8月になって文書で回答。「（ガイドラインの記述は）円滑に開示手続きができるよう設けられた規定で、本人にデータの範囲の限定を求めることは適切ではない」という見解を示した。楽天とLINEの解釈が誤っていることを認めたのだ。

　しかし、委員会としてどのように問題に対処していくのかについての記載はなかった。インタビュー取材を求めた結果、9月末になって委員会の其田真理事務局長が応じることになった。

ガイドライン改正へ

　取材当日、其田事務局長は「業界の中で誤った解釈がされているので、ガイドラインを改正します」と語った。楽天やLINEのように、開示に応じない問題が起きていることは「日経ビジネスの調査で初めて認識した」のだそうだ。委員会としての責任については「わかりやすくガイドラインを書くべきだった。反省すべきところはある」と語った。

　ガイドラインの改正案は10月初旬に発表された。消費者が開示請求するデータの範囲を指定する義務はないこと、また、事業者が消費者に請求範囲を限定させる権利もないことを明記した。

　これで、楽天とLINEが全情報の開示に応じない法的根拠が無くなる。記者はここから両社への後半の調査を開始した。

　楽天はガイドライン改正に関するパブリックコメントとして「（開示するデータの）特定のための協力を（消費者に）求めることができると記載すべき」などと意見を寄せた。しかし、個人情報保護委員会は「消費者に開示を請求する範囲を限定させることができるとの誤解を生じさせる」として、楽天の意見を認めなかった。

ようやく開示を了承したが…

　そこで改めて楽天の広報に取材を申し込んだ。しかし、同社は直接取材を拒否して、文書でこんな返答をしてきた。「（これまでの対応は、全情報の）開示を拒否するものではございません」

　前述した通り、楽天は前半の調査で「どの個人情報を開示すべきか特定するための情報をいただけない場合、開示のための調査ができかねてしまいます」としている。これが拒否でなければ、どう解釈すればいいのだろうか。

　全情報の開示請求に今後どう対応するのかを尋ねると「収集しうる情報をご提供できるように努めてまいります」。結局、開示に応じる気があるのかないのか分からない。再度問い合わせても「希望される情報をご提供できるように努めてまいります」という答えが返ってきた。

　ならばと、楽天のサポート窓口に全情報の開示を改めて請求した。返信は「開示の対象範囲を特定できる情報がございましたらお知らせください」と前半の調査よりもやや軟化した対応だった。繰り返し、全ての情報が必要であることを伝えると「可能な限り速やかに完了できるよう作業して参ります」。調査開始から半年以上たって、ようやく開示を了承したのだ。

　しかし、疑問が残る。これまで楽天は開示を「しない」のではなく「できない」と言っていたのだ。ガイドラインが改正されるからといって、なぜすんなり開示できるようになるのか。広報に問い合わせても「今後は、お客様の要望を汲み取り、より分かりやすい表現で速やかにご案内できるように改善してまいります」という回答しか返ってこない。

　楽天が本当に開示に応じるのか疑い始めた記者は、11月に開示請求書類を送付した後、1カ月以内に開示をするよう求めた。1カ月とは、EU（欧州連合）の規制上、情報開示に応じるまでのメドとされている期間だ。

　しかし楽天は、1カ月たってもなんら連絡をしてこなかった。記者からせめて開示の時期のメドを示すように再三求めても「現時点ではご案内できかねてしまいます」。結局、12月18日のメールを最後に楽天からの連絡は途絶え、この原稿を執筆している3月末時点でも梨の礫（つぶて）だ。

「適法」と主張続けるLINE

　LINEにも、前半の調査で全情報の開示を拒否した理由を改めて広報担当者に尋ねた。回答は「拒否したという事実はございません」。

（写真＝Bloomberg/Getty Images）

　LINEの前半の調査における回答はこうだった。「お客さまより（開示するデータを特定する）情報についてご提供頂けないことから、お手続きを進めることができません」。やはりこれも拒否ではないというのだろうか。記者からの直接取材の要請を断ったことも含め、楽天と全く同じ対応だ。

　しかし、この後の対応は楽天と異なる。LINEは前半の調査と変わらず、開示する情報を指定するよう記者に求め続けた。しかも、ガイドライン改正を受けてもなお、「個人情報保護法に照らして、違反するものではない」と今までの対応が正しいと主張した。

「既に対応したので、もう開示はしない」

　しかし、前半の調査で開示を拒む根拠となったガイドラインの条文はもうない。一体何を法的根拠にしているのか。尋ねても返信は「ご回答させていただいているとおり」だった。「ご了承のほど、よろしくお願いいたします」とメールは締めくくられていたが、何を了承していいのか分からない。繰り返し、開示を拒否する法的根拠を示すよう求めたところ「先般の開示において、弊社内のお客さまの全データを調査するという目的は一旦、達成されたものと弊社としては認識しております」という見解を出して開示を断った。

　この見解には4つの疑問がある。第1に、LINEは全情報の開示という記者の要求に応じていない。第2に、記者の目的が達成されたかの評価を、なぜLINEが勝手に下すのかが分からない。第3に、同じ情報を複数回、開示請求してはならないという制約をする権利がなぜLINEにあるのか、根拠が不明だ。第4に、万が一同じ情報の開示を請求することは慎むべきだという理論が成立するとしても、前半の調査の請求から既に3カ月が経過している以上、開示内容が全く同じになることはあり得ない。

　その後も、拒否を続ける法的根拠を示すことを求める記者に対し、LINEは同じ回答を繰り返す。12月20日、ようやくLINEが譲歩する。前半の調査で「法的義務がない」として開示を拒否した、LINEの提供するサービスの一覧リストを今度は開示すると約束。そのリストから開示対象とするサービスを記者が指定した上で「再度お客さまの開示請求に対応する」と回答してきたのだ。

　記者が求めているのはあくまで全ての情報。全情報の入手のためには、サービスの一覧リストを示されても「リストに載っている全てのサービスのデータを開示してください」というほかない。記者が使っていないサービスのデータベースにも、LINEの外部から情報が共有されている可能性を否定できないからだ。そのため、サービスの一覧リストを示すという行為自体にほぼ意味はないのだが、小さな一歩前進ではある。

　しかし、この約束すらも、原稿執筆時点では果たされていない。サービスの一覧リストを開示する作業に、約1カ月間もの期間がかかるとLINEは指定してきた。そして、自ら示したその期間を2ヶ月以上過ぎてもリストの開示は実施されなかった。期限が過ぎたことへの謝罪や説明もなかった。

　個人情報保護法のガイドラインの改正に至ったことは、記者1人で細々と続けてきた調査にしては望外の成果だった。ただし、楽天とLINEという巨大プラットフォーマーのプライバシー軽視の姿勢が改まるには至らなかった。