カルチュア・コンビニエンス・クラブ(CCC)が裁判所の令状なしに「Tカード」利用者の氏名や購入履歴を捜査機関に提供していることを問題視する報道が、2019年に入って広がった。しかしCCCの情報提供は、個人情報保護法には違反していない。だが日本政府が欧州連合(EU)に説明した内容には反している。
報道によると、CCCは約6700万人いるTカード利用者の氏名などの会員情報や、商品の購入時に得たポイント履歴、レンタルビデオのタイトルなどを裁判所の令状なしに捜査機関に提供していた。捜査機関はCCCに「捜査関係事項照会書」を使って、情報を得ていたという。
CCCは「T会員規約」に情報提供を明記していなかった。報道を受けてCCCは、2019年1月21日に「2012年から、『捜査関係事項照会書』があった場合にも、個人情報保護法を順守したうえで、一層の社会への貢献を目指し捜査機関に協力」してきたと公表。そのうえで個人情報保護方針を改訂して、T会員規約にも明記するとした。
CCCは2019年2月5日に、顧客情報取り扱いの基本方針を再検討するまでの間、「捜査機関からの要請に対しては、令状に基づく場合にのみ対応する」と改めて発表。CCC以外の企業も裁判所の令状なしに、捜査機関に個人情報を提供していたことを問題視する報道が相次いだ。
ただし繰り返すが、CCCなどの情報提供は、個人情報保護法に違反しているわけではない。個人情報保護委員会が公表している個人情報保護法のガイドライン(通則編)は、企業が管理する個人データの利用目的について、本人(この場合はTカード利用者)の同意を得なくてもよいという例を、以下のように挙げている。
法令に基づく場合は、法第16条第1項又は第2項の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。
事例1)警察の捜査関係事項照会に対応する場合(刑事訴訟法第197条第2項)
事例2)裁判官の発する令状に基づく捜査に対応する場合(刑事訴訟法第218条)
つまり、企業は裁判官の令状がなくても警察の捜査関係事項照会に対応するため、個人情報を取り扱える。それでも報道が出て以降、個人情報保護委員会には一般からの問い合わせが殺到し、同委員会はガイドラインの説明に追われたようだ。
問題視すべきは捜査機関の方だった
だが筆者にしてみれば、今回の一連の報道で本来問題にすべきだったのは、どちらかといえばCCCの対応や利用規約ではない。捜査機関の問題だ。
一連の報道が広がる契機となったとみられる共同通信の記事によると、内部資料や捜査関係者の話として情報提供の実態を伝えている。つまり、捜査機関の内部関係者によるリークがあったようだ。
なぜ今、捜査関係者がリークしたのだろうか。背景にあるのは、日本政府が法務大臣らの連名でEUに提出した2018年9月14日付の文書だったのではないかと筆者は考える。文書は一般データ保護規則(GDPR)の十分性の決定を得るため、日本の公的機関が刑事法執行や国家安全保障の目的で個人データを収集する際の法制度を説明したものだ。
