Zenn
㊙️

JCBのオプトアウト方式による個人情報提供の適法性検討(OpenAI DeepResearch)

2025/02/16に公開
OpenAI
Deep research
jcb
tech

オプトアウト方式による個人情報提供の適法性検討

日本の個人情報保護法におけるオプトアウト方式の適法性

第三者提供の原則と例外:日本の個人情報保護法(平成29年施行、令和2年改正法を含む。以下「個人情報保護法」)では、個人データを第三者に提供するには 本人の事前同意(オプトイン)が原則 です (オプトアウトとは?個人情報保護改正で第三者提供の規制が拡大)。ただし例外として、一定の条件を満たせば オプトアウト方式(本人が拒否しない限り同意したとみなす)による提供が認められています (オプトアウトとは?個人情報保護改正で第三者提供の規制が拡大)。

オプトアウト利用の条件:オプトアウト方式で第三者提供を行う場合、以下の要件を満たす必要があります。

以上の条件を満たせば、オプトアウト方式による第三者提供は個人情報保護法上適法とされています (オプトアウトとは?個人情報保護改正で第三者提供の規制が拡大) (オプトアウトとは?個人情報保護改正で第三者提供の規制が拡大)。つまり、本人の明示的同意がなくても法定要件を満たすことで提供可能です。

JCBの告知内容と提供される個人情報の分析

告知内容の概要:クレジットカード会社のJCB(株式会社ジェーシービー)は、2025年2月28日付で会員規約を改定し、自社ウェブサイト「MyJCB」等に登録された会員の情報を第三者に提供する方針を公表しました (JCB会員規約 | JCBカード) (JCB会員規約 | JCBカード)。具体的には、2025年2月28日以降、MyJCB利用規定に同意した会員について、以下の情報をJCBが**暗号化(復元できないハッシュ化)**した上で第三者(広告事業者等)へ提供するとしています (JCB会員規約 | JCBカード)。JCBはこの措置を取るにあたり、「提供を希望しない場合」は 2025年3月31日までに所定の手続を行うよう 会員に案内しており(※4月1日以降の手続きでは停止反映まで最大1ヶ月程度かかる可能性あり)、オプトアウト方式で同意の撤回(提供停止)の機会を設けています (JCB会員規約 | JCBカード) (JCB会員規約 | JCBカード)。

提供される個人情報:JCBが第三者提供する情報は以下のとおりです (JCB会員規約 | JCBカード)。

  • Eメールアドレス(メールアドレス)
  • 電話番号

上記はいずれも「復元できない暗号化」が施された形で提供されます (JCB会員規約 | JCBカード)。つまり、メールアドレスや電話番号そのものの生データではなく、ハッシュ化やトークン化等によって第三者が直接には原文を知り得ない識別子に置き換えられています。JCBは「復元できない」と強調していますが、実際には広告事業者側も同じハッシュ化処理を自社保有データに適用することで照合が可能です。例えば、広告事業者が保有するユーザーのメールアドレスをハッシュ化し、JCBから提供されたハッシュリストと突合することで、同一人物であることをマッチングできる仕組みです。したがって、暗号化済みとはいえメールアドレス等は個人を特定し得る識別子として機能しうるため、法律上も慎重な取扱いが求められます。

利用目的:提供されたメールアドレスや電話番号(ハッシュ)は、広告配信および各種案内のために利用されます (JCB会員規約 | JCBカード)。JCBの発表によれば、具体的には「JCBまたはJCBと提携する企業の商品・サービス・キャンペーン等の情報を、広告にて効果的かつ効率的にお届けする」目的です (個人情報の第三者提供について | JCB グローバルサイト)。加えて、「JCB公式SNSアカウント等を用いた各種案内の配信」を行う目的も含まれています (JCB会員規約 | JCBカード)。要するに、JCB会員向けのターゲティング広告ダイレクトマーケティングにこの情報を活用するということです。例えば、会員が持つメールや電話番号に紐づくSNSアカウント(LINEやFacebook等)を特定し、JCBカードのキャンペーン告知をそのユーザーのタイムライン上に表示したり、関連サービスの広告を配信したりすることが想定されます。

提供先(第三者):提供先となる主な事業者は、JCBの公表資料によれば以下のとおりです (JCB会員規約 | JCBカード) (個人情報の第三者提供について | JCB グローバルサイト)。

これらの提供先を見ると、国外企業(Google・Meta・X(Twitter)・Criteo・RTB House等)も含まれていることがわかります (個人情報の第三者提供について | JCB グローバルサイト) (個人情報の第三者提供について | JCB グローバルサイト)。したがって、JCBは日本国内のみならず海外の第三者へ個人データを移転することにもなります。この点については後述する法的論点(越境移転規制)も関係します。

広告業者への提供目的と法的許容範囲

提供目的の妥当性:JCBが掲げた利用目的は「自社または提携企業の商品・サービス等の広告配信」のためであり、マーケティング目的です (個人情報の第三者提供について | JCB グローバルサイト)。これは企業活動上一般的な目的と言え、法的に直ちに不適切というものではありません。個人情報保護法第16条では、あらかじめ特定した利用目的の範囲内で個人情報を利用しなければならない旨が定められています。JCBは従来から会員規約やプライバシーポリシーで「会員向けの宣伝物送付やEメール等による営業案内」に個人情報を利用する旨を示していた可能性があります(多くのカード会社は入会時にマーケティング利用について包括同意を得ています)。今回の措置は、その広告手段として新たに外部の広告ネットワークを活用する点が特徴です。

第三者提供としての位置づけ:JCB自ら広告配信する場合(例えば自社メールで会員にDM送信等)は単なる利用にとどまりますが、今回はGoogleやMeta等の他社にデータを渡す点で「第三者提供」に該当します。個人情報保護法では本人の同意なく第三者提供することは禁止されていますが(法27条1項)、前述のとおりオプトアウト手続きを踏めば例外的に可能です(法27条2項)。JCBはこのオプトアウト例外を適用して広告業者への提供を進めているものと考えられます。

「暗号化された情報」の法的位置づけ:JCBが提供するのはハッシュ化されたメールアドレス等であり、一見すると個人を直接特定できない符号です。このような、提供者側では単独で個人特定できない情報は、改正法で新設された「個人関連情報」に該当する可能性があります。一方で、JCB自身は元のメールアドレスや電話番号を把握しており、ハッシュ化は単なる加工にすぎません。提供元であるJCBにとっては当該ハッシュも特定の個人に結び付いて管理されているため、「保有個人データ」の一部(仮名化情報)とも評価できます。この違いが法的に重要です。

  • 個人関連情報としての提供の場合:仮にJCBが「暗号化された識別子はもはや個人情報ではない」と位置付けるなら、提供される情報は個人関連情報となります。改正個人情報保護法では、個人関連情報を第三者に提供し、提供先でそれが個人データとして取得されることが想定される場合本人の同意を得ることが必要とされています (個人情報保護法改正-「個人関連情報」 | 記事 | 新日本法規WEBサイト)(法第26条の2第1項第1号)。今回のように、広告事業者がハッシュを照合して個人を識別し得るケースは「提供先で個人データとなることが想定される」典型例です。したがって、この解釈に立つ場合、本来は本人の事前の同意取得が要求されることになります (個人情報保護法改正-「個人関連情報」 | 記事 | 新日本法規WEBサイト)。
  • 個人データの提供(オプトアウト適用)の場合:一方でJCBは、自社で識別できる情報を暗号化して提供しているだけであり、法律上はなお「個人データの第三者提供」として扱っている可能性が高いです。その場合は上述のオプトアウト例外(法27条2項)の適用対象となります。オプトアウト方式は「本人の明示同意なしに提供できる例外手続き」であるため、個人関連情報提供における同意要求を満たす手段として機能しうるかという論点はあります。しかし、JCBは会員規約への同意取得および事前告知+オプトアウトの機会付与を行っており、これらをもって実質的に本人の包括的な承諾を得たとみなしていると考えられます。

広告目的は「利用目的の範囲内」か:JCBが会員から取得したメールアドレスや電話番号は、本来カード利用明細の通知や緊急連絡などのためでした。マーケティングへの利用も多くのカード会社で取得目的に含まれているものの、今回のように第三者を活用した広告配信は従来想定されていなかった可能性があります。この点、利用目的の変更に該当する場合は本人の改めての同意が必要となります(法第18条2項)。JCBは会員サイト上で規約改定に同意させるプロセスを踏んでおり、利用目的の追加についても明示した上で同意ボタンのクリックを求めています (JCB会員規約 | JCBカード) (JCB会員規約 | JCBカード)。したがって、形式上は適切に目的変更の同意取得がなされたと評価できます。もっとも、この同意は事実上サービス継続の前提条件であり、自由なオプトインとは言い難い側面もありますが、法律上は要件を満たしていると言えるでしょう。

外国事業者への提供:提供先にはアメリカや欧州など海外企業も含まれます (個人情報の第三者提供について | JCB グローバルサイト) (個人情報の第三者提供について | JCB グローバルサイト)。個人情報保護法は、外国にある第三者への個人データ提供について追加規制を設けています(法28条)。原則として 本人の同意 を得るか、または提供先の国の制度が委員会指定の水準にある等の条件を満たさねばなりません。さらに2022年施行の改正では、本人同意に基づく提供の場合でも提供先国の個人情報保護制度等に関する情報を本人に提供する措置が必要とされています (個人情報保護法改正-「個人関連情報」 | 記事 | 新日本法規WEBサイト)(法26条の2第1項第2号)。JCBは規約やウェブサイト上で提供先企業名と所在地(国)を開示しており (個人情報の第三者提供について | JCB グローバルサイト)、少なくとも対象国・企業を示すことで情報提供の一部としています。しかし、各国法制度の詳細までは示されていないため、本来であれば「各社のプライバシーポリシーをご確認ください」とするだけでなく、米国等の保護水準や受入れ企業のデータ保護措置についても説明することが望ましいです。もっとも、本人が同意ボタンを押した段階で国外提供も包括了承したとみなすことができ、実務上はそれで足りるとの判断かもしれません。現在のところ、JCBの対応が法28条に照らして問題視されているとの情報はありません。

総評:以上を踏まえると、広告配信という目的自体は適法な範囲内であり、第三者提供もオプトアウト手続を踏むことで法的には許容されると考えられます。ただし今回のケースは個人関連情報の提供規制や越境移転規制など新しい法概念にまたがる部分があり、グレーゾーンも指摘されています。JCBは事前に個人情報保護委員会と相談の上で実施しているようで (PowerPoint プレゼンテーション)、委員会から法令違反と指摘されない形でスキームを構築したと推測できます。この点について次章でオプトアウト手続の実施状況も確認します。

オプトアウト手続きの適切性

周知と手続方法:JCBは2025年2月7日付の会員向けウェブ告知で本件を案内し、約1ヶ月半の周知期間を設けました (JCB会員規約 | JCBカード) (JCB会員規約 | JCBカード)。提供停止を希望する会員に対しては、2025年2月28日~3月31日までに所定の手続きをとるよう求めています (JCB会員規約 | JCBカード)。実際のオプトアウト手続きはMyJCB(会員専用サイト)上の設定画面で行うよう案内されています (個人情報の第三者提供停止方法 | JCB グローバルサイト) (個人情報の第三者提供停止方法 | JCB グローバルサイト)。MyJCBにログイン後、「お客様情報の照会・変更」→「個人情報の管理・提供について」の項目で「第三者提供しない」を選択し確定する流れで、比較的わかりやすい手順が示されています (個人情報の第三者提供停止方法 | JCB グローバルサイト) (個人情報の第三者提供停止方法 | JCB グローバルサイト)。またJCBグローバルサイト上にも図解入りで詳しい操作ガイドを掲載しており、ネットに不慣れな利用者にも配慮した説明となっています (個人情報の第三者提供停止方法 | JCB グローバルサイト) (個人情報の第三者提供停止方法 | JCB グローバルサイト)。

手続き期間と反映:先述の通り、3月末までに手続すれば4月以降の提供開始前に反映されます。一方、4月1日以降にオプトアウトした場合受付自体は可能ですが、システム反映まで約1ヶ月程度要する可能性があるとされています (JCB会員規約 | JCBカード) (個人情報の第三者提供停止方法 | JCB グローバルサイト)。これは、既に第三者提供用のデータ抽出や広告配信設定が走っている場合、停止処理にタイムラグが生じるためと説明されています (個人情報の第三者提供停止方法 | JCB グローバルサイト)。法律上、「遅滞なく提供停止」が求められるところ、1ヶ月の遅れが許容範囲かは議論の余地があります。しかしJCBは過去同意に基づく広告配信は完全には止められない可能性にも言及しており (個人情報の第三者提供停止方法 | JCB グローバルサイト)、技術的・実務的制約を正直に示しています。委員会のガイドライン上も、「停止の申出を受けた場合は遅滞なく停止措置を講ずること」が望ましいとされていますが、多少の事務処理期間は想定されています。1ヶ月という期間設定が妥当かどうかはともかく、手続受付自体は恒常的に可能であり、一度オプトアウト設定すれば以降は提供しない方針ですから、手続きの提供自体はなされています。

手続きの容易さ:オプトアウトの方法が複雑すぎたり不明瞭だと実質的な同意撤回の機会が奪われる恐れがあります。JCBの場合、オンラインで完結し、会員であれば誰でもアクセスできるMyJCB上で設定できるため、一定の容易性は担保されています。強いて言えば「自動的にはオプトアウトされず、ユーザー自身が動かなければならない」点で見落とす人もいるでしょう。しかし告知期間も設けられており、少なくとも情報提供と選択機会は提供していると評価できます。ガイドラインでも、本人の手続負担が過大でないことが望ましいとされていますので、特段の問題はないでしょう。

以上を踏まえた適切性:JCBのオプトアウト手続き提供は、形式的には個人情報保護法の求める基準を満たしていると言えます。周知→受付期間設定→Web上での停止手段提供、という流れはガイドラインに沿ったものです (個人情報の第三者提供停止方法 | JCB グローバルサイト)。実務上も、この種の手続は多くが会員サイト経由で行われており、JCBだけ特別煩雑ということもありません。したがって、オプトアウトの手段・プロセスは適切に提供されていると判断できます。

類似事例と過去の問題点

今回のように、顧客のデータを第三者に提供してマーケティングに活用する試みは国内でも前例があります。その中で問題視されたケースや教訓となった事例をいくつか挙げます。

  • JR東日本「Suica」乗降データ提供事件(2013年):東日本旅客鉄道(JR東日本)は、IC乗車券Suicaの利用履歴データを統計化し、日立製作所等に販売する計画を発表しました。JR東日本は氏名や住所等の個人情報を除外し、IDを不可逆変換した統計データ(ビッグデータ)であって個人情報ではないと説明しましたが、利用者への事前周知や同意取得が一切なかったため大きな不安・反発を招きました (Suicaのデータ販売中止騒動、個人特定不可なのになぜ問題? ビッグデータの難点 (2013年8月23日) - エキサイトニュース) (Suicaのデータ販売中止騒動、個人特定不可なのになぜ問題? ビッグデータの難点 (2013年8月23日) - エキサイトニュース)。結局、販売開始から約1ヶ月で提供中止を表明し、事実上撤回されました (Suicaのデータ販売中止騒動、個人特定不可なのになぜ問題? ビッグデータの難点 (2013年8月23日) - エキサイトニュース)。この事件は「たとえデータが匿名化されていても、本人の理解や信頼を得ずに提供することのリスク」を社会に示しました。個人情報保護法上は当時問題なしとも言われましたが、プライバシー配慮や説明責任の重要性が認識され、後の法改正議論にも影響を与えました。

  • Yahoo! JAPANとLINEのデータ統合(2021年):国内大手IT企業のヤフー株式会社とLINE株式会社が経営統合した際、両社のユーザーデータを連携させる計画が発表されました。これに対し、利用者に十分な説明や選択肢が与えられていないのではとの指摘があり、個人情報保護委員会が動向を注視する事態となりました。最終的に、一定のオプトアウト期間が設けられ、ユーザーがデータ連携を拒否できる措置が講じられています(※公式に勧告等が出たわけではありませんが、事前に委員会と調整が行われたとされています)。このケースは、大規模なデータ共有には世間の関心が高く、透明性確保が不可欠であることを示しました。

  • 通信キャリア各社のターゲティング広告(2022年~):NTTドコモやKDDI、ソフトバンクなど携帯電話各社は、契約者のウェブ閲覧履歴や位置情報等を用いたターゲティング広告事業を展開しています。改正法の個人関連情報規制を受けて、各社はユーザーからの包括同意取得オプトアウト手段の明示を行うようになりました (オプトアウト方式が厳格化。個人情報保護法の変更点)。例えばNTTドコモは「パーソナルデータダッシュボード」というサイトで、契約者が自分のデータ提供状況を確認・停止できる仕組みを導入しています (NTTドコモの「第三者提供」を停止(オプトアウト)する方法)。当初オプトアウト前提で進められていた取り組みも、法規制強化に伴いオプトインに転換されたケースもあります。これはまさに本人関与を高める方向で業界がシフトした例と言えます。

これら事例から得られる示唆は、「たとえ合法でも利用者の理解が得られなければ批判を招く」という点です。Suicaの件では法的には「匿名加工情報に近く同意不要」とされながらも提供中止に追い込まれました (Suicaのデータ販売中止騒動、個人特定不可なのになぜ問題? ビッグデータの難点 (2013年8月23日) - エキサイトニュース)。YahooとLINEの件でも、統合自体は関連会社間のデータ共有(共同利用)でありうるにも関わらず、やはりオプトアウトの案内が必要となりました。したがって、JCBの今回の措置も社会的な目は厳しいと考えられます。実際、JCBは 2021年時点で社内において「オプトアウト手続が分かりにくい」「法令評価が不十分(個人情報保護委との事前相談が必要)」等の課題を洗い出し、改善策を講じてきた経緯があります (PowerPoint プレゼンテーション)。これらは過去事例を踏まえたリスク対策と言えるでしょう。

なお、2022年改正法により個人情報保護委員会の監督権限も強化されており、第三者提供の違法行為に対して勧告や命令が出されることがあります(直近ではLINEヤフー社に対する行政上の措置も報じられています)。JCBが今後適切に運用せず問題が生じた場合、委員会から是正を求められる可能性もあります。

個人情報保護委員会のガイドライン等による適法性評価

最後に、公式ガイドラインや法令を参照しつつ総合的な適法性を判断します。

  • 第三者提供の適法要件:JCBは提供項目・目的・提供先を明示し、オプトアウトの機会を与えているため、個人情報保護法27条2項(旧23条2項)の要件を満たしています (JCB会員規約 | JCBカード) (オプトアウトとは?個人情報保護改正で第三者提供の規制が拡大)。提供対象もメールアドレスと電話番号であり要配慮個人情報ではないため、法律上オプトアウト提供が禁止される類型には該当しません (オプトアウトとは?個人情報保護改正で第三者提供の規制が拡大)。またJCB自体が会員から適法に取得した情報であり、不正取得データでも第三者から入手したデータでもないため、オプトアウト禁止の例外にも当たりません (オプトアウトによる第三者提供とは?個人情報保護法上の要点 - BUSINESS LAWYERS) (オプトアウトによる第三者提供とは?個人情報保護法上の要点 - BUSINESS LAWYERS)。以上から、形式的には第三者提供の合法要件を充足しています。

  • 本人同意・意思の尊重:委員会のガイドラインでは、「本人の意思に反してまで第三者提供をすべきではない」との基本精神が示されています。JCBは提供開始前に周知し、本人が拒否できる仕組みを用意していますから、この趣旨にも沿っています。ただし、前述の個人関連情報提供規制(法26条の2)との整合については議論があります。ガイドライン (個人情報保護法改正-「個人関連情報」 | 記事 | 新日本法規WEBサイト)は「提供先で個人データとなることが想定される場合は本人同意が必要」と明記しており、オプトアウトでは不十分とも読めます。しかし、JCBは会員規約上で包括的同意を取得し(同意ボタン押下)、その上でオプトアウトを案内しているため、実質的に本人の許諾を得ていると解釈できます。委員会が本件を問題視していないところを見ると、規約同意+オプトアウトは許容範囲内との判断なのでしょう。

  • 安全管理措置:提供されるデータはハッシュ化されており、直接には第三者にとって判読不能です (JCB会員規約 | JCBカード)。これは個人情報の安全管理措置(技術的保護措置)の一環として評価できます。ただしハッシュ値は識別子として機能しうるため、本当に十分かという点は残ります。ガイドラインでは「提供先で容易に復元できないよう配慮すること」が推奨されます。JCBは「復元できない」としており、おそらく強度の高いハッシュアルゴリズムやソルト付加等でリバースエンジニアリング困難にしている可能性があります。とはいえ、提供先企業は自前のデータと照合することが目的なので、識別可能性はゼロではない点に注意が必要です (PowerPoint プレゼンテーション)。このジレンマを承知の上でJCBは委員会に相談し、「匿名加工情報ではなく個人データ提供として適法に行う」という結論に至ったと推測されます (PowerPoint プレゼンテーション)。

  • 越境移転への対応:前述のように国外への提供について、JCBは本人の包括同意を得ているものの、各国法制度に関する情報提供までは十分ではありません。委員会規則では、同意取得時に例えば「提供先:米国(十分性認定なし)。米国には包括的な個人情報保護法は無いが、提供先企業はプライバシーポリシーに従い適切に管理する旨を確認済み」等の情報を示すことが望ましいとされています。JCBは提供先企業名を列挙し各社ポリシー参照を促すに留まります (個人情報の第三者提供について | JCB グローバルサイト)。この点、形式的には不備とも言えますが、現状これが問題視された情報はありません。委員会の指導等も出ていないため、一応の許容範囲と評価されているようです。

以上を総合すると、JCBの今回の個人情報提供措置は、現行の個人情報保護法の枠組み内でおおむね適法と判断できます。オプトアウト方式自体は法律上認められた手段であり、JCBはその手続きを遵守しています (JCB会員規約 | JCBカード) (オプトアウトとは?個人情報保護改正で第三者提供の規制が拡大)。提供される情報の範囲も必要最小限(連絡先のハッシュのみ)であり、安全管理措置も講じられています (JCB会員規約 | JCBカード)。利用目的もカード会員向けサービスの範囲内と言えます (個人情報の第三者提供について | JCB グローバルサイト)。

もっとも、適法であることと妥当であることは別問題との指摘も成り立ちます。法律の許容範囲ギリギリであっても、利用者の信頼を損ねれば企業リスクとなります。JCB自身、「客観的な法令評価が不十分ではいけない」と内部チェックし、委員会と事前協議する慎重さを見せています (PowerPoint プレゼンテーション)。これは裏を返せば、本件がプライバシーリスクを伴う繊細な施策であることを示しています。今後、実際に広告配信が始まった後の利用者の反応や、万一データ漏洩等が起きた場合の影響なども注視する必要があるでしょう。

結論:現在のところ、JCBが案内した暗号化Eメールアドレス・電話番号の広告事業者への提供は、日本の個人情報保護法に則って手続がなされており適法と評価できます。ただし、個人関連情報の提供や越境データ移転といった新たな法的論点も内包するため、完全にリスクがないわけではありません。少なくとも違法と断じる材料はなく、適法性の面では概ね問題ないと言えます (JCB会員規約 | JCBカード) (オプトアウトとは?個人情報保護改正で第三者提供の規制が拡大)。今後も個人情報保護委員会のガイドラインや市場の反応を踏まえ、必要であればJCBがオプトアウト方法の更なる周知徹底やオプトインへの切替え等を検討していくことが望まれます。

参考資料・出典

Discussion