ポイントカード「Tカード」を運営するカルチュア・コンビニエンス・クラブ（以下、CCC）が、利用者の会員情報や利用履歴を令状なしで捜査機関に提供していたとの報道を受け、議論を呼んでいます（関連記事）。そもそも法律上の問題はないのでしょうか。個人情報保護法を所管する個人情報保護委員会に聞いてみました。

個人情報保護委員会からは、あくまでも個人情報保護法の制度の話という前提で回答を得ました。カード運営会社以外の第三者に個人情報を提供する場合には、あらかじめ本人の同意を得る必要があります。ただし、法律には例外事項が定められており、例外に当てはまる場合には本人の同意なく提供することができます。その例外事項のなかに「法令に基づく場合」というものがあります。

「法令に基づく場合」とは何を指しているのでしょうか。「個人情報の保護に関する法律についてのガイドライン（通則編）」に例が示されています。それによると、警察の捜査の他、税務署の調査や弁護士会からの照会も「法令に基づく場合」に該当します。

例外的に個人情報を第三者に提供できる場合 警察の捜査関係事項照会に対応する場合（刑事訴訟法第197条第2項）

裁判官の発する令状に基づく捜査に対応する場合（刑事訴訟法第218条）

税務署の所得税等に関する調査に対応する場合（国税通則法第74条の2他）

製造・輸入事業者が製品の回収等の措置をとる際（消費生活用製品安全法）

弁護士会からの照会に対応する場合（弁護士法第23条の2）

CCCは「2012年から、『捜査関係事項照会書』があった場合にも、（中略）捜査機関に協力してまいりました」とコメントしています。これについて個人情報保護委員会に聞いたところ、「個別の案件について、報道の内容だけでマルかバツかは言いづらいものの、限りなく法令に基づくものと考えられます」とコメント。また、法令に基づく照会に対する個人情報提供は、行うことを利用規約に書いていなくても「全く問題ない」との見解でした。

Tカード以外の各社の対応は？

Tカード以外の対応はどうなっているのか、Suica（JR東日本）、dポイントカード（NTTドコモ）、Ponta（ロイヤリティ マーケティング）、楽天ポイント（楽天）の4社に聞きました。

Suicaを運営するJR東日本では、法令に基づいた照会（捜査関係事項照会や弁護士会など）があれば情報提供しているとの回答でした。そのことはJR東日本サイト「個人情報の取扱いに関する基本方針」にも記載されています。

dポイントカードを運営しているNTTドコモでは、「捜査関係事項照会書」を始め、国税庁、海上保安庁、厚生労働省、弁護士会（弁護士法23条に基づくものの場合）に対して協力できる範囲で捜査に協力。ただし、通話内容など通信の秘密に関連する事項については、令状がなければ提供していないとのことでした。情報提供していることについては、契約時の説明書類や規約に記載しています。

Pontaを運営するロイヤリティマーケティングは、捜査令状や「捜査関係事項照会書」には、必要な範囲で情報を提供。なお、情報提供しているのは、ポイントの付与利用に関する情報で、「購買履歴」については提供していないそうです。その他の照会も法令および規約等に従い、適切に対応しているとの回答でした。情報提供についてはPonta公式サイトの「個人情報保護方針・個人情報の取扱いについて」に記載されています。

楽天では、捜査機関等公的機関から法令にのっとって書面にて正式に要請・命令があった場合、社内精査の上、個別に対応しているそうです。情報提供していることについては、個人情報保護方針に記載しています。

取材の結果、少なくとも上記4社では「法令に基づく場合」に個人情報を第三者に提供する可能性があることを利用規約等に明記していたことが分かりました。また、Tカードを運営するCCCも今回の騒動を受け、「『法令で認められる場合』を除いて、個人情報について、あらかじめご本人から同意をいただいた提供先以外の第三者に必要な範囲を超えて提供はいたしません」と、例外的に個人情報を提供する場合がある旨を明記するようになりました。

CCCが令状なしで警察に情報提供していた件については、個人情報保護法上の問題はなさそうです。しかしながら「規約に明記していなかった」点や「2012年にこっそり方針転換していた」点などへの批判は多く、今後は法令順守はもとより、透明性のある個人情報運用が求められそうです。

※一部追記しました

（高橋ホイコ）