驚きのニュースが舞い込んできた。CCCがプライバシーマーク（Pマーク）を返上したというのである。日経コンピュータの取材によれば、CCC社の「管理本部法務部リーダー」と、「経営戦略本部リスク・コンプライアンス統括部情報管理Leader」と、「経営戦略本部法務部会員基盤Leader」の3氏もそろってこれを認めているという。

CCC社のPマークを巡っては、昨年の2月に有効期限が切れたまま更新手続き中となり、今年9月までその状態が続くという異常事態があった（スラドの記事「CCCのPマークが再び有効に、オプトアウト実装のため？」参照）が、このことについて、今回の日経コンピュータの記事によると、CCC社法務部は、「他の認定企業よりも遅れたのは確かですが、Pマーク認定団体と見解の違いがあったわけではなく、手続きの不備もありません。今回も、我々が自主的に返上したものです。」と答えているそうだが、それはどうだろうか。

時系列順に振り返るとこうだった。

さて、以上のような経緯であるわけだが、私としては、この流れを傍観しながら、2014年8月のあたりから、CCCのことが気の毒に思えるようになっていった。

というのも、「共同利用」から「第三者提供」に切り替えたというのだけども、そもそもCCCは「第三者提供」をしていないはずだ（一部を除き）と思っていたし、それ以前でも「共同利用」もしていなかったはず（一部を除き）と思っていた。2012年9月の記事「Tカードは個人情報保護法違反に該当するのか？──津田大介の「メディアの現場」vol.44より」でも、鈴木正朝先生は「実際やっているかどうか、どこまでどのようにやっているかについては調査が必要なところですが、T会員規約（約款）上は、そうした権利をCCCが留保していて、いつでも行使できる状態になっていることを問題視しています。」と述べており、実際にはやっていないのではないか？としつつも、規約の規定ぶりに問題があると指摘されていたものだった。

Tポイントが何をやっているかについては、2012年9月23日の日記「Tポイントは本当は何をやっているのか」と、2013年6月27日の日記「Tポイントは何を改善しなかったか」で書いている。これが今も変わっていないのだとすると、やはり、第三者提供はしていない（一部を除き）と言うべきである。

当時、CCCの北村取締役がテレビに出るたび強調していたのは、「統計的に処理しているだけだ」「データの横流しはしない」というものだった（図1）。

そのような事業も行っていることはその通りなのだろう。その事業だけならば、加盟店からの委託によって、CCCがデータ収集と統計処理を受託しているという位置付けにすることができ、その場合は、第三者提供でもなければ共同利用でもない、ごく適法な事業だということになる。この場合の委託関係を図で表すと図2のようになる。

1つ目の絵は、個人データ処理の委託における委託元（委託者）と委託先（受託者）を模式化したもので、破線の矢印は委託する関係を表しており、実線の矢印は個人データの流れを表している。青が委託者で、EUデータ保護指令で言うところの「controller」（英国のData Protection Act 1998では「data controller」）、緑が受託者で、EUでは「processor」（英国では「data processor」）と呼ばれるものに当たる。

2つ目の絵は、Tポイントおける、図1で北村取締役が強調していた事業を、加盟店を data controller として、CCCを data processor として整理した場合の委託関係を表している。加盟店のコンビニやファミレスのチェーン本部は、CCCからTカード読み取り対応POS端末を借りるなどしてFC店に設置し、これにより、購買履歴データが直接 data processor であるCCCに送信され蓄積・管理される。加盟店のチェーン本部は、CCCが提供するASPサービスにアクセスすることにより、 自分のところのチェーンの売り上げデータを分析し、図1のテレビ画面でいうところの「マーケティング情報」（濃い青の丸印）を得ることになる。このとき、data processor は、複数の data controller から受託したデータを混ぜてはいけない（図では「個別DB」に格納するとしている ）。図1のテレビ画面でいうところの灰色の「マーケティング情報」に赤いバツ印が付けられているのが、この「混ぜてはいけない」ということに対応している。

このような事業であれば、全く適法で、個人情報保護法もPマーク上も問題にはならない。

ところが、やっているのはそれだけじゃないだろ！というのが、「Tポイントは本当は何をやっているのか」で言いたかったことであり、実際には、複数の加盟店からの個人データを混ぜて、串刺しで分析をしてターゲティング広告（主にクーポンの本人への発行）をやっているわけである。

そうすると、「受託したデータを混ぜている！」ということになれば、違法だということになりかねないわけで、むしろ、「CCCは受託者ではない」という整理をしたほうがマシということになるだろう。

このことについて、私は、CCCのターゲティング広告（クーポン）事業は、CCCを data controller とし、加盟店を data processor とした、CCCから加盟店への「個人データ取得の委託」として整理するのがよいと考えるようになった 。つまり、次の図3のような委託関係である。図2とは青と緑が逆転している。

このモデルでは、CCCが、コンビニやファミレスのチェーン本部に委託して、そのFC店等にTカード読み取り対応POS端末を設置してもらう。CCCに直接送信される購買履歴データはCCCの「共通DB」に入れられて、CCCはT会員のデータを串刺しにプロファイリングすることができる。「Tポイントとはそのような事業である」としてT会員に十分に知られているならば、適法であり、加盟店は第三者提供していないし、CCCも加盟店への第三者提供をしていないことになる（クーポン発行時については脚注3参照）。ましてや、CCCと加盟店間の共同利用でもない。

このようなモデルは、現に広く行われている、保険契約における保険会社（委託者）と生命保険募集人（受託者）の関係や、携帯電話の新規回線契約における携帯電話会社（委託者）と代理店（受託者）の関係において、個人データの「取得の委託」として整理される ものであり、代理店や保険募集人が委託元に代行して個人データの取得を処理する形になっている。Tポイントの場合は、FC店から直接CCCに個人データが送信されるが、FC店の関与がなければその取得はできないのであり、FC店（及びその委託元のチェーン本部のTポイント加盟店）はCCCからの委託を受けているとみなすことができる。

このように整理すると、今度は、図2のテレビ画面にあった「マーケティング分析サービス」がどのような位置付けになるかが問題となる。加盟店が「共通DB」にアクセスすることを許し、その情報が加盟店に「マーケティング情報」として提供されることになれば、そこが第三者提供だということになるのかである。

加盟店に提供される情報が、北村取締役が主張していたように「統計的な処理」をしたものに限られるのであれば、非個人情報の提供であり、個人データの第三者提供ではないと整理することができ、何ら問題ない 。ここで、もし、より詳細なデータを提供していて、（容易照合性によって）個人データに該当してしまいそうなレベルのもの（今日で言うところの「匿名加工情報」に当たるようなもの）を扱っているとなると、その場合はどうだろうか。

その場合も、次の図4のように整理すればよいのではないか。

つまり、図2の事業と図3の事業を同時に営んでいるとすればよい。FC店から送信される購買履歴データは1つだけれども、加盟店チェーン本部が data controller となって委託によりCCCで管理されている「個別DB」と、CCCが自ら data controller となって管理している「共通DB」の両方に格納されるのだと。加盟店が自ら扱うデータは、自分のところの「個別DB」に格納されたものに限られ、CCCは「共通DB」しか自由には扱えない。加盟店の店舗も、CCCの事業であるクーポン発行に際しては受託者として守秘義務を負う。

これは決して脱法行為ではない。個人情報保護法が個人データの同意なき第三者提供を原則禁じているのは、data controller から data controller へのデータ移転を許せば、データが流々転々して本人の権利利益を害し得るとしたところにあり、data controller から data processor へのデータ移転は、その data controller の管理下にあるから制限する必要はない わけで、図で言えば、点線でつながったグラフが、根のみを青とした木（というか森）になっていてれば適法ということになる。各事業者には複数のグラフを重ねることができ、それらの間でデータが分離されていればよい。

ただ、CCCのTポイント事業においては、このように整理できるとしても、実際に契約がそのようになっていて、それぞれの責任が明確化されているかが問われるだろう。そうでなければ、実態として第三者提供はないと言えるにしても、それぞれの事業者が適切に利用目的の特定をしていないという点で違法となるし、委託先の監督義務違反ともなり得る。また、利用者から見ても、2つの事業が同時に行われているのならば、そのことがわかるような規約（というかプライバシーポリシー）と説明が求められるところで、それができていなければ、利用目的の通知又は公表の義務違反ということになる。2014年8月に、CCCが「共同利用」から「第三者提供」に変更することを発表した際に「個人情報の第三者提供について」と題してT会員向けに説明された図（以下に引用）からでは、そのような事業だとは一般の方々には読み取れないだろう。

なお、前記で「一部を除き」とした例外部分がある。それは、Yahoo! IDとの統合によりヤフーと相互に履歴提供をする部分と、CCCの関連会社である（株）Platform IDとの間で相互に履歴提供する部分である。これは、双方が data controller となる事業モデルのようであるから、個人データの第三者提供となる。しかしこれらも、ヤフーの件については、Yahoo ID!との統合を本人が行わない限り始まらないものであるから、ID統合の場面で本人の個別かつ明確な同意を取ることができる ので、利用者が「そういうサービスだ」と思って使っている限りにおいては、23条1項の規定に違反しないし、Platform IDについては、1社だけに限られるのならば、これこそ「共同利用」として位置付けることができたのではないか 。

このように、ちゃんと事業モデルを整理すれば、第三者提供にならず、オプトアウト手続きを用意する必要もなかった。それなのに、それどころか、2014年10月には前代未聞の「なんちゃってオプトアウト」方式をやらかしてしまい、Pマークの審査に合格できなかったばかりか、人々の反感を買うことにもなった。

2015年8月にオプトアウト方式を常識的なものにした が、それでもなお、Pマークの審査要件であるJIS Q 15001には適合していない。JIS Q 15001は、元々、初版（JIS Q 15001:1999）ではオプトアウト方式による第三者提供は認めていなかった。後に個人情報保護法が施行されたときに改定された、JIS Q 15001:2006では、23条2項に対応するオプトアウト方式による第三者提供を認める規定が入ったが、個人情報保護法が「公表」で足りるとしているのとは異なり、「大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難な場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又はそれに代わる同等の措置を講じているとき」（3.4.2.8 b)） に限って認められるとしている。CCCはこの要件を満たすことができないのだろう。

今回の規約改定に際して、CCCは、Pマークを放棄する替わりに、「JIS Q 15001（略）やJIS Q 27001（略）などのセキュリティ基準を参考に自社基準を策定し、時代の変化や急速に発展するIT技術に対応できるセキュリティ環境を作ってまいります。」としたが、これは安全管理措置についてしか言っていない。JIS Q 15001 は漏洩対策だけを求めているのではないことをそろそろいいかげんに理解するべきである。

奇しくもこのタイミングで、CCCは「ツタヤ図書館」問題で炎上中のところであり、海老名市や多賀城市に対して、そして、これからツタヤ館契約を結ぼうとしている市町村に対して、Pマーク放棄をどう説明するのか？が問われるところ、安全管理措置だけ基準に従うと宣言したのは、個人情報保護法やJIS Q 15001の趣旨すらろくに理解していないことを自ら暴露したオウンゴールであろう。

もっとも、そもそもツタヤ館を契約しようとするような自治体は見る目が節穴の無能団体であることが必然の前提であるために、それら自治体もまた、個人情報保護法及びJIS Q 15001の趣旨が漏洩対策にすぎないと勘違いしているという、同じ穴のムジナであることが期待できるのなら、CCCは救われるのであろう。

公共図書館の指定管理を受けるに際して、Pマークを保有していることの意義はいかほどのものか。CCCは、武雄市図書館や海老名市立中央図書館において、Tカードを図書館カードに用いてTポイント事業を図書館運営に絡めつつも、貸し出し履歴は取得していないとしてきた。では、履歴を結合することさえしなければ、Pマークを放棄するような事業者に運営を任せていいのか？

Pマークは、第三者提供の制限が個人情報保護法よりも厳しく設定されているため、いわゆる名簿屋はPマークを取得することができない。逆に言えば、Pマークを持っている事業者ならば、裏で名簿屋のようなことをやっていることはないと安心できる。そういうマークである。マークのロゴには「たいせつにしますプライバシー」と描かれている。そういう安心できる事業者ですよという証である。

少しググってみれば見つかるが、いわゆる名簿屋を営んでいる小規模事業者の他の事業内容を見ると、驚いたことに、個人データ入力や帳票印刷の受託事業も同時に行っているところが複数見つかる。当然、データ入力や帳票印刷で委託した個人データが、販売名簿に流用されることはあってはならないことだが、こういう名簿屋事業者にそれをやっていないと信じて発注する事業者が存在するその神経が信じられない。

その意味においてCCCも名簿屋と同列だということになる。いくら指定管理の業務でのデータを混ぜないと言っていたところで、Pマークすら放棄せざるをえないようなところを、誰が信用できるというのか。

しかし、上記で述べたように、実はCCCは（基本的に）第三者提供をしていない。ちゃんと事業モデルを整理すれば、Pマークを取得できることしかやっていないと推察される。どうしてこんなことになったのか。

すべての始まりは、2012年に「共同利用」は違法だよと指摘されたときからの対応にあった。共同利用で何が悪いんだとろくに指摘を聞き入れず、2013年には共同利用範囲の明確化と称して利用目的の方だけ明確化する頓珍漢な対応をした挙句、2014年には第三者提供していないのに第三者提供に変更するとこれまた明後日の方角への対応、そして2015年には「なんちゃってオプトアウト」で人々の怒りを買うという、オウンゴールの連続ではないか。誰のせいでいったいこんなことになっているのか。おそらく、法務部が頼りにしている弁護士に問題があるのではないか。個人情報保護法を専門とする弁護士なら、図4のような事業モデルを整理することこそが仕事だろう。

CCCはお気の毒と言わざるをえない。早く弁護士を変えた方がいいとアドバイスしたい。