1. ホーム
  2. プラットフォーム関連

ショッピングモールビジネスと個人情報保護法

Q
 当社は食品に関するショッピングモールサイトを運営していますが、この度、飲み物に関するショッピングモールサイトを運営する他社と合併することとなりました。当社のショッピングモールサイトを利用するユーザーの購入履歴情報を合併後の新たなショッピングモールサイトに移転させることはできますか?

A
 購入履歴情報も「個人情報」に該当する場合があります。そうすると、個人情報保護法の規制対象となり、当該購入履歴情報の第三者への提供は原則として本人の同意が必要となります。
しかし、合併のような事業の承継に伴う提供の場合には、提供を受ける側は「第三者」に該当しないとされ、本人の同意なくして当該購入履歴情報を移転させることができます。

もっとも、当該購入履歴情報は、事業承継前の利用目的の範囲内で利用しなければなりません。


澤田直彦

監修弁護士:澤田直彦
弁護士法人 直法律事務所 代表弁護士

IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。
本記事では、
「ショッピングモールビジネスと個人情報保護法」
について、詳しくご解説します。

弁護士のプロフィール紹介はこちら直法律事務所の概要はこちら

購入履歴も個人情報

「個人情報」の定義

Qで問題となっている購入履歴のようなデータ情報が、そもそも、個人情報保護法の規制対象となる「個人情報」に該当するのかどうか、ということから考えなくてはいけません。
そこで、まず、「個人情報」という用語の定義から説明していきます。

個人情報保護法が定義する「個人情報」(個人情報保護法2条1項)とは、生存する個人に関する情報であって、「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」(同項1号)、又は「個人識別符号が含まれるもの」(同項2号)をいいます。

Qで問題となっている購入履歴のようなデータ情報に、ユーザーの氏名や生年月日等が含まれている場合には、当然、「個人情報」に該当します。
また、ショッピングモールサイトにおけるユーザーの購入履歴についても、例えば、購入履歴のデータベースにユーザーIDが記載されており、そのIDをユーザーの登録情報をまとめたデータベースに容易に照合することができて、それによって特定の個人を識別できるようなシステムとなっているならば、それは、通常の業務における一般的な方法で他の情報と容易に照合することができる状態であるといえるので、「個人情報」に該当することになります。仮にユーザーIDを置き換えることにより匿名化した形でデータベースを管理していたとしても、その置換ロジックをもとに容易に照合することができる場合には、同様に「個人情報」に該当します。1号の「他の情報と容易に照合することができ」るとは、事業の実態に即して個々の事例ごとに解釈されることになりますが、基本的には、通常の業務における一般的な方法で他の情報と容易に照合することができる状態をいうと解されているからです。
一方で、購入履歴と他の情報との照合に、例えば、通常の業務では行っていない他の事業者への特別な照会を要する場合など、照合が困難といえる場合は、容易に照合することができない状態であると解されるため、「個人情報」には該当しないということになります。

なお、2号の「個人識別符号」とは、当該情報単体から特定の個人を識別できるものとして個人情報の保護に関する法律施行令に定められた文字、番号、記号その他の符号のことをいいます(個人情報保護法2条2項)。具体的には、顔認識・指紋認識のデータやDNAの配列、運転免許証番号などです。

用語の注意

個人情報保護法には、前述した「個人情報」という用語の他にも、「個人情報データベース等」や「個人データ」、「個人保有データ」など、様々な用語が定義されており、それぞれ規制内容が異なるため注意が必要です。これからの解説にも関わることなので、ここで簡単に説明をしておきます。

まず、「個人情報データベース等」(個人情報保護法2条4項)とは、特定の個人情報を検索することができるように整理した個人情報を含む情報の集合物のことをいいます。
ショッピングモールサイトにおいて、ユーザーの購入履歴がユーザーIDないしは容易に特定の個人が識別できる状態で整理、保管されている電子ファイルがこれに当たります。
なお、「個人情報データベース等」を事業の用に供している者を、「個人情報取扱事業者」といいます(個人情報保護法5条)。
したがって、ユーザーの購入履歴がユーザーID又は容易に特定の個人が識別できる状態で整理、保管されている電子ファイルであるような場合、これを保有している企業は「個人情報取扱事業者」に該当します。

次に、「個人データ」(個人情報保護法2条6項)とは、個人情報データベース等を構成する個人情報のことをいいます。
上記電子ファイルに格納されている1つ1つのデータがこれに当たります。すなわち、ショッピングモールサイトにおけるユーザー1人1人の購入履歴は「個人データ」であるということになります。

そして、「保有個人データ」(個人情報保護法2条7項)とは、個人情報取扱事業者が、本人からの請求により、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全てに応じることができる権限を有する個人データのことをいいます。

「個人情報」・「個人データ」・「保有個人データ」の関係を図に表すと、以下のようになります。

大窪さん図形

個人データを第三者に提供する場合の規制

合併に伴う提供の場合

上述したとおり、ショッピングモールサイトにおけるユーザーの購入履歴は「個人データ」に当たる可能性が高いです。そして、Qの事例ように、ある企業が第三者である他の企業へ個人データを提供する場合について、個人情報保護法は、一定の制限を規定しています(個人情報保護法23条)。
まず、原則として、個人データを第三者へ提供する場合、事前に本人の同意(オプトイン)が必要となります(個人情報保護法23条1項)。
これは、個人情報取扱事業者が、個人データを第三者に提供することは、その後、当該個人データがどのように流通し、どのように使用されるかが不透明になり、本人の権利利益に重大な被害を及ぼすおそれがあることが理由です。

しかし、それが「合併その他の事由による事業の承継に伴って個人データが提供される場合」であれば、当該個人データの提供を受ける者は「第三者」に当たらないため、第三者提供の制限を受けることなく個人データの提供ができます(個人情報保護法23条5項2号)。
これは、個人データの提供先は個人情報取扱事業者とは別の主体として形式的には第三者に該当するものの、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱うことに合理性があるため、第三者に該当しないものと考えられたためです。
Qの事例は合併であるため、このケースに該当します。したがって、第三者提供の制限を受けることがなく、ユーザー本人の同意なしに購入履歴情報を移転することができます。

もっとも、事業の承継後も、個人データが当該事業承継により提供される前の利用目的の範囲内での利用に限られること(個人情報保護法16条2項)には注意が必要です。
また、事業承継の交渉段階で、相手会社から自社の調査を受け、自社の個人データを相手会社へ提供する場合も個人情報保護法23条5項2号に該当し、あらかじめ本人の同意を得ることなく、個人データを提供することができますが、当該データの利用目的及び取扱方法、漏えい等が発生した場合の措置、事業承継の交渉が不調となった場合の措置等、相手会社に安全管理措置を遵守させるために必要な契約を締結することが求められます。

なお、複数のビジネスを一つに統合するという、合併と本質的には同様の目的のためになされるM&Aの手法に、「経営統合」というものがあります。この「経営統合」には、明確な定義があるわけではないのですが、一般的に、経営統合を目指す会社同士が持株会社(ホールディングカンパニー)を設立し、その持株会社の子会社になることにより経営の統合を図ることを指します。
このような持株会社設立による経営統合は、合併とは異なり、事業承継があるとはいえず、個人情報保護法23条5項2号が適用されません。たとえ親子会社や兄弟会社の関係になろうとも、「第三者」の関係にあるとされ、個人データの提供には本人の同意を得ることや後述するオプトアウト方式などによることが必要になります。

その他の規制(補足)

個人データを第三者に提供するケースは、合併の場合に限られず、多くあります。そのため、以下では、第三者提供に関するその他の規制を補足しておきます。

「第三者」に該当しない場合

合併の場合と同様に、個人データの提供を受ける側がそもそも「第三者」に該当しないとされるものとして、「委託」と「共同利用」という類型があります。
「委託」(個人情報保護法23条5項1号)とは、管理する個人データを利用目的の達成のために必要な範囲内で他者に提供することをいいます。
購入履歴情報などの大量の個人データを利活用するために必要となる、データの編集・加工などの情報処理作業を、外部の事業者に委託する場合には、本人の同意なく個人データの提供が可能となります。

「共同利用」(個人情報保護法23条5項3号)とは、企業が取得した個人データを、特定の他企業との間で相互に交換し利用することをいいます。
取得した顧客情報を、顧客のニーズに合わせた商品やサービスの提供のために、グループ企業間で共有する場合などがあります。
ただし、共同利用のためには、以下の1~5の事項を「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いている」必要があります。

  1. 共同利用をする旨
  2. 共同して利用される個人データの項目
  3. 共同して利用する者の範囲
  4. 共同利用する者の利用目的
  5. 当該個人データの管理について責任を有する者の氏名又は名称

オプトアウト方式

個人データの第三者提供については、事前に本人の同意を得ることが原則であるということは前に説明しましたが、事前の本人の同意なく第三者提供ができる「オプトアウト」という方法があります。

オプトアウト方式とは、第三者に提供することを利用目的として取得した個人データについては、本人が第三者への提供を拒絶する意思を示した場合には提供を停止することとなっているならば、本人の同意を得なくても当該個人データを第三者に提供することができる方法のことです。
オプトアウト方式を行うためには、以下の1~5の事項を「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出」なければなりません(個人情報保護法23条2項)。

  1. 第三者への提供を利用目的とすること

  2. 第三者に提供される個人データの項目

  3. 第三者への提供の方法
  4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
  5. 本人の求めを受け付ける方法


ショッピングモールサイトにおけるユーザーの購入履歴も、第三者に提供することを利用目的として取得したものである場合には、上記の手続をとれば、オプトアウト方式による提供ができることとなります。

なお、個人情報保護委員会への届出については、個人情報保護委員会のホームページに書式などがあり、そちらも参考にすると便利です。

〇個人情報保護委員会「オプトアウトによる第三者提供の届出」

匿名加工情報

ある個人データを「ビッグデータ」として分析・利活用する際には、顧客の属性(年齢、性別など)が分かればよく、個人を識別する必要がないことも多いです。そのような場合に、個人データを「匿名加工情報」にして第三者に提供する方法があります。

「匿名加工情報」とは、個人情報を、個人情報の区分に応じて定められた措置を講じ、特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいいます(個人情報保護法2条9項)。
匿名加工された個人情報は、特定の個人を識別することのできない情報となるため、「個人情報」(個人情報保護法2条1項)の定義から外れ、いわば非「個人情報」となります。そうすると、当該情報は、個人情報保護法の規制を受けず、本人の同意なく利用したり第三者への提供をすることができるようになります。
これは、蓄積された個人データ、すなわち「ビッグデータ」をビジネスにおいて利活用するというニーズに応えた制度であり、ショッピングモールサイトにおけるユーザーの購入履歴も、ビッグデータとして利活用するために、匿名加工をすることにより、非「個人データ」として本人の同意なく第三者への提供ができるようになります。

どのような加工措置が必要となるのかの詳細は、個人情報保護委員会が策定したガイドラインを参考にするとよいでしょう。

〇個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」

本件の結論

ショッピングモールサイトにおけるユーザーの購入履歴も「個人データ」に該当することがあり、その場合には、第三者提供の制限を受けますが、合併に伴う情報の提供の場合には、提供を受ける側は「第三者」には該当せず、本人の同意なくして購入履歴情報の移転ができます。
もっとも、当該購入履歴情報は、合併前の利用目的の範囲内で利用しなければならないということには注意が必要です。

補足 データポータビリティ権について

これまで解説の本文で説明してきたことは、企業側の個人情報の取扱いに関するものでしたが、これとは反対に、本人が、特定のサービスに蓄積した個人データを他のサービスに移転することを求める「データポータビリティ権」が、昨今話題となっています。

これは、例えば、ショッピングモールサイトAのユーザーが、Aでの購入履歴情報などを他のショッピングモールサイトBに移転させたいと考え、データの移転をAに請求することができる権利です。これによりユーザーは、Aで蓄積したデータを異なるサービス主体であるBでも利用することができ、データをより有用に活用できます。

データポータビリティ権は、EU(欧州連合)が世界に先駆け、「EU一般データ保護規則」(General Data Protection Regulation : GDPR)において権利として定めました。その背景には、個人のパーソナルデータをコントロールするという権利は強化されるべきだという考え方や、新興企業や中小企業にとっては、デジタル・ジャイアンツに支配されたデータ市場にアクセスし、より多くの消費者を得ることを可能とするという目的があります。

これを受けて日本においても、平成29年11月に経済産業省と総務省により「データポータビリティに関する調査検討会」を開始し、医療、金融、電力等の分野でのデータポータビリティのあり方を検討しています。また、平成30年7月には、経済産業省、公正取引委員会および総務省による「デジタル・プラットフォーマーを巡る取引環境整備に関する検討会」が設置され、同検討会が、データポータビリティ権の必要性にも言及した「データの移転・開放等の在り方に関するオプション」を取りまとめるなど、立法化を検討しています。

仮に日本でもデータポータビリティ権が法律で認められた場合には、複数のサービス間で共通して利用可能なデータフォーマットの整備等が必要となるでしょう。そのため、データの管理者としては、一定の管理コストを負担することになるかもしれません。そのような事態に早期から備えるためにも、今後、日本におけるデータポータビリティ権の立法動向にも注意を払っておく必要があるでしょう。


関連記事

ショッピングモールの運営上の留意点1~利用者(消費者)との関係~

ショッピングモールの運営上の留意点2~出店者との関係~


直法律事務所では、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。

SaaS企業のお悩みは、
SaaS弁護士に相談して解決

プラットフォーム・クラウド・SaaSビジネスにおける法務のお悩みは、SaaSに強い弁護士に相談されると適切かつ迅速な解決が可能となります。大きなトラブルになる前に、少しでも気になる事は、お早めにSaaS弁護士にご相談ください。

クライアント企業一例