ヤフーが打ち出したビッグデータ活用サービス「Yahoo!スコア」。ヤフーは6月3日、ユーザーの購買履歴や行動履歴から独自に算出した「信用スコア」を生成し、7月1日から外部企業への提供を行うと発表した。
ヤフーはスコア提供はユーザ本人から同意を得た場合で、本人の利益になる場合にしか提供しないと説明を行っている。しかし、デフォルトの設定で、スコア算出が行われ、それを止める方法が分かりづらいなど、多くの識者から問題点が指摘されている。
また、スコアを本人が確認できる仕組みのあり方や、他サービスとのID連携に対する同意がそのままスコア提供への同意となっていることなども懸念されている。Yahoo!スコアの問題点について、板倉陽一郎弁護士に聞いた。
●実証実験時の「同意の抱き合わせ」、問題があった可能性
ーーID連携がそのまま信用スコアの提供になる「同意の抱き合わせ」は適法なのでしょうか?
「ここで問題になっている『同意』は、個人情報保護法23条1項柱書における第三者提供にかかる『本人の同意』ですが、個人情報保護委員会は同意の法的性質について、『本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示』であると解しています(『個人情報の保護に関する法律についてのガイドライン(通則編)』(平成28年11月(平成29年3月一部改正))2-12)。
同意が本当に意思表示なのかについては議論が必要だと思いますが、ここでは個人情報保護委員会の解釈に従っておきましょう。
さて、意思表示の解釈方法については民法上、深遠な議論がありますが、通説的には、当事者の合意の意味を客観的に明らかにすることとされています。本件においても、客観的に見て、ID連携の際に、利用者が同意した『個人情報取扱事業者によって示された取扱方法』の中に、信用スコアの提供が含まれているかを検討することになります。
今回、『Yahoo!スコア』は、2019年7月1日から提供開始されるとリリースされていますが、実際は、『昨年10月より、パートナー企業とともにスコアを活用したパートナー企業のサービス利便性向上や課題解決、ユーザーに対する特典プログラムの実施等を図る実証実験を行って』来たとされており 、ID連携と同時に、信用スコアが提供されるということが行われていたようです。
その際の文言は、『各種指標 サービス利用状況等に応じた特典の付与のためのスコアを含む各種指標を提供します』というものであったとされています 。『各種指標』という文言で、これ以上説明がなかったとして、2019年7月1日以降一般ユーザーに導入するとされているような、
(1)本人確認『Yahoo! JAPAN IDにひもづく住所・氏名・電話番号・メールアドレスなどの情報の登録率、登録された電話番号およびメールアドレスの有効性、Yahoo! JAPANが提供するサービスにおける住所確認や本人確認の有無等』
(2)信用行動『ヤフオク!における取引実績や評価、ショッピングでのレビュー回数、知恵袋での活躍度、Yahoo! JAPANへの支払い滞納の有無および回数、利用規約・ガイドライン違反の有無および回数、宿泊・飲食店等の予約キャンセル率、キャンセル連絡有無などの行動実績等』
(3)消費行動『Yahoo! JAPANが提供するEコマースサービス、Yahoo!ウォレット、Yahoo! JAPANカードなどの利用金額等』
(4)Yahoo! JAPANサービス利用『Yahoo! JAPANが提供するサービスの利用頻度などの実績等』
といった多くのデータから作成される信用スコアを示すと考えるのは困難であって、実証実験段階での信用スコアの提供は、同意に含まれていなかったと解釈される余地があるといえるでしょう。
なお、現在では、各種報道や有識者の指摘を受けて、上記の文言部分は端的に『Yahoo!スコア』と記載され、説明へのリンク等も改善されているようです」
●EUは「同意の抱き合わせ」禁止だが、直ちに十分性認定に影響なし
ーーEUでは「同意の抱き合わせ」を禁止されていますが、今回の事例は今後、GDPRの十分性認定に影響を与える可能性はありますか?
「GDPR7条2項は、『別の事項とも関係する書面上の宣言の中でデータ主体の同意が与えられる場合、その同意の要求は、別の事項と明確に区別でき、理解しやすく容易にアクセスできる方法で、明確かつ平易な文言を用いて、表示されなければならない』としており、『そのような書面上の宣言中の本規則の違反行為を構成する部分は、いかなる部分についても拘束力がない』としますが、これは、契約や約款の中に個人データの処理に関する同意を紛れ込ませることを主として禁止しており、『同意の抱き合わせ』の禁止、といっても差し支えないルールです。
ヤフーは、実証実験段階でも、ID連携の中で、規約とは独立して同意を取ろうとはしていたので、これに反するというよりは、むしろ、『自由に与えられ、特定され、事前に説明を受けた上での、不明瞭ではない、データ主体の意思の表示』(GDPR4条11項)という、GDPR上の同意に該当しない、という方が問題になり得たものと思われます。
個別の事業者が、GDPRの基準からして適切でない同意を根拠に個人データの取扱いを行ったとしても、それだけで十分性認定に直ちに影響があるものとは思われませんが、長期、大量にそのような取扱いが行われているにもかかわらずデータ保護機関(個人情報保護委員会)が執行等を行わないとすれば、影響があることも考えられます。
もっとも、本件では、一般へのサービス前に記載を改めたようですから、そこまで心配することはないのではないでしょうか」
●提供先がオプトアウトでさらに提供したら、追跡は不可能に
ーー算出されたスコアによって様々なサービスから一部の人が排除されるバーチャルスラムが生まれる可能性があります。法的あるいは人権という観点から問題はありますか?
「GDPRは、『データ主体は、当該データ主体に関する法的効果を発生させる、又は、当該データ主体に対して同様の重大な影響を及ぼすプロファイリングを含むもっぱら自動化された取扱いに基づいた決定の対象とされない権利』を認めています(22条1項、「プロファイリングを含む個人に対する自動化された意思決定」)。
信用スコアの自動的な算出は、まさに『プロファイリングを含むもっぱら自動化された取扱い』であって、これによって差別的な取扱いを受けるべきではない、というのは欧州のデータ保護の考え方でも中核的なものです。
本件では、ヤフーからID連携先への提供は、ID連携時に確認でき、かつ、事後にも中止はできるようですが、提供先から更に信用スコアが提供されてしまわないかは、当該ID連携先のプライバシーポリシー等を見なければわかりません。
提供先がオプトアウトの届出をしていれば、無制限に第三者に提供することも可能です。ID連携時に提供される信用スコアは、更新されるのか、現時点では不明です。信用スコアが低いときに連携してしまい、これが更に第三者に提供されることで、様々なサービスの利用を拒否されるということになると、個人では回復不可能な損害を負うことになります。
オプトアウト先が更にオプトアウトで提供するとしたら、もはや、追跡は非現実的です。信用スコア事業を営むのであれば、最低限、提供先からオプトアウトでの提供は許すべきではありませんし、消費者としては、その旨が約束されていない信用スコアは、利用すべきではないと思います」
