7/18/2013

[biz law] JR東がSuica利用個人データを無断で外販

JR東がSuicaの利用データを利用客に無断で販売開始して、国交省からお叱りを受けつつ事情聴取中なんだそうで。

当該データは住所氏名が伏せられてはいるものの、年齢性別と紐付けられた個々人の生の乗降データの形式を取っているとか。これは単独では個人情報ではありませんが、他の情報と照らし合わせれば個々人との対応付けもある程度可能な状態と言えるわけですからアウトの可能性が高く思われます。国交省が問題視するのも当然でしょう。いけません。

そもそも、通常この種のサービス利用データは個人のプライバシーに属する情報であって、原則として商業利用は許されません。その極めて高いリスクを承知で利用しようとする場合には、最低限個々人の許諾を得た上で内部での取扱いにも当然慎重に慎重を期すべきだし、さらに外部に出す際には、万が一にも個人のプライバシー等を侵害しないよう、個人性が完全に除去された統計データの形式とするのが常識であるところ、その辺りの配慮を殆ど全くしてもいない点には愕然とさせられます。

おそらくはJR東にはそういう処理を自前で行う能力がないから日立に生データを売って後の処理は任せる形にしたんでしょうけど、自前で扱えないならなおさら外に出すべきではないわけで。しかもユーザに隠して勝手に売渡すとか全く理解出来ません。発覚すれば世間の袋叩きに遭って有形無形の損害を被るだろう事は容易に想像が付く筈なんですけれども。もっともそういうヤバさをある程度は理解していたからこそ非公表でやったのかもしれませんけど、しかしそれにしてもなぜにそう軽々しく人権侵害の領域に踏み込んでしまうんでしょう。これからはビッグデータですよ、名前を伏せれば個人情報じゃないですよ、とかそういう日立の口車に乗せられたとかそんな話なんでしょうか。いずれにせよ愚かにも程があろうというものです。JR東も日立も、法務は何をやってたんでしょう。

ちょっと前には富士通もビッグデータの市場を開くとか無茶苦茶な事言ってましたし、日立に限らず日本のITサービス業界全体がそんな感じなのかもしれませんけど。皆どうしてそんな考えなしなんでしょうね。困ったものです。

Suica履歴、販売していた…乗客に説明せず

----追記

激しい非難抗議を受けて一旦データの販売を停止、破棄したものの、2ヶ月後に再開予定、それもオプトアウトすなわち拒否の意思表示をした顧客データのみ除外して販売するつもりだとか。

反省してませんねえ。事前の告知説明とその上での個々の顧客の了解を取らなかった事が問題なのであって、オプトインすなわち事前に了解した顧客のデータのみ販売するようにしなければ誰も納得しないだろう事は明白なのに何を考えてるんでしょうか。いやそうすると手間はかかるし多分に大半の了解を取れずに販売出来なくなるからなんでしょうが、それはそもそも販売するなって話で、論外と言わざるを得ません。当然ながらこれで収まる筈はなく、このまま強行すれば訴訟が起こるだろう可能性も相当に高く思われるわけですが、本当に困ったものです。

あと、拒否の意思表示をするにしてもメールもしくは電話、それもその方法、アドレスや電話番号はJRのHPから記事を辿った先にあるPDFファイルの文書のしかも最後にこっそり記載されているだけとか、こんなもの告知したとは全く言えないどころか隠しているに等しいわけで、ふざけるにも程があるというものです。何様のつもりでしょうか。

本文です スイカ履歴販売「説明欠けていた」JR東陳謝