■協会が取得する項目にパスワードまで含まれる
大阪万博(正式名称は2025年日本国際博覧会であり、運営法人は「公益社団法人2025年日本国際博覧会協会」、以下、「協会」という)におけるチケット販売が問題になっている。火種は、個人情報の取り扱いについて定める個人情報保護方針である。協会が、顔画像や指紋を取得して第三者に無断で提供するようなセンセーショナルな表題の記事も登場(※1)し、国民の不安が増大している。筆者はすでにインタビュー形式の解説記事にも対応(※2)しているが、ここでは、大阪万博のチケット購入における個人情報の取り扱いは何が問題なのか、個人情報の保護に関する法律(平成15年法律第57号、以下、「個人情報保護法」という)の関連条項を解説しつつ説明する。
【図表】万博チケットの購入には様々な個人情報の「提供の同意」が必要
協会が批判されていることの一つは、個人情報保護方針(以下、「万博PP」という)において、幅広い情報項目を、多様な利用目的で用い、しかも、第三者に提供する、としていることである。
まず、協会が取得しようとしている個人情報の項目には、万博PP1.(1)「当協会が取得する個人情報」によると、氏名/住所等のユーザーの基本情報、クレジットカード等の支払い決済に関する情報、位置情報、顔画像等の生体情報、後に議論される医療に関する情報(障がい者認定の有無等)、アカウントやパスワードを含むSNSに関する情報、ユーザーの属性等の入力情報、IPアドレス等の、ユーザーの端末等から取得する情報が含まれる。
なるほど、クレジットカード番号等や、「医療に関する情報(障がい者認定の有無等)」、SNSの「パスワード」まで記載され、幅広い情報が含まれている。ちなみに、個人情報保護法では、個人情報の取得には原則として同意は不要であるが、要配慮個人情報(2条3項)については取得に同意が必要であり(20条2項)、「医療に関する情報(障がい者認定の有無等)」は要配慮個人情報に該当する(法2条3項「病歴」、個人情報保護法施行令2条1号〜3号、個人情報保護法施行規則5条)。
これらの情報の利用目的について、万博PP1.(2)「取得した個人情報の利用目的」では、様々な利用目的が掲げられている。ユーザー認証、本人確認、ボランティアへの応募選考・登録、サービスのフィードバック依頼、行動ターゲティング広告などは特に疑問もなくみることができるが、「『2.個人情報の第三者への提供』に定める第三者提供を行うため」が含まれ、「2.(2)」で定められている第三者提供先は、以下の通りとなっている。
(1)政府(博覧会に関係する規制当局、外国政府や地方自治体を含みます。)、博覧会国際事務局(BIE)、博覧会への協賛企業、パビリオン出展者等の博覧会の関係者
(2)SNS事業者、広告関係会社、広告配信事業者、データ分析事業者、DMP事業者、媒体社その他当協会が業務を提携する事業者
これらを組み合わせて読めば、協会は、クレジットカード番号や、障がい者認定の有無等、SNSのパスワードについて、どの外国かもわからぬ外国政府や、具体的に誰であるかもわからない「その他当協会が業務を提携する事業者」に提供することになる。
