CCCへ情報削除要求と退会手続要求はどうなった?(JIPDEC経由) 2016.01.12更新

 2015年2月初旬にカルチュア・コンビニエンス・クラブ株式会社が提示する各種届出書についてに従い、

  • 「『個人情報保護法に基づく請求』に用いる届出書 II」を用いた削除請求
  • 『規約に基づく請求』に用いる届出書 II を用いた退会請求

を普通郵便で送付した。これらの届出書の(6)項に次のような記述がある。

(6)ご回答までの所要期間
ご請求内容にもよりますが、届出書が当社に到着してからご回答まで、約1ヶ月のお時間をいただきます。
尚、ご回答までの期間が1ヶ月を超える事が想定される場合は、その旨をご連絡致します。その際は、各届出書の「ご連絡先」に記入いただいた「メールアドレス」宛にさせていただきます。「メールアドレス」のご記入がない場合は、ご記入の「電話番号」宛にさせていただきます。

 この記述から、上記の両届出書にメールアドレスを記載する襴はないので、次のタイミングのいずれかで電話連絡が来ることを期待するのは自明だ。

  • 請求内容が処理されたとき
  • 請求内容が処理され、届出書到着後1ヶ月が経過したとき
  • 請求内容が未処理だが、届出書到着後1ヶ月が経過したとき

 しかし、2015.03.12になっても何らの連絡がないので、まず居住地の消費生活センターへ電話相談をしたところ、個人情報保護法質問ダイヤル(03-3507-9160)へ相談せよと指示された。次にこの個人情報保護法質問ダイヤルに架電したところ、次の手順を案内された。
1. 企業に申し立てる
2. 消費生活センターへ申し立て
3. 経産省消費者相談室 03-3501-4657 へ通報

 そもそも上記の状況であるのだから1.項を行う意味はない。さらに2.項はすでに行って個人情報保護法質問ダイヤルへと回されているのだからこれも意味がない。残るは3.項だが、その前に同社は私たちが大切にしていることの最終段落で「プライバシーマークの認証を受け」ていることを明言しているので、プライバシーマークの認証統括団体の一般財団法人日本情報経済社会推進協会(以下、JIPDECという)へ架電し、氏名、Tポイント会員番号、そして電話番号のみを通知して相談した。

 相談の結果、JIPDECの相談員さんいわく、「同社を直接認証したのは日本情報システムユーザー協会(以下、JUASという)であるので、JIPDECからJUASに書面で状況確認を行い、2週間ほどで報告する。」との回答をいただいた。

 JIPDECからの回答を待っていたところ、同社の個人情報管理責任者名での報告書がJUASに到着し、さらにJUASから同報告書がJIPDECに到着したとのことで、2015.03.23に次のような連絡があった。なお、同社からの報告書の写しをいただけないかと相談したところ、出せないとの回答だった。
a. 申請書および本人確認書類に不備はなく、個人情報は2015.02.03に削除済みである。
b, 個人情報を削除したために使用できず、連絡しなかった。
c. JIPDECにて届出書に連絡するとした文面の存在を確認していたので質したところ、誤解を招くので見直すとの回答があったが、見直し期限が明記されていなかったので、再度見直し期限について書面で回答を要求し、確認する。

 さて、連絡を受けたときには気付けなかったのだが、この記事を書いていてとても不可解な疑問がわいた。上記B項にて同社が「個人情報を削除したために使用できず、連絡しなかった。」と主張するほどなのだから、同社にはわたしの情報は一切残っていないために回答不能になると思われるのに、JUASからの問い合わせに回答できたのはなぜだろう?

 回答できたのであるからわたしの個人情報を持っていなければならない。少なくとも個人情報の保護に関する法律に従って削除請求しているので、同社保有のデータベースからわたしの個人情報は削除されていなければならない。では、届出書に基づいて回答したのだろうか?

 しかし、届出書の説明の(3)項に次のような記載がある。

尚、ご提出いただいた、届出書、本人確認書類はご本人確認に利用し、お問い合わせ対応後、 速やかに廃棄いたします。

 ここでいう「速やかに」とはどのくらい「速やか」なのだろうか?

 少なくとも対応後1ヶ月以上は「速やか」の範囲内であり、保管していることが明白となった。だが、「問い合わせ対応後、即時に廃棄」してしまったら、今回のような問い合わせに対応できなくなるので、問い合わせに対応する目的で保管するのは必要だろう。しかし、「速やか」というもわっとした表現ではなく、「申請の処理状況の問い合わせに対応するために提出していただいた申請書は*年間保管します」と記載する必要があるのではないか?

 このような運用と申請書への説明ぶりをみるに、本当は同社保有のデータベースからわたしの情報が削除されておらず、削除申請を出してくるプライバシーフリーク(定義:ヤフージャパン執行役員社長室長別所直哉)という属性を付加して運用を継続されているのではないのかと疑念を抱かずにはいられない。

— 以下 2016.01.12 追記 —-

 抱いていた疑念がその通りであることが2016.01.12に証明されたので以下に追記を行う。

 まず、追記前の状況は、2015.02.03にカルチュア・コンビニエンス・クラブ株式会社はわたしの個人情報をわたしに連絡できないほどに削除したとJUAS経由でJIPDECへ報告している。ただし、JIPDECを介したJUASからの問い合わせにわたしを特定して回答できたという不整合がある。

 この状況で、2016.01.12 0714時にmytc@tsite.jpを発信元とし、Tポイントカード申込時に記載したわたしのメールアドレス宛に

【需要】「保有Tポイントのお知らせ」サービス開始につきまして

と題する次の画像のメールが着弾した。(原本のはPDFはこちら)

img

 もしかしたら、このメールが発信元を偽装した何らかのものであることも可能性としてはあるので、次にわたしのメールアドレスに到達する部分を日本語で置換したメールのヘッダの全文を示す。

Original-Recipient:rfc822;わたしのメールアドレス
Return-Path:<bounce-aakVqR3Mkoit1A@mag-mlsrv-mr04.tsite.jp>
X-Proofpoint-Virus-Version:vendor=fsecure engine=2.50.10432:,, definitions=2016-01-11_13:,, signatures=0
Mime-Version:1.0
X-Icloud-Spam-Score:33002220 f=tsite.jp;e=mag-mlsrv-mr04.tsite.jp;is=yes;ir=no;pp=ham;spf=pass;dkim=?;dmarc=?;wl=absent;pwl=absent;clxs=spam;clxl=absent
X-Mantsh:1TEIXWV4bG1oaGkdHB0tNT0ReQ0QYHhoZEQpMQxcbHQQbHRgEEhkEGxIQGx4aHxo RCkxZFwcSGhEKWU0XbVhPUxEKWUkXGnEaEBp3BgccGnEYHB0QGxofHncGBxgaBhoRClleF2hue REKQ04XH3odG0sYbBhBcFpESUxLHlBdAU5YXHtSXRhYWmxgGH8RClhcFxkEGgQYHwdNEx9LEk4 SEwUbHQQbHRgEEhkEGxIQGx4aHxoRCl5ZF2RTSV9BEQpNXBcZExsRCkxaF25CekJBTREKTU4Xa BEKQ1oXHxMEGxocBBwYBBgbHxEKQl4XGxEKQkUXYEkfYWtkYR18WW0RCkJOF2hnHnkfHX5IXRN aEQpCTBdgYn5EYntCRkVaBREKQmwXZXN+XWBMH2NgWwERCkJAF2x6RlxpU25tZ2FZEQpCWBdgS WRnaFhyUFlkSxEKQngXZU5CHkF5c3obQh4RCnBoF3pkW2RuTUcdcBNaEAcbEhEKcGgXYkdvSF5 HYV1JWWgQBxsSEQpwaBdoYXpFSRJlcB14chAHGxIRCnBoF2NFb3tAXE1eGWZBEAcbEhEKcGgXY WtnG2VoUG8YUEcQBxsSEQpwfxdsYWNAR0tvc15/GhAbBB0RCnBfF2xBbl9pc3t5aAFCEAcbEhE KcH0XY1gYUxhCZW0TekgQBxsSEQpwfRdlWVBzHG1PRhJrRRAHGxIRCnB9F2hDaBp6RXxDRBpsE AcbEhEKcH0XYRkdZlBNEmwcWH8QBxsSEQpwfxdkf1NsYW5OcGxCZhAHGRoRCnBfF2MbaHgYZmI ab2dpEAcbEhEKcH0XaEFnUhxbellzfmsQBxsSEQpwfRdtZl95RFofYGBTZhAHGxIRCnBfF2JMa H57fhpGUEFhEAcbEhEKcH0XaEZbBXBvZ19zRnoQGhEKcH0XZEF7TExQSWsTen0QBxsSEQpwfRd lWVBzHG1PRhJrRRAHGxIRCnB9F2cZcF5rSE
Authentication-Results:わたしのメールアドレスのSMTPサーバ; spf=pass (わたしのメールアドレスのSMTPサーバ: domain of bounce-aakVqR3Mkoit1A@mag-mlsrv-mr04.tsite.jp designates 59.106.62.215 as permitted sender) smtp.mailfrom=bounce-aakVqR3Mkoit1A@mag-mlsrv-mr04.tsite.jp;
Authentication-Results:わたしのメールアドレスのSMTPサーバ; dkim=none reason="no signature"; dkim-adsp=none
X-Proofpoint-Spam-Details:rule=notspam policy=default score=0 spamscore=0 clxscore=-80 suspectscore=20 malwarescore=0 phishscore=0 adultscore=0 bulkscore=100 classifier=spam adjust=0 reason=mlx scancount=1 engine=8.0.1-1510270003 definitions=main-1601110392
X-Priority:3
X-Clx-Score:-80
X-Mailer:Cuenote MR 1.2.17
Errors-To:bounce-aakVqR3Mkoit1A@mag-mlsrv-mr04.tsite.jp
Message-Id:<0.1452477622.32432.10186040.gungnir@1407-023>
X-Clx-Shades:Grey
X-Clx-Unspecialscore:-80
X-Clx-Spam:true
Content-Type:multipart/alternative; boundary=1452.477622.839652
X-Dmarc-Info:pass=?; dmarc-policy=(noPolicy); s=; d=
Received-Spf:pass (わたしのメールアドレスのSMTPサーバ: domain of bounce-aakVqR3Mkoit1A@mag-mlsrv-mr04.tsite.jp designates 59.106.62.215 as permitted sender) receiver=わたしのメールアドレスのSMTPサーバ; client-ip=59.106.62.215; helo=mag-mlsrv-mr04.tsite.jp; envelope-from=bounce-aakVqR3Mkoit1A@mag-mlsrv-mr04.tsite.jp;
Received:from わたしのメールアドレスのSMTPサーバ ([わたしのメールアドレスのSMTPサーバのIPアドレス]) by わたしのメールサーバ (Oracle Communications Messaging Server 7.0.5.36.0 64bit (built Sep  8 2015)) with ESMTP id <わたしのメールアドレスの内部値> for わたしのメールサーバ; Mon, 11 Jan 2016 22:04:58 +0000 (GMT)
Received:from mag-mlsrv-mr04.tsite.jp (mag-mlsrv-mr04-as.tsite.jp [59.106.62.215]) by わたしのメールアドレスのSMTPサーバ (Oracle Communications Messaging Server 7.0.5.36.0 64bit (built Sep  8 2015)) with ESMTP id <わたしのメールアドレスの内部値> for battlehawk1964@mac.com (ORCPT わたしのメールアドレス); Mon, 11 Jan 2016 22:04:58 +0000 (GMT)
Received:(smtpmc job:2666); Tue, 12 Jan 2016 07:04:55 +0900
【重要】「保有Tポイントのお知らせ」サービス開始につきまして

 つまり、カルチュア・コンビニエンス・クラブ株式会社は個人情報保護法に基づいて保有するわたしの個人情報の削除をしたはずが、メールを送信できる程度にいまだ保有していることが明白となっただけではなく、次の問題を含む。
– カルチュア・コンビニエンス・クラブ株式会社による、JUASおよびJIPDECへの報告書の不実記載というPマーク制度僭脱
– JUASとJIPDECによるカルチュア・コンビニエンス・クラブ株式会社の虚偽報告を見逃しというPマーク制度の機能不全

 そして、追記前の状況後には、個人情報保護法が改正されるとともに、海老名市立ツタヤ館で問題となり「News & Trend – なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか(前編):ITpro」でも取り上げられたように、カルチュア・コンビニエンス・クラブ株式会社はプライバシーマーク制度から2015.11.17付けでの離脱したという事案もある。

 追記に到るまでの間に多様なことが発生しているので、次に時系列でできごとを整理する。ちなみに、改正個人情報保護法は施行されておらず、個人情報の削除を要求したときと同じ法律が今も有効であることをこれを整理中に認識したのは内緒だ。
– 2003.05.23 個人情報保護法成立
– 2005.04.01 個人情報保護法施行
– 2015.02.上 個人情報保護法に基づきカルチュア・コンビニエンス・クラブ株式会社へ個人情報の削除を要求する。
– 2015.02.03 カルチュア・コンビニエンス・クラブ株式会社がわたしの個人情報の削除実行を主張(JUASおよびJIPDEC報告より)
– 2015.08.28 改正個人情報保護法成立(未施行)
– 2015.11.17 カルチュア・コンビニエンス・クラブ株式会社がプライバシーマーク制度から離脱する。
– 2016.01.01 改正個人情報保護法に基づき個人情報保護委員会が発足する。
– 2016.01.12 カルチュア・コンビニエンス・クラブ株式会社からメールが着弾する。

 これらの状況を勘案すると、次のようにわたしはどこにまたは全てに駆け込めばいいのか分からなくなった。
– カルチュア・コンビニエンス・クラブ株式会社による個人情報保護法に基づく個人情報の削除不履行という違法行為については、同社がプライバシーマーク制度を離脱しているために、当初問い合わせたJUASおよびJIPDECへ再問い合わせをしても効力を持ち得ないだろうことから、主務大臣の機関への問い合わせになると考えるが、経済産業省、総務省、または消費者庁のうち主務大臣はどれなのか?
– カルチュア・コンビニエンス・クラブ株式会社による個人情報保護法に基づく個人情報の削除をしたとする報告は詐称であるので、詐欺として警察に告訴または告発すべきなのか?
– JUASおよびJIPDECによるカルチュア・コンビニエンス・クラブ株式会社の虚偽報告の見逃しについては、同社がすでにプライバシーマーク制度から離脱しているために泣き寝入りせざるを得ないのか?

 

 なぁ、カルチュア・コンビニエンス・クラブ株式会社さん、お前はどれだけ情報主体である個人と法を馬鹿にした事業を営み続けるのだ?

広告
CCCへ情報削除要求と退会手続要求はどうなった?(JIPDEC経由) 2016.01.12更新