あなたの“個人情報”が、同意を得ぬまま第三者の手に渡る──?
大手クレジットカード会社の株式会社ジェーシービー(以下、JCB)が発行する『JCBカード』。同社が定める“JCB会員規約”の改定が物議を醸している。改定の実施は2月28日。
規約の“改悪”に怒りの声
事の発端は2月にJCBが行った利用者に向けた次のようなアナウンス。
《株式会社ジェーシービーがカード発行会社であるMyJCB利用者のEメールアドレスおよび電話番号を、広告を配信する事業者(広告事業者、メディア運営事業者、Webサイト運営事業者等)およびJCBカードの利用に関連する各種案内の配信事業を行うSNS事業者等(以下、併せて「提供先事業者」という。)の第三者へ提供します》
クレジットカード会社に登録した電話番号・メールアドレスといった個人情報が、第三者に提供される。この規約の“改悪”にSNSでは利用者を中心に批判や不安、怒りの声が上がった。
《JCBこちらが分かりにくいように、しれっと個人情報流す設定にされるの怖すぎる》
《個人情報を広告主に売るとかなんでそうなるの?》
《メアドと電話番号が、本人の気づかぬうちに、見知らぬ企業に渡っていくのは薄すら怖い》
《クレカ会社が個人顧客情報を第三者へ流すの規約へ入れるのは絶対ダメだろJCB》
《日本のクレジットカード会社だから、応援の為にも、次クレカ作ることあったらJCBにしようかと考えていたけど、これ見て微塵もそんな気が失せたわ》
このような声を受けてか、JCBは18日、『利用者規定改定のお知らせ』を“更新”。
《JCBでは、必要な情報をお客様へ適切にお届けするため、お客様情報をもとに、対象を限定した通知や広告を行う仕組みを導入します》
《2025年2月28日(金)以降、同意ボタン等の押下により、MyJCB利用者規定に同意された会員の方に関する以下の情報を、JCBが元の情報に復元できない加工(ハッシュ化)を行い、以下の利用目的のために広告事業者等へ提供します》
《提供を希望されない場合は、2025年2月28日(金)~同年3月31日(月)までにお手続きください。2025年4月1日(火)以降にお手続きをされた場合は、停止までに1ヵ月程度のお時間をいただくことがあります》
JCB利用者の声
今回の規約改訂についてJCB利用者は次のように話す。
「年齢に合わせた広告がSNSで出てくるということは、現代のネットの世界ではすでに珍しいことではないですが、あまり気分のいいものではないですよね。そもそもデフォルトで“提供する”となっており、望まない人は自身で拒否設定する必要があるというのがどうも……。正直面倒ですし」
提供される情報は復元できないように暗号化される。また、その提供先は《国際基準に準拠した情報管理体制を有することなど、一定のセキュリティ基準を満たす企業のみに限定》としている。現状、JCBが提示しているのは以下。
Google LCC(米国カリフォルニア州)
Microsoft Corporation(米国ワシントン州)
Meta Platforms, Inc(米国カリフォルニア州)
LINEヤフー株式会社(日本)
アマゾン ジャパン合同会社(日本)
株式会社NTTドコモ(日本)
株式会社D2C(日本)
株式会社AJA(日本)
株式会社AbemaTV(日本)
X Corp.(米国カリフォルニア州)
Criteo SA(フランス)
RTB house(ポーランド)
「おそらく今後、提供先は増えていくと思いますし、どこまで“一定のセキュリティ基準”が保たれるのか不安も多少あります。“暗号化したから安全”ということでもないでしょう」(前出・JCB利用者)
暗号化された個人情報ではないが、'24年5月に、国内暗号資産(仮想通貨)取引所『DMMビットコイン』で、480億円相当のビットコインの“不正流出”が発覚。警察庁が米国連邦捜査局(FBI)、米国国防省サイバー犯罪センター(DC3)と捜査・分析を行い、同年12月に北朝鮮系のサイバー攻撃グループの犯行と発表している。
JCBに今回の規約改訂について問い合わせると以下の回答があった。
「本件の背景についてご説明させていただきます。昨今のフィッシングメールの増加をうけ、多くのお客様よりメール以外の連絡手段の活用へのご要望を多数頂戴しており、実現に向けた検討の結果、今回の利用規約改定に至りました」(JCB広報部、以下同)
「お客様のメールアドレス、電話番号がそのままの状態で連携されることはありません(弊社が連携したハッシュ化情報をもちいてSNS事業者等がお客様に連絡することはできません)。また、SNS事業者等は、弊社から連携したお客様の情報を、弊社が依頼した目的以外で利用することはありません」
個人情報を第三者に提供する目的
個人情報を第三者に提供する目的については以下とのことだった。
「JCBカードをお持ちのお客様に対するカード入会案内等、不要な広告を表示しないようにすることが可能」
「フィッシングメールへの不安を回避するため、弊社が送信元であることが確認できるJCB公式SNSアカウントからのメッセージの受け取りが可能」
本件には否定的な声が上がっていることについては……。
「本件開始に向けて、お客様に2月5日(水)付でご案内メールを送信し、Web上でもお知らせを行いました。また、2月28日(金)からの拒否受付開始について、お客様に改めてご案内をいたします。本件については、SNS等でお客様から様々なご意見を頂戴していることは承知しております。それらのご意見も踏まえまして、さらなるお客様へのご案内や内容の改善を図ってまいります。
ご案内当初は停止まで最大1か月を見込んでおりましたが、お客様のお声も踏まえて1週間程度に短縮できるよう業務改善に努めております」
前出の利用者は、JCBの回答を受け、次のように話す。
「もちろん悪用されるとか、過剰に不安に思っているわけではないですが、《弊社が依頼した目的》というのは、《JCBカードをお持ちのお客様に対するカード入会案内等、不要な広告を表示しないようにすること》だけなんでしょうか。利用者の情報を、ある種“勝手に”第三者に渡しているのですから、利用者のためになる運用になることを願っています。そもそも個人情報から、その人向けに“最適化”された広告自体、別に必要ないという人も多いと思うのですが……」
あなたの個人情報も、今日もどこかでネットで流れているかもしれない。