JR東日本が7月1日より、IC乗車券「Suica」の利用履歴を販売していることが、新聞やテレビに取り上げられ、ネットでも話題になっている。

JR東日本のICカード「Suica」

　データを販売した相手は日立製作所。いわゆる“ビッグデータ”として、同社ではSuicaのデータを駅エリアのマーケティングに活用していく狙いだ。日立製作所から6月27日にプレスリリースが出ており（参照リンク）、ITmediaでも「日立、Suicaビッグデータから駅利用状況を分析するサービス」として記事を掲載している。

　今回JR東日本は、Suicaのデータを販売することを、事前に利用者に対して説明していない。そのため「個人情報を無断で販売するとは」と問題視する声が多く上がっている。

　販売されたデータはどのような内容なのか。また、事前に利用者に対しての説明を行わなかったことに対してJR東日本はどのように考えているのか、取材した。

対象になるのは記名、無記名、モバイルSuicaすべて

　今回販売したのは、私鉄を含む首都圏約1800駅で、Suicaを利用して鉄道を乗り降りした履歴データ。JR東日本は、累積で約4300万件のSuicaを発行しているが、Suica定期券、My Suica（記名式）、Suicaカード（無記名）、モバイルSuicaすべての乗降履歴が対象だという。

　Suicaで鉄道に乗降した駅名と日時の履歴のだけでなく、記名式のSuicaやモバイルSuicaの場合は、年齢、性別も販売データに含まれる。一方、電子マネーとして利用した履歴や、利用者の氏名、電話番号はデータに含まれていない。

　Suicaには固有のIDがあるが、今回はSuicaのIDをそのまま渡すのではなく、異なるIDを振り直したと説明。そのIDごとに、乗車履歴年齢、性別のデータが分かる状態のデータを販売しているという。たとえば「No.0001：20歳の女性、7月7日10時10分にA駅で乗車、7月7日11時10分にB駅で下車、7月8日8時0分にC駅で乗車……」といった形のデータにまとまっているわけだ。

　「SuicaのIDにはひも付いていないから、個人が特定できるようにはなっていない。つまり、個人を特定できないので、（販売しているデータは）個人情報に当たらない」（広報部）

「事前に許可を取らなかったのは、個人情報ではないから」

　JR東日本では個人情報の取扱いに関する基本方針を定めており（参照リンク）、そこには下記のように記されている。

2．お客さま及び株主さまから取得した個人情報の第三者提供

　当社は、「1．お客さま及び株主さまから取得した個人情報の利用目的」に記載した目的及び次のいずれかに該当する場合を除き、お客さま及び株主さまから取得した個人情報を、あらかじめお客さま及び株主さまの同意を得ることなく、第三者に提供しません。

(1)法令に基づく場合

(2)人の生命、身体又は財産の保護のために必要がある場合であって、お客さま及び株主さま本人の同意を得ることが困難であるとき

(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、お客さま及び株主さま本人の同意を得ることが困難であるとき

(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、お客さま及び株主さま本人の同意を得ることにより当該事務の遂行に支障を及ぼす恐れがあるとき

　JR東日本としては、個人情報を第三者に販売する場合は事前に利用者や株主に許可を取らなくてはならないが、今回販売したデータは個人情報ではないので、あらかじめ許可を取る必要はなかった、という見解のようだ。

Copyright© 2013 ITmedia, Inc. All Rights Reserved.