「新しい東北新幹線の列車愛称募集」の入力フォームがJR東日本のドメインではない件

音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する(takagi-hiromitsu.jp)に関連してこんなコメントが。

http://www.jreast.co.jp/e5/kiyaku.html も https://qooker.jp/Q/ja/E5PC/form/ へ何の断りもなく誘導する。かつ「JR東日本が適切に管理し(略)第三者へ個人情報を提供・開示すること等は一切ありません」の文言あり。

はてなブックマーク - tach_ymn のブックマーク - 2010年3月21日(b.hatena.ne.jp)

確かに、qooker.jp(クッカー)のドメイン上にあるフォーム(qooker.jp)に入力した情報を、JR東日本が適切に管理(www.jreast.co.jp)しているかは疑問ですね。入力データはクッカー側に保管され、クッカーを運営している株式会社ソフトエイジェンシー(www.softagency.co.jp)が「管理」していると考えるのが自然かと。

というわけで、JR東日本の個人情報受付窓口に聞いてみました。

入力したデータは「qooker.jp」の方で保管されるのか。
(東日本旅客鉄道株式会社 個人情報受付窓口の回答、以下(東)と表記)はい。
ソフトエイジェンシーの社員がデータを閲覧する可能性はあるのか。
(東)ある。
データがソフトエイジェンシー側に保管されるのであれば、貴社の「個人情報の取扱いに関する基本方針」に反するのでは。
(東)法律上問題ない。(※詳細は後述)
利用者に説明なく別会社の運営するフォームに情報を入力させるのはどうか。
(東)お客様の意見として担当部署に伝えるが、サイトをすぐに修正するかどうかは分からない。

今回の件では、情報の流れは次のような感じになると推測されます。

  1. 利用者が「qooker.jp」上のフォームに、個人情報を含むデータを入力する。
  2. ソフトエイジェンシーが管理するサーバーに保管される。
  3. JR東日本が、ソフトエイジェンシーからデータを受け取り集計する。

3番目の行為について、応募要項(www.jreast.co.jp)からリンクされている個人情報の取扱いに関する基本方針(www.jreast.co.jp)に書かれている次の記述、

なお、当社は、業務の受委託に伴い、業務の受委託先に必要な範囲で当社が取得した個人情報を提供することがあります。

を例に、「最終的にJR東日本がソフトエイジェンシーから情報を受け取るものと思われるが、基本方針に書かれている利用目的とは情報の流れが逆であり、つまり今回の件に関してはこの基本方針を適用できないのではないか。」と聞いてみたところ、「(アンケートという)サービス全体として捉えていただきたい。個々のデータの流れの話は基本方針には適用されず、法律上問題ない。」と説明されました。正直よく理解できなかったのですが、話が平行線になってきたこともあり、とりあえずその件はスルー。

最後に要望として、入力フォームが別会社のものであり、データもJR東日本が保管するわけではないことの説明を明記してほしいと伝えたところ、反応が悪かったのでこんな例を出してみました。

  • Gumblar騒ぎに関するコンテンツ(www.jreast.co.jp)では、トレンドマイクロ社のサイトにリンクするにあたり、テキストで明示したり、別ウィンドウで開かせようとしたりして[1]別サイトであることを強調している。
  • しかし、今回のフォームは応募要項のページとデザインが共通しているなど、むしろ同一サイトと思わせたいように感じるが[2]、利用者としては納得できない。

すると、「その例えは分かりやすい」とすんなり納得してもらえたことが印象的でした。

脚注