MENU
中国ビジネスの「今」が分かる、中国ビジネス特化型メディア「中国ビジネスCOMPASS」
  1. ホーム
  2. 中国ビジネス
  3. スターバックス中国などにおける個人情報の過度な収集に対する当局対応と是正すべきポイント

スターバックス中国などにおける個人情報の過度な収集に対する当局対応と是正すべきポイント

中国ビジネス

2023年6月21日、上海市インターネット情報弁公室と上海市市場監督局の担当官は、スターバックスとその他2社の飲食チェーンへの立入検査を実施した。

2023年2月にスターバックスが発表した長期戦略によると、中国国内の店舗数を2025年までに現状の6000店舗からさらに3000店舗新規出店して、300都市9000店舗まで拡大するという。このような大規模出店計画発表の直後に起こった個人情報保護に関する当局の規制には、一体どのような背景があるのだろうか。

上海で2020年筆者撮影(世界最大のスターバックス店舗とされるスターバックス・リザーブ・ロースタリー)

「亮剣普江‐消費領域個人情報保護執行行動」。これは2023年6月16日から上海市インターネット情報弁公室と市場監督局、商務委員会、通信管理局などの市政府部門が連携して実施していた個人情報保護執行活動である。

2023年6月19日午後、上海市インターネット情報弁公室と市場監督局は徐匯、黄浦地区のインターネット情報弁公室と共同で、スターバックスを含む3社から事情聴取を実施した。当局側は3社に対し、特に個人情報の過剰な収集活動について全面的に是正し、個人情報保護義務を履行し、消費者の合法的権益を守るよう求めたという。翌6月20日、3社から正式な回答があり、個人情報の過度な収集について調査・是正を実施すると表明した。

個人情報の過度な収集について、具体的にはアプリ上でユーザーの携帯電話番号を要求し、さらにユーザーの位置情報の提供、会員情報勧誘のポップアップを頻繁に行ったことが問題になったようである。法的な観点で言えば、「個人情報保護法」「アプリ違法違規収集使用個人情報行為認定方法」などの違反により、事情聴取がなされた模様である。現在、スターバックス以外の2社は初期改善をすでに実施済みで、スターバックスのアプリは調整を実施している。上海市当局は引き続き企業に対してフォローアップを実施し、個人情報保護を遵守するよう指導を続けていく予定だ。

上海市インターネット情報弁公室は特に飲食業界における以下のような注文アプリについて、個人情報の違法・非合法的な収集と使用の疑いがあると改めて指摘しており、企業に意識的に是正するよう求めている。

  1. ユーザーが初めてミニプログラムを使うためにQRコードを読み取ったとき、ユーザーは店舗からポップアップなどの明らかな方式でプライバシーポリシーの注意喚起を受けなかった。
  2. 店舗側でサービス契約やプライバシーポリシーに「同意する」/「拒否する」の選択肢を設定せず、ユーザーにデフォルトで個人情報を提供させた。
  3. ユーザーが注文サービスを利用する際に、店舗がユーザーのセンシティブな個人情報を受信していた(氏名、生年月日、性別、住所、身分証番号、銀行口座番号など)
  4. QRコードをスキャンして注文する際、ニックネームやアバターなどの「WeChatログイン」、携帯電話番号による「ワンクリックログイン」などが表示され、ユーザーが注文する際に改めて携帯電話番号を求められたりするが、上記を1つでも拒否すると注文をすることができない。
  5. QRコードをスキャンして注文する際、店舗側では近隣店舗を選択させるなどして、正確な位置情報を求めてくるが、これを拒否すると注文することができない。
  6. QRコードをスキャンして注文する際、店舗側がポップアップウィンドウで位置情報共有許可を出し、これを拒否すると注文をすることができない。
  7. 会員割引クーポンを提供する目的で、店舗側はユーザーに正確な位置情報、携帯電話番号などの個人情報の共有を誘導し、さらにWeChat企業アカウントへの登録誘導を行い、ユーザーが拒否した場合でもポップアップが繰り返し表示されることでユーザーの正常な利用に影響が出ている。
  8. ユーザーの同意無く、匿名化処理も施さない状態で、ユーザーの個人情報を第三者に提供し、ユーザーがターゲティング広告やプッシュ広告を受け取るようにする。

スターバックスの注文アプリでは、ユーザーはコーヒーを注文する際、会員登録を促すポップアップが少なくとも3回、位置情報を求めるポップアップが2回表示される。またWagasのアプリでは、位置情報へのアクセスを求めるポップアップが表示されるが、認証が行われない限り、誤動作のようにページがロードを繰り返し行う仕様となっている。

スターバックスのアプリ画面(筆者撮影)

「個人情報保護法」によれば、ユーザーは企業から個人情報の提供を求められた際に拒否することが認められている。もし拒否をしてアプリ本来の機能を使うことができない場合、これは強制的な個人情報の収集にほかならない。ユーザーが明らかに提供を拒否しているにも関わらずアプリが頻繁に個人情報の提供を要求する場合、これは個人情報の必要最低限度の原則違反となる。

今回は飲食店の注文アプリによる個人情報の過度な収集が問題となっているが、今後中国国内における個人情報保護に対する権利意識の高まりを受け、特に個人情報を扱うアプリを展開している企業にとっては早急な対応が求められるだろう。

クララコンサルティング事業部では各種中国サイバーセキュリティ法対策、中国個人情報対応に関するご相談を随時お受けしております。

中国ビジネス
個人情報 飲食・食品
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

クララ株式会社 コンサルティング事業部 クララ株式会社 コンサルティング事業部

中国ビジネスをワンストップでご支援しています。クララは20年以上にわたり日本と中国の間のビジネスを牽引している会社で、日中両国の実務経験と中国弁護士資格を有するコンサルタントの視点・知見・ネットワーク・実行力を生かして、お客様の課題解決と企業成長を強力に支援しています。

Webサイトはこちら
>>日本企業の「中国事業支援」で実績20年以上 | クララ

関連記事

目次