個人情報保護法により、「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。」とされています。楽天(以下「同社」といいます）は「購入者には事前に同意を得ていたので問題はない」とし、さらに「セキュリティーに関しては細心の注意を払っている」としています。

ところで、同社は2005年の個人情報漏えい事件を受けて、同社HPで以下のお知らせをしておりました。

店舗向け「楽天市場 カード決済代行あんしんサービス」等、新顧客情報管理体制の導入について

今まで楽天市場でご注文いただいた際に、お客様が入力された以下の個人情報がありました。

名前
住所
電話番号
メールアドレス
クレジットカード番号

名前、住所、電話番号は「商品の発送」に、メールアドレスは「注文後の連絡」に、クレジットカード番号は「決済」に必要でした。

しかしながら、個人情報の流出の可能性を出来る限り低減させるために「商品の配送」に必要のない個人情報（メールアドレスおよびクレジットカード番号）を各店舗に提供しないサービスに切り換えます。

これによると、顧客本人から同意されている第三者情報提供も、自発的に取りやめたかのように見られます。ところが、このお知らせには続きがあって、

新顧客情報管理体制（クレジットカード決済）に関する追加措置のご連絡

新顧客情報管理体制の導入に伴い、一部の楽天市場の店舗においてクレジットカード決済をご利用いただけないというご不便をおかけしている状況がございました。
こちらにつきましては、お客様の利便性を考慮し、一部の店舗にてクレジットカードでの決済処理方法に対し2006年2月まで以下のような暫定処置をとることをお知らせいたします。

株式公開企業またはそれに準じる会社（株式公開企業の子会社（100％またはそれに準じる会社）または、楽天株式会社において社会的信用力が株式公開企業に劣らないと判断した会社）のうち、個人情報の取り扱いにおける誓約書を提出の上、楽天株式会社の審査の結果、一定の基準を満たしていると判断された店舗についてはCSV形式でのクレジットカード情報のダウンロードを可能にします。

以上をまとめますと、
（１）個人の同意を得た第三者提供であること
（２）自主的に第三者提供しない宣言をしたが、例外的に提供するケースを残していた
（３）今回は、その例外の部分

ということになりますから、違法ではないし、お知らせ済みの範囲での情報提供ということにはなりそうです。

今回の騒動の原因は、顧客側の誤解による部分が大きそうですが、消費者を顧客とする事業の場合は信用が大事ですから、顧客への配慮がいま一つ足りなかったのではないかと考えられます。今後、個人情報取り扱いに関する問題はますます重要になってきますから、弁護士などの専門家とよくご相談する方が良いでしょう。