すべての記事

ドコモとゆうちょ銀行が導入するプライバシーテック・スイート「webtru」〜改正個人情報保護法施行前にまずすべきこと〜

ホーム » ドコモとゆうちょ銀行が導入するプライバシーテック・スイート「webtru」〜改正個人情報保護法施行前にまずすべきこと〜

個人情報に対する規制強化は世界的な潮流です。2022年に施行される改正個人情報保護法では、Cookieや位置情報、行動履歴も「個人関連情報」として規制の対象になります。

現在これらのデータを事業に活用している企業が、今後もデータ利用を続けるにはまず何をすべきか。Webサイトやアプリでのユーザーが意図しないデータ取得に対する問題提起活動も行う株式会社DataSignの代表取締役社長の太田祐一氏が、法改正後の適正な個人データ利活用に必要なことを解説しました。

※本記事はトレジャーデータ株式会社が主催した「PLAZMA After 3rd Party Cookie〜Cookie規制後のデータ活用とマーケティング 〜」(2021年5月開催)のセッション「ドコモとゆうちょ銀行が導入するプライバシーテック・スイート『webtru(ウェブトゥルー)』〜改正個人情報保護法施行前にまずすべきこと〜」をもとに編集しました。

太田 祐一

太田 祐一 氏

株式会社DataSign

代表取締役社長

データ活用の透明性確保と個人を中心とした公正なデータ流通を実現するため、DataSignを設立。DataSignが開発する「paspit」は初となる情報銀行の通常認定を受ける。 この他、一般社団法人MyDataJapan 常務理事、内閣官房 デジタル市場競争本部 Trusted Web推進協議会委員、総務省情報信託機能の認定スキームの在り方に関する検討会委員、一般財団法人情報法制研究所研究員等を務める。

PLAZMA会員になると、動画をご覧いただけます。

今すぐ会員登録(無料)・ログイン

<目次>

個人情報に対する規制強化の概要

世界的に個人情報に対する規制の強化が進んでいます。ヨーロッパで施行されているGDPR、アメリカカリフォルニア州のCCPA(California Consumer Privacy ACT)をはじめ、インドのPDPB、ブラジルのLGPDなど各国で規制が強化されています。日本でも個人情報保護法が規制強化の方向で改正され、2022年に施行される予定です。個人情報保護法の改正に関しては後ほど詳しく説明します。

個人情報に対する規制強化

世界的な規制強化に呼応するように、プラットフォーマーもプライバシーに関する対応を強化しています。

Apple社が提供するブラウザSafariではITP(インテリジェントトラッキング防止機能)によってCookieが制限され、プライバシーレポートでトラッキング状況を可視化しています。

Googleが提供するブラウザGoogle Chromeでは、2022年の1月にサードパーティCookieのサポートを終了する予定とアナウンスされています。(※ 2023年末に延期)  それに伴いプライバシーサンドボックスなどによる新しい広告手法が提案されており、その対応も必要になると考えられます。

iOSアプリではIDFA(広告識別子)を取得するのにユーザーの同意が必須になりました。また2021年の4月の後半から、アプリでどのような情報をどのように収集してどのように使っているかを、アプリストアがAppプライバシーとして公開することが義務化されました。

プラットフォーマーのプライバシー対応

改正個人情報保護法の「個人関連情報」とは何か

2020年に改正された個人情報保護法は、2022年4月1日の施行が決まっています。ここでは下図でハイライトされた部分を詳しく説明します。

個人情報保護法の改正

図中の「提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報」は「個人関連情報」に分類されることになります。

従来から個人情報保護法で定義されている「個人情報」の中には、個人データと保有個人データがあります。それらを加工したものが「仮名加工情報」と、前回の改正で追加された「匿名加工情報」です。この3つのいずれにも該当しないものが「個人関連情報」とされます。

個人関連情報とは

具体的には個人に直接紐づいていないCookieやIDFA等の広告識別子、位置情報、行動履歴などが個人関連情報にあたります。これまで広告に活用されてきた情報を含め、今までの個人情報保護法の中では定義されていなかったものが個人関連情報として定義されることになりました。

これまでCookie、IDFA等を広告に利用してきた企業は、改正個人情報保護法の施行前にまず自社の個人関連情報の取得・活用状況を把握する必要があります。今までは個人情報にあたるものだけを把握して安全管理措置や利用目的の明示等の対応を行えばよかったのですが、改正後は「個人関連情報」が第三者に提供されて個人情報と紐づいていないか、どういう情報を取得しているのか、どう活用しているのかを調査しなくてはなりません。

改正個人情報保護法施行前にまずすべきこと

図のように広告、アクセス解析、データ仲介事業者、ツール、サービスなどをWebサイトに埋め込んでいるパターンが多くあり、Webサイト側でも意図しない第三者からの取得や第三者提供が発生している可能性もあるので注意が必要です。

個人関連情報の取得状況を把握できるツール「webtru」

DataSignが提供するプライバシーテック・スイート「webtru(ウェブトゥルー)」は、個人関連情報の取得状況を把握するためのツールです。プランごとに様々な機能があり、組み合わせによって金額が変わります。

個人関連情報の取得状況を把握できるツール「webtru」

webtruでできること1:Webサイト診断

Webサイトから個人関連情報がどこに送信されて、何に利用されているかを見える化します。サイトURLを入力すると、そのサイトで使われているサービスが一覧表示されます。

webtruでできること:ウェブサイト診断

webtruでできること2:同意管理ライト

Webサイトで利用しているGoogle広告やFacebook広告等サービスで個人情報や個人関連情報を送信しているものをリストアップしてオンラインプライバシー通知を自動生成し、Cookieポリシーの管理を自動化します。

下図の左側が同意管理ライトです。Webサイトにおいて、どこが提供している何のサービスを使っているか、それをオプトアウトするにはどこのリンクに行けばよいかをサイト訪問者に示すことができます。ここで同意を取るのではなく、通知・公表に特化した機能です。

webtruでできること:同意管理

webtruでできること3:同意管理プロ

いわゆるCMP(同意管理ツール)と呼ばれるものです。GDPRに対応するためのオプションも備えており、例えばヨーロッパからのアクセスの場合はCookieを取得しない、最初にポップアップや小さなボタンを出すといった対応が可能になります。

前掲図の右側が同意管理プロの画面です。広告、アクセス解析、データ収集、Webツール等のカテゴリーごと、またはツールごとに、利用者がこのUI上からデータ利用に同意する/しないを設定することができます。

webtruでできること4:トレジャーデータ連携

同意管理プロで取得した同意、もしくはデータ収集してほしくないという情報をTreasure Data CDPに連携することが可能です。「webtru」の管理画面でデータベース名等の必要項目を入力すると、どういうカテゴリーに対して許諾をしているか/していないかの情報をTreasure Data CDPに送信できるようになります。

webtruでできること:トレジャーデータ連携

webtruの導入事例

「webtru」はこの講演のタイトルにもある通りNTTドコモやゆうちょ銀行でも導入されています。今回はゆうちょ銀行の「同意管理ライト」導入事例をご紹介します。

ゆうちょ銀行での「同意管理ライト」導入事例

最初に行ったのはWebサイトの調査です。Webサイトでどのような通信が発生しているのか、個人関連情報がどこに送信されているか等の調査を行い、その上で公表事項を修正しました。公表事項内にあるオンラインプライバシー通知へのリンクをクリックすると、同意管理ライトの機能によるポップアップが出ます。

webtruの事例:ゆうちょ銀行様

NTTドコモも基本的には同様の流れで「同意管理ライト」を導入しています。

「同意管理ライト」導入にかかる期間

調査から実装までの流れと期間の目安を下の図に示します。

同意管理ライトの導入フロー

まずはWebサイトの調査のために、調査対象のURLを利用者側で抽出してもらいます。多いところでは数千ページ、数万ページに上ることもあるので、その場合は図に示した1週間よりも時間がかかるかもしれません。

抽出後、「webtru」の機能で対象ページの簡易調査を行います。簡易調査ではわからないような、どういう情報がどこから取得されていて、何に使われているかについては、要望に応じて詳細な調査を実施します。

その上で次にWebサイト上の公表事項を修正します。現在の公表事項と実態に乖離があれば大幅に修正することもありますし、細かな文言の修正のみの場合もあります。文言修正の提案や、必要であれば弁護士の紹介も可能です。

実装は1週間としていますが、管理画面から発行したタグを設置するだけなので、そこまでかからない場合も多いでしょう。

調査を実施する場合、最短で1ヶ月から1ヶ月半程度で導入が可能です。DataSignによる調査を実施せず自社で実装する場合は、タグを設置するだけですぐに導入できます。

DataSignによるパーソナルデータ活用支援のご紹介

DataSignは「webtru」以外にもプライバシーに関連した事業を展開しており、プライバシーに配慮したパーソナルデータ活用の支援を行っています。

非常に高いレベルのプライバシー対応、セキュリティの対応が必要となる情報銀行事業を行っており、情報銀行推進委員会による情報銀行認定事業者の通常認定を初めて取得した事業者でもあります。

「webtru」の技術を含め特許を多数取得しており、特許技術を用いてプライバシーに関する対応を行うことが可能です。何かご相談があれば、30分間のオンラインよろず相談を受け付けています。

DataSignよろず相談

本記事はトレジャーデータ株式会社が主催した「PLAZMA After 3rd Party Cookie〜Cookie規制後のデータ活用とマーケティング 〜」(2021年5月開催)のセッションをもとに編集しました。

トレジャーデータ株式会社

2011年に日本人がシリコンバレーにて設立。組織内に散在しているあらゆるデータを収集・統合・分析できるデータ基盤「Treasure Data CDP」を提供しています。デジタルマーケティングやDX(デジタルトランスフォーメション)の根幹をなすデータプラットフォームとして、すでに国内外400社以上の各業界のリーディングカンパニーに導入いただいています。
Back to top button