2022年4月施行の改正個人情報保護法、EUで制定作業が本格化するePrivacy規則案など、国内外の規制環境が大きく変化し、自社保有データの利活用はますます重要となってきています。このような環境変化の中で、事業者として法遵守と顧客の信用を確保するために、「データ保護の基本である透明性・公正性」について特に留意すべきことを株式会社インターネットイニシアティブのビジネスリスクコンサルティング本部 副本部長 鎌田 博貴 氏が解説しました。
※本記事はトレジャーデータ株式会社が主催した「PLAZMA After 3rd Party Cookie〜Cookie規制後のデータ活用とマーケティング 〜」(2021年5月開催)のセッション「透明・公正〜データ利活用の内外規制環境変化と法遵守のポイント」をもとに編集しました。情報は、収録日である2021年4月15日時点でのものです。
鎌田 博貴 氏
株式会社インターネットイニシアティブ
ビジネスリスクコンサルティング本部 副本部長
旧・建設省(現・国土交通省)で社会インフラ関連の政策立案、法律・政令案の起草、つくばエクスプレスの事業推進、琵琶湖・淀川水系の水資源開発などに携わる。(株)インターネットイニシアティブで2016年からEU・米国をはじめ各国のデータ保護関連法令に関連するコンサルティングを担当。著書:「欧州GDPR全解明」(日経BP)など。
PLAZMA会員になると、動画をご覧いただけます。
<目次>
事業者として何に気をつけるべきか
2020年の6月に法律ができた改正個人情報保護法で、個人関連情報の第三者提供に関する規制が新たに導入されました。これがデジタルマーケティングにおいてどういう場面で適用されるのか、その際に事業者として、法を遵守するために何に気をつけておかなければならないのかといったトピックを中心にお話ししようと思います。
最初にサマリーを簡単にお伝えします。
改正法の個人関連情報の「第三者提供規制」は、パブリックDMPのように、クロスサイトで色々な閲覧情報・行動情報を集めるような事業者から、サードパーティデータを取得する事業者について適用されるのが典型的な例であると、個人情報委員会では説明しています。
DMPから提供されたサードパーティデータを自社データと突合して、本人を識別できる状態でマーケティングに利用する場合には、あらかじめ本人から同意を取得したことを確認しなければならないという規制が新たにできました。
同意を取得する場合には、利用するデータの種類、例えば購入履歴であるのか、閲覧履歴であるのか、そして何のために利用するのかを明らかにした上で同意を取得しなければならない、というのが改正法による個人関連情報の第三者提供に関する規制です。
これとあわせて、デジタルマーケティングで一般的に行われていることの中には、現行法でも規制の対象となるようなことがあります。それについてもう一度、正しい概念をお伝えして、皆さんの法遵守に少しでもお役に立てればと思います。
改正法による個人関連情報の第三者提供規制について
まず、改正法による個人関連情報の第三者提供規制について簡単にご説明します。「個人関連情報」という新たな用語の定義が、個人情報保護法に出てきました。簡単に言うと「生存する個人に関する情報であって、個人情報ではなく、仮名加工情報ではなく、匿名加工情報でもないもの」です。
個人情報保護委員会が公開した資料の中で例として書いてあるのは、Webサイトの閲覧情報、eコマースサイトでの購買履歴、位置情報の推移、Cookieで取得した様々なWebサイトとのインターアクションといった、個人に関する情報だけれども、氏名、メールアドレスなどの本人を識別できる情報とは結びついていない情報です。つまり、自然人(しぜんじん)としての社会的アイデンティティーとは結びついていないが、ブラウザID、あるいはスマートフォンのID、モバイルIDとは結び付いてる情報は、「個人関連情報」になると考えられます。
これを別の人に提供し、しかもその別の人が持っている自社データなどを照合することによって、個人情報になってしまう場合、つまり、DMPなどで共通ID、グローバルIDを持っていて情報交換して、情報提供を受けた方がそのグローバルIDと紐付くようなメールアドレスなどを持っている場合には個人情報になります。
なぜならば、識別される個人に関する情報になるからです。そうした場合には、本人からあらかじめ同意を取得していることを確認してくださいという規制です。2022年4月にこの規制が施行されます。
個人関連情報の第三者提供規制が適用される場面
このスライドは、個人情報保護委員会が公開している色々な資料で引用される例です。
A社では、閲覧履歴、購買の履歴、店舗にチェックインした履歴など、ブラウザのIDやモバイルフォンのIDに紐付いた色々な行動履歴がデータベースとして運用されています。場合によっては、そうしたデータを分析して一定の属性情報(デモグラフィックプロファイル)を生成して利用している場合もあるかと思います。
B社は、DMP事業者のようなA社からデータ提供をうけます。また、B社ではメールアドレスないし氏名を、自社のWebフォームなどで取得します。この両者の間に、A社が提供するグローバルIDのようなものがあり、提供を受けたB社ではA社からもらった情報を特定の個人に紐付けることができる。これが今回の新規制が典型的に想定する場合である、というのが個人情報保護委員会の考え方です。
規制が適用されない場面:匿名のターゲティング広告
似たようなケースで、おそらく適用されない場面があります。例えば、一般的なターゲティング広告です。クロスサイトでアドテクX社が発行するサードパーティCookieがあり、そこから閲覧情報を取得しているが、提供先のアドテクでは、サードパーティCookieで取得したブラウザIDに紐付いた情報は取得できるが個人を識別できるわけではない。こういう場合は、おそらく今回の新たな規制は適用されない、個人関連情報に関する規制は適用されないでしょう。
なぜなら、個人識別できないというのがポイントです。A、B、C、D社はWebサイトにサードパーティのタグを置いているのですが、タグを置くだけで「個人関連情報データベースを事業の用に供している」という新規制の適用条件を満たすとはいえないという理由があります。個人情報保護委員会は、こういうパターンについて規制対象に含める気持ちはないようで、2019年12月に公表された今回の法改正の制度改正大綱においても、このパターンは規制対象ではなく、「業界の自主規制」に委ねますということを明言しています。
「業界の自主規制」というのは、典型的にはJIAA日本インタラクティブ広告協会が出しているターゲティング広告ガイドラインだと思われます。ガイドラインでは、情報提供、安全管理措置、そしてオプトインの提供をガイドラインとして、広告関連事業者に推奨していくとしており、一般的な匿名のターゲティング広告は新たな規制の適用対象にはならないということだと思います。
規制が適用されない場面:ソーシャル・プラグイン
似たようなケースが、Facebook、Twitter、Instagramなどのソーシャルプラグインです。これも、先ほどのターゲティング広告目的のサードパーティCookieと同様、タグを置くだけで「個人関連情報データベースを事業の用に供している」とは、おそらく言えないと思います。したがって、この場合も、新たな規制の対象にはらないと思います。
提供先であるソーシャルメディアでアカウント管理がされていて、そこで提供された情報は個人と紐付けることができるので、改正法にある個人関連情報の第三者提供規制の要件に当てはまる様に見えます。ただ、やはりA、B、C、D社はタグを置くだけでは情報提供しているとは言えません。ソーシャルメディアのX社は直接取得しているとするのがより自然だろうと思います。この例についても、適用される場合ではないと考えます。
個人関連情報第三者提供規制について注意すべきこと
話題を戻します。DMP、あるいはMAツールなどからサードパーティデータの提供を受け、それを個人データとして利用する事業者が何をしなければならないのでしょうか。
まず同意を取得してください。その際にどういう方法で同意を取得するか。
同意を取得する場合は「このようなデータをこのような目的で利用することについて同意してください」ときちんと情報提供をしなければなりません。この時、どういう情報を本人に提供しなければならないのでしょうか。また、取得するのは提供元なのかそれとも提供先なのでしょうか、つまり、DMP側なのかWebサイトの運用者のどちらが同意を取得すべきでしょうか。
これらに答えるためのポイントについては、おそらく2021年7月8月頃に個人情報保護委員会から詳しいガイドラインが出されると思います。既に検討が始まっていて、4月7日の個人情報保護委員会の会合で公開された「論点資料」においてかなり詳しく方向性が示されているのでここでご紹介します。
まず、個人関連情報を提供する場合には、提供して提供先で個人データになってしまうような場合、誰が提供先なのかということを明らかにしなければなりません。そして、どんな個人関連情報の種類を提供するのかということを明らかにしなければなりません。
そして提供先において提供された情報をどのように利用するのか。ターゲティング広告の目的なのか、レコメンドの目的なのか、あるいはお客さまのプロファイルをもっと精緻にしようという目的なのか、といったことを説明しなければなりません。
主にこの3ポイント、「誰が」「何を」「どのように」利用するかを、本人が認識できるように説明しなければならないというのが個人情報保護委員会が既に示している方向です。
「誰が」このような同意を取得するのかについて、個人情報保護委員会の会合で公開された「論点資料」では、提供先において取得すべきであるとしています。ポイントは「本人との接点を持ってるのは誰なのか」、「本人に対して一番説明しやすいのは誰なのか」ということです。
本人との接点を持っているのは、一般的に提供先であるWebサイトでしょう。DMPは一般的には本人とは接点を持ちません。提供される情報を実際に利用するのは提供先のWebサイト、広告主あるいはブランドであって、DMPが提供先における利用状況まで全て把握しているわけではないので、提供先の方がより正確に説明できるというわけです。
提供先というのは目に見えるWebサイトなので、本人にとっても、誰が自分の個人関連情報閲覧履歴、購買履歴を利用するのかわかりやすい。これらの点から、一般的にはUI(ユーザーインターフェース: 顧客接点)がある「提供先」が説明するということだと思います。
ただ色々な場合があります。DMPからメディアに対する情報提供もあるでしょうし、SSPからDSPの情報提供、あるいはメディアから広告主への説明提供など色々なパターンがあるため、ケースバイケースで提供元が同意を取得することも許さると書いています。ただその場合でも、誰がどのようなデータをどのように利用するかというのは、はっきりしなければならないということは念を押されてます。
次に、細かい話になりますが、同意を取得する際に、「このグローバルIDの人から同意を取得したので閲覧履歴を共有してください」というやり取りが、Web管理者とDMP、あるいは提供元と提供先の間であると思います。このIDも実は提供先にとっては個人と紐付く個人情報である場合があるわけです。
しかしながら、これをDMP側に提供することについては、本人の同意を改めて取る必要がありません。これは実務上大切なポイントだと思います。これも4月7日の個人情報保護委員会で示されました。
注意すべきこととしては、改正法の個人関連情報の第三者提供規制は技術中立的です。つまり、パブリックDMPや、プライベートDMPに限らず、およそ他社から提供されるデータを自社データと結合して、個人を識別できるような場合には、あらゆる場合にこの規制が適用されるということを覚えておかなければなりません。
デジタルマーケティングに関わる様々な場合で、この規制が適用されるケースが出てくるのではないかと私は思っています。サードパーティCookieを利用して実装する例をご紹介しましたが、モバイル端末識別で、あるいはデバイスフィンガープリンティングなど、様々な方法でお客様が利用している端末装置やブラウザを特定する方法はあると思われます。
そういった場合にも、技術中立的にこの規制は適用されるということを留意しておかなければなりません。改正法による個人関連情報の規制について説明をしてきましたが、改正法を待たずとも、現行法の個人情報保護法でも、デジタルマーケティングを行う際に適用される規制があります。
Cookieについてよくある誤解
「Cookieは個人を識別しないから個人データではないので、同意取得をする必要はありませんよね」とお客様から時々聞かれることがあります。しかし、これは誤解です。Cookieによって取得される情報とはブラウザや端末装置などを識別するもので、本人を直接に識別するわけではありません。個人識別符号、例えばマイナンバー、でもありません。しかしよく考えてみますと、ブランドサイトやメディアサイトでログイン認証をしていたり、フォームでメールマガジンを送るためにお名前やメールアドレスを取得している場合があります。
こういったものを取得している場合には、そのCookieで取得したブラウザと紐付く情報と特定の個人とを結びつけることは技術的に可能です。そういった目的で使う場合は、現在の個人情報保護法でも、法遵守の努力は必要であるということをしっかりと認識しておかなければなりません。
Cookieで取得した情報を、自社で取得している本当に自然人を識別する氏名やメールアドレスと結びつけて使う場合には、その利用目的の特定、通知、公表が当然必要ですし、通知した目的外に利用する場合には同意取得が必要です。また、第三者に提供する場合には、原則として同意取得が必要です。そのセキュリティーを確保するためのいわゆる安全管理措置、あるいは従業員や委託先を適切に管理するなど、個人情報保護法に定められた色々な措置を講ずる必要があるということはしっかり認識しておかなければなりません。
デジタルマーケティングには様々なパターンがあり、様々なアクターが登場するので、「こういう場合には適用される」とテンプレートでも作れれば皆さんに使っていただきやすいとは思います。しかしケースバイケースでお話を伺わないと、適切な法遵守のためにこうしたら良いのではないかと申し上げられず、そこが難しいところです。目安としては他人、他事業者から、ブラウザやモバイルデバイスに紐付く情報をもらうときには少し考えた方がよいと思います。
今、デジタルマーケティングをめぐる消費者の視線が企業に対して厳しくなっている状況にあります。社会的な信用を得るために、慎重にこういったことを考えていただければと思います。
EU ePrivacy規則の最新状況
最近、EUで少し大きな動きがありました。「ePraivacy規則」というものが新たにでき、これまでのePrivacy指令というCookie規制の根拠となっていた法律が大きく改正されようとしています。おそらく2021年、2022年には新しい法律ができます。
まず、1つ目に「域外適用」の条文ができます。したがって、これまで以上に、日本やアメリカの企業もヨーロッパのお客さんを相手にマーケティングをやるときには目が厳しくなる、あるいは当局の摘発を受けやすくなります。
2つ目に、「同意を取得せずにCookie等を設定できる場合」がかなり整理されました。お客様からよく聞かれる「AdobeアナリティクスやGoogleアナリティクスを利用する場合に同意が必要ですか」という疑問に対して、一定の場合には同意を取得しなくてよいことが法律で明らかにされました。ここは、事業者にとっては嬉しい法改正ではないかと思います。
3つ目に、Cookieについて同意取得方法、証明方法について、これまで実務で色々と受け入れられていたことが法律に書かれました。実質的な規制内容はあまり変わらないとないと思います。
ただ、これまでブラウザや端末装置の読み書きだけが規制対象になっていたのに対して、ブラウザや端末での処理機能の活用が新たに規制対象になりました。例えばGoogle Sandboxのように、ブラウザの内部ロジックでAI学習してターゲティング広告を行うといった、ブラウザの処理機能を活用するものについても処理規制対象として取り込まれる可能性があるというのは、事業者にとっては注目すべき改正だと思います。
実は2021年4月の初めに総務省のプラットフォーム研究会でこの新たなEUの規制について発表させていただいている資料があり、総務省のホームページで公開されています。
| 参考:ePrivacy規則 閣僚理事会案について |
かなり詳しく書いていますので、ご興味がある方はぜひご覧ください。以上、改正個人情報保護法の個人関連情報の第三者提供規制を中心にデジタルマーケティングにおいて国内法順守するためにどういうことを注意すべきかということをお話させていただきました。
Q&Aセッション
セッション内容を受けて、トレジャーデータの小林が、鎌田 博貴 氏に質問しました。
Q.
Cookieについては現行の個人情報保護法でも規制の対象になるというようなお話がありました。同意管理を行う場合、同意を取る粒度について教えていただけますか。
A.
端的に言うと、利用目的の単位というのが一番重要です。個人情報保護法でも、事業者は利用目的を明らかにしなければならない。異なる利用目的に個人情報を利用する場合には、それぞれにおいて利用目的を説明して目的毎に同意を取らなければならないというのが基本です。したがって、Cookieを企業のWebサイトで利用している場合には、最初から同意をとる必要はないと思います。その時点では個人情報ではないわけです。
ただ例えば、Webフォームでお名前やメールアドレスをいただく、あるいはアカウントを作っていただいてお名前をいただくという時点で、企業の持っているデータは全て個人情報に紐付いてしまうということになりますから、その時点で取るのが一番自然だろうと思います。
そのときに、ID単位、Cookie単位というよりも、個人情報として管理してるのはおそらくアカウント単位なので、アカウントに紐付いたCookieで取得し、どのような目的で利用するのか、それはコンテンツをカスタマイズするために使うのか、あるいは購入履歴を分析することによってお客様ごとにレコメンデーションするためにやるのか、目的はきちんと整理できると思います。
それをアイテマイズして、整理してそれぞれについて同意を取得するのが一番正しいやり方だろうと思います。
Q.
トレジャーデータのお客様の中では、特にメディア企業と広告主企業がグローバルIDを介してデータ連携を行っている例があります。この場合は提供元、提供先、どちらがどのような取得をするのが適切なのでしょうか?
A.
「論点資料」というガイドラインの前の段階のものでは、より本人との接点が多いという前提で「提供先」という言葉が使われていますが、場合によっては「提供元」の企業のほうが、お客さまとの接点が多いという場合もあると思います。
一般的に提供元・提供先というよりも、より本人とユーザーの接点が多い企業が取得するのが、本人にとってもわかりやすくて適切ではないかという議論になると思います。したがって、トレジャーデータ利用企業が様々なモダリティで製品を利用されているそのケースバイケースで本人に近い企業が同意取得をするというのが原則になるのではないかと私は思います。おそらくこれはガイドラインの時点でもっと整理されると思います。
Q.
このケースでいくと、メディア企業側が同意取得をすることになりますか?
A.
そうですね。メディアはやはり広告主より近いですから同意取得をする必要が出てくるのではないかと思います。
本記事はトレジャーデータ株式会社が主催した「PLAZMA After 3rd Party Cookie〜Cookie規制後のデータ活用とマーケティング 〜」(2021年5月開催)のセッションをもとに編集しました。
インターネットイニシアティブについて、
さらに詳しい情報をお知りになりたい方は bizrisk-enquiry@iij.ad.jp までお問い合わせください。
