改正個人情報保護法によって、これまでのマーケティングやCRMをどのように変えていく必要があるのでしょうか。TMI総合法律事務所 パートナー弁護士の大井哲也 氏がCookie規制に関するよくある質問に答えながら、改正個人情報保護法のポイントを解説しました。
聞き手は、トレジャーデータの山森が務めました。
※本記事はトレジャーデータ株式会社が主催した「PLAZMA After 3rd Party Cookie〜Cookie規制後のデータ活用とマーケティング 〜」(2021年5月開催)のセッション「改正個人情報保護法とCookie規制」をもとに編集しました。情報は、収録日である2021年4月20日時点でのものです。
大井 哲也 先生
TMI 総合法律事務所
パートナー弁護士
TMI総合法律事務所弁護士、TMIプライバシー&セキュリティコンサルティング代表。2001年弁護士登録。クラウド、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバー・セキュリティの各産業分野における実務を専門とし、ISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を歴任する。
PLAZMA会員になると、動画をご覧いただけます。
<目次>
「個人情報」の定義は改正個人情報保護法施行後も変わらない
まず、基本的な個人情報の概念からお話しします。
個人情報とは、氏名、住所、生年月日、メールアドレスのように特定の個人を識別できる情報を指します。Cookieはブラウザ単位でユーザーを識別できますが、このブラウザを誰が使ってるかという、ユーザーを紐付けることはできません。日本の個人情報保護法では「Cookieは個人情報ではない」という整理になっています。
もっとも、個人データとCookieが紐づけて管理されていることはあります。例えばECサイトでは、氏名、住所、カード番号があらかじめECサイトに登録されています。ユーザーが商品サイトで商品説明を閲覧するときに、閲覧履歴がCookieの形で紐づけて収集蓄積されていきます。この個人データと閲覧データ、Cookieデータが紐づけて管理されていれば、個人を識別できるデータである「個人情報」として取り扱われます。
つまり、Cookie単体では個人情報ではありませんが、CRMデータなどに格納されている氏名、住所、カード番号などが、各ユーザーに紐付けてCookie閲覧履歴が管理されていれば、個人情報になります。これが、改正個人情報保護法前までの整理です。かつ、重要なことは改正個人情報保護法施行後もこの定義、またはCookie情報の整理は変わりません。
改正個人情報保護法での変更点
では何が変わったのでしょうか。
スライドのB社をEC事業者として想定してください。このEC事業者は、もともと氏名、住所、カード番号を持っています。加えて、Cookieを持っており、且つCookie IDをA社とB社で共有しているという状況です。
より具体的にイメージしていただけるように、例えばB社をアウトドア用品、キャンプ道具など売っているEC事業者と想定ください。EC事業者は通販を運営しており、ユーザーの氏名、住所をあらかじめ登録してもらっているとします。加えて、ユーザーの様々な商品の閲覧履歴も、Cookie IDに紐付けて管理しています。これが、「氏名、住所等」と「CookieID等」と書いてある図の右側で示しているところです。このCookie IDをA社B社で共通のCookie IDキーを共有していると想定ください。
A社は、様々なキャンプ用品をレビューする口コミサイト、ポータルサイトをイメージしていただくとわかりやすいかと思います。氏名や住所を登録する機能がないサイトをイメージしてください。吹き出しの②にあるように、A社では個人が特定できません。
しかし、Cookie ID に紐づいている行動履歴は蓄積されています。近隣のキャンプサイトを検索した履歴によって、ユーザーがどこの地方に住んでいるのかをだいたい推定することができます。加えて、ユーザーが見ている商品のレビューの頻度を見ると、「この人は新しいキャンプ用品と新しいテントを買おうとしている」ことが、「閲覧履歴・趣味嗜好等データベース」に蓄積されていくわけです。
B社のアウトドア用品ECサイトとしては、誰がどういった商品に興味関心があるのかというデータを欲しいと思います。それがまさに①番で、B社からA社に対して、Cookie ID等に係るデータの提供を依頼します。
A社のメディアはB社にCookie ID 7番の人はこういった属性の人で、こういった趣味趣向を持っています、という情報をB社に提供します。B社では、こうしたデータを利用してターゲティングが可能になります。加えて④番では、もともと持っているCRMのデータを組み合わせて、きめ細やかなターゲティング広告を出せるようになります。
また、B社はメールアドレスを持っていますので、Cookie ID 7番の興味関心が高い商品をDMでレコメンドするといったことも可能になります。
A社はCookieは持っていますが、住所のような個人を特定する情報は一切持っていないので、個人情報を持っていないという整理になります。A社には個人情報保護法の適用はありません。この場合、A社がCookieデータをB社に提供するとしても、これは個人情報の第三者提供にはなりません。
あくまでも、Cookie単体は非個人情報(個人情報ではない情報)なので、A社はCookie ID 7番の方について、同意を取らずにB社にデータを提供することが可能です。しかし、今回新たに規制が入ったのは、B社においてもともと持っているCRMの個人情報と、A社が持っているCookieに紐づく閲覧履歴(非個人情報)を突合して紐づけて管理利用する際には、ユーザーの同意を得てくださいという内容です。
通常、同意を取るのはB社側で、会員登録時に同意を取ります。そこに、「B社が同意を取ったことについて、A社が確認をしてください」「A社がB社の同意取得を確認して、その上でA社からB社にCookieやそれに基づく閲覧履歴を提供してください」という規制が新たに加わりました。Cookie単体では個人情報ではないことは全く変わりませんが、提供先のB社側において個人情報に紐づくこのケースに限定して同意を取得してください。基本的にはB社が同意を取りますが、A社が同意を取ることも可能で、要件から排除していません。
こうした点が、今回の改正個人情報保護法で同意が必要となる新たなケースとして加わりました。
Q&Aセッション
セッション内容を受けて、トレジャーデータの山森が、大井 哲也 氏に質問しました。
Q.
これまではA社とB社間のデータのやり取りに関して、A社側で個人情報でないCookieおよびウェブサイトの閲覧ログのみであれば、本人の同意なくデータの連携が可能でした。
改正個人情報保護法では、ここに同意が必要であり、B社は会員登録のときに会員規約に「外部から提供を受けた閲覧ログとあなたの個人情報、会員情報を紐付けます」と明記する必要があるということですか。
A.
そうなります。具体的にイメージしやすいように私なりに文言を考えると、次のような文言がB社のプライバシーポリシーとして考えられます。
「当社のお客様は、お客様から提供を受けた氏名、住所、カード番号を保有してます。これはお客様の商品の発送に使います。加えて、当社は、当社と提携しているA社のようなメディア企業から、お客様の閲覧履歴、またそれから解析された趣味趣向の提供を受け、そして当社の氏名、住所の情報と突合して、紐付けて解析をし、お客様のニーズに合った商品の情報提供をします。」
Q.
個人情報保護法委員会から出された文書には「A社がB社が同意を取ってることを確認する」と書いてあります。確認というのは一体何をすればよいのでしょうか。
A.
例えばこの事例の①を想定すると、A社B社間でいわゆるデータ提供契約のようなものを結びます。
その中で、A社からB社に対して「B社は、このデータをCRMに紐づけて利用しますか、それともCRMと全く別の境界を分けて、紐づけないで利用しますか」ということを確認しながら、A社からのB社へのデータ提供契約を結ぶことになります。
契約書自体に文言を入れてしまってもよいと思います。もし、B社側でA社が提供したデータを突合して利用するのであれば、あらかじめ同意をB社で取得するものとするというように契約書に書いてしまえば、その契約書をもって、A社は同意取得の義務の履行の状態を確認できることになります。
データ提供契約を締結する前に、あらかじめA社からB社にヒアリングをして、B社の中での使い方を確認してからA社からB社のデータ提供サービスを実施するケースも目にします。
Q.
万が一何かトラブルが起こり「本当にあなたは同意をとったのですか」とB社がA社から聞かれた場合、データベースに「このお客さんは何月何日にこの規約に同意した」というデータが残ってることが証拠になるのでしょうか?
A.
その通りです。例えば、B社でECの会員登録する際に、プライバシーポリシーを踏んでもらって、クリックすることによって同意する場合には、いつクリックしたかのログとともに、どのプライバシーポリシーに対して、クリック同意したかということを記録しておき、保存することになります。
Q.
同意はA社が取ってもB社が取ってもよく、誰がデータを受け取るのか、きちんと消費者にわかりやすく伝えましょうという趣旨のことが発表されています。
B社の場合は先ほどご説明いただきましたが、提供元と書かれてるA社の方で同意を取得する際は、具体的にどういったやり方があり得るのでしょうか?
A.
A社においても、会員登録するならば登録時の同意もありますし、初めてユーザーさんがA社に訪れたときにCookieポップアップを出して、そのCookieポップアップにCookieポリシーを付ける方法があるでしょう。A社は「提携するB社のような会社にCookieの第三者提供をします」とCookieポリシーに書き、ポップアップの同意ボタンを要求することによって、A社においてA社から他社にデータを提供することについての同意を取っておくことも可能です。
Q.
Cookieポップアップを使えば、会員登録のプロセスを経ずに、同意を取得できるということですね。あとは例えば、A社とB社が、A社のメディア上で何らかのキャンペーンを行って、そのときに同意を取得するというやり方もありますか?
A.
そういったやり方もあります。いずれにしても、A社B社で何らかの契約合意があり、A社で同意を取得しているのでB社では必ずしも同意を取らなくてもよいですよ、といったやり取りがまずあり、そこから、A社からB社のデータ利用契約や、データ提供契約を結んでいくということになります。
Q.
「コンプライアンス」、「炎上対策」といったことや、Cookieポップアップなどを出すことがユーザーエクスペリエンスを損なうのではないかといった、「UX」について気にしている企業は少なくありません。
コンプライアンス・炎上対策とUXに関して、アドバイスをいただけないでしょうか?
A.
コンプライアンスの要請と、炎上対策の要請は、基本的には同一延長線上にあると思ってます。個人情報保護法、コンプライアンスの遵守はマストです。ただし、個人情報保護法を守ったとしても、ユーザーから「こんなデータの使い方されると困る」とか、「しっかり説明を受けてなかった、こんなつもりではなかった」と後から言われてしまうと、法律の要請を満たしていたとしても大炎上をしてしまうという関係にあります。
私が、必ずどのお客様にも申し上げていることがあります。個人情報保護法とはあくまでもボトムラインなので、それを守るしかありません。けれども、それに加えて、ユーザーから安心してデータを預けてもらい、安心してデータを利活用させてもらえるような説明をしなくてはいけません。自分のデータがどう料理されて、どこに提供されていくのかというのを、理解できるようにわかりやすく説明する必要があります。
ユーザーが自分のデータをどのように使われるのかを、しっかりと理解できる形で、プライバシーポリシーで説明をする、これが大原則です。
ですが、なかなか皆さん、Cookieポリシーは読まないですよね。例えば、Cookieポリシーやプライバシーポリシーとは別に、わかりやすいユースケースを図示したものや、ぱっと一目でわかる絵や漫画をつけてわかりやすく説明することが炎上対策にもなるかと思っています。
UXは、今までの要請と相反するところがあると思います。コンプライアンスやユーザーに安心感を与えることをすればするほど、サイトからの離脱率は上がってしまいます。
我々としては、基本的にはできる限りユーザーの同意を取得して、様々な利活用をしましょうというスタンスを維持しています。これは個人情報保護法が要請している場面でなくとも、しっかりと説明して、コンセント同意を取りましょうということです。
特にトレジャーデータのユーザーのように、大量のデータを保有していて、非常に多角的にデータを活用されてる企業には特に「同意が大原則です」とアドバイスをしています。マーケティング部門の方は、離脱率をすごく気にされています。同意を要求してしまうとサイトのトランザクションが落ちてしまうということを言われます。そこは、リーガル部門とマーケ部門が同じベクトルにない領域だと思いますので、上手く調整していく必要がある問題だと捉えています。
Q.
世の中的に議論を巻き起こしやすいデータの使い方としてスコアリングがあげられると思います。スコアリングの最前線の事例があれば、教えてください。
A.
今の車にはセンサーが入っていて、急発進急ブレーキ、スピード、車を使う頻度といったデータが得られます。つまり、ドライバーの属性がわからなくても、ドライバーのユーザー像がそのセンシングのデータを使ってある程度把握することができるわけです。
自動車の運転の危険度、交通事故のリスクをスコアリングをして、それを保険会社に共有することによって、保険商品に生かしたり、保険の金融商品の料金設定、リスクアセスメントに使ったりという事例もあります。今我々の身の回りには、色々なデバイス、IoTのセンサーが存在します。そうしたところから個人のスコアリングが可能というのは、特徴的な事例かと思います。
また、最近特徴的なものとして「信用スコアリング」もあります。信用スコアリングは、基礎データをもってスコアリングするわけですが、例えば勤め先、年収、保有資産がわかれば、かなり精度の高い信用スコアリングが可能です。しかし、そうしたものが仮にない場合にも、例えばお住まいの地区だけで一定程度のスコアリングをする、すなわち「傾向値」を信用スコアリングの1要素にするケースも聞いています。
Q.
「信用」はお金を借りるときの金利などにも関連してきます。もし個人情報を全て提供したら、金利が下がるという可能性があれば、積極的に個人情報を提供しようという人もいると思います。そういった議論やサービスの検討は実際に行われているのでしょうか?
A.
はい、行われています。個人データを提供してスコアリングすることによって利益を生む場合、ユーザーの利益になる場合は大きな問題になりにくいのが、例えばデータを出した結果、住宅ローンの引き受けが拒否された場合は逆にユーザーが不利益を被ってしまいます。
スコアリングをすることが、ユーザーにとっては一種の経済活動の制約になったり、最悪の場合は人権に対する制約になったりということも起きてくるわけです。これは憲法の問題と個人情報の問題が交錯する場面ではあります。
例えば、「このデータを持ってる人は与信が低いのでローンを付与することができない」と、ある種のラベリングをデータから機械的にしてしまうことは、GDPRでは原則禁止されています。データを機械的に解析し、その人のスコアリングをする、またはその人をラベリングするということは、ある種、人間の基本的人権にも関わってくるという問題がありますので、慎重なサービス設計が必要です。
Q.
その他の最新の事例についてお伺いできますか?
A.
我々が一番多くご依頼を受けるケースは、何と言ってもデジタルマーケティングです。これまではCookie単体、あくまでもCookieの世界でデジタルマーケティングをすることが多かったわけです。
A社はメディアでCookieを持っていて、B社は個人情報とCookie情報を紐付けずにCookie単体で解析をして、閲覧履歴からその人の興味関心を推計していくというような手法でした。
しかし今は、CDPに、CRMデータのようないわばリアルの属性データを入れつつ、Cookieデータに紐づく推計の趣味趣向のデータを組み合わせていく形態が非常に増えました。その際にプライベートDMP、CDPを使うということがトレンドになっています。それゆえに、個人情報としてCookieも取り扱うため、同意を取得してデータを利活用するケースが非常に多いと感じています。
Q.
日本のその法律上では、Cookieを使って分析やターゲティング広告出すということについて、オプトイン同意を取得することは法律上必須ではありませんが、そうした対応をされる企業が増えてきているということででしょうか?
A.
おっしゃる通りです。個人情報保護法上は同意は不要ですが、企業のスタンスとして、しっかりとユーザーに説明をし、同意を取得してその上で納得してもらってデータを利活用をしよう、というマインドに変わってきてるように思います。
オプトアウトのしやすさは、ユーザーの安心感を与える意味では必須の炎上対策と私どもも考えております。これまでは、オプトインを取らないでオプトアウトを用意するというのが法律上の建て付けでもあり、一般的な方策でした。私どもは、オプトインで同意を取っても、後でユーザーが不安に思ったときに、先にした同意を撤回できる設計を推奨しています。オプトインを取りながら、オプトアウトすなわち「同意の撤回」を許してるというサービス設計も増えています。
Q.
弊社には自動車業界のお客様も非常に多くいらっしゃいます。コネクティッドカーの観点でいうと、どういった事例があるでしょうか。
A.
各種カーメーカーはこぞって取り組んでいるのと、「スマートシティ」という新たな波も来ています。スマートシティで取れるデータとコネクティッドカーから取れるデータを組み合わせると非常に面白いデータになります。その住民のデータと住民の移動データが組み合わさるとかなり精緻なターゲティングもできますし、ビジネスだけではなく、その街、地方自治体にどういう住民のニーズがあるかということも取れていきます。スマートシティで取れるデータも今後非常に増えてくると思っています。
スマートシティがだんだん成熟していって、それがビジネスと合わさってくるとかなり大きなマーケットになるのではないかなと考えています。
Q.
今まで取得されていなかったデータが出てくると、また色々なユースケースや問題も出てくると思います。例えば、医療情報はとてもセンシティブな情報で病気のリスク等、色々なことがわかってしいます。ヘルスケアデータに関して最近気になっている事例はありますか?
A.
ヘルスケアのデータには種類として2つあると思っています。1つはアプリから取れるような、いわゆるヘルスケアのデータです。それほどセンシティブさが高くない、脈拍などのライフログや、走った距離などのデータです。
もう1つは、いわゆる特殊な病歴、特殊な治療法、治療を受けた人がその後どのように健康になっていたかなどのデータです。例えば、希少がんの病歴があった人が特殊な治療を受けて、その後どのように健康を回復していったかというデータをずっとトレースしているわけです。その方を数年単位で追いかけ、データを蓄積し、新しい治療法や創薬に使う。民間の製薬メーカー、大学、病院が三位一体となって、データを取りやすくし、データをリッチ化しようという流れが非常に今進んでます。
Q.
そういったデータ利活用していく際に、先生はどういうアドバイスをされてらっしゃるのですか?
A.
一番のポイントは医療データを収集する際の同意書です。同意書はこれまでは基本的に研究目的に使ってたものが、製薬メーカー、大学に提供するなど、色々なところに第三者提供、共有をすることによって、どんどん同意書の内容が膨らんできています。
患者としても自分のデータが利用されれば、新しい治療法が発見されたり、新しい薬が発見されて、それが巡り巡って自分の病気にも役立つということで、データを取る方向に進んでいます。
Q.
金融機関のトレンドに関して教えてください。
A.
金融分野でホットな話題は先ほどの通り、与信のスコアリングです。どのような基礎データを使って与信の数値を出すかということです。
例えばユーザーがECサイト使うときに、銀行振り込み、カード払い、またはAmazon Payなど、色々な決済代行があります。加えて通販で多い、後払い決済というやり方もあります。後払い決済では、商品を送った後で、支払いがなければ焦げ付いてしまいます。そのため、そのユーザーがどれぐらいデフォルトを起こすか、しっかり払ってくれるかの与信の信用度を図る必要があります。この辺りにも信用スコアリング、データの解析の技術、知見が投影されています。聞くところによると、極めて高いスコアリングの精度を持って、後払い決済代行会社がその方の与信をしています。
その結果、与信のスコアが高い人があるECの決済をしようとすると、後払い決済の選択肢が出てきて、カード払い、銀行振込、Amazon Pay、後払いの四つを選べます。しかし、仮にその方の与信のスコアが低ければ、その選択肢が出てきません。選択肢が出てこないですが、本人は自分の与信スコアが低かったことを気づかないのです。カード払いしかないように見えるけれども、実は裏では与信スコアが走っているということがあります。
今後も我々は、こうした誰も業界でやったことがないような新しい事案にチャレンジしていったり、新しいユースケースを作っていきたいなと思っております。
本記事はトレジャーデータ株式会社が主催した「PLAZMA After 3rd Party Cookie〜Cookie規制後のデータ活用とマーケティング 〜」(2021年5月開催)のセッションをもとに編集しました。
トレジャーデータを契約されているお客様で大井先生にご相談がある方は、担当のカスタマーサクセスまでご連絡いただければ、おつなぎをいたします。お気軽にご連絡ください。
