個人情報保護法の改正に関するご質問について

山森 康平 Business Development Director

トレジャーデータ ビジネスデベロップメント ディレクターの山森 康平です。主にPartner Alliance、プライバシー関連事項、新規サービス立ち上げを担当しています。

現行の個人情報保護法につきまして、原則3年ごとに見直しが行われることはご承知のとおりです。前回の改正は2015年成立、2016年部分施行、そして2017年に完全施行がなされました。現在見直しのプロセスが進んでいます。

この記事を執筆している2020年3月現在では、2019年11月に発表された制度改正大綱(骨子)、2019年12月に発表された制度改正大綱及び2020年3月10日に公表された個人情報保護法改正案が最新資料になります。当記事ではそれら内容から、デジタルマーケティング及びCRMに関連する部分で特にお客様からご質問が多く寄せられているものに関して、趣旨やマーケティング及びCRMの文脈でどのように捉えればよいのかをお伝えできればと考えています。

「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」の目次

個人情報保護法の改正によって、何がどう変わるのでしょうか?

マーケティング、CRM、デジタル施策に係る方々は大きく3つの側面に注意する必要があると考えられます。「個人情報保護法 いわゆる3年毎見直し 制度改革大綱」から、特に注意すべき部分を取り上げます。

①第3章第1節: 「個人の権利」の在り方

これまで日本の個人情報保護法では、個人情報の利用停止、消去、第三者提供の停止等を個人が企業へ要求する場合に違法性が必要とされていましたが、そうした側面が緩和されます。また、個人情報をどのような利用したを教えて欲しい(開示請求)という要望に対しても、電磁的形式で開示するべきである旨が記載されています。

具体的には法改正案の概要資料

「利⽤停⽌・消去等の個⼈の請求権について、不正取得等の⼀部の法違反の場合に加えて、個⼈の権利⼜は正当な利益が害されるおそれがある場合にも要件を緩和する。」

という記述があります。「個⼈の権利⼜は正当な利益が害されるおそれがある場合」には人災として起こる情報漏えい等も含まれると想定されます。

では具体的に何を行うべきでしょうか。それは、これら個人の権利を十分に担保するために必要となるシステムの整備です。

  • 外部とのデータ連携を特定の特定の個人に紐づくもののみ停止する
  • 特定の個人に紐づくデータを全て自社のシステム上から消去する
  • 特定の個人に紐づくデータ、個人情報の第三者提供の停止

当たり前のことのように思われると思いますが、システム構成等の都合で実現するのが難しいケースも多くあり、企業はシステム全体の見直しを迫られるのではないかと考えています。実際に日本の個人情報保護法よりも厳格な個人情報の取り扱いが定めらている欧州の一般データ保護規則、いわゆるGDPR(2018年施行)では、これら個人の権利は既に対応が定められており、トレジャーデータの海外ユーザーの方々も既に対応をされており、「Consent Management Platform(CMP)」と「Customer Data Platform(CDP)」はセットで語られるようになってきています。

②第3章第4節4: 「端末識別子等の取り扱い」

今回の改正に関連した報道で殊更大きく取り上げられているように、現行法と大きく変化している部分は、日本の個人情報保護法下において単体では個人情報と定義されていないCookieや広告識別子等のデータでも、第三者提供時にデータの提供先で個人情報と紐づく場合には個人情報に準ずる扱いをするものとし、制度改正大綱(骨子)の中で

「個人データの第三者提供を制限する規律を適用する」

と明言したことです。

個人情報保護法改正案ではその内容が具体化されて、

「提供元では個⼈データに該当しないものの、提供先において個⼈データとなることが想定される情報の第三者提供について、本⼈同意が得られていること等の確認を義務付ける。」

とされています。データの第三者提供時の運用が全体として大きく変わってくると考えられます。

欧州ではCookieを企業が利用する際にオプトイン同意(明確な事前の同意)が求められています。日本ではCookie単体では個人情報とは扱われませんので、ゼロCookieロード(Cookie発火時にオプトイン同意とらないと発火させない)は必須ではありませんが、インバウンド系の事業を行いGDPR対応の必要がある企業ではそうした対応も必要です。また、同意が取れていないデータの提供を受ける場合に、データ提供先が同意取得するという形式も考えられています。

注記1:欧州ではCookie等の識別子も個人情報に該当されると定められており、欧州居住者を相手にする外国事業者もこのルール(GDPR等)も守る必要があります。外国人旅行者等をターゲットとされる事業者の皆様はご注意ください。

注記2:いわゆる端末識別子には分類されないFinger Print等の技術も実質的には端末識別子と同じ役割を果たしており、原則として使用すべきものではありません。仮に使用することがあったとしても適切な情報開示とオプトイン同意、個人情報にデータに関する個人の権利を担保できる状態においてのみ使用が許されると考えられています。

③第3章第2節2: 「適正な利用義務の明確化」

従来の個人情報保護法では、個人情報を適法に「取得」することに焦点が当てられていました。しかし適法に取得したデータであったとしても、データ分析技術の向上により個人が不利益を被る使い方が出てきたことをうけて、「適正な利用義務」という考えが登場しています。この考え方は利用方法の正しさ自体を問うという意味であり、いわゆるグレーゾーンに該当するような利用方法を許さないという立法府の意思の表れであると考えられます。今まで以上に倫理観のある判断が各社に求められるでしょう。

※自社での実際の対応を検討される際は、個人情報を専門とされる弁護士の方等専門家の意見を必ずお聞きください。

個人情報保護法改正とCookie利活用の関係性を教えてください

日本の個人情報保護法においてCookieは個人情報に分類されておらず、自社内で利用する場合にも第三者に提供する場合にも、オプトイン同意(事前の明確な同意)は不要であると考えられてきました。また個人情報とは何かという議論において、データの提供元で個人情報に当たらないものは、データの提供先においても個人情報として扱わないという考え方が主流でした。これが一般的に提供元基準説と呼ばれる考え方です。

しかし、提供元では個人を特定しておらず個人情報の一部をなしていない場合でも、提供先においてCookieや広告識別子を用いることで、

「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」

ケースが出てきて、消費者に不利益を与えることもありえることから、考え方が修正される予定です。具体的には制度改正大綱

「いわゆる提供元基準を基本としつつ、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。 」

という記述がなされています。続いて3月に発表された改正案では

「提供元では個⼈データに該当しないものの、提供先において個⼈データとなることが想定される情報の第三者提供について、本⼈同意が得られていること等の確認を義務付ける」

とされました。事実上のオプトイン同意だと弊社では解釈しております。

なお、この考え方は改正案の成立や施行がされていない2020年3月時点でも既に有効であり、企業は対応が必要だと考えたほうがよいでしょう。2019年に世間を騒がせたいわゆるリクナビの内定辞退予測と行政指導を鑑みれば明らかかと思います。

データ利活用法の明示及び説明を行い、オプトイン同意方式をどのような場合に採用するか即座に検討を開始すべきと考えられます。

データを販売する企業/購入する企業は何に注意しなければならないのか
改正後の個人情報保護法での企業間データ連携における原則

データ連携時にオプトイン同意(事前の明確な同意)が必要かどうかを整理したマトリックス

図で示したのが、データ連携時にオプトイン同意(事前の明確な同意)が必要かどうかを整理したマトリックスです。提供元で個人情報であるものに同意が必要であることは以前と変わりませんが、提供元で個人情報ではなくても、提供先で個人情報と紐づく場合には特に注意が必要です。

①データを販売する企業

ⅰ)同意取得
データを購入する企業(広告主)は既に購入するデータが適切に同意を取得しているかどうかを気にしており、場合によってはデータの購入自体を停止しています。したがって、相手方が安心してデータを購入できる状態を整える必要が出てきています。オーストリアでは、記事を一定本数以上無料で読む対価としてCookie利用同意を求める等の実験的な取り組みをしているメディア企業も出てきています。

ⅱ)販売先での用途
データを販売した先での用途が適正であると認められない場合、データの提供元も違法性を問われたり、あるいは社会的非難を受けるケースが想定されるため、データ販売時には用途を確認するプロセスをオペレーションに組み込むべきと考えられます。場合によっては契約時に表明保証を取り付ける等の運用も考えらます。

ⅲ)自社プラットフォーム上での広告ネットワーク強化
GAFA等外資のプラットフォーム企業はGDPR制定や個人情報利用について一部の企業が過去非難を受けた経緯を踏まえて、データを外部へ連携はせず、逆に広告主からデータ連携を受けて自社プラットフォーム上のAdNetworkを利用してもらう形にシフトしています。
ある意味純広告への回帰とも捉えられるこの現象は今後日本のプラットフォームやメディア企業でも多く出てくると考えられます。

②データを購入する企業

ⅰ)自社のプライバシーポリシー及びCookieポリシー等
閲覧履歴や位置情報に連動するターゲティング広告、コンテンツ・カスタマイズ等を行う場合には、その仕組みをわかりやすく説明しておく必要があります。3rd Party Cookie等を設定する場合には、少なくとも直接契約関係にある3rd Partyについて、3rd Partyの名称/当該サービスや企業のプライバシーポリシーへのリンク、オプトアウトページへのリンク等をしっかりと用意すべきでしょう。一部のデータ提供元についてはその内容や性質に応じて、メディア名等記載した方がよいケースも出てくると考えられます。

日本経済新聞社の記載は非常に丁寧で参考になります。下記にURLを記載しましたので、是非一度ご覧ください。

※他社のプライバシーポリシー、Cookieポリシーはあくまで参考にとどめ、必ず自社で作成ください。他社のものがそのままで自社に適用できることは、データ利活用の実態が大なり小なり異なりますので、まずありえませんので注意してください。

ⅱ)データ提供元での同意取得状況
2019年のリクナビの内定辞退予測が取りだたされた際には、データを購入した企業の名前も公表され、報道されました。データの売買取引自体に違法性はなかったとしても、データの提供元が適切な同意をとっていない場合にはリスクが発生しますので、データ購入時には入手経路や同意取得状況等の情報を事前に確認するプロセスをオペレーションへ組み込むべきと考えられます。今後この分野では、金融機関におけるコンプライアンスのような非常に高い水準での規範が必要になってくるでしょう。

※法令遵守のためには、自社のプライバシーポリシー/Cookieポリシーに加えて、データ提供先との契約内容、提供先の保有個人情報、プライバシーポリシー/Cookieポリシー等があり、それらを全ての法律的な側面から整合性をとる必要があります。最終的な判断は法律家の助言のもと行うようにお願いいたします。

当記事では主に3つの質問に関してお答えしましたが、それ以外にも下記のようなご質問が寄せられています。

  • 個人情報保護法改正によってDMPの利用はどのように考えたらよいのか
  • 消費者のオプトイン同意が必要なケースはどのような場合なのか
  • 個人情報保護法改正によって、今後CRMやマーケティングはどのように変化するのか
  • クッキーポリシーとは何でしょうか?どの程度細かく記載をする必要があるのか
  • Consent Management(コンセント・マネジメント)とは何か
  • Consent Managementの取り組み推進時のハードルと処方箋

トレジャーデータではプライバシーへの配慮、世界各国の法令遵守を前提としたサービスの提供を極めて重要であると考えています。今後、当ブログを始めとして様々な形で、顧客企業のご質問にお答えしていく予定です。

個人情報保護法改正とマーケティング・CRM」について、全4回に渡り動画で詳しく解説しています。是非こちらも合わせてご覧ください。

個人情報保護法改正とマーケティング・CRM ① 概要編

個人情報保護法改正とマーケティング・CRM ② Consent Management編

個人情報保護法改正とマーケティング・CRM ③ Consent Management Project推進編

個人情報保護法改正とマーケティング・CRM ④ 企業間データ連携編

山森 康平|

ドリームインキュベータにて主にエンターテイメント業界及びPEファンド向けのコンサルティング業務と自社の投資先向けのハンズオン支援に従事。2013年より投資先のアイペット損保へ出向、後に転籍をして社長室長に。2018年にマザーズ上場。アイペットではデジタルマーケティングを活用した販売チャネルシフト、RPA導入プロジェクト、代理店向け業務システム開発、金融庁との窓口、投資業務等を担当した。