マーケティング・シンカ論

個人情報保護法改正で、マーケティングに欠かせない「プロファイリング」はどう変わる?徹底解説!Cookie規制と法改正

» 2022年04月14日 13時30分 公開
[山森康平ITmedia]

連載「徹底解説!Cookie規制と法改正

 サードパーティーCookieへの規制や、個人情報保護法の改正など、Web広告やデジタルマーケティングを巡る状況は大きく変化しています。プライバシー保護規制の状況はいまどうなっているのか、そして今後どうなっていくのか──。

 本連載ではこれまで、改正個人情報保護法関連に関して、Cookie規制の影響や代替技術など、主にテクノロジーの面から概要をお伝えしてきました。今回は、法律の観点から深堀りして解説します。

 改正個人情報保護法の施行により、これまで以上に個人データの取扱いには注意が必要となります。しかし、データを活用したマーケティング手法がまったく使えなくなるわけではありません。ユーザー本人の同意を適切に得ることや、大手プラットフォーマーが提供する各種ソリューションを上手に利用することがますます重要になってきます。

 マーケティングに欠かせないプロファイリングの手法はどう変わるのか? いま注目のデータクリーンルームの運用は?──前回の記事に引き続き、データとプライバシーの問題に詳しい森・濱田松本法律事務所の田中浩之弁護士に、マーケターの視点で気になることを聞きました。聞き手はトレジャーデータの山森です。

プロファイリングはどう変わる? 具体的な規制はないけれど……

photo 画像はイメージです(提供:ゲッティイメージズ)

山森: 「プロファイリング」と呼ばれるマーケティング手法があります。顧客の年齢・性別・職業・趣味などの属性と、購買や行動の履歴を分析し、顧客の特徴を推測する手法です。

 プロファイリングによって、企業は顧客ごとに適切な商品・サービスの情報を提供できます。ECサイトや動画サイトなどのレコメンド機能がイメージしやすい例です。改正個人情報保護法では、プロファイリングに関する規制はどうなっているでしょうか?

田中: 日本の個人情報保護法には直接的な文言はありませんが、プロファイリングのプロセスが法令に抵触する可能性はあります

 GDPR(EU一般データ保護規則)におけるプロファイリングの定義を要約すると「個人がどんな特性を持つ人なのか、自動的に処理して推測する行為」というものです。GDPRは、「完全に自動化された意思決定」に個人が服しない権利を定めています

 例えば住宅ローンの審査の際に、人間は関与せず、AIが個人データを基に借り入れの可否や利率などを全て決めるような仕組みには、本人の同意が必須になります。自動化が禁止されているわけではありませんが、ユーザーには全てを機械に判断されない権利があります。

山森: 日本の法律でも同じように、「自動化された意思決定」を拒否する権利が定められているのでしょうか?

田中: いいえ、「自動化された意思決定」を拒否する権利は日本では導入されていません。ただし、不適正に個人データを利用する行為については、それがプロファイリングであるか否かに関係なく、禁止されます

山森: 「不適正な個人データの利用」とはどういうことでしょうか?

田中: 「違法または不当な行為を助長、誘発する恐れがある方法で、個人情報を使ってはならない」という趣旨で、不適正利用が禁止されています。有名な事例として「破産者マップ事件」(官報で公表されている破産者の情報が集められて地図上で公開された事件)があり、不適正利用はこのようなケースが想定されています。

 かなり例外的ではありますが、倫理的に問題がある手法であれば、場合によってはプロファイリングにおいても個人情報の不適正利用と判断される可能性があります。

山森: 従来のプロファイリング手法では、サードパーティーCookieを活用していたケースも多いです。個人関連情報に関する規制によって法令違反になる可能性もあるのでしょうか?

田中: そうですね。プロファイリングやスコアリングといった手法自体に直ちに問題があるわけではなく、個人関連情報が規制される影響をそのまま受けると考えてください

 また、個人データを第三者提供する場合には第三者提供の記録を開示する義務もできたので、これにより、プロファイリングの場合を含めて、個人が従前よりも、権利行使しやすくなるという影響もあるでしょう

データクリーンルームの活用にも規制への対応が必要

山森: 続いて、ポストCookie時代の有効なマーケティング施策として注目される「データクリーンルーム」と個人情報の関係についてお聞きします。

 データクリーンルームは、個人を識別する情報が除去・加工された安全な環境でデータ分析ができる仕組みです。主に、Google、Amazon、Metaなどのプラットフォーマーが、大手広告会社などとともに提供しています。

photo

 データクリーンルームでは、企業の持つファーストパーティーデータと、プラットフォーマーが持つ広告配信ログやインプレッションなどのデータ、位置情報や視聴履歴など第三者(サードパーティー)が提供するデータが統合されます。データソースを横断して、広告の効果を分析し、今後の配信を検討できます。ただし、個別のソースから得られるIDを突合して、個人を特定することはできません。

 こういった、データクリーンルームを利用する際に法律の観点で注意すべきことはなんでしょうか?

「提供元基準」の原則に基づく

田中: データクリーンルームのサービス提供者の位置付けや、誰が契約上データクリーンルームのオーナーとなっているかについてはいろいろな事例があり得ます。ここはいったん置いておいて、今回はシンプルに「A社が自社の顧客データについて、B社のデータを使ってデータクリーンルーム上で分析する」という事例を基に、第三者提供規制との関係について説明します。

 まずは、データクリーンルームを利用する場合においても、個人データの第三者提供の扱いは「提供元基準」が適用されるという原則を忘れてはいけません

 例えば、顧客の個人データを含むファーストパーティーデータをデータクリーンルーム上にアップロードするとき、提供先が特定の個人を識別できないように加工した上でアップロードしていたとしても、提供元では特定の個人が識別できる以上は、第三者提供の規制対象となります。ですから、ファーストパーティーデータの提供について、提供元は原則として本人の同意を得る義務があります(第4回記事参照)。

photo

委託の限界〜いわゆる「混ぜるな危険」問題に要注意

山森: 第三者提供規制の関係では、委託と整理できれば、同意は不要になるはずですが、データクリーンルームを利用してデータ分析を行う際にも、「委託」と整理して、本人同意を回避することはできないのでしょうか。

田中: 個人情報保護法上の「委託」とは、個人情報を取り扱う事業者が、自社の「手足のよう」な者として、委託先に個人データを取り扱わせることを指します。委託元と委託先を一体として扱うことに合理性が認められる場合のみ、「委託」と考えられるのです。それ以外の場合は、委託の限界を超えますので注意が必要です。

山森: なるほど。委託の範囲を超えるケースについて、具体例を教えてください。

田中: 「混ぜるな危険」問題と呼ばれているケースがあります。「委託元は持っておらず、委託先が独自に取得した個人データ」を、委託先が本人ごとに1対1で突合するケースで、これは委託の範囲を超える可能性があります

 例えば、データクリーンルームを使って、A社がデータをアップロードして、そのアップロードしたA社のデータにB社のデータをぶつけて分析をしたとします。このときA社とB社それぞれの個人データを本人ごとに1対1で突合する行為は委託の限界を超える「混ぜるな危険」の典型例です。

 この場合、A社としては、本来B社が持っているデータには触ることができないはずなのに、委託スキームを使うとこのデータを自由に使えてしまうとすれば手足の範囲を超えています。本人同意の不要な典型的な委託として整理するためには、自分が持っている個人データか、自分でも本人から取得しようと思えば取得できるデータ(※1)を使う必要があります。

(※1)典型的な例を挙げると、委託元が、委託先であるアンケート会社に自社の手足として自社の名義で実名の街頭アンケートを取ることを委託することは可能。

山森: この場合、データクリーンルーム上で本人ごとの1対1突合分析が行われた後、加工した個人データをA社に戻さなければよいのでしょうか? それとも、個人データを本人ごとに1対1突合する行為自体がNGなのでしょうか?

田中: 本人ごとの1対1突合の行為自体が委託の限界を超える、と理解してください

 個人情報保護委員会のQAで広告周りにおける「委託の限界を超える例」として紹介されている事例には、「ハッシュ化されたメールアドレスをSNS事業者に提供し、広告配信に活用する」ケースがあります。このときSNS事業者側が独自に取得したメールアドレスを本人ごとに1対1で突合して、一致した人に広告を表示するような行為は、個人データを広告主(委託元)に戻すわけではありませんが、委託の限界を超えているとされています。

「統計処理されているからOK」ではない

田中: また、統計データはいかなる場合も規制の対象にならないと考えられがちですが、こうした委託の限界の観点からみれば、その限りではありません。先ほどのA社・B社の個人データを本人ごとに1対1で突合したあとでA社に統計データとして返す場合も、委託の範囲を超えると考えられます。

 アウトプットが統計処理されていても、その前の段階で個人データが本人ごとに1対1で突合されていると、それはやはりA社としては本来入手できないB社のデータを使ってしまっているので手足の範疇(はんちゅう)を超えて、規制対象になるのです

 なお、これに対して、A社とB社が個人データを本人ごとに突合することなく、サンプルとなるデータ数を増やす目的で合わせて1つの統計情報を作成して両者で共有することは可能です。「混ぜるな危険」の「混ぜる」というのは、個人データの本人ごとの1対1突合行為を指すので、たまたま同じ人物がA社とB社のデータ中にいても、それを2人の別の者と考えて、統計情報を作るのであれば、委託の限界は超えないと考えられます。

山森: データクリーンルームが紹介される際には、個人が特定されない点が強調されます。法規制への対応は必要ないとのイメージもありましたが、そうではないのですね。とはいえ、例示された状況は、デジタルマーケティングでは実現したいシーンでもあります。企業はどのように対応すればよいのでしょうか?

田中: 個人データを本人ごとに1対1で突合するためには本人の同意を取る必要があります

 この場合の法的な整理の仕方は2パターンあります。1つは「第三者提供」として整理して、提供先が使えるデータとして同意をもらう方法です。提供先は自社のプライバシーポリシーの範囲内でデータを利用します。

 もう1つは、あくまで「委託」としての整理は維持した上で、委託の限界を超える本人ごとの個人データの1対1の突合行為については同意を得る方法です。

 いずれの法的構成を採用するのが適切かは、事例ごとにケースバイケースで検討する必要があります。いずれにしても、本人同意を得るにあたっては、データ活用のプロセスに即して顧客に理解してもらいやすい表現を選択して同意を得るとよいでしょう。

山森: 委託の限界を超える場合の同意が必要、ということは認識していなかったマーケターも多いのではないかと思います。

 また、これまでは委託をする側(委託元)は、必要な同意は委託先が当然取りつけている前提で動いていたケースもあったかもしれません。今後は、トータルでケアしながら同意管理のスキームを検討しなければいけませんね。

田中: はい。委託先が本人の同意を得るケースも考えられますが、委託先としては委託元が同意を得るべきと考えていることもあり得ます。両者の認識を合わせなければ、実は誰も同意を取っていなかった、という事態になりかねません。

山森: どんなマーケティング施策を行いたいのかよく検討して、その実現のために必要な同意取得の詳細や、プライバシーポリシーの書き方など、専門家と相談しながら対応していく必要がありますね。

著者紹介:山森康平

トレジャーデータ 株式会社 事業開発・パートナーシップ担当執行役員

ドリームインキュベータにて主にエンターテイメント業界及びPEファンド向けのコンサルティング業務と自社の投資先向けのハンズオン支援に従事。2013年より投資先のアイペット損保へ出向、後に転籍をして社長室長に。2018年にマザーズ上場。アイペットではデジタルマーケティングを活用した販売チャネルシフト、RPA導入プロジェクト、代理店向け業務システム開発、金融庁との折衝窓口、投資業務等を担当した。2019年にトレジャーデータへ参画。

Copyright © ITmedia, Inc. All Rights Reserved.