DIME MAGAZINE
2020年6月12日公布された「個人情報の保護に関する法律等の一部を改正する法律」、いわゆる改正個人情報保護法が2022年4月に施行された。今回の改正について、個人情報などの取り扱いを行っている広告やマーケティング担当者にとっては注意しなければならないことが多い。しかし、デジタルマーケターへの調査では、すでに対策をしている人はわずかであった。
そこで個人情報の取り扱いに詳しい弁護士に、改正内容のうち、デジタルマーケターや広告に携わる人が特に知っておきたい内容を解説してもらった。
法改正への対策を実施しているマーケターは約2割に留まる
データ接続プラットフォーム「LiveRamp」を手がけるLiveRamp Japan株式会社が、2022年3月に、広告主のデジタルマーケター(※1)500名を対象にした、業界変化への対策意識に関する調査を実施した。※1 主にマーケティング・広報宣伝関連・リスティング広告等を活用したデジタルマーケティング施策の設計・運用に従事している男女。
結果、今回の法改正における自社のデジタルマーケティング活動への影響を懸念しているマーケターは62.8%にも上ったが、何らかの対策をすでに実施しているマーケターはわずか22.3%となった。
具体的な施策内容としては、「経営陣、法務など社内関連部署との意思決定」が78.6%で最多となり、次いで「Cookieに代わるIDソリューションの導入」が44.3%となった。
また、「サードパーティCookie排除の動きなど、デジタルマーケティング業界の大きな動きについて、どの程度知っているか?」を尋ねたところ、54%が「業界の変化について聞いたことはある・なんとなく把握しているが、詳細は理解していない」と回答し、13.2%が「まったくわからない」と回答した。昨今、大きく変化している業界の変化の詳細を理解していないことがわかった。
「サードパーティCookie」とは、ユーザーが訪れたWebサイト内で、そのWebサイト以外の場所から発行されるCookieのこと。Cookieとはブラウザに保存される情報であり、Webサイトを訪れた日時や訪問回数などさまざまな内容が記録されている。このサードパーティCookieが近年、プライバシーの観点から規制の動きが世界的に強まっている。
そして、今回の法改正でCookieなどの識別子は「個人関連情報」と定義されることになり、一定の条件で本人の同意が必要になるなど取り扱い方に変化が生じたことから、早急に対策が必要となっている。
改正個人情報保護法の主な改正点
ここで、改正個人情報保護法の主な改正点を確認しておこう。
そもそも、なぜ改正されるのか。個人情報保護法は3年ごとに見直す規定があるためだ。
また、今般の個人情報に対する意識の高まりとともに、技術革新を踏まえた個人情報の保護と利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応などの観点から見直しがはかられた。
今回の改正ポイントは、大きく分けて6つある。
1.個人の権利の在り方
2.事業者が守るべき責務の在り方
3.事業者による自主的な取組を促す仕組みの在り方
4.データ利活用に関する施策の在り方
5.ペナルティの在り方
6.法の域外適用・越境移転の在り方
出典:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律(概要)」
デジタルマーケターとしては、改正内容全般を押さえておきたいが、「4.データ利活用に関する施策の在り方」についてはCookieの取り扱いに関わることであるため、後半に弁護士に解説してもらう。
「1.個人の権利の在り方」においては、個人が事業者に対して、自分の個人情報について利用停止・削除を要請できる機会が増える。また個人は「自分のどのような情報を持っているのか、それを何に使っているのか」を開示請求できる機会が広がる。このことから、データを保持する事業者は、個人から問い合わせがあったときに応じる必要が出てくる。
また、「2.事業者が守るべき責務の在り方」においては、万が一、情報漏洩が発生した場合に、その情報が個人の権利利益を害する場合がある場合、個人情報保護委員会への報告と本人への通知をすることが義務付けられた。
「5.ペナルティの在り方」においては、各種罰金が引き上げられた。
例えば委員会による命令への違反については従来、6か月以下の懲役または30万円以下の罰金だったが、今回の改正で1年以下の懲役または100万円以下の罰金となった。委員会への虚偽報告等は、30万円以下の罰金だったが、今回の改正で50万円以下の罰金となった。
詳細は法律原文、及び概要がまとめられた個人情報保護委員会の資料等を確認しよう。
「4.データ利活用に関する施策の在り方」について
改正個人情報保護法の主な改正点である「4.データ利活用に関する施策の在り方」について、デジタルマーケターへの主な影響や対策ポイントを、ベリーベスト法律事務所の弁護士で、個人情報保護法に詳しい中井和也氏に聞いた。
【取材協力】
中井和也氏
ベリーベスト法律事務所 弁護士
九州大学法科大学院卒業。
一部上場企業にて企業法務担当者として勤務後、ベリーベスト法律事務所に入所。
企業法務に深く精通しており、個人情報保護法の案件をはじめ、多数のM&A、企業内紛争などに対応。依頼者に寄り添う姿勢に定評がある。
https://www.vbest.jp/
「4.データ利活用に関する施策の在り方」では、大きく分けて2つのポイントがある。
一つ目が次の内容だ。
(1)新たに「仮名加工情報」が創設
出典:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律(概要)」
新たに「仮名加工情報」が創設された。
仮名加工情報とは、個人情報や個人識別符号について、その一部を削除したり、復元できる規則性がないよう置換するなどして、特定の個人を識別することができないように加工した情報のことだ。これまでも個人情報をこのように加工して社内で利活用されていたが、今回、明確に定義づけることで、さらなる社内における利活用が念頭に置かれている。
デジタルマーケティングを実施する事業者が「仮名加工情報」を利用するよくあるシーンにはどのようなシーンがあるだろうか。中井氏は次のように述べる。
「統計データを作成するにあたって、氏名、住所等を削除または加工し、個人が特定できないようにしたリストを作成した上で、そのデータをマーケティングに活用するということが想定されます。例えば、ある商品を購入する人が、どの年代でどういった傾向の人物なのか、などマーケティングに活用することが想定されます」
仮名加工情報を利用するに当たっては、どのような注意が必要だろうか?
「削除、加工する個人情報の範囲が狭ければ、個人が特定されてしまう可能性があるため、その点は注意が必要です。また、個人が特定できないにしても、クレジットカード番号など不正に利用される可能性がある情報は削除、加工した上で、利用することが必要です。
さらに、仮名加工情報を作成する際に、削除する情報が漏えいしないように安全管理措置を講ずる義務が課せられています。
加えて、仮名加工情報は、原則として、第三者に提供することを禁止されていますので、安易に提供することがないよう注意することも必要です。
マーケティングのために特定の者との間で共同利用することは法的に許容されておりますが、共同利用する際には、一定の事項をプライバシーポリシー等で公表することが義務付けられております。その他にも様々注意すべき点がありますので、利用する際にはよく法規定を確認しましょう」
●仮名加工情報と匿名加工情報の違い
従来、「匿名加工情報」というものがあったが、仮名加工情報とは異なるため、注意が必要だという。
「仮名加工情報と匿名加工情報の違いについて、正確な理解ができない人が多いかと思います。匿名加工情報は、例えば、個人情報を削除、加工して個人が特定できない情報ですが、仮名加工情報は、個人情報を削除、加工した上で、個人が特定できないようにするものの、他の情報と結びつくことで個人が特定され得る情報となります。匿名加工情報のほうが規制は緩く、規制内容も異なりますので、注意が必要です。詳しくお知りになりたい人は弁護士にご相談ください」
(2)提供先で個人データとなる情報の第三者提供時における本人同意の確認が必要に
もう一つの改正ポイントは、次の内容だ。
出典:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律(概要)」
個人情報保護委員会では「個人データに該当しないものの、提供先において個人データとなることが想定される情報」のことを「個人関連情報」と呼んでいる。個人関連情報には具体的にどのような種類があるのだろうか?
同委員会によれば、個人関連情報には、「端末識別子を通じて収集されたサイト閲覧履歴」や、「商品購買履歴、位置情報」等が該当するという。とはいえ、これらの例でも、個人情報に該当する(特定の個人を識別できる)ものは、個人関連情報にはあたらないという。
出典:個人情報保護委員会「改正個人情報保護法対応チェックポイント」
中井氏に尋ねたところ、この「端末識別子を通じて収集されたサイト閲覧履歴」とは、基本的にはCookieのことを想定しているという。
その他、個人関連情報にはどのようなものがあるのだろうか? 中井氏は次の具体例を挙げる。
●個人関連情報の具体例
・メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
・ある個人の商品購買履歴・サービス利用履歴
・ある個人の位置情報
・ある個人の興味・関心を示す情報
など
改正では、個人関連情報を提供先に渡す場合、本人同意が得られているかどうかの確認が義務付けられた。例えば、DMP(※2)を用いて行動ターゲティング広告等を行う広告事業主は提供元に該当する。提供元はどのようなことに注意するべきだろうか?
※2 DMP:DataManagementPlatformと呼ばれるプラットフォームのこと。インターネット上のユーザーデータの収集・蓄積・統合・分析を行う。Cookie等の識別子に紐付く個人情報ではないユーザーデータの受け渡しを行うケースがある。
「同意の取得は提供先が行うこととなりますが、提供元は、提供先が個人関連情報を個人データとして取得することが想定されるときは、原則として、あらかじめ当該個人関連情報に係る本人の同意が得られていることを確認しなければならないとされています。そのため提供元は、提供先に対し、漫然と個人関連情報を提供してはならず、留意するよう伝える必要があり、その点は、十分な注意が必要です」
では、個人関連情報を受け付けた「提供先」については、どのような対応が必要になるのか。
「提供先は、個人関連情報を個人データとして利用するつもりであれば、提供元から依頼がなくても、本人から同意を取らなければなりません。提供先としては、個人関連情報を幅広く利用することが想定されるのであれば、本人に対して、事前にその旨の説明をして、包括的な同意を得ておき、その都度、同意を得なくても良いように対応すると良いです。その同意取得の方法の一つとして、一般的に行われている、Webサイト上でポップアップなどを用いて同意を得るといった方法があり得るかと思います」
Webサイトの「プライバシーポリシー」の見直しを
その他、今回の改正個人情報保護法を受け、自社が運営するWebサイトにおける「プライバシーポリシー」の見直しをする必要があると中井氏は述べる。
「今回の法改正では、プライバシーポリシーにおいて、安全管理措置の内容、事業者の住所、法人である場合の代表者名等の公表が必要となるなど、見直しが必要となっています。個人情報を利用する事業者は、プライバシーポリシーが改正内容に適合しているものかどうかご検討ください」
今回は、デジタルマーケターを中心に、特に押さえておきたい改正内容を紹介した。一部の情報となるため、一度、しっかりと全体を見通して対応すべき点を見極めることが求められる。
【調査出典】
LiveRamp Japan株式会社「デジタルマーケターの意識調査」
【参考】
個人情報保護委員会「令和2年 改正個人情報保護法について」
個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律(概要)」
取材・文/石原亜香利
最新号
