個人情報保護法の改正が与える広告戦略への影響とは?
2020年6月5日に改正個人情報保護法(以下「改正個人情報保護法」といいます。)が成立し、2022年6月頃までには施行される予定です。
改正前の個人情報保護法では、個人情報取扱事業者が個人データを第三者に提供する場合には、原則としてあらかじめ本人の同意が必要でした。
一方で、cookie(例えば、ユーザーの訪問履歴やインタレストカテゴリから適切な広告を表示するのに使用されます)等の「個人データ」に該当しない情報については、規定の適用はありませんでした。改正個人情報保護法では、このような個人データに該当しないデータ(個人関連情報)であっても、第三者に提供する場合に規制が及ぶことがありえます。
ターゲティング広告やDMP(Data Management Platform)を利用したデジタルマーケティングを利用して自社製品を販売する企業も多く、今回の改正個人情報保護法によりそのような企業が影響を受ける可能性がでてきました。
そこで、今回は、改正個人情報保護法によりターゲティング広告等の実施にあたってどのような影響を受けるのか、改正個人情報保護法の施行に向けてどのような対応をすればいいのか?と悩まれている企業に向けて、下記のことをお伝えします。
・ターゲティング広告の一般的な仕組み
・提供先において個人関連情報をどのように利用することが想定されるのかは要確認
・個人関連情報を提供する側での対応
・個人関連情報の提供を受ける側での対応
1 改正個人情報保護法の改正の背景
(1)従来の個人情報保護法で「個人データ」に該当しない、いわゆる個人関連情報については、規制の対象外でした。
改正前の個人情報保護法では、個人情報取扱事業者が個人データを第三者に提供する場合には、原則としてあらかじめ本人の同意が必要でした。他方で、cookie(例えば、ユーザーの訪問履歴やインタレストカテゴリから適切な広告を表示するのに使用されます)等の「個人データ」に該当しない、いわゆる個人関連情報については、規定の適用はありませんでした。しかし、この制度の穴をついた形で利用する企業が現れました。(下図参照)
(出典:第127回個人情報保護委員会「資料1」)
この図では、B社が自社サイトを利用するユーザーXの好みを把握したいとします。そこで、A社はユーザーXと同じcookieに関する他のサイトの閲覧データや行動履歴、趣味嗜好といったデータをB社に販売することで利益を上げるのです。
現行法では、仮にB社において個人を特定する形で使用することがわかっていても、A社においてそのcookieに対応する個人を特定できないのであれば個人情報保護法の規制が及ばないため、本人の同意なくデータをB社に提供できてしまいます。つまり、本人としては自分の閲覧履歴や趣味嗜好等の個人情報を提供した覚えがないのに、B社に把握されてしまう、という結果になるのです。
(2)リクナビ事件により、個人関連情報も保護する必要が認められました。
ここ数年、こうしたインターネット上のユーザーデータの収集・蓄積・統合・分析を行う「DMP(Data Management Platform)」と呼ばれるプラットフォームが普及し、cookie等の個人情報ではないデータを提供先において他の情報と照合することにより個人情報となることを知りながら提供する事業形態が増えてきました。
今回の法改正の原因にもなったのが、いわゆるリクナビ事件です。大手就職ポータルサイトを運営していたリクナビは、リクナビでの行動履歴等から特定のcookieに関する内定辞退予測スコアを算出し企業に販売していました。この際、リクナビでは当該cookieが誰のものなのかについて個人を特定しない形でデータの作成をおこなっており、提供先の企業において個人を特定可能であったとしても、形式的には現行法の規制に抵触しないスキームであるとして、本人からの同意取得を回避していたのです。
このようにユーザーデータを大量に集積し、それを瞬時に突合して個人 データとする技術が発展・普及したことにより、提供先において個人データとなることを知りながら非個人情報として提供するという個人情報保護法の潜脱行為が増えてきました。
そこでそのような行為についても規制対象とするべく、あらたにcookieなどの個人データとして利用しうる情報類型を「個人関連情報」というカテゴリと定め、その第三者提供などを制限できるように改正されました。
2 ターゲティング広告の一般的な仕組み
さて、企業はcookieを用いてターゲティング広告をすることがあります。ターゲティング広告とは、特定の顧客層にターゲットを絞った広告のことで、無差別に広告を行う「マス広告」と区別されています。企業としては、自身の商品に興味を持っている人に特化した広告を実施したほうが当然効率的です。この「自身の商品に興味をもっているかどうか」の判定にcookieを使用します。
例えば、焼き芋を販売している企業Xがあったとして、自社の焼き芋の広告を実施したいとします。
(出典:消費者庁 第4回消費者契約法の運用状況に関する検討会 資料4)
その際、インターネットにおいて焼き芋に関係のあるサイトABCを訪問したユーザーに対して、cookieが発行され、当該cookieと同じユーザーがサイトDを訪問した際に、サイトDに企業Xの焼き芋広告が表示される、というのが基本的なターゲティング広告の仕組みです。
これもcookieを利用して、特定のユーザーの趣味嗜好を把握し、広告に利用しているのですから、改正個人情報保護法において規制対象になってしまうのでしょうか?
3 提供先において個人関連情報をどのように利用することが想定されるのかは要確認
結論からいえば、ターゲティング広告すべてが規制対象になる、というわけではありません。改正法では、あくまで提供先において「個人データとして取得することが想定されるとき」(改正法26条の2第1項)に本人の同意確認が必要であるとしています。つまり、提供先が当該cookie等を個人データとして利用しない形式でのターゲティング広告であれば、規制対象外となります。
なお、「想定されるとき」とは、政府参考人は以下の2類型を例示しています。
① 第三者となる提供先の事業者から、事前に「個人関連情報を受領した後に他の情報と照合して個人データとする」旨を告げられている場合
② 第三者に個人関連情報を提供する際、当該第三者において当該個人関連情報を氏名等と紐付けて利用することを念頭に、そのために用いる固有ID等も併せて提供する場合
他にどういったケースがあるかは、今後公開されるガイドライン等を注視する必要がありますが、ターゲティング広告を行う企業にとって重要なのは、(1)ターゲティング広告を行う際にもらうデータと、すでに保有している個人のデータを紐づける予定があるのかどうか、そして、企業が広告対象の特定のために提供するcookieを(2)利用するDMP事業者等において個人データとして利用するのかどうか、です。
では、具体的にはどういった対応をすべきでしょうか?
4 対応方法
まず、あらかじめ以下の点を確認することが大切です。
・提供しているのであれば、提供先ではどのような形で利用しているのか
そして、今回の改正法の対象となるような利用形態があるのであれば、現在のプライバシーポリシーや規約などにおいて定めているデータの利用目的や、ユーザーからのデータのとり方が適切かを検証し、不適切なのであれば適宜修正する必要があります。
2021年の6月以降にガイドラインが公表される予定ですので、ガイドラインや同時に公表予定のQ&A、その他政令、規則などをしっかり確認したうえで、対応しましょう。
今回の改正にまつわる問題は、法的な問題はもちろんのこと、その技術的背景までしっかり理解していることが重要ですので、具体的な検討とその対応は、技術的素養のある弁護士などの専門家にご相談されることをお勧めいたします。