前回、インターネット広告には様々な種類があり、なかでもターゲティング広告はユーザーの検索や移動などの行動履歴を基に配信されているため、企業にとってはターゲットに近いユーザーへ商品を訴求できる有効な手法となっていることをお伝えしました。
しかしそのような顧客データを扱う事業者にとっては、今後の成り行きが気になるニュースも入ってきています。
2021年の春から、GoogleやAppleがターゲティング広告に関する技術の使用制限強化を始めています。背景には国際的な個人情報保護への規制強化があるとされていますが、日本でも2022年4月に改正個人情報保護法が全面施行されます。
今回は個人情報保護法改正のポイントと、企業が配慮すべき点について、分かりやすくお伝えできればと思います。
個人情報保護法とは
個人情報保護法とは、その名の通り「個人情報の保護に関する法律」です。日本では2003年5月に公布、2005年4月に全面施行されました。
2015年の改正法制定以降、社会・経済情勢の変化を踏まえて3年ごとに見直しを行うこととなりました。2022年に全面施行される改正法はこれにあたります。
今回の改正で具体的には何が変わるのでしょうか。
ポイントは3つです。
- 法定刑の引上げ
- 仮名加工情報による利用制限の緩和
- 個人関連情報の第三者提供について、本人同意確認の義務付け
1.法定刑の引上げ
本改正はすでに2020年12月から施行されていますが、命令違反等あった場合の懲役刑、罰金刑が引上げられています。
出典:個人情報保護委員会ウェブサイト (https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#houteikei)
また改正前は、従業員等本人への罰則規定はありませんでしたが、今回の改正で処罰が規定されています。
今回の改正の背景には、過去に発生した大規模な個人情報漏洩事件があります。当時は個人情報保護法ではなく、不正競争防止違反(営業秘密)で立件されましたが、その後も大小問わず、同様の事案が発生しており、国際的にも個人情報保護が声高に叫ばれていることから、今回の引上げは、国としても個人情報に対する罪を重く受け止めていることが分かります。企業もなお、正しく情報を扱うことが要求されています。
2.仮名加工情報による利用制限の緩和
「仮名加工情報」とは、今回創設された制度です。他の情報と照合しない限り、特定の個人を識別することができないように加工した情報のことを指します。
仮名加工情報の例
これにより、今までは図にあるような「年齢」「性別」「購買履歴」 など、個人情報と紐づいてしまう情報は一律に利用制限がありましたが、改正法施行後は新たな目的での利用が可能となります。
「個人」に近いデータを活用できることで、一定の安全性を確保しながら、より信頼性の高い結果が得られることが期待できます。
ただし仮名加工情報においても、次項で説明する個人関連情報と同様、第三者への提供は原則禁止となっています。本人同意済のデータであるかを確認するなど、安全管理措置を講じることが重要です。
3.個人関連情報の第三者提供について、本人同意確認の義務付け
個人関連情報とは、個人情報、仮名加工情報及び匿名加工情報(特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のこと)のいずれにも該当しないものを指します。
例えば、インターネットの閲覧履歴/IPアドレス/位置情報/Cookie情報などがあげられます。
この個人関連情報を第三者に提供する場合に、本人同意確認が義務付けされます。
次の図で説明します。
出典:個人情報保護委員会ウェブサイト (https://www.ppc.go.jp/aboutus/minutes/2020/201120/)
第158回個人情報保護委員会・資料1「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」p.2を加工して作成
図の場合、A社(提供元)はB社(提供先)に対して、「本人に個人データに紐づけることを利用目的等とともに本人に説明し、同意を得ているか」確認する必要があります。
A社の「購買履歴」を「Cookie情報」に置き換えると、ターゲティング広告での仕組みが見えてきます。
Cookieとは
Cookieとは、ユーザーが訪問したサイトから閲覧しているブラウザに渡される情報のことです。種類は二つあります。
1.ファーストパーティCookie
ユーザーが訪問しているサイトからのCookieです。使用することで例えば
- 前回の閲覧履歴
- ログイン情報
- ECサイトでのカゴ内の情報、送付先情報
などが保存されます。このCookieは同じサイト内のみ有効であり、他のサイトへ情報が受け渡されることはありません。
2.サードパーティCookie
ユーザーが訪問しているサイト内には広告が多く表示されていますが、その広告は別のドメインから広告配信されており、その配信先からのCookieのことを言います。使用することで例えば
- 検索していたワード関連の商品が広告表示される
- ECサイトで購入検討していた商品もしくは関連商品が、別のサイト内に広告表示される
などの事例が挙げられます。このCookieはサイト間の横断が可能となっているため、ユーザー自らがリサーチをしなくても、幅広い情報を得られるメリットがあります。
前回のコラムでお話ししたターゲティング広告は、このサードパーティCookieの仕組みを利用しています。
前章の図で、ユーザーが直接見ているサイトがB社のサイトだとすると、A社の情報は直接やりとりするB社ではない、第三者から提供される情報、いわゆる「サードパーティーCookie」と言われるものになります。
メリットである反面、「知らない会社に情報収集されている」ことに拒否感を感じるユーザーも多く、最近では使用用途を明記し、ユーザーに承認ボタンを促す画面が表示されるなど、不安を払拭するための工夫も見受けられます。
こうした動きの中、アップルは自社開発ブラウザのsafariにおいて、2020年3月からサードパーティーCookieをブロックする機能を実装しています。Googleもまた自社開発ブラウザのChromeにおいて、2023年までにサードパーティーCookieの利用を制限すると発表しています。
このように、サードパーティーCookieを制限もしくは厳しく管理を求める動きがあり、今までサードパーティーCookieを使った広告を利用していた企業は、広告配信の方法も検討する必要があるのかもしれません。
安心・安全なデータの重要性
今回の規制強化は、サードパーティCookieが本人に明確に使用許可を取っていない、いわゆるオプトアウトデータである傾向が多いことが起因しています。
ユーザー自身で広告配信の可否が選択でき、また企業側も安全性を以て使用できる、許諾済のオプトインデータが、今後データ活用を行う上で重要になってきます。
なおタウンページデータベースは、オプトインデータとなっています。安心して安全に活用いただけるタウンページデータベースについては、こちらをご覧ください。
いかがでしたか?「個人情報保護法」というと、個人に関わる情報は何でも保護されてしまって使用制限がかかるのでは、というイメージがあるかもしれませんが、情報を整理して正しく使えば、企業が社会活動を行う上で非常に便利なデータとなる可能性を多く秘めています。
最後まで読んでいただきありがとうございました。
コラム筆者:遠藤 実希子
データベースにご関心やお悩みがございましたら、
ぜひお気軽にお問い合わせください。