個人データを、ビジネスを守る、IIJ

【改正個人情報保護法】デジタルマーケティングにおける個人関連情報第三者提供制限への対応〜クッキー(Cookie)制御が重要


目次

サマリー
1. 個人関連情報第三者提供規制への対応
1.1. 規制の概要
1.2. 用語の定義
1.3. 同意取得確認義務
1.4. 同意取得方法
1.5. 誰が同意を取得すべきか
1.6. 同意取得の確認方法など
1.7. 適用されない可能性が高いケース
1.7.1. ターゲティング広告
1.7.2. ソーシャルプラグイン
2. 現行個人情報保護法等への対応
2.1. クッキー(Cookie)をめぐる誤解
2.2. デジタルマーケティングに関連して適用される現行法の規制
3. おわりに

 

サマリー

  • 改正個人情報保護法の個人関連情報第三者提供規制は、典型的には、パブリックDMPなど、サードパーティ・データを利用する場合に適用される。
  • パブリックDMPから提供されたサードパーティ・データを自社データと突合し、本人を識別できる状態で利用する場合、本人から同意を取得しなければならない。同意取得に当たっては、利用するデータの種類、利用目的を明らかにしなければならない。
  • パブリックDMPからデータ提供を受ける場合、ウェブサイト管理者が情報提供、同意取得の義務を負うのが一般的である。
  • 匿名アクセスウェブサイトにおけるターゲティング広告は、一般的に規制対象とならないが、JIAAターゲティング広告ガイドラインを遵守することが要請される。
  • 現行法のもとでも、クッキー(Cookie)で取得した閲覧情報その他の個人を識別し得ない情報を、ウェブフォームなどで取得した個人情報と結びつけ得る場合、全体について個人情報として規制が適用される場合があり、利用目的の通知・公表その他の法遵守が必要である。

個人情報保護委員会(以下「委員会」)は、4月7日の会合後、「改正法に関するガイドライン等の整備に向けた論点(個人関連情報)」(以下、「論点資料」)※1 と題する資料を公開しました。2020年6月に改正された個人情報の保護に関する法律(以下「改正法」)で新たに導入された個人関連情報の第三者提供規制については、今夏にガイドラインが公表される予定ですが、今回公表された論点資料で、概ねの方向性が明らかになりました。この機会に、企業が国内でデジタルマーケティングを実施する場合における個人情報保護法遵守対応をまとめます。

※1:https://www.ppc.go.jp/files/pdf/210407_shiryou-4.pdf

 

1. 改正個人情報保護法における個人関連情報第三者提供規制への対応

 

1.1. 規制の概要

改正法では、新たに、個人関連情報を第三者に提供する場合の規制が設けられました。該当条文は以下のとおりです。

(個人関連情報の第三者提供の制限等)
第26条の2  個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
2 第24条第3項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第3項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
3 前条第2項から第4項までの規定は、第1項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。

 

用語の定義を含む複雑な構造の条文なので、解きほぐして説明します。なお、以下の説明は、個人関連情報の提供元及び提供先がいずれも国内の事業者である場合に限定します。

 

1.2. 用語の定義

  • 個人関連情報:改正法では、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義されています。論点資料は、個人関連情報に該当する例として、氏名と結びついていないインターネットの閲覧履歴、位置情報、Cookie情報等を挙げています。また、同じく論点資料で示されている規制適用の典型的な場面の説明では、購買履歴が挙げられています。定義の文言およびこれらの例から、顧客等のオンライン及びオフラインの行動履歴情報及びその分析によって生成された顧客等の属性情報など、デジタルマーケティングにおいて取得・利用される情報は、それらに含まれる記述により特定の個人を識別できない場合、個人関連情報に含まれると考えられます。
  • 個人関連情報データベース等:改正法では、「個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの」と定義されています。政令では、「これに含まれる個人関連情報を一定の規則に従って整理することにより特定の個人関連情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの」(第7条の2)と定義されています。デジタルマーケティングの文脈では、顧客等の行動履歴、属性情報等から構成されるデータベースを意味するものと考えられます。
  • 個人関連情報取扱事業者:改正法では、「個人関連情報データベースを事業の用に供している者であって、国、地方公共団体、独立行政法人等又は地方独立行政法人を除いたもの」と定義されています。つまり、個人関連情報データベース等を事業活動において利用している民間事業者ということになります。
 

1.3. 同意取得確認義務(改正個人情報保護法)

個人関連情報取扱事業者が、個人関連情報データベース等を構成する個人関連情報を第三者に提供し、当該第三者が当該個人関連情報を個人データとして取得することが想定されるときは、原則として、このような提供及び取得について本人の同意が得られていることを確認する義務があります。このような確認方法は、個人情報保護委員会規則により、個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法によるものとされます。
論点資料では、この規制の典型的な適用場面として、下図のように、パブリックDMPのような事業者が顧客等のクロスサイト行動履歴を他事業者に提供する例を挙げています。

個人情報委員会「改正法に関連するガイドライン等の整備に向けた論点について (個人関連情報)」(令3/4/7)より

この例に即して上記の規律を解きほぐすと、次のようになります。

  1. パブリックDMPのA社は、サードパーティクッキーを設定するタグをB社その他のA社DMPサービスを利用するウェブサイト管理者に提供する。B社その他のウェブサイト管理者は、このタグを自社が運営するウェブサイトに埋め込む。
  2. A社タグを埋め込んだウェブサイトを閲覧した利用者のブラウザには、A社を設定ドメインとするサードパーティクッキーが設定され、利用者のブラウザには一意のブラウザIDが付与される。これらのウェブサイトにおいて利用者が閲覧したページ、購入した商品などに関する情報がブラウザIDとともにA社に送信される。
  3. A社は、氏名やメールアドレスが不詳であるが、一意に識別しうるブラウザを利用している個人に関するネット上の行動履歴、購買履歴およびこれらを分析して得られる属性情報等から構成されるデータベースを構築する。これは個人関連情報データベース等に該当する。A社は、これらの個人関連情報をB社その他のA社DMPサービス利用企業に提供する。
  4. B社は、ウェブフォームにおいて利用者の氏名、メールアドレスなどの個人情報を取得しており、これらの個人情報を、B社自身が設定するファーストパーティクッキーにより設定する利用者のブラウザIDに結びつけたデータベースを保有している。
  5. B社は、B社自身が設定したブラウザIDとA社から提供されたブラウザIDとを突合することができる。これにより、A社から提供された利用者の行動履歴、閲覧履歴、属性情報などの個人関連情報は、B社が把握している氏名、メールアドレスなどと結びつけることが可能となり、これらは全体として、識別し得る個人に関する情報(個人情報)から構成されるデータベースを構成する個人データとなる。B社はこれらの情報を利用して利用者を対象とするマーケティング活動を行う。

以上のようなデータ利用を行う場合、B社は、A社に対してこれらの情報を提供する前に、本人から同意を取得していることを確認する必要があります。

一般的に、クロスサイトの行動履歴、それらから分析された属性情報を提供するパブリックDMPからデータの提供を受け、自社では利用者の個人情報(氏名、メールアドレスなど)を保有している場合、個人関連情報第三者提供規制の適用対象となる可能性があります。

 

1.4. 同意取得方法(改正個人情報保護法)

論点資料では、このような同意取得にあたっては、「誰が」「何を」「どのように」利用するのかを明確にした情報提供をしなければならないとしています。

「誰が」とは、誰が提供される個人関連情報を利用するかに関する情報です。提供先(上記例の場合はB社)において同意を取得する場合においては、利用主体は明らかです。提供元(上記例の場合はA社)において同意を取得する場合においては、提供先を明らかにする必要があります。

「何を」とは、提供される個人関連情報の種類です。同意取得に際し、どのような個人関連情報が提供されるのかを明らかにする必要があります。

「どのように」とは、提供先における個人関連情報の利用目的です。同意取得に際し、提供先において個人関連情報がどのような目的で利用されるのかを明らかにする必要があります。例えば、閲覧履歴から生成される属性情報に基づいてカスタマイズされるウェブコンテンツ、広告を表示するために利用するなど、具体的な利用目的について情報提供しなければなりません。

2020年11月30日に個人情報保護委員会が公開した資料「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」※2 では、同意取得方法について、本人に対して必要な情報提供を行い、本人がそれをよく理解した上で、明示の同意を得ることを原則とすべきとされています。上記の「誰が」「何を」「どのように」を明らかにした上で、同意を取得すべきとの意味であり、同意を取得するためのインタフェイスの例が示されています。

※2:https://www.ppc.go.jp/files/pdf/201120_shiryou-1.pdf

個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」(令2/11/30)より

 

1.5. 誰が同意を取得すべきか

論点資料では、提供先(上記例の場合、ウェブサイトを運営するB社)が本人から同意を取得すべきとの考え方が示されています。論点資料で示されている理由は、次のとおりです。

  1. 本人が利用するウェブサイトを管理する提供先は、本人との接点を持っているのに対して、パブリックDMPである提供元は通常、本人との接点を持っていないこと
  2. どのようなデータをどのような目的で利用するのか、より正確に説明できるのは提供先であること
  3. 提供先で同意を取得することにより、誰が利用主体であるか、本人が認識しやすいこと

ただし、論点資料は、提供元が同意取得を代行することも許容されるとしています。この場合には、「誰が」「何を」「どのように」利用するのかを本人が認識できる状況を確保することが必要であるとしています。

 

1.6. 同意取得の確認方法など(改正個人情報保護法)

論点資料では、同意の確認方法についていくつか注意すべき点が明らかにされています。
(提供先が同意を取得する通常の場合)提供元は、同意を取得したことについて、提供先の申告内容を一般的な注意力をもって確認すれば足りることとされています。提供先が同意を取得したと虚偽の申告をして、個人関連情報を個人データとして取得した場合、「不正取得」に該当する場合があるとされています。提供先から提供元に対して、本人同意を取得しているID等を提供する行為は、個人データの第三者提供に該当する場合があるが、改正法第26条の2第1項の確認行為において必要な情報のみを伝える場合には、法令に基づく場合(個人情報保護法第23条 第1項第1号)に該当し、これについて本人の同意取得は必要ないとされています。

論点資料には明記されていませんが、改正法による個人関連情報の第三者提供規制は、技術中立的に記述されており、パブリックDMPに限らず、他社から提供されるデータを自社データと突合して本人を識別できる場合には「個人情報」に該当し、改正法の規制が適用されることは言うまでもありません。また、このような提供を可能とする技術についても、サードパーティクッキーによる場合のほか、モバイルアプリにおいて端末を識別するためにオペレーティング・システムが提供する端末識別子(IDFA、AAIDなど)、デバイス・フィンガープリンティングによる端末識別など、様々な技術の利用が想定されます。

 

1.7. 適用されない可能性が高いケース

以下のケースについては、改正法による個人関連情報の第三者提供規制は適用されないと考えられます。

 

1.7.1. ターゲティング広告

ログイン認証を行わず、フォームなどで氏名・メールアドレスなどの個人情報を取得しないウェブサイトに広告エージェンシーが提供するタグを埋め込み、閲覧者のブラウザにサードパーティクッキーを設定して行うターゲティング広告については、個人関連情報の第三者提供規制は適用されないと思われます。

ログイン認証を行わないウェブサイトにおけるターゲティング広告の例

この例では、提供を受けるX社は、ブラウザを識別することはできますが、ブラウザを利用する個人を識別することはできず、提供先において個人データとして取得することが想定される場合という要件を満たしません。AないしD社は、ウェブサイトにサードパーティクッキーを設定するタグを埋め込むだけで、「個人関連情報データベースを事業のように供している」とは言えないと思われます。また、この例では、X社が直接、閲覧情報などの個人関連情報を取得しているので、AないしD社からX社への提供があるとは言えないと思われます。

ターゲティング広告に関連する別のケースとして、リアルタイム入札(RTB)に参加するDSP、SSPなどの事業者間で、個人を識別しない状態で閲覧者属性情報の提供が行われる場合があります。これらの事業者は、ブラウザIDやモバイル端末識別子などを共通のキーとする個人関連情報データベースを事業の用に供しており、RTBに関連して事業者間で個人関連情報の提供が行われていると言えます。しかし、RTBにおけるこのような情報提供においては、一般的には、提供先において個人を識別することはできず、したがって、提供されたデータを個人データとして取得するわけではないので、改正法の個人関連情報第三者規制が適用される可能性は低いと思われます。

個人情報保護委員会が今回の法改正について2019年12月に公表した制度改正対応でも、これらのターゲティング広告に関連するケースを規制対象として想定せず、広告業界の自主規制に委ねる立場を表明しています。このような自主規制の代表的なものは、一般社団法人・日本インタラクティブ広告協会(JIAA)が公表している「ターゲティング広告ガイドライン」※3 です。同ガイドラインは、透明性および利用者関与機会の確保の観点から、ターゲティング広告を行う場合、情報提供、安全管理、オプトアウト提供を事業者に求めています。

※3:https://www.jiaa.org/wp-content/uploads/2019/11/JIAA_BTAguideline.pdf

ただし、例外的に、ターゲティング広告RTBに参加するこれらの事業者が何らかの形で個人を識別しうる情報、例えば、氏名、メールアドレスなどを取得し、これらと照合して、閲覧情報、属性情報などを個人に紐付け得る場合、個人関連情報を個人データとして取得することになる可能性があります。この点について、個人情報保護委員会は、次に示すように、改正法の趣旨は、個人の権利利益の侵害を防止することにあり、提供先が積極的に照合行為を行わない限り、すなわち、提供された個人関連情報を、もっぱら匿名のターゲティング広告のために利用する場合においては、個人関連情報の第三者提供規制の適用対象とする必要はないのではないか、という方向で運用方針を検討しているようです。 この点は実務上重要なポイントなので、今夏に公開が予定されているガイドラインで明らかにされると思われます。

「個人データとして取得」の語義
本条における「個人データとして取得」の典型例として、個人関連情報を直接個人データに付加する場合が挙げられる。一方、直接個人データに紐付けて活用しないものの、別途、提供先が保有する個人データとの容易照合性が排除できない場合まで規律を適用するか、検討する必要がある。

改正法の趣旨は、個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止することにある。
容易照合性によって個人データになる場合は、提供先が積極的に照合行為を行わない限り本人を識別できないことから、適用対象とする必要はないのではないか。

そこで、本条における「個人データとして取得」は、提供先において、個人データに個人関連情報を付加する等、個人データとして積極的に利用しようとする場合に限られるとしてはどうか。

個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」(令2/11/30)より

 

1.7.2. ソーシャルプラグイン

ウェブサイトにソーシャルメディア(Facebook、Twitterなど)が提供するソーシャルボタンのタグを埋め込み、ソーシャルメディア上の当該閲覧者のタイムラインブラウザに閲覧情報を共有する場合も、個人関連情報の第三者提供規制は適用されないと思われます。

ソーシャルプラグインの例

この例では、提供を受けるY社は、アカウント管理によって本人を識別しています。しかし、AないしD社は、ウェブサイトにソーシャルプラグインを埋め込むだけで、「個人関連情報データベースを事業のように供している」とはいえないと思われます。また、この例では、Y社が直接、閲覧情報などの個人関連情報を取得しているので、AないしD社からY社への提供があるとは言えないと思われます。

 

2. 現行個人情報保護法等への対応

以上、改正法により新たに導入された個人関連情報の第三者提供規制が適用されることが想定されるケースを概観してきましたが、現行の個人情報保護法のもとにおいても、デジタルマーケティングにおけるデータ利用が規制を受ける場合があります。

 

2.1. クッキー(Cookie)をめぐる誤解

「クッキー(Cookie)は個人を識別しないから個人情報ではない」という説明をどこかでお聞きになったことがないでしょうか。このような説明は本当なのでしょうか。クッキー(Cookie)そのものは、ブラウザとサーバーとの間の通信状態を管理する実装技術の名称です。問題なのは、この技術によってウェブサイト管理者が取得し、利用する情報が個人情報であるかどうかが問題です。通常、クッキー(Cookie)を利用して利用者のブラウザに唯一識別子を付与するとしても、これにより自然人としての利用者が識別されるわけではありません。したがって、この状態では、たしかにクッキー(Cookie)を利用して取得したブラウザ識別子は、個人情報保護法によりその取扱が規制される個人情報ではないと言えます。

しかし、同じウェブサイトに用意されたウェブフォームで氏名、メールアドレスなど、個人を識別しうる情報を取得し、これらの情報とクッキー(Cookie)により取得したブラウザIDとを関係づけられるのであれば、状況は一変し、これらのすべての情報は、識別され得る個人に関する情報、つまり個人情報となります。また、これらの情報は通常、データベースとして体系的に組織化されるので、これを構成する個々のレコードは、「個人データ」としても規制対象となります。

 

2.2. デジタルマーケティングに関連して適用される現行法の規制

メールマガジンを発行するためにメールアドレスを取得したり、アカウント認証を行ったりすることにより、個人情報を取得するウェブサイトにおいて、プライベートDMP、MAツール、ウェブアクセス解析サービスなどのデジタルマーケテイングのためのツールを活用し、閲覧情報、購入情報などを取得、分析する場合には、これらのツールで取得するデータは、識別しうる個人に関する情報、すなわち現行の個人情報保護法においても個人情報となり、その取扱が規制の対象となる場合があります。このような場合には、以下の法遵守対応が必要です。

  • 利用目的の特定・通知(公表)
  • 通知(公表)した目的以外に利用しないこと
  • 通知(公表)した目的以外に利用する場合、本人の同意を取得すること
  • 第三者に提供する場合、原則として本人の同意を取得すること
  • 安全管理措置を講じ、従業員・委託先を適切に監督すること

このような状況をあらかじめ想定し、ウェブフォームで個人情報を取得する場合、ウェブサイト全体を通じて行っている個人情報の取扱全体について、ウェブサイト利用者に対する適切な情報提供などに配慮することが必要です。

 

3. おわりに

多数の事業者が複雑に関与するデジタルマーケティングの実務において、具体的なケースごとに、改正法の個人関連情報第三者提供規制が適用されるかどうかを見極めるのは困難であることが予想されます。データ利用方法によっては、現行法の個人情報の取扱に関する規制が適用される可能性もあります。いずれにしても、法が事業者に求めるのは、適切な情報提供のもとで本人関与の機会を確保し、個人の権利利益の侵害を防止することです。たとえ、法規制を受けない場合であっても、ダーク・パターンという言葉に象徴されるように、消費者が企業のデジタルマーケティングを見る目は厳しさを増しつつあります。企業にとって何よりも重要なことは、顧客および見込み顧客からの信頼を得ることであり、デジタルマーケティングに当たっては、常に透明・公正・本人関与の原則を意識する必要があります。

(執筆:鎌田 博貴)

 

 

おススメ

おススメコンテンツ

おススメeBook

おススメサービス

関連情報

コンテンツ

改正個人情報保護法関連ニュース

デジタルマーケティング関連コンテンツ

同意関連コンテンツ

ターゲティング関連コンテンツ

ソーシャル関連コンテンツ

【論説】デジタルトランスフォーメーション(DX)とデータ保護法コンプライアンス(弁護士 石川 智也)

BizRis有料会員のメリット

有料会員様向けのアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、BizRis有料会員様の実務上の様々なご相談にお答えします。

関連記事