弁護士と語るDX時代のデータ活用。Cookieレス時代の企業が知っておくべき「個人情報の取り扱い」の基礎知識 | 電通デジタル 特選コラム | ネットショップ担当者フォーラム

ネットショップ担当者フォーラム - 2021年4月19日(月) 08:00
このページは、外部サイト ネットショップ担当者フォーラム の情報をRSSフィード経由で取得して表示しているため、記事の一部分しか表示されていなかったり、画像などが正しく表示されなかったり、オリジナル記事が意図したデザインと異なっていたりする場合があります。
完全な状態のオリジナル記事は 「弁護士と語るDX時代のデータ活用。Cookieレス時代の企業が知っておくべき「個人情報の取り扱い」の基礎知識 | 電通デジタル 特選コラム」 からご覧ください。
DX時代に企業が直面する「個人情報の取り扱い」という課題について、弁護士の田中氏、トレジャーデータの山森氏、電通デジタルの今井氏が語ります。(後編)
企業がDX時代に直面する「個人情報の取り扱い」、課題とヒント(後編)

 

  • 株式会社電通デジタル
    ビジネストランスフォーメーション部門サービスマーケティング事業部
    グループマネージャー
    今井紫

  • 森・濱田松本法律事務所
    パートナー弁護士
    ニューヨーク州弁護士
    田中浩之

  • トレジャーデータ株式会社
    Director of Business Development
    山森康平

弁護士の田中浩之氏、顧客データ基盤を提供するトレジャーデータの山森康平氏、デジタルマーケティング全般のソリューションを提供する電通デジタルの今井紫氏による鼎談の後編。

前編では「個人情報に対する部門間の意識の違いにより、意思決定が遅くなる」「プライバシーを専門にする人材が不足している」という2つの課題について語りました。後編で取り上げる課題は「データ処理プロセスの透明化」です。

課題3:データ処理プロセスの透明化が難しい

山森デジタルマーケティング業界で、クライアントが喫緊の問題として注視しているのが「サードパーティーCookieに代わるデータをどうするか?」ということです。「1ID」というキーワードはありますが、改正個人情報保護法に則りつつそれらのデータを探すにはどうすればよいのか、私たちにも多くのご相談が寄せられています。

田中EUでは、GDPR(※1)上、「Cookieその他の端末識別子」自体が個人情報とされている他、「eプライバシー指令」に基づく各国法によるCookie規制があります。そのため、「厳格必須Cookie」(※2)以外については、原則としてユーザーに「Cookieをどう利用する可能性があるのか」を説明した上で、オプトイン同意を得ることが必要となっています。こうしたEUの厳しい規制は、EUだけでなくグローバルで、サードパーティーCookie対応の起点となりました。

企業も、GDPRをきっかけにCookieポリシー等で透明性のある説明を行い、Cookie同意ツール等を導入して、ユーザーが選択できるような仕組みを用意することが増えましたよね。

一方、2020年改正の日本の個人情報保護法では、「Cookieその他の端末識別子」自体を個人情報とする改正はされませんでしたが、「個人関連情報」規制のなかで一部のCookie利用が規制されることになりました。

※1 CCPA:California Consumer Privacy Act。カリフォルニア州消費者プライバシー法。2020年に施行。カリフォルニア州の住民の個人情報を取扱う事業者に適用される。全米初の包括的な個人情報に関する州法。
※2 厳格必須Cookie:ウェブサイトの運営のために厳格に必須なCookie。たとえば、ECサイトにおける買い物かごの中身を記録するためのCookie等が典型例。

今井「個人情報」と「個人関連情報」の違いについては、少し理解が難しいところがありますよね。田中先生の観点から、個人関連情報についての改正のポイントを教えていただけますか?

田中法文上、「個人関連情報」は、 Cookieを使う場合に限って規制をかけるものではありませんが、たとえば、Cookieに紐付く個人情報ではないユーザーデータ(趣味嗜好等の属性情報等)も、典型的には 個人関連情報に含まれます

企業等が取得したこの「個人関連情報」を第三者に提供する際、「個人関連情報を受け取る側が、そのデータを『個人データ』(※3)として取得する」ことが想定される場合には、提供元は提供先への確認義務を負います。確認義務の内容は、「提供先がそのデータを『個人データ』として取得することについて、提供先はユーザー本人から同意を得ているか?」ということです。

制度改正の大綱では、パブリックDMP事業者の事例が挙げられ、「パブリックDMPを利用してデータ利活用をしているケースが、プライバシー上懸念がある」との見解が示されました。

パブリックDMP事業者は、Cookieに紐付けてユーザーの属性情報を保有していますが、通常、自社では個人データとしては管理していません。ところがパブリックDMP事業者からデータを受け取る側の企業では、Cookieと別途取得した自社の会員登録データ等を紐づけて、その会員についての属性(趣味嗜好等)を知ることができます。

多くのケースではパブリック DMP事業者は、「受け取る側の企業が個人データとして受け取る」ことを想定してデータを渡しているはずなので、先ほど述べた通り「受け取る側の企業が、ユーザー本人から同意を取得しているかを確認する義務」が、パブリックDMP事業者に発生します。

このように「Cookieを使って、ユーザー本人の知らないうちにデータがやり取りされてしまう」ことに規制をかけるのが、1つの典型的な適用ケースです。必ずしも個人関連情報規制の導入により、Cookieの利用全般が規制されるわけではありません。

※3 個人データ:個々の個人情報で、「個人情報データベース等」を構成するものを個人データと呼ぶ。データベースに入っていない散在情報については、個人情報ではあるが、個人データには当たらない。

今井なるほど、よく分かりました。個人関連情報以外で、今回の改正で理解しておくべきポイントはありますか。

田中今回の改正では、事業者の守るべき責務の在り方として「不適正利用の禁止」という項目が盛り込まれました。改正前に明文化されていたのは不適正な「取得」の禁止でしたが、不適正な「利用」については明文化されていなかったのです。

つまり、「騙してデータを取る」のはダメだが、「今すでにあるデータを利用する」ことについては明文の規制はなかったといえます。今回の改正で、例えば2019年に話題となった「破産者マップ (※4)」のような倫理的に問題のあるサービスを停止させられる、明確な根拠ができたわけです。

もう1つ挙げると、ユーザーに対する個人情報の利用目的の説明に当たり、「データ処理の方法についての説明」を充実させよ、というものがあります。これは、条文では反映されないのですが、改正のタイミングに、ガイドラインで定められる見込みです。

データ処理の方法といっても、アルゴリズムの詳細を書くわけではなく、取得したデータを利用する目的が分かる範囲で、その処理プロセスを明らかにせよ、ということです。

例えば、「広告宣伝目的で使います」という単純な説明ではなく、「あなたの行動履歴や閲覧履歴を分析したうえで、あなたの嗜好にあった広告を表示します」という、プロセスの透明化と具体的な説明が必要になります。

※4  破産者マップ:破産者の情報を収集し、インターネットの地図上に載せたサイト。政府の個人情報保護委員会の求めで、2019年に閉鎖。この事例では個人データの第三者提供の同意がなく、個人情報保護委員会にオプトアウトによる第三者提供の届出もされていなかったため、違法の認定は容易だったが、仮にオプトアウトによる第三者提供の届出がされていた場合には、個々人の同意なくサイトの運営が継続できていた懸念がある。オプトアウト届出についての詳細は個人情報保護委員会の解説を参照。

今井しかし、実務としてデジタルマーケティング推進の戦略策定から実行まで関わっている立場から申し上げますと、この「データ処理プロセスの透明化」は非常に難しいと感じます。仕組みを知っているだけでは足りず、実際にどのデータベースにどういったデータが格納されていて、それがどのように処理されているのかを理解していないと、プロセスはなかなか説明できません。

田中そもそも現状のプロセスを把握できていない企業も多いですよね。そういう企業では、プロセスの透明化に相当な時間がかかります。仮にCookie同意ツールを導入しようとなっても、まず今までCookieをどう活用してきたかを把握する必要があるわけです。

今井確かに、Cookieを自社がどう使ってきたかを把握できていない企業も多いように思います。マーケティングやセールスのためにダッシュボード上で施策を動かしていても、Cookieを一連のプロセスのどこで取得し、どのデータと結びつけて、どの施策に反映してきたかが、見えていない場合が多いのです。

私が「Treasure Data CDP」の利点だと感じるのは、扱っているのが生データ、いわゆる「全量データ」であることです。ダッシュボード上で可視化されたデータだけを見て判断すると、その裏側にあるかもしれないデータを見落とす可能性があります。実はその裏側にある別のデータの存在によって、Cookieに紐付くユーザーデータ(趣味嗜好等の属性情報等)が個人情報とみなされる場合があります。

田中「容易照合性」の問題ですね。法律上、個人情報の定義(※5)に「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」という表現があり、Cookieに紐付くユーザーデータも企業が持っている他の情報と容易に照合することができ、それにより、特定の個人を識別することができることになれば、個人情報に該当することになります。

※5 個人情報の定義:個人情報とは、生存する個人に関する情報であって、生存する個人に関する情報であって、次の①②のいずれかに該当するものをいう。①当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)②個人識別符号が含まれるもの

今井同じCookieでも、「データをどう持っているか」によって、前提が全く異なってしまうわけですね。

山森そこで私の場合、クライアントのCDP導入プロジェクトの最初に、全体を見通す形でデータマッピングを行います。クライアントがどんなデータを保持しているかを、マーケティング(事業)観点、プライバシー観点、法務的観点で棚卸しすることで、クライアントと認識を揃えるようにしています。

田中ただ、データマッピングは非常に難しいですよね。各部署にシートを配って埋めてもらおうとしても、担当者や部署ごとに認識がまちまちで、なかなかうまくいかないことが多いですね。

今井確かにデータの持ち方について、部門によっても認識が違いますよね。私もデータマッピングは難しいと感じています。

田中法律家の立場からすると、現場の各担当者に作成していただいたデータマッピングの結果は、うのみにしないようにしています。マップを見てみたら、事業活動上、当然ありそうなものが抜けているので、確認すると「実はありました」ということもよくあります。そうすると、今井さんが先程おっしゃったように「前提が違う」ということになるわけです。

今井会社や担当者によって理解度も違えば、時には会社の規定として個人情報保護法よりも厳しい運用ルールを定めていることもあり、データマッピングを行うとプロジェクト自体がストップする場合もあり得ます。そういう時は、まず「自分たちで把握・判断のできるデータ」だけを用いて施策化していき、それを“突破口”にすることもありますね。

山森私たちの場合、「Treasure Data CDP」に格納されているデータは把握できるのですが、外のデータベースに格納されているデータは当然わかりません。導入に当たって最初にデータマッピングを行うのは、クライアントのデータプロセスの全体像を把握するためでもあるのです。

つまり、「Treasure Data CDPに格納しているデータは個人情報に当たらないが、社内の他のデータと統合すると、容易照合性により、個人情報になってしまう」ことがあります。その対策として、改正個人情報保護法に定められている保有個人データの「開示」「使用停止」「削除」を実行できるようにしています。

お2人の話を伺うと、それぞれのアプローチの違いからも、クライアントが保持しているデータの前提を確認し、そのプロセスを透明化させることの難しさが分かって興味深いですね。

今井トレジャーデータはそういったデータに関することを詳らかに説明してくれるので、助かっています。CDPを提供するベンダーでも温度差がありますから、パートナー選定は重要ですね。

求められているのは「ユーザーに分かりやすく説明すること」

今井プライバシー保護については、法的なリスクの他に、炎上による企業イメージの低下も懸念材料です。田中先生は、炎上を回避するにはどういった施策が必要だと思われますか?

田中ありきたりですが、結局は大きな視点でみて、データ主体に対して“サプライズ”を与えていないか、自分たちが倫理的におかしなことをしていないかを常に考えておくことが、大きく道を踏み外して炎上してしまうことを防ぐのには一番有益なのではないでしょうか。

というのも、個人情報保護法関連においては、執行事例が公表されるケースは限られています。そんな限られた執行事例を後追いする形で場当たり的に対応していくことには、どうしても限界があります。

「炎上を防ぐための施策」と考えるとどうしても後ろ向きに見えますが、「プライバシー保護に配慮したサービスとして、ユーザーに安心して使っていただくために考えよう」という発想に立てば、前向きな姿勢で取り組めるのではないでしょうか。

山森結局、炎上というのは、世間から見て「おかしいな、不適切だな」と思われる行為が発覚したときに起こります。法としては間違ってはいないかもしれないけれど、生活者から見て不適切だなと思われた場合に燃え上がるわけですよね。

今井かといって、あまりにも守りに入りすぎると、同意の取り方もギスギスしてしまって、逆にユーザーを警戒させてしまいます。「法律を守る」だったり「自社規定のルールを守る」という姿勢に入りすぎて、それ自体が目的化してしまっている企業も見受けられます。

田中そこが大事なポイントなんですが、ヨーロッパでも日本でも、当局が求めているのは、あくまでも「ユーザーに分かりやすく説明してね」ということなんです。けっして、ユーザーに対してガチガチな法的文言を提示することを要求しているわけではないんですよね。

保守的になりすぎて、説明文に「第○条第○項に基づき~」などと入れたり、難解な法律用語を駆使した文章でユーザーの同意を取ろうとしても、結局具体的に何をしているのかがユーザーに伝わりません。ユーザーの理解が得られないのでは、「説明」したことになりませんよね。

今井法的文書の問題というより、コミュニケーションをどうデザインするかという問題なのかもしれませんね。会社として、ステートメントやメッセージをどのように伝えていくのかということにつながりますね。

山森田中先生も言われたように、ユーザーに「悪いサプライズ」を与えないようにすることがとても大事ですよね。

田中ユーザーから見て、「この文章じゃ自分の情報がどう使われるのかよく分からないよ」というのがダメなんですね。

今井プライバシーポリシーも顧客体験だということですね。

田中われわれ弁護士は堅い文章を書きがちですから(笑)、ここは常にクライアントやユーザーの視点に立ってコミュニケーションを行っている、今井さんたちの得意分野ではないでしょうか。

「使い方を説明して、必要に応じて同意を取る」というシンプルな話なのです。ユーザーにとって分かりやすい説明文と、分かりやすいインターフェースを用意することが重要です。「同意を取れば万全だ」とか、逆に「同意を取らないと何もできない」というわけではありません

同意が必要な際は、ユーザーにわかるように正しく情報提供する。同意が不要な局面でも法規制にはしっかり従っていく。これを戦略的にやっていくべきでしょうね。

山森私は、善いツール”というのは、法律の知識がない人が使っても、法律を守ることができるものだと考えています。例えば「16桁の数字はクレジットカード番号の可能性があるから自動的にインポートしない」であったり、細かくアクセス権限を設定できたり、という機能が該当します。

こうした機能を企業が用意することは、個人のデータが“民主化”されていく時代において、法規制やプライバシーを遵守しながらデータを活用できることにつながります。

今井企業がプライバシーを遵守しながら、より優れた顧客体験をデザインしていくことは、実際にサービスを利用するユーザーにとっての価値にもつながります。電通や電通デジタルにできる範囲のことだけでなく、トレジャーデータのようなツールを提供しているテクノロジー企業や、田中先生のような法律家と協力することで、プライバシー関連のプロジェクトに取り組まれているクライアントを横断的に支援して行きたいですね。

トレジャーデータと電通・電通デジタルが協業し提供するソリューションについて、興味をお持ちの方は、お気軽にお問い合わせください。

この記事のオリジナル版はこちら
企業がDX時代に直面する「個人情報の取り扱い」、課題とヒント(後編)2021/04/01

※このコンテンツはWebサイト「ネットショップ担当者フォーラム - 通販・ECの業界最新ニュースと実務に役立つ実践的な解説」で公開されている記事のフィードに含まれているものです。
オリジナル記事:弁護士と語るDX時代のデータ活用。Cookieレス時代の企業が知っておくべき「個人情報の取り扱い」の基礎知識 | 電通デジタル 特選コラム
Copyright (C) IMPRESS CORPORATION, an Impress Group company. All rights reserved.

電通デジタル
» 電通デジタル 特選コラム のバックナンバーを見る
メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

人気記事トップ10(過去7日間)

今日の用語

PDCA
「PDCA」は、Plan→Do→Check→Actionのループの略。 ...→用語集へ

インフォメーション

RSSフィード


Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]