企業がDX時代に直面する「個人情報の取り扱い」の課題とヒント（後編）【電通デジタルコラム】

「個人情報」の取り扱いが、改めて注目されています。

顧客接点のデジタル化が進み、個人情報をさまざまなタッチポイントで取得できるようになったためです。

今や、GDPR^(※1)やCCPA^(※2)など、世界的に個人情報保護規則の潮流が強まっています。日本でも個人情報保護法の改正^(※3)があり、「顧客の個人情報をどう扱うか」について、企業のさまざまな部門が課題を抱えています。

本記事では、DX推進の上で必須である個人情報の取り扱いと、それに関連したプロジェクトを進める上での難しさ、そして解決の糸口を、実際にクライアントの課題に相対する3人の鼎談としてお送りします。

前回記事：
課題1：部門間の「個人情報に対する意識の違い」から意思決定が遅くなる
課題2：プライバシーを専門にする人材の不足

法務的な観点から弁護士の田中浩之氏、顧客データ基盤を提供するトレジャーデータの山森康平氏、そしてデジタルマーケティング全般のソリューションを提供する電通デジタルの今井紫氏です。

※1　GDPR
General Data Protection Regulation：一般データ保護規則。2018年に施行。EEA（欧州経済領域）で統一された、厳格な個人情報保護に関する規則。

※2　CCPA
California Consumer Privacy Act：カリフォルニア州消費者プライバシー法。2020年に施行。カリフォルニア州の住民の個人情報を取扱う事業者に適用される。全米初の包括的な個人情報に関する州法。

※3　改正個人情報保護法
2020年、日本で改正個人情報保護法が成立・公布され、2年以内に施行されることになった。一部のクッキーの利用が規制されるなど、規制が強化・追加されている。

課題3：データ処理プロセスの透明化が難しい

山森デジタルマーケティング業界で、クライアントが喫緊の問題として注視しているのが「サードパーティークッキーに代わるデータをどうする？」ということです。「1ID」というキーワードはありますが、改正個人情報保護法に則りつつそれらのデータを探すにはどうすればよいのか、私たちにも多くのご相談が寄せられています。

田中EUでは、GDPR上、「クッキーその他の端末識別子」自体が個人情報とされている他、「eプライバシー指令」に基づく各国法によるクッキー規制があります。そのため、「厳格必須クッキー」^(※4)以外については、原則としてユーザーに「クッキーをどう利用する可能性があるのか」を説明した上で、オプトイン同意を得ることが必要となっています。こうしたEUの厳しい規制は、EUだけでなくグローバルで、サードパーティークッキー対応の起点となりました。

※4　厳格必須クッキー
ウェブサイトの運営のために厳格に必須なクッキー。たとえば、ECサイトにおける買い物かごの中身を記録するためのクッキー等が典型例。

企業も、GDPRをきっかけにクッキーポリシー等で透明性のある説明を行い、クッキー同意ツール等を導入して、ユーザーが選択できるような仕組みを用意することが増えましたよね。

一方、2020年改正の日本の個人情報保護法では、「クッキーその他の端末識別子」自体を個人情報とする改正はされませんでしたが、「個人関連情報」規制のなかで一部のクッキー利用が規制されることになりました。

今井「個人情報」と「個人関連情報」の違いについては、少し理解が難しいところがありますよね。田中先生の観点から、個人関連情報についての改正のポイントを教えていただけますか？

田中法文上、「個人関連情報」は、 クッキーを使う場合に限って規制をかけるものではありませんが、たとえば、クッキーに紐付く個人情報ではないユーザーデータ（趣味嗜好等の属性情報等）も、典型的には 個人関連情報 に含まれます。

企業等が取得したこの「個人関連情報」を第三者に提供する際、「個人関連情報を受け取る側が、そのデータを『個人データ』^(※5)として取得する」ことが想定される場合には、提供元は提供先への確認義務を負います。確認義務の内容は、「提供先がそのデータを『個人データ』として取得することについて、提供先はユーザー本人から同意を得ているか？」ということです。

※5　個人データ
個々の個人情報で、「個人情報データベース等」を構成するものを個人データと呼ぶ。データベースに入っていない散在情報については、個人情報ではあるが、個人データには当たらない。

制度改正の大綱では、パブリックDMP事業者の事例が挙げられ、「パブリックDMPを利用してデータ利活用をしているケースが、プライバシー上懸念がある」との見解が示されました。

パブリックDMP事業者は、クッキーに紐付けてユーザーの属性情報を保有していますが、通常、自社では個人データとしては管理していません。ところがパブリックDMP事業者からデータを受け取る側の企業では、クッキーと別途取得した自社の会員登録データ等を紐づけて、その会員についての属性（趣味嗜好等）を知ることができます。

多くのケースではパブリック DMP事業者は、「受け取る側の企業が個人データとして受け取る」ことを想定してデータを渡しているはずなので、先ほど述べた通り「受け取る側の企業が、ユーザー本人から同意を取得しているかを確認する義務」が、パブリックDMP事業者に発生します。

このように「クッキーを使って、ユーザー本人の知らないうちにデータがやり取りされてしまう」ことに規制をかけるのが、一つの典型的な適用ケースです。必ずしも個人関連情報規制の導入により、クッキーの利用全般が規制されるわけではありません。

今井なるほど、よく分かりました。個人関連情報以外で、今回の改正で理解しておくべきポイントはありますか。

田中今回の改正では、事業者の守るべき責務の在り方として「不適正利用の禁止」という項目が盛り込まれました。改正前に明文化されていたのは不適正な「取得」の禁止でしたが、不適正な「利用」については明文化されていなかったのです。

つまり、「騙してデータを取る」のはダメだが、「今すでにあるデータを利用する」ことについては明文の規制はなかったといえます。今回の改正で、例えば2019年に話題となった「破産者マップ ^(※6)」のような倫理的に問題のあるサービスを停止させられる、明確な根拠ができたわけです。

※6 　破産者マップ
破産者の情報を収集し、インターネットの地図上に載せたサイト。政府の個人情報保護委員会の求めで、2019年に閉鎖。この事例では個人データの第三者提供の同意がなく、個人情報保護委員会にオプトアウトによる第三者提供の届出もされていなかったため、違法の認定は容易だったが、仮にオプトアウトによる第三者提供の届出がされていた場合には、個々人の同意なくサイトの運営が継続できていた懸念がある。オプトアウト届出についての詳細は個人情報保護委員会の解説を参照。

もう一つ挙げると、ユーザーに対する個人情報の利用目的の説明に当たり、「データ処理の方法についての説明」を充実させよ、というものがあります。これは、条文では反映されないのですが、改正のタイミングに、ガイドラインで定められる見込みです。

データ処理の方法といっても、アルゴリズムの詳細を書くわけではなく、取得したデータを利用する目的が分かる範囲で、その処理プロセスを明らかにせよ、ということです。

例えば、「広告宣伝目的で使います」という単純な説明ではなく、「あなたの行動履歴や閲覧履歴を分析したうえで、あなたの嗜好にあった広告を表示します」という、プロセスの透明化と具体的な説明が必要になります。

今井しかし、実務としてデジタルマーケティング推進の戦略策定から実行まで関わっている立場から申し上げますと、この「データ処理プロセスの透明化」は非常に難しいと感じます。仕組みを知っているだけでは足りず、実際にどのデータベースにどういったデータが格納されていて、それがどのように処理されているのかを理解していないと、プロセスはなかなか説明できません。

田中そもそも現状のプロセスを把握できていない企業も多いですよね。そういう企業では、プロセスの透明化に相当な時間がかかります。仮にクッキー同意ツールを導入しようとなっても、まず今までクッキーをどう活用してきたかを把握する必要があるわけです。

今井確かに、クッキーを自社がどう使ってきたかを把握できていない企業も多いように思います。マーケティングやセールスのためにダッシュボード上で施策を動かしていても、クッキーを一連のプロセスのどこで取得し、どのデータと結びつけて、どの施策に反映してきたかが、見えていない場合が多いのです。

私がTreasure Data CDPの利点だと感じるのは、扱っているのが生データ、いわゆる「全量データ」であることです。ダッシュボード上で可視化されたデータだけを見て判断すると、その裏側にあるかもしれないデータを見落とす可能性があります。実はその裏側にある別のデータの存在によって、クッキーに紐付くユーザーデータ（趣味嗜好等の属性情報等）が個人情報とみなされる場合があります。

田中「容易照合性」の問題ですね。法律上、個人情報の定義^(※7)に「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」という表現があり、クッキーに紐付くユーザーデータも企業が持っている他の情報と容易に照合することができ、それにより、特定の個人を識別することができることになれば、個人情報に該当することになります。

※7　個人情報の定義
個人情報とは、生存する個人に関する情報であって、生存する個人に関する情報であって、次の①②のいずれかに該当するものをいう。①当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）②個人識別符号が含まれるもの

今井同じクッキーでも、「データをどう持っているか」によって、前提が全く異なってしまうわけですね。

山森そこで私の場合、クライアントのCDP導入プロジェクトの最初に、全体を見通す形でデータマッピングを行います。クライアントがどんなデータを保持しているかを、マーケティング（事業）観点、プライバシー観点、法務的観点で"棚卸し"することで、クライアントと認識を揃えるようにしています。

田中ただ、データマッピングは非常に難しいですよね。各部署にシートを配って埋めてもらおうとしても、担当者や部署ごとに認識がまちまちで、なかなかうまくいかないことが多いですね。

今井確かにデータの持ち方について、部門によっても認識が違いますよね。私もデータマッピングは難しいと感じています。

田中法律家の立場からすると、現場の各担当者に作成していただいたデータマッピングの結果は、うのみにしないようにしています。マップを見てみたら、事業活動上、当然ありそうなものが抜けているので、確認すると「実はありました」ということもよくあります。そうすると、今井さんが先程おっしゃったように「前提が違う」ということになるわけです。

今井会社や担当者によって理解度も違えば、時には会社の規定として個人情報保護法よりも厳しい運用ルールを定めていることもあり、データマッピングを行うとプロジェクト自体がストップする場合もあり得ます。そういう時は、まず「自分たちで把握・判断のできるデータ」だけを用いて施策化していき、それを"突破口"にすることもありますね。

山森私たちの場合、Treasure Data CDPに格納されているデータは把握できるのですが、外のデータベースに格納されているデータは当然分かりません。導入に当たって最初にデータマッピングを行うのは、クライアントのデータプロセスの全体像を把握するためでもあるのです。

つまり、「Treasure Data CDPに格納しているデータは個人情報に当たらないが、社内の他のデータと統合すると、容易照合性により、個人情報になってしまう」ことがあります。その対策として、改正個人情報保護法に定められている保有個人データの「開示」「使用停止」「削除」を実行できるようにしています。

お二人の話を伺うと、それぞれのアプローチの違いからも、クライアントが保持しているデータの"前提"を確認し、そのプロセスを透明化させることの難しさが分かって興味深いですね。

今井トレジャーデータはそういったデータに関することを詳らかに説明してくれるので、助かっています。CDPを提供するベンダーでも温度差がありますから、パートナー選定は重要ですね。

求められているのは「ユーザーに分かりやすく説明すること」

今井プライバシー保護については、法的なリスクの他に、"炎上"による企業イメージの低下も懸念材料です。田中先生は、炎上を回避するにはどういった施策が必要だと思われますか？

田中ありきたりですが、結局は大きな視点でみて、データ主体に対して"サプライズ"を与えていないか、自分たちが倫理的におかしなことをしていないかを常に考えておくことが、大きく道を踏み外して炎上してしまうことを防ぐのには一番有益なのではないでしょうか。

というのも、個人情報保護法関連においては、執行事例が公表されるケースは限られています。そんな限られた執行事例を後追いする形で場当たり的に対応していくことには、どうしても限界があります。

「炎上を防ぐための施策」と考えるとどうしても後ろ向きに見えますが、「プライバシー保護に配慮したサービスとして、ユーザーに安心して使っていただくために考えよう」という発想に立てば、前向きな姿勢で取り組めるのではないでしょうか。

山森結局、炎上というのは、世間から見て「おかしいな、不適切だな」と思われる行為が発覚したときに起こります。法としては間違ってはいないかもしれないけれど、生活者から見て不適切だなと思われた場合に燃え上がるわけですよね。

今井かといって、あまりにも守りに入りすぎると、同意の取り方もギスギスしてしまって、逆にユーザーを警戒させてしまいます。「法律を守る」だったり「自社規定のルールを守る」という姿勢に入りすぎて、それ自体が目的化してしまっている企業も見受けられます。

田中そこが大事なポイントなんですが、ヨーロッパでも日本でも、当局が求めているのは、あくまでも「ユーザーに分かりやすく説明してね」ということなんです。けっして、ユーザーに対してガチガチな法的文言を提示することを要求しているわけではないんですよね。

保守的になりすぎて、説明文に「第○条第○項に基づき～」などと入れたり、難解な法律用語を駆使した文章でユーザーの同意を取ろうとしても、結局具体的に何をしているのかがユーザーに伝わりません。ユーザーの理解が得られないのでは、「説明」したことになりませんよね。

今井法的文書の問題というより、コミュニケーションをどうデザインするかという問題なのかもしれませんね。会社として、ステートメントやメッセージをどのように伝えていくのかということにつながりますね。

山森田中先生も言われたように、ユーザーに「悪いサプライズ」を与えないようにすることがとても大事ですよね。

田中ユーザーから見て、「この文章じゃ自分の情報がどう使われるのかよく分からないよ」というのがダメなんですね。

今井プライバシーポリシーも顧客体験だということですね。

田中われわれ弁護士は堅い文章を書きがちですから（笑）、ここは常にクライアントやユーザーの視点に立ってコミュニケーションを行っている、今井さんたちの得意分野ではないでしょうか。

「使い方を説明して、必要に応じて同意を取る」というシンプルな話なのです。ユーザーにとって分かりやすい説明文と、分かりやすいインターフェースを用意することが重要です。「同意を取れば万全だ」とか、逆に「同意を取らないと何もできない」というわけではありません。

同意が必要な際は、ユーザーに分かるように正しく情報提供する。同意が不要な局面でも法規制にはしっかり従っていく。これを戦略的にやっていくべきでしょうね。

山森私は、"善いツール"というのは、法律の知識がない人が使っても、法律を守ることができるものだと考えています。例えば「16桁の数字はクレジットカード番号の可能性があるから自動的にインポートしない」であったり、細かくアクセス権限を設定できたり、という機能が該当します。

こうした機能を企業が用意することは、個人のデータが"民主化"されていく時代において、法規制やプライバシーを遵守しながらデータを活用できることにつながります。

今井企業がプライバシーを遵守しながら、より優れた顧客体験をデザインしていくことは、実際にサービスを利用するユーザーにとっての価値にもつながります。電通や電通デジタルにできる範囲のことだけでなく、トレジャーデータのようなツールを提供しているテクノロジー企業や、田中先生のような法律家と協力することで、プライバシー関連のプロジェクトに取り組まれているクライアントを横断的に支援して行きたいですね。

トレジャーデータと電通・電通デジタルが協業し提供するソリューションについて、興味をお持ちの方は、お気軽にお問い合わせください。

【概要資料ダウンロードはこちら】
https://www.treasuredata.co.jp/d-dd-td-download/
【お問い合わせはこちら】
https://www.treasuredata.co.jp/dx-engine-contact-us/