個人情報保護法改正により広告のプライバシーポリシーはどう変わる？

プライバシーポリシーの記載事項にも影響がある「個人情報保護法の改正」が目前に迫っている。令和2年（2020年）に公布された改正は2022年4月1日より施行されるのだ。このほどリモート開催された「デジタルマーケターズサミット 2021 Summer」に、森・濱田松本法律事務所の田中浩之氏と、日本経済新聞社の小林秀次氏が登壇。改正法の重点ポイントを解説し、改正法施行までに準備をすることは何かについて語った。

2022年4月に改正個人情報保護法の多くの規定が施行を迎える

企業活動における「データ」の利活用が進んでいく中で、企業が保有する個人データの保護を厳格化する法規制がグローバルで進んでいる。

データの規制には次の2つの側面があると、小林氏は述べる。

1. GDPR（一般データ保護規則）やCCPA（カリフォルニア州 消費者プライバシー法）などによる「法的な規制」
2. AppleのSafariに搭載されたトラッキング防止機能ITP（Intelligent Tracking Prevention）や、Google Chromeなどによる「技術的なプライバシーの制限」

そして、本セッションでは主に前者の「法規制」について話を進めるとした上で、日本における個人情報保護法改正の現状について田中氏に問うた。田中氏は「個人情報保護法改正には、令和2年（2020年）改正と国・地方を含めた個人情報保護制度の一元化のための令和3年（2021年）改正の2つがあるが、今日は2020年改正についてのみ話す」とした上で、「2020年改正に関しては、2021年3月24日に政令・規則の公布があり、2021年8月2日に改正法ガイドラインが公表され、今後Q&A^※が公表される見込みだ」と説明した。

プライバシーポリシーの見直しが必要な2つのポイント

では、個人情報保護法改正によって、プライバシーポリシーの記載はどのように見直したらよいだろうか。田中氏は、プライバシーポリシーに追加すべき事項を示した。

このうち、大きなポイントとなるのが「利用目的の記載の見直し」と「保有個人データに関する公表等の事項の追加」の2点だ。

利用目的の書き方

利用目的の特定とは、「自分のデータをどう扱われるか予測できるようにする」ことだ。田中氏は「得られた個人情報からユーザーの行動・関心を分析する場合、本人が予測・想定できる程度に利用目的を特定し、説明する」のがこの規定の趣旨だと説明した。

これにより、プライバシーポリシーの記載はどう変わるのか。たとえば、従前の記載では「広告配信のために利用します」だったものが、今後の記載例では「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用します」などのように、「分析」の部分に踏み込み、最終的にどう利用するかを明確に説明する必要があるというのだ。

保有個人データについての追加事項

「保有個人データに関する公表等の事項の追加」において、プライバシーポリシーへの追加記載事項でポイントとなるのは、次の3つだという。

• 個人情報取扱事業者の住所
• 個人情報取扱事業者である法人の代表者の氏名
• 保有個人データの安全管理のために講じた措置

このうち、「個人情報取扱事業者の住所」「個人情報取扱事業者である法人の代表者の氏名」については、「必ずしも1つのWebページにすべてを記載する必要はなく、たとえば、会社概要ページなどにリンクする形でもよい」と田中氏は説明した。

「保有個人データの安全管理のために講じた措置」の記載事項は、特に重要になる。内容は、保有個人データをどのように安全に管理しているか、措置を講じているかを、本人が知り得る状態にしておかなくてはいけない。ただし、プライバシーポリシーに記載して公表をしなくてはいけないのかというと、必ずしもそうではない。

田中氏は、「本人の求めに応じて遅滞なく回答を行うといった対応も可能だ」とした上で、「どのように安全に個人情報を管理しているのかを、どこまで具体的にプライバシーポリシーに記載するかを検討する必要がある」と説明した。また、安全管理措置については、従業員だけでなく、委託先の監督についても把握し、説明を可能にしておくことが重要だとした。

保有個人データを外国で保管しているケースではどうなる？

では、保有個人データを日本以外の外国で保管しているケースではどうなるのか。田中氏は、次の図のように、「個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施」していることをプライバシーポリシーに明示する事例をあげた。その上で、「自社の支店だけでなく、委託先、再委託先も含め、どの国で保管しているのかを把握しておき、本人から聞かれたら回答可能な状態にしておくことが重要だ」と述べた。

外国のクラウドを利用している場合

なお、クラウドの利用が増えることにより、海外の事業者の運営するサーバーに個人情報を保存するケースがある。クラウド業者が契約条項によってサーバーに保存された個人データを取り扱わないことが定められており、適切にアクセス制御を行っているときは「委託先」にもならないといわれるが、その場合はクラウドサーバーをあたかも自社のサーバーかのように扱って安全管理措置を講じる必要は出てくる。たとえば、クラウド事業者はA国で、サーバーはB国で管理されている場合はどうなるのだろうか。

田中氏は、「A、B両国の法制度が影響を及ぼすので、それぞれの法規制が定めるリスクに応じた安全管理措置を行う必要がある」とした上で、「それらを把握し、本人から聞かれたら国名を含めて回答可能にしておく必要がある」と述べた。

ここで小林氏から、「従来、多くの企業では、委託先がどこでデータを保管しているか、クラウド事業者がどこにサーバーを設置しているかを問い合わせたこともないのが現状だろう。聞いたら答えてくれるものなのか？」との質問があった。

田中氏は「事業者にもよるが、どこのリージョンかを公表、回答してくれるところはあるはずなので、まずは聞いてみる、調べてみる必要がある」と述べた。企業は影響範囲の特定や問い合わせなど、必要なアクションをすぐに始めるべきだとした。

公開することで支障が出る場合

しかし、セキュリティ上の理由で非公開の場合もある。田中氏は「個人的には、国名レベルでも回答できないというのはセキュリティ上、合理性があるとは思えない」とし、「クラウド事業者側としても、利用企業のニーズに応えるべく、情報開示に向けた対応を検討する必要があるのではないか」と述べた。

また、保有する個人データの安全管理のために講じたセキュリティ対策は、どこまで具体的に記載すべきか、という問題もある。この点について田中氏は「具体的なセキュリティ対策の方法や内容については、明記することでかえって安全管理に支障を及ぼす可能性がある」とし、「こういう対策を行っています、という比較的抽象的な書き方で構わない」と説明した。

DMPの利用で問題となる「第三者提供」と「同意取得」

近年、ユーザーデータをマーケティングなどのビジネス活動に活用する動きが盛んだ。インターネット利用者のデータ収集、蓄積、分析等を行う「DMP（Data Management Platform）」が普及している。

では次図のように、DMP事業者からCookie等の識別子情報など、個人情報に該当しないデータを提供してもらい、自社の顧客IDに接続してセグメンテーションして、広告配信などに活用するのは問題ないのだろうか。

一方で、次図のように、自社が保有する属性データや閲覧履歴などの行動データを外部に提供するケースも考えられる。提供先の事業者側で、IDと紐づけて広告・分析サービスとして展開することが考えられる場合、気をつけることはどんなことだろうか。

個人データの第三者提供について、個人情報保護委員会は、個人データの提供元にとって、個人データにあたれば、個人データの第三者提供規制は及ぶという提供元基準説を採用している。したがって、上記の事例でも、仮に、提供元にとって個人データにあたるものを提供するのであれば、提供先にとっては、特定の個人を識別できないような加工がされていたとしても、個人データの第三者提供規制を受けることになる。他方、この提供元基準説を貫徹すると、仮に提供先において特定の個人が識別できるようなデータを提供しても、提供元にとっては、特定の個人を識別できないのであれば、個人データの第三者提供規制は及ばないことになる。

しかし、DMPの普及で、提供元（DMP事業者）では個人データに該当しないCookie等の識別子に紐付く個人情報ではないユーザーデータが、提供先の顧客IDと照合することにより、個人データになるようなスキームが横行した。このような動きを受けて、提供元基準説を貫徹するのでは、本来規制すべきものが規制されないということが問題になり、改正がされたのだ。

このように、提供元のDMP事業者にとっては個人情報ではないものの、提供先企業では自社の顧客IDと突き合わせて利用することが可能な情報は、改正法では「個人関連情報」の規制対象となり得る。具体的には、提供元は、個人関連情報を第三者に提供しようとする際、提供先がその個人関連情報を「個人データとして取得することが想定される」場合には、提供先が個人関連情報の提供を受けて個人データとして取得することを認めるという本人の同意を得ていることを確認する義務を負うことになる。

規制の適用があるのかをまず検討することが大事

個人関連情報に対する企業の対応としては、規制の適用があるのかをまず検討することが大事になる。たとえば「媒体社が、ソーシャルプラグインなど第三者のタグを設置して、Cookie等を当該第三者に送信する場合は、原則として、第三者側での直接取得となり、個人関連情報の「提供」にあたらない」という。つまり、原則として、規制は適用されない。ただし、第三者が取得した個人関連情報を、逆に媒体社に「提供」して、それを媒体社が個人データとして取得することが想定されれば規制の対象となるので留意が必要であるという。

また、田中氏は「第三者が個人データとして個人関連情報を取得することが想定されるとき」に該当しなければ、規制を受けないと説明した。この「想定される」には、提供先の第三者が個人データとして取得することがわかっている場合はもちろん、同業者ならわかるはずの一般的な認識も入ると解説した。「想定」については、単に現実の認識がなければ良い訳ではないため、業界のプラクティスに基づいて考えていくことが大事だと小林氏はいう。

提供元と提供先の契約などによって「提供先の第三者において、提供を受けた個人関連情報を個人データとして利用しない旨を定める」ことで、原則として、個人データとして取得することが想定されなくなる。こうした対応も1つの方法だ。

規制への対応方法としての「同意」

本人の同意の取得方法については「誰が（取得する主体）」「どの項目（対象となる個人関連情報の項目）」「取得後の利用目的」について本人が認識できるようにした上で同意を得る必要があるが、取得のたびに同意を得る必要はなく、「包括的に同意を取得することも可能」であり、「改正法の施行前であっても、上記の要件が満たされていればOK」だということだ。提供元が提供先の同意取得を代行することは可能であるが、その場合は、提供元は、「提供先の名前を個別に明示して同意をとらなければならないことに特に注意が必要」ということだ。

なお、同意取得の方法については、Webサイト上で取得する場合、「本人に示すべき事項を記載したうえで、ボタンのクリックを求める方法」などがある。

2022年4月1日の施行までの間にどうしたらよいか？

話は「2022年4月の施行までに我々が準備することは何か」に移った。田中氏は「ガイドラインが公表され、これに対するパブリックコメントの回答も出されているため、自社の規制対象についてはかなり明確になってきている」と述べ、「影響範囲の分析を早急に完了し、具体的な実装方法、時期を確定させるべきだ」とした。

特に、「プライバシーポリシー」関連では、利用目的のチェックは必須。安全管理措置についても、「支店・駐在員事務所、委託先・再委託先・クラウド事業者を含めた外的環境の国名の把握は早めに準備してほしい」と呼びかけた。

また、特に、DMPなどで問題となる「個人関連情報」に関しては、そもそも規制の対象なのかについて吟味した上で「同意取得が必要であれば、施行前に先行して同意取得を実装するためのスケジュールを考えておくことが望ましい」と述べた。

組織はどうあるべきか？

最後に小林氏は、個人情報保護法も難しくなり、さらに複雑なテクノロジーとも密接に関わるようになってきている現在、マーケターはどうしたらよいかを話した。

上図のように、従来、宣伝・マーケティング部門、情報システム部門、法務部門が担っていた領域が複雑に絡み合ってきているという。今後は、従来の領域の枠組みを超えた課題解決のケースが増えていくことが考えられる。しかし、3つの領域のスキルをすべてもつ人材は、なかなかいない。

そこで、小林氏は「それぞれの領域のスペシャリストで対話して言語の齟齬をなくし、チームとして対応する」、そうしたチーム力が今後のビジネス課題解決には必要だと述べ、セッションを締めくくった。