今回は特に令和2年の改正個人情報保護法の規制というよりも、むしろDMPの機能とユースケースについて重点的に記載したいと思います。
個人関連情報とCookie規制というところで、このあたりは簡単に復習がてら見ていきますが、個人情報というのは特定の個人を識別することができるもの。この「特定」「個人」「識別性」がキーポイントになっております。
=生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
Cookieデータは?
ブラウザを識別できるが、ブラウザからはユーザを一意に識別できない
⇒「個人情報」でない
もっとも、Cookieと個人データが紐づけられ、個人を識別することができる場合には、全体として「個人情報」
今回の改正でCookieやオンライン識別子、例えば、アプリのADID、IDFA、デバイスIDやIPアドレスなど。こういったものが個人情報として新たに定義づけられているわけではなく、Cookieなどのデータは「個人関連情報」という新たなカテゴリーに入っています。なので海外のGDPRですとかCCPAと異なる定義になっています。
⇒「個人関連情報」(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの)と定義付け
※GDPR、CCPAなどにおける個人情報の定義とは異なる
現行法:他のCRMデータ(=会員登録情報等)と紐づけられ、特定の個人を識別することができる場合には、「個人情報」となることに変わりはない。
イメージ
・A社とB社でCookie・ID等を共有
・A社は、Cookie・ID等に係る氏名等の個人情報を有してない。
・B社は、Cookie・ID等に紐づいた個人情報を有しており、A社はその事実を知っている。
こちらの図をご覧ください。
これがCRM情報で、こちらがCookie情報を両方組み合わせて持っているという状況です。
A社、B社で共通のCookieIDを持っています。通常はDMPベンダーが発行するCookieIDをA社のWebのタグ、B社のWebのタグに入れていて、そして①に書いてますようにB社からA社にCookieIDに係るデータの提供を依頼しました。A社とB社で同じくCookieIDを共有してますので、B社を訪問した人がA社で、どういったサイトを見ているかということをトラッキングできるという状況にあります。
ここでB社は、例えばEC事業者、Eコマースを運営してる会社としますと、当然ながら登録情報の氏名、住所、配送先住所、クレジットカード番号を持っています。そこに閲覧履歴を解析するためにCookieIDと紐付けてB社ではデータを持ってる。こんな状況ですね。
A社は、メディアさんをイメージしていただければと思います。いろんなWebサイト、Webポータルでユーザー登録が不要と言うようなサイトをイメージしていただくと、CookieIDは持っているんですけれども、個人が特定できない状況が発生してます。そうしますと、このWebメディアで、例えばCookieID7番の私が様々な商品、サービスを閲覧をする、またはポータルサイトの情報を閲覧する。ここには閲覧履歴、そこから推定される趣味嗜好のデータベースが溜まっていきます。これをセグメントといいます。
しかしながら今般、これらの情報を「個人関連情報」ということで、一定の場面に限定して規制をしている。すなわち個人関連情報へA社からB社に渡しただけであれば、これもまだ改正法においても規制がかからないわけですけれども、B社の下で突合ですね。元々、持っていたCRMの情報と趣味嗜好の情報を共通のCookieIDをキーにして突合する、紐づける、こういったトランザクションですね。すなわち、第三者に個人関連情報を提供するということ、かつ元々持っているB社のCRMの情報と紐づけるという状況。この状況で個人関連情報の第三者提供規制の網をかけた。これが改正の内容でした。
しかしながら私がA社をメディアさんと想定しましたけれども、実際はこのA社というのはパブリックDMPベンダーということになります。
DMPとは何ぞやというところからお話をいたします。
プライベートのDMPとパブリックのDMPと二つ類型がございます。
プライベートDMPというのは、ユーザー自身の領域です。ユーザーが自分のお客様データを保存しておく、お客様の閲覧履歴を保存しておく箱になります。これは、自分固有の箱になります。すなわち、企業独自のマーケティングデータを集約するDMPなのです。ここは自分自身の領域です。
一方で、パブリックDMPとはどういうサービスかと言いますと、このパブリックDMPベンダーがいろんなポータルサイトに設置したタグ、Cookieの収集タグを様々なWebポータルに入れているわけです。これをオーディエンスデータと呼んでます。先ほど、A社というのはWebのメディアですよと申し上げましたが、この単体のメディアA社1社のデータではなくて、オーディエンスデータとして無数のメディアにタグを設置することによって多面的に様々なWebの履歴を大量に収集する、ここにミソがあるわけです。
すなわち、DAC(デジタル・アドバタイジング・コンソーシアム)さんの例で言いますと、AudienceOneというサービスになりますが、月間4.8億ユニークブラウザ、4.8億分のブラウザを識別するCookieデータを集めている、あと9千万のモバイル広告ID、これアドIDやIDFAですね。これは1兆レコード以上の膨大なデータを保有しているわけです。すなわち、ある商品を紹介するメディアだけであれば、その中でどんな家電が好きかとか、どういったものを今から買おうとしているかなど単一的なセグメントしか推定できないものがで、これを無数のWebサイトにタグを設置し、そこからデータをオーディエンスデータとして収集することによって、非常に精緻な、かつ多面的なデータを外部から集約できるわけです。
そこにパブリックDMPという箱の中に第三者のデータの活用に主眼が置かれたDMPとして蓄積されているわけです。この場合、大量の第三者のデータを使って多面的なセグメントを切って、きめ細やかなターゲティング広告を出すというのが、このDMPのサービスなわけです。
そして、ここからがミソですけれども
ユーザーさんが入っているプライベートのDMPとパブリックのDMP、この領域をある種、突合することによって、上の図に補完と書いてありますが、自分のお客様のデータをこのプライベートDMPに入れまして、そしてパブリックDMPに持っている各種データと組み合わせることによって自社のお客様がどういった属性を持ったお客様かということが、このパブリックDMPサービスを利用することによって、今まで自社のオウンドメディアだけでは見えてこなかったお客様のセグメントとか、購買意欲とか属性が取れてくる。こういった仕組みがプライベートDMPとパブリックDMPの役割分担になってます。
多くのパブリックDMPベンダーはプライベートのDMPサービスを提供しつつ、このパブリックDMPのサービスも提供している、こんな状況にありますので、ユーザーとしては、自社のオウンドメディアのCookieデータから得られる会員データまたは広告配信のコンバージョンデータだったり、購買履歴、こういった様々な自社データをこのプライベートDMP環境に集約をすることによって自社のデータもリッチに格納して、かつデータごとの連携をするわけです。加えて、外部のサードパーティーCookieから収集されるパブリックDMPのセグメント、これらを利用する。こういう仕組みがプライベートDMPとパブリックDMPの統合されたサービスということになってきます。
実際はA社、B社の流れというのはA社がパブリックDMPベンダー、そしてB社の領域がB社のユーザーサイドのプライベートDMPの領域。これらを行き来しているデータを指している。これが実際の個人関連情報の提供が行われる場面ということになってきます。
この実際的な場面を想定しながら、改正の要件を見ていきます。
⇒提供元が、(※提供元の義務である)
①提供先において、
②cookieデータ等を個人データとして取得することにつき
③本人同意が得られてることを
③確認する義務(※確認義務のみ)
※同意取得の主体・・・(原則)情報を利用する主体となる提供先が同意を取得する ※同意取得の方法・・・同意取得にあたっては、対象となる個人関連情報の範囲を示した上で、明示の同意を要する
「提供元」はパブリックDMPベンダーになります。「提供先」はDMPのユーザーになります。Cookieデータを個人データとして取得することにつきと書いてありますが、上の図の右の欄ですね。CookieデータとパブリックDMPベンダーからもらった趣味嗜好データを突合して取得している、ここをですね、Cookieデータ等を個人データとして取得することについてという表現をしているわけです。そして本人同意が得られている、これ同意を取るのは誰かと言いますと、提供先であるDMPのユーザーになります。確認するのは誰かと言いますと、これは提供元であるDMPベンダーとこういった仕組みが改正法の具体的な適用場面になってきます。
次は、ユーザーが提供先DMPユーザー側の同意の文言を書いてございます。
同意取得の確認方法:提供先から申告を受ける方法その他適切な方法とする。
例:提供元が提供先に対して、下記の同意画面などの設置の有無を確認する。
当社は第三者が運営するデータマネジメントプラットフォーム、より具体的なパブリックDMPベンダーですね。ここからCookieにより収集されたWebの閲覧履歴、またそこから分析されている分析結果を取得して、これをお客様の個人データですね、EC事業者は、ユーザーの個人データと結びつけて、より精緻なターゲティングの解析をしつつ、広告を配信しますよと。こういった文言が同意の文言になるというわけです。
そうしますと、パブリックDMPの提供元側はこの文言を確認をして、同意が取れてるねと言う確認義務を果たすということになってきます。
関連記事
日本企業に必要なGDPR対応〜SCCとDPAの違いも解説〜…..続きを読む
「パブリックDMPの利用とCookie規制」は、動画でも詳しく解説しています。是非ご覧ください。
TMIプライバシー&セキュリティコンサルティング 代表
TMI総合法律事務所 パートナー弁護士
クラウド、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバーセキュリティの各産業分野における実務を専門とし、個人情報保護法に適合したDMP導入支援、企業へのサイバーアタック、情報漏えいインシデント対応、国内外におけるデータ保護規制に対応したセキュリティアセスメントに従事。セキュリティISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を歴任する。自分達のサービスがクライアントのビジネスにいかに貢献できるか、価値を提供できるかに持ちうる全神経を注ぐことを信条とする。