動画は、PLAZMA会員のみ、ご覧いただけます。
生活者のオンライン上での行動履歴やサービス利用によって提供される個人情報をビジネスに取り込むデータマーケティングは、もはや企業のマーケティング戦略にとって欠かせないものとなっている。しかし一方で、個人情報保護の観点から企業には生活者から取得するデータの適切な取り扱いが求められ、また法令の遵守も不可欠なものとなっている。
こうしたなか、企業はデータ基盤に集積するデータの管理や組織としてのデータガバナンスをどのように構築すべきなのか。株式会社Legoliss データアーキテクトの加藤英也氏と、TMI総合法律事務所 パートナーで、TMIプライバシー&セキュリティコンサルティングの代表取締役を務め、インフラ、デジタルコンテンツ、アドテクノロジー、ビッグデータといったテクノロジー分野の法律課題に詳しい弁護士の大井哲也氏が、『プライバシー時代にデータを活用する企業が向き合わなければいけないこととは?』と題した講演で紹介した。
データの管理には技術的な対応と法令適合性の担保が必要
まず加藤氏が企業のデータマーケティングにおいて、どのように情報が利用されているかについて整理した。
加藤氏は、どこから生まれたデータかを表す「データソース軸」と、誰が持っているデータかを表す「データ権利軸」という2つの軸でデータを整理。データソース軸は、匿名性をもった行動データや興味関心データである「パブリックDMPのデータ」、ボリュームは少ないが直接聞いているので精度は高い「インターネットリサーチパネルのデータ」、会員情報や自社サイトのアクセスログといった「オウンドデータ」、そして行政の統計データや位置情報といった「オープンデータ」という4つに分類。
特に、企業がデータマーケティングで利用することの多い「パブリックDMPのデータ」と「オウンドデータ」については、「パブリックDMPはボリュームは大きいが抽象度が高く、消費者の傾向を推計するための情報としては有効だが個人に結びつけることはできない。一方で、オウンドデータはデータボリュームは企業によってバラバラだが、顧客個人に紐づいたデータ分析・活用とデータ加工のしやすさが特徴で、販売促進、CRMにつなげやすい」とその違いを明確にした。
他方、データ権利軸での分類は、いわゆる1st Partyデータから3rd Partyデータに分類されるもの。最近では、消費者が情報銀行などを通じて直接企業に提供する「Zero Party データ」も登場しているという。
加藤氏によると、同社ではデータ基盤の管理にあたって個人情報にあたるデータをどのように管理するかという相談は多いそうで、例えば個人情報のテーブルの切り分け、データを保護しながらの適切なデータの受け渡し、データへのアクセス権限の管理など、技術的に対応できるデータガバナンスについてサポートをしているという。しかし加藤氏は「データの管理は、技術的な側面だけでなく法規に基づいた適切な取り扱いが必要」と語り、大井氏にバトンを渡した。
ここから先は、PLAZMA会員のみ、お読みいただけます。
生活者のオンライン上での行動履歴やサービス利用によって提供される個人情報をビジネスに取り込むデータマーケティングは、もはや企業のマーケティング戦略にとって欠かせないものとなっている。しかし一方で、個人情報保護の観点から企業には生活者から取得するデータの適切な取り扱いが求められ、また法令の遵守も不可欠なものとなっている。
こうしたなか、企業はデータ基盤に集積するデータの管理や組織としてのデータガバナンスをどのように構築すべきなのか。株式会社Legoliss データアーキテクトの加藤英也氏と、TMI総合法律事務所 パートナーで、TMIプライバシー&セキュリティコンサルティングの代表取締役を務め、インフラ、デジタルコンテンツ、アドテクノロジー、ビッグデータといったテクノロジー分野の法律課題に詳しい弁護士の大井哲也氏が、『プライバシー時代にデータを活用する企業が向き合わなければいけないこととは?』と題した講演で紹介した。
データの管理には技術的な対応と法令適合性の担保が必要
まず加藤氏が企業のデータマーケティングにおいて、どのように情報が利用されているかについて整理した。
加藤氏は、どこから生まれたデータかを表す「データソース軸」と、誰が持っているデータかを表す「データ権利軸」という2つの軸でデータを整理。データソース軸は、匿名性をもった行動データや興味関心データである「パブリックDMPのデータ」、ボリュームは少ないが直接聞いているので精度は高い「インターネットリサーチパネルのデータ」、会員情報や自社サイトのアクセスログといった「オウンドデータ」、そして行政の統計データや位置情報といった「オープンデータ」という4つに分類。
特に、企業がデータマーケティングで利用することの多い「パブリックDMPのデータ」と「オウンドデータ」については、「パブリックDMPはボリュームは大きいが抽象度が高く、消費者の傾向を推計するための情報としては有効だが個人に結びつけることはできない。一方で、オウンドデータはデータボリュームは企業によってバラバラだが、顧客個人に紐づいたデータ分析・活用とデータ加工のしやすさが特徴で、販売促進、CRMにつなげやすい」とその違いを明確にした。
他方、データ権利軸での分類は、いわゆる1st Partyデータから3rd Partyデータに分類されるもの。最近では、消費者が情報銀行などを通じて直接企業に提供する「Zero Party データ」も登場しているという。
データの活用プロセスにおいて、企業が対応すべき課題とは
続いて大井氏は、データのライフサイクルを「データを取得するとき(インプット期)」「データ基盤に収集して解析するとき(プロセス期)」「様々な施策に解析したデータを活用するとき(アウトプット期)」という3つに分類し、企業が“攻めのデータ活用”を推進する上で考えるべき課題を提起した。
インプット期にまず企業が取り組むべき課題は「データマッピングの作成」だという。これは、社内に散在するデータを網羅的に可視化して集約し、その価値を判断するというものだ。「企業が保有するデータには、ユーザーがデータをインプットするデータとCookieや広告IDといったユーザーが無意識に残すデータがある。ユーザーからデータを取得する上で、どのようにユーザーに説明して合意を得る必要があるのか。プライバシーポリシーやCookieポリシーの策定によってインフォームド・コンセントを行うことが原則である。」(大井氏)。
そして、プロセス期においてはデータ管理体制の確立とセキュリティのアセスメント、そしてクラウド基盤を利用することが多い現在では、そのクラウド基盤と連携するためのアセスメント、つまり自社のセキュリティ基準とクラウドのセキュリティ基準のFit&Gap分析により整合性が取れているかの確認をする必要があるという。
加えて重要なのが、「仮名化」という作業だ。これは収集したデータから氏名や住所といった個人に紐づくデータを削除し、データテーブルを仮名化するという作業で、これによりデータ漏えい時の個人情報の侵害リスクを軽減し、データの利活用における解析に適するなど柔軟性が高まるのだ。
「今回の個人情報保護法改正では、「匿名加工情報」とは別に、新たに企業内でのデータ解析用に適する制度として、「仮名加工情報」という制度を新設した。」(大井氏)。
また、企業によっては広告配信会社などと3rd Partyデータとの連携や、他の事業会社とのデータエクスチェンジといった、2nd Partyデータとの連携を行っている企業もあるだろう。そのような場合はデータ連携、提供に関する契約が適切に締結されているか、API連携に関するポリシーを策定するかなどのチェックをするべきだと、大井氏は指摘した。
「インプットからアウトプットまでの様々な課題は、データ基盤を利用しながら自動化で解決する部分と、管理体制や規約の運用など人的に対応する部分を組み合わせることが重要だ」(大井氏)。
Cookieは個人情報にあたるのか?個人情報保護法改正のポイント
そして、講演の大半の時間を割いたのが、大井氏による個人情報保護法改正のポイント解説だ。2020年6月5日に成立した改正個人情報保護法の改正項目は多岐に渡ることもあり、膨大な量の個人情報を取り扱うデジタルマーケティング分野からも大きな注目を集めている。
大井氏は、「個人情報を入手する段階で、ユーザーのプライバシー侵害にならないようインフォームド(ユーザに解りやすく説明したうえで)コンセント(真摯な同意)が重要である。」と指摘。その上で、業界内で大きな議論になっている「Cookie規制」について解説を行った。
注目すべき点は、「個人情報」の概念に、Cookieは該当するのか。つまり、「Cookieは個人情報に該当するのか」という点だ。大井氏はこの疑問について、次のように解説した。
「Cookie、広告ID、デバイスIDなどオンライン識別子が個人情報保護法上の『個人情報』として定義されるわけではない。これらは『個人関連情報』という新たな概念で定義される。その意味では、Cookieなどオンライン識別子も個人情報に定義しているGDPRやCCPAなどの法制度の定義とは異なる」(大井氏)。
もちろん、会員データなどと紐づいて管理され、個人を識別できる場合には現行法でもCookieを含むデータ全体が「個人情報」に該当する点は注意が必要だ。
大井氏の説明では、Cookie単体では個人情報にはあたらず、「個人情報」には該当しない。では、なにがCookie規制の対象になるのか。大井氏は次のように説明した。
「第三者にCookieなどのオンライン識別子、閲覧履歴、趣味嗜好データなどを提供したとき、それが提供先で個人情報と突合されることで、個人情報になる場合、つまり提供先において閲覧履歴、趣味嗜好データが、提供先の個人情報と突合されて個人情報となることが想定される場合には、個人情報の第三者提供の規律が適用される。この場合、Cookieを提供する企業(提供元)は、提供先でCookieが個人情報と紐づけて使用されることについてユーザー本人の同意が得られていることを確認する義務が生じる」(大井氏)。
この規制が適用される代表的なケースが、複数の企業が共通のCookie IDを共有し、最終的にそのCookie IDに紐づくサイトへの閲覧履歴などが、提供先が保有する会員情報などと結びついて個人情報として利用される場合だ。
例えば、下表のようにA社とB社で共通のCookieIDを共有し、個人情報を収集・保有していないA社はサイト閲覧履歴やそこから推定される趣味嗜好データなどCookieに紐づくデータをB社に提供。B社はこのサイト閲覧履歴、趣味嗜好データと会員の個人情報を突合してB社の顧客データをリッチ化する。この場合、A社はB社にサイト閲覧履歴などのデータを提供し、B社において、個人情報に突合して利用されることについてユーザーの同意を確認しなければならない。
法改正により規制の対象となるケース。この場合、A社はB社に提供されたCookieが個人情報と紐づいて使用されることについて、ユーザーの同意を確認する必要が生じる。
「法改正では、Cookieが個人情報ではないという原則は維持しながら、非個人情報が個人情報として取り扱われるする場合に限って規制を新設しているのが大きなポイント。様々なデータ基盤の運用において、このケースに該当した場合にのみ法規制の対象となる、Cookieデータの利用を一般的に新たに規制するわけではない、という点を留意いただきたい」(大井氏)。
説明を終えて、大井氏は「法規制への対応について、企業は何から始めるべきか」という加藤氏の質問に対して、大井氏は前述した課題の最初に登場した「データマッピングの作成」をまずはしっかりやるべきだと指摘。「扱っているデータの可視化は、データ利活用の課題をあぶりだす第一歩であり、マーケティング部門と法務部門、法律の専門家が一体となりチームを組むべきだ」と提言した。