Cookieレスソリューション活用に求められる法律対応
マーケティング担当者やCRM担当者にCookieレスへの対応が求められる中、2022年に入って3つの状況変化が生じました。1つめは、2022年の4月に施行された改正個人情報保護法。2つめは、広告プラットフォームが提供するデータクリーンルームが本格化してきたこと。3つめは、リテールメディアをはじめデータを使った新しい広告事業の登場です。
これらの流れに対応するため、TMI総合法律事務所の弁護士でTMIプライバシー&セキュリティコンサルティングの代表をつとめる大井哲也氏に、法的観点からお話を伺いました。
※本記事はトレジャーデータ株式会社が2022年7月〜8月に開催した「PLAZMA 2022 Summer」内のプログラムをもとに編集しました。
動画は下記よりご覧ください。
▼前編
▼後編
<目次>
そもそもデータクリーンルームとは?
山森:データクリーンルームは、広告主が持つ顧客データと、広告会社やプラットフォーマーが保有するデータを、個人情報を特定しない形でつなぎ合わせ、セキュアにデータの統合・分析ができる環境です。
例えば、広告主からプラットフォームに対して、データクリーンルームに格納されているデータの突合リクエストを送ります。リクエストを受けたプラットフォームは、データクリーンルームを参照し、閲覧データや購買データなどとつなぎ合わせ、統計処理を行って個人を特定できない形にしてから突合結果を返します。
広告主とプラットフォーマーが、データそのものを直接やりとりしていないことがポイントです。データクリーンルーム内では、どちらからも個人情報を特定することができないので、個人のプライバシーは守られています。
データクリーンルームを活用する上での法律的な課題などは、まだまだ知見が不足しています。今回は、その点を大井先生に詳しくお伺いしたいと思います。
本人同意を取るのは広告主か、プラットフォーマーか
大井:まず、基礎的な法規制について2点お話します。「個人関連情報の第三者提供規制」と「混ぜるな危険問題」です。
令和2年の個人情報改正によって、Cookieの取り扱いが新たな規制を受けることになりました。「個人関連情報の第三者提供規制」です。
「個人情報」とは氏名や生年月日など、特定の個人を識別できる情報です。Cookieデータは日本法の下では個人情報ではありません。Cookieを取得すればブラウザを識別できますが、ブラウザからユーザーを一意に識別することはできないからです。以前は、「非個人情報」と呼ばれてきましたが、今回の改正によって「個人関連情報」という新しい概念が適用されました。
パブリックDMPを例に取りましょう。
さまざまなWebサイトやアプリ上のデータを持つパブリックDMPベンダーは、広告主からの要求に応じて各種データを提供しています。広告主はユーザーのWebサイトの閲覧履歴などを入手し、自社が持つデータと突合することで、その人がどんな趣味・嗜好を持っているかなど、データのエンリッチ化を実現します。このとき、広告主がパブリックDMPベンダーから受け取るデータの中に、「個人関連情報」であるCookieが含まれている場合があります。
個人関連情報の第三者提供が行われ、かつ広告主が自社の個人データと突合して利用する場合には、本人の同意が必要です。改正法により、情報を利用する主体が同意取得する必要があり、もう一方は同意が得られていることを確認する義務を負います。
上記の場合であれば、パブリックDMPベンダーが持つデータの提供先となる広告主が、情報利用の主体として本人の同意を得ます。提供元のパブリックDMPベンダーは、提供先の広告主が必要な同意を得ていることを、確認する義務があります。
2つめの「混ぜるな危険問題」とは、プラットフォーマーが提供するユーザーマッチングサービスへの注意喚起で、個人情報保護委員会がリリースしたQ&A(Q7-41)で公表されています。
例えばSNS事業者などのプラットフォーマーは、ユーザーのメールアドレスとともに、投稿履歴などからわかる趣味嗜好などリッチなデータを持っています。広告主はSNSを利用している自社の顧客のうち、特定の商品に興味のある人、特定の居住地に住んでいる人などに、集中的にインフィード広告を配信するような施策が可能になります。
こうしたユーザーマッチングサービスでは、広告主がプラットフォーマーへ、委託に伴って個人データを提供します。しかし、個人情報保護委員会のQ&Aの回答によれば、広告主が持つ個人データと、委託先であるSNS事業者らが独自に取得した個人データまたは個人関連情報を、本人ごとに突合することは、原則的にできません。
広告主とSNS事業者ら(プラットフォーマー)のそれぞれが持つデータを「混ぜるな」ということです。
この問題に対する解決策は2つあります。
ひとつは、「外部事業者に対する個人データの第三者提供」として整理するパターン。委託ではなく第三者提供とする考え方です。
この場合、広告主が本人に第三者提供の同意を取れば、プラットフォーマーへのデータ提供が可能になります。
もうひとつは、「外部事業者への委託という構造は変えずに、プラットフォーマー側が本人同意を取る」というパターンです。委託先であるプラットフォーマーが本人同意を取ることで、個人データを利用したユーザーマッチングサービスが可能になります。
山森:同意を取るのは、広告主でもプラットフォーマーでもよいというわけですね。後者の方法なら、広告主が個別に同意を取得する必要がなく、よりサービスを利用しやすくなります。
いっぽうで広告主は、プラットフォーマーがどのような説明や同意取得を行っているか、注意を払う必要がありますね。
大井:はい。広告主はプラットフォーマー側で同意が取れていることを確認したり、プライバシーポリシーをしっかり読んで理解する必要があります。
データクリーンルームの活用に必要な対応とは
大井:ここまでの議論は、データクリーンルームの論点整理に帰着します。ここでは3つの視点を挙げます。
①広告主としての対応
広告主からプラットフォーマーへ、個人データの第三者提供をするケースです。広告主のデータとプラットフォーマーが持っているデータを混ぜる場合、広告主側で本人の同意を取る必要があるか、プラットフォーマー側の同意取得でよいか、検討します。
②広告代理店の対応
広告主とプラットフォーマーの間に広告代理店が入るケースがあります。広告代理店からプラットフォーマーへ個人関連情報の第三者提供が認定される可能性があるので、データ利用の構成を確認する必要があります。
③外部データ提供者としての対応
データクリーンルームには、外部データ提供者のデータも入る可能性があります。外部データ提供者から広告主に個人情報や個人関連情報を渡しているケースです。
個人情報の第三者提供が行われている場合、外部データ提供者が本人の同意を取る必要があります。広告主が外部データ提供者の個人関連情報と自社の個人データとを突合して利用する場合にも、第三者提供の規制がかかります。両方のパターンを確認し、整理しておく必要があります。
山森:ありがとうございます。広告主、広告代理店、外部データ提供者のそれぞれが、データの提供について第三者提供に当たるのか、必要な同意を取得しているかをしっかり確認しないと、知らない間に法律を犯してしまう可能性があるのですね。
リテールメディアと法律の関係
山森:これまでは外部データ提供者といえばパブリックDMPが主流でしたが、新しいプレイヤーも出てきています。そのひとつが、リテールメディアです。小売事業者が自社で持っている購買データなどを広告配信に活用する、新しいビジネスモデルです。
アメリカでは、Walmartをはじめとする小売大手企業がリテールメディア事業を手掛けています。広告主の多くは、小売店に商品を置くメーカーです。
日本でも、ツルハホールディングスの広告プラットフォームや、サイバーエージェントとNTTコミュニケーションズが提携する広告事業など、リテールメディアそのものであったり、リテールメディアに近い取り組みがはじまっています。
小売業ではありませんが、住信SBIネット銀行が自社の持つデータを使った広告事業を展開している事例もあります。銀行法が改正され、金融機関も広告事業に参入できるようになりました。このように、異業種企業の広告事業への参入が進んできています。
大井:貴重な個人データを持つ小売事業者や金融業者が、そのデータを広告に使おうと考えるのはごく自然な流れでしょう。
しかし、これまでは小売事業者として顧客データを持っていたわけですから、当然、他社の広告配信に使うことは想定していないはずです。広告代理店や広告事業者として広告主のためにデータを使えるように、プライバシーポリシーの利用目的を拡大しなければなりません。
拡大に伴って同意が必要になるのであれば、プライバシーポリシーの変更に対する同意を確認するケースもあるでしょう。
場合によっては、広告主に個人データの第三者提供をする可能性もあります。そうした行動が可能な環境を整備していくことが必要です。
小売事業者と広告主の両者が、自分たちの持つデータを組み合わせて活用することがリテールメディアのキモですから、前述の「混ぜるな危険」問題も生じます。
すでに述べたように、広告主からプラットフォーマーに対する個人データの第三者提供と整理するパターン、プラットフォーマーへの委託として整理するパターンがあります。前者は広告主が、後者は小売業者(リテールメディア)が本人同意を取ります。
また、委託先の小売事業者が、提供されたデータに独自で取得したデータを付け加えて、解析しやすいデータとして広告主に戻す、といったサービス展開も予想されます。
この場合は委託に伴い、小売事業者から広告主に対して、個人情報や個人関連情報を第三者提供することになります。委託先の小売業者が、本人同意を取得すればデータ提供が可能です。
山森:リテールメディアをビジネスとしてスケールさせていくことを考えれば、できるだけ小売企業側で第三者提供同意を取り、広告主側の負担を小さくする工夫が必要になるのでしょうね。
大井:そうですね。パブリックDMP、データクリーンルーム、リテールメディア、いずれにしても、こうしたサービスの導入時には、「広告主側で同意取得が必要か」という法的な検討から始まります。そのときに委託提供で整理がつくのか、第三者提供同意が必要になるのかは、大きな問題になるわけです。
広告主側でプライバシーポリシーの変更や新たな同意取得が必要になると、これは相当な手間が掛かるわけですから、取り組み自体がストップしてしまう可能性もあります。プラットフォーマー側や小売事業者側で同意を取る仕組みを構築すれば、サービスの導入が進むのではないでしょうか。
山森:ステークホルダーが多く登場して分かりづらい論点ですが、よく理解できました。ありがとうございました。
<スピーカー>
大井 哲也 氏
TMI総合法律事務所
パートナー弁護士
TMI総合法律事務所弁護士、TMIプライバシー&セキュリティコンサルティング代表。2001年弁護士登録。クラウド、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバー・セキュリティの各産業分野における実務を専門とし、ISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を歴任する。
山森 康平
トレジャーデータ株式会社
最高戦略責任者
ドリームインキュベータにて主にエンターテイメント業界及びPEファンド向けのコンサルティング業務と自社の投資先向けのハンズオン支援に従事。2013年より投資先のアイペット損保へ出向、後に転籍をして社長室長に。2018年にマザーズ上場。アイペットではデジタルマーケティングを活用した販売チャネルシフト、RPA導入プロジェクト、代理店向け業務システム開発、金融庁との折衝窓口、投資業務等を担当した。2019年にトレジャーデータへ参画。