「個人関連情報」新設と広告担当者への影響
今年4月に施行される改正個人情報保護法。本記事では、改正ポイントの中でも特に広告担当者へ影響があるとされている「個人関連情報」について解説します。
下記、個人関連情報の理解度チェックです。
個人関連情報の定義は、次のうちどれでしょう?
a. 生存する個人に関する情報であり、特定の個人を識別できる情報
b. 生存する個人に関する情報であり、特定の個人を識別しない情報
c. 個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの
d. 生存する個人に関する情報であり、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの
答え d
個人情報法保護法・個人情報・個人データ
まず、個人関連情報とは切っても切り離せない個人情報法保護法、そして「個人情報」「個人データ」についておさらいします。
■ 個人情報法保護法
事業者による個人情報の有効活用と個人情報の保護、この両立を実現すべく取扱いルール等を定めた法律が「個人情報保護法」(個人情報の保護に関する法律)です。2005年、インターネットの普及・発展が進む中でプライバシーへの意識が高まったことを背景に施行されました。
■ 個人情報
個人情報の定義は個人情報法保護法2条1項で下記の通り記載されています。
①生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
②個人識別符号が含まれるもの
①について、具体的には免許証(氏名+住所)、名刺(氏名+勤務会社)、住民票が該当します。「氏名のみであれば個人の特定は難しいから、個人情報にはあたらない」とも解釈できそうですが、個人情報保護委員会は「氏名のみであっても、社会通念上、特定の個人を識別することができるものと考えられますので、『個人情報』に含まれると考えられます」と回答しています。
②の個人識別符号とは、身体の特徴データ(指紋、顔の骨格及び皮膚の色)や、公的な番号(マイナンバー、パスポート、運転免許証の番号)が該当します。
個人識別符号
①特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
②カード等の書類に記載された、対象者ごとに割り振られる符号のいずれかに該当し、政令で定めるもの
(法第2条2項)
■ 個人データ
個人データとは「個人データベース等を構成する個人情報のこと」です。個人情報とは別に定義・区別されています。
個人情報データベース等とは、個人情報を一定の規則に従って整理し、特定の個人情報を検索しやすいよう体系的にまとめた情報の集合物を指します。名刺を50音順に並べたファイル、名刺情報を整理したExcelはどちらも個人データベース等に該当します。
個人情報取扱事業者が守るべきルール
個人情報保護法では、個人情報・個人データなどを取扱う事業者にもルールが課されています。おおまかには ①個人情報の利用・取得について ②個人データの安全のための管理措置について ③個人データの第三者提供について ④開示等に対する対応 に関するものです。
【取得・利用について】
利用目的の特定(15条)、利用目的による制限(16条)、適正な取得(17条)、取得に際しての利用目的の通知等(18条)、データ内容の正確性の確保等(19条)
【安全管理措置について】
安全管理措置(20条)、従業者の監督(21条)、委託者の監督(22条)
【提供について】
第三者提供の制限(23条)、外国にある第三者への提供の制限(24条)、第三者提供に係る記録の作成等(25条)、第三者提供を受ける際の確認等(26条)
【対応】
保有個人データに関する事項の公表等(27条)、開示(28条)、訂正等(29条)、利用停止等(30条)、理由の説明(31条)、開示等の請求等に応じる手続(32条)、手数料(33条)、事前の請求(34条)、個人情報取扱事業者による苦情の処理(35条)
新設された「個人関連情報」
今年4月に施行される改正法で注目ポイントがいくつかある中でも、「個人関連情報、仮名加工情報の新設」は、広告運用に携わる方々の業務に特に影響を与えるものです。
というのも、これまでグレーゾーンだったインターネット上のユーザーデータの取得・活用のあり方に関する明確なルールがここで定められたからです。
(出典:個人情報保護委員会「改正個人情報保護法と民間の自主的取組の促進」)
■ 個人関連情報
個人関連情報とは、それ単体では特定の個人を識別できない情報のことを指します。具体的にはCookie情報、ユーザー識別子、IPアドレス、位置情報、アクションデータなどが該当するケースが考えられます。
生存する個人に関する情報であり、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの(改正法第26条 2第1項)
個人情報取扱事業者には、個人データを第三者に提供するとき、本人の同意を得なければならないというルールが定められています(「個人情報取扱事業者が守るべきルール」参照)。しかし、個人関連情報はこれまで個人情報保護法に定められておらず、その取扱いに関して明確なルールがありませんでした。
その結果、提供元事業者(下記画像内のA社)において特定の個人を識別できないデータが、提供を受けた事業者(上記画像内のB社)の保有する個人データと紐づけられることにより、特定の個人を識別できる個人データとなってしまうケースが発生してしまいます。「提供先で個人関連情報が個人データ化できてしまう」という事実を知りながら、個人データの第三者提供の同意取得を回避することが、法の趣旨に反して可能となってしまう危険性があったのです。
(出典:個人情報保護委員会「改正個人情報保護法と民間の自主的取組の促進」)
特定の個人を識別できない情報でも、個人データとしてユーザーの許可なく活用される可能性をなくすために「提供を受ける個人関連情報を個人データとして取得する場合には、ユーザー本人の同意取得を得なければならない」というルールが今回の改正法で新たに定められることとなりました。
EUでは個人情報の取得時点で本人の同意を得なければならないという規則(General Data Protection Regulation:一般データ保護規則)があります。企業がEU域内にいるユーザーのクッキー・識別子などを取得する際には、サイト上でクッキー取得に関するポップアップを表示し、ユーザーから同意を得ることで対応しています(※日本では個人関連情報の取得自体はユーザーの許可なく可能です)。今後、日本でも同レベルの対応が迫られると予想されていることから、最近ではクッキー使用に関するポップアップ表示を行うHPもよく目にするようになりました。
個人関連情報の提供を受ける側・する側に求められる対応
最後に、個人関連情報を取扱う提供元事業者・提供先事業者がすべき対応について説明します。
■ 提供先事業者の対応
提供元事業者から受けとった個人関連情報を個人データと紐付ける事業者は、個人データとして取得・利用されることについて本人の同意を得る必要があります。
同意取得手段には、ウェブサイト上で必要な説明を行ったうえで、ユーザー本人に当該ウェブサイト上のボタンのクリックを求める方法や、書面、メールなどが想定されています。
■ 提供元事業者の対応
個人関連情報を提供する立場にある事業者は、提供先事業者が個人データとして取得することについてユーザー本人の同意を得ているかを事前に確認しなければなりません。
加えて、提供する事業者には「提供記録の作成・保存」の義務が発生します(改正法第26条の2 第3項)。書面もしくはデータで提供に関する記録を残し、一定期間保管が義務付けられます。
提供記録の内容
①本人の同意が得られていることを確認した旨
②提供をした年月日
③提供先の氏名(名称)+住所+代表者の氏名
④個人関連情報の項目
アフィリエイト広告運用代理店カラックと、カラックのクライアントである広告主の関係で例えると以下のようになります。
ユーザーがアフィリエイトリンクを経由してコンバージョンすると、その識別子情報(個人関連情報)はASPを介してカラックに届きます。カラックは識別子情報を広告主に提供、広告主はアフィリエイトサイト別のコンバージョンユーザーの分析を実施すべく、カラックから受け取った識別子情報を広告主が保有する個人データと直接紐付けます。
この流れの中で、個人関連情報の提供を受ける広告主は、HP上などで識別子情報の利用についてユーザーから同意を得ておく必要があります。カラックは、広告主がユーザー同意を得ていることを確認してから識別子情報を提供、加えて提供記録の作成・保存を行います。
まとめ
★ 2022年4月1日以降、Cookie、識別子、アクションデータなどそれ自体で特定の個人を識別できない情報も、個人関連情報として規制対象となる
★ Cookieや識別子が個人情報に該当しない場合でも、提供先で個人データと紐づけることが想定されるとき、本人の同意を取得していることを確認する必要がある
改正個人情報保護法が施行されるのは今年4月。それまでに、ユーザーからどのようにして同意を取るか、個人関連情報を提供する事業者は同意が取得されていることをどのように確認するか、等々のスキームを整えていく必要があります。特に、cookie取得するデジタル広告を取り扱う企業の対応は必須です。
picture:ニッパシヨシミツ