改正個人情報保護法にあわせてデジタルマーケターが注意すべきポイント3点
はじめに
2022年4月に改正された個人情報保護法。
あと少しで施行から1年経ちます。
私は人材系の事業会社で働いているのですが、個人情報の取り扱いは重要テーマです。
法務とのやりとりも多い。
カスタマーの個人データはオウンドメディア運営、広告運用、ランディングページ・エントリーフォーム制作、基幹データ分析など、どのような業務でも関わってきます。
今回はそもそもの定義と何をどんな風に注意しなければいけないのか?まとめてみたいと思います。
改正個人情報保護法とは?
そもそも「個人情報保護法」から 定義を理解したいと思います。
政府広報オンラインによると、個人情報保護法は個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的に制定されました。
その後、デジタル技術の進展やグローバル化などの経済・社会情勢の変化や、世の中の個人情報に対する意識の高まり等を背景に、3度の大きな変更があり現在の「改正個人情報保護法」となっています。
基本的には民間事業者が守るべきルールであり個人情報の定義、個人情報をどう取り扱わなければならないのか?がまとめられています。
データの主権は個人
上記の文章は政府広報オンラインを参照しているので、かなり堅苦しい文章になってますね(汗)。
改正個人情報保護法において1番注目したいポイントは社会の流れです。
「世の中の個人情報に対する意識の高まり」とはつまり、行動履歴など様々なカスタマーに関わるデータの主権って個人にあるよね!ということだと思っています。
なので、企業側が取得するデータは個人が全貌を把握しコントロールできるようになっていく。それが法規制のトレンドだと理解しています。
そもそも、事前許諾無しで個人データを民間企業が使えていた世界って今考えると違和感がすごい。
押さえておきたい用語
改正個人情報保護法を適切に理解するために、
テストに出そうな用語をチェック。
個人情報
個人情報とは、生存する個人に関する情報。
氏名、生年月日、住所、顔写真などにより
特定の個人を識別できる情報。
個人関連情報
生存する個人に関する情報であって、
個人情報、仮名加工情報及び匿名加工情報の
いずれにも該当しないもの。
一般的には、Cookie、IPアドレス、端末固有IDや広告IDなどの識別子、位置情報、閲覧履歴、購買履歴などが該当する。
改正後の個人情報保護法において重要な用語。
事業会社側は個人関連情報をユーザーIDベースで紐付けて個人特定が可能であり、法規制下においては利用目的を明確にカスタマーに説明する必要があります。
Cookie
Cookieとはサイトに訪れたユーザーの情報を
一時的にユーザーのブラウザに保存する仕組み。
Cookieはサイト分析、広告配信などのトラッキング技術に利用されるほか、ID、パスワード、メールアドレス、訪問回数などをユーザー情報として保存するために活用される。
Cookieの詳細説明はこちらをご覧ください。
オプトインとオプトアウト
ユーザーが情報を受け取る際や自らに関する情報を利用される際などに、許諾の意思を示す行為を「オプトイン」と言います。
英語"opt"は「選ぶ、決める」などの意味があり、「opt in」で「加入する、参加する」といった表現になります。
改正個人情報保護法(特定電子メール法)に沿った事業運営を行う場合、オプトインを遵守できているかがポイントになります。
反対に許諾しない意思を示す行為を「オプトアウト」と言います。英語”opt out” には「脱退する、身を引く」という意味があります。
顧客がオプトアウトを行うと、広告・メルマガ配信者側に停止依頼が通知されます。
デジタルマーケターが注意すべきポイント3点
プライバシーポリシーの修正
2022年4月改正の個人情報保護法によって、
事業会社はプライバシーポリシーに下記情報を
記載することが求められる。
├①事業者の代表氏名、住所
├②利用目的
├③安全管理措置の内容
├④外国での個人情報の取り扱いの委託先
②の利用目的は、どのような取扱いが行われているか、ユーザーが想定できる程度に詳しく書く必要がある。
webマーケティングを支える技術であるCookieは前述のとおり個人関連情報にあたる可能性がある為、適切な利用目的の説明が求められる。
サイトにはサービス利用に関する同意取得ボタンがあり、左記ボタン近くには必ずプライバシーポリシー(と利用規約)リンクがあるはず。
サイト運営責任者だけが注意すればいい事項ではなく、広告運用で連携するデジタルマーケターも正確な状態把握が必要。
現状の個人データの取扱いを整理する
前提として、企業が保有する個人データはカスタマーが電子データでの開示を請求できます。
また程度は不明ですが、影響大きい情報漏えい発生時は個人情報保護員会への報告と通知が義務化されています。
なので、事業会社側はプライバシーポリシーの修正とあわせて、現状の個人データの取扱いを事前に整理し、リスク発生時に受け身が取れるように備えておく必要があります。
具体的には下記を自社サービスサイトだけでなく、外部の利用中ツールにおいても整理する必要があります。
・どのような個人データを保有しているのか
・第三者からどのような個人データが提供されているのか
・それらをどうやって保管しているのか
・本人の同意を取得する必要があるのか
事業規模によっては膨大な社内外の利用ツール棚卸が必要になりますが、法規制に合わせた誠実な事業運営を行うためには重要です。
Cookieの同意管理
Cookieポップアップが表示されるサイトが
最近増えていますが、国内では現状対応は必須ではありません。
改正個人情報保護法観点でCookie(個人関連情報)の同意取得はmustですが、同意取得の方法論は明確な基準やガイドラインはありません。
その為、国内のcookie同意管理は企業によって対応が分かれています。
(Priv Labによれば2021年5月時点での同意取得を導入している日本大企業はたった7%)
社内でもCMP(※)の利用必然性が議論されていましたが、Cookieポップアップがあれば個人関連情報の同意取得に必要となる要件を必ず満たせる訳ではなく、法規制状況としても必須ではないため、一旦外的環境の静観になっているように思います。
一方でEU圏内でビジネスを行い、eプライバイシー指令への対応として英語版のホームページで同意取得している企業であれば、プライバシー保護を手厚くする観点から日本語版でも同様に同意取得を行うなど検討する必要があります。
※Consent Management Platform
同意管理プラットフォームのこと。Webサイトに訪問したユーザーに向けて、オプトイン方式でCookieの同意取得のポップアップを表示できるツール。
Cookie規制の本番はこれから?改正電気通信事業法
前述の通り「改正個人情報保護法」はプライバシー保護への規制強化対策の一つですが、Cookieへの規制は含まれていませんでした。
ですが、今年6月に施行される「改正電気通信事業法」ではいよいよCookie規制が対象になります。
当法案の「情報送信指令通信」はCookie利用を規制する法律上の新設ルール。
事業会社などのサービス提供側はCookieの利用を行う場合、収集するCookie情報や送信先、利用目的といった情報を本人に通知する仕組みを導入するか、あるいは、Cookieポリシーを公表するなどして利用者が容易に知り得る状態に置かなければなりません。
詳細は弁護士の方が解説しているこちらの記事を参照ください。
最後に
人材系の事業会社で働いている自分としては、リクルートキャリアの内定率予測データ事件が衝撃大きく忘れられないです。
個人・法人どちらも幸せにするために事業があるので、法の趣旨を潜脱した不適切なサービス提供は必ず回避しなければいけない。
業界全体でユーザーファーストかつ健在なサービス提供ができるよう、法規制の動きは引き続き注視していこうと思います。