2022年施行!改正個人情報保護法がデジタルマーケティングに与える影響とは?

 2021.10.06  デジタル・アドバタイジング・コンソーシアム株式会社

 前回の記事では、改正個人情報保護法のポイントのうち、デジタルマーケターにとって特に重要なポイント2つ「仮名加工情報」の新設、「個人関連情報の第三者提供に伴うルール」の新設について説明しました。

 本記事では改正点がデジタルマーケティングの実務にどのような影響を与えるのかについて、具体的なケースを示しながら解説します。

個人情報保護法の改正ポイントについておさらい

 2022年4月に施行される改正個人情報保護法のポイントは下記の8つでした。

 ①個人データの利用停止が認められる事例
 ②個人データ漏洩時の報告・本人通知の義務化
 ③不適正利用の禁止、その事例
 ④認定団体制度の充実化
 ⑤安全管理措置に関する公表事項
 ⑥「仮名加工情報」の新設
 ⑦「個人関連情報」の新設
 ⑧越境移転における必要な措置

そして、改正点の中でも特に重要なのは、⑥「仮名加工情報」の新設、⑦「個人関連情報」の新設でした。⑥によって企業内の個人データの利活用が促進され、⑦によって今まで個人情報保護法の規制の対象外だったCookie情報やIPアドレス、氏名と結びつかないWeb閲覧履歴なども今後は規制の対象となります。

デジタルマーケターが押さえておくべき改正法のポイント

 今回の改正法において重要なポイントは上記の2点ですが、デジタルマーケティングにおいて最も重要なものは、⑦「個人関連情報」の新設に伴って追加されたルールです。これにより提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付けされました。なぜなら、これによってCookie情報をはじめとした広告配信、トラッキングに広く活用されているデータの活用について、一部本人同意の取得が必要となるからです。

しかし、この文章だけでは具体的にどのようなケースにおいて本人同意を取得する必要があるのかイメージしづらいと思いますので、下記のチャートで同意取得の必要性を簡単に整理します。オレンジ色の箇所が今回の改正法で取扱いが変更になった点です。

まず企業が確認しなければならないことは、第三者に提供する情報が個人情報なのか、個人関連情報なのかというポイントです。個人情報に該当する場合は、今回の改正法によって取扱い方法が変わることはありません。個人関連情報であった場合は、そのデータが第三者提供先で個人データになるかどうかを確認する必要があります。提供先で個人データ化する場合、消費者本人の同意取得が必要となります。ここで本人同意の取得の主体となるのは、原則としてデータの提供先です。

本人同意の取得方法には、下記3つのパターンが認められておりますが、おそらくデジタルマーケティングの実務においては、Webサイト上に同意取得のポップアップを表示して、③の方法で同意を取得することがスタンダードとなると予想されます。

 ①本人から同意する旨を示した書面を受領する方法
 ②本人から同意する旨を示した電子メールを受領する方法
 ③本人に確認欄へのチェックを求める方法

前回の記事でも説明しましたが、注意点として、本人同意の取得は明示的に行われる必要があります。つまり、本人が拒否しない限り同意したとみなすオプトアウトのような手法や、ただ単にプライバシーポリシー上に必要な情報を開示しておくという従来の方法は、改正法ではNGとされています。


(出典)個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について
(個人関連情報)」https://www.ppc.go.jp/files/pdf/201120_shiryou-1.pdf

法改正により本人同意の取得が必要になるケース

 それでは、具体的にどのようなケースで本人同意の取得が必要になるのでしょうか。

ケース1:DMPとのCookieデータのやりとり

 第一に、サイト保有企業がDMP等の外部ツールで収集したデータを広告配信やCRMに活用している場合が想定されます。

このケースにおいては、サイト保有企業がDMPを活用して広告配信施策/CRM施策などを行っている場合、DMP事業者はタグを企業サイトに設置し、Cookieを経由して情報を取得しています。そしてDMP事業者がCookieデータをサイト保有企業に対して提供し、サイト保有企業はそのデータを広告やCRMなどの様々な用途に活用するというデータの流れになります。

この例で、データの提供元、データの提供先、個人関連情報という3つのポイントを下記のように整理します。

 ・データの提供元:DMP事業者
 ・データの提供先:サイト保有企業
 ・個人関連情報に該当するもの:Cookie情報

改正法に照らし合わせると、この場合データの提供先にあたるサイト保有企業が、本人同意を取得する主体となります。つまり、サイト保有企業は同意取得ポップアップなどをユーザーに対して表示し本人同意を取得し、提供先のDMP事業者に対して本人同意を取得している旨を通知しなければなりません。

※広告配信施策においてはDMPから受け取った情報が提供先の個人情報に紐づかないケース等もあるため、全てが同意取得が必要なケースに該当するわけではありません。

ケース2:広告プラットフォームとのCookieデータのやりとり

もう一つ、想定される代表的なケースとしては広告プラットフォーム企業とのCookieデータのやり取りが考えられます。

ここでは、APIやカスタマーマッチ等で、広告プラットフォーム企業に対してユーザーのデータを送付するようなケースを想定しています。

このケースにおいては、まず企業サイトにおいてサイト保有企業が訪問ユーザーから登録情報や購買履歴など各種データを取得します。そして、取得したデータを広告プラットフォーム企業に提供し、API・カスタマーマッチなどに活用していくといったデータの流れです。

この例で、データの提供元、データの提供先、個人関連情報という3つのポイントを下記のように整理します。

 ・データの提供元:サイト保有企業
 ・データの提供先:広告プラットフォーム企業
 ・個人関連情報に該当するもの:Cookie情報

つまり改正法において本人同意の主体となるのは広告プラットフォーム企業となります。しかし、広告プラットフォーム企業各社がどのように本人同意を取得していくのかについては、現時点では明らかになっていない部分が多いため、今後の動向を注視する必要があります。

 

まとめ

 いかがでしたでしょうか。本記事では、個人情報保護法の改正点の中で、デジタルマーケティングに与える影響が最も大きいのは、個人関連情報を第三者提供に関する新たなルールであるという点と、具体的に想定されるケースを2つ紹介しました。

改正法は2022年4月1日から施行されますので、企業は早急に自社のデジタルマーケティング施策の洗い出し、本人同意の取得方法の検討を開始する必要があります。

弊社DACでは、改正個人情報保護法への対応に関して「何からはじめたらよいかわからない」という企業の皆さまに対し、コンサルティングサービスの提供、及びCMPツールのご提案を行っております。本記事を読んで、自社の対策に対しての不明点、懸念事項などを感じられたご担当者の方がいらっしゃいましたら、ぜひお気軽にお問い合わせください。ご連絡をお待ちしております。

<<前の記事へ

 

関連URL

CMP導入コンサルティングサービス ご紹介資料

RECOMMEND関連記事


RECENT POST「広告主向け」の最新記事


この記事が気に入ったらいいねしよう!