前回の記事では、改正個人情報保護法のポイントのうち、企業のデータ活用にとって特に重要なポイント2つ「仮名加工情報」の新設、「個人関連情報の第三者提供に伴うルール」の新設について説明しました。
本記事では、改正個人情報保護法がデジタルマーケティングの実務にどのような影響を与えるのかについて、具体的なケースを示しながら解説します。
改正個人情報保護法のポイント
2022年4月に施行される改正個人情報保護法のポイントは下記の8つでした。
①個人データの利用停止が認められる事例
②個人データ漏洩時の報告・本人通知の義務化
③不適正利用の禁止、その事例
④認定団体制度の充実化
⑤安全管理措置に関する公表事項
⑥「仮名加工情報」の新設
⑦「個人関連情報」の新設
⑧越境移転における必要な措置
そして、改正点の中でも特に重要なのは、⑥「仮名加工情報」の新設、⑦「個人関連情報」の新設でした。
⑥によって企業内の個人データの利活用が促進され、⑦によって今まで個人情報保護法の規制の対象外だったクッキー情報やIPアドレス、氏名と結びつかないWeb閲覧履歴なども今後は規制の対象となります。
デジタルマーケターが押さえておくべき改正法のポイント
個人関連情報の第三者提供時の同意取得の義務化
今回の改正法のポイントのうち、デジタルマーケティングにおいて最も重要なものは、⑦「個人関連情報」の新設に伴って追加されたルールです。
提供元では個人データに該当しないものの、提供先において個人データとなることが想定される個人関連情報の第三者提供について、原則として提供先が本人同意を取得し、提供元では同意が得られていること等の確認が義務付けされました。
これによってクッキー情報をはじめ、広告配信やトラッキングに広く活用されているデータの活用について、一部本人同意の取得が必要となります。
同意取得が必要なケース
追加された規制では、すべてのケースにおいて本人同意を取得する必要がある、というわけではありません。
下記のチャートで同意取得の必要性を簡単に整理します。オレンジ色の箇所が今回の改正法で取扱いが変更になった点です。
企業が確認しなければならないことは、個人関連情報であった場合には、そのデータが第三者提供先で個人データになるかどうか、という点です。提供先で個人データ化する場合、消費者本人の同意取得が必要となります。ここで本人同意の取得の主体となるのは、原則としてデータの提供先です。
同意取得の方法|明示的な同意取得が必要
本人同意の取得方法には、下記の3つのパターンが認められています。
①本人から同意する旨を示した書面を受領する方法
②本人から同意する旨を示した電子メールを受領する方法
③本人に確認欄へのチェックを求める方法
近年、Webサイト訪問時にデータ活用に関するポップアップメッセージが起動する経験をされている方も多くいらっしゃると思いますが、ポップアップによる同意確認は③に該当します。また、会員登録や商品購入などの際に、個人情報保護方針やプライバシーポリシーを含めた利用規約にチェックして同意するという方法も③に該当します。
前回の記事でも説明しましたが、注意点として、本人同意の取得は明示的に行われる必要があります。つまり、本人が拒否しない限り同意したとみなすオプトアウトのような手法や、ただ単にプライバシーポリシー上に必要な情報を開示しておくという従来の方法は、改正法ではNGとされています。
(出典)個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について
(個人関連情報)
https://www.ppc.go.jp/files/pdf/201120_shiryou-1.pdf
広告配信やCRM施策で本人同意が必要になる事例
では、実際のデジタルマーケティングの実務において、本人の同意が必要となるのはどのようなケースか見ていきます。ポイントは、収集した個人情報に対して個人関連情報を掛け合わせて活用しているか否か、となります。
例えば、以下のように、企業が収集した顧客情報に対して、外部のWeb閲覧履歴に基づいて推定した属性データを付与し広告配信やCRM施策を実行した場合、ユーザーに対して本人同意が必要なケースに該当します。
<例>DMPで収集したデータを広告配信やCRMに活用する場合
この例では、データの提供元、データの提供先、個人関連情報という3つのポイントを下記のように整理します。
・データの提供元:DMP事業者
・データの提供先:サイト保有企業
・個人関連情報に該当するもの:クッキー情報およびそれに基づいた属性推定データ
改正法に照らし合わせると、この場合データの提供先にあたるサイト保有企業が、本人同意を取得する主体となります。つまり、サイト保有企業は同意取得ポップアップや利用規約・プライバシーポリシーなどをユーザーに対して表示し本人同意を取得し、提供元のDMP事業者は、提供先事業者が本人同意を取得していることを確認しなければなりません。 また、提供先・提供元ともに個人関連情報の授受が発生した内容を記録・保存しなければなりません。
※広告配信施策においてはDMPから受け取った情報が提供先の個人情報に紐づかないケース等もあるため、全てが同意取得が必要なケースに該当するわけではありません。
まとめ
いかがでしたでしょうか。本記事では、個人情報保護法の改正点の中で、デジタルマーケティングに与える影響が最も大きいのは、個人関連情報を第三者提供に関する新たなルールであるという点と、具体的に想定されるケースを紹介しました。
DACでは、改正個人情報保護法への対応に関して「何からはじめたらよいかわからない」という企業の皆さまに対し、データプライバシーコンサルティングサービスを提供しています。
本記事を読んで、自社の対策に対しての不明点、懸念事項などを感じられたご担当者の方がいらっしゃいましたら、ぜひお気軽にお問い合わせください。
