改正個人情報保護法によって、これまでのマーケティングやCRMをどのように変えていく必要があるのでしょうか。TMI総合法律事務所 パートナー弁護士の大井哲也 氏がCookie規制に関するよくある質問に答えながら、改正個人情報保護法のポイントを解説しました。
聞き手は、トレジャーデータの山森が務めました。
※本記事はトレジャーデータ株式会社が主催した「PLAZMA After 3rd Party Cookie〜Cookie規制後のデータ活用とマーケティング 〜」(2021年5月開催)のセッション「改正個人情報保護法とCookie規制」をもとに編集しました。情報は、収録日である2021年4月20日時点でのものです。
まず、基本的な個人情報の概念からお話しします。
個人情報とは、氏名、住所、生年月日、メールアドレスのように特定の個人を識別できる情報を指します。Cookieはブラウザ単位でユーザーを識別できますが、このブラウザを誰が使ってるかという、ユーザーを紐付けることはできません。日本の個人情報保護法では「Cookieは個人情報ではない」という整理になっています。
もっとも、個人データとCookieが紐づけて管理されていることはあります。例えばECサイトでは、氏名、住所、カード番号があらかじめECサイトに登録されています。ユーザーが商品サイトで商品説明を閲覧するときに、閲覧履歴がCookieの形で紐づけて収集蓄積されていきます。この個人データと閲覧データ、Cookieデータが紐づけて管理されていれば、個人を識別できるデータである「個人情報」として取り扱われます。
つまり、Cookie単体では個人情報ではありませんが、CRMデータなどに格納されている氏名、住所、カード番号などが、各ユーザーに紐付けてCookie閲覧履歴が管理されていれば、個人情報になります。これが、改正個人情報保護法前までの整理です。かつ、重要なことは改正個人情報保護法施行後もこの定義、またはCookie情報の整理は変わりません。
では何が変わったのでしょうか。
スライドのB社をEC事業者として想定してください。このEC事業者は、もともと氏名、住所、カード番号を持っています。加えて、Cookieを持っており、且つCookie IDをA社とB社で共有しているという状況です。
より具体的にイメージしていただけるように、例えばB社をアウトドア用品、キャンプ道具など売っているEC事業者と想定ください。EC事業者は通販を運営しており、ユーザーの氏名、住所をあらかじめ登録してもらっているとします。加えて、ユーザーの様々な商品の閲覧履歴も、Cookie IDに紐付けて管理しています。これが、「氏名、住所等」と「CookieID等」と書いてある図の右側で示しているところです。このCookie IDをA社B社で共通のCookie IDキーを共有していると想定ください。
A社は、様々なキャンプ用品をレビューする口コミサイト、ポータルサイトをイメージしていただくとわかりやすいかと思います。氏名や住所を登録する機能がないサイトをイメージしてください。吹き出しの②にあるように、A社では個人が特定できません。
しかし、Cookie ID に紐づいている行動履歴は蓄積されています。近隣のキャンプサイトを検索した履歴によって、ユーザーがどこの地方に住んでいるのかをだいたい推定することができます。加えて、ユーザーが見ている商品のレビューの頻度を見ると、「この人は新しいキャンプ用品と新しいテントを買おうとしている」ことが、「閲覧履歴・趣味嗜好等データベース」に蓄積されていくわけです。
B社のアウトドア用品ECサイトとしては、誰がどういった商品に興味関心があるのかというデータを欲しいと思います。それがまさに①番で、B社からA社に対して、Cookie ID等に係るデータの提供を依頼します。
A社のメディアはB社にCookie ID 7番の人はこういった属性の人で、こういった趣味趣向を持っています、という情報をB社に提供します。B社では、こうしたデータを利用してターゲティングが可能になります。加えて④番では、もともと持っているCRMのデータを組み合わせて、きめ細やかなターゲティング広告を出せるようになります。
また、B社はメールアドレスを持っていますので、Cookie ID 7番の興味関心が高い商品をDMでレコメンドするといったことも可能になります。
A社はCookieは持っていますが、住所のような個人を特定する情報は一切持っていないので、個人情報を持っていないという整理になります。A社には個人情報保護法の適用はありません。この場合、A社がCookieデータをB社に提供するとしても、これは個人情報の第三者提供にはなりません。
あくまでも、Cookie単体は非個人情報(個人情報ではない情報)なので、A社はCookie ID 7番の方について、同意を取らずにB社にデータを提供することが可能です。しかし、今回新たに規制が入ったのは、B社においてもともと持っているCRMの個人情報と、A社が持っているCookieに紐づく閲覧履歴(非個人情報)を突合して紐づけて管理利用する際には、ユーザーの同意を得てくださいという内容です。
通常、同意を取るのはB社側で、会員登録時に同意を取ります。そこに、「B社が同意を取ったことについて、A社が確認をしてください」「A社がB社の同意取得を確認して、その上でA社からB社にCookieやそれに基づく閲覧履歴を提供してください」という規制が新たに加わりました。Cookie単体では個人情報ではないことは全く変わりませんが、提供先のB社側において個人情報に紐づくこのケースに限定して同意を取得してください。基本的にはB社が同意を取りますが、A社が同意を取ることも可能で、要件から排除していません。
こうした点が、今回の改正個人情報保護法で同意が必要となる新たなケースとして加わりました。
セッション内容を受けて、トレジャーデータの山森が、大井 哲也 氏に質問しました。
トレジャーデータを契約されているお客様で大井先生にご相談がある方は、担当のカスタマーサクセスまでご連絡いただければ、おつなぎをいたします。お気軽にご連絡ください。