3月10日に閣議決定された「個人情報保護法」の改正案
3月10日、「個人情報保護法」の改正案が閣議決定された。嶋田氏はまず、その概要について次のように説明した。
「改正案の概要については、個人情報保護委員会の改正案閣議決定を告知するWebサイトで、関連資料の中の『概要資料』というPDFをご覧いただくのが一番わかりやすいでしょう。改正案では、無条件での権利行使を消費者に認めている欧州のGDPRと異なり、『個人データの取り扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合』などの条件下で、個人データの利用停止や第三者への提供の停止を請求できると定められました」(嶋田氏)
2019年12月に公表された大綱では、個人データの利用の停止・消去・第三者への提供の停止についての請求があった場合には原則として対応する義務が発生するような方針が打ち出されていたが、その後のパブリックコメントなどの議論を経てこのような形になったとのことだ。
改正における3つのポイント
この条文に加えて、さらに重要な個人情報保護法の改正ポイントについて、嶋田氏は3点をあげた。
(1)消費者にとっての透明性
(2)消費者によるコントロール権
(3)消費者保護
まず今回の改正案では、「消費者にとっての透明性」が強化されているという。透明性を考える際には「同意の内容」はもちろんのこと「同意の取り方、記録」にも注意が必要である。昨年ある「就活サイト」で個人情報を取得する際の「同意の取り方」が問題となった。一部のユーザーに対して、第三者提供の許諾が取れていなかったことが後から判明。サイト開設前の準備期間中に事前登録しておいたユーザーが本登録するまでの間に、利用規約が改定されていたことも明らかになった。新しい利用規約に同意していなかったユーザーは当初8,000人と発表していたにもかかわらず、後日26,000人と大幅に訂正されたことも世間の不審感を募らせる一因となった。
「個人情報を扱う事業者は、全ユーザーがいつ・どのような利用規約に同意したのかについて、すべて漏れなく把握しておかなければなりません。そしてその同意が取れているユーザーに、同意に則った範囲で個人情報を扱うことを徹底しなければならないのです。事業責任者にはその責務があります」(嶋田氏)
多くの企業がこのケースをきっかけに改めて自社の「同意管理」について確認することになったと嶋田氏はいう。
このケースでは「同意内容が不明瞭」であったことも大きな問題となった。利用規約内では「個人を特定したうえで個人情報や行動履歴を分析・集計し、利用することがある」と書かれていたが、その一方で「行動等は予め許諾を得ない限り共有しない」「選考に利用されることはありません」とも書かれていた。
「従来は問題がないとされた利用規約であっても、今後はユーザー自身が自分のデータがどのように利用され、どのような影響があるかを理解できないような場合には見直しが必要になるでしょう。ましてやユーザー自身の将来に影響を及ぼす可能性がある場合は、今後、個人情報の利用方法や処理方法の明示義務はより厳しくなっていくのではないでしょうか。
開示請求についても、今回の改正案ではユーザーが望めばデジタル上で開示しなければならないという風に変わりました。開示請求については2018年12月にもガイドラインが改定されています。個人情報保護法の改正は3年に一度ですが、ガイドラインは数ヵ月単位で変わっていくので欠かさずチェックすることをお勧めします」(嶋田氏)
たとえば、Google IDの場合、アカウント管理画面から、提供しているデータや利用しているアプリ、YouTubeでどのような動画を閲覧したかなどの履歴をすべて見ることができる。それはすべてユーザー自身が自分の手で消去できるが、こうした処理が国内の一般的な企業でも行われるようになるときがいずれ来るだろうと嶋田氏は話した。
消費者自身が個人情報の取り扱いを「コントロール」できるように
次に、個人情報保護法改正案2つ目のポイントである「消費者によるコントロール権」についての説明に及んだ。
「消費者によるコントロール権とは、消費者自身が自分の個人情報の『利用停止』『消去』『第三者提供の停止』を要求できるということです」(嶋田氏)
第三者提供の停止については、法改正を前に一部の企業で対応が実施されている。たとえばYahoo!の場合、2019年10月にプライバシーポリシーを改定し、Yahoo!Japanのデータをソフトバンクグループに提供する際、ユーザー自身がそれに同意/撤回するかの選択や、同意する場合においても提供先のグループ会社の選択を行えるようになった。NTTドコモも同様で、同社が提供する「パーソナルデータダッシュボード」に「dアカウント」でログインすると、基本情報・利用情報・位置情報・医療健康情報という4カテゴリーについて、ドコモグループ各社やdポイント加盟店、その他提携先企業に提供して良いか選択できるようになっている。
「事業者のみなさんは、ユーザー自身に細かい利用範囲を開示して、さらにいつでもそれを停止できるようにしたら、誰も個人情報を提供してくれなくなるのではないかと懸念するかもしれません。しかし、これからはこれぐらい徹底して透明性を担保しなければ、逆にユーザーからの信頼を得られず、ユーザー離れにつながりかねない、とこれらの企業は判断されています」(嶋田氏)
嶋田氏によれば、欧州のGDPRはさらに厳格に同意項目を設定するよう言われているという。サービス利用を目的とした許諾である「サービス利用規約」と、性別や行動履歴などをもとにレコメンドをするなど「プロファイリングのため」の許諾は、文書を分け、別々に承諾を取らなければならない規則になっている。パーソナライズや第三者提供といった任意の同意項目については、いつでも撤回できるようにすることが義務付けられている。
個人情報保護法改正案のポイント3つ目は「消費者保護」。特に注意したいのが、Cookie IDのようなIDの取り扱いである。事業者が第三者にデータ提供をする際に、提供元として個人情報が含まれないデータでも、提供先において第三者のCookie ID等と紐付ければ個人情報が特定できてしまうケースがある、という問題だ。この場合は提供元でも個人情報として取り扱う事が必要となる事が、改正案に盛り込まれる予定だ。嶋田氏によれば、消費者視点で考える場合は連携する企業間でデータの受け渡しをした際に、最終的にユーザーにどのような影響があるかを十分に考慮すべきだという。
移りゆく個人情報保護法のトレンドにふさわしい企業の対応とは
これから先、3年ごとに改正される個人情報保護法のトレンドに企業はどのように対応していくべきだろうか。嶋田氏は、「多くの企業は『自社はきちんと個人情報を管理・活用できている』と考えていますが、ユーザーの多くは『自分が提供した個人情報がしっかり管理され、自分のために正しく利用されているか不安だ』と感じています」と話す。こうしたギャップを埋めるためには、その時々の法規制対応を実施するだけではなく、消費者と企業の間で「トラステッド・リレーションシップ」つまり信頼関係を構築していくという考え方が必要であるという。
個人情報保護におけるトラステッド・リレーションシップとは、まずユーザー視点で個人情報提供のメリットや使い勝手を考えることだ。つまりアフターデジタルの世界においてよく言われるように、ユーザーが自ら進んで「どうぞ個人情報を使ってください」と情報を提供してくれるような世界のことだ。それに加えて、ユーザーの情報がどんな企業に・どのように扱われ、そしてそれをユーザー自身で制御できるか。企業は万全のセキュリティで預かった個人情報を守ることができるのか。こうしたことが、ユーザーとの信頼関係を左右する。
嶋田氏は、一人ひとりの個人情報を丁寧に扱えるかどうかによって、ユーザーの信頼関係が大きく変わってくるだろうと言う。
トラステッド・リレーションシップ構築に必要なシステム基盤
ユーザーと「トラステッド・リレーションシップ」を築くために必要なシステム基盤を、各事業会社が独自で整備するには限界がある。
そこで登場したのが「CIAM(Consumer Identity and Access Management)」すなわち、顧客IDとアクセス管理を行うソリューションだ。グローバルでCIAMソリューションとしてナンバーワンを誇るのが、SAP社の「Customer Data Cloud from GIGYA(以下、GIGYA)」だ。
「GIGYAは、まず会員登録やログイン、ソーシャルログイン、さらに複数のWebサイトやスマホアプリにまたがるIDの統合管理、フェデレーションなどを行うことができます。さらに個人情報を取得する際の同意の管理もサポートしています。ユーザーのID情報を細やかにデータ連携するプロファイル機能も盛り込まれています。こうしたバックヤードで支えるために、セキュリティ対応や法規制対応のための機能も搭載されています」(嶋田氏)
GIGYAの特徴は、ユーザー視点で利便性を高める機能、透明性とコントロールをセルフサービスでユーザーに提供する機能、セキュリティの機能、これらすべてが一つのプラットフォームに集約されていることにある。
GIGYAの導入企業は、全日空、Pioneer DJ(2020年1月付でAlphaThetaに社名変更)、ヤマハをはじめとする国内企業に加えて、グローバルでは800社以上の企業が利用している。こうした導入企業では、会員登録率が平均で33%アップしており、中には約8倍にまで跳ね上がったケースもあるという。
たとえばヤマハの場合は、グローバルで37に及ぶ製品サイトを運営していたが、国ごとの法規制対応に苦慮していたためGIGYAを導入。国ごとにデータベースと管理者を置き、他国のユーザーに浸食することなく運用できる仕組みを取り入れた。クラウド認証基盤の一括提供によるコスト効率化も実現できた。
とあるエンターテインメント企業では、約20~30に及ぶアーティストのファンサイトをすべて自社で開発・運営。しかしすべてバラバラのIDでECサイト、ファンサイト等を管理していたため、各IDの紐付けが急務となっていた。こうした既存の膨大な数のIDをGIGYAで管理、顧客データを統合しつつ、ユーザーの利便性を高める事ができた。
嶋田氏は最後に、「ID統合やセキュリティ管理など個人情報の保護は、難易度が高く一筋縄ではいかないことも多いでしょう。その時は無理に自社だけで対応しようとせず、GIGYAのようなグローバルで実績のあるプラットフォームやソリューションを有効活用したほうがよいでしょう」と述べ、セッションを締めくくった。