内定辞退率の提供は何が問題だったのか
では、Cookieにだけひもづいていたデータのかたまりがあり、特定の個人を識別できないことを前提としてデータをやり取りした場合にはどうなるのか。これが問題になったのが、リクルートキャリアの「リクナビDMPフォロー」の学生の内定辞退率の事案である。
学生の内定辞退率を算出して企業に提供していたことが問題となったこのケースで、個人情報保護委員会は同社に対して2019年の8月と12月に勧告・指導を行ったが、板倉氏は、1回目と2回目の勧告で、トーンが大きく異なっていることを指摘。2回目の勧告では以下のように厳しく問題点を指摘している。
リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の主旨を潜脱した極めて不適切なサービスを行っていた。
出典:令和元年12月4日 個人情報保護委員会「個人情報の保護に関する法律に基づく行政上の対応について」
板倉氏によると、今年の個人情報保護法の改正の一部は、この問題を前提として行われた。この事例を一般化して説明したのが下図だ。A社が「リクナビ」および「リクナビDMPフォロー」の運営企業、B社はそのクライアント企業にあたる。
出典:第127回個人情報保護委員会(令和元年11月25日)(中間整理以後)
資料1 個人情報保護を巡る国内外の動向
リクルートキャリアがまとめた資料によると、この事業のスキームは、2019年2月以前の「アンケートスキーム」、2019年3月以降の「プライバシーポリシースキーム」で異なっているが、この事案で問題になったのは、A社からB社にスコアを納品する時である。A社は、Cookieあるいはハッシュ化された個人情報にひもづける形で閲覧履歴を蓄積してスコアを算出し、最終的にB社が開示した「管理ID」にひもづけてスコアを納品している。受け取ったB社は管理IDと突き合わせることによって、特定個人の内定辞退率スコアを入手したことになる。これが、A社から見て第三者提供にあたるのかという問題が生じたと板倉氏は説明する。
改正前の個人情報保護法では、A社からすると提供先(B社)で個人データになることを知ってはいても、A社のほうでは個人を特定可能な個人データそのものではないので違法ではないという理解も可能だった。しかし、個人情報保護委員会が12月の勧告で「不適切」と指摘したように、こうしたデータのやり取りや活用が問題視され、後述するように今回の改正の対象となったのである。
GDPRの域外適用で日本企業が配慮すべき点とは
個人情報保護法の改正について説明する前に、板倉氏は欧州のGDPR(General Data Protection Regulation、一般データ保護規則)についても触れた。GDPRはEU域外の事業者にも適用されるため配慮する必要が生じるのはもちろんだが、EUは域外も含めて執行に非常に興味を持っており、制裁金の最高額が非常に高額である(最大2,000万ユーロ、または全世界年間売上高の4%の制裁金が科される)ことからも、外国法の中では気を付けなければいけないものとなっている。
GDPRは、個人情報保護法とはまったく異なる発想で作られている。GDPRではセンシティブデータ(特別な種類の個人データ)に限らず、すべての個人データの取り扱い自体が原則禁止であり、なんらかの適法化理由がある時だけ使ってもいいということになっている。また、個人情報保護法では、個人情報取扱事業者の義務を記述することによって規定しているが、GDPRは個人の権利をもとに記述されている。
GDPRがEU域外の事業者に適用されるのは以下の2つの場合である。
・EU域内の個人に向けた商品/サービスの提供
・EU域内の個人の行動監視(追跡)
EU向けに行動ターゲティング広告を出す場合は、「EU域内の個人の行動監視(追跡)」にあたるというのが一般的な解釈であるため、その個人データについてはGDPRが適用される。上記2つに該当する事業者はEU域内に拠点を持つ代理人を指定する必要がある。違反とみなされた場合には巨額の制裁金を支払うことになる可能性がある。
GDPRでは、個人データを取り扱うためにはなんらかの「適法化理由」が必要になると説明したが、どういう場合に適法とされるのだろうか。GDPRの第6条「取扱いの適法性(Article 6 Lawfulness of processing)」に規定されている適法化理由の中から、マーケティングに関係する可能性のある2つの条項を見ておこう(以下、GDPR等の条文の翻訳は個人情報保護委員会の仮訳による)。
・データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた場合。(第6条第1項(a))
・管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。(第6条第1項(f))
また、GDPRでは特別な種類の個人データについては、第9条「特別な種類の個人データの取扱い(Article 9 Processing of special categories of personal data)」で日本よりさらに厳しく規制されている。該当するのは以下のデータである。
1. 人種的若しくは民族的な出自、政治的な意見、宗教上若しくは思想上の信条、又は、労働組合への加入を明らかにする個人データの取扱い、並びに、遺伝子データ、自然人を一意に識別することを目的とする生体データ、健康に関するデータ、又は、自然人の性生活若しくは性的指向に関するデータの取扱いは、禁止される。(第9条第1項)
こうした特別なカテゴリのデータの利用が適法となるには、「データ主体が、一つ又は複数の特定された目的のためのその個人データの取扱いに関し、明確な同意を与えた場合。(第9条第2項(a))」などの条件があり、取り扱うことが非常に難しい。また「正当な利益」というものはこの特別カテゴリには存在しないので、その意味でもこうしたデータを活用することはできない。
また、域外適用のうち「EU域内の個人の行動監視(追跡)」の部分については、ガイドラインで以下のような監視活動が対象になると明記されている。
特に以下のものを含め、幅広い監視活動が対象になりうる。
- 行動ターゲティング広告
- 位置情報サービス(特にマーケティング目的)
- クッキー又はフィンガープリンティングなどのその他の追跡技術を使用したオンライン上での追跡
- オンラインのパーソナライズされた食事及び健康の分析サービス
- CCTV(閉鎖回路テレビ ※編集部注:建物内部の防犯カメラなど)
- 個人のプロファイルに基づく市場調査その他行動調査
- 個人の健康状態に関する監視又は定期報告出典:Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) Version 2.1
個人情報保護委員会による仮訳:GDPRの地理的適用範囲(第3条)に関するガイドライン 3/2018 - バージョン 2.1 の例示
したがって、日本からEU市民に対して行動ターゲティング広告を出そうとすると、GDPRが適用されることはほぼ避けられないという前提に立たなければならない。加えて、日本の個人情報保護法も遵守する必要がある。
