広告のデータをめぐる問題
では、この規律をデジタル広告業界にもってきた場合、誰が個人情報の提供元で、誰が提供先になるのだろうか。首相官邸の政策会議「デジタル市場競争会議」のワーキンググループで詳しい資料を作成しているので、板倉氏はそれを示しながら解説を進めた。
資料にある以下の図(広告業界カオスマップ)を見ると、広告主からメディア(広告枠が表示されるサイトなど)を通じて消費者に広告が表示されるまで、非常に多くの企業、サービスが関わっている。この中で履歴データなどを持っているのは、主にDMPを提供している事業者、この図では「オープンDMP」に分類される事業者である。しかし、複数サービスを兼ねている場合もあるので、以降では「DMP等」としておこう。
出典:第8回 デジタル市場競争会議 ワーキンググループ(令和2年2月10日)
参考資料1:事務局提出資料(デジタル広告市場概観)
これらを簡略化した以下の図を見ると、「広告仲介事業者」というカテゴリがあり、ここが履歴等のデータを持っている事業者と考えることができる。重要なのは、広告仲介事業者とユーザーは直接の接触がないという点であり、後述するように、これによって実務の上で大きな困難が生じるのである。
出典:第12回 デジタル市場競争会議 ワーキンググループ(令和2年4月28日)
資料2:公正取引委員会提出資料
資料2-1:デジタル広告の取引実態に関する中間報告書(概要)
改正個人情報保護法における規律と行動規範
板倉氏はここまでの考察を踏まえて、デジタル広告のスキームと個人情報保護法がどのように関わるかを、「規律の整理」と「行動規範」の2つのスライドにあらためてまとめた。まず、改正個人情報保護法の規律の整理から見ていこう。
ここでは2つのデータについて言及している。ひとつめの「個人情報(個人データ)」は改正のいかんに関わらず、個人情報保護法が適用され、第三者提供の際には本人の同意等が必要になる。
ふたつめは「個人関連情報」のレベルでしか保有していない場合(個人データにはなっていない場合)である。個人関連情報の提供として想定されるのは、スマホ等の広告IDに閲覧履歴等がぶら下がっていて、それがやり取りされるケースだ。これが提供先で個人データになることが想定されない場合には、改正法下でも法律上の規律はない。ただし、リクナビDMPフォローの事例のように、提供先で個人データになることがわかっている場合には「不適切なサービス」と評価されているので、まったく自由にやっていいということではないと板倉氏は指摘する。
一方、提供先で個人データとして取得することが想定される場合、共通のIDがあって、そこにデータがひもづけられ、提供先で個人を特定・識別できることがわかっている場合には、新 第26条の2の規律がかかり、提供元の事業者は提供先で同意を取っていることの確認が必要になる。
これらの規律を踏まえて、マーケティング関係者はどのような行動を取ればいいのだろうか。
広告仲介事業者が「個人情報(個人データ)」を第三者に提供する場合、広告仲介事業者はユーザーとの接点がないため、媒体社か広告主に同意を取得してもらう必要がある。しかし、媒体社は広告仲介事業者にとっては顧客である。また、広告仲介事業者がDMPで独自に保有しているデータが個人情報になっているからといって、ユーザーと接点のある広告主に同意を取ってもらうのは筋違いとも言える。
一方、広告仲介事業者の「個人関連情報」を、仮に広告仲介事業者がそれらの情報を広告主に提供した場合を考えてみよう。広告仲介事業者はユーザーと直接接触がないので、新 第26条の2で規定されている義務を果たすには、広告主側がユーザーの会員情報を持っていれば、それをもとにユーザーから同意を取ることができるだろう。あるいは、広告を表示する媒体社(メディア)のほうで、ユーザーの同意を取る仕組みを埋め込むことになるが、いずれも現実的には難しい。また、同意を取ることができたとして、それをどのように確認するのかも実務上は難しい。ここを具体化した規則、ガイドラインが待たれる。
GDPRにおける規律と行動規範
一方、GDPRについてはまったく話が違ってくる。板倉氏は、GDPRにおいても、広告主、広告仲介事業者、媒体社を想定して、以下のように「規律の整理」と「行動規範」をまとめている。
GDPRでは、広告仲介事業者と媒体社はデータの取り扱いにおいて「共同管理者」とみなされている(欧州連合司法裁判所判例)。また、個人データを広めに解釈するので「これは個人データではない」と主張することは難しい。あらゆる個人データの取り扱いにおいて、適法な取り扱いの根拠として「同意」あるいは「正当な利益」が必要となる。また、GDPRとは別に、eプライバシー規則案において端末情報の規律が検討されているところだ。
これらの規律を踏まえた、デジタル広告業界の行動規範は次のようになる。
「同意」については、3つのポイントがある。まず、同意の要求は他の事項と明確に区別できる形で、わかりやすい文言で表示しなければならないので、利用規約に少しだけ書いて埋め込んでおくというやり方はすべて違法になる。また、「これを同意しないとサービスが提供されない」という形での同意は適切な同意とはみなされない。もうひとつ、Cookieについての選択肢をチェックボックスで表示する際に、事前に項目がオンになっているチェックボックスを示しておいて、ユーザーがそのまま利用していると同意したことになるといった形も認められない。
「正当な利益」については、ダイレクトマーケティングを目的とした個人データの処理については、以前から「正当な利益がある」ということでクリアできるとされていた。しかしこの場合、比較的シンプルなダイレクトマーケティングが想定されているのであって、行動ターゲティング広告のすべてを正当な利益とみなすことは難しいと板倉氏は指摘する。
正当な利益についてのガイドラインはGDPRになってからまだ改定されていないので、今後、明確化される可能性があるが、現時点では事業者はなんとか同意を取ろうという方向で動くことになる。板倉氏はもうひとつ、適法な取り扱いの根拠を「契約の履行」に求めることができないことも付け加えた。
eプライバシー規則案については、2017年に欧州委員会が提案し、理事会が2年以上作業をしているところだが、いまだ制定されていない。最新の議論ではここに「正当な利益」による利用を含めるかが検討されていて、広告モデルで運営されているサイトなら許容できるのではという議論もあるが、理事会に参加している国によっては、その点をもう少し明確にしてほしいという意見が出ているという。
以上、板倉氏が個人情報保護法とGDPRについて押さえるべきポイントを解説し終えてQ&Aに入ると、受講者から数十もの質問が寄せられ、板倉氏は的確に回答していった。質問の多さからも、多くのビジネスパーソンが個人情報の利活用に強い問題意識を抱えていることがうかがえた。
【MarkeZine編集部より】
MarkeZine RESEARCHでは『マーケティング最新動向調査 2020』に続く、第二弾の調査プロジェクトを企画しています。読者の皆さまにあらためてお知らせしますので、ご協力よろしくお願いいたします。
