個人データを解釈する「先取り」厳選4項目

　たとえば読者も下記のような発言を、耳にしたことはないだろうか。

• ターゲティングができなくなる。ポストCookieの回避策はないか?
• 自社サイトのデータは、すべて個人からの利用許諾を得ているので大丈夫だ。
• DMPデータを推計して紐づけ、推定位置情報や性年代などの属性を利用し、人ベースにID分解した統計処理済みのターゲット・データを算出可能。

　これらの発言からは、個人情報に関して何やら危うい綱渡りをしているように感じる。「現在の日本法ではクロではなくシロなので、このまま儲けよう」と、今は合法だからとの「儲け」の姿勢が起点で、結果的に未来の負債を蓄積している可能性が大いにある。

　ここでは、企業の未来の理想を示唆する「消費者起点の（新）CPRA」を読み解く、4つの視点を厳選して紹介したい（法的な詳細解釈は専門家に委ねる）。

1、許可のない自社データの「販売」「共有」の禁止

　CCPAの定める「Do Not Sell My Data」の禁止事項の文面からは、集めたデータを「調査会社」と共有したり「サードパーティーデータ」への紐づけが許されるような解釈を持つ。本来CCPAが禁じたデータの「販売（Sell）」という意味には、「販売だけでなく、誰かに見せる、明け渡す、共有することも含む」と、（新）CPRAではくぎを刺している。

2、「サービスプロバイダー」とぼかさずに、「完全なる契約社名」の明示

　たとえば、ホールディングス体制の企業では、子会社やグループ企業内の調査会社や提携した会社などに、集めたデータを相互共有・利活用が許されると思い込んでいないだろうか。これは企業側の勝手な解釈である。消費者は「聞いてないよ、そんな会社にワタシのデータを渡すなんて」と感じている。（新）CPRAではデータ利用に「行動契約済み」の業者名の明示を指摘する。

3、「同意していない同意」は無効

　先発の欧州のGDPRは「オプトイン」が起点だが、CCPAは通称「オプトアウト法」と呼ばれ、それぞれ一長一短がある。後発のCCPAの「オプトアウト」の概念が広まった途端に、企業側のデータ取得作法が「オプトアウトに気づかないならば、許可とみなしてしまえ」という悪行が横行し始めた。これも（新）CPRAが「だまさずに、オプトアウトを確認せよ」としている。

4、企業目線の勝手な「プロファイリング」「クロス・コンテキスト」は禁止

　無許可の「個人のID化」や「ターゲティング」はよくないとの認識が、企業側にも浸透しつつある。ところが抜け穴として、企業が個人を特定しないと自賛する「プロファイリング化」や、「（個人特定ではなく）Webに表示された表示コンテンツ狙いの広告は大丈夫」という論旨の「コンテキスト広告」も、ワタシ個人から見れば「無許可に括られた」感情が残る。

　たとえば、「ワタシ（消費者）」が、個人を特定しないコンテンツ表示の画面から、「キツネ目の男性で、年収多め」のクラスターに、暗黙に入れられてしまったらどう思うか。企業行動としてこの気持ちを作ってしまうことが自社の理念と合致するか否かを自問したい。

GAFAM企業以上に「ワタシのデータ」を尊重する姿勢

　GAFAM企業だけでなく、欧米の次の主役を担う自覚のある企業は、これらの個人尊重の規範に対して水面下で準備を始めている。目先のコンバージョンよりも、もっと大きなLTV（生涯価値：重いデータを預かるため）が近未来に見える産業がある。

　その筆頭として医療、金融、保険、そして通信インフラ企業で進行している。たとえば5Gの通信インフラを間近にした米VerizonやAT&Tなどは、個人情報には決して触れない勢いで、静かに準備をしている先端企業の一角だ。そのサイトやプライバシーポリシーが急激に整い、「お利口」に変容している。

　日本の企業はどこを目指すのか、今の儲けよりも大きい未来基準の「土俵さがし」からのスタートが急がれる。