改正個人情報保護法とGDPRの違い
有園:今回は、来年に控えた改正個人情報保護法の施行をテーマに、「個人情報」の扱いに詳しいマイデータ・インテリジェンスを訪ねています。COOの森田さんは20年にわたり電通テック等でマーケティング支援に携わられ、近年はデータマーケティングセンター長やID事業室長を歴任されました。まず、マイデータ・インテリジェンスについて少しうかがえますか?
森田:当社はIDベースマーケティングを専門とする電通のグループ会社として、2018年に設立しました。生活者の情報はあくまで個々人のものであるという前提の下、「情報銀行」としてパーソナルデータを管理して、企業のマーケティング活動に活かせる基盤を構築しています。
有園:はじめに、今回の改正の主なポイントを教えてください。
森田:主なポイントは、噛み砕くと次の5つが挙げられます。
- 1.個人(生活者)の権利をしっかり保障するコンセプトはGDPRにより近く
- 2.事業者の義務と責任
- (=対策を講じることで、個人情報を利活用する環境が整う)
- 3.保有個人データの取り扱い事項の義務化
- 4.第三者提供における新たな規定(提供元において個人情報でなくても提供先で個人情報になる場合)
- 5.違反した場合の罰則が設けられた
- (=従業員のコンプライアンス意識向上やセキュリティ対策が必須に)
森田:そもそも個人情報保護法は3年に1回改正される前提ですが、今回は、やはり「GDPRとどこが違うのか」がひとつの論点になっています。今回の改正個人情報保護法は、以前よりもGDPRの基準に近づいたものの、識別子それ自体は個人情報として扱わない、となりました。これが決定的な差異だと思います。
ただし、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合には、個人情報に該当することになりましたので注意は必要です。
今回の改正における5つのポイント
森田:順を追って解説しますね。生活者は自分のデータへの開示請求や、提供しているデータに対する利用停止や消去を請求できるようになり、事業社はそれに応じなければなりません。だから、個人ごとに「いつどの範囲まで許可したか」の記録を取っておかなければならず、それも書類ではなくデジタルで開示することが義務付けられます。これが主に、1と3に関する項目ですね。
2についてはカッコで記したとおり、1と3を順守すれば、企業は生活者と合意した範囲で安全に、平たくいうと法の管理下で個人情報をマーケティングに活用することができる。この基準が明確になったことは、事業社の保護につながります。
有園:4で挙げられた「第三者提供における新たな規定」とは、何ですか?
森田:提供元では厳密には「個人情報」でなくても、提供先で個人情報と紐づけられたら「これは有園さんだ」と個人が特定できてしまうことがありますよね。その場合、提供する時点で、提供先において利用に対して同意を取得しているか、提供元に確認義務が生じます。
有園:で、5は罰則が発生するから教育が大事になる、と。総合すると、何もCookieが利用できなくなるわけではないのですよね?
森田:厳密には、利用不可と定められているわけではありません。ただし2つの問題点があります。ひとつは、Cookieや識別子は個人情報ではないので本人への明示責任や同意取得の必要はありませんが、前述のように個人を特定できる形に加工された際に扱いが難しくなること。これは、改正個人情報保護法の解釈の問題ですね。
もうひとつはプライバシー保護の観点で、承知の通りGoogleのChromeでの対応やAppleのIDFA規制などで、事実上Cookieの利用制限がなされる。すると、やはり今までのような3rd Partyデータの利用や紐づけは、現実的にはできなくなると捉えるのが妥当です。