企業には「同意許諾を取れる関係性」の構築が求められる

有園：つまり、CookieやアドIDや識別子などと呼ばれるデータも、基本的には「個人情報に準ずるもの」として対応するのが安全、ということですか？

森田：そう考えています。GDPRではこれらを明確に制限しているので、日本でもGDPRと同基準の運用が望ましいと考えています。来年から施行される改正は2020年に決まったわけですが、次の2023年の改正でGDPRと同等に、あるいはかなり近づく可能性が高いでしょうから、それを見越しておくほうがいいと思います。

有園：たとえば楽天は、2020年1月時点で個人情報保護方針、いわゆるプライバシーポリシーを書き換えていますが、これは改正個人情報保護法ではなくGDPR基準で変更していると読みました。逆に言うと、先に挙げられた2の事業社保護の観点で、厳しく定めた範囲で許諾を取れば、マーケティングに利用できるわけですね。

森田：そうですね。ユーザーが「この範囲なら楽天グループ内で使っていい」とか、「この範囲で楽天市場のみで」などと同意した限りで、ですが。

有園：なるほど。楽天は各種プラットフォーマーと競合にあたるので、GoogleやFacebookでの広告配信のためにデータを渡すことはないでしょうが、ユーザーに利用目的を明記して同意取得しない限りは、それはNGになるということですよね。

　そして、今日本で最も流通していると思われるCDPやDMPで、これまで3rd Party Cookieが個人の許諾を得ずに広告配信に使用されてきましたが、今後はそれができなくなる。また、厳密に個人を特定できるデータではないから、直接本人に許諾を取ることもできないはずなので、データを提供する企業の側に「各個人に物理的に許諾を取る」ことを委ねることになる……と。

森田：はい。その際、企業にはそうした「物理的に同意許諾を取れる関係性」をどういう形で顧客と築いていくか、が重要になると思います。

法を守ればOKではない、プライバシーの“感じ方”の問題

有園：要するに「あなたの個人情報をこういう範囲で活用していいですか」と尋ね、OKをもらえる関係性、ということですよね。尋ねることができても同意を得られなければマーケティング活動の幅は狭まる。生活者の立場になれば、同意するからには安全性の確立と、併せてメリットの明示がポイントになると思います。現在、具体的にどのような取り組みがありますか？

森田：今回の改正で、データの利活用に関する施策として、これまでの「匿名加工情報」に加え、「仮名加工情報」が新設されました。匿名加工情報は、加工により元の個人情報を「復元できない」ようにすることが求められるのに対し、仮名加工情報は、他の情報との照合により元の個人情報が復元されることは許容されていますが、利用目的が集団の性向を分析にとどまります。要するに、仮名加工情報は、同意を得ても目的外利用をすることができないこととされていますので、やはり取り扱いには注意が必要です。

森田：また、今回「違法・不当な行為を助長・誘発するおそれがある方法による個人情報の利用」が禁止されたので、特に、ハッシュ化、利用目的の拡大解釈、一般人から見て、特に違和感のある利用（本人から見て予測可能か、社会常識的に妥当か）等は注意が必要なポイントです。また、突合せばわかることを「容易照合性」と言い、そのリスクは今回の改正で明記されました。

有園：なるほど。確かに、3rd Partyデータに依存せず、こうした新しいIDで広告配信するプラットフォームも出てきています。逆にそうではないCDPやDMPは、今のままではビジネスモデルが崩壊する。

森田：そうなりますね。ただ、プライバシーの問題は「法を守っていればいい」わけではなく、生活者の感情、感じ方をよく踏まえないといけません。

　たとえば2019年、リクルートが内定辞退予測データを大手企業に販売していたことが問題になりました。これは、当時の個人情報保護法的には問題ありませんでしたが、感情としては反発しますよね。また、先日もLINEが中国の委託先企業がユーザーデータを閲覧可だったとして謝罪しました。これもデータの提供や移転ではないので、法に反してはいませんが、ネガティブな感情が起こるのはわかります。