改正個人情報保護法により、ネット広告配信において何ができなくなるのか
有園:では、3rd Party Cookieを使ったネット広告配信についてうかがいます。2021年4月1日に改正個人情報保護法が施行されたら、ネット広告配信において、何ができなくなるのでしょうか?
大井:この論点では、GDPRのようにCookieの収集や取り扱いそのものに規制がかかるような誤解もあるので、イメージ図を使って順に説明します。日本の個人情報保護法では、GDPRと異なり、イメージ図に示したようなCookieとそれに紐づくデータを第三者に提供するケースにのみ、第三者提供規制に限定して、個人情報保護法改正によって新たに規制を加えました。
大井:このイメージ図を使ってパブリックDMPのサービスとデータの流れをご説明します。
A社をパブリックDMP、B社をアウトドア用品の販売を事業とするEC事業者とします。A社は、各種ウェブサイトやポータルサイトに埋め込まれたA社のCookieタグから多様かつ大量の閲覧履歴を収集し、そこから推定される閲覧履歴・趣味嗜好等データベースを保有します。これがパブリックDMPのビジネスの元になっているわけです。
たとえば、大井が、キャンプ用品を購入して、キャンプに出掛けようと考え、A社のCookieタグが埋め込まれたアウトドア用品の比較サイトや口コミサイトでキャンプ用のテントを比較検討したり、全国のキャンプ場の検索ポータルサイトで北海道から沖縄のキャンプ場を頻繁に探したりします。
そうすると、A社においてはCookie ID7番の名無しさんは、趣味がキャンプである、かつ、高頻度でキャンプに出掛けるヘビーユーザーであると推定され、A社の閲覧履歴・趣味嗜好等データベースには、趣味はキャンプ、しかもヘビーユーザーである、というカテゴライズがなされることになります。
A社は、この閲覧履歴・趣味嗜好等データベースを用いてターゲティングのベースとなるセグメント情報を使って、ターゲティング広告を提供できる環境を広告主に提供します。ただ、ここで注目すべき点は、A社は、氏名・住所等の個人情報を有しておらずあくまで、名無しさんの状態でCookie IDに紐づくセグメント情報を有しているに過ぎないということです。
次に、B社を見てみましょう。B社は、EC事業者ですので、ユーザーの大井は、氏名・住所・メールアドレスを登録します。このユーザー登録情報は、個人情報に該当し、B社のCRMにて管理されます。ここでは、登録ユーザーの過去の購買履歴も管理し、また、B社のECサイト内でのアウトドア用品の商品の閲覧履歴は管理されますので、B社が保有するデータの範囲内で、大井の購買傾向を分析してB社商品のレコメンデーションを行うことは可能です。大井は、過去にB社のECサイトでモンベルのダウンジャケットやベスト、キャップなどを購入したとします。
もっとも、B社は、B社自身のデータだけではなく、A社(パブリックDMP)が保有するセグメント情報を利用して、より精緻で効果的なマーケティング施策を打ちたいと考えます。A社とB社は、共通のCookie IDを保有していますので、A社から提供を受けた閲覧履歴・趣味嗜好等のデータをB社が保有しているCRM内でデータとCookie IDを共通キーとして突合することが可能です。
B社にとっては、大井は、アパレル・ファッションに興味関心あるセグメントと認識されていたかもしれません。しかし、他社のウェブサイトを含めたサイト横断で大井の趣味嗜好を分析することによって、違った景色が見えてきます。
すなわち、実は大井は、キャンプのヘビーユーザーであったわけで、また、キャンプ用のテントを今まさに探して購入する意欲が高まっている時期だ、ということがわかるわけです。これによりB社は、ヘビーユーザー向けの高性能・高価格帯のキャンプ用品を大井に売り込むべく、登録されている大井のメールアドレス宛てにメールを配信し、高価格帯のテントを割引クーポン付きでレコメンドするといった広告施策を打つことが可能となります。
改正個人情報保護法での規制は?
有園:なるほど。データの流れは理解できました。このケースで、どのような個人情報保護法の規制が課されるのでしょうか?
大井:まず、このようなA社からB社へのデータの流れとB社でのデータの利活用シーンを「個人情報」、「非個人情報」の観点から見てみます。
このケースでは、提供元のA社では、個人情報でないデータ、非個人情報であったものが、B社に提供されたあと、提供先B社が保有している個人情報と突合することにより、個人情報として取得されるケースであるといえます。
改正個人情報保護法では、このケースにおいて、A社が保有している閲覧履歴・趣味嗜好等のデータを新たに「個人関連情報」という概念で規制し、個人情報保護法の第三者提供規制をかけました。ただ、「個人情報」の第三者提供規制は、提供元が本人から第三者提供することについて同意を取得するのですが、「個人関連情報」の第三者提供のケースでは、少し違います。
すなわち、ユーザと接点を持っている提供先のB社において、ユーザーから同意を取得しましょう、そして、提供元であるパブリックDMPのA社においては、B社で同意を取得していることを確認してB社に提供しましょう、という規制をかけたわけです。
有園:では、ECサイトのB社ではどのようにユーザーから同意を取得すればよいのでしょうか?
大井:下記の「ウェブサイトのイメージ」のように、たとえば、ECサイトのユーザー登録時においてクリックを押してもらうことで同意を取得することが想定されます。その場合の同意取得のためのワーディングとしては、「パブリックDMPからCookieにより収集されたウェブサイトの閲覧履歴及びその分析結果から得られたセグメントデータを取得し、これを自社のCRMデータと結びつけてユーザーの属性を解析すること、またターゲティング広告を出稿する目的で利用します」と説明すればよいです。
有園:なるほど、よくわかりました。この領域はデータの流れやデータの利用形態が複雑ですね。ビジネス現場での法の順守については専門家の意見をあおぐ必要があることもよくわかりました。今日はありがとうございました。
