わかりにくい「第三者提供」と「委託」

　改正個人情報保護法の要点と個人情報の定義について解説したところで、議題はセミナーの主要テーマである「マーケティングと個人情報保護法」へと移った。

　阿久津弁護士は企業のマーケティング活動を「消費者が商品・サービスを購入するために企業が行う取り組みの働きかけ全般です」と定義し、そのなかでデータがどのように貢献しているのかについて以下のように説明する。

　「働きかけに貢献するのがデータです。購入者がWeb上でどのような行動をしているのか、どこからどこへ移動しているのか、どこでいつ、何を購入したのか。広告を見た人がどんな反応をしたのか。こうしたデータを蓄積し、広告を配信してその反応を見て改善・実行していくことができるのが、デジタルマーケティングの真の価値になります」（阿久津弁護士）

　この過程で収集した様々なユーザーの行動データや位置情報、購買履歴は、個人と紐付く情報であるため、これらを収集している事業者は当然個人情報保護法の適用を受ける（図表3）。

　今回の改正では、こうしたデータを活用するための「第三者提供」「委託」について、ルール自体に大きな変更はないものの、ガイドラインやQ&Aが大きくブラッシュアップされた。

　阿久津弁護士によると、個人情報の第三者提供については「『本人の同意を得ないでデータを第三者に提供してはいけない』、つまり原則として『自社内で使う』としています。グループ会社や親子会社間でも法人格が異なれば第三者となるので、たとえば同意を得ずに従業員の個人データを親会社に渡すことも禁止です」という。

　これに対して委託では、第三者提供のような制限は設けられていない。具体的なケースでいえば「名刺管理サービス」のようなもので、「名刺管理という利用目的達成のために個人データを預ける場合は、第三者に該当しないという考えです」と説明する。ではマーケティング施策において、どのような場合が「第三者提供」「委託」になるのか。広告配信やデータ分析の例を基に、阿久津弁護士は次のように説明した。

広告配信・データ分析における「第三者提供」「委託」のケース

　まず、氏名やメールアドレス、登録IDを事業者に渡し、広告DMの配信を依頼するケースはどうか。これは委託と解釈でき、本人同意は必要ない。ただし「委託元には、委託先のセキュリティ体制などの監督義務があります」という。

　次に、氏名やメールアドレス、ユーザーIDをSNS事業者に渡し、SNS広告配信を依頼するケースはどうか。これはSNS事業者が独自で持つ情報と突合し、合致した層に広告を配信するため、Q&Aによると「委託のスキームは使えない」という見解になるという。

　この場合、情報を渡す依頼者側が、事前にユーザー登録の際に「広告配信のためSNS事業者にデータを渡します」ということを明記し、同意を取る必要がある。こういったケースについても言及がされた点が、今回の改正に伴うQ&Aの追加の大きなポイントだ。

　DMPプラットフォームを使った広告配信はどうか。これも委託のスキームは適用されず、第三者提供となるが、SNSの事例と異なる点が1つある。それはDMP事業者側が、データを収集する際に本人の同意を取る必要があるという点だ。その理由について阿久津弁護士は「DMP事業者は、氏名やメールアドレスなどのデータを受けて、自社のDMPが持っている閲覧履歴などの情報を付加して提供元に返します。Q&Aでは、『DMP事業者が、独自に取得した個人データや個人関連情報と、本人データを結合し、新たな情報を付加して元に戻すこと』はできない」としており、それを行うにはDMP事業者が本人の同意を取っておかなくてはならないとされている。

　データ分析のケースも基本的には同じだ。企業からデータを預かり分析を行う事業者が、複数の企業からデータを委託された場合、当然ながらデータを統合して分析・返還することは「委託の範囲外」とされている。ただ、統計情報など「サンプルデータを増やす目的で、本人突合せずにデータを増やして統計情報を作成すること」は問題ない。

　「広告配信やデータ分析は、その目的や本人突合の有無によって、委託元・委託先の対応が異なってくるので、事前にQ&Aで運用方法を確認しておくと良いでしょう」と阿久津弁護士はアドバイスする。