昨年からのGDPR/CCPAなどの問題や、日本国内においても個人情報保護法が本年改正されるにあたり、個人情報に関する注目が高まっているように思われる。そのような中、DataSign・DataTailorの2社により、DataHub第1回「Cookieはどこへ行く?改正個人情報保護法のポイント」が開催された。
本記事では、主催者の許可を得て、セミナーの内容の一部を記事化させて頂いた。
登壇者紹介
太田 祐一 氏(DataSign株式会社 代表取締役)
日本初のDMPの開発に携わり、企業がパーソナルデータを活用するためのプロダクトを複数開発。プライバシーに配慮したパーソナルデータ活用を推進し、経済産業省の公表するベストプラクティスとして掲載される。データ活用の透明性確保と、個人起点での公正なデータ流通を実現するため、株式会社DataSignを設立。
モデレーター:原 直志 (Data Tailor株式会社 取締役)
立命館大学法学部卒業後、USEN・インターワークスを経て、2010年にターゲッティング株式会社(現:INCLUSIVE)に入社。現在は、データを起点として、様々な角度からコンテキストを紡ぎ出し、価値あるコンテンツを最適な方法で、生活者/読者に届け、価値ある情報を世の中に広めるということをミッションとし、コンテンツ・データを強みとしたマーケティング支援を実施。
Cookieとは?
テクノロジーの発展により、企業はユーザーのWeb上での行動データを活用したマーケティングを行うことが出来るようになった。この、ユーザーがWebサイトへアクセスした際にブラウザに保存される情報=データがCookieである。
現行法においては、個人情報の取り扱いについては通知または公表の義務があるが、Cookieは個人情報にはあたらないという誤解により、多くのWebサイトには「Cookieは当社の広告配信の目的のみに使用され、その他の目的や個人情報の収集には一切使用されません」「Cookieには”お客様個人を識別できる情報”は一切含まれておりません」といった記載が為されている。
しかし、実際にはCookieは複雑な設定情報で構成されており、中には個人情報に当たるものも含まれているため、一律に「一切含まれておりません」と記載することは、誤りであると太田氏は語る。
■個人情報/個人データに該当するものは?
現行法内でのCookieの扱い方を考える上で、当該情報が個人情報にあたるか否か判断するために、「容易照合性」と「提供元基準」という基準がある。
例えば、図のようなA社の取得した「CookieID・氏名・性別・住所」の揃ったデータは、特定の個人を識別することができるため、個人情報であることは明らかである。では、氏名を伏せ、住所も都道府県レベルまで抽象化した場合のデータはどうだろうか。確かに「CookieID・性別・都道府県」だけでは個人を特定することはできないが、同じA社内であればCookieIDを元に照合出来てしまう=個人を特定できてしまうため、個人情報保護の対象となる。これが、「容易照合性」という観点であると太田氏は説明する。
(出典:DataSign社資料)
では、容易照合性のあるA社ではない、B社に第三者提供する際に、同意が無くとも良いのか?結論から言うと、提供元で容易照合性のあるCookieIDを含むデータを第三者に提供する場合は、個人の同意が必要ではないかと太田氏は語る。
(出典:DataSign社資料)
■個人情報保護について
今回の改正(3/10に閣議決定されたもの)は、「Cookie自体ではなく個人情報と紐づく第三者への提供が規制対象」であると言われている。世界的には、GDPRやCCPAに代表されるように、個人情報の取得・取り扱いに厳しい制約が設けられており、Cookie自体も規制対象となっている。日本においては2020年の個人情報保護法の改正でも、Cookie自体では規制対象にはならないが、今後より一層Cookieや個人情報に関する制約は厳しくなると太田氏は想定する。
3rdParty Cookieについて、Apple(Safari)はITPで制限を加えており、Google(Chrome)も2年以内に制限を加えると発表をしている。Googleは、プライバシーサンドボックスを用意すると発表しているが、まだ仕様に関しても不明確な部分もあり、今後の動向を注視することが大切となりそうだ。
■対策と今後期待されるもの
(出典:DataSign社資料)
自社のWebサイトでのCookieなどの扱い方が問題ないか、扱い方を変える場合どれだけの影響が出るかなどを把握することが重要だと太田氏は語る。その上でプライバシーポリシーの適正記載などの透明性を対応をするべきとのことである。
太田氏もモデレーターの原氏も共に話すのは、個人情報保護に関する流れは、歓迎をするべきもので、如何にユーザーから信頼をしてもらい、適切に情報を託してもらうか?が大切ということである。
Cookieが使えなくなるということで、メディア企業では広告収益が減る懸念が強いのではないだろうか。しかしながら、Cookieが何故規制されたのか?という根本の問題、つまりは、個人に無断であり、個人に嫌気や不信感を感じさせていたことが問題であることにも目を向けるべきであろう。
この問題に関しても、CMPなどの適切なサービスの活用や、原氏も語るように読者との関係性・対話を通して、読者からのデータを託してもらうことで、新たなビジネスの機会が出てくるのではないか?と思われる。ここ数年、読者とのエンゲージメントの重要性について、色々と議論が為されて来た。改正個人情報保護法や、GDPR・CCPAなどの動向を考えると、倫理感を持ち、信頼を勝ち取れているメディア企業が、これからの時代では、存在感をどんどん増していくのではないだろうか。
改正個人情報保護法の動向やデータ全般の取り扱いに関して、今後もFUTURUS編集部は追い掛けて行きたいと思う。
【参考・画像】
DataHub