国民のプライバシーを守り、適切な情報の取扱いを定める個人情報保護法は、私たちにとってなくてはならない重要な法律です。
個人情報保護法の範囲は広く、様々なシーンに適用されていますが、2022年4月にWeb上での個人情報の取扱いに関する規則が法改正により施行されました。従来通りの情報収集やマーケティングを行なっている場合、気づかぬうちに個人情報保護法に接触してしまっている可能性もゼロではありません。
現在、大小を問わずほとんどの企業でWebを活用しています。Webをビジネスに活用している以上は、Webやインターネットに関連する法改正やその具体的な内容をチェックし把握しておくことは必要不可欠です。
この記事では、規制の強化が目立つCookieと個人情報保護法の関係、およびコンプライアンスとマーケティングにおける情報収集について考えていきます。
目次
個人情報保護法の改正の背景とCookie
Cookieの利用に対する法的な規制は、次第にその数を増やしています。欧州のGDPR、日本においては、2022年4月に改正個人情報保護法、2023年6月に改正電気通信事業法、が次々と施行されています。
日本において個人情報保護法は、いつどのような目的で制定されたのでしょうか?
2022年4月の改正法の施行に至る経緯を見ていきます。
GDPRに関する規制内容・対処法についてこちらの記事をご参考ください。
※内部リンク:GDPRへの対応方法を徹底解説!利用者の利便性の確保とプライバシー保護
改正電気通信事業法に関する規制内容・対処法についてこちらの記事をご参考ください。
※内部リンク:【2023年6月施行】改正電気通信事業法がCookieに及ぼす影響とは?
個人情報とは?
個人情報とは具体的にはどのような情報を指すのでしょうか?個人情報は、生存する個人に関する情報で氏名や住所、生年月日、顔写真など、特定個人を識別できる情報と定義されています。単体では個人を特定できなくても、他の情報との照合によって特定が可能な情報ならば、個人情報にあたる場合もあります。
個人情報保護法の改正の背景
個人情報保護法は、個人情報の有用性(個人情報を適正にかつ効果的に使用すると、社会を発展させ国民生活を豊かにすることにつながる)に配慮しながら、個人ひとりひとりの権利や利益を保護することを目的として制定され、2005年4月に日本で初めて全面施行されました。
施行から10年が経過した2015年、社会の変化を受けて法律を改正(2017年施行)し、この際、3年ごとの見直し規定が追加されました。追加された規定に基づいて、2020年にあらためて法律を改正し、2022年4月に施行されたのが、いわゆる改正個人情報保護法です。
※参考: 令和3年 改正個人情報保護法について(官民を通じた個人情報保護制度の見直し)
改正個人情報保護法とCookie
2005年4月の全面施行から、2017年、2022年の改正を経て、現在に至るまでの間、情報通信技術の進展やビッグデータ関連技術の発達、インターネット利用者の拡大や産業のグローバル化にともない、制定当時に想定していなかった個人情報の活用方法が次々と出現しました。
広告配信やDMPに代表されるWeb関連のサービスやテクノロジーにおいては、データ単体では個人情報に該当しないものの、複数のデータと紐付けることで個人やその趣味嗜好や行動履歴までもが特定できるプラットフォームやサービスが登場し、またたく間に世界を席巻しました。
Cookieは、それらのサービスを実現する主要技術のひとつです。2003年に個人情報保護法を制定した時点においては、将来、そのようなCookieの利用方法が開発されるとは、誰も想定していなかったでしょう。
個人情報保護法の制定から20年の時を経て、世にもたらされた技術革新は、新たに個人のプライバシーを侵害するリスクや脅威を孕んでおり、プライバシーを保護するための新たな法整備が必要となりました。
改正個人情報保護法で新設されたデータの分類
改正個人情報保護法では、インターネット上で多様化が進むデータの利活用に対応した法改正を実現するために、以下のデータ分類の定義が新設されました。
・仮名加工情報
個人情報から個人を特定できる情報を削除し、単体では個人を識別できないように加工した情報です。社内利用や社内の分析目的に限定し、利用要件が緩和されました。加工に際しては、加工基準が設けられています。
・匿名加工情報
個人情報から個人を特定できる項目を削除し、元の個人情報に復元したり、特定の個人を識別したりできない状態に加工した情報です。利用要件は仮名加工情報よりさらに緩和されていますが、加工基準が厳しく、利用に専門性が求められます。
・個人関連情報
生存する個人の情報で、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しない情報。例えば、Cookie、IPアドレス、ログインIDや端末固有のIDなどの識別子、位置情報、閲覧履歴、購買履歴など、単体では個人が特定できない情報です。
※参考:「「個人関連情報」を第三者に提供する場合に留意すべき事項
改正個人情報保護法では、プライバシーを保護するために多様化するデータの利活用に規制をかけると同時に、事業者によるビッグデータの利活用をより促進し、データ活用を通じて社会全体でより多くのメリットを享受することも視野に入れた法改正がなされています。
企業がマーケティングを推進する際には、目的に応じてデータを使い分け、適切に加工し、法令を遵守しながら、最大限の効果を上げることが重要であると言えるでしょう。
個人情報保護法を遵守したWebマーケティングとは
改正個人情報保護法のポイント
2022年4月に施行された改正個人情報保護法では、どのような改正がなされたのでしょうか?
詳しく見てみましょう。
・本人の請求権の拡大
個人情報の利用停止・消去等の請求権が拡充
・事業者の責務の追加
個人データの漏洩等が発生した場合の報告義務および本人に対する通知義務、個人情報の不適正な利用の禁止義務の明文化
・データ利活用の促進
仮名加工情報を内部における分析の利用目的に限定する条件付きで、開示・利用停止請求への対応等の義務を緩和(ビッグデータやパブリックデータの利活用の促進)
・個人関連情報の定義を新設
個人関連情報の第三者提供に際しては、提供元の提供先に対する本人の同意確認を義務化
・罰則の強化
法令違反に対する懲役と罰金の強化
・域外適用等の拡充
日本国内にあるものに係る個人情報等を取扱う外国事業者を報告徴収・命令の対象とし、罰則も適用。外国にある第三者に個人関連情報を提供する場合、移転先事業者における個人情報の取扱いに関して、本人への情報提供が義務化
※参考:令和2年改正個人情報保護法 特集
※参考:令和3年改正個人情報保護法 特集
全体的にGDPRの影響を見て取れる内容となっていますが、必ずしも同じではなく、日本の実態を踏まえた独自色のある改正がなされています。
Cookieの利用用途を通知し同意を得ることが重要
Webサイトを運用する担当者としては、Webサイトを訪問したユーザへの通知と同意の取得をどのように実現するかが、ひとつの大きなポイントとなっています。画面上でのポップアップやプライバシーポリシーへの誘導などがありますが、「収集したCookie情報をどのように活用するのか」を明示することが重要です。
Cookieの利用に同意しないユーザは拒否することができ、一度同意したとしても、後から利用の中止をいつでも要求できる仕組みの実装も必要となります。ユーザに対して、個人データの利用目的と取得内容、利用に関係する事業者を明示し、ユーザから明確な同意を得ることは、事業者の義務となっています。
取得できた情報を最大限に活用する
同意が取得できた情報は、実数ではなく、ある意味サンプリングされたデータともいえるでしょう。サンプリングデータから、AIや機械学習、統計的な手法を用いて予測分析を行うことは、従来から用いられているマーケティング手法です。
プライバシー保護を推進する一方で、データの取得やデータの利活用のハードルが上がり、利用できるデータが減っている現状を受入れ、これらの分析手法をより多くのマーケティング担当者が使いこなせるよう、スキルアップや組織作りを進めることも、今後ますます重要になるでしょう。
2022年4月の個人情報保護法の改正では、インターネット上で企業により収集・蓄積され、ユーザ本人が知らないところで、企業間で個人の趣味・嗜好に関する情報が共有され、便利に利活用されてきたこれまでの状況に法の規制をかけました。
個人のプライバシーを確実に保護し、法令を遵守した適切なデータ活用を行う仕組みを企業の責任で用意することが求められています。
個人情報保護法を遵守したCookie利用を実現するためには?
法的な解釈やそれに合わせたシステム更改は、共に高度な知識やスキルが要求されます。業種によっては、それらのスキルを得意としていないケースもあるでしょう。自社で対応することが難しいのであれば、「外部の専門事業者へ対応を依頼する」、「すでに個人情報保護法に対応済みの外部サービスを活用する」などが現実的な選択肢として考えられます。
外部の専門事業者へ依頼
外部の専門事業者に依頼することで、法的知識やITスキルが不足している企業でも、適切な対処を講じることができます。
法律関連の事業者では、自社が行なうデータ収集の妥当性やプライバシーポリシーの策定、ユーザへ提供する情報など、総合的な支援を受けることができるでしょう。
システム関連の事業者では、自社が定めた要件に則り安全なシステム開発や公開、今後の運用について支援を受けることができます。
専門業者に依頼するメリット
サービス提供事業者が専門的な知識を有していることはもちろんですが、多くの企業が同じサービスを利用していることも大きなメリットです。様々な環境で利用され、改善を繰り返しているサービスは、独自のシステムと比較して実践的な情報が集まりやすいと言えます。
自社がサービスを利用した際になんらかの問題が発生しても、過去に同様のケースが存在した場合も多くあります。そのため、スムーズな対処を期待できると言えるでしょう。
外部サービスを活用
既に個人情報保護法に対応している外部サービスを利用することも一つの手段です。顧客管理やマーケティングツール、個人情報保護法やGDPRを遵守した仕組みが実装されているアクセス解析ツールなどがあります。
システムの設計段階から法律を遵守した形で実装されており、サービスの利用方法に従って運用すれば法的リスクを軽減できることが魅力です。
外部サービスを活用するメリット
法的な課題をクリアしているサービスであれば、今後の法改正に対しても迅速に対応する体制を整えていると判断できます。サービス側に法関連の対処を任せられるので、自社の負担をより少なくできます。法改正に合わせてサービス側の仕組みが変更される場合、ユーザに対して変更目的や変更箇所が明示されるため、法改正のポイントについても把握することができます。
自社で対処する場合、システム変更のコスト、運用や法改正への対応、人的リソースをアサインすることで発生する内部コストなど、予算策定が難しいケースもあるでしょう。適切なプランを選定し、外部サービスの料金を予算計画に組み込むことで、予算策定の時間や法改正対応そのものにかかる時間やコストを大幅に短縮できる効果を期待できます。
自社での対応が難しい場合は、上記から自社に合った選択肢を比較検討しましょう。
長期的な視点では、外部サービスの利用は、有益であると考えられます。
Cookieを活用するなら、個人情報保護法への対応を
マーケティングは、顧客分析や集客、良質なサービスの提供を実現するために企業にとって必要不可欠な取組みです。しかし、改正個人情報保護法をはじめ、GDPRや改正電気通信事業法など、法改正が行われる度にその対応に苦慮している企業は多いのではないでしょうか。
これまで、ほとんどの企業ではWebマーケティングにGoogle Analyticsを活用してきました。しかし、コンプライアンスの観点においては、昨今の国内外の法規制にGoogle Analyticsでは、完全に対応しきれないという見解も一部に存在するようです。
このような環境で、マーケティングの品質を落とさずにアクセス解析を継続するためには、個人情報保護法などの法律に対応でき、かつ高精度な解析機能を備えている外部サービスを活用することも有効な選択と言えるでしょう。
RTmetricsは、今回ご紹介したような規制や各企業の課題に対して、解決策を提供することができます。法的リスクを排除し、顧客のプライバシーを守りながら、必要十分な情報収集を実現する仕組みが標準機能で利用できるため、あらゆるWebサービスで活用することが可能です。
Cookie利用の過渡期とも言える現在のマーケティング環境において、安心して適切なアクションをとり続けるための選択肢のひとつとして、ぜひRTmetricsをご検討ください。
