メインコンテンツに移動

2020.08.31

改正個人情報保護法とデジタルマーケティングに与える影響

個人データの活用が拡大する中、プラットフォーマーが生み出す様々なサービスや革新的なデジタルコミュニケーション技術がビジネスや個人の生活スタイルに大きな影響を与えています。デジタル社会の今、企業は、個人データの利用に関して、顧客やユーザからの安心、信頼を得なければ「良質の体験(Customer Experience:CX)」を提供することはできません。6月12日に公布された改正個人情報保護法は、グローバルに活用するためのスキームや、その内容の類似性から、日本版GDPR(EU一般データ保護規則)と言われることもあり、罰則や規制を強化する一方、個人データの利活用を一層促進するための整備もされています。個人に関するデータを取り扱う企業は、2年以内に施行されるこの法律のポイントを押さえ、今から新しいデータ保護の仕組みをどう取り入れていくか計画しておくことが重要です。

上記より、ビジネスを拡張する上でポイントとなる「データの利活用」「外国にある事業者のデータ利用、外国へのデータ移転」について、具体的に解説します。

データの利活用を促進する施策

■「仮名加工情報」の創設

個人情報を特定できない形に加工する「匿名加工情報」が2017年の改正時に、ビッグデータビジネスを推進する目的で新設されました。しかし、個人を識別することができないように加工された情報は、個性がそぎ落とされ、一般的なデータとなってしまったため、マーケティングへの活用が進みませんでした。 そこで、組織内部で利用することに限定した上で、簡易な非識別の加工を行うことで、データの個性を活かしつつ組織内でマーケティング分析に活用できる、「仮名(かめい)加工情報」が新設されました。

■広告で使われるクッキーなどの識別子情報の取扱の明確化

サイト閲覧履歴に紐付けされるCookieや、IPアドレスなどの、個人情報ではないが、紐付けすると個人を特定できる場合がある情報は、今までの法律下では、グレーゾーンの扱いでした。それが、リクナビ事件※をきっかけに、「個人関連情報」とされ、個人に紐付けて利用する場合には、一定の保護のための義務が課されることになりました。法律上、あいまいな位置づけであったものが、取扱が明確になり、一定の義務を果たすことにより利活用ができるようになります。(パブリックDMPのデータを自社のCRM等の顧客データと組み合わせて活用するなど)

※クッキー情報が、個人情報と同等に扱う必要があると判断されたリクナビ事件

就職情報サイト「リクナビ」を運営するリクルートキャリアが学生約26,000人分の内定辞退率の予測データを学生本人の同意なしで企業に販売し、個人情報保護法、職業安定法違反にて厚生労働省より行政処分を受けた事件。予測データを受け取った37社の企業も、個人情報保護委員会より行政指導を受けました。
この事件をきっかけに、 Cookie情報、アクセス記録などは「個人関連情報」のカテゴリに入り、取得する場合や、第三者に提供する場合(特に海外の第三者)の本人同意が必要となることになります。

今回の事件は、データの取扱内容に関わらず、データの取扱に丁寧な対応が求められることが示されており、今後CX分野においても、どのデータを取得し何をカスタマーに返せるのか、ベネフィットの明確化と利用の説明責任を果たした上で、取得するデータの種類を決めることがポイントになると思われます。

個人データ流通のグローバル化と規制の強化

経済・社会活動のグローバル化、プラットフォーマーを代表するGoogle、Amazon、Facebook、Appleの躍進などにより、ITの進展に伴いあらゆる場面で個人データは国境を越えて世界で流通しており、それは今後ますます拡大することが予想されます。今回の個人情報保護法の改正では、元々制定されていた、外国において個人情報を取り扱う事業者に日本の保護法を適用するルール(:域外適用)、および外国にある第三者への個人データの提供(:越境移転)に関するルールが強化されます。
現在着手している業務、今後も継続する事案や構想段階のプロジェクト、実現したいと考える企画等が、「域外適用」や「越境移転」に該当するのかを整理し、新たなルールによる影響を見極めながら対応の準備をしていきましょう。

■改訂法のポイント

域外適用(外国にある個人情報取扱事業者に日本の保護法を適用すること)

● 外国にある事業者が、日本国内に所在する本人からの「個人情報」、当該個人情報として取得される「個人関連情報」、当該個人情報を用いて作成される「仮名加工情報」「匿名加工情報」を取り扱う場合においても、日本の個人情報保護法が適用されます。
● 改正法では、外国にある事業者も、日本の個人情報保護委員会による報告の徴収・立入検査の対象となるほか、命令の対象ともなり、命令に違反した場合は罰則の対象になります。

越境移転(日本の事業者が外国にある事業者に個人データを提供すること)

● 「個人データ」を本人の同意を得て外国にある事業者に提供する場合 、その国ではどのような個人情報保護の制度があるか、また、その事業者が個人情報保護のためにどのような取り組みを実施しているか等の参考となる情報を、個人データの主体である本人に透明性をもってあらかじめ提供する必要があります。
 外国のプライバシーに関する法律等の例
 ・GDPR(EU一般データ保護規則)、 ePrivacy指令
 ・CCPA(カリフォルニア州消費者プライバシー法)
 ・中国サイバーセキュリティ法
 ・タイ個人情報保護法(Personal Data Protection Act、PDPA)
 ・シンガポール個人情報保護法 等
● 「個人関連情報」を外国にある事業者に提供する際に、その事業者が個人関連情報を個人を識別することができる個人データとして取得することが想定される場合には、あらかじめ本人の同意を得なければ提供できません。また、この場合においても、同意の際にはあらかじめ、その国ではどのような個人情報保護の制度があるか、また、その事業者が個人情報保護のためにどのような取り組みを実施しているか等の参考となる情報を提供する必要があります。

個人情報をはじめ、個人の個性や生活様式を表す、マーケティングに活用できるデータは、グローバルに流通し、新しいテクノロジーの中でビジネス利活用が加速しています。その反面、世の人々の人権、プライバシーに関わる意識は高まり、世界各国においてもGDPRに準ずる独自の法律ができはじめています。
こうした中、CXを高めるために、優良なデータを多数集めることは重要ですが、それらを活用するためには、カスタマーが安心してデータを預けられる環境やプラットフォームの存在が欠かせません。
今後、個人に関連する情報の取扱が、より厳しくなる中で、顧客との信頼を強化し、必要なベネフィットを提供するためには、必要な情報を、説明責任を果たした上で必要な情報を取得し、活用していくことが必要となります。
個々のビジネスにより、データ活用の目的・手法は様々であり、利活用と説明責任のバランスをとった設計・運用が求められます。
マーケティングコミュニケーションとプラットフォームの融合領域において、多くの知見、実績を持つ当社にご相談いただければと思います。

塚本 圭子 Keiko Tsukamoto

プラットフォームコンサルティング部 情報セキュリティコンサルタント
メーカー系デザイン会社にて海外向け企業広告制作に携わる。電通グループに転職後、社の新事業として立ち上げた情報セキュリティビジネスへの参画が転機となり、以後、自社の情報セキュリティマネジメントシステムの構築・運用、その経験を生かした広告会社や制作会社に対してコンサルを行う。Pマーク、ISMSの第三者認証取得に限らず、得意とする個人データ保護の分野では管理ツールのシステム開発コンサルや教育啓蒙サポート等、幅広く「実装コンサル」を提供している。

記事一覧

堀 悟 Satoru Hori

プラットフォームコンサルティング部 情報セキュリティコンサルタント
クレジットカードVendorにて、VISA,MasterCardインターナショナルのSecurityオフィサーを担当。2005年入社以来、主に情報セキュリティマネジメントシステム運用と電通・グループや一般企業の情報管理コンサルティングやサイト運用、新聞メディアのデジタル化サポートなどを実施。
今後はグローバルプライバシー拡大の風潮の中、プラットフォームにおける適切な情報利活用について対応の予定。

記事一覧

CX UPDATES TOP