ad

個人情報保護法改正とは?Webマーケティングへの影響やGDPR・CCPAとの関わりについて

個人情報保護法改正とは?Webマーケティングへの影響やGDPR・CCPAとの関わりについて

2020年6月に「個人情報の保護に関する法律等の一部を改正する法律」が公布されました。この法律で、何が改正されたのか、何が個人データにあたるのか、GDPRやCCPAとの相違点など、Webマーケティングの観点から個人情報保護法についてご紹介していきます。

目次

1.個人情報保護法とは
 1-1.個人情報の保護に関する法律等の一部を改正する法律(概要)
 1-2.Webマーケティングにおける改正法の注目点
2.個人データについて
 2-1.個人データとは
 2-2.Cookieは個人データに当たるのか
3.Cookie利用制限における個人データの基準
 3-1.個人データの海外基準
 3-2.CMP(同意管理プラットフォーム)
4.対策
 4-1.個人データの保護対策
5.まとめ
 5-1.本記事のポイント

1.個人情報保護法とは

個人情報の保護に関する法律(個人情報保護法)とは、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とした日本の法律です。

令和2年の「個人情報の保護に関する法律等の一部を改正する法律」では、平成27年に改正された個人情報保護法に設けられた「いわゆる3年ごと見直し」によって講じられたものです。海外諸国の対応と比較して遅れの無いよう、また、技術革新を妨げないことを踏まえ、保護と利活用のバランスとリスクを関係団体・有識者へ実態調査の上、公布されました。

1-1.個人情報の保護に関する法律等の一部を改正する法律(概要)


こちらは、個人情報保護委員会が発表している「個人情報の保護に関する法律等の一部を改正する法律」(以後「改正法」と記述)の概要資料です。注目したいのは、「4.データ利活用に関する施策の在り方」です。


※参考:https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf

1-2.Webマーケティングにおける改正法の注目点


「4.データ利活用に関する施策の在り方」の2つの項目についてご紹介します。

●「仮名加工情報」創設

「仮名加工情報」は、データ単体で個人情報を復元できなければ、自社内での分析に用いても問題ないとする、顧客データ活用を緩和するものです。対して、「匿名加工情報」が存在しますが、こちらは、社外提供可能ですが、データ単体で個人情報を復元できないかつ、他の情報と照合しても完全に復元できないデータに加工しなければなりません。「仮名加工情報」は、加工時間短縮など、イノベーション促進するために有効であると考えられます。

●個人データの第三者提供

これまで、個人データを第三者提供する場合、提供元で個人データに当たらなければ、提供先にて個人データに当たったとしても、提供元の提供規制になるかどうか不透明でした。しかし、これが完全に規制対象となり、本人の同意が得られていないなど違反する場合は、ペナルティの対象となります。

2.個人データについて

個人情報保護法における個人データについて述べていきます。

2-1.個人データとは


個人データとは、個人情報をデータベース化したものです。例えば、名簿や電話帳など、電子媒体・紙媒体問わず、特定の個人情報を検索することができるように体系的に構成したものです。

2-2.Cookieは個人データに当たるのか


上記のように、個人データは、個人情報をデータ化したものであるため、Cookieは、個人データに当たるものと当たらないものが存在します。

●個人データに当たるCookie

「Cookie+個人データ紐づけ」の場合、Cookieは個人データに当たります。例えば、CookieとSNSに登録した氏名や生年月日と照合し個人が特定できる場合を指します。

●個人データに当たらないCookie

「Cookie+Web行動紐付け」の場合、Cookieは個人データには当たりません。例えば、あるWebサイト内にタグを設置して取得したCookieが、どのエリアに存在し、どのような趣味趣向があるかをセグメント化したが、個人の特定はできない場合を指します。

ここで気になるのは、個人データ保護のため、サードパーティCookieの利用が制限されるようになっていることとの関連についてですが、個人情報保護法では、制限するルールは存在しません。Cookie利用制限は、海外の個人データ保護が基となっています。そのため、海外基準の個人データについても後述していきます。

3.Cookie利用制限における個人データの基準

GDPRやCCPAにおける個人データについて述べていきます。サードパーティCookieの利用制限については、別記事でまとめているのでご参考ください。

Cookie利用制限とは?-Web広告に与える影響や対策をご紹介

3-1.個人データの海外基準


Cookie利用制限において影響のある法律として、GDPRやCCPAがあげられます。これらの法律では、CookieやIPアドレスなどオンライン識別子およびそれらに紐づく行動履歴が個人データと定義されています。各法律について簡単に説明します。

●GDPR(General Data Protection Regulation)

GDPRとは、2018 年 5 月 25 日に施行された、EU27カ国の個人データを保護する法律です。
個人データは、氏名、識別番号、所在地データ、
オンライン識別子(Cookie/IPアドレス/ADID/IDFA等)、または身体的・生理的・遺伝子的・精神的・
経済的・文化的・社会的固有性などの中から、上記の識別因子のいずれかひとつ以上によって、
直接または間接的に識別されるものと定義されています。
EU地域外でも適応されるため、日本国内でEUの個人データを管理した場合でも
この法律の対象となります。GDPRが先駆けとなり、CCPA施行やJIAAのルール変更につながるなど、
個人データ保護に関して代表となる法律です。

●CCPA(California Consumer Privacy Act)

CCPAとは、2020年1月1日に施行された、米国カリフォルニア州の個人データを保護する法律です。
個人データは、特定の個人を、識別し、関連し、叙述し、又は関連付けることができるいかなる情報を
意味すると幅広く定義されています。
GDPR同様にカリフォルニア州域外でもカリフォルニア州民の個人データを保有している場合は、
この法律の対象となります。米国の中でも、人口が多く経済活動が活発で影響力のある州なため、
米国内から世界への影響も大きいと言われています。

これらの法律は、日本の個人情報保護法よりも個人を幅広く定義し、個人データを保護しています。

EUやカリフォルニア州へビジネス展開している場合はもちろん、日本国内でもその地域の個人データを保有してしまった場合はこの法律の対象となるので注意が必要です。また、ユーザーの同意管理も進んでおり、今後は、ユーザーの同意がないCookieは利用できなくなる見通しです。ここで、ユーザーの同意管理についても触れていきます。

3-2.CMP(同意管理プラットフォーム)


Webサイトに訪問した際に「Cookieを受け入れますか?」といったポップアップが出る機会が増えてきました。これは、CMP(Consent Management Platform)と呼ばれているシステムによるものです。ユーザーへCookieの利活用について同意を管理するシステムです。

GDPRの影響により、世界では多くのWebサイトへ導入が進んでいますが、日本においてはまだ進んでいないのが実情です。ドイツに本社を置く株式会社Enobyteの調べでは、ドイツ所在の日本企業388社の企業サイトのうち、57%がユーザーの同意要件を満たしていないと発表しています(2020年9月)。
※参考:https://drive.google.com/file/d/1E5HzMhJN5CBjWzc9vcoz6LzzGzYfhg8d/view?usp=sharing

海外展開をしている場合は、必須で同意の条件を満たした状態での導入が求められます。また、現状日本国内では、プライバシーポリシー等でCookieの利活用についてユーザーに知らせる義務はありますが、CMP導入が必須ではありません。ただ、日本においてもユーザーのプライバシーへ配慮した重要な取り組みとして考えられており、今後の導入義務を見据えた動きは必要となります。

4.対策

4-1.個人データの保護対策


まずは、本記事を踏まえ、個人情報保護法と改正法について理解することが必要です。その上で、自社で利用しているCookieが、個人情報に当たらないか、また第三者提供先で個人情報に当たらないか実態を理解していく必要があります。

Web広告においては、JIAA(一般社団法人 日本インタラクティブ広告協会)より日本国内でもGDPRを基準にルールが定められています。個人情報保護法に当たらない場合でも、GDPRの基準を理解し、海外基準での個人データ保護の視点で、対策をとっていくことが推奨されます。

5.まとめ

5-1.本記事のポイント


個人情報保護法改正やGDPR・CCPAの個人データについてご紹介してきました。本記事のポイントは、2点です。

1.個人情報保護法改正
自社内のデータ活用を緩和する「仮名加工情報」や個人データの第三者提供について定義の明確化といった改正がありました。個人情報保護法に遵守するためには、使用しているCookieについて理解することやプライバシーポリシーに不適切な点がないか確認することが求められます。

2.個人データの定義は各国で異なる
個人情報保護法においての個人データは、オンライン識別子と個人データを組み合わせたものを指し、GDPRやCCPAの個人データは、オンライン識別子およびそれらに紐づく行動履歴を組み合わせたものを指しています。JIAA(一般社団法人 日本インタラクティブ広告協会)は、GDPRを基準にルールを定めているため、Webマーケティングにおいては、個人情報保護法のみではなく、海外基準で個人データを保護していくことが推奨されます。

※参考
■GDPR
・「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編):https://www.jetro.go.jp/world/reports/2016/01/dcfcebc8265a8943.html
・個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)(仮日本語訳:https://www.jipdec.or.jp/archives/publications/J0005075

■CCPA
・カリフォルニア州消費者プライバシー法(CCPA)実務ハンドブック:https://www.jetro.go.jp/ext_images/_Reports/02/2019/c74bb9695c95edf9/20191225.pdf
・「カリフォルニア州消費者プライバシー法 2018年」2020年1月1日施行版の仮日本語訳 :
https://www.ppc.go.jp/files/pdf/ccpa-provisions-ja.pdf

■個人情報保護法
・法案要綱:https://www.ppc.go.jp/files/pdf/200310_houritsuan_yoko.pdf
・「行動ターゲティング広告ガイドライン」全文:https://www.jiaa.org/download/JIAA_BTAguideline2014_02.pdf

弊社では、Webマーケティングに関わる法律について知識をもったコンサルタントが、広告のプランニングやインハウスにて一緒に並走する形式でご支援させていただいております。ご相談は、以下ボタンより、もしくは弊社営業担当へお気軽にお問い合わせください。


ハートラスの広告運用サービスの詳細はこちらご相談やお問い合わせはお気軽にご連絡ください

この記事のライター

反橋光希

反橋光希株式会社ハートラス

トレーディングディヴィジョン

2019年に株式会社ハートラスへ中途入社。前職は広告プラットフォーム企業にて広告代理店営業を担当。開発チームと密に連携した営業でインフィード広告システム最適化に従事。現在は案件ディレクションや幅広く広告プラットフォームの運用に携わる。

おすすめの記事