2024.08.08
3rdパーティクッキーへの規制が強化されている今、クッキー規制への対応として、企業が自ら収集し保有する顧客データ=1stパーティデータを活用していくことの重要性が高まっています。
ここで注意しておくべき点は、1stパーティデータの活用は主にユーザーの個人情報を活用した施策となるため、プライバシー規制に則った対応を行う必要性がある、ということです。
本記事では、個人情報を活用したデジタルマーケティング施策を行うにあたり、押さえておきたいプライバシー規制や、法律における「個人情報」の定義をおさらいしながら、個人情報を活用する上で必要なプライバシー対応について、マンガで分かりやすく解説します。
※本記事はDAC Solution Serviceより転載しています
元記事:https://solutions.hakuhodody-one.co.jp/blog/persona-info-and-privacy
デジタルマーケティングで押さえておくべき日本のプライバシー規制
個人情報を活用したデジタルマーケティング施策を行う際に、押さえておくべき日本のプライバシー規制は、個人情報保護法とJIAAガイドラインの2つに大別されます。
▼個人情報保護法
個人情報保護法は、人の権利・利益の保護と個人情報の有用性とのバランスを図るため、個人情報を取り扱う事業者及び行政機関等の遵守すべき義務等を定めた法律です。個人情報を取り扱う全ての事業者に適用され、利用目的の明示、適切な取扱い、第三者提供の制限などが定められており、違反した場合には法的な制裁があります。
▼JIAAガイドライン(業界の自主規制)
法律の他に注意しておきたい規制は、各業界でユーザーのプライバシーを保護するために定められているガイドラインです。
デジタルマーケティングと大きく関連するインターネット広告においては、JIAA(日本インタラクティブ広告協会)が定めたJIAAガイドラインがあります。ユーザーのプライバシー保護や情報の透明性を確保するための規定が定められており、法的な強制力はありませんが、業界の信頼性を保つために遵守することが求められます。
つまり、個人情報を活用したデジタルマーケティングを行う際には、個人情報保護法による規制を正しく理解すること、業界自主規制としてのガイドライン・JIAAガイドラインで遵守すべき事項を理解すること、この2つが重要です。
プライバシー規制における「個人情報」の定義
個人情報活用時の必要なプライバシー対応を検討する前に、プライバシー規制で定義されている「個人情報」について確認しましょう。
個人情報保護法において、「個人情報」とは、生存する個人に関する情報であり、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)、又は個人識別符号が含まれるもの、と定義されています。
「個人情報の保護に関する法律についてのガイドライン」では、個人情報保護法をかみ砕いて具体的な指針となる情報がまとめられているので、あわせて確認しておくと理解が深まります。
「個人情報の保護に関する法律についてのガイドライン(通則編)」の2-1では、以下のような形で、個人情報に該当する事例が挙げられています。
【個人情報の具体例】
1 本人の氏名
2 生年月日、連絡先(住所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
3 防犯カメラに記録された情報等本人が判別できる映像情報
4 特定の個人を識別できるメールアドレス(dezitaru_ado@hakuhodody-one.com)のようにメールアドレスだけの情報の場合であっても、Hakuhodo DY ONE社に所属するデジタルアドさんのメールアドレスであることが分かるような場合)
※関連ページ:個人情報とは(用語集)
「個人情報」に関して、海外法のGDPRやCPRA(CCPA)と比較すると、GDPRやCPRA(CCPA)ではクッキー情報が個人情報に含まれていますが、日本の個人情報保護法では、上記で記載した通り、クッキー情報は個人情報に含まれていません。
※関連ページ:個人関連情報とは(用語集)
個人情報を活用する上での注意すべきポイント:第三者提供の有無
日本において個人情報を活用したデジタルマーケティング施策を行っていく際に気を付けるべきポイントについて、海外法と比較しながらみていきましょう。
海外法のGDPRでは、個人情報を取得する際には、必ずユーザーからオプトインでの同意が必要となっています。
また、CPRA(CCPA)では、オプトアウトでの取得、つまり、個人情報を持つ本人が反対をしない限りは個人情報を取得する、という形式で、個人情報の取得対応をする必要があります。
一方で、日本の個人情報保護法では、個人情報を取得する際に必ず同意が必要、というわけではありません。
では、どのような場合にユーザーの同意取得が必要なのでしょうか?
個人情報の取得時に同意が必要かどうかを見極める際には、取得した個人情報を ”第三者へ提供するかどうか” がポイントとなります。
- 個人情報を第三者へ提供しない場合
第三者へ提供しない場合には、必ずしも個人情報の取得時に同意を取得する必要はありません。しかし、提供しない場合においても個人情報の利用目的は公表している必要があると個人情報保護法で定められていますので、個人情報の利用目的を明示したプライバシーポリシー等を設置しておく必要があります。
※参考:個人情報保護に関する法律についてのガイドライン 2-15 公表 3-1-1 利用目的の特定
- 個人情報を第三者へ提供する場合
取得した個人情報を第三者に提供する場合、あらかじめ利用目的を明確にした上で、提供元からユーザーへの同意取得が必要となります。
例えば、ある企業がアンケートで個人情報を取得する際、その個人情報を他社である分析会社に提供する場合には、アンケート内にその旨を記載し、ユーザーから同意を得ておく必要があります。
個人情報活用において必要な3つのプライバシー対応事項
個人情報の定義、個人情報の第三者提供の有無、この2つの観点を押さえた上で、個人情報を活用したデジタルマーケティング施策を実施していくことが重要です。
では、具体的に必要となる3つのプライバシー対応事項について見ていきましょう。
- ①適切な同意取得
前章でも記載した通り、個人情報を第三者に提供する際は、あらかじめ利用目的を明確にした上で、提供元から生活者への同意取得が必要となります。
- ②第三者提供の記載
利用規約やプライバシーポリシーを用いて生活者からの同意を取得する場合は、その文書内で第三者提供を行う旨を明示することが必要です。
- ③確認・記録義務
個人情報を第三者に提供する際は、提供日及び受領者(第三者)の氏名等を記録し、一定期間保存することが必要となっています。
上記の詳しい内容は、個人情報の保護に関する法律についてのガイドラインにも記載されているので、内容をきちんと理解しておく必要があります。
これら3つのポイントは、2023年11月開催DAC主催セミナー【ポストクッキー会議】『ポストクッキー時代に求められる顧客データ活用時のプライバシー対応とは』と題したセッション内でお話ししています。
本セッションでは、顧問弁護士の先生をお招きし「プライバシー対応時に押さえておくべきポイント」としてパネルディスカッションを行いました。
※DACとアイレップは2024年4月1日に統合し、株式会社Hakuhodo DY ONEを設立いたしました。
本セミナーはDACが主催したセミナーです。
パネルディスカッションでは、弁護士先生に①~③に関するガイドラインを解説いただき、具体的な施策を行う場合どのように同意取得を取るべきなのか、ポリシーにはどのような記載方法が望ましいのか、等について、分かりやすくご説明いただいています。
現在、本セッションはアーカイブ動画として公開中です!フォームよりお申込みいただければ、どなたでもご視聴可能です。
これから個人情報を活用したデジタルマーケティング施策を行いたいと考えている方は、ぜひご視聴ください。
まとめ
本記事では、個人情報を活用したデジタルマーケティング施策を実施する際に押さえておくべきプライバシー対応についてまとめました。
今回は、「個人情報」を扱う場合として個人情報保護法を中心にまとめていますが、Webサイトやアプリを使った施策を行う場合には、電気通信事業法・外部送信規律の内容についても把握しておく必要があります。
▼関連ブログ
・改正個人情報保護法がデジタルマーケティングに与える影響とは?
・まもなく施行!改正電気通信事業法のポイントとは?
データプライバシーコンサルティングサービスでは、法規制に関する勉強会の実施から、現状整理をもとに必要な対応のご提案を行っていますので、どのような対応をすべきなのか分からない、という方はぜひ一度ご相談ください!
▼関連サービス
データプライバシーコンサルティングサービス【サービスページ】
また、最新の法規制の内容とコンサルティングサービスの具体的な内容については、以下資料にまとめています。
無料でダウンロードできますので、お気軽にご活用ください。
▼関連サービス
・クッキー同意管理バナー(CMP)【 サービス紹介】
・通知・公表ツール(電気通信事業法対応)【サービス紹介】
・データプライバシーコンサルティングサービス【サービス紹介】
