EC事業者の広告出稿にも重要!改正個人情報保護法のおさらい!
2022年4月1日より施行された「改正個人情報保護法」。この改正により、これまで以上に個人情報の取扱い方について規制が厳しくなり、ひいてはデジタルマーケティングにおいても様々な制約が課されることになりました。
そこでここでは、改めて改正個人情報保護法について注目し、特にEC事業に関わる広告出稿に関するポイントについてご紹介します。
改正個人情報保護法の項目
2022年4月1日より施行の改正個人情報保護法では、大きく分けて以下の点において改正が行われています。
①漏えい等報告・本人通知の義務化
②外国にある第三者への提供
③保有個人データの開示方法
④個人データの利用の停止・消去等の請求
⑤公表等事項の充実
⑥不適正利用の禁止
⑦個人関連情報
⑧仮名加工情報
「⑦個人関連情報」「⑧仮名加工情報」は新設されていますが、前者の「⑦個人関連情報」項目によって、以前は個人情報保護法の規制の対象外だったCookie情報やIPアドレス、氏名と結びつかないWEB閲覧履歴なども規制の対象となりました。
以下にこれらの概要を挙げます。
【⑦個人関連情報】
個人関連情報とは、生存する個人に関する情報のこと。たとえば、Cookie等の端末識別子を通じて収集された閲覧履歴や、商品購買履歴・サービス利用履歴、個人の位置情報といったことが該当します。
この個人関連情報を第三者に提供する場合は、提供元に第三者提供に関して「本人の同意が得られていることの確認」が義務付けられます。
【⑧仮名加工情報】
仮名加工情報とは、他の情報と照合しない限り、特定の個人を識別できないように個人情報を加工して得られる個人に関する情報を指します。
仮名加工情報に変換すれば、「利用目的の変更の制限」「漏洩等の報告・本人通知」「開示・利用停止等の請求対応」は義務から除外されます。
個人関連情報とは
デジタルマーケティングで欠かせないWEB広告に関して、特に大きく影響を与えるのが、「⑦個人関連情報」です。
この改正により、提供先において個人情報となることが想定される「個人関連情報」を第三者に提供する際は、原則として提供先が本人同意を取得し、かつ提供元は「本人同意が得られている」などの確認をしなくてはいけないことになりました。
つまり、Cookie等の端末識別子を通じて収集された閲覧履歴や、商品購買履歴・サービス利用履歴、個人の位置情報など、広告配信やトラッキングに広く活用されているデータの活用について、一部本人同意の取得が必要となったのです。
以上から、上記のような個人関連情報を個人データとして使ってマーケティングを行う際、データ提供元はユーザー(一般消費者)の同意を取得する必要があります。
同意取得方法例
ユーザーから個人関連情報を取得する際の、同意取得方法には以下の3点があります。
①本人から同意する旨を示した書面を受領する方法
②本人から同意する旨を示した電子メールを受領する方法
③(WEB上などで)本人に確認欄へのチェックを求める方法
①②は、書面または電子メールとの違いがあるだけで、基本的には同様の内容です。③に関しては、必ず本人に内容をチェック・クリックといったアクションを取ってもらわないといけません。
その際、確実に本人が「同意する」意思を表明する必要があります。
たとえば、下図の右側では、「拒否する」というボタンのみが置かれています。この状態では、「クリックをしない=同意した」とは言い切れません。そのため、このような曖昧な意思表示のアクションでは認められないのです。
■画像出典元:第158回個人情報保護委員会資料1「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」
広告配信時の注意点
では、広告配信については、どのような点に注意しないといけないのでしょうか。
注意すべきは、例えば事業展開している広告主側で収集した顧客情報に対して、外部のウェブ閲覧履歴に基づいて推定した属性データを掛け合わせて(DMP事業者が)広告配信をした場合、ユーザーに対して本人同意が必要になるようなケースです。
この場合、本人同意を取るのは、データ提供元になる広告主側です。ただし、提供されるDMP事業者もまた、本人同意が取れているかどうかを確認する義務があるのです。
早急に対応するようにしましょう!
改正個人情報保護法は、「個人の権利利益の保護」、「情報活用の強化」、「AI・ビッグデータへの対応」といった目的によって施行されています。
EC事業者にとってはデジタルマーケティングに制約ができたように感じることもありますが、ユーザーのために必要な改正であると理解し、早急に対応するようにしましょう。
キーワード
登録されたキーワードはありません