アドテク関連データを個人情報として取り扱わなくていいのか
最近アドテク(アドテクノロジー:広告関連技術)領域の勉強をしているのですが、「アドテク関連で取り扱うデータは個人情報(データ)として取り扱うべきなのでは?」と思い、各種文献がどのように記載しているのか確認してみました。
といってもよさそうな文献はほとんど見つけることができませんでしたが。。。 *1
1.「オーディエンスターゲティング広告における匿名加工情報の利用に関する提言」
まずは、一般財団法人情報法制研究所オンライン広告研究タスクフォース「オーディエンスターゲティング広告における匿名加工情報の利用に関する提言」から。
この報告書は、広告代理店等の広告事業者が匿名加工情報を適法に利活用する方法を提言するものなのですが、前半部分はオンライン広告の仕組みや歴史、改正個人情報保護法上の懸念事項等の説明に割いており、アドテク初心者にも理解しやすい資料となっています。
この報告書のなかに、オーディエンスデータ(オンライン広告事業者が保有する、アドサーバを通じて蓄積されるユーザの閲覧履歴を基に構成したユーザ毎のデータ。要は広告事業者が保有するアクセスログデータ)の個人情報保護法上の扱いについて以下のように記載されています。
※下線部はkaneko
オンライン広告事業者が自ら作成する前記の「オーディエンスデータ」は、大抵の場合、個人情報保護法の「個人情報」定義(2条1項)で言うところの氏名、生年月日その他の特定の個人を識別することができることとなる記述等を含んでおらず、また、オーディエンスデータと容易に照合することができる他のデータとして個人情報をオンライン広告事業者が保有しているわけでもないことから、これまで、オーディエンスデータは個人情報保護法が定義する「個人データ」(2 条 6 項)に該当しないものとして取り扱われてきた 。
他方、メディア事業者が保有する前記の「ユーザデータ」は、メディア事業者の事業形態によっては、氏名等と共に一体的に管理される情報となっていて、法の「個人データ」に該当するものとなっている場合がある。その場合に、「ユーザデータ」から一部の属性情報を切り出したものが当該事業者において「個人データ」に該当するかは、データの性質によるものであるが、データの内容が履歴情報である場合等、詳細なものとなっている場合には、元のデータとの照合によって「個人データ」に該当するものとなっている場合が少なくないと考えられる。
オンライン広告において、メディア事業者、オンライン広告事業者、広告主の各ステークホルダにおけるデータの取扱いが、個人情報取扱事業者としての義務(個人情報保護法第 4 章の規定)の対象となるかは、取り扱うデータが「個人データ」に該当するかによる。「オーディエンスデータ」は、前記のように、これまで、「個人データ」に該当しないものとして取り扱われてきたことから、日本では、オンライン広告の法令適合性を個人情報保護法に照らして検討することはなされてこなかった。
しかし、諸外国においては、特に EU(欧州連合)諸国においては、従前のデータ保護指令 (Data Protection irective) の下で、ターゲティング広告で用いるオーディエンスデータが「personal data」に該当するとされ 21、法の義務の対象であったこと、また、米国においては、連邦法による規制はないものの、連邦取引委員会 (FTC) の監視の下で業界団体による自主規制の取組みが続けられてきた 22 ことから、それらの国々でサービスされるターゲティング広告では、ユーザによるオプトアウトの機会を確保することや、透明性確保のため事実関係を公表することが、実務上必要な措置となってきた。その結果として、日本のオンライン広告事業者においても、特に国際的にサービスを展開している場合には、同様の措置が必要となっていた。p25
なお、本報告書では、オーディエンスデータとユーザーデータを「個人データ」と仮定して提言を行っているのですが、その場合、以下の論点が生じる旨が記載されています。
- 従前より行われているターゲティング広告の事業が、日本の個人情報保護法に照らして適法と言えるか*2
- ユーザ識別子(cookie、IDFA 等の端末識別子、メディア事業者が運営する媒体のアカウントID、メールアドレス等の識別性を持つ情報)によるターゲット指定の方法が用いられている場合には、ターゲット指定のためのユーザ識別子の送信が、個人データの第三者提供に当たるのではないか
2.「データ戦略と法律 攻めのビジネスQ&A」
続いてはこちら
データを取り扱う上で問題となる法律問題についてQ&A形式で書かれている書籍です。はしがきに「個人情報保護法以外を重視」と書かれている通り、個人情報以外の関連法についても幅広くかつしっかり記載されていて非常に参考になります。
もちろん、アドテク領域の言及もあり、AppleのITPに関する記載があるのには驚きました。
本書ではDMPで取り扱うデータの個人情報保護法上の扱いについて以下のような記載があります。
※下線部はkaneko
DMPサービスやこれに付随するサービスでは、各利用者の様々なデータを連携するため、DMPサービスの利用業者が有する顧客データ、及び、DMPサービス事業者(又はDMP関連ツールサービスの提供事業者)が有することとなる顧客データのいずれもが、個人情報に該当してしまう場合が多いと考えられます。
顧客の氏名の情報を取得していなかったとしても、広告ID、SNS ID(例.Facebook ID)、メールアドレス等の容易に照合できる情報を通じて、本人を特定できてしまうケースがあれば、個人情報を含むことになるからです。特にメールアドレスについては、「個人名@ドメイン」等と、個人名を含むメールアドレスとしている利用者も少なくないですから、個人情報を含むと整理することが通常です。
関係先企業、あるいは、自社の関連部署から、個人情報を取り扱っていないとの説明を受けても、これをうのみにせずに、慎重な検討を行うことが重要です。
p118
3.少しだけ個人的に思ったこと
個人的に感じていることなのですが、今のアドテクを含めたデジタルマーケティング領域でのトレンドは「データとデータをくっつけていかにリッチするか」になっていると思っています。昔であれば、氏名や電話番号等を含まないデータ同士をくっつけるのは容易ではなかったはずですが、今ではCookieSYNCやIDSYNCといったアドテク手法やTreasureDataやDrawBrigdeを利用したデータ連携を利用すれば容易にくっつけることができるようになってきたと感じます。
非個人情報であるデータが転々流通していくなかでデータがくっついて突然個人情報になることも十分想定できるのではないでしょうか。(データを提供する際に提供元では個人データではないが、提供先で個人データに該当するケース)
たとえ氏名等に到達できないデータを保有していたとしても、長期蓄積性やデータ連結可能性があるのであれば、できるだけ個人情報として扱い、本人同意の取得等の対応を行っていくようにすべきなような気が個人的にはしています。
(また、GDPRやePrivacy規則案を踏まえてもアドテク領域のデータは日本でも個人情報として扱うほうがいいのではと思ったり。)
もちろん、広告ターゲッティングの仕組み上、難しい場合があることは理解しているつもりですが・・・