DMPでの個人情報の取扱いにおいて気をつけるべきこととは?
ここではデータドリブンマーケティングの重要な要素であるDMP(データ・マネジメント・プラットフォーム)での個人情報の取扱いにおける注意点について触れていきたいと思います。
「個人情報」について
まず、個人情報保護法における「個人情報」の定義は、
法第 2 条(第 1 項)
1 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号 のいずれかに該当するものをいう。
(1) 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的 記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第 2 号において同じ。)で作られる記録をいう。第 18 条第 2 項において同じ。)に記載され、若しくは記録され、又は音声、動作その 他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。) により特定の個人を識別することができるもの(他の情報と容易に照合すること ができ、それにより特定の個人を識別することができることとなるものを含む。)
(2) 個人識別符号が含まれるもの
個人情報の保護に関する法律(平成15年5月30日法律第57号)より抜粋
このようになっています。
すなわち、「生存する個人に関する情報」であり、かつ「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの、または他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの」と言えます。
DMPと法令上の「個人情報」について
自社の顧客情報そのものを取り扱うCRM(顧客関係管理)の拡張、または連携を前提とした「プライベートDMP」の場合、そこに集約・蓄積されたデータ全体を「個人情報」として取り扱う認識は比較的持ちやすいと思います。
※本稿での「顧客」表記は、本来の意味である「顧客」以外に「生活者」の場合を含みます。
一方、他社が保有する顧客のWeb上の行動履歴、属性情報、購買履歴といったデータ(オーディエンスデータ)を取り扱う事の出来る「パブリックDMP」の場合、それらのデータひとつひとつは特定の個人を識別できない(=ひとりひとりのデータであることは区別できるが、誰であるかは分からない)状態で活用する前提で、「個人情報」には該当しない「個人に関する情報」として取り扱うことが通例となっています。
しかし、データひとつひとつは「個人情報」には該当しない「個人に関する情報」であり、さらにセグメント化されたもの、統計的なものだったとしても、複数のデータや項目を組み合わせることで、想定外に特定の個人を識別しうる(=誰であるか分かる)状態になる可能性があり、その場合は「個人情報」に該当しうる事になりますので注意してください。
特に母数が少ないデータに対して細かくセグメント化を行う、また非常に特殊な属性を取り扱うようなケースの場合は、最初から「個人情報」の取り扱いに準じて、データの安全管理措置などの業務設計を行う事をおすすめします。
他システム・サービスとの連携における「容易照合性」について
DMP単体だけではなく、MA(マーケティング・オートメーション)やSFA(営業支援)、CRMといったシステム、サービスと組み合わせることで、顧客に対して、従来からあるオンラインのターゲティング広告だけでなく、メールやWebサイトのコンテンツ、またオフラインでも店舗やセミナーへの誘導といった様々なチャネル経由でのアクションを取ることが可能になりました。
このような活用を行う場合、「個人情報」との「容易照合性」を意識する必要があります。
「容易照合性」については、
「他の情報と容易に照合することができ」るとは、事業者の実態に即して個々の事例ごとに判断されるべきであるが、通常の業務における一般的な方法で、他の情報と容易に照合することができる状態をいい、例えば、他の事業者への照会を要する場合等であって照合が困難な状態は、一般に、容易に照合することができない状態であると解される。
個人情報保護委員会 個人情報の保護に関する法律についてのガイドライン(通則編)より抜粋
ガイドライン上も上記のような表記にとどまり、明確な基準が明らかになっていません。
しかしながら「個人情報」を取り扱う前提のシステム・サービスと組み合わせる場合、また、目的が特定顧客へのアクションとなる場合、必ずどこかで「容易照合性」は発生します。
このため、どのシステム・サービスで、「入力」としてどのようなデータを投入し、それを処理(分析、統計など)してどのような「出力」を行ない、どこで特定の個人を識別しうるのかを整理し、必要に応じて「個人情報」として取り扱い、安全管理措置を講じることが重要だと考えます。
データ活用における「第三者提供」「匿名加工」について
「パブリックDMP」、「3rd Party Data」によって、他社が保有する顧客情報を入手して新規顧客を開拓する、新しい切り口でのマーケティング活動に活かすだけではなく、自社の顧客情報を他社に提供することで、データのマネタイズが可能になりました。
他社データの入手にあたっては、「個人情報」そのものの提供を受ける事は基本的に無いと思われますが、自社データを他社に提供する際には「個人情報」の「第三者提供」または「匿名加工」を意識する必要があります。
他社では特定の個人を識別できない(容易照合性もない)としても、自社で「個人情報」となるデータを提供する場合、原則として、法令に定められた通り、提供先名、提供するデータ項目などの記録義務が発生します。
また、顧客に対してもDMPに投入する情報を取得する際に、「第三者提供」を利用目的とする事、その取得項目などをプライバシーポリシー等で明示し、同意を得た上で取得するか、個人情報保護委員会に届け出を行った上で提供停止の受付(オプトアウト)を行うか、どちらかの対応の必要があります。
なお、データ活用において、「特定の個人を識別することができないように『個人情報』を加工し、当該『個人情報』を復元することができないようにした『個人に関する情報』」を指して「匿名加工情報」と呼びます。
この場合、データの提供においては「個人情報」としての取り扱いは不要となりますが、加工方法やレベルについては、法令、ガイドライン共にまだ明確な基準がない状況です。
「匿名加工情報」の「第三者提供」を行う場合、「個人情報」としての様々な義務は課せられませんが、
法第 36 条(第 3 項)
3 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
法第 36 条(第 4 項)
4 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
個人情報の保護に関する法律(平成15年5月30日法律第57号)より抜粋
上記の通り、何の項目が含まれるか、どのように「第三者提供」を行うかを、プライバシーポリシーなどで顧客に対して広く公表する必要があります。
最後に
DMP(データ・マネジメント・プラットフォーム)での個人情報の取扱いについて、現時点での注意点を挙げてきましたが、「個人情報」の定義や範囲は流動的なものであり、日本国内だけでなく世界各国の趨勢や、今後のさらなる法令の見直しによって、大きく取り扱いが変わってくる可能性は十分あります。
また、データを収集する、活用する企業側の視点で話を進めてきましたが、収集される側である顧客にとっては、法令上の「個人情報」には該当せずとも「プライバシー」に属する情報であり、自由に活用される事に心情的なハードルがある事も想像できます。
実態を超えて「個人情報」として取り扱う必要は必ずしもありませんが、顧客に「個人に関する情報」を取り扱っていることをきちんと説明し、同意を得た上で、企業、顧客双方納得の上でより良いデータ活用を心がけていきましょう。
参考)
個人情報保護委員会 個人情報の保護に関する法律(平成15年5月30日法律第57号)
個人情報保護委員会 個人情報の保護に関する法律についてのガイドライン(通則編)
個人情報保護委員会 個人情報の保護に関する法律についてのガイドライン (匿名加工情報編)
個人情報保護委員会 個人情報の保護に関する法律についてのガイドライン (第三者提供時の確認・記録義務編)
この記事はいかがでしたか?
-
博報堂アイ・スタジオ セキュリティコンサルティング部, コンプライアンス統括部 兼務 テクニカルディレクター2012年博報堂アイ・スタジオ入社。
自社事業及び受託案件の設計・開発業務を経て、受託案件のセキュリティ品質向上のため設立されたセキュリティコンサルティング部に2015年より所属。インシデント対応を中心とした情報セキュリティ、個人情報取扱いについてのコンサルティング対応、技術支援を行っている。
情報処理安全確保支援士(登録番号 003189)。