サイト内検索

“生活者データ・ドリブン”マーケティング通信

X Facebook
おすすめ検索キーワード
2022年施行!改正個人情報保護法がデジタルマーケティングに与える影響とは?
PLANNING

2022年施行!改正個人情報保護法がデジタルマーケティングに与える影響とは?

 前回の記事「2022年施行!改正個人情報保護法の重要ポイントを解説!」では、改正個人情報保護法のポイントのうち、デジタルマーケターにとって特に重要なポイント2つ「仮名加工情報」の新設、「個人関連情報の第三者提供に伴うルール」の新設について説明しました。

本記事では改正点がデジタルマーケティングの実務にどのような影響を与えるのかについて、具体的なケースを示しながら解説します。


1.個人情報保護法の改正ポイントについておさらい

 2022年4月に施行される改正個人情報保護法のポイントは下記の8つでした。

 ①個人データの利用停止が認められる事例
 ②個人データ漏洩時の報告・本人通知の義務化
 ③不適正利用の禁止、その事例
 ④認定団体制度の充実化
 ⑤安全管理措置に関する公表事項
 ⑥「仮名加工情報」の新設
 ⑦「個人関連情報」の新設
 ⑧越境移転における必要な措置

そして、改正点の中でも特に重要なのは、⑥「仮名加工情報」の新設⑦「個人関連情報」の新設でした。⑥によって企業内の個人データの利活用が促進され、⑦によって今まで個人情報保護法の規制の対象外だったCookie情報やIPアドレス、氏名と結びつかないWeb閲覧履歴なども今後は規制の対象となります。


2.デジタルマーケターが押さえておくべき改正法のポイント

今回の改正法において重要なポイントは上記の2点ですが、デジタルマーケティングにおいて最も重要なものは、⑦「個人関連情報」の新設に伴って追加されたルールです。これにより提供元では個人データに該当しないものの、提供先において個人データとなることが想定される個人関連情報の第三者提供について、原則として提供先が本人同意を取得し、提供元では同意が得られていること等の確認が義務付けされました。なぜなら、これによってCookie情報をはじめとした広告配信、トラッキングに広く活用されているデータの活用について、一部本人同意の取得が必要となるからです。

しかし、この文章だけでは具体的にどのようなケースにおいて本人同意を取得する必要があるのかイメージしづらいと思いますので、下記のチャートで同意取得の必要性を簡単に整理します。オレンジ色の箇所が今回の改正法で取扱いが変更になった点です。

まず企業が確認しなければならないことは、第三者に提供する情報が個人情報なのか、個人関連情報なのかというポイントです。個人情報に該当する場合は、今回の改正法によって取扱い方法が変わることはありません。個人関連情報であった場合は、そのデータが第三者提供先で保有する個人データと紐づけるかどうかを確認する必要があります。提供先で個人データ化する場合、消費者本人の同意取得が必要となります。ここで本人同意の取得の主体となるのは、原則としてデータの提供先です。

本人同意の取得方法には、下記の3つのパターンが認められております。近年、ウェブサイト訪問時にデータ活用に関するポップアップメッセージが起動する経験をされている方も多くいらっしゃると思いますが、ポップアップによる同意確認は③に該当します。また、会員登録や商品購入などの際に、個人情報保護方針やプライバシーポリシーを含めた利用規約にチェックして同意するという方法も③に該当します。

 ①本人から同意する旨を示した書面を受領する方法
 ②本人から同意する旨を示した電子メールを受領する方法
 ③本人に確認欄へのチェックを求める方法

前回の記事でも説明しましたが、注意点として、本人同意の取得は明示的に行われる必要があります。つまり、本人が拒否しない限り同意したとみなすオプトアウトのような手法や、ただ単にプライバシーポリシー上に必要な情報を開示しておくという従来の方法は、改正法ではNGとされています。

(出典)個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について
(個人関連情報)


3.法改正により本人同意の取得が必要になるケース

ポイントは、広告主側で収集した個人情報に対して個人関連情報を掛け合わせて活用しているか否か、となります。例えば広告主側で収集した顧客情報に対して、外部のウェブ閲覧履歴に基づいて推定した属性データを付与し広告配信やCRM施策を実行した場合、ユーザーに対して本人同意が必要なケースに該当します。

<例> DMPとのCookieデータのやりとり
 第一に、広告主などサイト保有企業がDMP等の外部ツールで収集したデータを広告配信やCRMに活用している場合が想定されます。

このケースにおいては、広告主などサイト保有企業がDMPを活用して広告配信施策/CRM施策などを行っている場合、DMP事業者はタグを企業サイトに設置し、Cookieデータを直接取得しています。そしてDMP事業者がCookieデータをサイト保有企業に対して提供し、サイト保有企業はそのデータを広告やCRMなどの様々な用途に活用するというデータの流れになります。

この例で、データの提供元、データの提供先、個人関連情報という3つのポイントを下記のように整理します。

 ・データの提供元:DMP事業者
 ・データの提供先:サイト保有企業
 ・個人関連情報に該当するもの:Cookie情報およびそれに基づいた属性推定データ

改正法に照らし合わせると、この場合データの提供先にあたるサイト保有企業が、本人同意を取得する主体となります。つまり、サイト保有企業は同意取得ポップアップや利用規約・プライバシーポリシーなどをユーザーに対して表示し本人同意を取得し、提供元のDMP事業者は、提供先事業者が本人同意を取得していることを確認しなければなりません。また、提供先・提供元ともに個人関連情報の授受が発生した内容を記録・保存しなければなりません。

※広告配信施策においてはDMPから受け取った情報が提供先の個人情報に紐づかないケース等もあるため、全てが同意取得が必要なケースに該当するわけではありません。


4.まとめ

 いかがでしたでしょうか。本記事では、個人情報保護法の改正点の中で、デジタルマーケティングに与える影響が最も大きいのは、個人関連情報を第三者提供に関する新たなルールであるという点と、具体的に想定されるケースを2つ紹介しました。

改正法は2022年4月1日から施行されますので、企業は早急に自社のデジタルマーケティング施策の洗い出し、本人同意の取得方法の検討を開始する必要があります。

博報堂DYグループでは、改正個人情報保護法への対応に関して「何からはじめたらよいかわからない」という企業の皆さまに対し、コンサルティングサービスの提供、及びCMPツールのご提案を行っております。本記事を読んで、自社の対策に対しての不明点、懸念事項などを感じられたご担当者の方がいらっしゃいましたら、ぜひお気軽にお問い合わせください。ご連絡をお待ちしております。

※本記事はDAC AD TECH BLOGより転載しました。

sending

この記事はいかがでしたか?

送信
  • 岩井 崇明(いわい たかあき)
    岩井 崇明(いわい たかあき)
    デジタル・アドバタイジング・コンソーシアム株式会社
    パートナービジネス本部 シニアマネージャー
    2009年DACに入社。運用型インターネット広告のコンサルタントを経て、2014年より自社データやアライアンスデータを用いた、広告商品・マーケティングサービスの企画開発に従事。2017年以降は、自社開発DMPであるAudienceOne®のデータを活用したマーケティング施策のプランニングや分析の支援業務を行う部門の責任者を務める。直近では、改正個人情報保護法対応や、それにともなう消費者同意取得プロセスのコンサルティング、およびポストクッキー対応の相談対応なども業務領域。
  • 上野 紗羅(うえの さら)
    上野 紗羅(うえの さら)
    デジタル・アドバタイジング・コンソーシアム株式会社
    パートナービジネス本部 第一ソリューションコンサルティング部 チームリーダー
    2016年DACに新卒入社。メディア担当として、LINEを4年担当したのち、Facebook/Instagram等の主要プラットフォームの担当を経る。2020年より、改正個人情報保護法対応や、それにともなう消費者同意取得プロセスのコンサルティング、およびポストクッキー対応の相談対応を担当。

関連記事