2022年4月、改正個人情報保護法が施行されました。今回の法律改正はデジタルマーケティング業界にとっては潮目が変わる大きな規制の始まりと言えるでしょう。というのも、これまで当たり前のように使われてきたクッキーに関する明確な規制が入ったためです。これにより、クッキーは「個人関連情報」という扱いになり、事業者がクッキーを使う際は事前の同意が必要になるなど、プライバシーポリシーにおいて重要な転換点となります。
では、クッキーが今回の改正法によって適用される「個人関連情報」とは何かについて解説していきます。
コンテンツ
個人関連情報とは?
まず法律内での定義を見ていきましょう。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーー
個人関連情報とは
“生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。(2020年改正個人情報保護法第26条の2第1項)”
ーーーーーーーーーーーーーーーーーーーーーーーーーーーー
ちょっと難しいので、簡潔にまとめると「個人を容易に特定できる可能性のある、個人に関連した情報」ということになります。つまり、その情報単体では個人情報ではないけれど、個人情報と紐づける・照合することで個人を特定でき得るのが個人関連情報ということになります。
クッキーなどの規制が念頭に作られている
こうした法律改正が施行された背景には、DMPやターゲティング広告などで使われるクッキーの存在が念頭にあります。
というのも、この改正法では、以下のように論点が整理されています。
ーーーーーーーーーーーーーーーーーー
個人関連情報取扱事業者が、提供先が個人関連情報を個人データとして取得することが想定されるときは、あらかじめ当該個人関連情報に係る本人の同意等が得られていることを確認しないで、当該個人関連情報を提供してはならないこととするもの
(個人情報保護委員会:改正法に関連するガイドライン等の整備に向けた論点について)
ーーーーーーーーーーーーーーーーーー
通常デジタルマーケティングにおいては、外部のベンダーの協力をもとにあらゆるユーザープロファイルを作っていきます。例えば顧客のIDやクッキー情報をベンダーに渡して、ベンダーはその情報をもとに購買履歴情報などを照合し、事業者に戻します。これによりさまざまなユーザー情報が付加され、リッチなユーザープロファイリングデータが出来上がります。このデータをもとにレコメンデーションをしたりリターゲティング広告を配信するなどしてパーソナライゼーションアプローチを深めます。
こうしたアプローチは通常いままでは個人情報として扱われずに行われていましたが、この改正法によって、IDやクッキー情報、つまり顧客照合の紐付けに使われる情報を「個人関連情報」として定義し、そこに規制を付けたのが今回の改正法のポイントです。
参照:(個人情報保護委員会:改正法に関連するガイドライン等の整備に向けた論点について)
GDPRではクッキーそのものが個人情報
個人関連情報として通常定義されるのは、クッキー(Cookie)、IPアドレス、端末固有のID、位置情報、閲覧情報、購買情報などです。その情報単体では個人情報ではないものの、個人の識別情報と照合することで容易に個人を特定できてしまう可能性があるため、「関連」という言葉がついています。
ちなみにヨーロッパですでに施行されている「一般データ保護規則(General Data Protection Regulation)」通称GDPRにおいては、こうしたデータはすべて個人情報として明確に規制対象となります。
そのため、もしこのGDPRが適用されるヨーロッパ諸国にユーザーがいる場合は、このGDPR法が適用されることがあるため、日本の法律だけでなく、GDPRにも準拠した運用が必要になります。越境ECなどを運用している事業者は特に注意が必要です。
クッキーに依存しない技術に注目
こうしたクッキー規制は今後も強化されていく可能性が高く、事業者はクッキーに依存しない代替技術を検討していかなければいけません。awoo Japanが提供するAIマーケティングソリューション「awoo AI」は、PDP (Product Data Platform)という新たな概念によって、クッキーに依存しない新たなレコメンデーションツールとして注目されています。
▼詳しい内容はこちらをご覧ください
https://www.awoo.ai/ja/solutions/#1
製品資料
awoo AIはawoo Japanが提供するPDP (Product Data Platform)です。
製品資料は下記よりダウンロードできます。