「マーケッターが知っておくべき改正個人情報保護法の衝撃」2015年7月28日開催 月例セミナー 第1部 イベント報告
- 掲載日:2015年9月30日(水)
2016年末に全面施行が予定されている「改正個人情報保護法」は、2016年1月に施行されるマイナンバー制度とともに、企業のマーケティング部門にとって重要な法案となる。個人情報やビッグデータ利活用の範囲が変化する可能性があるからだ。
「消費者とよりよい関係性を築くために~個人情報保護のリスク対策~」と題されたWeb広告委員会の7月月例セミナーでは、改正個人情報保護法の動きについて解説するとともに、実際に個人情報を扱っている企業の担当者によるパネルディスカッションが行われた。
改正個人情報保護法の5つのポイント
Web広告研究会
Big Data研究委員会副委員長
橋本 紀子氏(日本ユニシス株式会社)
Web広告研究会 Big Data研究委員会 副委員長の橋本紀子氏(日本ユニシス)は、まず「改正個人情報保護法は、確定していない部分もまだまだあることを了承してほしい。私は法律家ではないので、現場レベルでどのような点に気を付けていただきたいかを話していきたい」と話し、解説を始める。
個人情報保護法の改正案は、2015年5月21日に衆議院を通過しているが、その後もさまざまな議論が行われている。国、地方行政、企業によって思惑や活用の方向性が異なり、さらに消費者団体の思惑もあって、意見がまとまっていないのが現状だ。しかし、現在の個人情報保護法は10年前に施行されたもので、今のITやシステムの現状に則していない。10年間でさまざまなデータが生まれ、それらのデータにさまざまな個人情報が含まれているため、個人情報保護法の改正は重要な法改正となる。
「個人情報保護法には5つのポイントがあり、これまでグレーゾーンだったCookieや位置情報のデータなどの扱いを明確化し、企業がビッグデータを活用するためにどうすればよいのかを定めるために改正を行おうとしている」(橋本氏)
個人情報保護法の改正の目的とポイント
上記以外のポイントとして、オプトアウト規定の見直しも行われている。例として、マーケティング調査などを目的とした、本人の同意を得ない「第三者提供」には個人情報保護委員会への届出が義務化され、利用目的の変更を本人に許諾してもらわなければならないことを橋本氏は挙げている。
個人情報の定義での「特定」と「識別」の違い
個人情報の定義の明確化について話を進める橋本氏は、個人データや保有個人データについては、現在の個人情報保護法とは変わりがないと説明する。しかし、新たに「個人識別符号」が定められ、指紋データや顔認識データなどの身体的特徴のデータ、旅券番号や免許証番号などの公的なデータ、会員番号や顧客ID、Cookieなどの企業が利用するデータがこれに含まれている点が、現在の個人情報保護法と大きく異なるという。
個人情報の定義の拡充
なお、電話番号を個人情報とするかどうかについては二転三転しており、全面施行の際にどうなるかを注目する必要があるという。また、位置情報や購買履歴など、他の情報と容易に照合することができて、特定の個人を識別できるものも個人情報とみなされる。
「個人情報の定義に個人識別符号を含め、識別非特定情報でプライバシー侵害リスクを減らそうとしている」と話す橋本氏は、「特定」と「識別」の違いについて話を進める。
「“特定”は、私がユニシスの橋本で何歳であるかがわかり、個人がだれかわかること。これに対して“識別”は、だれかはわからないが、複数の候補ではなく、1人であることがわかること」(橋本氏)
個人情報にかかわるデータは、「非識別非特定情報」「識別非特定情報」「識別特定情報」の3つに分けられ、改正個人情報保護法では、識別非特定情報と識別特定情報の侵害リスクを減らそうとしている。
・非識別非特定情報:1人ひとりが識別されない(かつ個人が特定されない)状態の情報
・識別非特定情報:1人ひとりは識別されるが、個人が特定されない状態の情報
・識別特定情報:個人情報
しかし、データごとにカテゴリを決めて規制しても、データを組み合わせることによって、個人を特定されてしまうリスクがあり、「改正個人情報保護法を遵守しても、使い方や組み合わせ方を意識しないとプライバシー侵害になってしまうことに留意してほしい」と橋本氏は指摘する。
情報収集における本人の意思確認を明確にする
続いて、個人情報を含むデータを活用するためには、さまざまな課題やリスクを認識して、対応する必要があると説明する橋本氏は、「収集」「活用」「保管」それぞれの注意点について解説する。
個人情報を含むデータ活用のために
個人情報を含むデータを収集する際には、本人の意思確認のためにさまざまな項目について通知を行う必要がある。しかし、橋本氏が実際にさまざまな企業のWebページを見ていると、サービスの概要や取得・利用主体、個人識別可能情報、取得理由などは明記されていても、保存期間・廃棄に関する記述がない場合が多く、「本人の申し出がない限り、取得した情報を利用できることを明記すべき」だと説明する。
また、さまざまな項目を列記するのは非常に煩雑であるため、経済産業省の「消費者向けオンラインサービスにおける通知と同意・選択 に関するガイドライン」にあるように、必要な項目を表形式でわかりやすく示すことが有効だ。どのような情報が保管され、どの情報をオプトアウトできるかなど、URLを記載してリンクすることもできる。
消費者本人の意思確認のための全項目通知
利用目的にとらわれない匿名加工情報
情報活用については、これまで通り、自社内の情報を収集した事業部のみで活用するならほぼ問題ないが、改正個人情報保護法では情報を「匿名加工情報」にすることで、異なる事業部が他の目的で利用できる。
匿名加工情報では、収集した個人情報が匿名になるように加工し、他の事業部に渡す際にはデータが匿名加工情報であることを明示しなければならない。匿名加工情報を渡された他の事業部は、さらに他の事業部に匿名加工情報であることを明示したうえで渡すことも可能だ。なお、削除した情報とひもづけて、匿名加工情報を加工前の個人情報に戻したり、他の情報と照合することは法律で禁じられている。
匿名加工情報
情報の加工手法については、個人情報保護委員会で検討されており、「第5回 パーソナルデータに関する検討会 議事次第」の資料2-1「技術検討ワーキンググループ報告書(佐藤委員提出資料)」の「表4. 識別非特定情報・非識別非特定情報に加工する技術の代表的な技法例」(P.30)などの手法が考えられている。
識別非特定情報・非識別非特定情報に加工する代表的技法例
同資料では、米国のマサチューセッツ州が医療情報から氏名などを削除して公開した情報に対し、すでに公開されている他の情報と突き合わせることによって、州知事の医療情報だと特定した事例なども紹介されている。この事例では、氏名を削除した医療データと、投票者名簿を照合し、生年月日・性別・郵便番号で絞り込んでいった結果、州知事だと特定された。一部の情報を削除しただけでは個人を特定されやすいため、可能な限り情報データを減らすことが重要になる。
また、改正個人情報保護法では、たとえば、カード会社が加盟店の要望(地域、年齢層、利用店舗、利用履歴など)に応じて分析リストを提供し、加盟店が定めたDM対象者の抽出条件をもとに、DMをカード会社が発送することもできる。ただし、加盟店は提供された分析リストを自社の顧客データと照合することは禁止されている。DM発送対象者の店舗利用状況などをカード会社が加盟店に報告してしまうと、件数が少ない場合は加盟店のPOSデータなどですぐに個人が特定されてしまうという課題もある。
カード会社は、個人情報保護法だけでなく金融業関連の法律にも縛られるため、これらが個人情報保護法の改正にどのような影響を与えるかにも注目していかなければならない。さらに、広告代理店を介してカード会社と加盟店がデータエクスチェンジした場合、双方のデータを広告代理店が照合することになるので、禁止行為になるという。ただし、加盟店が広告代理店に対して、(データエクスチェンジではなく)広告配信やDM配信を委託した場合は、改正個人情報保護法では禁止行為にならない可能性もあると橋本氏は説明する。
情報活用の事例(条件付で認められる場合)
情報活用の事例(データ突合で識別が起こる場合)
情報活用への同意を明確にする
情報の保管では、CRMなどの顧客管理マスターにメールや電話の可否以外に、第三者配信などの情報活用の同意状況を含める必要が出てくる。同意状況も、「明示的同意」「暗黙的同意」「不同意」「未確認」の4つの状況に分ける必要があり、グローバルでは国ごとにそれらを管理するため、レコードが増えることに注意が必要だと橋本氏は説明する。
明示的同意とは、たとえばDMの可否について「希望する/しない」のどちらかをチェックするようにした場合で、暗示的同意は「DMを送らない場合はチェックする」といった場合だ。明示的同意は本人の意思で選んでいるとみなされるが、暗黙的同意は本人の意思ではない可能性があるため、今後は区別する必要がある。
確定している範囲で早期対策を進める
「個人情報漏えいが非常に多くなってきており、海外も含めれば、情報漏えいのニュースを毎日耳にしている」と話す橋本氏は、改正個人情報保護法では、CPO(Chief Privacy Officer)の必要性が議論されていると説明する。設置の義務化までには至っていないが、全面施行までに義務化が明記される可能性もあり、各事業部に個人情報責任者を置き、そのまとめ役として役員クラスのCPOが必要になってくるのだ。
また、個人情報の取り扱いや不正アクセスの届出などについては、独立行政法人情報処理推進機構(IPA)に情報があるので、参考にしてほしいと橋本氏は話す。
講演の最後、橋本氏は改正個人情報保護法の施行スケジュールを示し、次のように話す。
「2015年9月に可決されると言われているが、マイナンバー制度との絡みもあり、課題も多いので、なかなか議論は進んでいない。しかし、可決が遅れても、国としては2016年12月には改正個人情報保護法を全面施行したいという意向なので、わかる範囲や確定している範囲で早めの取り組みを行い、Webページの改善などを行ってほしい」(橋本氏)
改正個情報保護法の施行スケジュール(案)
(C)2015 Web Advertising Bureau. All rights reserved.
※このコンテンツを利用して直接の対価を得るのでなければ自由に利用いただいてかまいません。
この作品は クリエイティブ・コモンズ 表示 - 非営利 - 継承 2.1 日本 ライセンスの下に提供されています。