サードパーティデータはもう使えない!?　GDPRのその先、個人情報の未来

日本でも個人情報保護は、マーケティング領域だけではなく社会全体の重要課題になっています。今日のテーマのGDPRは、EU（欧州連合）の法律として2018年5月25日に施行されました。まずGDPRの概略を説明してもらえますか。

EUでは1995年に「EUデータ保護指令」が発効され、個人情報が保護されない第三国への個人情報移転が禁止されました。日本の個人情報保護の法整備は、EUを含む欧米の先んじた動きに追随した側面もあります。それから約20年。様々なことがオンライン完結で進み、EU市民のデータが世界中でコピーして使われる社会になっていることから、データ保護と人権強化のための新しい規制が必要になりました。それがGDPRです。正確にはEUプラス３カ国のEEA（欧州経済領域）が法制定に参加しています。特徴を端的に言うと、域内に事業拠点がない事業者に対しても域外移転を厳しく規制していることです。域外移転は原則禁止で、可能なのはEUが認める国のみ。仮に認められてもより強化された「プライバシー・バイ・デザイン」「オプトイン原則※１」等が求められ、罰則も厳しくなっています。

日本企業にはどんな影響があるのでしょうか。

英語サイトを展開し越境データを扱うなら規制対象になる可能性が出てきます。当面の域外事業者への影響は、Google、amazonといったアメリカのプラットフォーマーの方が大きいですね。

EC（電子商取引）ではなく直接物を輸出する場合はどうでしょうか。例えばEU域内の人が日本の農作物をおいしいと思い、ある農家にじゃがいもを送ってほしいと注文したとします。その場合でも適用になるのですか。

インターネットかどうかは関係なく、事業者がEU市民である客の住所や氏名を聞いていれば対象になります。

では例えば、私のサイトでGoogleアナリティクスを使って閲覧者のトラッキングを解析してもだめなのでしょうか。

事業者なら閲覧者の承認を得ないと問題になりかねません。オプトイン原則の範囲が広がっているのもGDPRの特徴です。固有のIPアドレスのトラッキング情報も個人情報になるので、これは今後大きな問題になるリスクをはらんでいます。「個人情報の取得と活用」は、原則対象の個人から同意を得られれば問題がありません。また、「越境データ」の取得については、日本が国として十分性認定をとれていれば、企業が個別にその点において対応する必要はなくなります。

国として、ということですか。

そのとおりですが、まだ日本政府はEUと交渉の最中です。なので、例えば楽天は企業としてBCR （Binding Corporate Rules）という世界水準のプライバシー保護基準を導入して対応しています。認定をとることで、データ移行（越境）ができるようになります。

自由に個人情報を持ち出して管理していいと？

いいえ、そこは「データの越境」と「個人情報の取得利用」を別に考えてほしいですね。EU市民の個人のデータは明示的な同意を得なければ取得できません。サードパーティクッキー※２を利用して収集したデータに関しても同様。同意なしに集めてはいけません。ブラウザ自体がオプトインの選択に踏み込むかどうかはまだ決まっていませんが、例えばクリテオ（フランスのインターネット広告配信事業会社）は、トラッキングに同意を得るためのポップアップタグを出す対応をしています。

一般の日本人が生活者として何か気を付けることはありますか。

生活者はどんな企業がどういうデータを収集しているのか認識する必要があると思います。EUの生活者の方がプライバシー保護意識は高いと感じます。

その違いはなぜでしょう。

第二次世界大戦時、ナチス・ドイツによって、ユダヤ人などの情報がカードカタログに登録・管理され、ホロコーストに利用されたといいます。大戦時、このようなことが二度と起きないよう、1950年代に「人権と基本的自由の保護のための条約（欧州人権条約）」が制定され、その中で初めてプライバシーの保護が人権として明記されました。そういう背景もあり、デジタル社会において、人権の重要性が増し、欧州市民の意識も高くなっているのではないでしょうか。

ヨーロッパは陸続きに隣接しているので、リスクに対しては個人で一定のバリアを張り、個人情報は自分で管理するのがベストという意識が強いようです。そういう背景があるので、GDPRが国民から理解されやすい。アメリカの巨大IT企業に勝手に使われては我慢ならないという思いもあいまって、それがベリミ（Verimi）のようなサービスの登場にもつながっているのかもしれませんね。

そうですね。ベリミはドイツの銀行、保険会社、自動車メーカー、航空会社等の大手９社が参加した業界横断型の連合です。連合各社のサイトのログインを一元化し、ユーザーは共通のセキュリティ設定とパスワードを利用できます。ユーザーは登録した共通のデータを自ら使われ方も含めてコントロールでき、サイトの入口で延々と続くアカウント管理プロセスを省略できるので利便性も高い。個人のプライバシー保護を優先する、GDPRに対応する取り組みと言えます。

日本企業への影響についての話に戻りましょう。ここからが最も重要です。今般のGDPR施行、先日あったFacebookのデータ流出問題等、今世界で起こっているデジタル社会を取り巻く動きに対して、やはり日本も対岸の火事として見ていてはいられない状況でしょうか。

デジタル社会においては国境は存在せず、GDPRにおいてクッキーなどが個人データに含まれている以上、日本においてもサードパーティデータを提供する側は、広告主に対してきちんとそのデータがユーザーの明示的同意によって収集したものであることを説明しないといけないですね。Facebookは流用問題を機に、サードパーティデータを使ったターゲティングサービスを終了しました。広告主側は今後、利用するデータの出所などの“データサプライチェーン”を強く意識する必要があります。

出所がわからないデータを使ったマーケティングは、日本でも今後できなくなります。そうなると経営が行き詰まるアドテクベンダーが出てきます。グレーゾーンでビジネスをしていると、個人からの同意はとりにくいですから。そうなるとパブリッシャーも厳しくなります。ところで広告主も含めて様々な関係者の中で、法令順守の責任が最も重いのは誰なのですか。

まずはアドテクベンダーが媒体・メディア側であるパブリッシャーに対して、ユーザーからどのようなデータを、どのような目的に収集するのかを明確に説明する義務があります。説明せずに問題のあるデータを使っていればベンダーに責任があります。一方で、パブリッシャーはそれをユーザーに説明した上で、ユーザーから同意を得たデータについてどのベンダーに提供するのかを管理する必要があります。つまり現状では責任の所在は、個別の契約やビジネススキームによります。パブリッシャーにとってはこのユーザー向けやベンダー向けの管理が重要なため、同意管理プロバイダー （Consent Management Provider; CMP）と呼ばれるツールが登場してきています。

そうなるとファーストパーティデータを持っていると強いですよね。例えばクラブパナソニックには800万人以上の会員がいます。Kao PLAZAや日経電子版会員も相当数になります。今後、企業は自分たちで個人情報の同意を得て集めた方がいいと思います。これからは個人情報を持たないリスクを考えないといけないのでは？ 持つリスクって、情報漏洩リスクくらいではないですか。

そうですが、セキュリティに膨大な資金が必要です。大企業はともかく、中小企業は持たずに必要なときに最小限の個人情報のみを入手して、使った後はすぐに消去するようなやり方を考えてもいいでしょうね。

政府がマーケティングに限らず、医療や生活支援全般でも使える情報銀行のようなプラットフォームを作ればいいですね。政府に限らず、こうした規制強化をチャンスに変える動きが出てきてもいいと思います。最後にこれだけは言いたいことはありますか。

現行の日本のルールでは、トラッキング情報の規制は個人情報保護の範囲外で議論もされていない状況ですが、法案は３年ごとに改正の検討をしています。欧米の動きを見て、今後の改正では議論が進む可能性があるので、そうなることを想定して今から準備が必要です。

きちんと対応していない事業者は排除される時代がくるかもしれませんね。ただ、これだけなりすまし広告や犯罪まがいのスパムにビクビクするIT社会は健全ではありません。デジタルマーケティングの信頼性を高めていくためにも、日本でも規制は強化されていくべきかもしれません。