{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
DMPを活用したデジタル・マーケティングの法的課題 ― 個人情報保護法改正を踏まえて
2020-09-01
概要
近年、インターネット広告の分野は急激な成長を見せており、2019年における媒体別の広告費では、インターネット広告費が全体の約30%を占め、テレビメディア広告費を上回る金額となっています※1。このインターネット広告の成長を支えてきたのが、ユーザーの興味・関心などに応じて広告を配信するターゲティング広告と呼ばれる手法です。ターゲティング広告を行うために不可欠なのが、ユーザーデータです。
広告主が自ら保有するユーザーデータを用いてターゲティング広告を行う場合ももちろんありますが、広告主が保有するユーザーデータには、質・量の双方共に限界があります。そこで、広告主が保有するデータを拡張するのに一役買うのがパブリックDMP(Data Management Platform)です。DMPとは、ユーザーに関するデータの収集・蓄積・統合・分析を行うプラットフォームのことを指します。DMPはパブリックDMPとプライベートDMPに大別されますが、インターネット広告の分野におけるパブリックDMPは、ネットワークを通じて蓄積された広告主以外の第三者が保有するデータを統合・分析して、広告主に提供するサービスです。パブリックDMPは、さまざまな事業者からクッキーIDや広告IDに紐づく形で収集したユーザーデータを統合し、ユーザーがどのような興味・関心などを有するのかを精緻に分析し、広告主によるターゲティング広告の訴求力を高めることを可能とします。
パブリックDMPのインターネット広告の分野における存在感は近年増す一方ですが、それに伴い、ユーザーに関する膨大なデータの収集・統合・分析および提供がユーザーのプライバシーに与える悪影響も懸念されています。このような社会情勢を踏まえ、2020年6月に成立した改正個人情報保護法では、提供元にとって個人情報とは見なされない情報であっても、提供先が個人データとして取得することが想定される場合には、提供を制限する内容の規定が盛り込まれました。本稿では、パブリックDMPと広告主の間のデータのやり取りについて、個人情報保護法上ではどのように整理されるかを、上記の新たな規制が与える影響も含めて解説します。
パブリックDMPの活用事例
パブリックDMPのサービス内容はさまざまですが、本稿では、その典型例を題材にしたいと思います。この事例では、パブリックDMP事業者は各種のウェブメディアからクッキーIDに紐づけてユーザーデータを収集していますが、一般的なパブリックDMP事業者が通常そうであるように、ユーザー本人を識別することができる情報は保有していません。一方で、そのパブリックDMPを使う広告主は、ホテル予約サービスをウェブサイト上で提供する事業者で、顧客が当該サイト上で会員登録をした際に提供した氏名、住所、家族構成、年齢、購買履歴、Eメールアドレスなどの顧客データを保有し、顧客管理システムで管理していると想定しましょう。広告主は、ゴールデンウィークを前に、沖縄の宿泊施設に関するターゲティング広告を用いたキャンペーンを行いたいと考えているとします。
DMP事業者と広告主の間では、次のようにデータのやり取りが行われます。
- 顧客データの提供
広告主は、過去に沖縄の宿泊施設を利用したことのある顧客のデータをDMP事業者に提供します。具体的には、顧客管理システムで管理する顧客データから、顧客本人を識別できない粒度のデータ(例:年代、家族構成、居住する都道府県)を抽出し、これを広告主がユーザーごとに設定したクッキーIDと紐づけた形でDMP事業者に提供します(これを「顧客データの提供」と言います)。 - 抽出IDの提供
次に、DMP事業者は受け取った顧客データをクッキーシンクの手法により、自身がDMPで管理するユーザーデータ(ウェブメディアの閲覧履歴など)と統合し、沖縄旅行に行く人にどのような傾向が見られるかを分析します。DMP事業者はこの分析結果をもとに、自分がデータを保有しているユーザーの中から、沖縄旅行に興味がありそうな人のクッキーIDを抽出して、広告主に渡します(これを「抽出IDの提供」と言います)。
- 広告配信用IDの提供
広告主は、DMP事業者から提供を受けたクッキーIDをもとに、ユーザーに対して広告を配信します。広告配信の手段としては、広告配信事業者に依頼して行うインターネット広告の配信が考えられます。この場合には、広告主から広告配信事業者に対してクッキーIDが提供されることになります(これを「広告配信用IDの提供」と言います)。なお提供される情報は、厳密にはクッキーIDだけではありません。そのユーザーが沖縄旅行に興味を持っていそうだという評価・判断に関する情報も提供されることになります。
他方で、広告主がDMP事業者から提供を受けたクッキーIDと広告主が持っている顧客のクッキーIDを照合してみると、DMP事業者が沖縄旅行に興味がありそうだと判断したユーザーの中に、広告主の顧客が含まれていたことが分かるという場合があります。この場合、その顧客に対しては、例えば、顧客管理システムで管理する住所情報を用いてダイレクトメールを送付するといった広告手法も考えられます。
法的問題点の解説
ここからは、上記の事例で登場する(1)顧客データの提供、(2)抽出IDの提供、(3)広告配信用IDの提供、という3つのデータの流れについて、個人情報保護法上の問題点を検討してみます。
顧客データの提供
個人情報保護法上、個人データの第三者提供を行うにあたっては、原則として本人の事前同意が必要です(同法23条1項)。上記の事例においては、広告主からDMP事業者に提供される顧客データは、それ単体では特定の個人を識別できる情報ではありません。しかし、広告主、つまり提供元においては氏名などと紐づくことによって特定の個人を識別することができる情報ですので、個人データに該当し、その提供にあたっては、原則として顧客本人の事前同意が必要となります(提供元基準説)。
もっとも、これには例外があり、個人データの取り扱いを利用目的の達成に必要な範囲内で委託することに伴って当該個人データが提供される場合には、本人の事前同意は不要となります。
したがって、DMP事業者が、広告主から提供を受けた顧客データについて、広告主からの受託業務(すなわち、顧客データを自身が保有するユーザーデータと統合し、分析する業務)を遂行する目的でのみ利用するのであれば、顧客データの提供について顧客本人の事前同意は必要ありません。
広告主としては、DMP事業者への顧客データの提供を「委託」に伴う提供であると整理し、顧客本人の同意を得ずに行うためには、DMP事業者との契約において、DMP事業者による個人データの目的外利用を明確に禁じておく必要があります。なお、広告主は委託元として、DMP事業者が提供を受けた顧客データの安全管理を図るよう、適切な監督を行う義務を負うことになります。
抽出IDの提供
事例において、DMP事業者から広告主に提供されるクッキーIDは、それ単体では特定の個人を識別できる情報ではありません。また、提供元たるDMP事業者においては、特定の個人を識別できる情報は保有していないため、容易に照合できる他の情報と紐づくことによって特定の個人が識別されることもありません。そのため、現行個人情報保護法における「提供元基準説」を前提とした場合、抽出IDの提供は「個人データ」の第三者提供には該当せず、本人の事前同意は不要という結論になります。
しかしながら、改正個人情報保護法26条の2においては、従来の「提供元基準説」を修正する、新たなルールが定められました。この新ルールでは、生存する個人に関する情報であって「個人情報」などに該当しないものが「個人関連情報」と定義されており、提供先が個人関連情報を「個人データとして取得すること」が「想定」される時は、提供元は、当該個人関連情報を提供する前に、本人から同意が得られていることを確認しなければならないとされています。
例えば上の事例で、広告主がDMP事業者から提供を受けた抽出IDを用いて、自らの顧客にダイレクトメールを送付するような場合においては、提供元たるDMP事業者においては個人関連情報に過ぎない抽出IDが、提供先たる広告主においては個人データである顧客管理システム内の情報(氏名、住所など)と紐づけられることになります。これはまさしく、提供先が個人関連情報を「個人データとして取得すること」が「想定」されるケースに該当するはずですから、DMP事業者は、抽出IDの提供に先立ち、ユーザー本人の同意が得られていることを確認する必要があると思われます。
他方で、抽出IDを用いたインターネット広告の配信が広告配信事業者を介して行われる場合で、広告主が抽出IDを自身が保有する顧客データ(氏名など)と紐づけることを予定していないようなときに、一定の条件を満たすことで「個人データとして取得すること」が「想定」されていないと整理し得るのかは、まだはっきりしないところです。
広告配信用IDの提供
広告主から広告配信事業者への広告配信用IDの提供についても、広告配信事業者が広告主からの受託業務(すなわち、広告主のサービスに関してターゲティング広告を配信する業務)を遂行する目的でのみ利用し、その他の目的での利用を行わないのであれば、「委託」に伴う個人データの提供と整理され、ユーザーからの事前同意の取得は不要となります。
広告主としては、ユーザー本人の同意を得ずに行うためには、広告配信事業者との契約において、広告配信事業者による個人データの目的外利用を明確に禁止しておく必要があります。広告主は委託元として、広告配信事業者におけるデータの安全管理が図られるよう、適切な監督を行う義務も負うこととなります。
まとめ
パブリックDMPを活用したデジタル・マーケティングにおける施策が、個人情報保護法上のどのような規制の対象となるかは、具体的な条件次第でさまざまです。また、個人関連情報の提供規制についても、今後定められる個人情報保護委員会規則などに、細かいルールの策定が委ねられています。そのため、実際にパブリックDMPを活用したデジタル・マーケティングを実施するにあたっては、各サービスの内容を正確に把握した上で、専門家に相談するなどして、慎重に検討する必要があるでしょう。
サイバーセキュリティニュースレター
著者
鈴木 翔平
TMI総合法律事務所弁護士
森田 祐行
TMI総合法律事務所弁護士, TMIプライバシー&セキュリティコンサルティング株式会社執行役員
平岩 久人
パートナー, PwCあらた有限責任監査法人
篠宮 輝
マネージャー, PwCコンサルティング合同会社
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
