記事一覧へ
改正個人情報保護法が2022年に施行、デジタルマーケティング及ぼす影響
ひとことで言えば、改正個人情報保護法により規制が厳しくなります。その背景のひとつには「リクナビ事件」があります。
リクナビ事件とは
求人情報サイト「リクナビ」を運営する株式会社リクルートキャリアは、個人情報である氏名の代わりにCookieで突合し、特定の個人を識別しないとする方式で内定辞退率を算出し、学生から第三者提供に係る同意を得ずにこれを利用企業に提供していました。
リクルートキャリアは、Cookie・ID等と氏名を突合することで内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避していました。
企業が「内定を出した学生が他社に決め、内定を辞退する」という状況を避けるための情報を貴重としており、リクルートキャリアは学生の承諾なしに企業に個人情報を提供していたことになります。
このことは、違法ではないものの、法の趣旨を潜脱した極めて不適切なサービスとされ、今回の改正に大きな影響を及ぼしました。
改正のポイントと規制事項
改正個人情報保護26条では、それ単体では個人情報ではない(氏名と結びついていないインターネットの閲覧履歴、位置情報、Cookie情報等)を「提供先」に提供する場合において、「提供先」が個人関連情報を個人データとして取得することが想定される場合は、当該「個人関連情報取扱事業者」は、「提供先」においてあらかじめ当該「個人関連情報」に係る本人の同意等が得られていることを確認し、この記録を作成・保存する必要があるとの規制が新たに設けられます。
つまり、本人を特定できる可能性がある個人関連情報として、今まで個人情報として扱われていなかったものが規制されました。これまで、ネット上の閲覧、購買履歴、位置情報などは規制外でした。
そのため、リクナビの件も違法ではありませんでしたが、改正により本人の承諾なく利用することはできなくなります。
Cookie バナーは提供にならない(規制がある)
Cookieバナーであれば「第三者提供」になりません。しかし、欧米の場合は異なります。
Webサイトを訪れた閲覧者に対して、「Cookieを承諾しますか?」というボタンを表示しなくてはなりません。ユーザーの同意を得なければCookie情報を取得できないよう規制されています。
Cookieに関する規制
ヨーロッパ:同意ありきで制定される
アメリカ(カルフォルニア州):同意ありき
日本:提供しないと規制にならない
クッキーの規制に関してより詳しく知りたい方はこちら:
デジタルマーケティングとして各企業が個人情報を取得する際に注意すること
ECサイトなどを運営する企業のマーケターは、メールマガジンを送るためにメールアドレスを取得したり、アカウント認証を行ったりすることにより、プライベートDMP、MAツール、ウェブアクセス解析などのツールを活用し、閲覧情報、購入情報などを取得、分析することがあると思います。
これらのツールで取得するデータは、その取扱が規制の対象となる場合があり、以下の対応が必要です。
利用目的の特定・通知(公表)
通知(公表)した目的以外に利用しないこと
通知(公表)した目的以外に利用する場合、本人の同意を取得すること
第三者に提供する場合、原則として本人の同意を取得すること
安全管理措置を講じ、従業員・委託先を適切に監督すること
このような状況をあらかじめ想定し、Webサイトで個人情報を取得する場合は、サイト全体を通して行っている個人情報の取扱全体について利用者に対して適切な情報提供をするなど、配慮することが必要です。
改正個人情報保護法2022年の内容を理解し、対策へ
個人情報に関するデータの収集・分析が進み、顧客一人ひとりに合わせた新たなサービスが提供される一方で、個人が自分の情報を完全にコントロールすることができなくなるおそれが生まれています。
そのため、個人情報保護法は個人情報を取扱う企業に対する規律を設けており、令和2年改正もその方針に則ったものといえます。
今回の改正においては、個人情報保護法に違反した場合の罰金の法定刑が引き上げられるなどの改正もなされていますが、それ以上に避けたいのは、リクナビ事件のように勧告等の内容が公表されることによるレピュテーションリスクです。
「知らなかった」では済まされないため、今回の改正の内容をしっかり理解したうえで、個人情報の収集や利用などに関しては法令違反になるおそれがないか、十分に注意しましょう。
クッキー規制後のマーケティングについてはこちら:ポストクッキー時代の広告戦略は?マーケターが知るべき代替ソリューションとは
+81 03 6892 4177
