2018.05.31

テクノロジーの進化がもたらす未来へ(第一回)

サードパーティデータはもう使えない!? GDPRのその先、個人情報の未来

対談:
株式会社インテージ 伊藤直之氏
株式会社電通デジタル客員エグゼクティブコンサルタント 有園雄一氏

昨今、Facebookの大規模な個人情報流出が問題となり、世界的にも「個人情報保護」に大きな関心が集まっています。生活者の日常に浸透しながら進化するデジタルマーケティングの領域においても、本格的なIoT時代が近づく今、個人情報保護規制に関しては無視することはできないのではないでしょうか。
そして2018年5月のトピックはGDPR(General Data Protection Regulation)の施行。EU域内の市民の保護を対象とした法律ですが、日本企業にも影響があるのでしょうか。
一般社団法人データ流通推進協議会の理事も務める株式会社インテージの伊藤直之氏に、株式会社電通デジタルの客員エグゼクティブコンサルタントの有園雄一氏がお話を伺いました。

GDPRではトラッキング情報も規制適用

有園

日本でも個人情報保護は、マーケティング領域だけではなく社会全体の重要課題になっています。今日のテーマのGDPRは、EU(欧州連合)の法律として2018年5月25日に施行されました。まずGDPRの概略を説明してもらえますか。

株式会社インテージ 伊藤直之氏
株式会社インテージ 伊藤直之氏
伊藤

EUでは1995年に「EUデータ保護指令」が発効され、個人情報が保護されない第三国への個人情報移転が禁止されました。日本の個人情報保護の法整備は、EUを含む欧米の先んじた動きに追随した側面もあります。それから約20年。様々なことがオンライン完結で進み、EU市民のデータが世界中でコピーして使われる社会になっていることから、データ保護と人権強化のための新しい規制が必要になりました。それがGDPRです。正確にはEUプラス3カ国のEEA(欧州経済領域)が法制定に参加しています。特徴を端的に言うと、域内に事業拠点がない事業者に対しても域外移転を厳しく規制していることです。域外移転は原則禁止で、可能なのはEUが認める国のみ。仮に認められてもより強化された「プライバシー・バイ・デザイン」「オプトイン原則※1」等が求められ、罰則も厳しくなっています。

株式会社電通デジタル客員エグゼクティブコンサルタント 有園雄一さん
有園

日本企業にはどんな影響があるのでしょうか。

伊藤

英語サイトを展開し越境データを扱うなら規制対象になる可能性が出てきます。当面の域外事業者への影響は、Google、amazonといったアメリカのプラットフォーマーの方が大きいですね。

有園

EC(電子商取引)ではなく直接物を輸出する場合はどうでしょうか。例えばEU域内の人が日本の農作物をおいしいと思い、ある農家にじゃがいもを送ってほしいと注文したとします。その場合でも適用になるのですか。

伊藤

インターネットかどうかは関係なく、事業者がEU市民である客の住所や氏名を聞いていれば対象になります。

有園

では例えば、私のサイトでGoogleアナリティクスを使って閲覧者のトラッキングを解析してもだめなのでしょうか。

伊藤

事業者なら閲覧者の承認を得ないと問題になりかねません。オプトイン原則の範囲が広がっているのもGDPRの特徴です。固有のIPアドレスのトラッキング情報も個人情報になるので、これは今後大きな問題になるリスクをはらんでいます。「個人情報の取得と活用」は、原則対象の個人から同意を得られれば問題がありません。また、「越境データ」の取得については、日本が国として十分性認定をとれていれば、企業が個別にその点において対応する必要はなくなります。

有園

国として、ということですか。

伊藤

そのとおりですが、まだ日本政府はEUと交渉の最中です。なので、例えば楽天は企業としてBCR (Binding Corporate Rules)という世界水準のプライバシー保護基準を導入して対応しています。認定をとることで、データ移行(越境)ができるようになります。

有園

自由に個人情報を持ち出して管理していいと?

伊藤

いいえ、そこは「データの越境」と「個人情報の取得利用」を別に考えてほしいですね。EU市民の個人のデータは明示的な同意を得なければ取得できません。サードパーティクッキー※2を利用して収集したデータに関しても同様。同意なしに集めてはいけません。ブラウザ自体がオプトインの選択に踏み込むかどうかはまだ決まっていませんが、例えばクリテオ(フランスのインターネット広告配信事業会社)は、トラッキングに同意を得るためのポップアップタグを出す対応をしています。

プライバシー保護意識が高いEUの生活者

有園

一般の日本人が生活者として何か気を付けることはありますか。

伊藤

生活者はどんな企業がどういうデータを収集しているのか認識する必要があると思います。EUの生活者の方がプライバシー保護意識は高いと感じます。

有園

その違いはなぜでしょう。

伊藤

第二次世界大戦時、ナチス・ドイツによって、ユダヤ人などの情報がカードカタログに登録・管理され、ホロコーストに利用されたといいます。大戦時、このようなことが二度と起きないよう、1950年代に「人権と基本的自由の保護のための条約(欧州人権条約)」が制定され、その中で初めてプライバシーの保護が人権として明記されました。そういう背景もあり、デジタル社会において、人権の重要性が増し、欧州市民の意識も高くなっているのではないでしょうか。

有園

ヨーロッパは陸続きに隣接しているので、リスクに対しては個人で一定のバリアを張り、個人情報は自分で管理するのがベストという意識が強いようです。そういう背景があるので、GDPRが国民から理解されやすい。アメリカの巨大IT企業に勝手に使われては我慢ならないという思いもあいまって、それがベリミ(Verimi)のようなサービスの登場にもつながっているのかもしれませんね。

ベリミ
複数企業が連携してデータを管理する「ベリミ」
伊藤

そうですね。ベリミはドイツの銀行、保険会社、自動車メーカー、航空会社等の大手9社が参加した業界横断型の連合です。連合各社のサイトのログインを一元化し、ユーザーは共通のセキュリティ設定とパスワードを利用できます。ユーザーは登録した共通のデータを自ら使われ方も含めてコントロールでき、サイトの入口で延々と続くアカウント管理プロセスを省略できるので利便性も高い。個人のプライバシー保護を優先する、GDPRに対応する取り組みと言えます。

日本も対岸の火事ではない、GDPR施行を契機に

有園

日本企業への影響についての話に戻りましょう。ここからが最も重要です。今般のGDPR施行、先日あったFacebookのデータ流出問題等、今世界で起こっているデジタル社会を取り巻く動きに対して、やはり日本も対岸の火事として見ていてはいられない状況でしょうか。

伊藤

デジタル社会においては国境は存在せず、GDPRにおいてクッキーなどが個人データに含まれている以上、日本においてもサードパーティデータを提供する側は、広告主に対してきちんとそのデータがユーザーの明示的同意によって収集したものであることを説明しないといけないですね。Facebookは流用問題を機に、サードパーティデータを使ったターゲティングサービスを終了しました。広告主側は今後、利用するデータの出所などの“データサプライチェーン”を強く意識する必要があります。

有園

出所がわからないデータを使ったマーケティングは、日本でも今後できなくなります。そうなると経営が行き詰まるアドテクベンダーが出てきます。グレーゾーンでビジネスをしていると、個人からの同意はとりにくいですから。そうなるとパブリッシャーも厳しくなります。ところで広告主も含めて様々な関係者の中で、法令順守の責任が最も重いのは誰なのですか。

伊藤

まずはアドテクベンダーが媒体・メディア側であるパブリッシャーに対して、ユーザーからどのようなデータを、どのような目的に収集するのかを明確に説明する義務があります。説明せずに問題のあるデータを使っていればベンダーに責任があります。一方で、パブリッシャーはそれをユーザーに説明した上で、ユーザーから同意を得たデータについてどのベンダーに提供するのかを管理する必要があります。つまり現状では責任の所在は、個別の契約やビジネススキームによります。パブリッシャーにとってはこのユーザー向けやベンダー向けの管理が重要なため、同意管理プロバイダー (Consent Management Provider; CMP)と呼ばれるツールが登場してきています。

有園

そうなるとファーストパーティデータを持っていると強いですよね。例えばクラブパナソニックには800万人以上の会員がいます。Kao PLAZAや日経電子版会員も相当数になります。今後、企業は自分たちで個人情報の同意を得て集めた方がいいと思います。これからは個人情報を持たないリスクを考えないといけないのでは? 持つリスクって、情報漏洩リスクくらいではないですか。

伊藤

そうですが、セキュリティに膨大な資金が必要です。大企業はともかく、中小企業は持たずに必要なときに最小限の個人情報のみを入手して、使った後はすぐに消去するようなやり方を考えてもいいでしょうね。

有園

政府がマーケティングに限らず、医療や生活支援全般でも使える情報銀行のようなプラットフォームを作ればいいですね。政府に限らず、こうした規制強化をチャンスに変える動きが出てきてもいいと思います。最後にこれだけは言いたいことはありますか。

伊藤

現行の日本のルールでは、トラッキング情報の規制は個人情報保護の範囲外で議論もされていない状況ですが、法案は3年ごとに改正の検討をしています。欧米の動きを見て、今後の改正では議論が進む可能性があるので、そうなることを想定して今から準備が必要です。

有園

きちんと対応していない事業者は排除される時代がくるかもしれませんね。ただ、これだけなりすまし広告や犯罪まがいのスパムにビクビクするIT社会は健全ではありません。デジタルマーケティングの信頼性を高めていくためにも、日本でも規制は強化されていくべきかもしれません。

GDPRの施行により、たとえ国内向けに特化した事業者であっても、セキュリティに関して、より一層注意をはかっていく必要があるでしょう。
日本と海外でプライバシーに関する意識の違いはあるにせよ、我が国においても、個人情報保護の問題は無視できません。企業が個人情報を持つことには、個人情報の漏えいなど大きなリスクが伴います。しかし、多くの企業が個人情報を収集し活用するいま、やはり「持たないこと」のリスクも大きいと言えそうです。

とはいえ、中小企業は大企業のようにセキュリティにお金をかけられません。今後日本で進むかもしれないデータポータビリティの実現など、パーソナルデータの流通が進めば、最小限の個人情報だけ利用するという方法も考えられるかもしれません。リスクが取れない企業や、自分たちが収集したもの以外のデータも活用したい企業にとって今後、情報銀行のようなプラットフォーマーの出現が待たれることでしょう。

次回は、パーソナルデータについての国内状況やデータの利活用の事例について掘り下げてお話を伺っていきたいと思います。(公開は6月末を予定しています。)

伊藤直之氏

一般社団法人データ流通推進協議会 理事
株式会社インテージ 開発本部ITイノベーション部 エバンジェリスト

【略歴・プロフィール】
2008年、株式会社インテージ入社。 主に消費財メーカーの社内外データ利活用基盤構築やマーケティングリサーチ、デジタルマーケティング領域での新規事業開発に従事した後、現在はデータ流通(主に生活者主導によるパーソナルデータ流通)領域における啓蒙活動と新規事業開発を行う。ビジネス領域でのオープンデータやパーソナルデータなど多様なデータの公開・流通による利活用を推進し、より良い社会の実現を目指す。Open Knowledge Japan運営メンバー。

※1オプトイン原則 
対象者から許諾を得ない限り実施しない個人情報を利用しないという原則。
 
※2サードパーティークッキー
ユーザーがアクセスしたドメインとは異なる第三者のドメインから取得されるデータが「サードパーティーデータ」。そのデータのやり取りの際に送受信されるクッキーのこと。

Written by:
BAE編集部