【ITP・GDPR・改正個人情報保護法】
変わる個人情報の取り扱い
「個人情報保護法」や「GDPR」などの言葉を耳にしたことがある方は少なくないはずです。これらはどちらも個人情報の保護や取り扱いを定める法・枠組みを指します。近年はこれらの法が改正されたり新しく施行されたりすることによって、個人情報の管理や取り扱い方法が変わってきています。ここでは日本国内の個人情報保護法を中心に、ヨーロッパのGDPRやトラッキング防止機能である「ITP」の基本情報を解説します。
目次
そもそもGDPRとは?
GDPRは、「個人情報保護法」に比べるとあまり聞き慣れない用語です。これは「EU一般データ保護規則」のことを指します。英語の正式名称は「General Data Protection Regulation」で、GDPRは頭文字をとった略語です。名称に「EU(European Union:ヨーロッパ連合)」とつくことからわかるとおり、EU加盟諸国内を対象にした個人情報保護の枠組みで、具体的には個人情報データの処理と移転に関するルールが定められています。具体的な内容としては、「ヨーロッパ域内から域外への個人情報データ移転は原則禁止」、「域外への情報移転は本人の明確な同意を得る必要がある」などの項目があげられます。
ルールは日本の個人情報保護法よりもさらに厳格で、氏名や住所、クレジットカード番号だけでなくIPアドレスやIDFA(タブレットやスマートフォンなどの端末に割り当てられるIDのこと)も保護・管理の対象としています。これらの個人情報を利用する際は、個人であるユーザーから明確な同意を得る必要があるとしています。適切な保護・管理をせず個人情報を扱った企業など、GDPRに違反すると認められた場合は日本円で数十億円規模の非常に高額な罰金が科される可能性もあるのです。
実際に、GDPRに違反するという申し立てを受けた企業の事例もあります。たとえばアメリカの大手SNSグループは、GDPR施行からわずか数日後にプライバシー保護の非営利団体によって申し立てを受けています。この申し立てが受け入れられれば、企業全体に数千億円もの罰金が科される可能性があることもわかっています。
GDPRが定められた背景は?
GDPRが定められた背景には、インターネット環境さえあればアプリの有無や端末に関係なく利用できる「クラウドサービス」の浸透、大量に蓄積されていく「ビッグデータ」の増加があります。現代は個人の氏名や住所、端末IDや趣味嗜好までのデータがネットワーク上に蓄積されています。これらの情報が悪用されることの懸念があり、ヨーロッパでは個人情報の保護意識がさらに高まりました。ヨーロッパ連合の政策執行機関であるヨーロッパ委員会は「デジタル経済の成長には消費者の信頼が欠かせない」という声明も発表しています。
GDPR以前の枠組みは?
GDPR整備以前のヨーロッパでは、「データ保護指令」という枠組みがありました。これは1995年に採択された枠組みですが、デジタル技術が発展途上であった頃に策定された概念的なものでした。あくまで「指令」であるため、具体的な法規定は各EU加盟国に委ねていました。法的な強制力や罰則規定もなく、個人情報を保護する取り組みとしては不十分だという見方もあり、2016年に改めてGDPRが策定されたことで、保護対象の拡大と罰則の強化が実現しています。
GDPRが日本へ与える影響は?
GDPRはEUが定めた取り決めです。しかし、違反申し立てを受けたアメリカ企業の事例からもわかるとおり、その影響力はEU加盟国内に留まらないといえます。そのため、日本でも以下に該当する企業や団体が、GDPRの影響を受ける可能性があるのです。
- 支店や営業所、子会社や駐在員事務所をEU加盟国内で展開している
- クラウドベンダーやデータセンター事業などを通してEU加盟国から個人データの処理の委託を受けている
- 日本からEU加盟国に向けたサービスや商品を提供している
EU圏内で営業所や支店を展開し、現地の人をスタッフとして雇用した場合は、スタッフの個人情報はGDPRに則って保護・管理する必要があります。また、日本国内でEU圏内の個人情報データを扱う場合も同様です。たとえばEU圏内のユーザーが日本のECサイトから商品を購入する場合、氏名や住所、クレジットカード番号などのデータはGDPRに則って適切に管理する必要があるのです。事業拠点やサーバー拠点が日本であっても、ユーザーがEU加盟国の市民であった場合は例外とならないため注意しましょう。
日本の個人情報保護法
日本の個人情報保護法は2005年に施行され、2015年と2020年にそれぞれ改正が行われたという経緯があります。個人情報保護法が施行される以前の日本では、個人情報を管理・保護する法律や個人情報を法的に定義する取り決めもありませんでした。しかし氏名や住所、クレジットカード番号などの個人情報が流出したり悪用されたりする事例が相次ぎ、法整備の必要性が高まったことで施行されたという背景があります。その後、10年を経て2015年に改正された個人情報保護法は2017年に施行されました。2020年改正の個人情報保護法は2022年に施行される予定です。
個人情報保護法では、個人を特定できる氏名や住所、およびこれらに紐づく情報が保護の対象となります。個人情報は個人の権利や利益を守るべく適切に管理することが定められていますが、一方で法に則り個人情報を適切に保護したうえで利活用することは認められています。顧客個人へのダイレクトメッセージの送信や、ユーザーの居住地や性別、年齢などの情報をもとに広告を配信する「属性ターゲティング広告」のようなアプローチがわかりやすいでしょう。
2015年改正のポイント(2017年施行)
2015年に改正し、2017年に施行した際には、個人情報の定義が一部改正されています。具体的には、それまで個人情報として定義されていなかった「個人識別符号」「要配慮個人情報」「匿名加工情報」が個人情報として新しく設けられました。
個人識別符号
個人識別符号とは、単体で個人を特定・識別できる情報です。具体的にはDNA情報をはじめ指紋データや顔認識データなどの身体情報に関わるデータが該当します。また免許証番号や年金番号、マイナンバー、パスポート番号なども個人識別符号に含まれます。
要配慮個人情報
細心の注意を払い、配慮したうえで取り扱うべきとされる個人情報です。他人に知られることで、当人が差別を受けたり不当な扱いを受けたりする可能性のある情報を指します。具体的には宗教や信条、犯罪歴や病歴、人種などがこれに該当します。
匿名加工情報
ある個人情報を特定の個人と識別できないよう加工し、さらに加工前へ復元できないようにした情報です。匿名加工情報は厳密には個人情報には含まれず、提供者本人の同意は基本的には不要です。
ただし、情報を提供された側は個人情報の取り扱いを監視・監督する機関「個人情報保護委員会」が定める基準に則って情報を加工する必要があります。また、匿名加工情報を作成した後は、「どのような情報項目が含まれているのか」を公表し説明する義務もあるのです。さらに、匿名加工情報を第三者へ提供する際は、その旨をあらかじめ明示・公表しなければなりません。
2020年改正のポイント(2022年施行予定)
2020年の改正では、罰則の引き上げが行われています。具体的にあげられるのが、個人情報を利活用した企業や団体である法人が規定に違反した場合の罰金の引き上げです。これまでの法律では30万円または50万円以下の罰金が科されていましたが、改正により最大で1億円の罰金が科されることになりました。個人と法人の間にある経済力の格差を考慮し、罰金の大幅引き上げに至ったとされます。
虚偽報告に対する罰則強化
虚偽報告に対する罰則も強化されています。個人情報保護委員会に虚偽報告(報告内容を改ざんする等)をした場合、改正前は最大30万円の罰金に留まっていました。改正後、罰金は最大50万円にまで引き上げられています。
命令違反への罰則強化
個人情報保護委員会は、違反行為をした法人に対し行為の是正や中止を命令することがあります。この命令に違反した場合の罰則も、改正によって強化されているのです。改正前は「最大6ヶ月の懲役または最大30万円」となっていましたが、改正後は「最大1年の懲役または最大100万円の罰金」となっています。
Cookieデータの取り扱い
Cookieとは、Webサイトの閲覧履歴などを記録・保存するシステムのことです。現行法ではCookieで保存した情報は個人情報に該当しないとされていましたが、改正後はCookieの規制も強化されています。「Cookieから得た情報を他の情報と紐づけることで、個人の特定も可能である」とされたためです。よってデータの出どころがCookieであっても、法人がそのデータを第三者へ提供する際は本人の同意を得る必要があります。
2020年改正の個人情報保護法は2022年に施行を予定しています。
日本の個人情報保護法とEUのGDPRの違い
日本の個人情報保護法とEUのGDPRでは、保護対象や罰則、パーミッション(許諾・同意の条件)が異なります。以下の表で、各項目の違いをまとめました。
<個人情報保護法とGDPRの比較>
| 項目 | 個人情報保護法 | GDPR |
|---|---|---|
| 保護対象 | Cookie情報を含む個人を特定できる情報(氏名や住所など) | IPアドレス、Cookie情報、IDFAなどを含む個人を特定できる情報(氏名や住所など) |
| 罰金 | 50万円または100万円以下の罰金(個人) 最大1億円の罰金(法人) |
数十億円の罰金(法人) |
| パーミッションの条件 | プライバシーポリシーの明示 Cookie情報を含め第三者へ提供する場合は個人であるユーザーからの同意が必要 |
個人であるユーザーからの明確な同意が必要 |
このように、GDPRは日本の個人情報保護法よりもさらに厳格なルールを定めていることがわかります。とくに違いが顕著なのが、IPアドレスやCookie情報などオンライン上における識別情報の扱いです。EUではIPアドレスやCookie情報、IDFAなどの情報も「技術的には個人の特定が可能または、特定につながる可能性がある」として、GDPRの保護対象としています。
ITPとは
個人情報保護法やGDPRの事例からわかるとおり、個人情報を保護・管理する取り組みは変化しています。この変化は法律だけでなく、Cookieやブラウザ機能にも及んでいます。ここでは、個人情報保護に関する機能の1つ、「ITP」を紹介します。
ITPとは「Intelligent Tracking Prevention」の略語で、Cookieによる個人情報のトラッキングを防止する機能のことです。ITP機能が働くことによって、Cookieが過剰に個人情報を追跡するのを防いでくれます。広告を展開する法人の視点に立つと、Cookieによるユーザーの情報収集がこれまで通りにいかなくなる可能性があるということになります。Cookieによってユーザーの趣味嗜好やライフスタイルを集めて分析し、それに合わせた広告を展開する「パーソナライズ」が難しくなるのです。
ITPによってWeb広告はどのような影響を受けるのか
ITPによって規制されるCookieは、「3rd Party Cookie」と呼ばれるものです。これは、複数のサイトにまたがってユーザーの趣味嗜好や検索行動を収集・管理するCookieのことを指します。したがって3rd Party Cookieには「ユーザーがどのような検索行動をし、どのようなものを閲覧したのか」という、詳細な個人情報が蓄積されています。今後はITPによって、3rd Party Cookieの特性を活かしたアプローチをすることが難しくなると予想されます。
広告効果を正しく測定できなくなることも
ITP機能では、3rd Party Cookieの情報は24時間で削除されます。その結果広告主は「ユーザーがどのサイトから訪問してきたのか」という分析が困難になり、正しいコンバージョン率が分析できなくなるのです。そうなると有効な施策とそれ以外の施策の分析も難しくなり、広告主としてはチャンスを失ってしまう可能性もあります。
個人情報を提供するメリット・デメリット
個人情報をより厳密に守る動きは国内外で活発化しています。そのうえで、ユーザーが企業やサービスに対して個人情報を提供するメリット、デメリットはどこにあるのでしょうか。代表的なメリット・デメリットを、以下で解説します。
適切なサービスの享受
とくに日本の個人情報保護法では、「個人の利益やプライバシーを守ること」と「健全に利活用すること」のバランスを重視しています。ユーザーは法人に対し個人情報を提供することで、適切なサービスを享受できるようになります。
企業がユーザー1人ひとりに合ったサービスを提供するためにはユーザーの分析をすることが不可欠です。そのためには、ユーザーが提供してくれる個人情報からユーザーの趣味嗜好やライフスタイルを分析し、より適切な販売戦略を立てる必要があります。結果的にユーザーにとっては、よりパーソナライズされたサービスを受けたり、アイテムを購入したりすることにつながるのです。
個人情報漏えいのリスク
各種ECサイトや予約サイトなど、個人情報を提供することによって便利になるサービスはさまざまです。しかし、そこには個人情報の漏えいや不正使用などのリスクもあります。とくに近年は、サイバー攻撃による個人情報の漏えい事故が国内外で多発しています。2021年5月には大手ITベンダーの情報管理システムがサイバー攻撃を受け、国土交通省の職員のメールアドレスが流出するという事件も起こりました。
個人情報の取り扱いは、これまで以上の慎重さが求められるようになっています。日本国内では個人情報保護法が、EU圏内を対象にしたビジネスではGDPRの影響が及びます。企業や法人は、アップデートされ続ける個人情報保護に順応していく必要があるのです。
