コラム

2020.05.22

【データプライバシーコラム】
#1.元広告会社の運用担当者がイチから学んだ、「データ保護」と「プライバシー」入門

2019年6月より親会社のCCIから株式会社DataCurrentに出向し、法務を担当しています。CCIでソーシャルメディアの運用型広告を担当しているころから、プラットフォーマーから得られる広告データと利用範囲について興味がありました。一見、専門用語が多くて分かりにくそうな「データ保護」と「プライバシー」について、私が一から学んだことをおまとめしたいと思います。

<プロフィール>
大驛 貴士(おおえき たかし)
2012年、株式会社サイバー・コミュニケーションズに入社。Facebook、Twitterをはじめとしたソーシャルメディアの広告運用、APIを活用したツール設計、開発ディレクション、データ収集から分析までを得意とする。2019年6月よりデータの利活用を推進するコンサルティング会社「株式会社DataCurrent」に出向し、データ保護とプライバシー領域を担当。

●情報ってなに?

突然ですが、データ保護とプライバシーを学ぶにあたって、「情報」という言葉について考えてみました。調べてみると、世の中にたくさんある「情報」と言われるものには2種類に分けることができました。1つ目は「電子化されていない情報」で、2つ目は「電子化されている情報(データ)」です。自社の社名にもあるデータとは電子化された情報を指していることが分かりました。

 A. 電子化されていない情報
 B. 電子化されている情報(データ)

●データってなに?

「電子化されている情報」をデータと定義した際、データの中でも2種類に分けることができました。1つ目は「立論・計算の基礎となる事実、数値」で、2つ目は「コンピューターで処理する情報」です。

 (1)立論・計算の基礎となる事実、数値
 (2)コンピューターで処理する情報(データ)

(1)はデジタル広告でいう配信実績値や、ウェブサイトのアクセス分析などのデータを指しています。(2)は機械学習や、コンピューターを使って伝達・処理されるデータを指しています。法律の世界では「データ」を「電磁的記録に記録された情報」として定義している法もあるそうです。

●保護されるべきデータとは?

次は「データ保護」の定義について考えてみたいと思います。企業における保護されるべきデータとはなにか?逆に保護しなくていいデータとはなにか?自分の会社にあるデータと照らし合わせて検証してみたいと思います。 今回検証するのはデータ保護とプライバシーに関するデータとし、個人情報保護法に照らし合わせて考えていきます。

<答え合わせ>
「A」の名刺に記載されている名前や電話番号などは個人データに該当するので保護する必要があります。

「B」も同じく購買データには名前、電話番号、住所などが含まれますので保護する必要があります。

「C」は、日本法だけを考えるとそれ単体では個人データには該当しないものの、今後は個人データと同様な保護が必要なデータと言えそうです。

「D」のいいねやコメントはページインサイトデータに含まれFacebook社と共同で管理する必要があり、こちらも保護する必要のあるデータと言えそうです。

●誰が保護されるべきデータを決めているの?

データに関係する法律はいくつかありますが、今回は「個人情報保護法」と照らし合わせていきたいと思います。個人情報保護法とは「利用者や消費者が安心できるように、企業や団体に個人情報をきちんと大切に扱ってもらった上で有効に活用できる共通のルールを定めた法律」です。

最近、特に個人情報保護法という言葉を耳にする理由としては、2020年の通常国会で個人情報保護法の改正が予定されており(コロナウィルスの問題で後ろ倒しの可能性もあるそうです)、個人情報の取り扱いに関するルールに変更が加わる見込みです。

特に、「データの提供元では個人データに該当しないけれども、データの提供先において”個人データ”となることが想定される情報の第三者提供について、利用者の同意がしっかり得られているかの確認を義務付ける」という規律が検討されており、リマーケティング(追跡型)広告に必要なCookieをマーケティング施策で利用する際は、これまで以上に注意する必要があると言われています。

●オプトイン/オプトアウトについて(補足)

法務を担当するようになってから「オプトイン/オプトアウト」という単語を頻繁に聞くようになりました。なにがインでなにがアウトなのか調べてみました。

<オプトイン/オプトアウトとは>
顧客が、企業の提供するサービス・機能を許諾することを「オプトイン」する、拒否することを「オプトアウト」すると言います。一度許諾した(オプトイン)した人も、改めて拒否(オプトアウト)することができます。

企業は、顧客が許諾のうえで提供した個人データ(メールアドレスや電話番号など)を大切に保管する義務があります。また企業は、顧客が改めて拒否(オプトアウト)する際に備え、個人データを破棄する仕組みも準備しておくことが求められています。

これまではメールマガジン配信管理の場面でよく使われていた言葉ですが、最近ではデータ利活用においてデータのオプトイン/オプトアウトを検討する場面が増えています。CMP(同意管理プラットフォーム)を導入する際にも重要な要素となります。CMPについては改めてご紹介させていただきます。

●もしデータを適切に扱わなかった場合、どうなるの?

データを適切に扱わなかった場合、どのような事態になるのかを考えてみました。

適切に扱っていない=管理していないということなので、データ流出や漏洩のリスクが伴います。一度流出したデータは元の状態に戻すことができません。顧客情報が流出したとなれば、損害賠償、会社の信頼失墜、株価下落など会社経営に大きな影響を与えることになります。

データ流出など不祥事が起こった場合、状況に応じた行政指導を受けることになります。また、プライバシーマークやISO27001などの情報セキュリティーの第三者認証を保持している場合は剥奪される恐れがあります。認証が剥奪されると、これまでお付き合いしていた会社とのビジネスを存続することが出来なくなる場合が想定されます。

適切に扱っていないということは、個人情報(個人データ)取得に際して、利用者にとってどのような用途でデータを取得し使用するのかを明らかにしていないということになるので、場合によっては不正な手段によるデータ取得となる恐れがあります。

●適切に扱っていてもデータ流出するときはするよね?

しっかりデータを保護し適切に扱っていたとしても、データ流出のリスクは0%にはならないし、常にリスクが付きまとうわけですから、逆転の発想で、あえて個人データを”取得しない”戦略の可能性について考えてみました。

当たり前かもしれないですが、メリットよりもデメリットの影響度のほうが高いように感じます。また、そもそも個人情報(データ)を取得しない戦略を取れる企業は限られてくるように思います。名前や性別はもちろん、個人を識別する番号(マイナンバーや運転免許証番号等)、ターゲティング広告に利用するメールアドレスや電話番号、クレジットカード情報などはすべて個人情報(データ)と考えます。自分の会社はもちろん、業務委託先企業で利用している場合にもデータ保護の義務が発生します

●安心と信頼を担保するデータ活用の未来

先にも触れたように、適切にデータを扱わないと、データ流出や漏洩のリスクが高まります。そして、一度流出したデータは元の状態には戻せません。さらには、損害賠償や会社の信頼失墜、株価下落などの経営に大きな影響を与えます。

だからこそ、データ保護を行うということは、自社のデータを把握し活用することに繋がり、マーケティング活動やデータ戦略を正しく実施する基盤づくりとなります。消費者や取引先企業に対しても、自社のデータに関する利用用途や範囲を明確にすることで、”安心”と”信頼”を提供することができる未来に向けて、私たちは何ができるのでしょうか。

次回は、実際に起きてしまったデータ保護に関する事件の解説をもとに、「プライバシー」について解説していきます。

【参考資料】
データ戦略と法律 攻めのビジネス』中崎隆 安藤広人 板倉陽一郎 永井徳人 吉峯耕平 著、日経BP、2018年10月
データの法律と契約』福岡真之介 松村英寿 著、商事法務、2019年1月
概説GDPR』小向太郎 石井夏生利 著、NTT出版、2019年9月

データプライバシーに関する資料は、下記ダウンロードフォームより、ご確認ください。

本コラムに関するお問い合わせやデータプライバシーに関するご相談は下記にて承ります。お気軽にお問合せください。
株式会社DataCurrent
info@datacurrent.co.jp