コラム

2020.06.16

【データプライバシーコラム】
#3.元広告会社の運用担当者の目線で考える「データプライバシー」と「ビジネス利活用」

「データ保護」と「プライバシー」について、広告会社の運用担当者だった私が、出向先のDataCurrent社の法務担当になってイチから学んだことをまとめる本連載(過去の連載記事はこちら)。今回は、「プライバシー」と「プライバシーポリシー」について整理し、プライバシー保護を担保しつつビジネスでのデータ活用の在り方を考えていきます。

<プロフィール>
大驛 貴士(おおえき たかし)
2012年、株式会社サイバー・コミュニケーションズに入社。Facebook、Twitterをはじめとしたソーシャルメディアの広告運用、APIを活用したツール設計、開発ディレクション、データ収集から分析までを得意とする。2019年6月よりデータの利活用を推進するコンサルティング会社「株式会社DataCurrent」に出向し、データ保護とプライバシー領域を担当。

●プライバシーってなに?

プライバシーという単語はよく聞きますが、しっかり意味を説明できるかと言われれば難しかったので、まずは改めて「プライバシー」とは何かについて考えてみます。調べてみると、私の日常は3つの権利によってプライバシーが守られていることが分かりました。

まず1つ目、これは一番最初にイメージするものかと思います。【私的なこと、家庭内のこと、私生活を守る権利】です。2つ目は【個人情報を適切に取扱われる権利】です。「ん?個人情報は個人情報保護法で守られているんじゃなかったっけ?」と思ったのですが、個人を直接特定することができる氏名や住所だけでなく、学歴、所得、健康状態などもしっかり個人情報で、これらはプライバシー権でも守ってもらっています。3つ目は【自分の情報を管理できる権利】です。ITが発展したことでプライバシーもより積極的な権利にしたいという主張があり追加された新しい権利です。自分に関する情報を不正に取得されない、自分の情報は閲覧、訂正、削除依頼することが出来る権利です。それぞれの権利が助け合っているイメージだということが分かりました。

プライバシー権のイメージ

前回勉強した「データ保護」と「プライバシー」は一緒に語られることが多く、あまり区別されていないように思ったので、それぞれの違いについて調べてみました。

データ保護は個人データを保護する上で必要な技術や手段を意味することが多く、一方でプライバシーは法的な権利を指す場合が多いです。「+α」としたのは、法的権利があるから私たちのプライバシーが守られているだけではなく、企業が自発的に「消費者のプライバシーを考慮する」ことが大事だということを表しています。

また、技術的なデータ保護ができているからと言って必ずしもプライバシーが守られているとも言えず、一方で、プライバシーはデータ保護の技術的なサポートが無ければ守ることができないと言えます。お互いが密接な関係を築いているからこそ、データ保護とプライバシーはセットで語られることが多いということが分かります。

技術的にデータ保護が行えているからと言って、必ずしもプライバシーが守られているとは限らない。一方で、プライバシーはデータ保護の技術的なサポートがなければ守ることができないと言える。

具体例で考えてみましょう。 例えば、消費者がクレジットカードを利用して支払を行う際、「データ保護」と「プライバシー」の両方を行っていると言えます。

●プライバシーポリシーって必要?

プライバシーポリシー(プラポリ)と言えばECサイトの隅っこに小さくリンクが設置されているイメージがありますが、どういう役割があるのか調べてみました。まず、プライバシーポリシーとは「企業による個人情報の収集、管理、保護、活用の取扱い方針について」、「自社のデータ利用について」、「セキュリティー環境について」などについて、消費者に分かりやすく説明する場です。なぜ企業はプラポリを自社サイトに用意するのかというと、個人情報保護法に「個人情報を取得する時は、本人に利用目的を“通知”または“公表”しないといけない」というルールがあるからということと、消費者のプライバシーを考慮する企業努力(+α)を行っているからです。このルールと+αを実行するために、企業は利用目的を公表しています。

プラポリは、企業が消費者の個人情報やプライバシー情報を取り扱うにあたっての方針を書面にしたもの。個人情報保護法に、個人情報を取得する際は、利用目的を“公表”せよというルールに基づいて、プラポリに明記している。

●修正が必要なプラポリとは?

たくさんの企業のプラポリを眺めているうちに、「あれ?これはいいのか?」と思うプラポリを見つけたのでご紹介します。

あるECサイトを運営している企業のプラポリには、クッキーの取り扱い方針に「カート、お客様自身の購入履歴の表示以外の目的でのクッキーを利用しない」と明記したものがありました。

そのECサイトを調べてみるとGoogle広告のコンバージョンタグとリマーケティングタグが設置されていました。この2つのタグはプラポリに明記している「カート、お客様自身の購入履歴の表示以外」に「広告配信」として利用されている可能性が高いと思います。「タグを設置しているだけで広告配信はしていない」という可能性もあり得ますが、いずれにしても消費者からすれば誤解を招く表記なので修正したほうが良いと言えます。

このプラポリの文言を検索してみたところ、いくつかの企業で全く同じプラポリが見つかりました。おそらく、制作会社が用意した雛形のプラポリをそのまま利用していると思われます。消費者には企業ごとのサービスや商品に沿った、適切な方針を伝える必要があり、誤った方針や誤解を招きかねない方針を伝えてしまうと、企業の信頼失墜につながりかねません。また、プラポリは企業のサービスや取扱商品に応じて定期的な見直しがオススメです!

プラポリは各企業のサービスや商品に沿った適切な方針を伝える必要あり。消費者にとって誤解を招く表現や誤った記載をすると、企業の信頼失墜につながることも・・!
プラポリは、サービスや取扱商品に応じて定期的な見直しを行うことが大切。

●プライバシーをビジネスで活用するには?

「リスク回避」以外で、プライバシーがどのようにビジネスで役に立つのかを考えてみました。最近印象的だったのは、コロナウイルスの濃厚接触者と接触した恐れのある特定のユーザーに通知を行う仕組みをGoogleとAppleの両社による「共同プロジェクト」として発表した例です。一見、デジタル技術に興味が惹かれがちですが、前提として両社のプライバシーが守られていること=「データプライバシーの標準化」が会社とOSを超えたサービスを提供できる要因だと感じます。

GoogleやAppleと言われると、なかなか自分ゴト化しにくいように思えますが、自社のプライバシーを標準化することで、プライバシーレベルを揃えることでき、企業間の連携をスムーズに行うことができると感じます。連携したい企業同士のプライバシーレベルが揃っていない場合、どれだけ良い取り組みがあったとしても実現できない恐れもあります。

企業のプライバシーレベルを標準化させることで、新しい取り組みを行うキッカケとなり、企業間での連携を加速させること可能。一方、両社のプライバシーレベルが揃っていない場合、どれだけ良い取り組みだとしてもプライバシーが理由に実現できない恐れあり。

● 日本の「感染確認アプリ」について ※2020年6月2日時点

日本の「新型コロナウイルス感染症対テックチーム」は、GoogleとAppleが提供するAPIを活用し、「感染確認アプリ」を開発中です。私たちのプライバシーがどのように守られているのかを確認していきます。

<位置情報 vs Bluetooth>

感染確認アプリには大きく2つの違いがあります。1つ目は「ユーザーの接触を判断する上で位置情報を利用するのか、Bluetoothを利用するのか」です。日本ではプライバシー保護を重視し、「Bluetooth」が採用されています。

<集約型 vs 分散型>

2つ目は、陽性者と濃厚接触者のデータ管理についての違いです。陽性者が保健所に申請する際、「自身の情報」に加えて「濃厚接触者の情報」をアップロードする場合は、集約型と言われます。一方で、「自身の申請」のみアップロードする場合は分散型と言われます。日本では「分散型」を採用しています。

感染確認アプリのダウンロードから感染報告までの流れ

自身のスマートフォンに「追跡確認アプリ」をダウンロードしておきます。ダウンロードしアプリを利用することに「同意」すると、スマホからBluetoothが常に発信されている状態になります。

同じく、「追跡確認アプリ」をダウンロードしている人と出会い、約1m以内で15分間以上近くに滞在すると、お互いのスマホが「鍵(KEY)」のやり取りを行います。この鍵は10分毎に変更され、この鍵だけでは個人を特定することができません。また、日本が開発するアプリは、鍵のやり取りをBluetoothで行うので位置情報などのプライバシー情報は含みません。また、14日以上経過した鍵は随時削除されます。

その後、まこと(オレンジ)がコロナウイルスに感染していることが分かり、且つ「追跡確認アプリ」をダウンロードしている場合、保健所に陽性者として登録されます。

保健所で陽性者として登録が完了されると、アプリから通知が届きます。陽性者として申告することを「同意」すると、鍵がクラウドにアップロードされます。「同意」なしに保健所や、Google、Appleが勝手にデータをアップロードすることはありません。

たかし(ミドリ)は、以前にまことと接触した際、まことのスマートフォンと鍵のやり取りを行っていたので、まことの鍵を持っています。システムはコロナウイルスに感染したまことの鍵と合致する鍵を持っているたかしに対して、適切な行動と帰国者接触者相談センターへの相談方法等をメッセージによりガイダンスします。

このように、日本では生活者のプライバシーを守りながらも、公共の目的のためにデータを活用するスキームを整えつつあります。次回は、Consent Management Platform(CMP)という「同意管理プラットフォーム」について解説していきます。

【参考資料】
データの法律と契約』福岡真之介 松村英寿 著、商事法務、2019年1月

データプライバシーに関する資料は、下記ダウンロードフォームより、ご確認ください。

本コラムに関するお問い合わせやデータプライバシーに関するご相談は下記にて承ります。お気軽にお問合せください。
株式会社DataCurrent
info@datacurrent.co.jp