ビジネス支援サービス データプライバシー管理

パーソナルデータ取扱状況の正確な把握が急務な今、
データプライバシー対策は「自分ごと」になっていますか?

この4月に施行された改正個人情報保護法、プラットフォーマー主導のサードパーティーCookieの廃止、そして電気通信事業法の改正。プライバシーに関わるデジタルデータの取り扱い(データプライバシー)について「対策が必要になっているようだが、今ひとつ何をやればいいのかわからない」というお客様の声をよく聞きます。そこで、弊社のパートナーであり、データプライバシーのコンサルやソリューションを提供する株式会社DataSignのビジネスディベロッパー、宮崎洋史さんにお話をうかがいました。

正しく理解し、正しく備える

Q.最近、どのようなご相談が多いですか?

改正個人情報保護法(個情法)の施行を受けて「Cookie同意を取得したい」という相談が多いです。ただ、個情法には「Cookie利用に関しての同意を取得せよ」とは書いていないのです。つまり勘違いの相談が多いのです。個情法で規制されているのは「個人関連情報を、第三者から提供されて、それを自社で既に保有している個人情報と紐づける行為」です。「個人関連情報」とは新しく登場した概念で、これをCookie規制と勘違いしています。
「Google ChromeのサードパーティーCookieのサポート停止」は話題には出ませんね。実施が24年後半まで延期されたので関心が薄れたのだと思います。
電気通信事業法の改正は、相談を受けることはまれです。施行が来年ですし、対象業種がはっきり決まっていない(今後総務省令で規定される)ので、各種ニュース媒体でも取り扱いがなく、関心が広がっていないのだと思います。

Q.まず、正しい理解と、データプライバシーの動向に関心を持つことが大切なようですね。法制度や市場動向のどこに着目し、どのような対策が必要でしょうか?

法制度でウォッチが必要なのは、改正電気通信事業法に関する総務省令です。さらに踏み込んで言うなら、総務省令発令前に実施されるパブリックコメント(パブコメ)募集とそれに対する回答です。パブコメには誰でも意見表明することができるので、状況をウォッチするだけでなく、制度制定に影響を与えたい方は注目です。
個情法は3年毎に見直されることになっています。2025年に次回の法改正が行われるということです。それに向けて、来年には改正論議が始まるでしょう。そしてそれには外国の規制が影響を与えると思われます。改正の先取りをするという意味で、余裕がある方は、海外の規制にも目配りしておくと良いと思います。とは言っても、情報は溢れかえり、海外情報は英語での発信が主です。自力でのフォローには限界があります。DataSignでは定期的にウェビナーを開催しているので、ぜひご参加ください。
また、個情法に関しては、自社が「個人関連情報の提供をうけて個人情報と紐づけて活用している」場合がポイントとなります。ユーザーから同意を取得する必要があります。そのためには資料請求の際に記入してもらうWebフォームの改修がコストパフォーマンスがよく、オススメです。ただし、Webフォーム改修「前」に登録してくれた既存ユーザーに対しては、改めてメールなどを送り同意を取得する必要があります。当然、同意してくれないユーザーもいると思います。ということは、「同意してくれたユーザー」と「同意してくれなかったユーザー」が併存することになるので、それぞれに対しては、異なったマーケティングをしなくてはいけません。

Q.どのようにマーケティング施策を分けるのですか?

例えば、個人関連情報として「年収」の提供を受け、自社で保有する個人情報と紐づける場合、同意してくれたグループに対しては「年収」をキーにして、発信メッセージを出し分ける運用が可能になります。年収1000万以上の人にはプラチナカードをオススメし、年収1000万未満の人には通常カードをおすすめするなど。
一方、同意してくれなかったグループに対しては「年収」をキーにしてメッセージを出し分けることが出来ません。全ての人に対して同一のメッセージを発信することになります。

もう一つ、個情法では、「外国の第三者へ個人データを提供している」場合が規制対象になります。ただ「外国」の指す範囲が、日常会話で想定される範囲とは異なるし、「提供」しているかの判断には「取り扱っているか」という別の判断軸も必要になります。ちょっとややこしいので、専門家に相談するのがいいと思います。
電気通信事業法に関しては、自社サイトでは「情報送信指令通信」が行われているかの確認が必要です。情報送信指令通信とは、超簡単にいうと、ブラウザにサードパーティーCookieを送信させることです。

Q.「情報送信指令通信」とはサードパーティーCookieを送信させることですか!
これが使用されていることをどうやって確認し、その結果に基づき何をすればいいでしょうか?

確認方法としては、まず、自社サイトに「Webサイト担当者の意思で」導入したタグを洗い出します。次に、導入したタグが「別のタグを呼び出していないか」確認します。「タグがタグを呼び出すこと」は頻繁に発生している事象です。この作業は、ブラウザの開発者モードを活用して行うことが可能です。
ただ、一般的なWeb担当者にはちょっと難易度が高い作業となるはずです。そんなWeb担当者向けに我々は「外部送信先チェック」というサービスを提供しています。調査対象のURLをいただき、そこで発生する情報送信先を一覧化してお戻しするサービスです。
これらの確認結果は、一覧にまとめて、公開しなくてはいけません。公開方法の具体的ルール、公開すべき項目は、今秋発表される「総務省令」で示されます。

Q.お話をうかがうと、まだ関心の低い電気通信事業法などでも、データプライバシー対策は、差し迫った課題だなと感じます。まずはどこから手をつければいいでしょうか?

自社では、どこで・どんなユーザーデータを取得し・どう管理し・どう活用しているのかを棚卸しすることです。「取得」に関しては、Webフォームや、店頭で使用する紙フォームがチェックポイントです。「管理」に関しては、CRMツールは国内製か・外国製か、委託先があるかなどです。「活用」に関しては、第三者提供しているのか、目的に沿った活用かなどです。
次に、ユーザーデータの取り扱いに関して、対外的にどんな約束をしているのかのチェックです。端的に言うと、プライバシーポリシーのチェックです。
そして、将来的にユーザーデータを活用して何をしたいのかを明確にして、それに合わせて、ユーザーデータの取得、管理、活用を見直し、それを公表文書に反映させます。

ユーザー本位のデータ管理で、守りから攻めへ

Q.棚卸しの仕方や、チェックしての判断など、内製でやるのもなかなか大変な気がします。
データサインさんとともに、このような取り組みを支援していきたいと思っています。

〈データプライバシーコンサルサービス〉

  • ユーザーデータの取得・管理・活用の棚卸し
  • 対外公表文書の見直し
  • 社内勉強会の実施・新方針の社内への導入支援
  • Webサイト上で「情報送信指令通信」を制御するためにツール、webtru(ウェブトゥルー)の提供
  • ユーザー主権型のデータクリーンルーム構築サービス

今後ユーザーデータの活用で重要なのは、ユーザー視点での同意管理です。ユーザーに対して、個人情報の第三者提供の現状を表示し、ユーザーが自ら同意表明・同意撤回を行えるようにするのが、ユーザー主権型のデータクリーンルームです。

ユーザー主権型でのプライバシーデータ対策は、顧客データの戦略的な活用にもつながっていきそうですね。
宮崎さん、ありがとうございました。
データプライバシーは、変わりゆく法制度や市場動向のウォッチとユーザー本位のデータ管理と活用が課題です。
今後、ウェビナーや参考資料を通じてより最新かつ具体的な情報を発信してまいります。

出演者

宮崎洋史氏
株式会社Data Sign

寺内研二
株式会社 日本経済社
デジタルマーケティング局
局長

※内容および出演者の所属・肩書は2022年12月現在のものです