2022年4月1日に個人情報保護法が新たに改正されましたが、マーケティングにはどのような影響を及ぼすのでしょうか。国際的にも個人情報保護の必要性が高まる中、マーケティングの実務に大きな影響をもたらす法改正の内容も存在します。そこで本記事では、改正個人情報保護法の中で特にWebマーケティング担当者が押さえておくべきポイントや、具体的な対応方法について詳しく解説します。
改正個人情報保護法とは?
2015年に初めて改正された個人情報保護法は3年ごとに内容が見直されており、今回もまた新たな改正が行われ2022年4月1日に施行されました。これが今回ご紹介する改正個人情報保護法です。今回、個人情報保護法が新たに改正されたのは、個人の権利利益保護や国際的な潮流との調和を考えてのことです。改正のポイントについては、以下の7つの項目に大別できます。
1.個人情報の不適正な利用がなされた場合に利用停止の請求ができる
2.企業による個人データの漏えいが発生した場合、報告義務や通知義務が課せられる
3.企業の特定分野を対象とする団体の認定団体制度が新設される
4.仮名加工情報の開示・利用停止請求の対応義務を緩和
5.個人関連情報を第三者提供する場合、本人の同意を得ているか確認する義務が発生
6.措置命令違反や報告義務違反、個人情報データベース等の不正流用に対する罰則強化
7.日本国内で事業を行う外国事業者を報告徴収・命令の対象に加える
マーケティングにもたらす影響は?
企業がマーケティング活動をするうえで、今回の改正個人情報保護法でもっとも重要な項目は、5つ目の「個人関連情報を第三者提供する場合、本人の同意を得ているか確認する義務が発生」という部分です。こちらは広告配信やトラッキングの取得に大きく関わる部分なので、マーケティング担当者は必ず押さえておかなければなりません。マーケティング担当者が押さえておくべきポイント
個人情報保護法の改正により、情報の提供者としては個人データに該当しない情報(個人関連情報)でも、提供先で個人データ化するような場合は、原則として提供先が本人同意を取得し、提供者はその同意が得られているかを確認する必要があります。例えば、A社という企業がDMPサービスを使っているとしましょう。
DMPとは「Data Management Platform」の略で、Web上のユーザーの属性データや行動履歴を一元管理できるサービスです。この場合、DMP事業者は独自に取得したユーザーデータをA社に提供し、A社はそのデータを広告やCRM(顧客関係管理)など幅広い用途に活用します。
それでは上記の場合、データの提供者や提供先、個人関連情報はどのような位置付けになるのか、以下にまとめてみました。
・データの提供者:DMP事業者(ユーザーデータをA社に提供)
・データの提供先:A社(DMP事業者からユーザーデータを受け取り)
・個人関連情報に該当するデータ:Cookie情報やそれに基づく属性推定データ
これを改正個人情報保護法に照らし合わせると、A社はDMP事業者から提供されたユーザーデータを個人データ化するなら、消費者本人への同意取得が必要です。データを広告やCRMに活用する場合は個人データになり得るため、必ず消費者の同意を取得しなければなりません。
また、提供者や提供先にかかわらず、個人関連情報の受け渡しに関する記録を残しておくルールも、今回の法改正で追加されました。
企業側で行うべき対応とは
では、DMPサービスなどを介して個人関連情報を受け取る企業は、今回の改正個人情報保護法でどのような対応をすればよいのでしょうか。何らかの管理データを第三者から受け取っている場合は、以下の手順に沿って改正個人情報保護法に該当するか否かをチェックしましょう。1.提供されたデータが「個人情報」か「個人関連情報」かを確認
2.1で個人関連情報と回答→そのデータを広告などに使い個人データ化するか否か
3.2で個人データ化すると回答→消費者本人への同意取得が必要
2022年4月の法改正前では、外部から提供されたデータが個人関連情報であれば消費者へ同意を求める必要はありませんでした。しかし先にも述べた通り、外部から受け取ったユーザーデータを広告やCRMなどに活用する場合は、個人関連情報が個人データ化されるため、消費者本人から同意を取得する必要性が出てきます。
実際に消費者本人に同意を求める方法は以下の通りです。
・Webサイトなどで同意確認へのチェックを求める
・本人から同意する旨を示した書面を送付してもらう
・本人から同意する旨を示したメールを送信してもらう
現在は多くの企業が自社サイトを保有しているため、「Webサイトなどで同意確認へのチェックを求める」という方法が現実的だと言えます。
ただし本人が拒否しない限り同意したとみなすオプトアウト式の確認方法や、ただ単にプライバシーポリシーに詳細を記載しておく方法は法改正後では禁止されるため、注意が必要です。消費者本人から同意を得るには、該当ページに以下のような情報の明記と同意ボタンを設置しておく必要があります。
【同意を取得する際の文章例】
当社は第三者が運営するデータ・マネジメント・プラットフォームから、Cookieにより収集されたWebの閲覧履歴やその分析結果を取得しております。こうした情報をお客様の個人データと結び付けたうえで、広告配信等の目的で利用いたします。
(上記の個人データの取り扱いに同意する)
まとめ
2022年4月1日に施行された改正個人情報保護法の中で、Webマーケティング担当者が注意すべき点は、「個人関連情報を第三者提供する場合、本人の同意を得ているか確認する義務が発生」という部分です。今後は外部から個人関連情報を取得する場合、そのデータを広告や顧客情報管理などに活用する前に消費者本人へ同意を求める必要があります。特にDMPサービスからユーザーの属性データや行動履歴といった情報を受け取っている場合には、注意が必要です。
今回ご紹介した事例に該当するような場合には、すぐにWebサイトの構成を見直してみましょう。
【参考URL】
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
https://biz.moneyforward.com/contract/basic/1598/
https://keiyaku-watch.jp/media/hourei/kojinjyouhouhogohouishohou202101
https://www.tis.amano.co.jp/hr_news/1590/
https://www.lanscope.jp/trend/21360/
https://webtan.impress.co.jp/e/2021/12/01/41678
https://portal.bizrisk.iij.jp/article/16
https://www.pi-pe.co.jp/solution/article/financial/507/
https://solutions.dac.co.jp/blog/dataregulation_3
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
