2021.09.02

改正個人情報保護法がターゲティング広告配信に与える影響

2022年4月より、改正個人情報保護法が施行します。今改正は企業のデータ利活用を促進する一方で、個人関連情報の第三者提供が規制されます。これにより個人関連情報を活用しているターゲティング広告などのデジタルマーケティングでは影響を受ける可能性が高くなっています。

今回は改正個人情報保護法がターゲティング広告配信に与える影響について、個人関連情報やターゲティング広告の仕組みを踏まえて解説します。

この記事のポイント!
  • 2022年4月に施行される改正個人情報保護法には、広告配信に関連する個人情報関連情報の第三者提供規制が課された
  • 個人関連情報はCookieやIPアドレスなど、それだけでは個人が特定できない情報のこと
  • ターゲティング広告にはCookieなどの個人関連情報が使用されているため、第三者提供の規制に該当するケースがある
  • 個人関連情報を他の個人データを紐付けないのであれば、第三者提供規制の対象外となる

改正の概略

2020年6月に個人情報保護法の改正が成立し、2022年4月より施行されます。今回の改正は仮名加工情報の登場による企業のデータ利活用を促進するほか、個人関連情報の第三者提供の制限や違反への罰則・ペナルティの強化などがポイントです。また個人権利の保護強化による利用停止権の拡充や、海外にある第三者への個人情報提供の制限などが決定しました。
企業が個人データを活用しやすくなるといったメリットがある一方で、個人情報取扱の強化や違反した際の罰則・ペナルティも強化されていますので、その点には注意が必要です。

広告配信に関連する「個人関連情報」とは?

個人関連情報とは、CookieやIPアドレスのような、それだけでは個人が特定できない粒度の情報です。これらのデータを自社で保有する個人データに紐付けて利用する場合には、一定の保護のための義務が課されるようになりました。具体的には、個人関連情報の取得や第三者に提供する場合に、本人同意が必要になります。

ターゲティング広告の一般的な仕組み

個人関連情報の第三者提供への本人同意の義務化は、デジタルマーケティングに与える影響が大きく、なかでもターゲティング広告が関係します。ターゲティング広告への影響が大きい理由は、ターゲティング広告の配信にCookieやユーザーの行動履歴など個人関連情報に該当するデータが利用されているからです。

ここでは、個人関連情報がターゲティング広告に与える影響を押さえるため、ターゲティング広告の一般的な仕組みをみていきます。

ターゲティング広告の種類

ターゲティング広告では、広告の内容と興味関心や属性が該当するユーザーに広告が配信されます。以下は、ターゲティング広告の主な種類です。

種類利用データ
行動ターゲティング広告閲覧履歴・購買履歴、興味関心や消費行動の類推
属性ターゲティング広告年齢・性別・居住地などの属性
リターゲティング広告ユーザーが訪れた広告主サイトでの行動履歴
コンテンツターゲティング広告ユーザーが閲覧しているサイトのコンテンツ内容・カテゴリー
※ユーザー情報ではない

ユーザーの視点からみるとネットサーフィンをしていると自分が過去に閲覧した、関心のありそうな商品が広告として出てくることもあります。これは全てターゲティングされた上で配信されています。

こうしたターゲティング広告を、不安に思ったり嫌うユーザーもいるのも事実です。自社のコーポレートサイトやサービスサイト、その他運営サイトにおいて、ユーザーにネガティブな感情を与えていないか改めて注意が必要です。

ターゲティング広告の仕組み

ターゲティング広告は一般的に、以下のような仕組みで配信されています。

不特定多数のユーザーは、Cookieやキャリアの端末識別番号から識別されています。またCookieはWebサイトに流入したユーザーのブラウザに付与され、サイト離脱後もユーザーの行動を追い、行動履歴を蓄積していきます。この蓄積されたデータをもとに、ユーザーの行動履歴や興味関心に沿ったターゲティング広告を配信する仕組みになっています。

パブリックDMPについて

ターゲティング広告を配信するにあたり、自社で蓄積したユーザーデータだけではなく、外部からユーザーデータを提供してもらうこともあります。なぜなら自社で保有するデータだけでは、データの質や量に限界があるからです。

そこで活用されるのが、広告主以外の第三者が保有しているデータを統合・分析した上で提供されるパブリックDMPです。さまざまな事業者から集めたユーザーデータを統合することで、広告主はより精度の高いターゲティング広告が配信できます。

このパブリックDMPですが、ターゲティング広告に大きく貢献する反面、提供先で他のデータと照合することで個人情報になることを知っているにもかかわらず、非個人情報として第三者に提供するスキームが横行しつつあります。

これは現行の個人情報保護法では、Cookieのようなそれだけでは個人が特定できないユーザーデータであれば、提供先で個人データとなることを知っていても、本人同意が必要ないことが原因です。改正個人情報保護法では、このようなデータ授受は違反となるため注意が必要です。

データ授受における注意点

第127回個人情報保護委員会「資料1 個人情報保護を巡る国内外の動向」

図のような場合、A社はCookieは持っていますが、住所のような個人を特定する情報は一切持っていないので、個人情報を持っていないという整理になります。そのため、A社がCookieデータをB社に提供するとしても、これは個人情報の第三者提供にはなりません。

つまり、Cookie単体は非個人情報(個人情報ではない情報)なので、③のようにA社はCookie ID等に係るデータの提供について、本人の同意を取らずにB社にデータを提供することが可能です。しかし、今回新たに規制がかかったのは、B社においてもともと持っているCookie IDに紐付けて管理しているユーザーの氏名や住所といった個人情報と、A社が持っているCookieに紐づくユーザーの閲覧履歴(非個人情報)を紐付けて管理・利用する際には、ユーザーの同意が必要になる点です。

基本的に同意を取るのはB社側(提供先)であり、そこに、「A社は、B社の同意取得状況を確認してからCookieやそれに基づく閲覧履歴を提供してください」という規制が追加されました。Cookie単体では個人情報ではないことは変わりませんが、提供先のB社側において個人情報に紐づくことが想定される場合、同意を取得しなければならないので注意が必要です。

ターゲティング広告すべてが規制対象になるわけではない

改正個人情報保護法でポイントとなるのは、全てのターゲティング広告が個人関連情報の規制対象になるわけではないということです。個人関連情報の第三者提供の規制対象外となるのは、提供先がCookieなどを個人データとして利用しない形式でのターゲティング広告です。

例えば、ログイン認証を行わないウェブサイトにおけるターゲティング広告の場合、フォームなどで氏名・メールアドレスなどの個人情報を取得しないため、ブラウザを識別することはできますが、ブラウザを利用する個人を識別することはできず、改正後の「提供先において個人データとして取得することが想定される場合」という要件を満たしません。

つまりCookieや端末識別番号などそれだけでは個人を特定できないデータのみをターゲティング広告に利用するのであれば、個人関連情報の第三者提供規制が適用されません。規制対象となり本人同意が必要かどうかを判断するには、以下2つのポイントをチェックしましょう。

  • ターゲティング広告配信のために提供されるデータと、自社保有している個人のデータを紐づける予定があるか
  • 配信ユーザーの特定のために提供するcookieを、利用するDMP事業者等において個人データとして利用するか

つまり外部からもらうデータと自社の保有するデータを紐づける、第三者にあたる提供先で個人データとして利用される場合に本人同意が必要です。

施行に備えて確認するべきこと

ターゲティング広告を利用している事業者は、改正個人情報保護法の施行に備えて以下ポイントを社内で確認しましょう。

  • 提供、または提供されている情報やデータの内容、種類
  • 提供先の利用状況の確認、確認状況
  • プライバシーポリシーの利用目的、同意取得方法の確認

個人関連情報を提供している、または提供されている事業者は、データの内容や利用状況をお互いが明確に把握している必要があります。両者がデータ内容や利用状況を把握しないことには、個人関連情報の規制に該当しているのかが判断できません。

これまではデータの授受のみでお互いが把握していなかったことも、全て明確にしておくことが求められます。また改正個人情報保護法では、規制に違反した際の罰則やペナルティも強化されています。そのため知らないところで違反していたということがないよう、施行に備えて早めに確認・対応しましょう。


執筆者

中川路 寛
KAN NAKAKAWAJI

セールス&マーケチーム所属。ブログ執筆などのマーケ施策を担当。

前回の記事