行動ターゲティング広告に令和2年個人情報保護法改正が与える影響は?

IT・情報セキュリティ 公開 更新

 令和2年改正個人情報保護法に伴い、自社のウェブサイトで行動ターゲティング広告を行う場合、どのような対応をするべきでしょうか。

 行動ターゲティング広告は、ユーザーがあるウェブサイトにアクセスした際に、当該ユーザーのPCやスマートフォン等のブラウザごとのCookie(クッキー)等を通じてユーザー一人ひとりの趣味嗜好・性別・年齢・居住地等に関するユーザーデータを取得し、それを活用して当該ユーザーに狙いを絞った広告配信を行う手法です。

 令和2年改正個人情報保護法によって、クッキーなどの識別子は個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの)と定義されました。

 行動ターゲティング広告事業者などデータ提供先の第三者が個人関連情報を個人データとして取得することが想定されるときは、個人情報保護法23条1項各号に掲げる場合を除き、あらかじめ提供しようとしている個人関連情報にかかる本人の同意が得られていること等を提供元が確認しなければなりません。

解説

目次

  1. 行動ターゲティング広告とは
  2. クッキーとは
  3. DMPとは
  4. 行動ターゲティング広告を行う場合に留意すべき規制
    1. 令和2年個人情報保護法改正によって設けられた「個人関連情報」
    2. 業界団体による自主規制
    3. その他、国内の法律との関係
    4. GDPR
    5. CCPA
<編注>
2021年10月11日:個人情報保護委員会『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』(2017年2月16日、2021年9月30日最終更新)、および『「個人情報の保護に関する法律についてのガイドライン」に関するQ&A』(2017年2月16日、2021年9月10日最終更新)の更新を踏まえ、2および4-1について加筆、修正しました。

行動ターゲティング広告とは

 行動ターゲティング広告とは行動履歴情報から利用者の興味・嗜好を分析して利用者を小集団(クラスター)に分類し、クラスターごとにインターネット広告を出し分けるサービスで、行動履歴情報の蓄積を伴うものをいいます(JIAAガイドラインより)。

 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(令和元年12月13日)では、行動ターゲティング広告を「ユーザーがあるウェブサイトにアクセスした際に、当該ユーザーのPCやスマートフォン等のブラウザごとのクッキー等を通じてユーザー一人ひとりの趣味嗜好・性別・年齢・居住地等に関するユーザーデータを取得し、それを活用して当該ユーザーに狙いを絞った広告配信を行う手法」とし、インターネットにおける、ユーザーの訪問先サイトに係る登録情報、行動履歴情報、デバイス情報等の情報を取得し、利活用する典型例と紹介しています。

 ネット閲覧履歴などに基づき個人ごとに広告をするターゲティング広告については、リクナビ問題や個人関連情報に関する改正法の導入を踏まえて、見直しの機運があります。サッポロビールやアスクルではターゲティング広告の予算を大幅に削減する方向です。また、個人データを使わない広告の採用企業も増えていると報じられています 。

クッキーとは

 行動ターゲティング広告で用いられる、クッキーとはブラウザでサイトを閲覧した際に作成され、データを一時的に保管しておく仕組みであり、サーバにブラウザを識別する機能を持たせる識別子です。元々は会員制のサイトなどで、ログインした情報を記録して、次回ログインの手間をなくしたり、コンテンツの内容をユーザーに合わせて表示したりする目的で作られた技術です。

 クッキーには1stPartyCookieと3rdPartyCookieの2種類があります。
 1stPartyCookieとはユーザーが訪問しているWebサイトのドメインから直接発行されているクッキーのことであり、「クッキーの発行元のドメイン」=「訪問Webサイトのドメイン」であるクッキーを指します。

 3rdPartyCookieとはユーザーが訪問しているWebサイトのドメイン以外から発行されているクッキーのことです。「クッキーの発行元のドメイン」≠「訪問Webサイトのドメイン」です。

 たとえば、ユーザーがウェブサイトAを閲覧した際に、ウェブサイトAではない他の広告事業者Xのサーバから広告をダウンロードするような場面で、Xのサーバから発行されたクッキーが3rdPartyCookieに該当します。

 これは、ウェブサイトAと広告事業者Xが提携し、ウェブサイトA上にJavaScriptとよばれる簡易プログラムを設置し、これがブラウザに対して「Xのサーバにアクセスして広告の画像を取ってくる」ように指示することで実現されます。

 X側はウェブサイトAだけでなく、複数のウェブサイトに簡易プログラムを埋め込んでもらえれば、ユーザーのオンライン上の様々な行動履歴を把握することができるようになります。

 クッキー等の端末識別子は、それ自体、単体では個人情報保護法の「個人情報」(同法2条1項)には該当しません。ただし、特定の個人を識別することができる情報に割り当てられている端末識別子と共通のものが割り当てられていることにより、事業者内部において、特定の個人を識別することができる情報とともに参照することが可能な場合、「他の情報と容易に照合することができ」る(同法2条1項1号)と解され「個人情報」となる場合もあります。(個人情報保護委員会『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』Q1-16)

DMPとは

 広告事業者Xのような手法を用いて把握されたユーザーのオンライン上の行動履歴と趣味嗜好などの分析の結果をDMP(Data Management Platform)といいます。

 DMPには、企業が自社で蓄積したデータを活用するために用いる「プライベートDMP」と、DMPを運営する事業者が様々な事業者からユーザーデータを収集し、それにIDを付したうえで統合・分析し、さらには、外部に提供する「パブリックDMP」があります。

 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(令和元年12月13日)では、DMPに関連して下記の指摘をおこなっています。

〇ターゲティング広告には、個人情報が使用される場合もあるが、個人情報を含まないユーザーデータのみが使用される場合が多い。例えば、クッキー等の識別子に紐づくユーザーデータであっても、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合は個人情報となるが、従前、ターゲティング広告の多くでは、個人を特定しない形で行うことが業界の慣行となっていたところである。

〇一方、ここ数年、インターネット上のユーザーデータの収集・蓄積・統合・分析を行う、「DMP(DataManagementPlatform)」と呼ばれるプラットフォームが普及しつつある。この中で、クッキー等の識別子に紐付く個人情報ではないユーザーデータを、提供先において他の情報と照合することにより個人情報とされることをあらかじめ知りながら、他の事業者に提供する事業形態が出現している。

〇ユーザーデータを大量に集積し、それを瞬時に突合して個人データとする技術が発展・普及したことにより、提供先において個人データとなることをあらかじめ知りながら非個人情報として第三者に提供するという、法第23条の規定の趣旨を潜脱するスキームが横行しつつあり、こうした本人関与のない個人情報の収集方法が広まることが懸念される。

〇個人情報保護法では、生存する個人に関する情報であって、特定の個人を識別できるものを個人情報として規律の対象としているが、それ自体で特定の個人を識別できる場合に加えて、当該情報を取り扱う事業者の内部において、他の情報と容易に照合することにより特定の個人を識別できる情報も、個人情報に該当することとしている。

行動ターゲティング広告を行う場合に留意すべき規制

令和2年個人情報保護法改正によって設けられた「個人関連情報」

(1) 個人関連情報とは

 提供元で個人データではないが、提供先で個人データとなり得る、クッキーなどの識別子を含むDMPのような情報について、個人データの第三者提供を制限する個人情報保護法23条の適用があるか否か、改正前の個人情報保護法では明らかではありませんでした。

 そこで、令和2年改正個人情報保護法によって、提供元では個人データに該当しないが提供先で個人データとなるものが規律対象となりました(令和2年改正個人情報保護法26条の2第1項、令和3年改正個人情報保護法31条1項)。

 「個人関連情報」とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。」と定義されており、個人情報の保護に関する法律についてのガイドライン(通則編)では下記のとおり例示されています。

事例1)Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
事例2)メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
事例3)ある個人の商品購買履歴・サービス利用履歴
事例4)ある個人の位置情報
事例5)ある個人の興味・関心を示す情報

(2) 「個人関連情報」の第三者提供と本人の同意

 個人関連情報に該当する情報をデータベース等に保管し、当該データベース等をその事業の用に供している者個人関連情報取扱事業者といいます。

 令和2年改正個人情報保護法によって、個人関連情報取扱事業者が、提供先で個人データとして取得されると想定しながら個人関連情報を第三者提供しようとする場合に、当該個人関連情報に係る本人の同意が得られていることを確認しないで提供してはならないこととされました。

 詳細は「クッキー(Cookie)などの端末識別子等は個人情報保護法上どのように扱われることになりますか。」(後日掲載予定)を参照ください。

 なお、2021年3月24日に公表された令和2年改正の政令案・個人情報保護委員会規則案のパブリックコメント回答9番において以下の判断が示されています(下線筆者)。

寄せられた意見 御意見に対する考え方
 以下の事例において、A社がB社に対して顧客管理番号を連絡することは、個人情報保護法 26 条の2の規制対象とならないことを確認したい。
 A社は提携するB社から、B社が個人データとして管理している顧客管理番号を顧客からの問い合わせ業務の委託に伴って提供を受けている。具体的には、A社は、A社のコールセンターに問い合せがあった場合に、B社に対して当該顧客管理番号を連絡し、B社において個人情報データベースの顧客管理番号と照合して、A社コールセンターに問い合わせをした人物が、B社サービスを利用している顧客と同一かどうかを確認し、B社から顧客に対して連絡を行うために当該顧客管理番号を使用する。
 なお、A社においては当該顧客管理番号は個人データに該当しない。このような事案は、個人データの取扱いの委託に関する規定である個人情報保護法23条5項1号の規律の問題であり、A社がB社に対して顧客管理番号を連絡することは、個人情報保護法 26 条の2の規制対象とではないことを確認したい。
 本意見募集は本施行令案及び本規則案の内容に関するものですので、御指摘の個別の事案についてはお答えしかねますが、一般的に委託(法第 23 条第5項第1号)に伴って委託元が提供した個人データが、委託先にとって個人データに該当せず、個人関連情報に該当する場合において、委託先が委託された業務の範囲内で委託元に当該データを返す行為については、改正後の法第 26 条の2の規律は適用されないと考えられます。なお、委託先で独自に取得した個人関連情報を付加した上で、委託元に返す場合には、改正後の法26条の2の規律が適用されると考えられます

 個人情報保護委員会の第三者提供の考え方である、いわゆる「提供元基準」によれば、提供先で特定の個人を識別できない情報でも、提供元で(他の容易に照合できる情報と合わせて)特定の個人が識別できれば個人データの第三者提供となります。このことに鑑みると、クッキー、ID、顧客管理番号等、提供先において特定の個人を識別できない情報の提供も個人データの第三者提供に該当します。そうした場合に本人の同意なく提供先に提供するためには、「第三者」への提供に該当しない個人データの取扱いの委託(個人情報保護法23条5項1号)と整理することになります。

 しかし、上記のパブコメ回答によれば、個人データの委託の取扱い(個人情報保護法23条1項5号)と整理をし、下記の場合については、改正後の個人情報保護法26条の2の規律は適用されないものの、委託先で独自に取得した個人関連情報を付加したうえで、委託元に返す場合には、改正後の個人情報保護法26条の2の規律が適用されるとされています。

  1. 本人の同意なく個人データを提供できる場合であって
  2. 委託に伴って委託元が提供した個人データが、委託先にとって個人データに該当せず、個人関連情報に該当する場合において
  3. 委託先が委託された業務の範囲内で委託元に当該データを返す行為(たとえば委託先がCookie、ID、顧客管理番号に嗜好性データや属性データを付加して返す場合)

 また、2021年8月2日に公表された通則編ガイドラインパブコメ回答289-290頁においては、第三者提供制限の例外である「委託」該当性について、以下のとおり、個人データの取扱いの委託においては、委託元から取得した個人データを委託先が独自に保有する個人データと突合することはできない旨、また、かかる処理を行う場合には個人情報の第三者提供に関する本人同意を取得する必要がある旨回答しています(下線筆者)。

寄せられた御意見 御意見に対する考え方
 「提供を受けた個人関連情報を直接個人データに紐付けて利用しない場合は、別途、提供先の第三者が保有する個人データとの容易照合性が排除しきれないとしても、ここでいう『個人データとして取得する』場合には直ちに該当しない」という点について、提供先の第三者が個人データと紐づけて利用する場合が「個人データとして取得する」に該当する場合、事業者が行う広告配信プラットフォーマーを利用した広告の拡張配信には個人関連情報の規制がかかることになる。
 これとの対比で、上記の例で事業者から広告配信プラットフォーマーに提供する情報が 個人データであった場合、個人情報保護法 23 条5項1号の個人データの取扱いの委託と整理することはできず、第三者提供の同意(同条1項柱書)が必要となるか明確にされたい(いわゆる「混ぜるな危険」問題)。
 なお、本事例は、事業者から広告配信プラットフォーマーに提供された情報は、事業者から委託をした広告の拡張配信の目的にのみ利用され、広告配信プラットフォーマーに情報の処分権を付与しないケースを想定している
 一般に、個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データと本人ごとに突合する処理を行うことはできません
 提供先においてかかる処理が行われる場合、提供元は、原則として、個人データの第三者提供について本人の同意を取得する必要があります

 このように、本人の同意を得ずに「委託」構成で行っていたターゲティング広告は、今後実施が困難になっていきます。
 この点に関しては、個人情報保護委員会が2021年9月10日に公表した『「個人情報の保護に関する法律についてのガイドライン」に関するQ&A』において、以下のとおり具体的に解釈が示されています(同Q&Aは2022年4月1日施行)。

(第三者に該当しない場合)

Q7-41
 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41
 個人データの取扱いの委託(法第 23 条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。
 したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該 SNS 運営事業者において提供を受けたメールアドレスを当該SNS 運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

 これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。
(令和3年9月追加)

 上記Q&Aでは改めて、①外部事業者に対する個人データの第三者提供と整理したうえで、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理したうえで、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があることを明確化しています。

業界団体による自主規制

 行動ターゲティング広告については、JIAAが「行動ターゲティング広告ガイドライン」を策定しています。

 本ガイドラインは、利用者の行動履歴情報を行動ターゲティング広告に利用するJIAAの会員社に対して適用されるものですが、行動ターゲティング広告の配信を行う際は、ガイドラインの定めを参考とすることも有用です。

その他、国内の法律との関係

 行動ターゲティング広告の配信には、通信の秘密や独占禁止法など、個人情報保護法以外の法令についても確認が必要となる場合があります。

 メールやチャットの内容など電気通信事業法の対応となる「通信の秘密」(同法4条1項)に該当する情報を取得・利用する場合には留意が必要です。

 また、2021年2月に公正取引委員会から公表された「デジタル・プラットフォーム事業者の取引慣行等に関する実態調査(デジタル広告分野)について(最終報告)」ではデジタル・プラットフォーム事業者と消費者間の取引においても、「①利用目的を知らせずに個人情報を取得する行為(例:プライバシーポリシーの不明確さ)」や、「②利用目的の達成に必要な範囲を超えて個人情報を利用する行為(例:オプトアウト後のユーザー情報利用)」は、独占禁止法上の問題ある行為(優越的地位の濫用)となるおそれがあり、①については、取得する情報とその利用目的の対応を明確にすることが望ましく、②については、情報利用についての明確な説明をすることが望ましいと指摘されています。

GDPR

 GDPR上、クッキーを含む端末識別子は「個人データ」に含まれます。

 「個人データ」とは、「識別されたまたは識別され得る個人(「データ主体」)に関するあらゆる情報を意味する。識別され得る個人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、または当該個人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的もしくは社会的アイデンティティに特有な1つもしくは複数の要素を参照することによって、直接的にまたは間接的に、識別され得るものをいう」(GDPR4条1項)と定義されています。

 EUでは、従前からGDPRの特別法としての位置付けを有するePrivacy指令(Directive on privacy and electronic communications(通称、e-PrivacyDirective))5条3項において、ユーザーの端末装置に蓄積された情報を保管し、また、それらの情報にアクセスするためには、クッキーの利用目的をわかりやすく説明したうえで同意を取得すること(インフォームド・コンセント)が必要とされています。

CCPA

 2020年1月に施行されたカリフォルニア州消費者プライバシー法(CCPA)において、「個人情報」は以下のとおり定義されています。

第1798.140条(o)(1)
直接的・間接的に特定の消費者または世帯を識別する、関連付ける、記述する、連想できる、または、合理的に関連付けられる情報をいう。識別子、資産記録、購買記録などの営利情報、インターネット上の閲覧履歴、生体情報、位置情報、雇用情報、消費者の嗜好なども、この定義に該当する場合には、個人情報に該当する。

 この定義によれば、クッキーなどのオンライン識別子やインターネット上の閲覧履歴、位置情報なども個人情報に該当すると考えられます。

 CCPAでは、「個人情報」の「販売」が規制の対象となります。「販売」の意味は価値のある対価と引き換えに個人情報(クッキーなどのオンライン識別子を含む)を共有・転送する場合を含みます。

 消費者の個人情報を第三者に販売する事業者は、消費者に対して、個人情報が販売される可能性があること、および消費者が個人情報の販売についてオプトアウト権を有することについて通知しなければなりません。

 事業者は、個人情報の販売にあたって、消費者が16歳未満であることを実際に認識している場合には同意を取得しなければ行うことができず、また、それ以外の消費者についてもオプトアウト権を行使された場合には販売することができません。

参考文献
石井 夏生利、曽我部 真裕、森 亮二『個人情報保護法コンメンタール』(勁草書房、2021)
佐脇 紀代志『一問一答 令和2年改正個人情報保護法』(商事法務、2020)
西村あさひ法律事務所、太田 洋、石川 智也、河合 優子『個人情報保護法制大全』(商事法務、2020)
広瀬 信輔 『アドテクノロジーの教科書 デジタルマーケティング実践指南』(翔泳社、2016)
令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 関連書籍
  • 令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 著者:渡邉 雅之
  • 定価:本体 3,200円+税
  • 出版社:第一法規
  • 発売年月:2021年9月

  • 令和2(2020)年に成立した個人情報保護法の改正法に加え、令和3(2021)年に成立した改正内容や最新「ガイドライン」情報まで新たに織り込み、わかりやすくQ&Aとクイズで解説。サイトより規程等ひな型のダウンロードもできる。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する