【要対応】カスタマーマッチの利用は"個人データの第三者提供"！個人情報保護法上必要な対応を解説

Google広告には、自社が保有する個人データを活用する、「カスタマーマッチ」という広告手法が存在しています。また、Facebookでは「カスタムオーディエンス」、Twitterでは「テイラードオーディエンス」というように、カスタマーマッチに類似する広告手法が数多く提供されています。

カスタマーマッチ及びそれに類似する広告手法の利用に際しては、自社が保有する個人データを利用するため、個人情報保護法への対応が不可欠です。

本記事では、カスタマーマッチ及びそれに類似する広告手法を利用するにあたって、個人情報保護法上必要な対応について説明しています。

1.カスタマーマッチとは

3rd Party Cookie規制により、リターゲティングやセグメント配信などのターゲティング手法が難しくなっていく中、自社が保有する個人データを活用した広告手法が、今後より重要になっていきます。

そのような広告手法が、Googleカスタマーマッチです。自社が保有する個人データとGoogleが保有する個人データを突合し、広告配信を行います（図解を参照）。Googleカスタマーマッチを活用することで、既存顧客への再アプローチや類似のユーザーへの広告配信が可能です。

【図解】カスタマーマッチの仕組み

Googleカスタマーマッチに類似する広告手法として、Facebookでは「カスタムオーディエンス」、Twitterでは「テイラードオーディエンス」というものが存在しています。これらも、Googleカスタマーマッチと同様に、自社が保有する個人データと広告プラットフォーマーが保有する個人データを突合することで、広告配信を行います。

このように、広告プラットフォーマー各社が同様の広告配信方法を設けていることからも、本配信方法の重要性が伺えます。

これらカスタマーマッチに関する情報の詳細は以下の記事において解説しています。

「【図解】Google広告「カスタマーマッチ」とは？ 活用方法と注意点を解説！」

2.カスタマーマッチと個人情報保護法

2-1.カスタマーマッチの法的性質：カスタマーマッチの利用は個人データの第三者提供に該当します！

カスタマーマッチの利用は、自社が保有する個人データを活用するという点から、個人情報保護法への対応が不可欠となります。

具体的には、カスタマーマッチの利用は個人データの第三者提供に該当します。
利用にあたっては、本人の同意取得等が必要となります。この点は、2021年9月に個人情報保護委員会（PPC）により公開された個人情報保護法のQ＆Aにて明確化されました。

具体的には以下2つの事例のように、個人データの提供先において、提供された情報が提供先の保有する情報と突合される場合には、本人の同意取得等が不要な「委託に伴う提供」（個人情報保護法27条5項）に該当しない、つまりは本人の同意取得等が必要な個人データの第三者提供に該当すると説明されています。

・既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること
・既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること 「個人データ」とは、識別された自然人又は識別可能な自然人（「データ主体」）に関する情報を意味する。
識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。 引用：個人情報の保護に関する法律についてのガイドライン に関するQ＆A QA7-42

カスタマーマッチの利用は、自社が保有する情報とGoogleが保有する情報を突合し、利用するという点で、Q＆Aにおいて説明されている事例に該当し、本人の同意取得等が必要になるということです。

なお、Facebookの「カスタムオーディエンス」、Twitterの「テイラードオーディエンス」も、自社が保有する情報と広告プラットフォームの情報を突合するという点では同じであるため、同様に個人データの第三者提供に該当します。

2-2.カスタマーマッチの利用に関する法律対応において必要なこと

2-2-1.個人データの第三者への提供に関する同意取得対応

個人情報保護法対応において必要なことの具体例を見ていきましょう。

まず、個人データの第三者提供に該当するため、本人の同意取得が必要になります（個人情報保護法27条1項）。プライバシーポリシー等の同意取得の際に提示する文書に、同意取得のための文章を記載する必要があります。

ガイドラインにおいては、同意取得のための文章の条件について、以下のように説明されています。

・同意の取得に当たっては、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。 引用：個人情報の保護に関する法律についてのガイドライン（通則編）

具体的には、以下の情報を記載することが考えられます。

• 個人データの第三者提供を行う旨
• 提供を行う情報の種類（メールアドレス・電話番号等）
• 提供先に関する情報（会社名等）
• 提供の目的（カスタマーマッチの場合は広告配信が目的となる）

2-2-2.外国にある第三者への提供対応

次に対応が必要なものとして挙げられるのが、外国にある第三者提供規制対応です（個人情報保護法28条1項）。

カスタマーマッチを提供しているGoogleは外国に所在地を置く企業です。
そのため、カスタマーマッチの利用は、個人データの第三者提供であるのと同時に、外国にある第三者への提供にも該当します。

外国にある第三者への提供規制対応とは、具体的に以下2パターンの対応です（個人情報保護法28条1項）。自社の法対応に関するリソース状況等を勘案して、どちらのパターンでの対応を行うか決定する必要があります。

• 外国にある第三者への提供についての同意取得を行った上で対応を行う。
• 個人情報保護法に定められている基準に適合する体制を整備している者であることを確認した上で提供を行う。

なお、上記箇条書きにおいて、「同意取得」「確認」と記載しておりますが、「同意取得」や「確認」に伴い、様々な対応が必要です。

例えば、「同意取得」に関して言えば、個人データの移転先となる国名に関する情報の本人への提供、「確認」では、提供先の状況及び外国の制度についての定期的な確認が求められます。

なお、カスタマーマッチと類似する広告手法を提供している広告プラットフォーマーは、Twitter・Meta（Facebook）と、外国に所在地を置く企業が多く、他のプラットフォームで広告配信を行う場合にも、外国にある第三者提供規制対応は重要となります。

2-3.カスタマーマッチの利用に関する法律対応にあたっての注意点

2-3-1.既存顧客の個人データは基本的にはカスタマーマッチに利用できない

ここまで、カスタマーマッチの利用に関する法律対応について説明してきましたが、いくつか注意点があります。

まず、既存顧客（カスタマーマッチを利用する以前の顧客）の個人データは基本的にはカスタマーマッチに利用できません。なぜなら、仮にプライバシーポリシーの改定等を行い、新規顧客について同意取得を行えるようになったとしても、既存顧客については同意取得がなされていない状態であるためです。

カスタマーマッチに既存顧客の個人データを利用するためには、例えば顧客向けシステムへのログイン時や個人情報入力フォームの通過時等に、新たに既存顧客から同意取得を行う必要があります。

なお、プライバシーポリシーを改定した旨のメールを送付するだけでは、同意取得を行えたということにはなりません。同意取得が行えたと言えるためには、本人の能動的なアクションが必要であるためです。

同意取得に関して、CMP（Consent Management Platform／同意管理プラットフォーム）の活用という手段があります。弊社の提供する「Trust 360」では、同意情報をCRM等と連携することで、同意取得の接点を持つことが難しい既存顧客に対しても、同意取得の接点を持つことが可能な場合があります。
＞＞Priv Techの「Trust 360」はこちら

2-3-2.今後のマーケティング活動を見据えた対応が必要

法律対応においては、今後のマーケティング活動を見据えた対応が必要です。

例えば、同意取得に関しては、今後行うかもしれないマーケティング活動を想定して、同意文言の設計を行う必要があります。マーケティング活動の変化によって、同意文言の修正が発生してしまうと、再同意を取得する必要が発生する可能性があるためです。再同意の取得の必要性は、マーケティングにおいて使用できる個人データが少なくなってしまう可能性を秘めています。

3.まとめ

カスタマーマッチの利用は、3rd Party Cookie規制により、ターゲティングが難しくなっていく中、効果的な広告手法です。

ただし、自社の個人データを活用するため、

• 個人データの第三者への提供に関する同意取得対応
• 外国にある第三者への提供規制対応

等の、個人情報保護法に関する様々な対応が不可欠です。

弊社は、個人情報保護法対応を支援するコンサルティングサービスを提供しています。プライバシーやマーケティングに関する知見を活用した支援が可能です。具体的には、プライバシーポリシー改定に関するアドバイザリー等が可能です。自社のみでの対応に不安がある場合には、ご利用をご検討ください。
＞＞Priv Techの「プライバシーコンサルティング」はこちら

また、弊社の提供する「Trust 360」では、同意情報をCRM等と連携することで、カスタマーマッチについて、同意取得を行うことが可能です。同意取得の接点を持つことが難しい、既存顧客についても、同意取得の接点を持つことが可能な場合があります。
＞＞Priv Techの「Trust 360」はこちら

本メディア（Priv Lab）では、各種プライバシー関連法への対応やデータ活用に関する記事を配信しております。関心がある方は、ぜひ他の記事もチェックしてみてください。

公開日：2022年12月6日