【イベントレポート】Privacy Tech サミット 2021 | 2021年12月16日開催
Priv Tech株式会社(以下、Priv Tech)は、GumGum Japan株式会社、LiveRamp Japan株式会社、株式会社DataSign、株式会社インティメート・マージャー、TMI総合法律事務所と共催し、Webサミット【Privacy Tech サミット 2021】を開催しました。
イベント概要
●開催日時 2021年12月16日(木)13:00~16:10
●概要 改正個人情報保護法の改正内容のおさらいから、同意取得・各種ポストクッキーソリューションについて解説しました。また、以下のテーマについて、有識者によるパネルディスカッションを実施しました。 <テーマ> ・企業に求められるプライバシー対策について ・ポストクッキーソリューションの事例と国内における課題、展望
●開催結果 お申込者数 :346名 参加者満足度 :85%(大変満足・おおむね満足と回答した方の割合)
本イベント開催の目的
改正個人情報保護法の施行が来年4月に迫る中、企業様は自社のプライバシー対策に対し、守りの施策・攻めの施策を考えていく必要があります。しかし現在、さまざまな情報が錯綜し、混沌としている状況です。
本サミットを通して、法改正や各種規制の影響に対し、正しい情報を持ち帰っていただき、具体的なアクションにつながることを目的として開催いたしました。
プロフィール
<第一部>
 |
TMI総合法律事務所 パートナー弁護士 |
 |
株式会社DataSign Business Developer 宮崎洋史 提供サービス:同意管理ツール「webtru」 他 |
 |
Priv Tech株式会社 代表取締役 中道大輔 提供サービス:同意管理ツール「Trust 360」 他 |
<第二部>
 |
株式会社インティメート・マージャー 代表取締役社長 簗島亮次 提供サービス:共通IDソリューション「IM-UID」 他 |
 |
LiveRamp Japan株式会社 Head of Partnership 今井則幸 提供サービス:データ接続プラットフォーム「LiveRamp」 |
 |
GumGum Japan株式会社 Head of Sales 松本亮 提供サービス:コンテクスチュアル広告 |
改正個人情報保護法の概要
2020年6月、国会において「改正個人情報保護法」が可決・成立し、これまでに比べてより厳格な個人情報の取り扱いが定められました。この改正法の施行が2022年4月に迫っており、各社が対応を急いでいる現状です。
改正個人情報保護法の詳細についてはこちらの記事をご覧ください。 ・法務部必見!個人情報保護法改正による影響と必要な対策【2021年版】 ・2020年6月可決成立! 改正個人情報保護法が企業に与える影響とは?
今回の改正のポイントである「個人関連情報」について、大井弁護士はこう語ります。
大井
日本の個人情報保護法において、Cookieは個人情報ではなく「個人関連情報」と定義づけられています。GDPRやCCPAなどにおける個人情報の定義とは異なる点に注意が必要です。ただし、Cookieと個人データが紐づけられ、個人を識別できる場合には全体として「個人情報」に該当します。
今回の改正法でどのようなものが規制対象になるかというと、例えば、EC事業者(下図B社)がDMPベンダー(下図A社)から個人の趣味嗜好などの情報がわかるCookieデータの第三者提供を受け、自社が持つ個人データと突合した場合です。
提供元が、
つまり、下図でいうとEC事業社には同意取得義務が、DMP事業社には確認義務が発生します。
電気通信事業法の改正検討も始まっている点にも注目
改正個人情報保護法だけでなく、電気通信事業法や指針の改正検討が始まった点にも注目が必要であると大井弁護士は語ります。
大井
個人情報保護法だけでなく、「電気通信事業法」の改正の検討が12月から始まりました。現時点では、利用者の事前同意に関して明確なルールはありませんが、本検討によって、Webやアプリの運営会社がCookieデータを広告会社などの外部に提供する場合、同意を取得したり、オプトアウトができるような仕組みを導入する必要が出てきます。
現時点ではCMPは法的に義務付けられていませんが、この改正検討によって該当のトランザクションにおいて、CMPで同意を取らなければならなくなる可能性があります。
第一部:プライバシーファーストな時代に気を付けること
第一部は、TMI総合法律事務所 大井氏、DataSign 宮崎氏、Priv Tech 中道による、企業の個人情報取り扱いに関するユースケースについてディスカッションをおこないました。(モデレーター:さしみ氏)
ターゲティング広告経由でSNSに登録された情報を取得する場合、同意取得が必要
Facebookなどのターゲティング広告経由でSNSに登録された情報を取得する場合も、同意取得が必要であると大井弁護士は語ります。
中道
例えばFacebookで30代男性向けにターゲティング広告を配信したとします。それ経由でECサイトに来訪して個人情報を入力して登録した場合に、そもそもFacebook広告経由でランディングしたとか、どの広告を踏んできたかでFacebookに登録してある年齢や性別といった情報も取得することになりますよね。そういった場合は同意取得は必要になるのでしょうか。
大井
このケースは個人関連情報に該当する、同意取得が必要だと考えられます。 URLのパラメータで情報を引き渡していた場合、そのID自体も個人関連情報に該当する可能性があります。
中道
GAなどの解析ツールにある会員ID(UserID)と個人関連情報を紐づける場合は?
大井
実は判断が難しい部分で、具体的なデータの内容を見て判断する必要があります。今回の改正法では、Cookieデータ等の個人関連情報を「個人データとして取得するかどうか」が分かれ道なんです。
個人情報のガイドラインに対するパブリックコメントをご紹介します。
提供先の第三者が保有する個人データと紐づけて利用するものの、紐づける個人データが、それ単体では個人を識別することができるものではなく、容易照合性の観点から個人データとなっている情報(例:ID のみで管理されている情報)である場合にも、「個人データとして取得する」場合に該当しないとの理解でよいか
⇒個別の事案ごとに判断することとなりますが、提供先の第三者が、提供を受けた個人関連情報を、それ単体では特定の個人を識別することができない情報と紐付けて利用するのみであり、個人データとして利用しないのであれば、「個人データとして取得する」場合に該当しないと考えられます。
引用元:「個人情報の保護に関する法律についてのガイドライン(通則編)の一部を改正する告示案」に関する意見募集結果/個人情報保護委員会事務局」
MAなどの企業情報DBの場合は、具体的なユースケースで判断
MAツールなどで付加される企業情報(法人情報)においては、それらの情報が個人関連情報に該当するという見解はまだ出ていないようです。しかし、こちらも具体的なユースケースを確認して判断するべきと中道は語ります。
中道
企業情報DB(IPアドレスをキーにしてCRMに企業情報を付加するケース)はどう考えたらよいでしょうか?
大井
そもそも個人ではなく、法人に関するデータを付加するケースですね。 この場合Webサイトにアクセスしているのが個人でも、送られている情報は法人情報ですから、法人単位の情報に見受けられますね。まだ個人関連情報に該当するのかという見解は出ていません。
中道
このあたりは具体的なユースケースを持って判断するべきですね。
ASP(アフィリエイト)の場合は両方向から考える必要がある
両方向でデータのやり取りが発生するASPの場合は、それぞれのトランザクションを確認し、同意取得の要否を判定する必要があると大井弁護士は語りました。
中道
ASP......アフィリエイトの場合はどうでしょうか?
ユーザーがブログを見て広告主のバナーをクリックし、広告主企業のサイトで商品を購入した場合、広告主企業は「どのサイトから来たか」などをデータとして受けていますよね。
大井
そのデータを広告主企業側でCRMの個人情報に紐づけて管理している場合は規制の対象になりますね。ASPの場合、ASP企業と広告主企業間で往復のデータのやり取りがあるので、両方向のトランザクションを判定する必要があります。
委託か第三者提供かの判断は「お客様からいただいた情報を独自ビジネスでも利用するか」
ツール提供会社と導入企業の間で委託契約を結んでいる場合であっても、改めて委託か第三者提供かの判断をおこなう必要があると大井弁護士は語ります。その判断軸は「お客様からいただいた情報を独自ビジネスでも利用するか」という点です。
宮崎
例えば解析ツール提供企業と導入企業とで委託の関係が成り立っている場合は、第三者提供として該当するんでしょうか?
大井
委託か第三者提供かを改めて判断する必要があります。 委託か第三者委託かの判定方法は、提供された情報を独自ビジネスでも利用するか否かです。独自のビジネスでも利用する場合は、委託ではなく第三者提供として判断しなければなりません。
委託先でどういう処理をしているかなども確認しないといけませんから、要注意です。
SNS事業者のカスタマーマッチサービスでも、同意取得が必要
SNS事業者が提供するカスタマーマッチサービスにおいても、同意取得は必要であると語られました。
大井
例えば、ユーザーのメールアドレスをSNS事業者に提供し、SNS事業者がもともと持っていたメールアドレスと突合し、両者が一致した場合に当該ユーザーに広告を配信するという仕組みの場合でも、同意取得は必要です。同意取得の方法としては2パターンあります。
個人情報をハッシュ化しただけではNG!
デジタルマーケティング領域でよく耳にする「ハッシュ化」。しかし、ハッシュ化するだけでは不十分であるため注意が必要であると宮崎氏は語ります。
宮崎
営業現場で、よく「メールアドレスはハッシュ化すれば匿名化されるから、問題ないんですよね?」とよく聞かれます。 ※ハッシュ化:データをハッシュ化アルゴリズムを利用して不規則な文字列に変換するもの。元データが同じでかつハッシュ化アルゴリズムも同じ場合、ハッシュ値は同じものになる。
ハッシュ値だけ見るとたしかに個人は識別できませんが、同じハッシュ化アルゴリズムを使えば再識別できてしまうため、「ハッシュ化するだけではNG」が回答になります。
ハッシュ化するのであれば、乱数(SOLT値)を付けて、その乱数表も削除する必要があります。
第二部:ポストクッキーソリューションの最前線
第二部では、GumGum Japan 松本氏、LiveRamp Japan 今井氏、インティメート・マージャー 簗島氏、Priv Tech 中道による、ポストクッキーソリューションの事例や国内における課題などについてパネルディスカッションをおこないました。(モデレーター:さしみ氏)
ポストクッキーソリューションについての詳しい記事はこちらをご覧ください。 ・ポストクッキー時代到来!マーケターが気を付けるべきポイントとは
ポストクッキーソリューションへの問い合わせは、まだまだ「アーリーアダプター」がメイン
ポストクッキーソリューションを提供する各社は、ポストクッキーソリューションへの問い合わせ、導入はまだまだ先進的な取り組みをおこなういわゆる「アーリーアダプター」がメインだと語ります。
中道
ポストクッキーソリューションは実際どれくらい国内で普及しているのでしょうか?
簗島
国内の場合、大手の企業様が悩みを抱えて相談に来る・引手あまたというよりは、先進的な取り組みをされている企業様から問い合わせが来ている印象です。課題感の感度が高いお客様が多いですね。いわゆるアーリーアダプターと呼ばれる方々です。
また、広告主企業様だけでなく、メディア様にも提供していくというのがポストクッキーソリューションの特徴ですね。
今井
そうですね。メディア様の方が若干いち早く動いているかなと思います。
さしみ
収益に直接影響が出ますからね。
松本
GumGumでも既存の広告からの切り替えというよりは、「コンテキスチュアル広告って面白いね」という企業様からのお声がけが多いかもしれません。
簗島
海外だと、大手の広告主様がGAFA以外のメディアを育成しないといけないという観点で、エコシステムを守るためにポストクッキーソリューションを導入している感じがあります。コロナ禍でインターネット広告市場が伸びたと言われていますが、その内訳のほとんどがGoogleとFacebookなんです。むしろインターネット広告市場はGAFA以外は横ばいかもしれません。
中道
3rd Party Cookieが無くなると、RTB(Real Time Bidding)も厳しいですよね。RTBはまさにGAFA以外のところでメディアを運営している企業様が多いですから、エコシステムが崩壊すると、そこの収益が落ちてしまいますし。
今井
GoogleとFacebookはもちろん見ますけど、見ている時間って実はそんなに長くないんです。やっぱり自分が探し求めているコンテンツを見に行きますから、GAFAだけではカバーしきれないということが起こると思います。
中道
話しは少し変わりますが、ブラウザのCookieを全部ブロックすると、メディアに表示される広告がアダルトとか英語とかノンターゲティングな広告になってしまって、すでにインターネットの場が荒れ始めてますよね。
簗島
そうですね、Cookieをオンにしないと変な広告が出るんですよね。Cookieが使えないということは、もちろんプライバシーは守られるんですけど、荒れた広告が出るということにもなります。だからその塩梅をコントロールするために、アドテクベンダーが頑張らないといけないなって思いますね。
DSPの浸透度の低さが、ポストクッキーソリューション普及のハードルに
日本国内においてポストクッキーソリューションがまだまだ普及していない背景には、DSPの浸透度の低さがあるのではないかと課題提起がされました。
中道
皆さんの広告は、直販と代理店さんのどちら経由の販売が多いのでしょうか?
松本
我々は総合代理店さん系の商流が強いですね。
今井
弊社は直接広告主様や媒体者様とお話しさせていただく割合の方が多いです。
簗島
メディア様はほぼ直接、クライアント企業様も問い合わせ自体は直接が多いかもしれませんね。
中道
なるほど。このあたりをしっかり提案して他の広告施策と並行して運用できるような広告代理店さんは、国内にまだいないのかなと思うんですがどうでしょうか。
簗島
そうですね。国内市場において、DSPの浸透度が低いというのがポストクッキーソリューション導入における一つの課題だと思います。国内の広告代理店さんでは、なかなかDSPを使うという手法を取らないんです。このあたりがポストクッキーソリューションを導入するハードルになっているかなって。
今井
私は元々外資系のDSP企業にいたのですが、日本のお客様に「DSPは何を使ってますか?」と聞くと、GDNやYDNと答える方が多かったんですね。エンドクライアント様の知識がそこに寄っているので、どうしても中間にいる代理店さんはクライアント様の要望に答えたくてGDN・YDNを提案してしまうというのも日本市場の特色だと思います。
松本
GumGumは純広という買い付け方法とDSP経由での導入ができますが、海外はほぼDSP経由なのに、国内はほぼないんですよね。市場の浸透度が全然違うなと感じます。
簗島
DSPは自由度が高いので、それこそポストクッキーソリューションを導入しやすいと思います。しかし国内だと、ポストクッキーソリューションを導入するためにまずはDSPの選定から始めないといけないし、過去DSPの成果が悪かったから......と足踏みしてしまうというのもありますね。本来、ポストクッキーとは別の話なんですけど。
中道
Google、Yahooと比べてしまうんでしょうね。広告って、本来は横軸で共存させていくものだと思うんですが、DSP単体で評価されて悪者扱いされてしまう風習があるというか。
今井
弊社は人ベースのIDを活用した広告ですが、単独でこれだけやっていこうというのは難しいと思うんですよね。それこそ、GumGumさんと合わせてより精度を上げたターゲティングをするとか。そういう風に変わっていくんじゃないかと思います。
松本
広告主様目線で考えてみると、同じ業種のプレイヤーが同じところに広告投資を集中するとタッチポイントがほぼ同じで、ただクリエイティブが違うだけになってしまいます。これはもったいないですよね。もっと多くの選択肢を持っていただけると、幅が広がるはずですから。
ポストクッキーソリューションを検討するなら、総合的にやりたいことを相談するのが◎
ポストクッキーソリューションを検討する場合には、まずは総合的にやりたいことをまとめて相談するのが良いと各社は語ります。それぞれのソリューション企業は横のつながりを持っていることも多く、最適なパートナー企業を紹介できる場合もあるようです。
中道
ポストクッキーソリューションを検討する場合、どこから始めて、どこに相談するべきなんでしょうか。
簗島
クライアントの課題感によってベストなソリューションは違うし、単一ソリューションだけで解決できることは少ないと思います。複数のソリューションを試してベストを探してくれる会社様とお付き合いするのが適切かなと思います。
今井
実はそれぞれのソリューション企業は横で繋がっていたりするんです。総合的にやりたいことを相談してもらえたら、パートナー企業を紹介したりできるのかなと思いますね。
松本
コンテクスチュアル広告のプレイヤーも増えてきています。今井さんもおっしゃったように、横でつながっているケースも多いんです。クライアントの課題に応えられるのは、この会社だろうみたいに相互で紹介しあったりしています。まずはカテゴリーの誰かにご相談いただければいいのかなと思います。
簗島
誰に相談したらよいのかってやっぱり難しいですよね。このあたりの課題を解決する中心的な企業がいたらお客様は困らないんだろうなと思いますね。
ポストクッキーソリューションの普及に向けて、「格好いい事例」をつくりたい
日本国内ではまだまだ普及しきっていないポストクッキーソリューション。各社は普及に向けて「真似たい」と思えるような事例づくりに取り組んでいきたいと語りました。
中道
弊社はポストクッキーソリューションベンダーではありませんが、法律を守ったうえでクリアに使えるデータを収集してマーケティングを行っていく......という啓蒙活動をしっかりやっていきたいですね。
簗島
広告主様やベンダー様がポストクッキーに取り組むことで、格好いいな、真似たいと思ってもらえるのが理想ですし市場が盛り上がると思うんです。そのために、格好いい事例を作りたいですね。
今井
我々も外資のソリューションとして、事例をたくさん持ってきたいですね。我々がどうアダプターになれるかが重要だと思っています。
松本
皆さんもおっしゃる通り事例があるということが、日本においては大事だと考えています。各カテゴリーごとで壁を作るのではなく、透明性をもって共有できる環境ができるといいなと感じています。
カンファレンス参加者からの質問
ここからは、カンファレンスに参加した方々からの質問に回答していきます。
Q1:カスタマーマッチの問題について、カスタマーマッチ等が可能な広告プラットフォームを運用している企業は外資企業も多いが、外国にある第三者の提供規制という観点で気を付けることは?
ベンダーが海外企業である場合(SNS、SaaSなど)、外国への第三者提供において「越境移転規制」というものがあり、国を超えてデータを出す場合、日本の個人情報保護法の規制がかかります。
越境移転が許容されるのは以下の要件のいずれか1つを充足している場合です。
(ベンダーのセキュリティ体制と任本法を照らし合わせ、日本法に準拠しているかを評価)
Q2:法解釈に困った際は、誰に相談するのが適切か?
テックの疑問なのか、リーガルな疑問なのかで相談先を迷うと思います。単体の相談先ですべてをカバーするのは難しいので、複数の相談相手(テック、リーガル)でチームを組んで解決していくのをおすすめします。
参加者様の声
アンケートでは、このようなご感想をいただきました。
また、改正個人情報保護法対応やポストクッキーソリューションについて、それぞれお悩みも寄せられました。
<改正個人情報保護法対応の悩み>
<ポストクッキー対応への悩み>
本サミットは2022年2月にも開催を予定しております。 ご興味をお持ちいただけましたら、ぜひご参加ください。
パーソナルデータの取扱いにお悩みの方に
- 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
- 誰にどこまで同意を取ったか管理するのが大変…
- ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
- 同意は管理できても他社システムを上手く連携して使えないと…
で、すべて解決!