2022年における個人データ活用の法規制と動向～BrainPad DX Conference 2022～

個人データを取り巻く規制

DOORS編集部（以下、DOORS）　このセッションでは「2022年における個人データ活用の法規制と動向」というテーマで、この3人で対談形式でお届けしていく予定です。

サービス業や小売業、ダイレクトチャネルを持っている製造業などの業種の方々にとって、「良い顧客体験を提供するために個人データをどう活用していこうか」というテーマは興味のある方も多いといえるでしょう。

また、最近はブラウザなどにおいて、具体的な規制も出てきています。そのため、今回はどのように個人データと向き合っていったらよいのかという対処方法についても、お話ししていきます。

1つ目のテーマでは、「個人データを取り巻く規制」についてまずは理解を深めていきましょう。現在、国内外にある事業会社が中止すべき規制とはどのようなものがあるか、弁護士資格もお持ちの石川さん、お話いただけますか？

株式会社ブレインパッド・石川　耕（以下、石川）　規制では、日本だと個人情報保護法という大きな法律があります。この法律に至るまでに、海外・ヨーロッパではGDPRという大きな規制が導入されました。加えて、アメリカのカリフォルニア州ではCCPA、中国でも個人情報保護法のような法律など、世界中で次々と法規制が進んでいる状況です。

その流れに促され、対応するような形で日本の法律の改正も進んでいるといえます。

DOORS　法律以外にもウォッチしておくべきルールや規制はあるのでしょうか？

石川　ブラウザ側の規制やプラットフォーマー側の規制が変わってきていますね。例えば、Googleやアップルがブラウザ側での個人情報の扱い方・クッキーの扱い方を変えてきている状況にあります。

簡単には個人に関する情報を入手させない規制も増えてきていることが世界的な流れになっています。

DOORS　法律だけでなく、企業の動きなどを幅広くウォッチしていく必要があるということですね。

具体的に、個人データと一口にいってもさまざまなデータがあります。そのうえで、法規制上では区別されて存在していても、どのような分類があり、それぞれの内容はどのようなものなのか掴みづらいと思います。現状を教えていただけますか？

石川　個人情報保護法では、氏名や住所を含む個人情報・他の情報と照合しない限り特定個人を識別できない仮名加工情報・特定の個人を識別できない匿名加工情報・クッキーやIPアドレスなどの個人関連情報などに区分けされています。

まず、個人情報・個人データといわれているものは、広くは「パーソナルデータ」と呼ばれたりします。法律上扱うのは、生存する個人に関する情報です。そのため、「個人特定ができるか」「特定の個人を識別できるか」という点で個人情報が大きく区分けされてる形式です。

個人を識別できなければ個人情報には当たりません。個人を識別できるものに関して「しっかり守っていく」という姿勢が個人情報保護法の基本的な考えだといえるでしょう。また、個人情報の中でもデータベース化されているものに関しては、個人データという言い方になります。

そのため、個人情報は基本的に「氏名」「住所」などの限定された情報であるため、特定の個人が識別できるというものです。さらに、加工した情報に関しては「仮名加工情報」や実際に復元不可能な形で加工した「匿名加工情報」という形で加工されていくことで、特定の個人を識別できない形式に変化します。そのため、個人情報そのものには当たらないということです。

さらに、個人情報にあたらないものとしては、「個人関連情報」が新しく導入されており、今後より注目されていくことが想定されます。

DOORS　区分として加工情報の中でも「仮名加工情報」「匿名加工情報」「個人関連情報」に分けられていることがわかりました。では、現在はクッキーやIPアドレスは個人情報にならないと捉えてよいものなのでしょうか？

石川　今の日本の法律では、個人を識別できない「個人関連情報」という扱いになっているため、「個人情報にあたらない」とされています。ただ、ブレインパッドなどの分析会社や特定のツールの中では、クッキーやIPアドレスを個人情報に紐づける使い方もあります。

そのような使い方をした場合は、個人を識別できる情報とつなげてしまうケースもあるでしょう。例えば、個人データベースの中で、クッキーの情報やWebページの閲覧情報をつなげ、個人を理解する形式で保管する場合などが該当します。クッキーや閲覧情報、IPアドレスを個人情報として保管しているということになるため、注意が必要です。

DOORS 　クッキーやIPアドレスに個人情報としての該当性があるわけではなく、個人情報とくっつけて管理をしているのかどうかという点で判断されるということですね。

石川　今のところ日本の法律ではそうなっています。しかし、ヨーロッパのGDPRではIPアドレスも個人情報として扱われているという流れもあるため、日本もどう変わっていくか気にしておく必要があるでしょう。そして、海外からの情報やデータに対して、どう扱うか、工夫したうえで保管・管理していくことも必要となる可能性もあるのが現状です。

DOORS　ここ数年で海外を中心に規制がより具体化されたようにみえます。この背景にあるものとして、テクノロジーの進化やデータに対する考え方は、どのような理念になっているのでしょうか？

石川　個人に関する情報に関しては、「自己でコントロールできた方がいいだろう・すべきだ」という点が基本的な考え方であることは間違いありません。一方で、クッキー情報やIPアドレスを含めた個人に関連する情報や個人情報もデータベース化され、それらの情報を管理することが容易になってきている状況です。

大量の個人情報を扱いやすくなっている中で、「個人に関する情報がコントロールできない・漏洩の危険性が高まっている」というバックグラウンドがあります。そして、「この状態を放置できない」という姿勢から、GDPRやいろいろな規制が出てきたことで、日本でも同様に規制が強化されていると考えた方が良いでしょう。

DOORS　では、もう少し具体的なお話しをしたいと思います。現在は規制が段々具体化されている中にある状況ですよね。

その中で、消費者向けのビジネスを行っているサービス業や小売業などの事業者が個人データ管理において、「やってはいけないこと・できなくなること、引き続きやってもいいこと」についてどのように理解していけばよろしいでしょうか？

石川　個人情報を取得するタイミングで同意の義務化などの対処は現時点では行われておりません。しかし、GDPRでは既に行われています。そのため、単純に情報を使って顧客にサービスするという形式であれば、理由・目的を通知することで十分です。何か大きな変化が突然起きているということではないため、安心して使用できるといえるでしょう。

とはいえ、個人関連情報と紐づける場合や同意が必要な個人情報を扱う場合は、同意を得ることが必要となってきます。さまざまな活用シーンにあたっては、「プライバシー・個人情報をどう扱うのか」をしっかりと考えて、対応することが必要になってきていますね。

デジタルマーケティングにおけるデータ規制

DOORS　ここからは、東さんにも具体的なことをお聞きしていきます。デジタルマーケティングの界隈では、サードパーティークッキーやIPの規制が取りざたされているかと思います。では、そういった環境の中で、できなくなってくること・引き続きできることは、どのように整理して理解したらよろしいでしょうか？

株式会社ブレインパッド・東 一成（以下、東）　実際、2年前から徐々に、ブラウザに規制が入るといった流れは加速しつつあります。また、その流れに合わせて「リタゲ（リターゲティング）ができなくなってしまうんだけどどうしたらいいのか」といった相談が非常に多くなってきているのが現状ですね。

そういった変化の中で、石川さんが説明したようにサードパーティクッキーなどが徐々に使えなくなってくるでしょう。「自社で収集したファーストパーティデータを使い、消費者のデータを守りながら上手くマーケティングをしていこう」という流れになってきています。

現在はサードパーティデータを使うこともできる部分はまだあるものの、いろいろな回避策が様々な企業で考えられている状況です。近い未来には、「必ず同意の上で使わなければならなくなる・同意を得る仕組みが必要だ」ということもありえます。

今後、ユーザーが提供するゼロパーティーや顧客から「そういった用途でならこのデータを使っていいですよ」という許可を得ることが重要になってくるといえるでしょう。

DOORS　同意の上で取得した個人データであれば、ビジネスやサービス強化に活用しても問題なく、データの取得方法も含めて、注意をしていけば個人データは武器になりうるということですね。

では、より具体的な事例のお話しをしていきたいと思います。あるホテルチェーンの顧客からこのような相談を受けたことがあります。

「宿泊業のサービスとレストランの予約、EC通販、それぞれでシステムを持っていて、それぞれで個人データを取得して管理しているという企業がある。企業として、このデータをつなげていきたいが、社内で３つの事業のデータをつなげてしまって良いのだろうか」と。このケースでは個人情報はどのようにとらえたらよいのでしょうか？

東　繰り返しになりますが、「顧客から取得したデータをどういった用途で使うか、事前に適切に通知または同意を得ることが大事になりますね。グループ会社や企業連合が発生した場合、得た個人情報を「どのような用途でどういった場で共有し、顧客が得られるメリットはどのようなものがあるのか」といったことを明確にする必要があるでしょう。

今後、特に多くのグループ企業を持っている場合、「ブランドの顧客のことを考え、上手い取得の方法を設計していく必要がある」のではないかと感じます。

DOORS　私も昨日、ある規約のオプトインのデータを見る機会がありました。よくよく見てみると「こういう用途に使用します」・「このグループ会社のこういった用途でも使います」といった内容が細かく書いてありました。

規約を覚えている・しっかりみている顧客は多くないかもしれないものの、上手く書く・設計することが重要です。そのうえで、「適切に通知または同意を得る」ことがポイントになってきますね。

統計情報や分析アルゴリズムと個人情報

DOORS　ここからは、「統計情報・分析アルゴリズム」についてお聞きしたいと思います。

最近は、AI・機械学習の活用によって、「顧客が日々購買をしたPOSデータを分析アルゴリズムに組み込み、AIの学習材料にし賢くしていく」という流れも活性化しつつある状況です。その場合、仮に「AIの学習に使ってしまったデータを忘れさせたい、オプトアウトしたい」という声があがった場合、どのように対処したらいいのでしょうか？

石川　現時点の日本の法律では、「オプトアウトの権利」「忘れられる権利」が明確ではありません。そのため、しばらくの間はデータの分析やアルゴリズムを作ることは問題ありません。ただ、今後「忘れられる権利」が具体化してきた場合、どうなっていくかということが大きなポイントです。

現時点で言えることとして、統計情報や分析のアルゴリズムそのものには個人に関する情報は入っていません。個人の識別も不可能です。「個人識別できるアルゴリズムを何かに埋め込んである」「人の名前がアルゴリズムに入っている」などの例外的な場合を除けば、基本的には、新たに作られたものに関しては個人情報にあたらないものであるため、自由に使えるということですね。

ただ、個人情報を含んだデータとして、未来永劫、分析し続けて良いのかということは、断言できない部分があります。「忘れられる権利」が具体化したときには対応する必要があり、例えば、個人情報にあたる部分を削除していく・分析対象から取り除くことが大事になってくる可能性がありますね。

DOORS　これからは個人と切り離した情報として、分析アルゴリズムに組み込んでいくなど、クリーンな状態にしてから分析に使うという流れが大事になるのでしょうか？

石川　個人を識別できるという意味では、個人情報をしっかり持つと漏洩などのさまざまなリスクが増大することになります。そのため、アルゴリズムそのものを上手く設計していくことが大事になります。

DOORS　では、異なる視点からの質問です。これまでは社内で取得したデータについてみてきました。お聞きしたいのは、社外のデータに関してです。最近、ソーシャルリスニングという形式で、「TwitterやInstagramといった世に公開されている情報から、顧客インサイトを得る」といったリサーチの取り組みも増加しつつあります。

その中に含まれている個人データはどのようにとらえたらよいでしょうか？

東　データ分析会社が使っているソーシャルアナリティクスはこういった問題に直面していますね。一般的に大手セールス会社の場合、利用規約を見ると「取得した情報はパートナーに渡し、広告や分析に使われる場合があります」といった内容の許可を得ています。

ここで問題となるのは、「要配慮個人情報」といったものです。例えば、人の信条や病歴が見えてしまうことが課題となっています。

ブレインパッドとしてもソーシャルアナリティクスのソリューションの場合、「クオリティ・オブ・ライフ」といった形式で病気と人の生活がどう関係しているのかといった調査をする際には注意していますね。例えば、アカウント名に個人情報が入っている場合には、ベンダー側と協議し個人情報が見えないようにして、利用することになります。

また、四半期に一度レビューを送り、どんな分析を行っているかきちんと記録を残すことを意識しています。当局からヒアリングが入った場合、「良くない使い方はしていない」というエビデンスを残すといった必要性もある状況であるためです。英語でやりとりをする場合も含め、こうした形式でフォローする体制をとっています。

最近は「忘れられる権利」もあるため、投稿者がSNSの投稿を消した場合はブレインパッドのテーブル情報も消えるように対応しています。そうすることで、「忘れられる権利」を維持しながらSNSの分析を行うことが可能です。仮に、GDPRに配慮した場合、今後こういった機能がSNS分析ツールにも必要になってくるでしょう。

DOORS　意図せずに要配慮個人情報のような厳重な管理を求められるデータが混じらないためにも、公開されているデータであってもきちんとした形で取得することが大切ということですね。その後の「忘れられる権利」まで担保した運用や管理が求められる状況の変化を感じました。

ここまでは、NGになることや規制についてふれてきました。規制が具体化される中で、明示的にOKになること、使ってもよいということになるものもあると思います。そのあたりはどのようにとらえたらいいでしょうか？

石川　以前からの制度として、匿名加工をすれば個人情報の利用や第三者提供が可能です。それ以外にも、今回の個人情報保護法の改正では、「仮名加工情報」という新しいジャンルが作られています。

「これだけで個人情報の利用や第三者提供が可能になるということではないため、微妙なものだ」という意見もあります。しかし、個人情報を仮名加工情報にすることで、万が一漏洩した場合にリスクが少なくなるというメリットもあるでしょう。

また、「仮名加工情報の活用を促す」という取り組みが今回の法改正の中にもあります。仮に仮名加工情報が漏洩した場合、「仮名化されているため、外から見ると個人の特定ができない情報という前提で対応していい」という形式での規制になっています。

そのため、現実的なところでしっかり仮名化しているのであればこの対応でよいだろうとみなしてくれている部分もあります。こういった対応に対して、適切に加工して分析や統計処理を行っていくことが大切ですね。

個人データ活用、管理の実状

DOORS　ここまでは具体的に規制がどういうものか、実際の業務の中でデータ活用にどのような影響があるのかについて見てきました。では、実際に企業で個人データ活用や個人データ管理に関して、取り組む際の実状について聞いていきたいと思います。

東さんにお聞きしますが、最近の事業者は個人データ活用管理では、どのような取り組みを行っているのでしょうか？

東　実際に「個人関連情報や匿名加工情報は同意なく、利用可能と明記されている」部分もあるため、今は利用可能ですね。しかし、セグメントした配信でなく、個々の顧客に合わせたOne to Oneのパーソナライズが非常に重視されており、要望も増えています。

そのため、機械学習を意識し、「どんな人に」と指定したい場合には、仮名加工情報を使うといった方法が選択肢となります。また、サードパーティデータ、クッキーだけではなく、ファーストパーティデータの活用が重視されている状況ですね。最近の要望では、「Webとショップと他の場所を統合し、一元管理したい」といった形式でのカスタマーデータプラットフォーム（CDP）も望まれています。　

今後は、個人情報と紐づける際には、「目的を通知して、同意を取ることが必要」といえるでしょう。とくに、CMPといわれる同意管理システムとの連携が重視されています。逆にいえば、先ほど述べた対策ができれば個人情報を社内で分析に使ったり、MAでメールを配信したり、といったことにも応用可能です。

DOORS　では、石川さんからすると、どういった事業者の間でデータ活用管理が進んでいると感じますか？

石川　前提として、「海外の事情はどうなのか・海外だと同意が必須になっている」という視点からお話しています。しかし、日本はまだそこまでの段階に至っていません。

また、同意が必須にならないケースや活用内容が緩い部分もあります。とはいえ、今後はどうなるかわからない状態です。また、「データを管理するにあたり、プライバシーの観点を持たなければならない」というトレンドに変化はないといえます。

海外では、DPO(データ保護責任者)やCPO(チーフプライバシーオフィサー)といった形式で、プライバシーを理解する責任者を置いて対応していきましょうという対応を行っているケースが多くなっています。日本では義務化されておらず、役職名への親しみやすさもないかと思いますが、海外と同様の規制設置に向けた議論もされているという状況ですね。

DOORS　今までのいろいろな取り組みや規制などをみてきました。企業が守るべき制限がどんどん厳しくなっている・ようやくルールが整備されて個人データ活用に対するチャンスが生まれてきているなどの見方があるとおもいます。そのうえで、個人データの規制の高まりの結果に対してどのように捉えたらよいでしょうか？

石川　基本的には厳しくなっていますね。しかし、そういった中でも「しっかりと分析し、個人情報の影響を強化しながら活用していこう」という流れが明確になっているという見方も可能です。

加えて、プライバシーガバナンスやプライバシーフレームワークの活用という言葉も出てきています。より昔ながらの言葉である「プライバシー・バイ・デザイン」を意識し、プライバシーを理解・デザインして顧客の同意を得ながら、顧客と議論ができる土台を作ることが大切かと思います。

そのうえで、上手くプライバシー情報を活用していくというのが基本的な考え方ですね。

そのために、企業によってはプライバシーガバナンスを導入する企業もあります。個人情報に関連して、プライバシーエンジニアという言葉で採用をかけている日本企業も現れている状況です。「何もできないと諦めるのではなく、個人情報管理をしっかりデザインし、技術を応用して有効に活用していく」ことが大事になっていると思います。

DOORS　必ずしも制限や規制が増えたというだけではなく、使える資源を明確にして活用していこうという積極的な取り組みを行いたいですよね。

石川　デザインを行う場合やプライバシーに関わる情報を持っている方への影響を考えるという意味では、「こっそり活用するのではなく、説明・管理しながらプライバシーに関わる情報を使っていこうという流れがある」ことも忘れないようにしないといけません。

DOORS　最後のテーマになります。ブレインパッドはデータ活用を専業にしている企業であることから、個人データ活用といった文脈の中でどういった支援やサービスができるのかをお聞きしたいと思います。東さんはそういった点ではどのようにみていますか？

東　私が担当しているのはプロダクト事業です。プロフェッショナルサービスという点でも、コンサルティングやデータを扱うという部分で大事な情報はセキュアな環境で使用しています。

ブレインパッドのプロダクト事業で行う分析には様々な種類があります。例えば、POSデータで売上集計を行い、店舗別・時系列別に分析する場合は個人情報はあまり入っていない部分が多いといえるでしょう。

また、ブレインパッドは「大量のデータにより、消費者や顧客といった個人がどう動いているのか」といったところを予測やMAに使っています。個人の名前や住所はあまり分析には使いません。

しかし、さきほどあったような1人1人の情報を個人に紐づけてMAからメールを送るケースもあります。そのため、そういう観点では個人情報を使っていく、個人を分析していくといったソリューションが強いといえますね。

データ活用プラットフォームRtoaster（アールトースター）のようにデータ基盤を作りながら1人1人にパーソナライズにしていく流れとなります。また、Probance（プロバンス）やBrandwatch（ブランド・ウォッチ）といったヨーロッパのソフトウェアの場合、GDPRなどの規制に抵触しない難しい個人情報の活用が可能であり、ソーシャルデータの活用は厳しく管理されています。

また、VizTact（ビズタクト）のように社外のデータを使う場合は、社員の名前など慎重に取り扱う必要のある情報も入っているケースも珍しくありません。そういった場合は、難読化するため、すべてのデータにスクランブルをかけ、復元困難な形式にする機能が入っている分析ツールを使用するケースもあります。ブレインパッドのソリューションは今後のニーズに合わせた提供が可能だといえるでしょう。

DOORS　データ活用もセキュアに、規制に準拠した形で使えるかどうかという点も活用のポイントになってくるということですね。石川さん、プロフェッショナルサービスの分野においてはどうでしょうか？

石川　ブレインパッドの場合、「プライバシーガバナンスやプライバシーに関するエンジニアがたくさんいる」とまではいえません。しかし、時代の変化に合わせ、「データガバナンスやプライバシーを意識したデザインも行い・相談に乗る」ことは可能です。

ただ、法律家としての対応はできないため、法令適用そのものの相談まではカバーできないところではあります。しかし、「法律的な理解・意識を前提に、実際の設計やデータ活用についてデザインを支援したり、ソフトウェアを設定していく」ということはできます。

DOORS　個人データは、チャンスでもあるものの、コンプライアンス上の規制も深まっていくといえます。その中で、個人情報に配慮したデータ活用を支援していきたいと感じました。

▼DXの定義や意味をより深く知りたい方はこちらもご覧ください
「DX=IT活用」ではない！正しく理解したいDX(デジタル・トランスフォーメーション)とは？意義と推進のポイント