2020年08月03日

「データの時代」と「プライバシーの時代」の両立-欧州、米国カリフォルニア州、日本におけるクッキー規制

立教大学ビジネススクール 大学院ビジネスデザイン研究科 教授   田中 道昭

デジタルトランスフォーメーション(DX) 規制・制度改革 などの記事に関心のあるあなたへ

btn-mag-b.png
基礎研 Report Head Lineではそんなあなたにおすすめのメルマガ配信中!
各種レポート配信をメールでお知らせするので読み逃しを防ぎます!

ご登録はこちら

twitter Facebook このエントリーをはてなブックマークに追加 Pocketで後で読む

文字サイズ

3|【米国カリフォルニア州】消費者プライバシー法(CCPA)
EUにGDPRが導入されただけでもネット上での個人情報の扱いはかなり厳しくなったが、続いて米国カリフォルニア州で施行された消費者プライバシー法(CCPA)が、それに拍車をかけた。
 
消費者プライバシー法は、米国カリフォルニア州が2018年6月に採択、2020年1月1日に施行したものである。米国ではこれまで、個人情報保護に関する包括的な規制がなく、医療や金融など事業分野ごとにルールがあるのみであった。「州法策定のきっかけとなったのは、州内の不動産業者が始めた住民立法の運動だ。18年3月に発覚した米フェイスブックにおける最大8700万人分の個人情報の不正流用事件の影響で、この運動が60万を超える署名を集めたことが圧力となり、18年6月に州議会が住民立法に代わる法案を可決した」(2019年10月15日 日本経済新聞)
 
CCPAはカリフォルニア州の司法省が管轄する。CCPAの理念について司法省は「個人情報にかかわる消費者の権利(アクセス、削除、共有など)を新しく創る」と謳う。具体的な規制としては、事業者に対して個人情報の種類や利用目的などを知らせることを義務化した。また消費者の権利として、個人情報に関する開示請求権、また個人情報を売却しないように指示する権利を保障した。CCPAにより規制の対象になるのは、カリフォルニア州で事業を行い、カリフォルニア州民の個人情報を収集し、以下の3つのうちいずれか1つの要件に該当する営利目的の法人である。カリフォルニア州に拠点を持たない日本企業であっても、対応が必要になる可能性がある。
 
(1) 年間の総収入(annual gross revenues)が2500万ドル以上である
(2) 5万人以上のカリフォルニア州民の個人情報を処理している
(3) カリフォルニア州民の情報を売却することで年間の収入の50%を得ている
 
CCPAに違反した場合は、司法長官による民事制裁金(1件2500ドル)、差止め、損害賠償請求(民事、違反1件につき消費者1人100ドル以上750ドル以下または実損害のうち大きい方、クラスアクション可)などの罰則がある。1件あたり日本円にして25~26万円、積み重なれば巨額であり、大規模な集団訴訟にまで拡大するリスクがある。企業に対して個人情報の消去を請求できる「忘れられる権利」を定めていることや、クッキーと位置情報を個人情報として扱うなど、CCPAとGDPRは似ているが、違いも多くある。例えば、個人情報の収集や利用そのものを原則的に認めている点が、GDPRと明確に異なる。というのも、GDPRは「オプトイン」であったが、CCPAは「オプトアウト」。個人データは初期設定では「使っていい」、しかし「使わないでほしい」と個人が指示すれば後から個人データの利用を禁止できる、どんな使われ方をしているか開示請求ができる、という立て付けになっている。ただし18歳未満の未成年者はオプトインが原則となっている。また、個人情報の定義についても、個人だけではなく世帯を特定できるデータが個人情報の対象となる点はGDPRと異なっている。
 
カリフォルニア州はこれまで、自動車の燃費基準など米国のなかでも厳しい規制を導入してきたことで知られている。今回のCCPAを受けて、ほかの州が追随する動きも出てこよう。CCPAが定める個人情報には世帯情報も含まれているなど、その意味ではGDPRよりも広い規制だと考えることもできる。
 
一方で、企業の対応は遅れている。GDPRの施行にあたっては2年間の準備期間があったのに対し、CCPAは手続きに手間取り、執行規則はようやく19年10月に公表された。そのため日本企業の対応も後手に回っている。
 
「同州で5店舗を運営する眼鏡専門店のジンズホールディングスは19年8月期の連結売上高が618億円だったが、昨年12月の時点で『顧問弁護士と協議し対象企業に該当しない』との認識。その後20年1月になり『該当する可能性が高い』と対応が揺れた。CCPAは事業者の範囲として共通のブランドを持つ場合も含まれるとしており、資本関係がないメーカーと販売代理店の間でやりとりされる個人情報についても規制対象となる可能性がある。例えば、車の所有者の情報をマーケティングなどの目的で使うためにメーカーが販売店と共有した場合には法が適用される見通し。同州の乗用車市場でシェア首位のトヨタ自動車は『保持する個人情報に関する包括的なレビューを実施している最中だ』としている。CCPAがモデルにしたとされるEUの一般データ保護規則(GDPR)に対応していてもそれが十分とは限らない。CCPAが定める個人情報は世帯情報も含まれGDPRよりも幅広い。米国で事業を展開するメルカリは『影響範囲に不透明な点があることから、注視しながら継続的に対応していく』と話す。州司法長官による罰則規定の執行が始まるのは20年7月になると見込まれている。民事訴訟の可能性など細かな規定をめぐっては専門家の間でも意見が割れており、厳密な法解釈は今後の裁判などを通じて判明する見通し。他州もその動向をうかがうCCPAは、多くのグレーゾーンを抱えたまま運用が始まることになる」(2020年1月9日 日本経済新聞)
 
実際、2020年2月3日、CCPA違反を含むデータ侵害を理由にして、顧客情報管理サービスを提供するセールスフォースとそのサービスを利用する子供服販売のハンナ・アンダーソンに対する集団訴訟がカリフォルニア州で提訴された。CCPAに関係する初めての案件であり、その審理の行方が注目される。
4|【日本】個人情報保護法
規制内容の細かい違いはあっても、個人情報を第三者にわたすことについて厳しく規制するのが世界共通の傾向である。日本では、2002年に住基ネットの運用が始まったのを機に、2003年5月に個人情報保護法が成立し、2005年4月1日に施行された。目的条項には「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」と書かれている。2017年5月には改正個人情報保護法が施行され、個人情報の定義が拡大、かつ明確になった。従来個人情報保護法では「個人情報=個人を特定する情報」とされてきたが、その解釈が広くなり、例えばマイナンバーなども個人情報に含まれるようになっている。
 
個人情報保護法では、個人情報を取り扱う企業はその利用目的をできる限り特定しなければならないことなどが定められている。本人の同意を得ないまま、利用目的を超えて個人情報を取り扱ってはならない。個人のデータを第三者に提供する場合は、原則としてあらかじめ本人の同意を得なければならない、つまり「オプトイン」が条件となっている。個人が企業の保有するデータの利用停止や削除などを請求できる権利は、企業が個人情報を不正に取得した場合や、目的外に個人データを使ったりした場合に限られる。企業が第三者提供の停止の請求に応じる義務も、個人の同意を得ないなど違法に第三者に提供した場合に限定される。またクッキーや位置情報を、個人情報に含めていないところも、GDPRとCCPAとは異なる。そのほか、規制の内容や違反時の罰則・制裁金の額を見てもGDPRやCCPAに比べて「ゆるい」規制であるのは明らかであり、「日本は個人情報保護において立ち遅れている」現状を如実に示している。
 
個人情報保護法は3年ごとに改正されるスタンスが取られている。2020年は改正の年にあたり、6月5日の参議院本会議における可決をもって改正個人情報保護法が成立した。
 
改正個人情報保護法において焦点になっているのは、2019年に起きた「リクナビ問題」の再発防止策である。リクナビ問題は個人情報保護におけるさまざまな論点を含んでいるため、問題の全容を整理してみたい。リクナビ問題とは、リクルートキャリア社が運営する就職情報サイト「リクナビ」が、リクナビを利用する約8000名の学生(就活生)に関して「内定辞退率」を予測したデータを顧客企業37社に販売していた問題を指す。リクナビ問題に際して、個人情報などの取扱いに関して監督を行う政府機関の個人情報保護委員会はリクルートキャリアに対して令和元年8月26日付けで「勧告」と「指導」を行った。
 
まず、ユーザーの同意を得ることなく顧客企業に就活生の個人情報を開示し、販売したこと、またそのような状況を放置していた管理体制の不備などが個人情報保護法に違反するとして、「個人データを取り扱う際に、適正に個人の権利利益を保護するよう、組織体制を見直し、経営陣をはじめとして全社的に意識改革を行う等、必要な措置をとること」などの勧告を行った。就活生はもちろん実名でリクナビに登録をすることから、個人を特定できる個人情報をリクナビに提供していることになる。内定辞退率はその個人情報に関連付けられており、個人情報保護法で保護される「個人情報」に該当する。同法では、個人情報を第三者へ提供する場合、本人からの事前同意の取得が義務付けられている。
 
また個人情報保護委員会は「指導」も行った。指導の対象は、就活生の同意はあったものの、本人への利用目的などの説明が実質的に不足したまま個人情報を外部に提供したこと。リクナビのプライバシーポリシーには、「このような目的で個人情報を開示することがあります」との説明があったが、その説明から内定辞退率のデータを提供するとは到底わからない、という理由からである。
 
もう1つ、リクナビ問題は、「独占禁止法違反の疑いがある」点も論点として挙げられる。具体的には「優越的地位の濫用」にあたるというものである。「優越的地位の濫用」とは聞き慣れない言葉かもしれない。ここでは、事前の同意や説明がないまま、リクナビが就活生からクッキーやオンラインでの行動履歴や閲覧履歴を収集し、ターゲッティング広告に利活用していることが問題視された。独占禁止法はもともとBtoBの取引が主たる対象であるが、GAFAなどに代表されるプラットフォーマーの影響力が増していることからプラットフォーマーとユーザー間、すなわちBtoCの取引も対象になってきている。「リクナビ問題」に関して「優越的地位の濫用」という概念は特にBtoCの取引を想定したもので、2019年には公正取引委員会からガイドライン『デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方』が提出された。ここでデジタル・プラットフォーマーとされているのは主にGAFAであり、当初リクナビはデジタル・プラットフォーマーとは見なされていなかったが、「リクナビを使わざるを得ない就活生」が多い現状を鑑みると、就活生に対するリクナビもまた、優越的地位にあると見なされる。
 
加えて、リクナビからデータを購入した企業については「職業安定法違反の疑い」が指摘された。これは厚労省の管轄であるが、人材募集企業が応募者の個人情報を第三者から取得することは原則禁止されており、収集する場合は同意が必要という職業安定法上の規定に違反があったのではないか、という疑いがある。また購入企業にも、個人情報保護法違反の疑いがある。購入企業はリクナビと業務委託契約を結び、就活にかかわるコンサルもリクナビに外注していたが、自社が持つ就活生のデータを本人の同意なくリクナビに提供していた。ここでも論点になっているのは、本人の同意のないクッキーなどのデータの第三者提供である。クッキーは個人情報保護法においては個人情報にあたらない。しかし、就活生の個人情報を持つ第三者(リクナビ)の手にクッキーが渡れば、両者を突き合わせることで個人が特定できてしまう、ということでなのである。
 
こうした「リクナビ問題」の現状もふまえ、2020年改正個人情報保護法の主なポイントは次の通りである。
 
まず企業の責務について、個人データの漏洩などが発生して個人の権利が害されるおそれがある場合、企業には個人情報保護委員会への報告と本人への通知が求められる。改正前はあくまで努力義務にとどまっていたが、改正後は義務となった。また、違法や不当な行為を助長するなどの不適正な方法で個人情報を利用してはならないことも法律上明確化された。
 
個人の権利について注目すべきは、個人データの利用停止や消去、第三者提供の停止に関する個人の請求権である。改正前は、企業が個人情報を不正に取得するなど、法律違反の場合に限ってこれら請求権が認められていた。しかし改正後はその要件が緩和され、個人の権利や利益が害されるおそれがある場合にも請求権が認められる。さらに、改正後は、個人データの授受に関する第三者提供記録の開示請求権も保障されることとなった。
 
一方で、データの利活用については、イノベーション促進の観点から、個人データから氏名などを削除、特定の個人を識別することができないように加工した「仮名加工情報」を創設、内部分析に限定することなどを前提条件に、開示や利用停止に関する個人請求権への対応義務を緩めた。プライバシーを重視するのと同時に、企業には個人データのビジネスへの利活用を促している。まさに「データの時代」と「プライバシーの時代」を両立させるという考え方である。
 
もっとも、提供元では個人データに該当しないものの、提供先では個人データとなることが想定される情報の第三者提供については、本人同意が得られていることなどの確認が義務付けられた。これは、先に述べたクッキーなどを念頭に置いたものと考えられる。「リクナビ問題」にもあったように、クッキー自体は個人情報ではないが、他のデータと突き合わせることで個人が特定できてしまう場合、クッキーも個人情報として捉えられるというわけである。
 
ペナルティに関しては、個人情報保護委員会による命令違反や虚偽報告などの法定刑を引き上げること、データベースなどの不正提供罪や委員会による命令違反の罰金について、法人に対しては行為者よりも罰金刑の最高額を引き上げることなど、改正前よりも重い刑罰が規定された。
5|米国アドテック・ベンダーの苦境
こうした一連のクッキー規制によって、顕著に大きな影響を受けているのは、広告代理店や種々のアドテック企業など、広告業界である。米国では、デジタル広告、リターゲティング広告などをリードしてきたアドテック・ベンダーの株価が下落したり、買収されたり、倒産するケースなども目立っている。
 
こうした米国のアドテック・ベンダーの苦境は、クッキーの取扱いに法的な制限がかかり、ターゲット広告にクッキーを利活用し難くなっていることが要因である。EUではGDPR以後は個人から先立ってクッキーの利用について同意をとらなければならない。米国でも現時点ではカリフォルニア州に限定されているが、連邦レベルでの個人データやプライバシー保護の法制化の動きもあり、プライバシー規制強化の流れは止められないだろう。
 
アドテック・ベンダーは、ユーザーが広告主などの事業者へ提供した個人情報を間接的に取得して、ユーザー毎へ最適な広告を提供してきた。しかし、GDPRやCCPAのもと、クッキーを含む個人情報の第三者提供、利用・取扱いが法律上制限される。クッキーの扱いに規制がかかれば、リターゲティング広告の精度は落ち、それに依存する事業ではジリ貧は明らかである。これまでのビジネス手法が困難になるということである。
 
個人も、これまで知らず知らずのうちに事業者にクッキーを利活用され、それにより恩恵を受けていたが、いざ「あなたの個人情報を利用させてください」と改めて問われると、躊躇したくなるというものであろう。もともと法制化前からクッキーの利活用に関する業界の自主規制もあり、関係企業は対策を施してきたが、これからは法律によって規制されることになる。
 
さらに、ユーザーが利用するブラウザにインテリジェント・トラッキング防止機能(ITP)が搭載されるなら、トラッキング認定されたクッキーは無効化されることになる。個人情報のデジタル広告への利活用が法的に規制される以前に、そもそも、ユーザー毎に最適な広告を配信するためのトラッキングに使われるクッキーが技術的に無効化されるわけである。アップルのブラウザ「サファリ」では、ITPがデフォルトでオンになっている。また、広告収入をビジネスモデルの基盤に持つグーグルも、2020年1月、今後2年以内に、ブラウザ「クローム」でネット閲覧履歴のデータが取得できるクッキーの利用を規制するとの計画を明らかにしている。このような要因でターゲット広告の精度が落ち、デジタル広告市場の急速な成熟化や過熱化とも相まって、アドテック・ベンダーは売上や利益が低迷、苦境に陥っている。
 
一方で、デジタル広告市場で新しい動きも出てきている。なかでも典型的なのはアマゾンによるSizmekのアドサーバー買収である。2019年はじめのSizmek倒産後、そのアドサーバーをアマゾンが買収した。Sizmekはデジタル広告のいわゆる第三者配信プラットフォームであり、さまざまな媒体へ最適な広告を配信する役目を担っていた。アマゾンがSizmekのアドサーバーを買収した理由は、広告主向けサービスである広告プラットフォーム「アマゾン・アドバタイジング」の強化と考えられる。
 
アマゾンは「ビッグデータ×AI」を広告へ活用、さまざまな広告サービスのメニューを取り揃えている。アマゾンの売上高に占める広告事業収入は4%程度と依然小さいが、その伸び率は他の事業セグメントと比較して突出している。
 
「アマゾン・アドバタイジング」は「アマゾンのDSP」機能も備え、アマゾン自身が持つユーザーの個人情報をもとに最適な広告コンテンツをさまざまな媒体へ配信する。DSPとは、広告主にとっての広告効果を最大化するプラットフォームのこと。最も有力なDSPといえば「グーグルのDSP」である「グーグルアドセンス」であるが、それと直接競合することになる。アマゾンは、デジタル広告市場の2大プレーヤーであるグーグルとフェイスブックに対抗していく可能性があると考えられる。
 
それでは、クッキー規制後に生き残る企業や広告があるとしたら、それはどのようなものか。第一には、クッキー規制の対象となっていないファーストパーティクッキーや、購買履歴やログイン情報といったユーザーの個人データを自ら蓄積している広告主と、それを利活用した広告である。彼らは、サードパーティクッキーに頼ることなく、ユーザーについての詳細なプロファイルを得ることができる。広告主はもちろん、グーグルやアマゾン、フェイスブックもここに含まれる。第二には、クッキーを含めた個人データを「ユーザーから意図的に提供してもらえる」企業と、それを利活用する広告である。キーワードは「0パーティデータ」である。
 
そもそも個人にまつわるデータは、これまで見てきたような「個人情報か、そうでないか」「ファーストパーティクッキーか、サードパーティクッキーか」といった複数の分類の仕方があった。そこにもう1つ、「ユーザーが意図的に提供したデータか、そうでないか」という軸を追加する。すると、次の4つに分類できる。

(1) 1stパーティデータ
ユーザーが訪問するWEBサイトが直接取得する個人データ。ファーストパーティクッキー、購買履歴、検索履歴などを含む。

(2) 2ndパーティデータ
ユーザーが訪問したA社が取得した1stパーティデータが、特定のB社へ提供されたもの。

(3) 3rdパーティデータ
ユーザーが訪問するWEBサイト以外のサイトが間接的に取得する個人データ。サードパーティクッキーを含む。

(4) 0パーティデータ
ユーザーが訪問するWEBサイトが個人データの取得、利用、取扱いについて、ユーザーから明確な同意を得たデータ。
 
1stパーティデータ、2ndパーティデータ、3rdパーティデータは、ユーザーにとって「勝手にとられる」データである点で共通する。対して0パーティデータは、フォームやアンケートなどのかたちで収集される、明確な「同意のある」データである。0パーティデータがあれば、やはりクッキーに頼ることなく、ユーザーにとって最適な広告を導く道が開けてくる。つまり、クッキー規制後に生き残るのは、1stパーティデータないし0パーティデータを蓄積し、利活用できる企業と広告のみ、と予想される。
 
ここで、デジタル広告業界団体の動きに言及する。GDPR施行直前の2018年4月、米国のInteractive Advertising Bureau(IAB)は、アドテック・ベンダーなどがGDPRなどの法規制に準拠することを支援するために、「透明性と同意のフレームワーク(TCF)v1・1)」という枠組みを発表。2019年8月には、それを「TCF v2・0」へアップグレードさせた。IABは、ニューヨークに本部を置く、世界のアドテック・ベンダー、マーケター、パブリッシャー、その他のデジタル・マーケティング関連企業が加盟する非営利組織で、グーグル、フェイスブックもメンバーとなっている。
 
このTCFにそって開発され、さまざまなソフトウェア・ベンダーがBtoB領域で提供を促進しているのが「コンセントマネジメント」という概念である。これは、サードパーティクッキーの広告への利活用が法制度上困難になるなかで、ユーザーの個人情報の取得ないし利用・取扱いに関して、ユーザーからの同意(コンセント)を管理する、すなわち0パーティデータの取得・管理を行うソリューションである。GDPRやCCPAといった法規制に準拠するのはもちろん、ユーザーの個人情報やプライバシーの保護と事業者へのブランド・ロイヤルティ向上を同時に実現するという意図も含まれている。
twitter Facebook このエントリーをはてなブックマークに追加 Pocketで後で読む

立教大学ビジネススクール 大学院ビジネスデザイン研究科 教授

田中 道昭

研究・専門分野

アクセスランキング

レポート紹介

【「データの時代」と「プライバシーの時代」の両立-欧州、米国カリフォルニア州、日本におけるクッキー規制】【シンクタンク】ニッセイ基礎研究所は、保険・年金・社会保障、経済・金融・不動産、暮らし・高齢社会、経営・ビジネスなどの各専門領域の研究員を抱え、様々な情報提供を行っています。

「データの時代」と「プライバシーの時代」の両立-欧州、米国カリフォルニア州、日本におけるクッキー規制のレポート Topへ