毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。

当記事で取り上げるのは以下の配信です。

  • 配信日:2021年9月30日
  • タイトル: 改正法対応にCMPなんていらない
  • コメンテーター:ビジネスディベロッパー 宮崎洋史、プロダクトマネージャー 坂本一仁

「個人関連情報」のおさらい

2020年6月に成立した「個人情報の保護に関する法律等の一部を改正する法律」(以下、改正法)で設けられた個人関連情報。その対応の中でも提供先における本人同意取得の方法について企業・団体ご担当者の方々の戸惑いは小さくないようです。どのような方法であれば望ましいのでしょうか。ビジネスディベロッパー 宮崎洋史、プロダクトマネージャー 坂本一仁が話題に取り上げました。

なお、今回のランチタイムトークでは個人情報保護委員会のウェブサイトに公開されている「個人情報の保護に関する法律についてのガイドライン(通則編) 平成28年11月(平成31年1月一部改正)」を参考にしています。

個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」です。Cookie等の端末識別子を通じて収集されたある個人のウェブサイトの閲覧履歴、ある個人の商品購買/サービス利用履歴、位置情報、興味・関心を示す情報などです。

「提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報として個人関連情報が該当します。2019年に世間を騒がせたいわゆる『リクナビ内定辞退率問題』が発端となって改正法に盛り込まれた条項です」(宮崎)

改正法では、個人関連情報が提供元R社から提供先A社に第三者提供される場合には、ユーザー本人の同意が得られていること等の確認が義務付けられています。同意取得を行うのは原則として情報の利用主体である提供先A社、内定辞退率問題でいえば学生を採用する企業です。

個人関連情報の第三者提供における同意取得にCMPは有効?

この個人関連情報の第三者提供に先立って、ユーザーから個人関連情報の利用について同意を取得する方法は何がよいのでしょうか。

「この場面でCMPを利用するのは適切ではありません」と宮崎は指摘します。

同意管理プラットフォーム(CMP: Consent Management Platform)はサイトの訪問者に、どのような目的でCookieのようなオンライン識別子を利用するか明示し、ユーザーが選択した許諾を同意状態として管理するためのソフトウェアまたはサービスで、同意管理ツールとも呼ばれます。

さて上記、個人情報保護法ガイドラインの3-7-3-2-(1)では、「本人に対して、対象となる個人関連情報を特定できるように示した上で同意を取得しなければならない」とあります。

「しかし、CMPによってWebサイトを訪問した時に画面表示される『あなたはCookieを受け入れますか?』といったメッセージは訪問者が誰かをサイト運営側が把握しない状態で一律に表示されます。したがってユーザー本人に同意取得の確認依頼を直接しているわけではありません。また、ある個人のウェブサイトの閲覧履歴、商品購買/サービス利用履歴、または内定辞退可能性などの項目が表示されるわけではありません。つまりガイドラインが示す条件を満たしていないことになります」(宮崎)

CMPのカスタマイズが必要なの?

ではそもそもCMPの役割や目的は何でしょうか。多くの企業に導入されているタグマネージャと連動させるタイプのCMPは、自社サイトで利用されるアクセス解析用や広告用、ソーシャルプラグインなどに利用されるCookieを包括的に検出する役割を担います。Cookie を生成するタグの動作も制御できますが、そのようにするにはタグマネジメントサービスとCMPを連動させることが必要です。

「CMPによってサイト訪問者に表示されるメッセージは本来、当該サイトの管理者がCookieに紐づいたユーザーの行動履歴データなどをGoogle Analyticsなどのアクセス解析ツールや広告用のCookieを用いてサイト外部の各種サービス事業者に渡すかどうかユーザーに判断・許可を求めるものです。プライバシーに関する諸外国の法規制やガイドラインで企業などに求められる透明性の確保のためにグローバル企業を中心にしてCMPは多く導入されています」(坂本)

EUのGDPR(一般データ保護規則)やCCPA (カリフォルニア州消費者プライバシー法)では、Cookieなどのオンライン識別子は「個人情報」に分類されます。個人関連情報という概念はありません。

さて日本では、個人関連情報の第三者提供における同意取得においてどう対応すれば良いのでしょうか?

「提供先でCMPをカスタマイズする、という手もありますが、そもそも目的が異なるサービス/ツールですのでそれなりに面倒です。現状では、フォームの改修が合理的な対策でしょう。個人関連情報の取得の目的と取得する項目を明示し、同意するかどうかのチェックボックスを付ける、といった方法です」(宮崎)

日本企業・団体のサイトでは、CMPで管理されてないCookieや、そのCookieを生成するタグが放置されているケースが多々あります。気づかないうちに自社が個人関連情報の提供元や提供先になっていることも――。まずは自社の運用状態を把握することが先決です。気になる点はデータサインにお問い合わせください。