毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。
当記事で取り上げるのは以下の配信です。
- 配信日:2022年3月3日
- タイトル:リマケに同意取得が不要な理由
- コメンテーター:ビジネスディベロッパー 宮崎洋史、代表取締役社長 太田祐一
リマーテケィングタグで識別しているのは「ブラウザ」
データサインには「リマケにはCookie同意が必要なんですよね?」という確認の問い合わせがたびたび寄せられます。こちらの質問への回答と考え方についてデータサイン ビジネスディベロッパー 宮崎洋史と代表取締役社長 太田祐一がコメントしました。
リマーケティング広告(リマケ)とは、「あるサイトをブラウザで閲覧したユーザーは当該サイトに関連する商品やサービスに興味や関心があるもの」と考えて、サイト訪問履歴のあるブラウザ向けに関連する広告を表示し、再訪や購入を促す運用型広告の一手法です。広告プラットフォームによってはリターゲティング広告(リタゲ)と呼ばれることもあります。
たとえば、山田さんがA社サイトに訪問します。サイトには広告配信事業者B社が提供するリマーケティング用のJavaScriptタグ(b.js)が埋めこまれています。山田さんのブラウザがA社のサイトを訪問(=ウェブサーバーに閲覧したいページをリクエスト)すると、ページを表示するレスポンスとともにリマーケティングタグb.jsが実行され、山田さんの使用するブラウザを識別するID(例:bid=789)が生成されてレスポンスのヘッダ部分にあるSet-Cookie値に割り振られ、山田さんのブラウザにCookie情報として記録されます。
後日、山田さんは同じブラウザを使って、あるニュースサイトを閲覧しました。実はこのニュースサイトもB社のリマーケティングタグb.jsを埋め込んでおり、閲覧時に実行されました。するとB社ではb.jsを介して「こちらのブラウザは過去にA社のサイトを訪問したbid=789というIDのブラウザである」ことを把握し、ニュースサイトの広告枠にA社の製品・サービスに関する広告を表示します。
「このリマケにおいて、山田さんからCookie利用に対する同意が(A社、B社、ニュースサイトで)必要かどうか、という質問の回答ですが基本的に同意は必要ありません。なぜならリマケタグで識別しているのはあくまで『ブラウザ』です。『山田さん』かどうかCookie単体では識別できません。このブラウザを見ているのは山田の家族や友人の誰か、かもしれないからです。やや屁理屈に思われるかもしれませんがこの例におけるbidは個人情報には該当しません」(宮崎)
B社はA社に閲覧履歴の取得を委託している?
日本の個人情報保護法では、個人情報とは生存する個人の情報で、氏名や生年月日などの記述や音声、動画、または電子化された生体情報や公的な番号など特定の個人を識別できる情報(他の情報と容易に照合できることで、特定の個人を識別できる情報を含む)と定義する一方、ブラウザを識別するCookieは個人情報とは定義されていません。
それでは次に、先ほどのリマケでB社が山田さんの個人情報を持っているプラットフォーマー(例えばFacebook)だとしましょう。その場合、B社のリマケタグ(b.js)を埋め込んだA社サイトは、B 社に対して(山田さんが利用していると思われる)ブラウザ識別子(bid=789)を個人関連情報として第三者提供した、ということになるでしょうか。
「もし個人関連情報であれば提供先(B社)または提供元(A 社)で同意を取得する必要があります」(宮崎)
ところが『「個人情報の保護に関する法律についてのガイドライン」のQ&A8-10の回答には、『個別の事案ごとに判断することとなりますが、A社がB 社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A社がB社に閲覧履歴を「提供」したことにはならず、B社が直接にユーザーから閲覧履歴を取得したこととなると考えられます』という記述があります。
なお、閲覧履歴の直接取得とは、B社によるA社への「閲覧履歴の取得の委託」と同等の意味になります。
A社はB社に個人関連情報を提供している意図がある?
ところでFacebookの「いいね!」ボタンは、リタゲタグと同様に、そのボタンをクリックしたユーザーのブラウザを識別するデータをFacebook側に送信します。この場合はユーザーに対する同意取得は不要なのでしょうか?
この質問では、前掲Q&A8-10の回答からはボタンを設置しているサイト(A社)が閲覧履歴を「取り扱っていない」のかどうか、が判断基準になりそうです。
「ここでの『取り扱う』という言葉の定義が曖昧なのですが、Facebookのいいね!ボタンの場合には、サイト(A社)がB社(Facebook)に情報を渡す、という意図が乏しいかもしれません。一方、リマケタグ(b.js)の場合はA社に(B社の直接取得ではなく)『B社にデータを渡している』という気持ちが強い可能性があります。A社はB社に情報を送ることで自社の広告を自社サイトの訪問者に表示したい欲求がタグを埋め込む前提にあるからです。もしA社側に『提供している』という意識があればユーザーに対して丁寧に対応することが望ましいでしょう。同様の趣旨の指摘は個人情報保護委員会からも出ています」(太田)
A社の真意はA社の担当者のみぞ知るですがB社のリタゲタグを設置している以上、B社の直接取得であり我関せず、というのはユーザー目線では社会通念と相容れないかもしれません。
A社は法律上ユーザーからの同意取得が不要かもしれませんが、ユーザーの立場になった丁寧な対応を通じて信頼関係を築く営みは、長い目でみるとお互いよい結果を得ることにつながりそうです。