DDAI セミナー 2015年11月18日(後日配布版) 広告プラットフォームと 個人データ保護法制 産業技術総合研究所 高木 浩光 • 解釈論と立法論 現行法・改正法の話 • •• • 「個人情報」と「個人データ」は法律上の定義語 氏名等で個人を特定せず集めた履歴は個人データに当たらず 一般的なWebのターゲティング広告用途での履歴はこれに該当(※1) 氏名等で個人を特定して集めた履歴は、氏名を削ったデータに 加工しても個人データに当たる(場合が多い) • • • 元データと照合できるほどに履歴データが詳細である場合これに該当 一部のデータエクスチェンジ的なものが該当し得る(後述) 立法論の話 • •• 米国連邦法案やEUの法制度に合わせるための法改正を想定 仮に※1の履歴が個人データに該当するとした場合の検討 • 次期個人情報保護法改正に向けた義務規定のあり方 適法なアーキテクチャ設計はどのようなものか(主要論点) • 匿名加工情報は? 改正法で導入された「匿名加工情報」 • •• •• 個人データを個人情報保護委員会規則の基準に従って加工 加工結果が個人データでないものについての新たな規律 仮名化は匿名加工情報に当たるとは限らないので注意 本人同意なく第三者提供ができる(というのだが……) 個人データでないものは改正前でも規制がない • • • 匿名加工情報の受領者に対する規律 • •• 規制強化なの?というと、この制度を使わないことも許されるという 意味不明だが、いちおう「グレーゾーンの解消」として意義は理解できる 条文案作成時の失敗によるもの 再識別を禁止(元データの本人を特定するためのデータ照合を禁止) ターゲティング広告には無縁の制度 • • • • • • • • • • 一人ひとりのデータとして扱う以上、再識別禁止に違反する 改正法の影響 個人情報定義 現行法と違わないものになった(なってしまった) 匿名加工情報 元々ターゲティング用途を認めていないので使えない 要配慮個人情報 広告で直接使うことはまあないのでは(そうでもない?) 利用目的の変更が若干可能に 広告に「使わない」から「使う」への変更は無理 第三者提供時の記録等義務、オプトアウトの届出制 •• 個人データに該当しなければ関係ないわけだが…… 一部で関係しそう 個人情報保護法の主な義務 •利用目的を特定し、本人同意なく目的外に利用しない • •利用目的を通知又は公表する 事業者が自分で利用目的を決める / 目的の内容に制限はない •• 日本法では取得について本人同意を求めていない • ただし、直接書面取得時の利用目的明示義務がある ただし、偽りその他不正の手段により取得してはならない • データ内容の正確性確保 • • 安全管理措置 • 本人同意なく第三者に提供してはならない • • 開示請求への対応義務 日本法では努力規定 ただし、オプトアウト方式で提供できる(日本法では) • 個人データ処理の委託 個人情報保護法における「委託」の概念 •• 23条(第三者提供の禁止)の第三者に当たらない • 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人デー タの取扱いの全部又は一部を委託する場合(旧23条4項1号) 22条(委託先の監督)の義務が委託者にある 委託元(委託者) 委託先(受託者) 委託・監督 データの授受 Controller Processor EUデータ保護指令では明確に区別 • 現行法の不備 受託者も個人情報取扱事業者としての義務がかかる • •安全管理措置系の義務は妥当だが…… • •利用目的系の義務はどう考えてもおかしい • ……と、経産省ガイドラインは言っているのだが…… 20条(安全管理措置)21条(従業者の監督)22条(委託先の監督) 15条(利用目的の特定)18条(取得に際しての利用目的の通知等) • • • • 開示等の義務(24条∼29条)では除外されている 利用目的は委託元の指定に従うしかなく自ら決定できない 経産省ガイドラインは受託者も利用目的を特定するものとしている • •• 利用目的を通知又は公表するのは委託元がすることで勝手にはできない 目的外利用の禁止は妥当だが 「保有個人データ」は「権限を有する個人データ」と定義されており (旧2条5項)、受託者にはその権限がないとされる Controller と Processor の義務を分けて規定すべき • 取得の委託 取得のみを委託する場合 •• 受託者においては「個人情報」であって「個人データ」でない •• • 「個人情報データベース等」に入る前の段階では「個人データ」でない とされている(逐条解説より)が、これ自体も現行法の不備 22条(委託先の監督義務)は「個人データ」が対象 取得の委託時には委託先の監督義務がないという、現行法の不備 委託元 Data Controller デ ー タ 委 託 ・ 監 督 改正して直すべきところ 委託先 Data Processor • 典型例① 新規契約の代理店 事案検討: 代理店が目的外利用した場合 • •• 委託元は保護法の監督義務違反 受託者は • 契約違反(となるべく契約すべき) 保護法の目的外利用禁止義務違反(ただし、利用目的の特定等は委託 元が指定したものと位置付けるべき) 督 携帯電話事業者 監 ・ 委託元 Data Controller 託 デ 代理店 ー タ 委 A社 • 代理店 B社 代理店 C社 委託先 Data Processor 直接書面取得時の利用目的明示義務 18条2項 18条2項 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結する ことに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識 することができない方式で作られる記録を含む。以下この項において同じ。)に記載され た当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個 人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければなら ない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限 りでない。 • • 「通知又は公表」では済まされず、書面上で明示する義務 代理店はこれを履行している • • 委託元が委託先の監督義務の一環でさせている 代理店が自らData Controllerとして取得するものではない • 複数案件を受託する場合 受託者は受託案件のデータを混ぜてはならない • • 保護法では規制されていない?(目的外利用に当たる?) 契約で禁止とするべきもの Data Processor 受託者 Data Controller 委託者 委託・監督 データ 委託・監督 データ • 典型例② 保険業 金融庁「保険会社向けの総合的な監督指針」 • 「①2以上の所属保険会社を有する生命保険募集人については、 所属保険会社間の不当な乗換募集の防止、顧客情報の管理等に ついての措置が講じているか。」とある 保険会社X 保険会社Y 生命保険募集人A 委託元 Data Controller 委託先 Data Processor • 典型例③ 共通ポイントの場合 加盟店からポイント会社への第三者提供ではなく ポイント会社から加盟店への取得の委託 • 加盟店は23条違反とならず、ポイント会社が責任を負う ポイント 会社 委託元 Data Controller 加盟店 コンビニ 加盟店 ドラッグストア FC店A • • • FC店B 加盟店 …… FC店C 複合事案 加盟店毎の購買分析サービス①と 加盟店横断の履歴を用いたターゲティ 個別DB ング広告② の同時実施 ポイント会社 ② 共通DB ①は加盟店からポイント会社への委託 (データ取得・管理と分析の委託) (個別DBを使用) ②はポイント会社から加盟店へ の委託(履歴取得の委託) (クーポン渡しの委託) 加盟店 コンビニ ① ① 加盟店 ファミレス (共通DBを使用) FC店 店舗 • Ad Networkへの適用 媒体は取得の受託者とする • 媒体は無関係ではないが 第三者提供ではない Ad Network 事業者 媒体A 媒体B タグ 媒体C タグ タグ デー タ 委託先 Data Processor 督 監 ・ 託 委 委託元 Data Controller ブラウザ • 本人 Data Subject JIAAガイドラインのモデル 「行動ターゲティング広告ガイドライン」 • •• • 2015年5月にいつの間にか改定されていた 内容は現在確認中 2014年3月の改定では…… 同「プライバシーポリシー作成のためのガイドライン」 • •• •• 2015年2月改定 「インフォマティブデータ」「個人関連情報」を定義 現行法の個人データに当たらなくても、同等の義務を自主ルール化 媒体社がAd Network事業者に第三者提供する形 オプトアウト方式による提供(23条2項相当)で適法化する形 取得の委託モデルでは • 媒体がAd Networkに参加するとき •• •• Ad Networkの利用規約に同意してタグを設置 Ad Networkからの委託契約と位置付ける プライバシーポリシーをWebサイトに掲載する • • • 当該Ad Networkのテンプレをプライバシーポリシーに含める 直接書面取得時の利用目的明示義務に相当するもの • • ただし、「明示」義務を達成したとは言い難く、「公表」に当たる なお、履歴のみ取得する(氏名等を取得しない)場合に、18条2項の直接書 面取得時利用目的明示義務があるかは議論の分かれそうなところ 委託元であるAd Networkからの委託によって当該テンプレを掲載して いるという位置付け オプトアウトは義務ではない •• 日本法では取得に同意が不要であるため • ただし、EUに合わせるには改正が必要 DMP/DSP分業の場合 誰が Data Controller なのか? • 以下の場合はいずれも「適法的な」アーキテクチャ構成 SSP 媒体社 DMP SSP 媒体社 広告主 DSP 広告主 Data Controller DMP Data Controller SSP 媒体社 DSP DMP DSP (SSPはパススルー?それとも媒体社へ再委託している?) 広告主 Data Controller 適法的でない構成と解消方法 媒体社 DMP 媒体社 DMP •複数DMPがデータを共有 • • 相互の第三者提供に当たる 「共同利用」の形態(旧23条4項3 号)なら適法的 • ただし固定的なグループ内でしか認め られない ? 適法化 媒体社 DMP DSP 媒体社 DMP •DSPが委託元として監督 • DMP間のデータ共有はDSP からの同一の委託案件につ いてのみ可とする(別案件 についてデータを混ぜない) (この図でSSPは省略) • 購買履歴からの履歴提供 想定例:物販サイトが購買履歴をDMPに提供 • • 物販サイトは氏名と共に購買履歴を扱うので、現行法で個人デー タの第三者提供に当たり、違法と言うべき 適法化の方法 • • • • • 物販サイトで売買が成立した画面にDMPタグを埋め込む この場合、物販サイトは「媒体」扱いとなり、DMPからの取 得の委託を受託している位置付けとなる プライバシーポリシーにDMPによる取得を掲載して公表 疑問点:これは脱法的でないのか?実質的な違いは? 直接書面取得時の利用目的明示義務に従って、売買成立画面の 直前にDMPによる取得の目的を表示して明示する案はどうか • • 次の法改正へ向けて 今改正で3年ごとの見直し規定が入った 個人データ定義を米国連邦法案やEUに合わせたい • • 現に適正に行われている広告事業に無理が生じないようにした 上で、履歴データが個人データ定義に該当するようにする 必要な修正 •• 義務対象を「個人データ」のみとする • • •• 「個人データ」でない「個人情報」(「散在情報」と呼ばれる)を義 務の対象から明確に外す(本来その趣旨だったはず) データ処理委託における受託者の義務を適切なものに修正 取得の委託に適切な義務がかかるように修正 開示等義務の制限(本人を確認できない場合の減免) 一定期間でデータを削除することを前提として
© Copyright 2024 ExpyDoc
