2020.01.14

一般社団法人 日本インタラクティブ広告協会

日本インタラクティブ広告協会は、2019年12月13日に公表された「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」に関して、インターネット上においてデータを利用した広告を掲載・配信するビジネスに関して自主ルールを定め、運用を行っている業界団体の立場から、以下の意見を申し述べます。

該当箇所1:

23~25ページ:第3章 第4節4.端末識別子等の取扱い

意見:

  • ターゲティング広告は、一般に、事業者がユーザーから取得し一定期間保存しているデータからある属性値や傾向を持つユーザー群を抽出し、そのユーザー群に対してブラウザや端末を識別して当該ユーザー群に適切と思われる広告を配信しているものであり、本人が誰であるか個人を識別することを目的としているものではなく、その必要性も全くないものである。そのため、「ターゲティング広告の多くでは、個人を特定しない形で行うことが業界の慣行」(24ページ)となっている。ただし、ターゲティング広告のために取得するデータは、個人情報に該当しなくとも、ユーザー個人に関するデータを利用するものであり、個人の権利利益に配慮して不適切な取扱いとならないよう、適正な取得、管理、利用を行う必要がある。また、広告配信に用いるクッキー等の端末識別子を含むデータが、他のデータと紐づけられ特定の個人を識別できるような場合は、個人情報として取扱うことは当然である。当協会の自主ルールを遵守する会員事業者は、そのような規律の内容を十分に理解してインターネット広告事業を行っている。
  • インターネット広告事業に関連するサービスとして「『DMP(Data Management Platform)』と呼ばれるプラットフォームが普及」(24ページ)しつつあり、広告配信にも活用されている。ただし、DMP等のデータプラットフォームは多々種類があり、そのデータ蓄積・利活用の技術設計や、他の情報との連携の範囲、手法などは様々で、広告配信だけでなくコンテンツの最適化や様々なマーケティングその他の事業活動に用いる目的で利用されるものである。当協会の定める自主ルールに則って情報を取扱うプラットフォームにおいては、個人情報に該当しない情報を取得する場合であっても、あらかじめ利用目的等を公表し、ターゲティング広告のためのデータの取得・利用の停止や第三者提供の停止のためのオプトアウトを提供する等、個人の権利利益の保護に配慮している。このようにターゲティング広告等のインターネット広告事業における利用については当協会の自主ルールにより規律されるが、その範囲外の利用形態においては個々の事業者の判断によるものとなる。そのため、現行法の「規定の趣旨を潜脱するスキームが横行」(24ページ)し、個人の権利利益を害するおそれがあるのであれば、現行法の趣旨に合致した規律を適用し、個人データの利用を制限することとなるのはやむを得ない面があるものと思料する。
  • ただし、「提供元基準を基本としつつ、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する」(25ページ)にあたっては、次の点に留意いただきたい。
    • DMP等のプラットフォームが個人特定性のないユーザーデータをパートナーのサイト上に設置したタグを通じて取得している場合、プラットフォーム事業者とユーザーとの直接的な接点がなく、本人の明確な特定は不可能である。このような場合に提供元のプラットフォーム事業者が本人の同意を確実に得ることは難しい。当協会の自主ルールでは、パートナーのサイト運営者にプラットフォーム事業者のデータ取得に関する説明ページへのリンクを設置することを規定しているが、複数のプラットフォームのタグを受け入れているサイト運営者(メディア事業者)が個々の同意を取得しようとすれば、ユーザーの利便性を著しく低下させることになり、メディア(コンテンツ)サービスの在り方としても適切とは言い難い。ユーザーにとっても、何に同意しているのか理解しないままに同意を繰り返すことになりかねない。
    • 「企業が自社で蓄積したデータを活用するために用いる『プライベートDMP』」(24ページ注8)等の場合、ユーザーデータの提供元となるDMP等のプラットフォーム事業者は委託によりデータを取扱うものであり、個人データを保有する提供先が“データコントローラー”としてユーザーデータの取扱いの目的と手段を決定するものである。本人の同意の意思表示は、当該本人であることを確認できていることが前提となることからも、ユーザー本人との接点を持ち、個人データの取扱い権限を持つ提供先事業者が実質的に取得すべきであると考える。
    • なお、DMP等のプラットフォームには、「DMPを運営する事業者が様々な事業者からユーザーデータを収集し、それにIDを付した上で統合・分析し、さらには外部に提供する『パブリックDMP』」(24ページ注8)がある。複数のパートナーから取得した個人情報に該当しないユーザーデータを複数の顧客企業等の外部事業者に提供する場合、DMP等のプラットフォーム事業者における取扱いは委託には該当しないものの、個人データを保有する提供先事業者が個人データの取扱い権限を持つものであることは変わりない。
    • また、DMP等のプラットフォームの中には、提供先事業者においてユーザーデータを個人情報と結びつけて蓄積・外部提供することのないよう、技術的な仕様で制御したり契約において制約を課したりしている場合もある。勿論、当協会の自主ルールを遵守するプラットフォーム事業者は、ユーザーデータ取得元のパートナーのサイト内にリンクを設置して誘導する等の方法により、ユーザーへのデータ取扱いの説明とオプトアウトを提供することで本人関与の機会を確保している。
    • 個人データを第三者に提供する場合の規律である法第23条では、本人同意の例外(同条第1項各号)、及び、本人同意以外の方法による提供が認められている(いわゆるオプトアウト提供、共同利用など)。そこで、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する」場合については、上記個人データの第三者提供の規律とのバランスにかんがみ、本人同意以外の一定の本人関与の機会を確保した方法による提供も可能とすることが望ましい。

    以上のような状況を踏まえ、提供元事業者の法的義務の内容については、現在の技術水準や開発上の制約等も考慮のうえ、ユーザーの利便性に配慮するとともに事業者の過度な負担とならないよう、実態に即した規律にしていただきたい。また、「明らか」との要件についても、当初から特定の個人を識別することを目的としたサービスにおいて提供される事実が明白であるものや、特定の個人を識別する意思表示を明確に受けている場合等、実態に配慮した制度としていただきたい。

該当箇所2:

17~18ページ:第3章 第3節1.認定個人情報保護団体制度
23ページ:第3章 第4節4.端末識別子等の取扱い

意見:

  • インターネット広告の分野について「可能な限り民間の自主性を活かしつつ、認定個人情報保護団体制度を活用するなど効果的な執行の在り方を検討していく必要がある」(23ページ)、また、認定個人情報保護団体制度について「特定の事業活動に限定した活動を行う団体を認定できるよう制度を拡充する」(18ページ)とのことであるが、「団体を認定」する制度である場合に、実効的な制度となるのか疑問がある。事業者団体に過度な役割を求めるのでなく実態に即した運用が可能な制度となれば、民間の自主ルールを補強するものになり得ると考えられるが、認定団体の業務が現行制度のような個人情報等の取扱いに関する苦情の処理、対象事業者への指導・勧告、個人データの漏えい等への対応といったものであるとすれば、ターゲティング広告を含むインターネット広告の分野での「団体を認定」する制度活用の効果はごく限定的であると考える。その理由を次に述べる。
    • 当協会が定める自主ルールの対象となる会員のインターネット広告事業者では、自社の従業員や広告サービスを利用する顧客企業の従業員の個人情報を保有しており、そのため個人情報取扱事業者にあたるとしても、ターゲティング広告を含むインターネット広告事業においては、個人情報を取扱わない広告事業者も多い。また、読者・ユーザーの個人情報を取扱うメディア事業者においても、個人情報等の利用目的がコンテンツサービスであって、自らは広告利用を目的とした個人情報等の個人に関するデータの取得を行っていない事業者も多い。そうした事業者は、従業員やコンテンツ利用者等の「個人情報取扱指針」とは別に、インターネット広告サービスにおけるユーザーデータの取扱いに関する指針を定めて公表している。また、コンテンツサービスにおいて取得した個人情報等を広告事業にも利用している事業者も、包括的な「個人情報取扱指針」とは別に、インターネット広告でのデータ利用について説明を別途設けている。このような事業者の取組みは当協会の自主ルールによるもので、ユーザーに対して分かりやすい説明を行うことで、データ取扱いの透明性と関与の機会(オプトアウト)を提供しているものである。さらに、広告に設置したマーク(当協会の指定するインフォメーションアイコンやグローバルな自主規制アイコン)から誘導するなどユーザーの理解と関与を可能にする適切かつ合理的な方法を実装する取組みを行っている。
    • また、当協会への加盟にあたっては、健全なインターネット広告事業を行う趣旨(団体の目的、広告倫理綱領、行動憲章)に賛同することを求めており、それによって趣旨に相容れない事業者と一線を画し、差別化をはかる意図がある。インターネット広告事業の健全性には、個人情報等の取扱いに限らず、広告表示に関する法令や倫理基準、広告掲載先の品質確保や標準的なビジネス規範等、様々な要件がある。会員事業者にはそれらの関連法令及び業界基準を守り適正性を確保することを求めているため、インターネット広告事業を行うすべての事業者に当協会への加盟資格があるものではない。そうした業界団体の在り方からすると、「団体を認定」する制度である場合に、アウトサイダーの事業者をも対象事業者として個人情報等の取扱いルールに関してのみ認定を行うことについては、様々な自主基準に照らしてアウトサイダー事業者と一線を画すことにより業界の健全性確保を図る中で、その役割を当協会が負うことが適切であるのか慎重な検討を要する。
    • なお、インターネット広告の分野で重要なステークホルダーである「広告主」は当協会の構成員ではない。また、「広告会社」の一部も同様である。個人情報やユーザーデータの取扱いはインターネットに限らず、リアル店舗やマス媒体も含めた広告キャンペーンや販売促進、Eコマースや口コミなども含むマーケティング活動全般において取扱われることがあるが、そうした範囲については当協会の自主ルールの対象外である。

    以上のような理由から、新たな制度においては「団体を認定」する制度ではなく「ルールを認定」する制度として、特定の業界団体への加盟を問わず、個人情報等の取扱いに関する専門機関が一元的に複数の自主ルールに適合することの認定を行うなどの制度も考え得るのではないか。また、「ルールを認定」する制度であれば、少なくとも自主ルールを適用・準用する会員事業者の事業領域に関しては、業界団体が機動的かつ実効的に運用できる可能性もある。「ルールを認定」する制度によって事業者が自主ルールを遵守することのインセンティブが生じ、ユーザー個人、事業者、業界団体などステークホルダー全体のメリットとなり得るとも考えられる。柔軟な制度を検討いただきたい。