個人情報保護法とクッキーについて_DataTailor_気になるNEWS_20200607

DataTailorにてメディア運営・コンテンツ作成に関連した気になるNEWSを、（なるべく）毎日更新！！！宜しくお願い致します。
※といいながら早速三日坊主になってしまってました、今後はより頻度高く投稿してまいります。

今回は、ウェブサイトにおける個人情報の取り扱いおよびcookieに関連した話を中心にお伝えしていきます。

■改正個人情報保護法が成立

弊社もセミナーやnoteなどで度々ご案内しておりました、改正個人情報保護法が5日成立しました。早速、日経やNHKなど各メディアでも報じられており、いくつか内容を見ていきたいと思います。

個人データ、安全な活用促す　改正保護法が成立

データ利用を拡大する環境づくりとして、プライバシー保護など個人の権利も強化する。必要のなくなったデータの利用停止を企業に求められる「利用停止権」の拡充を盛り込んだ。個人の権利を侵害する恐れがある場合などに利用停止を請求できる。データの流通量が増え、本人が把握できないところで分析などに多用されるのを防ぐ。

改正個人情報保護法が成立、クッキーと個人情報のひも付けに同意取得を義務化

改正法はクッキーなどを「個人関連情報」と名付けて、企業が他社に提供する場合に新たな規制を設ける。クッキーの提供先企業が誰の個人情報なのかが分かる「個人データ」になることが想定されるときは、提供先の企業が本人の同意を得たことを確認するよう提供元の企業に義務づける。

個人データの企業活用 利用停止求める要件緩和 | NHKニュース

改正法では、企業側に個人情報の利用停止や消去を求めることができる要件について、情報の不正取得などの場合にかぎるとしていたのを改め、広告や勧誘に個人データが利用されるなど、個人の権利や利益が損なわれるおそれがある場合にも請求できるよう緩和しています。

具体的には、企業がこうした電子情報を別の企業などに提供する際、提供先が持っているデータベースで照合すれば、個人を特定できると想定される場合は、個人情報として取り扱うことを明確にし、本人の同意を得ることを義務づけるとしています。

3社の記事を抜粋しましたが、改正法について、各紙により細部のニュアンスが異なるなぁ。というのが気になっています。私見ですが、誰が同意を取り付けるべきなのか？ということが論点としてまだ残っており、各社の解釈が別れているのかと思われます。

（具体的にはFBタグやリタゲタグを設定してのデータ取得や、メディア企業が広告配信タグ（SSPなど）を設置し、第三者（広告主／配信ベンダー）がデータ取得する際など、第三者提供説・委託説などのどのような考え方が採用されるのか？）

今後の政令／施行規則を見ていかないと、同意取得が必要となる基準が不明瞭な部分もありそうで、これからも注視が必要となりそうです。

なお、本改正の背景に関しましては、原が簡単に下記のnoteにまとめておりますので、宜しければご覧くださいませ。

弊社としましては、本改正に向けて下記のようなサービスも提供させて頂いておりますので、お気軽にご相談下さいませ。

Data流通の信頼性を担保するために！プライバシーポリシー通知&Data同意管理ツールPMC（Privacy Management for Consumer）の提供を開始

■cookieは今後どうなるのか？

個人情報に関連したトピックとして、もう一点注目を集めているのはcookieに関して。主要なブラウザによる3rdparty cookieの取り扱い停止も予告され、今後の動向が注目されています。

Google による Cookie 廃止、「2年間」の猶予に歓迎の声 ：「実に穏やかなアプローチだ」 | DIGIDAY［日本版］

実際に弊社でも「cookieって使えなくなるのでは？Googleもプライバシーサンドボックス用意しているし。」という質問を頂くことが多いです。

とはいえ、プライバシーサンドボックスの登場で、プライバシーポリシーに関する問題はクリアになるのでしょうか？また、そもそもcookieを代替できるほど万能なのか？という疑問は残ります。

【一問一答】Googleの「 プライバシーサンドボックス 」とは？：Cookieの代わりとされる5つのAPI | DIGIDAY［日本版］

「プライバシーサンドボックスに関してもっとも重要なのは、すべてのユーザーデータをChromeブラウザに移し、そこで処理・保存するというGoogleの提案だ。つまり、データはユーザーのデバイス内にとどまり、プライバシーに準拠する。これはいまや、やらなければならないことの最低ラインであり、プライバシーの黄金律だ」と、データマネジメントプラットフォームプロバイダーのパーミューティブ（Permutive）でマーケティングディレクターを務めるアミット・コテチャ氏は言います。

これから2年の間に各種議論、テストが繰り返されていくのでしょうが、現段階では、まだまだ課題は多いようです。

メディアサイドにフォーカスしていくと、これまでのSSP（オークションモデル）等を活用したマネタイズは大きな変化を強いられそうです。

Criteo’s SPARROW Proposal Marks Ad Tech’s Venture Into Privacy Sandboxes And W3C | AdExchanger

storing all that auction logic inside the browser would strain the bandwidth and computational power consumed by ad tech, particularly on mobile devices. Servers can process huge amounts of data, but data on a phone is limited by Wi-Fi, cell service and available device storage, said Bosko Milekic, who was head of engineering for Samsung Ads until late last year. (He co-founded and was CTO of AdGear until 2016, when it was acquired by Samsung.)

Complex auction logic isn’t possible with the TURTLEDOVE proposal, Milekic said. Even not-so-complex segmentation, such as merging two interest groups to create a more nuanced audience segment, isn’t possible, he said. Aside from TURTLEDOVE’s on-device software having less data available, browser operators don’t want highly targeted audience segments that could be honed down to create profiles of users.

あくまでも、現状のサンドボックス構想の仕様（TURTLEDOVE）では、複雑な配信セグメントの処理ができない、モバイル端末の通信に負荷を掛けるなどの問題があるようです。（Googleと競合する、CRITEO側の主張のため、全てを鵜呑みにせずに判断する必要はありますが。）

Googleが提唱するサンドボックス（TURTLEDOVE）が現状の仕様で成立した場合には、「メディアバイイング」「メディアプランニング」の方法も大きく変わっていくと想定されます。

複雑な配信セグメントの処理ができなくなった/サンドボックスにより活用できるデータセグメント量が変化した場合、『定量』だけではない「なぜそのメディアに出稿する必要があるのか？」ということの『仮説』がより強く求められるようになるのではないでしょうか。

メディア側が、これまでのような『インベントリーの提供者』ではなく、『（ブランドに対しての）プランニングパートナー』となる必要があるのではないか？と私見ながら考えます。

また、配信セグメントの問題を対処したとしても、Googleの提唱するサンドボックスで気が掛かりな点があります。

You Gotta Fight For Your Right To First Party! | AdExchanger

On the reverse side, sites that aren’t owned by the same organization but want to offer shared services can’t group together at all under the current proposal. The major browsers’ user agent policies deem an “organization” as a critical requirement to making a first-party set valid.

プレミアムなメディア同士がパブリッシャーアライアンスなどで、共闘しようとする場合にも、現在のサンドボックスの内容では「『組織』が異なる」という理由故に、データ連携ができないということです。

本課題も、サンドボックスが実際に提供された際に解消されるかもしれませんが、どちらに転んでも良いように、メディアは、上記でも述べたように、【『プランニングパートナー』として活きる人材の育成・採用】と、【1stPartyDataの深度の強化】が必要だと思われます。
※我田引水ですが、当該領域は弊社のビジネス領域でもあり、個別のご相談対応（無料です）とさせて頂ければと思います！

■同意が重要なテーマに

個人情報保護法改正とcookieの動向について書かせていただきましたが、どちらの変化についても根底にあるのは同意の無いデータの利活用を制限することと考えております。ユーザーの「同意」に基づいたデータのみが活用可能になっていきそうです。

となると、ウェブサイトでの事業展開において今後は「同意」の取得が重要なポイントとなってきそうです、ユーザーから適切な同意を取得できるか？がマネタイズに関わってくるのでは？と思っております。

そんな中、データ活用と同意について興味深い事例を目にしましたので、最後にご紹介したいと思います。

Cookie規制、新型コロナ…これからのデータ活用のあり方：オイシックス・ラ・大地 / 顧客時間 奥谷氏、三井住友カード 白石氏、SUBARU 小川氏 | DIGIDAY［日本版］

（SUBARUのIT戦略本部 デジタルイノベーション推進部の小川 秀樹氏は（「昨今、弊社のお客さまの3~4割は、サードパーティCookie活用のためのパーミッションを拒否している状態であり、多様なデータを取得し、繋げることが難しくなってきている」と語る。「お客さまに、データ使用の目的を明確に提示し、許可を得た上でコラボレーションし、何らかのアウトプットを通じて『データを返す』ことが大切だと考えている」。

スバルさんが仰っておられることには強く同感で、『同意』を取り付けることが重要で、また、ユーザーからデータを預からせて（活用させて）頂くためには、必ず何か『利便性』を提供しないといけないということを肝に銘じないといけないと思います！サンドボックスになろうがどうしようが、『考え方』としても『仕組み』としてもこれは絶対に用意しておかないといけないところです。

<<執筆>>原 直志

hara｜note