[2022/12/22] 2022年TMIプライバシー&セキュリティの振り返り

これは、法務系アドベントカレンダーのブログ投稿です。

#LegalAC

2022年は、4月の令和2年改正個人情報保護法の施行のほか、ポストCookie時代における様々な個人データの利活用のためのソリューションや新しいサービスが普及した年でした。その中で、いくつかのトピックを取り上げて今年のキーワードを振り返りたいと思います。ただし、法務系アドベントカレンダーのテーマ設定としては、少しとっつきにくいシステム実装よりのお話しですので、できるだけ平易にお話しできればと思います。そして、ブログ定番のお仕事の話しも少し。

まず、2022年の1つめのキーワードは、ポストCookieです。
GoogleとAppleによるCookieの利用に関する技術的規制により3rd Party Cookieの活用をした広告系ソリューション(=アドテク)が利用できない、または利用が制限されることになりました。他方で、これにより新しいデジタル・マーケティングのソリューションが生まれています。デジタルマーケティング業界の大きな流れを極めてラフに表現すると、これまでユーザのID連携(=名寄せ)のために使用していた共有キーをCookieからハッシュ化したメールアドレスに転換する流れが起きています。

Cookieとメールアドレスの違いは、我々ユーザ目線からしても大きな違いがあります。例えば、新聞やポータルサイトを始めとするコンテンツ配信など様々なウェブサービスは、氏名やメールアドレスのユーザ登録無しにサービスを利用することができますが、一部のサービスでは、氏名やメールアドレスを登録してはじめて利用できるサービスもあります。また、そのミックス型もあります。前者でユーザを識別するのは、Cookieであり、後者でユーザを識別するのは、メールアドレスを登録するアカウント情報です。

前者の優れている点は、ユーザ登録なしでもCookieを利用してユーザの閲覧の遷移(=閲覧履歴)を収集し、蓄積できる点にあります。ユーザは、いちいちユーザ登録するのは面倒なので、特典がない限り、ユーザ登録無しでサービスを利用します。サービス提供者は、これにより大量のユーザの流入を得ることができます。そして、このウェブ閲覧履歴をサイトのドメイン横断で収集し、蓄積するサービスがパブリックDMPサービスです。DMPサービスにより、ユーザ登録なしのサイトでも、どんなサイトを閲覧してから当社のサイトに行きついたのか、当社のサイト以外で、どのようなサイトをよく閲覧しているのかを把握でき、そのユーザの興味関心や購買行動を解析できる基礎データを大量に収集することが可能となります。

しかし、今後は、3rd Party Cookieの利用が制限されますので、ユーザをウェブサイトを横断してトレースするための共通キーをユーザ登録の際に入力するメールアドレスなどに依拠する流れとなってきます。


そこで生まれたソリューションが、次のキーワードであるカスタマー・マッチングです。

カスタマー・マッチング
このソリューションについての詳細は、下記ブログに委ねますが、ユーザ識別をCookieからメールアドレスに転換していることがポイントです。そうしますと、登録メールアドレスを大量に保有しているFacebook、Instagram、Google、LINE、Yahoo!、楽天市場さんなどプラットフォーマーが俄然デジタルマーケティング領域で力を発揮することになります。カスタムマッチングとは、これらプラットフォーマーが蓄積しているメールアドレスに紐づくユーザの属性情報や趣味嗜好情報を広告主に提供するソリューションです。

「Cookieレスソリューション活用に求められる法律対応」
https://plazma.red/plazma-2022-summer-tmi-report/

コラム:「リアルカスタマー・マッチング」
カスタマー・マッチングと言えば、弁護士のクライアント企業と他のクライアント企業をマッチングする企業同士のマッチングも弁護士稼業の醍醐味です。
クライアント企業視点では法律事務所はコストセンターであることは致し方ないので、弁護士としては、クライアントに潜在的顧客を紹介することでせめてクライアント企業の売上に貢献できれば嬉しいというか、少しは心が休まるものです。弁護士業務をしていると、システム開発ベンダと発注企業、Saasクラウドベンダとユーザ企業、ビッグデータの売り手と買い手、メディアやパブリッシャーと広告主、データ解析受託と広告主など頭の中で、クライアントのニーズとそれに応えるベンダが神経細胞のシナプスのように連結することがあります。元々両社のサービスをよく知ってるので、非常に相性の良いマッチングが成立します。また楽しからずや、です。

1st Party Dataの見直し

もう1つの流れは、3rd Partyのデータを活用するのではなく、まずは、自社またはグループ会社が保有するユーザデータ(=1st Party Data)を保有し、これまでバラバラにサービス単位で持っていたユーザデータを統合化、結集しましょう、という考え方が見直される流れです。キーワードは、1st Party Dataの見直しです。

実は、3rd Partyのデータを借り受けて活用する以前に、自社でできることはまだまだあります。自社で取得できるデータを改めて見直し、足りないデータは、オウンドメディアを構築することで自社をリッチ化しようという考え方です。

または、サービス毎にバラバラでサイロ化されてしまっていたユーザデータをグループ企業横断で統合したIDに紐づけて、集約させることで解析やターゲティングしやすい環境を整えようという考え方です。

TMIプライバシー&セキュリティでは、この1st Party Dataの見直しの文脈で、以下のリリースを発表しました。

LiveRampとTMI P&Sが提携を発表。企業のファーストパーティデータを最大限に活用したソリューションの実装を支援
https://tmiconsulting.co.jp/news/1394/

『グローバルデータ接続プラットフォームであるLiveRamp Japan株式会社(東京都港区、アジアパシフィック統括兼代表取締役:フレデリック・ジョウブ、以下「LiveRamp」)は、TMIプライバシー&セキュリティコンサルティング株式会社(東京都港区、代表取締役:大井哲也、以下「TMIプライバシー&セキュリティコンサルティング」)と協業を開始し、中立性、プライバシーファースト、ピープルベースドの識別子である「RampID」を活用したソリューションの実装支援を開始します。』

多くのクライアント企業の皆様が、リッチなデータを持ちながら、それを活用しきれていない現状があります。その大きな原因の1つは、自社サービスを横断した共通ID基盤を構築できていないことにあります。そのお手伝いをするためのソリューションが共通IDソリューションであり、LiveRampさんとの提携は、それを可能とするど真ん中の解決策となります。

コラム:弁護士キャリアの役得


弁護士は、法解釈、法理論上の世界に生きています。しかし、その法解釈が事業の現場でどのように活かされているのか、どのようにサービスを動かしているのかを見届けられる場面は極めて限られています。例えば、アプリゲーム会社をお手伝いするケースがあります。法的規制を踏まえてサービス設計をクライアントとともに構築する。それが日の目を見るのはゲームがリリースされ1人のユーザとしてそのサービスに触れた瞬間にあります。これは2Cサービスだからこそなせる技でしょう。
しかし、アドテク領域など2Bサービスの場合には、なかなかサービスのリリースに弁護士が立ち会うことはありません。
どんな企業が、どのくらいの価格帯で、どのくらいの営業工数をかけてサービスを導入頂いているかは見えないものです。TMIプライバシー&セキュリティは、この法律の世界と実装の世界を架橋することがミッションです。「ミッションです」と言えばサービス提供者目線でカッコいいですが、一介の弁護士目線で言えば、法律の一番面白いところ、ダイナミックなところ、お手伝いしたサービスが日の目を見るところの現場で仕事ができる。これほどやりがいのある楽しい仕事はありません。

また、TMIプライバシー&セキュリティでは以下の提携リリースを発表しました。

「TMI P&SとLayerX、データプライバシーの分野で協業」

~テクノロジーと法的知見の融合により、パーソナルデータの利活用高度化を支援~https://tmiconsulting.co.jp/news/1024/

この提携のゴールは、豊富なユーザデータを保有する事業者のビッグデータのマネタイズをお手伝いする案件となります。豊富なユーザデータを持つ事業者の究極のデータ利活用の形態は、データを欲している企業に対してデータを販売するないしはデータの使用許諾をして対価を得ることです。

例えば、投薬履歴データを豊富に持つ薬局・病院が病歴と投薬履歴を提供できるような仕様のデータにしてそれを欲する製薬メーカーに販売ないしデータの使用許諾をするケースがあります。このデータの利活用の形態はデータを提供する側とデータを欲する側のニーズがまさに合致してお互いにwin-winの関係にある形となります。

しかし、他方でデータ主体である患者さんの極めて機微な病歴情報を利用するので、患者さんのプライバシーの保護が大きな課題となります。そこで、患者さんの病歴情報を統計化処理したり、匿名加工化することで患者さんのプライバシーを守る手段が必要となります。提供された病歴情報が再識別され、特定の個人の病歴状況が明らかになる事は絶対に避けなければなりません。このリスクを技術的に極小化するのがLayerXさんの差分プライバシーのテクノロジーとなります。

次のキーワードは、リテールメディアです。リテールメディアの仕組みについては下記のブログに委ねますが、消費者とタッチポイントを有する小売事業者が持つ商品の購買履歴をもとに消費者の購買傾向、趣味趣向を解析しそれを小売事業者自身が広告事業として活用する形態です。

下記のウォルマートの広告事業の例でわかるようにWalmartではオンライン上の購買とオフラインの店舗での購買履歴を大量に有するプラットフォーマーとも評価可能です。この小売業者であるプラットフォーマーが保有する購買履歴を活用してDSPなどの広告事業に進出する形態が今後も加速されることと思います。

デジタルマーケティングの領域の新潮流「リテールメディア」について
https://tmiconsulting.co.jp/column/855/

「リテールメディアと法律の関係」
https://plazma.red/plazma-2022-summer-tmi-report/

【引用:トレジャーデータ「Cookieレスソリューション活用に求められる法律対応」】


最後のキーワード、データガバナンスについて見ていきましょう。

データガバナンスと一言で言ってもその守備範囲が非常に広いため、喫緊の課題である改正電気通信事業法を題材にお話しします。改正電気通信事業法では下記の図にあるようにサイト訪問者のウェブサイト閲覧により広告ベンダーやデータ解析ベンダーに対し利用者情報を通信することを規律します。

この外部送信規律の1つの側面は自社が有する閲覧履歴を第三者ベンダーに取得または提供されていることを把握し管理することです。前提として事業者がどの第三者ベンダーにデータが通信されているかを管理することが大前提となります。事業者は、本来であればタグの設置のマネジメントにより第三者ベンダーに対してどのような通信がなされているかを把握しているはずです。

しかし現実は、そもそもタグマネジメントをできていない事業者も多いわけです。データ利活用のプロセスにおいてデータマッピング、データフロー図を作成することが最初の工程であると常々お伝えしていますが、この第三者ベンダーへの通信については穴になっていることがままあります。

改正電気通信事業法の対応は、法律業務でありますが、他方で、サイトのタグマネージメントと言う意味ではサイト運用部門、情報システム部のアプリ運用部門の管理手法の見直しでもあります。これこそが、いわば法務部門と情報システム部門を架橋する共同作業と言えるでしょう。

【コラム】サイト運営者にインパクト大 改正電気通信事業法を解説https://tmiconsulting.co.jp/column/998/


なお、電気通信事業法については、来年1月早々にセミナーでまとめていますのでご紹介まで。

電気通信事業法改正への対応〜利用者情報の外部送信規律の対応実務〜
https://www.kinyu.co.jp/seminar_detail/?sc=k230065
1.個人情報保護法におけるCookieデータ規制の振り返り
2.個人情報保護法対応としてのCookieポリシー作成の実務
  (1)Cookieデータ単体では「個人情報」に該当しないこと
  (2)現行法下でCookieポリシーはなぜ必要か?
  (3)GDPR適用あるサービスのCookieポリシーの作成方法
  (4)現行法下でのCookieポリシーの記載例
3.改正電気通信事業法対応の実装と各手法のメリット・デメリット
  (1)通知・公表
  (2)オプトアウト 
  (3)同意取得
  (4)マーケティング観点から同意取得の手法を避ける理由
4.利用者情報の外部送信規律対応の準備
  (1)ウェブサイト(アプリ)構築・運用部門のタスク
  (2)ウェブサイト(アプリ)の外部送信の現状調査
  (3)Cookieの類型選別(必須Cookie、1st party cookie)
  (4)法務部門のタスク
5.CMP(consent management platform)実装の実務
  (1)利用者情報の外部送信規律の対応としてCMPを導入する意味
  (2)通知・公表、オプトアウト、同意取得のためのCMPの設定方法
  (3)代表的なCMPツールであるOneTrustの参考実例