2022年4月1日から、ネットサービスの利用者はプライバシーポリシーの改定とともに、新たな本人同意を求められる機会が増えるはずだ。これまでは同意なく使えていた個人にひも付くデータ活用を企業に認めるかどうか、本人が決められる制度が日本で始まるからだ。
ネット通販や会員制サイトで表示するお薦め商品や広告には、他のサイトで閲覧したページ履歴や他サイトでの購買履歴が多く活用されている。利用者の嗜好を分析して表示する内容を嗜好に合わせ込む「ターゲティング」と呼ぶ手法である。2022年4月1日に施行される2020年改正個人情報保護法(2020年改正法)はこれらの個人に由来する情報を「個人関連情報」と定義して、一定の条件では「必ず本人同意を得てから利用する」という制約を設ける。
企業は本人の意思を明確に確認して同意を取る必要があり、丁寧さが求められる。企業はこれまで通りのデータマーケティング活動を継続できるのか。
リクナビ事件の教訓、個人データが膨れあがる危険
個人関連情報とは、氏名や住所など個人情報を含まないが、本人にひも付いている情報を指す。Webサイトの閲覧履歴やネット通販の購買履歴、個人を特定できない程度の位置情報などが該当する。これらのデータは通常、閲覧ソフトのCookieやスマートフォンOSの広告IDなどにひも付けることで、サイトをまたがって個人を識別できるようにしている。
施行日に先んじて、2022年3月から説明と同意を取り始めた企業もある。例えば、NTTドコモは2022年3月20日前後から、会員IDサービス「dアカウント」で個人関連情報を説明したうえで、利用に同意するかどうかを確認するページを設けた。ページ設置後に会員が初めてサイトやアプリを訪問した際に表示する。個人関連情報の説明や利用目的とともに、利用者の利便性を伝えようとするマンガも掲載している。理解を得ることが、明示的に同意を得るために重要という判断だ。
KDDIも3月中旬ごろから同意の確認を取り始めた。会員IDサービス「au ID」の会員向けメニューのうちプライバシー設定の画面を改修して、個人関連情報の取り扱いを設定できるようにした。NTTドコモとKDDIともに、個人関連情報の同意状況はダッシュボード画面などで個人情報など各種の同意状況とまとめて確認できる。同意と拒否の切り替えはこの画面で後でも変更できる。
2020年改正法がネットの行動履歴データに規制の網をかぶせるのは、2019年に発覚した就職情報サイト「リクナビ」の不適切な個人データ利用が大きなきっかけの1つである。運営元のリクルートキャリアはリクナビに登録する就活生のページ閲覧履歴から内定辞退率を予測して、本人の同意なしに企業に提供していた。問題が発覚した2019年は、リクナビが企業から提供を受けた就活生の個人情報も利用していた。これにより個人情報の目的外利用という明らかな違反が認定され、個人情報保護委員会が是正勧告を出している。
しかし、リクルートキャリアは匿名の内定辞退率のデータを企業に渡していた時期もあった。つまり採用企業側でCookieを使うことで個人情報に関連付ければ本人同意を回避できるというグレーゾーンが存在していた。企業をまたいで個人情報と個人関連情報を組み合わせると、本人の同意なく利用できる個人データ(個人情報を含んで集積したデータベース)が膨れあがっていくという問題が、ここで明らかになった。