2022年3月24日、大井哲也弁護士をゲストにお招きして「専門弁護士と学ぶECサイトのクッキー対策」をテーマにしたウェビナーを開催しました。2022年4月1日に施行された改正個人情報保護法。ECサイトにはどのような影響があるのでしょうか?
- 法律に準拠するだけで十分?
- 同意バナーは導入すべき?
- プライバシー保護はどこまで強化すべき?
- 何から始めればよい?
- 代替技術はいつから検討すべき?
前半ではクッキー・リスクマネジメントに関する基礎知識を説明し、後半では参加者からの質問に大井弁護士が答えました。
■開催概要 日時:2022年3月24日 木 17:00-18:00 参加対象:ECサイトを運営する事業者/マーケティング責任者 参加方法:事前登録 参加費:無料 形式:zoomによるライブウェビナー ■出演者 ・吉澤和之 awoo Japan株式会社 日本事業開発責任者 執行役員 ・大井哲也弁護士|TMI総合法律事務所 パートナー弁護士 TMIプライバシー&セキュリティコンサルティング株式会社 代表取締役
見逃し配信中! 動画をご覧になりたい方はこちら(https://www.awoo.ai/ja/archived_videos/webinar_220324_cookie_qa/)
大井弁護士監修 ホワイトペーパーのダウンロードはこちら( https://www.awoo.ai/ja/whitepaper/vol05/ )
コンテンツ
ECサイトへの影響と必要な対応は?
前半は、
- ホワイトペーパー「改正個人情報保護法施行に伴うマーケターが押さえておくべきクッキー・リスクマネジメント」の解説
- クッキー代替技術として注目される、awooAIの紹介
ついてawoo Japanの吉澤が話しました。
クッキーに対する規制とは?
今回の法改正で、日本で初めて明確なクッキー規制が入りました。具体的にはどのような影響があるのでしょうか? 2つのポイントを解説しました。1つめは、改正個人情報保護法におけるクッキー規制の対象範囲についてです。改正個人情報保護法において、クッキー情報は「個人関連情報」として新たに定義されました。「個人情報」とは異なるものとして定義されているため、原則としてクッキー単体の取得・活用・提供において法的な規制はありません。
ただし、ECサイトがクッキーに紐づいた趣味趣向データ(3rdパーティデータ)を他社から取得し、自社の会員情報(会員IDや氏名、購入履歴など)と突合させてターゲティング広告やレコメンドに活用する場合はユーザー本人の同意を得なければなりません。
- A社(提供元)の例:パブリックDMPベンダー/Webメディア運営会社 など
- B社(提供先)の例:ECサイト
ECサイトが引き続きクッキー技術を使ったターゲティングや属性解析を行う場合、ECサイト内のプライバシーポリシーの改訂やクッキーポリシーの策定を行い、ユーザーに事前承諾を得ることが必要です。
さらに日本では、GDPR(EU一般データ保護規則)に準拠してクッキー規制がさらに強まっていく動きが見受けられます。今のうちに、同意バナーの導入やクッキー技術の代替手段を検討しておくと良いでしょう。
2つめは、ブラウザ側(Google CromeやSafari)のサービスポリシーの問題です。ブラウザによってクッキーの取り扱いポリシーは異なりますが、基本的には3rdパーティクッキーを廃止する方向で進んでいます。今後のサービスポリシー変更によっては3rdパーティデータそのものを活用することができなくなる可能性がありますので、やはり代替手段の検討が必要になると考えられます。
ECサイトがやるべきこと2つ
では、具体的にはECサイトは何をしたら良いのでしょうか?マーケターがやるべきことを説明しました。
-
まずは棚卸しから始めよう
-
- まずは自社で利活用しているクッキーのデータフローの棚卸しをして、法改正に伴う対応が必要かどうかを確認しましょう。
- 次に、今後の個人情報の取り扱いの方針を決定しましょう。その際は、マーケターと法務・経営陣としっかりコンセンサスをとって進めましょう。
- ホワイトペーパーに掲載した他社事例を参考にしながら、どのような対応をするか検討しましょう(オプトインの取得やプライバシーポリシーの改訂など)。
-
クッキーの代替手段を検討しよう
リターゲティング広告やレコメンドに影響があるため、下記の代替技術に注目が集まっています。
- Googleが開発しているターゲティング技術
- ゼロパーティデータ活用
- 商品データ活用 など
クッキー代替手段としてのawoo AI
次に、クッキー技術の代替手段のひとつである「awoo AI」を吉澤が紹介しました。awoo AIは商品データを活用した完全クッキーレスの新規顧客獲得・売上拡大ツールとして多くのECサイト様に導入されています。
同意バナーが義務化する? 大井弁護士との質疑応答
後半では、大井弁護士が登壇して視聴者からの質問に答えました。
Q:今回の法改正で、EC側にどのような影響がありますか?
A:ECサイトに特化した例でご説明します。
<ケース1:影響がない場合>
- ユーザー登録情報を保有している
- かつ、クッキーIDに紐づく閲覧履歴を第三者から受け取っている
- ただし、2つのデータを突合しない
このようなケースも多々あります。顧客情報を取り扱うCS部門とマーケティング部門が独立・分離しているケースですねこのような場合は、今回の改正個人情報保護法の規制はかかりません。従来のデジタルマーケティング施策を行なっていただいても大丈夫です。
<ケース2:影響がある場合>
問題となるのは、自社のCRMデータとデジタルマーケティングで保有するクッキーIDを紐付けて解析をしたり、ターゲティング広告を配信する場合です。
例えば、3rdパーティデータを加味した上で顧客にDMを配信するという施策を行なっているEC事業者様です。この場合、氏名・住所・閲覧履歴・購入履歴・クッキーIDを一体として保有しているため、今回の法規制が影響します。つまりEC事業者がまずやるべきことは、データの流れをマッピングして今回の法改正に影響があるかどうかを判断することです。
Q:2022年4月1日以降、ECサイト内の個人情報保護方針(プライバシーポリシー)も修正・追記が必要になりますか?
A:はい。前述の<ケース2:影響がある場合>に該当するECサイトは、修正・追記が必要です。
これまでのように「お客様に同社の商品・サービスを提供します」といった簡単な記述ではなく、「どのような解析行為をしているか」を詳しくプライバシーポリシー内の「利用目的」に記載してください。
具体的には、
- ターゲティング配信をしていること
- どのようなデータを使っているか
- どのように分析を行っているか
- どのような配信を行っているか
について、詳細に記載します。そのためには、まずは早急に社内でのデータフローの棚卸しが必要です。
- 他社が提供するクッキー情報と自社の個人情報を突合しているか
- どのような解析行為を行なっているか
この2つをしっかり棚卸ししないと、最適な記載方法がわからないからです。
Q:顧客IDも個人情報に該当しますか?
A:個人情報に該当するかどうかは、「個人情報との照合」が大きなキーワードになります。
そもそも個人情報とは、
- 氏名・住所・生年月日・メールアドレスが含まれる情報
- 上記の個人情報と紐づいている購入履歴、閲覧履歴、課金情報
- 顧客IDなどによって他のデータベース(個人情報)と照合可能な状態になっている情報
これら全てが含まれます。ですので、ご質問にあった通り、「個人情報と紐づいている(照合ができる)『顧客ID』」は個人情報にあたります。
Q:「クッキー同意バナー」はいつから義務化されますか?
A:「日本の改正個人情報保護法のみ」に対応するならば、同意バナー(クッキーポップアップ)は必須というわけではありません。
下記のような個人関連情報の取得規制にクリアするための条項をECサイトのプライバシーポリシーに追加して会員登録時にユーザーに同意していただく、というのが典型的な同意の取得方法になります。
Q:CMP(Consent Management Platform/同意管理プラットフォーム)を使った同意取得を検討しています。必須ではないとはいえ、同意バナーを導入した方が良いのでしょうか?
A:2つの視点で判断していきましょう。
1つめの視点は、「グローバルでビジネス展開をしているかどうか」です。例えば、越境ECサイトや、海外で人気が高い日本のアニメや漫画・テレビドラマをヨーロッパの個人向けに配信しているメディア運営企業はGDPRの適用があり、GDPRへの対応(クッキー同意バナー)が必要です。これは法律上の要請になりますので、CMPを含むCookieデータの取扱いについて対応はマストです。
2つめの視点は、「ユーザーの信頼を獲得するためにGDPRに近い対応や同レベルの対応をするかどうか」という視点です。あくまで各企業の任意の判断になりますが、日本の大手メディアやコンシューマー情報をマーケティングに活用している企業がCMPを導入することが考えられます。これは、法的な義務ではありませんが、ユーザーフレンドリーな対応の1つとして検討する余地はあると思います。
Q:広告代理店がやるべきことは?
A:ECサイトを顧客に持つ広告代理店様を例にあげます。
- A社(提供元):パブリックDMPベンダー/Webサイトの運営者
- B社(提供先):ECサイト(広告主)
広告代理店がすべきことは、
- A社とB社のデータトランザクションの内容を把握する
- 広告主に改正個人情報保護法に関係するCookieデータの流れがないかヒアリングする
- 広告主にプライバシーポリシー改定のアドバイスを行う
ここまでやっていただければ、あとはデジタルマーケティングに関する個人情報保護法を専門領域とする弁護士が対応することになります。もちろん大井をご紹介頂くことも可能です。広告代理店経由で、広告主さんの法的対応を依頼されることも多々ございます。
Q:広告代理店が広告主にプライバシーポリシー改訂のアドバイスをするのですか?
A:はい。Googleアナリティクスや広告タグの管理、アプリのIDFA(デバイスID/広告ID)の活用について広告代理店に任せている広告主は多いと思います。これらの知見を持つ広告代理店が広告主に問題提起をするべきだと思います。
Q:越境ECサイトの運営において、注意すべき点は?
A:越境ECサイトは、各国の法律に準拠した対応(プライバシーポリシーの作成など)が必要です。
例えば、ヨーロッパのお客様にサービスを提供するのであればGDPRに準拠した対応を、中国のお客様には中国サイバーセキュリティ法や中国の個人情報保護法に準拠した対応をする必要があります。もちろん、日本の改正個人情報保護法に対応することが前提です。
Q:Amzonや楽天などECモールを利用している企業は、どのような対応が必要になりますか?
A:モール側がお客様情報を管理する場合と、出店しているテナント側がお客様情報を管理する(取り扱う)場合の2つのパターンで対応が分かれます。
<モール側が管理している場合>
基本はモール側が対応する。ただし、一部テナント側の対応も必要です。
<テナント側が管理している場合>
各テナントで改正個人情報保護法の対応が必要です。
Q:法律的に問題がないクッキーの代替技術を探しています。具体的に何がありますか?
A:クッキーの代替技術として、サイトのコンテンツ(文脈)を活用してユーザーのニーズや趣味嗜好を探る施策があります。いわゆるコンテクチュアルターゲティングの施策です。
その観点からは、awoo AIは改正個人情報保護法だけではなく、今後のGoogleやAppleのポリシー変更にも対応できるサービスだと言えるでしょう。
Q:「フィンガープリンティング」という技術も禁止されますか?
A:「フィンガープリンティング」とは、デバイス情報を使ってユーザの同一性を判断し、ユーザをトラッキングする技術です。
Google・Appleのポリシーの問題
Google・Appleは「ユーザーのトラッキング行為に対してユーザーにその内容を知らせて同意を取る」というポリシーを掲げています。ですので、今後、フィンガープリンティングという技術もGoogle・Appleのポリシによっては使いにくくなっていきます。
Q:プライバシーポリシーと利用規約の違いは?
A:法律上では2つの違いは特に定められていません。ただし、下記のような住み分けが一般的です。
<プライバシーポリシー>
お客様の個人データ(クッキー情報含む)に関する内容を記載する
<利用規約>
ウェブサイト/サービスの利用条件を記載する
Q:改正個人情報保護法、クッキー以外におさえるべきポイントは?
A:今回はクッキーデータの提供を受けるECサイト側の話を中心にお話ししました。
しかし、他にも実務に関わるポイントがいくつかあります。
セキュリティ体制の開示・説明の義務化
企業が顧客情報をどのようなセキュリティ体制で管理しているかを、個人に対して開示・説明することが義務化されました。
<対応のポイント>全社的な安全管理体制やセキュリティ体制をしっかり把握し、ユーザーにいつでも説明できる状態にしておきましょう。なお、開示方法は
①プライバシーポリシーで開示
②ユーザーから問い合わせがあった時に開示
どちらでもOKです。
個人情報漏えい時の対応
個人情報の漏えいが起こった場合、個人情報保護委員会への報告と本人への通知が義務化されました。
<対応のポイント>インシデント(漏えい)が起きた際の対応フロー・マニュアルの見直しを行いましょう。
最後に
この他にも、改正個人情報保護法による影響やECサイトがやるべき対策について多くの質問が寄せられました。
ECサイトがやるべきことは、社内で活用しているクッキーの棚卸しを行い、早急に対応しなければならないことを洗い出し、今後必要になってくる対策(代替技術の検討など)の検討です。
「どのような対応をしたら良いかわからない」「そもそも対応が必要かわからない」というEC事業者様は、自社の担当弁護士や大井弁護士に問い合わせをしてはいかがでしょうか。
見逃し配信中! 動画をご覧になりたい方はこちら(https://www.awoo.ai/ja/archived_videos/webinar_220324_cookie_qa/)
大井弁護士監修 ホワイトペーパーのダウンロードはこちら( https://www.awoo.ai/ja/whitepaper/vol05/ )
