GDPR によって何が変わるのか? 〜 Google, Facebook, Twitter 各社の GDPR 対応と広告への影響 〜

GDPR によって何が変わるのか? 〜 Google, Facebook, Twitter 各社の GDPR 対応と広告への影響 〜

いろんな企業から「一般データ保護規則(GDPR)に関する重要なお知らせ」というメールが届き、「これはなんだろう?」「要するに何が変わるの?」と思った方も多いのではないでしょうか。今回は、この GDPR によって一体どのような変化があるのかを説明したいと思います。

GDPR とは?

GDPR(General Data Protection Regulation)とは、EU とその周辺諸国において2018年5月25日に施行された「個人情報保護に関する法律」のことです。欧州市民のプライバシー保護を目的とした法律で、消費者が意図しないところで気づかないうちに個人情報が転用されているという懸念に基づいています。インターネット上での個人情報の処理についての規制を強めるために、個人情報の取得・保管・使用・破棄など、企業におけるデータの取り扱いや管理方法など幅広く言及しています。GDPR で保護される権利の大半は既存の個人情報保護法で確立されたものでしたが、これには法的な強制力はありませんでした。今回の GDPR 施行で全加盟国で権利が標準化され、規制当局が違反がないか監視することになりました。

GDPR ではどこまでが「個人情報」?

何を「個人情報」と定義するかについては GDPR 第4条で「生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することで、直接的に又は間接的に、識別され得るもの」と定義され、具体的に以下を例示しています。

  • 氏名
  • 個人識別番号(免許証番号、社員番号、学生番号、銀行口座、クレジットカード番号など)
  • 位置情報
  • オンライン識別子(ID、Cookie や IP アドレスなど)
  • 当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的アイデンティティに特有の要素(性別、身長、体重、宗教、性的指向など)

これら以外の匿名性の高い情報は GDPR の適用対象外となります。

誰が対象で違反金は?

対象となる企業:

GDPR は、EU 圏内に住む人の個人データを処理する企業に適用されます。つまり、企業の本社が EU 圏外にある場合も対象となります。例えば、 EU 諸国に住んでいる人が、アメリカや日本からインターネットで何かを買うという時にも適用されるということになります。

違反金:

GDPR に違反すると、世界売り上げの4%もしくは2,000万ユーロのいずれか高い方の金額の違反金が課せられます。2000万ユーロは日本円で約26.5億円ですから、かなり高額な違反金だと言えます。

ユーザーへの影響は?

GDPR 施行に伴い、様々なサービスの利用規約の一部変更された規約に対し「同意」をすることを求められることがあります。GDPR の文面には、個人情報取得と利用についてのユーザーからの承諾は「自由意志のもと与えられなければいけない」、そして承諾は「具体的、かつ十分な情報開示に基づいていて明確である」ことが必要とされています。

広告主への影響は?

ユーザーへの説明と承諾が厳格化されたので、広告企業へのデータ受け渡しを拒否するユーザーが増えることが予想されます。また、データを多用するオーディエンスターゲティングなどでは、GDPR に遵守するよう注意が必要になります。データを多用するリスクを鑑みて、米国などでは閲覧しているページのコンテンツに基づいて広告のターゲティングが行われるコンテクスチュアルターゲティングに回帰していく傾向もあるそうです。

(参照:https://digiday.jp/publishers/personalization-diminished-gdpr-era-contextual-targeting-making-comeback/

広告会社の対応

広告会社の対応を見ていく前に、GDPR でいう個人情報の「管理者」と「処理者」について理解する必要があります。GDPR の下で、個人データの処理を行なう企業は、管理者または処理者にとなります。

– 管理者:自社のサービスユーザー情報の処理を行う企業
– 処理者:管理者に代わってユーザー情報の処理を行う企業

以前は個人情報の保護に関する責任と義務は管理者だけに課されており、処理者に当たる企業が違法な処理をしたとしても管理者に対して責任を負うだけでした。ところが、 GDPR においては処理者にも直接一定の遵守義務が負わされています。

Facebook

→ 契約条項を更新し、管理者・処理者としての立場を名言

Facebook での大半のアクティビティにおいて Facebook はデータ管理者です。

ただしデータファイルからのカスタムオーディエンスの作成の際などは、広告主はデータ管理者となり、Facebook はデータ処理者となります。広告主がデータ管理者となる場合は、関連する法的根拠の確立を含め、適用法を遵守するための対応が必要になります。

Google

→ 契約条項を更新し、管理者・処理者としての立場を名言

ショッピング広告、ホテル広告に関しては Google が管理者として情報処理を行います。ただし個人データの処理者の役割を担う AdWords の機能は対象外です。

→ ユーザーからの同意取得をサポート

EU ユーザーの同意ポリシーに対する変更を行いました。リマーケティングタグを設定する広告主は、パーソナライズド広告のデータを収集する対象となるユーザーから同意を得る必要があります。また、測定の目的でコンバージョンタグを設定する広告主は、Cookie の使用についてユーザーから同意を得る必要があります。

お客様のサイトやアプリからデータを受け取る Google の広告サービスを利用する場合は、Google による広告サービスでのデータ管理方法を説明した「Google のサービスを使用するサイトやアプリから収集した情報の Google による使用」にリンクすることでEU ユーザーの同意ポリシーの新しい要件を満たすことができます。

Twitter

→ 契約条項を更新し、管理者・処理者としての立場を名言

Tailored Audience Program については、広告主が管理者、Twitter が処理者にあたります。Twitter ピクセルに関しては Twitter が管理者に当たるため、GDPR に準拠して Twitter がユーザーからの同意を得ることになります。

まとめ

広告運用を行うにあたって、GDPR で注目すべきはオンライン識別子が個人情報とみなされていること、そして個人情報取得と利用についてユーザーからの承諾が必要になることだと言えるでしょう。グローバルに事業を展開している場合、GDPR を遵守した上でリターゲティングを行ったり、コンテクスチュアルターゲティングを取り入れるなどの工夫が必要になるかもしれません。日本においてもインターネット上での個人情報の取り扱いについて法整備が今後進んでくるのではないでしょうか。