いま企業は、様々なサービス領域においてプライバシーにまつわる対応を求められています。
2022年3月に経済産業省が発表した「プライバシーガバナンスに関する調査結果」によると、調査対象者となった消費者の73.6%はプライバシー保護について関心があり、同様に消費者の88.5%は、類似商品の選択の際に企業のプライバシーへの取組み状況を考慮していることが判明しました。
また同様の調査で、消費者の70.4%は、金銭的な利益やポイントの有無に関わらず個人に関する情報の提供に関して慎重になっていることも判り、個人情報の取り扱いについてこれまで以上の「説明責任」が求められる時代になってきたと言えます。そんななかで、2022年4月に改正個人情報保護法が施行され、ガイドラインも含めた新しい運用がスタートしました。
今回は、そんな改正法で捉えるべき重点事項や今後のプライバシー動向を押さえるべく、プライバシーテック領域をリードするPriv Tech株式会社と、eKYCのリードカンパニーである株式会社TRUSTDOCKが対談を行いました。直近で必要となる対応内容からPost Cookieに向けた取り組みまで、有識者2名によるディスカッション内容をレポートします。
対談企業:Priv Tech株式会社について
GDPR(General Data Protection Regulation:一般データ保護規則)やCCPA(California Consumer Privacy Act:カリフォルニア州 消費者プライバシー法)、個人情報保護法などパーソナルデータ関連の法律に準拠した同意管理プラットフォーム「Trust 360」や、プライバシー規制対策コンサルティング、3rd Party Cookie規制に鑑みたポストクッキー対応に関する総合的なソリューションなど、プライバシーテック時代に対応できる様々なサービスを提供している。
対談メンバー
写真左:中道 大輔[Daisuke Nakamichii]
Priv Tech株式会社 代表取締役
写真右:中村 竜人[Tatsuto Nakamura]
株式会社TRUSTDOCK パブリックアフェアーズ
守りから次世代ソリューションまでを生業とするPriv Tech
中村:まずは、Priv Techという会社の設立背景について教えてください。
中道:元々私は、ヤフーやソフトバンク、同社が出資するアドテクスタートアップ企業で、デジタルマーケティング事業や広告プラットフォームなど、いわゆるユーザーデータを活用したビジネスの立ち上げ等を行っていました。直近ではソフトバンクとヤフーを兼任する形で、両社のデータ利活用や、横断したデジタルプラットフォームの立ち上げを進めていたのですが、それと並行して副業でPR大手のベクトルから依頼されて、新規事業のコンサルにも入っていました。
そこで「データを使った新規事業をやりたい」という要望をいただいていたのですが、調査に入ってみたら、データ量は大したボリュームがない上にプライバシーポリシーも十分に整備されていない状況だったので、横串を刺してのデータ活用はすぐにできるものではない、とお伝えしました。
中村:データの利活用についてのあるあるですね。
中道:そこで代替案として、プライバシーを守る側の事業を立ち上げるのはどうかと提案し、それが採用されて現在のPriv Techを立ち上げ、私が代表に就任することになりました。2020年3月の設立です。
中村:なるほど。具体的な事業内容としてはいかがでしょうか?
中道:端的にお伝えすると、企業に対して、ネットユーザーのプライバシーを守る仕組みを提供しており、メインのツールとしてCMP(同意管理プラットフォーム)である「Trust 360」を提供しています。
Trust 360では、対応同意情報に基づいて各種タグとCookieの発行を制御する「ゼロクッキーロード」を実装しており、GDPRやCCPAにも対応可能なCMP(同意管理プラットフォーム)となっている(画像提供:Priv Tech)
中道:いま見直されているCookieは、ユーザーのプライバシーを蔑ろにする温床になっているということで、世の中の動きとしては、法律とプラットフォーマーの2軸からの規制が進んでいます。
法規制については、GDPRからはじまり、CCPAや日本の個人情報保護法など全世界的にプライバシー周りの規制が厳しくなっている状況です。またプラットフォーマー規制については、Appleが2017年から段階的にCookieへの規制をかけており、Safariブラウザでは3rd Party Cookieが使えなくなっています。またGoogleが提供するChromeブラウザも、2023年に3rd Party Cookieを完全に規制する予定となっています。
このような一連の規制管理に対する同意管理のツールとして「Trust 360」を提供しており、またCMPを軸にして、たとえば改正個人情報保護法への対応コンサルティングや、プラットフォーマー規制に対する代替技術となる「Post Cookie」のソリューション開発やコンサルティングを行っています。
ですので、守りから次世代ソリューションまでを生業にしています。
「個人の権利保護」と「事業者の責任増加」が軸となった改正個人情報保護法
中村:3rd Party Cookieの影響は非常に大きいですよね。個人を追跡して、マーケティング活用するという流れが少しずつ変わってきているのかなという印象なのですが、そのなかで、Post Cookieソリューションとしてはどのような動きをされているのでしょうか?
中道:今は海外で質の良いソリューションや技術を、いち早く日本に取り入れて、コンサルティングと合わせて導入する、ということをメインでやっています。
中村:たとえば、クレジットカード番号などは、欧州の方では個人情報に当たりますが、日本では番号単体では個人情報には当たらないですよね。この辺りについては、日本が徐々に欧州サイドに寄っていくという話もありますが、どうお考えでしょうか?
中道:難しいところですね。本当にざっくりとした話になりますが、欧州のGDPR vs 米国のGAFAMみたいな構図があると思っていまして、純粋なプライバシー保護の流れというよりかは、より政治的な側面が強い動きだと感じています。
一方で日本は、地政学的には“米国寄り”の国なので、原則的には欧州に近づいていくわけではないのかな、と見ています。
中村:なるほど。そんな日本の改正個人情報保護法が2022年4月に施行されたわけですが、そこでは大きく2つ、「個人の権利を守る」という観点と、「事業者の責任を増やす」という観点が盛り込まれました。特に後者については、規制が強化されたとネガティブに受け取る方がいますが、責任を明確にするからこそ事業活動に活かしてほしいという、ポジティブな使い方ができるような改正がなされたと我々は認識しています。
この改正個人情報保護法について、Priv Techさんの事業領域の中で特に影響を受けるのはどこになるのでしょうか?
中道:やはり「個人関連情報」まわりですね。第三者提供を受けた個人関連情報について、提供を受けて自社のデータと紐つける場合は同意を得る必要があると。そして、提供元は提供先が同意をとっていることを確認しなさいと。これはまさに僕らの事業のど真ん中になります。
広告プラットフォーマーから、何かしらの形でユーザーに関する情報を提供を受けて、提供先の個人データと紐つく場合に同意が必要になったので、その同意の取得や管理の仕組みとして「Trust 360」を採用いただくケースが増えています。
ユーザーへの説明責任と開示請求
中道:TRUSTDOCKさんでは、今回の改正個人情報保護法について、どんな点に着目されていますか?
中村:私たちの方では、「開示請求」という点に着目しています。改正法により、これまで「書面の交付による方法」を原則としていた開示請求について、「電磁的記録の提供による方法」が明示されました。さらに、個人データの第三者提供記録が開示請求の対象になったのも大きいと思っていまして、これまでも第三者提供記録の作成は必要でしたが、開示請求の可能性を踏まえて、記録作成の時点からデジタル技術を活用するのが効果的であると考えています。弊社では、そうしたニーズに対応できるよう、「オンライン開示請求CRM」を開発・提供しています。
TRUSTDOCKが提供する「オンライン開示請求CRM」では、希望する開示等請求手続きの種類を選択し(左画面)、本人確認事項も含めた必要項目を入力してもらう仕様となっている(右画面)。右画面は、「個人情報を開示」を選択した場合の情報入力ページサンプル
中道:開示請求は面白い領域ですよね。たとえば「カスタマーマッチ」という、自社がもつ顧客データをプラットフォームにアップして、プラットフォーム側がもつデータとマッチングさせて広告配信を行う手法があります。このカスタマーマッチが、「個人データの第三者提供」に当たるという話が、改めて昨年9月くらいに個人情報保護委員会から出てきました。おそらく大半の広告主は、そのことに関してユーザーから同意をとっていないはずですから、影響は甚大だと感じています。
また、課題という観点ですと、ユーザーへの説明責任があるとも思います。今回の改正に併せてプライバシーポリシー(以下、プラポリ)を改訂したという企業は多いと思いますが、実際にプラポリを見てみると、きちんとユーザーへの説明責任を果たしていないケースが散見されますね。
中村:たしかに、ただ単に「同意」を取れば良いわけではなく、ユーザーへの説明責任はすごく大事ですね。ただ一方で、あらゆる場面でユーザーの同意を得ようとすると、どうしてもユーザー側のオペレーションが煩雑になってしまう点がネックだと感じます。この辺りはどうお考えでしょうか?
中道:そもそもですが、プライバシー関連の話には専門用語が多過ぎて、ユーザーが分かるわけがないと思っています。大手のプラットフォーマーであればあるほどプラポリが長文になっていて、現実的に読めないことが課題だなと。いま、この課題に対して新規サービスを企画しているので、楽しみにお待ちいただければと思います。
中村:プラポリ改訂は手探りな部分が多い企業はたくさんあると思いますから、今後が楽しみです。
CMP(同意管理プラットフォーム)はあくまで暫定的なもの
中村:Priv Techさんでは、今後も「Trust 360」を軸に事業展開されていくのでしょうか?
中道:CMPはあくまで今のCookieを前提にした仕組みなので、中長期的にはなくなっていく“暫定的なもの”だと考えております。特に欧州のホームページなどにいくと、どこもCookie同意のポップアップフォームが表示されるじゃないですか。あれ、相当にUIを下げていますからね。
中村:おっしゃる通りですね。
中道:今はCookieの過渡期なので、それこそWeb3ライクな新しいブラウザなど別の技術に代替されていくと、CMPは自然となくなっていくと思いますし、そちらの方がユーザーにとっても幸せだと思っています。なので会社として、CMPには片足を突っ込んでいるくらいの形で進めるのが良いなと考えています。
中村:あくまで過渡期としての暫定的なプロダクトだということですね。改正法対応で言いますと、たとえば私たちの周りでも、Cookieの同意フォームで「いいえ」を押したユーザーについて、Googleアナリティクスの計測対象から外れてしまったと言う話を耳にしています。
中道:日本の個人情報保護法では、Cookieや位置情報など「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」は「個人関連情報」と定義され、個人情報には該当しないとされています。そのため、個人関連情報の提供を受けて個人データとして取得する場合のみに同意取得の義務が発生するので、そこでミニマムの同意を取れば良いわけです。たとえば、Googleアナリティクスで利用しているCookieで収集している情報が個人関連情報であっても、個人データと紐づけてさえいなければ、日本法的には同意の対象に入れなくて良いことになります。
中村:なるほど。そう考えると、自社のプラポリがGDPRと日本法の両方を押さえているのか、それとも日本法だけなのかが可視化されると、ユーザーとしても分かりやすそうですね。
企業はプライバシーポリシーまでしっかりと整備すべき
中村:もう一つ、中道さんからご覧になって、今回の改正個人情報保護法の施行に伴って「企業はこれもやった方がいいのにできていない」と感じているポイントがあれば教えてください。
中道:先ほどの話と重なりますが、施行に伴ってプラポリもしっかりと改訂してください、と強く感じています。法律が変わるとガイドラインも変わると思うのですが、そこで示されている事項を、多くの企業でちゃんと対応できていないと感じます。今回で言いますと、たとえば安全管理措置を具体的に記述していなかったり、「同意」のことが全然書かれていなかったりと。その辺の突っ込みどころはたくさんありますね。
中村:プラポリを改訂したいとなった場合は、中道さんに相談すればいいんですよね?
中道:そうですね。ただ、私たちは弁護士ではないので、顧客の法務や顧問弁護士の方と連携してアドバイスをする形にしています。
中村:なるほど。関連するお話として、日々私たちがeKYCを通じて本人確認のご支援をしていると、テックの個人情報の扱い方と実際の法律上の個人情報の扱い方が、必ずしも合致しないケースが存在すると感じています。当然ながら弁護士の方々は法律のプロフェッショナルなのですが、テックと法律をつなぐような役割の人も必要だと感じています。
中道:まさにそうなんですよね。日本で、個人情報保護法に関してテックも理解した上でアドバイスできる方は、本当に少ない印象です。
中村:そういう意味では、我々がその橋渡し役の一つとして、しっかりと機能する必要があるなと感じています。
中道:今度、この辺りの弁護士向けにテック面の研修事業をやろうと考えていますね。
プライバシーテック市場の拡大に向けて
中村:最後に、今後に向けた展望を教えてください。
中道:先ほどもお伝えしたとおり、CMPはCookieの過渡期だからこそ普及するものであって、恒久的な対策にはならないと考えています。そのなかで「Trust 360」がコア事業となっているのはとてもリスキーなことだと感じているわけですが、そうは言っても、まずは日本のプライバシー市場を拡大していく必要があると考えています。なので、まずはイベントをやるなどして、プライバシーの認知向上の優先度を高めていくことが最重要だと捉えています。
Priv Techが毎年主催している「PrivacyTechサミット」では、その時々のプライバシートレンドをテーマに、プライバシー関連領域で事業展開している企業や団体によるピッチや、有識者を交えたディスカッションなどが行われている
中村:いいですね!TRUSTDOCKでは、現在「デジタル身分証アプリ」の開発を進めていまして、我々がユーザーの黒子になる、つまりはTRUSTDOCKが予め本人確認した上で、ユーザーは各企業にデジタル身分証アプリを提示することで、いろいろなサービスごとに本人確認を実施しなくて済むような世界を作ろうとしています。
最近では「個人情報をなるべく持ちたくない」という企業も増えていて、かつてのビッグデータ万歳時代から随分と様変わりした印象です。なので、企業にとっても、本人確認のためだけに不必要な個人情報を取得する必要がなくなり、TRUSTDOCKが本人確認を行ったという結果を信用いただければ良くなります。こうした個人情報取扱いに対する考え方の変化が後押しして、デジタル身分証の普及につながっていけばいいなと思っています。
中道:そうですね。今はいろいろなサイトで「Trust 360」のポップアップが出てきて煩わしいと思うのですが、この課題に対して、UXを向上させるような新規サービスを検討しています。具体的には、まだ言えませんが笑
中村:それは気になりますね!!本日お話があったとおり、プライバシーに対して前向きな機運を高めていきたいなと思っていますので、今後ともぜひ、プライバシーテックの拡大に向けてご一緒できたらと思っています。
中道:引き続き、宜しくお願いします。
---
▼オンラインセミナーの開催報告▼
2022年5月17日(火)Priv Tech×TRUSTDOCK共催オンラインセミナーを開催しました。
当日は、個人情報保護法などパーソナルデータ関連の法律や現状の課題について関心が高い方にご参加いただきました。
改正個人情報保護法への対応状況については、既に対応されている企業もあれば、これから対応するために同意管理ツールの導入を検討中の企業も半数近くいらっしゃいました。
TRUSTDOCKでは、今後もKYC専門会社として、個人情報の取扱いなどをテーマとしたウェビナーを開催いたします。お悩み・ご相談も受け付けておりますのでぜひお問合せください。
https://biz.trustdock.io/seminar/20220517
(参考情報・記事)
▶︎ 個人データの開示等請求をオンライン化。2020年の改正個人情報保護法の施行を前に読み解く
▶︎ eKYCとは?オンライン本人確認を徹底解説!メリット、事例、選定ポイント、最新トレンド等
(文・長岡武司)
