マーコム・サポーターの椎名です。中小企業や個人事業主のマーケティング活動をサポートする傍ら、ライティング活動も行っています。今回は、来年施行される改正個人情報保護法について取り上げます。
個人情報保護法は、個人の権利・利益を保護するもので、取り扱い事業者が守るべき義務、違反時の罰則が定められています。海外ではEU一般データ保護規則(GDPR:General Data Protection Regulation)やカリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)があり、近年個人の権利保護が強化されつつある状況です。
一方、日本は欧米と比べると規制対象が緩い傾向にありますが、方向性は基本的に同じです。国内の個人情報保護法は3年おきに見直されており、今度の改正法は2022年4月に施行されます。
本記事では、この法改正で何が変わるのか、またデジタルマーケティング活動を行う上で、法律がどう影響するのか、主な業務についてポイントをまとめてご紹介します。
この記事の目次
2022年、個人情報保護法の改正で何が変わるのか?
今度の法改正で改正される大きなポイントとしては、規制対象の拡大です。従来は5,000件以下のリストを扱う中小事業者は外れていましたが、今回の改正で、全事業者が対象となります。例え数十件のリストでも法律が適用されるようになります。
ルールとして改正される内容は主に以下の5点です。
- 漏洩など報告の義務化
- 不適正な利用の禁止
- 個人情報の第三者提供の制限強化
- 海外の第三者への提供時の提供情報の拡充
- 仮名加工情報の創設
内容で注目されるポイントとして、3にあげた「個人情報の第三者提供の制限強化」があげられます。強化される部分として2つあります。
ひとつは、本人の事前同意(オプトアウト)の際の手続きが厳格化することです。従来は、同意を取る項目として、以下の4つがありました。
- 個人情報の第三者提供
- 提供項目
- 提供方法
- 本人が求めに応じ第三者への提供を停止
これが改正後は項目が追加され、「個人情報保護委員会への届け出」が義務として必要になります。
もうひとつは、個人情報の第三者提供を行う際に、本人の同意が必要になる範囲が拡大することです。従来、個人情報の扱いの対象から外れていたCookieや位置情報が個人情報として対象に入る場合があります。いわゆるCookie規制です。
Cookie規制については、欧米の動きにあわせた形になっていますが、Cookieがなんでもかんでも個人情報として規制の対象に入るわけではありません。具体的にどういったものが対象になるのでしょうか?これについては、次の章で広告業務を例としてご説明 します。
ポイント解説!デジタルマーケティングの何が変わるのか?
ここでは、主なデジタルマーケティング業務において、今回の法改正で何が変わるのか、どんなことに気を付けなければならないのか、ポイントを絞ってお伝えします。
WEB広告
WEB広告における注目すべき改正ポイントは、「Cookie規制の強化」です。先に述べたように、もともと国内ではCookieは個人情報の扱いから外れていました。しかし今回、部分的に規制の対象となり、Cookieレスに向けて進んでいきます。
国内のCookieレスに関する改正法については、個人情報の第三者提供を行う際、本人の同意が必要となる範囲が多少広がる程度でしょう 。例えば自社サイトに訪問した個人のCookie情報を第三者の個人データベースと照合してターゲッティングを行う場合、あらかじめ第三者企業における同意と、自社からの同意の両方が必要となります。
なお、Googleなどの大手ITプラットフォーム提供企業の自主規制の縛りが強いため、影響度はそちらの方が大きそうです。特に3rd party cookie廃止により、高精度なターゲッティング広告ができなくなるリスクがあります。
例えば、他サイトのアクセス履歴と個人情報を照合してターゲッティングすることは厳しくなるかもしれません。Google/YahooやSNS広告など自社サイト上で行う運用広告に対してはよいが、パブリックDMPやDSP広告については影響が大きくなるでしょう。
一部ではあるが、1st party cookieでも制限がかかってきます。例えば一度アクセスしたユーザをリターゲティングしたい場合、期間が経ってしまうと追跡しきれなくなるかもしれません。cookieの有効期間が短くなり、経路が特定しにくくなるためです。
メールマーケティング
先に述べたように、今回の個人情報保護法の改正では、5,000件未満のリストを扱う中小事業者が新たに対象となります。つまり、たとえ数十件のメルマガを配信する場合でも、法律が適用されるのです。それが今回の改正では一番大きいポイントになるでしょう。では、メルマガを配信する際、どのようなことに注意する必要があるのでしょうか?ここで改めてメールマーケティングに関する法律をおさらいしておきます。メールの場合、個人情報保護法と特定電子メール法の2種類の法律があり、遵守すべき法律は以下のとおりです 。
- 個人情報は本人の同意なしで第三者に開示できない
- 個人情報の利用目的の記載が必要
- 配信前に承諾が必要
- 送信者の問い合わせ先や配信解除する方法を明記する義務がある
- メルマガ受信者の登録情報(※)を記録しておく必要がある
※登録日や登録時にユーザが提供した情報
例えば、「配信前の承諾」について、よくある疑問として、「名刺交換した相手にメルマガを送っていいのか」というものがあります。基本的に営業活動やイベントなどを通じて名刺交換した相手のメールアドレスを配信対象にすることは可能です。ただし、本人が配信解除できるようにしておく義務がありますので注意しましょう。
顧客管理
通常、企業では、複数の異なるシステムが点在しています。メルマガなどの登録情報、イベントやセミナーへの申し込み、技術問い合わせなど、別々のツールで管理されていて、一元情報になっていない場合もあります。各々の管理ツールで同じユーザなのに登録時期の違いなどによって情報が食い違ってしまう可能性も十分に考えられます。
今回の改正では、ユーザから、自身の個人情報の開示要求や削除依頼を受けた場合、企業側が提示しなければならない情報、対応義務の範囲が拡大します。
この場合、ツールごとに問い合わせのあったユーザの情報を照会し、各々削除・修正しなければなりません。組織も担当者も異なるケースがあるため連携も大変です。こうした情報は一元管理しておき、煩雑にならないように体制を整備しておくことを推奨します。
今後のデジタルマーケティングの潮流
個人情報保護の法規制は今後も強化される方向性は変わらないでしょう。事業者横断のトラッキングはますます困難な時代になってくると考えられます。大手ITプラットフォームベンダーはこの1,2年で3rd party cookieへの対応を停止する動きを見せています。Googleも予定を1年遅らせてはいるものの、2023年には対応を辞めるとしています。
もちろん、ベンダー各社は個人を特定しない広告技術の開発を強化してくるでしょう。AI技術がもっと進化することで、今よりも効果的なWeb広告が打てるようになる技術が開発されるかもしれません。ですが、基本的には3rd party cookieの停止によって個人を追跡する高精度のターゲッティング広告は難しくなると考えて、今後の施策を検討したほうがよ いでしょう。
Web広告の場合、どうしてもプラットフォームを提供するベンダーの施策・方針に依存します。SNSにしても同じです。各ベンダーの動向をウォッチしていくことも必要ですが、自社でコントロールできることは何かを改めて考えてみたほうがよいかもしれません。
高精度のターゲッティングでニーズの高い顧客をピンポイントで狙い撃ちできなくなってくると、そうした顧客が情報を求めて自ら来訪したくなるコンテンツが重要になります。これからは、本当の意味でコンテンツが勝負となる時代が到来するでしょう。
それに伴い、集客に対する考え方も徐々に変化するでしょう。その場限りの集客施策より、集客した後の関係構築に力点を置き、生涯価値(LTV)をあげる方法を真剣に考えるフェーズに移っていくのかもしれません。
まとめ
日本の個人情報保護法は、欧米のGDPRやCCPAと同じ方向性で、近年個人の権利保護が強化されつつあります。2022年4月から施行される改正法では、規制対象が全事業者に拡大され、報告の義務化などの規制が強化されます。
改正法では、個人情報の第三者提供の制限範囲が拡大され、個人情報と第三者情報の紐づけを行う際のルールが厳格化されます。この際のポイントとして新たに浮上したキーワードが「Cookie規制」です。これは、世界的な規制の動きを受けたITプラットフォームベンダーが先行して対応しており、Web広告やメールマーケティングの業務に影響がでます。
こうした規制の動きを受け、従来行えていた事業者横断のトラッキングが厳しくなってくるでしょう。高精度なターゲッティングありきの集客施策に頼るのではなく、コンテンツを強化し、集客後の顧客生涯価値をあげるマーケティング施策の検討がより求められるでしょう。
