山内経営会計事務所

ユーザーデータをネット広告に用いる際の法的な注意点とは?

19.10.08
ビジネス【企業法務】
dummy
ネット広告では、広告主が狙ったターゲットに対して効率的に広告展開(いわゆるターゲティング広告)することが可能となっていますが、この際、ターゲットの絞り込みを行うためのユーザーに関するデータの利用が重要となっています。
ユーザーに関するデータにおいては、ユーザーの属性、行動履歴、位置情報などが必要となるため、ユーザーの個人情報やプライバシーとの関係で、法的な問題が生じます。
今回は、ネット広告を用いる際の法的な注意点についてご説明します。
dummy
ユーザーデータは個人情報にあたるのか?

ユーザーデータが個人情報保護法上の『個人情報』に該当するなら、当然、同法による規律がなされます。
個人情報保護法によると、『個人情報』とは生存する個人に関する情報であって、当該情報に含まれる記述等により特定の個人を識別できるもの、または個人識別符号が含まれるものとされています。
ユーザーデータには、Cookie(閲覧中のWebサイトがパソコンやスマホに記録する情報)や端末識別IDが用いられるのが通常ですが、これらは個人の氏名が用いられるようなことはないため、単体では、個人を識別できるものではありません。
したがって、ユーザーデータは原則として『個人情報』にあたらないと解されています。
しかし、ユーザーデータには、例外的に『個人情報』に該当するとされる場合があります。
たとえば、以下のような場合です。

(1)単体で特定の個人を識別できる情報が含まれている場合
メールアドレスに氏名や職場の名称が含まれているような場合が典型例です。
(2)ほかの情報と容易に照合することができ、それによって個人を識別できるような場合
具体的には、通常の業務における一般的な方法でほかの情報と容易に照合することができる状態をいいます(ほかの事業者に照会しないとほかの情報と照合できないような場合は、これにあたりません)。
(3)情報の蓄積によって特定の個人が識別可能となってしまうような場合
たとえば、Webページ上の行動履歴(閲覧履歴や商品の購買履歴等)が相当程度長期間にわたっている場合や位置情報が相当程度長期間にわたって蓄積されたような場合がこれにあたります。


法的に規制されるとどうなるのか?

では、個人情報保護法による規制が及ぶとどうなるのでしょうか。
まず、ネット広告を出す企業は、ユーザーデータを偽りそのほか不正の手段で取得することが禁じられます。
次に、ネット広告を出す企業は、ユーザーデータを取得する際、取得目的を特定し、本人の同意がない限りその取得目的の範囲を超えてユーザーデータを使用できなくなります。
さらに、原則としてユーザーデータを本人の同意なしに第三者に提供できなくなります。
そして、これらの義務に違反した場合、個人情報保護委員会から勧告を受けたり、刑罰を受けたりすることがあります。

ユーザーデータによってユーザー個人の識別が可能な場合、個人情報保護法違反以外にプライバシー侵害が生じる可能性があります。
プライバシー侵害の有無の判断は、裁判実務上、ユーザーデータの個人識別性以外にも多数の考慮要素を比較衡量して決せられる傾向があるため、ユーザーデータを利用してデータ広告を行おうとする企業は、ユーザーのプライバシーに配慮した取り組みを自社内においてあらかじめ行っておけば、プライバシー侵害の結果を回避できる場合があります。
したがって、データ広告を行う企業は、業界ルールやガイドライン(たとえば、『行動ターゲティング広告ガイドライン』や『プライバシーポリシーガイドライン』)を遵守し、ユーザーデータを適切に取り扱うべきです。

ユーザーデータの利用がユーザーのプライバシー侵害と評価された場合、プライバシー侵害に基づいて差止請求、または損害賠償請求が行われる可能性があります。
これは個人情報保護法違反とは、まったく異なる効果です。


ユーザーデータの取り扱いには細心の注意を

このように、ユーザーデータが『個人情報』に該当したり、個人識別性が認められたりすると、データ広告を出そうとする企業は、個人情報保護法違反やそれとは別にプライバシー侵害による損害賠償請求や差止請求をされるリスクが生じます。
また、企業にはこのような法的リスクのみならず、レピュテーションリスク(評判や風評のリスク)も生じる可能性があるため、データ広告を出す際のユーザーデータの取り扱いは、企業にとっても決して楽観視できるものではありません。
ユーザーデータを個人情報保護法上の『匿名加工情報』(一定の措置を講じて個人情報を個人を特定できない情報に加工し、当該情報を個人情報に復元することができないようにした情報)に加工し、個人情報保護法の適用やプライバシー侵害を回避することも考えられます。
しかし、この場合も個人情報保護法上、匿名加工情報の作成や第三者提供について公表することが義務付けられるなど、ハードルが高く、この方法を用いることも実務上普及していません。
企業はユーザーデータの取り扱いにつき、細心の注意を払う必要があります。


※本記事の記載内容は、2019年10月現在の法令・情報等に基づいています。