（コラムニスト：電通デジタル・ホールディングス　宮一 良彦）

2014年6月24日にIT総合戦略本部で「パーソナルデータの利活用に関する制度改正大綱」が発表され、翌6月25日から7月24日までパブリックコメントが実施された。今後、法案作成、2015年1月の通常国会での審議、可決を経て、2016年度から施行という流れが見えてきた。現時点では具体的な法案の内容は明らかではないが、自主規制による個人に関するデータの保護が推進されると考えられる。そして、ここで言う自主規制は、いままで日本のアドテクノロジーが行ってきたような「自主的な規制」ではなく、そのルールの実効性が第三者機関によって認定されたものである。

このコラムでは、アドテクノロジーとデータ、プライバシーの関係を明らかにし、個人情報保護法改正による影響を考え、自主規制に移行しなければならない理由と、移行するために必要なステップを示すことを試みる。

アドテクノロジーとデータ

アドテクノロジーとデータは、当初から不可分のものである。ほとんどすべてのサービス、ソリューションはデータドリブンで、常に大量のログを収集・分析しており、取り扱うデータは、スマートデバイスやRTBの普及により、3V (Volume / Variety / Velocity) いずれの観点でも拡大を続けている。また、アドテクノロジーは、「個人を特定（誰であるかがわかる）しないが、識別（誰であるかはわからないが、一人一人であることがわかる）する」という特性を持っており、この特性と、近年の大規模分散システム（Hadoopに代表される）、機械学習の進化により、個人の識別性が急速に向上している。

アドテクノロジーとプライバシー

「個人を特定しないが識別する」という特性は、当初はプライバシー保護の観点で利点と考えられていたが、アドテクノロジーの進化による識別性の向上は、推測したオンライン上のプロファイルが識別された個人の特徴をうまくとらえることとなり、ユーザーが「自分の情報が使われているような気持ち悪さ」を感じるケースも出てきている。こうしたことから、アドテクノロジーは、ユーザーに向けた透明性の確保（どんなデータを使って、何をしているのかをわかりやすく伝えること）と、関与の機会の確保（オプトアウトや、オンラインプロファイルの修正を簡単に行えるようにすること）を提供することが求められている。

個人情報保護法の改正とその影響

具体的な個人情報保護法の改正内容は、今後の法案作成を待たなければならないが、ここでは制度改定大綱の内容からいくつかポイントをあげ、その影響を考える。

Fig 1. 個人に関連するデータの種別と個人情報保護法改正の方向性

自主規制に移行するための7のステップ

前述のとおり、年内に策定される改定個人情報保護法は、1)保護対象とすべきデータの明確化、2)民間団体による自主規制の推進が大きなポイントになると考えられる。言い換えれば、法規制ですべてが決まるわけではなく、アドテクノロジーのようなデータの利活用とプライバシー保護の両立が求められる領域では、民間団体による自主規制ルールを策定し、運用すべしということである。しかも、自主規制ルールは、今までのような「自ら定めたルール」であるだけでなく、第三者機関に認定を受けたものでなければならない。これが、アドテクノロジーが自主規制への移行に備えるべき理由である。

つまり、個人情報保護法改正後、提供するサービスが個人のプライバシーに配慮していることを明示するには、自主規制のルールを明確にし、第三者機関の認定を受けた上で、それを遵守していることを示さなければならなくなる。こうした自主規制に移行していくために必要となるステップを以下に示す。

意識を変える
1．	プライバシーに対する意識を変える
	まず、サービスの開発、提供に関わる全員が当事者になるべきである。サービスを提供するために、どんなユーザーのデータを収集・利用・提供しているのか。データとユーザーのプライバシーはどう関係しているのか。データはプライバシーの影響度合いに応じた保護がされているのか。こうした問題を明確にし、対応していくためには、全員参加で考えていく必要がある。とりわけ法務関係者はユーザーにわかりやすく周知することが求められることを、技術者はDevOpsの際のちょっとした判断が、結果的にユーザーのプライバシーに影響を与えうることを理解し、積極的に関与すべきである。
ユーザーとのコミュニケーション設計
2．	プライバシーポリシーの見直し
	自分の会社のプライバシーポリシーがいつ策定されたものか知っているだろうか。また、その内容は初めから終わりまで読む気になるものだろうか。そして、読んだ後で、あなたの提供しているサービスが、どうユーザーのプライバシーに影響しているかが理解できるだろうか。多くの企業のプライバシーポリシーは、「法令・関連省庁ガイドライン遵守、安全管理の徹底」がわかりにくい文章で書かれているだけで、サービスを受けているユーザーの視点に立ったものにはなっていない。「当社は、個人情報保護の重要性について認識し、個人情報の保護に関する法律を遵守すると共に、以下のプライバシーポリシーに従い、適切な取扱い及び保護に努めます。」と書かれていても、一体、どんなデータを取集し、どう処理し、誰に提供しているのか、いないのか。今表示されている広告に、どんなデータが使われているのは。プライバシーポリシーは、こうしたユーザーの素朴な疑問に答えられるものでなければならないはずである。サービスごとに収集するデータの内容、利用目的を明示すべきなのです。(*4) (*4) JIAA「プライバシーポリシー作成のためのガイドライン」と「行動ターゲティング広告ガイドライン」http://www.jiaa.org/release/release_guide_140324.html
3．	オプトアウト機能の見直し
	まず、オプトアウトの実装について。オプトアウトは、ブラウザの場合は、永続的なオプトアウトクッキーをセット、他の場合は、なんらかの手段で永続的にマークし、トラッキングを停止、または、ターゲティング広告の配信を停止するのが一般的である。あなたのサービスはどう実装されているだろうか。自主規制ルールを明確にするには、オプトアウトのような、事業社毎の実装に任されていたものの挙動を揃える必要がある。 また、ユーザーは必ずしもオプトアウトだけを望んでいるわけではない。今見ている広告に対し、「この広告は見たくない」、「この広告主の広告は見たくない」、「こういうターゲティングはされたくない」さまざまな意見を持っているはずである。こうしたユーザーの要望に合致するよう、オプトアウトだけではなく、クリエイティブや広告主単位でのターゲティング調整、プロファイルデータの修正といった機能を実装していくことも検討すべきである。
4．	インフォメーションアイコンを使った導線の整備
	Programmaticな広告取引が普及している現在、広告を見たユーザーが、その広告の配信にどんなサービス（DSP / DMP / 3PAS..）が関わっているのか、また、それらサービスのプライバシーポリシーはどんなものか、オプトアウトはどこでできるのかを簡単にすることができなくなっている。Programmaticな環境でのユーザーの導線が確保できていないのだ。米国DAAのAdChoicesプログラムは、こうした課題に応えるものとして始められたものであり、その有効性は明らかになってきている。日本のいくつかの事業者も同様の取り組みを始めており、また、JIAAでも同様のプログラムの立ち上げを準備している。日本でも、インフォメーションアイコンを普及させ、クリエイティブ、プライバシーポリシー、オプトアウトの導線をユーザーに提供すべきである。 Fig 2. インフォメーションアイコン
他の事業者との関係性確認
5．	委託関係の整理
	収集したデータの第三者提供をしているのか。収集を委託しているのか。データの収集と活用においては、提供・委託の関係は重要である。タグを使った行動履歴の収集等では、データの由来（ファーストパーティ、セカンドパーティ、サードパーティ）と委託関係を正しく整理し、契約（利用規約等）に反映することが、データの取り扱いを明確にし、プライバシーに配慮する一歩である。

Fig 3. データの種別と委託の関係

自主規制への移行

「パーソナルデータの利活用に関する制度改正大綱」では、データの利活用の促進と個人情報およびプライバシーの保護を両立させるため、第三者期間に認定されたルールでの自主規制を推進していくことされた。つまり、今後は、「法で定められた通りふるまう」のではなく、「法に沿って自主規制ルールを策定し認定を受け、それを順守する」ことが求められるのである。しかも、アドテクノロジーは、技術の進化のスピードが早く、外部からは何が行われているかがわかりにくい領域である。より自主規制への移行が求められるだろう。

また、前述の７つのステップは、関連業界団体（インフォメーションアイコン、プライバシーポリシー）、法務専門家（プライバシーポリシー）、マネージメント規格コンサルタント（PIA導入）のアドバイスが必要となるものもある。

2015年初頭には、個人情報保護法改正案が国会に提出され、決議されれば2016年度から施行という道筋が見えてきた。やるべきことは多く、関連する領域（経営、マーケティング、法務、技術）は広く、残された時間は少ない。アドテクノロジーに関連する事業社は、今から行動を起こすべきである。