2017年の改正個人情報保護法施行から3年が経過し、予定通り、法の運用実態を踏まえた見直しが20年に行われる予定である。後編では、法改正がターゲティング広告や国外にある個人データの扱いなどに与える影響などについて、中崎尚弁護士に聞いた。

法改正がデータビジネスに大きな影響を与える（写真はイメージ、写真／Shutterstock）

［画像のクリックで拡大表示］

Q1　「Cookie（クッキー）」などの端末識別子等の取り扱いによって、どのような変化が見込まれるか。

A1　データビジネスの中でも、ターゲティング広告に大きな影響を与えるのではないかと危惧されているのが、この端末識別子等の取り扱いです。現在は、ユーザーがあるウェブサイトにアクセスした際に、当該ユーザーのパソコン（PC）やスマートフォン等のブラウザーごとのクッキーなどを通じて、ユーザー一人ひとりの趣味嗜好・性別・年齢・居住地等に関するユーザーデータを取得しています。

　ところが今は、そうしたクッキーなどを活用して行う当該ユーザーに狙いを絞った広告配信を行う、というターゲット広告の在り方自体が、議論の俎上（そじょう）に上っている状況です。

　これまで、クッキーなどの識別子にひもづくユーザーデータであっても、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合は個人情報となるものの、従前、ターゲティング広告の多くでは、個人を特定しない形で行うことが業界の慣行となってきました。

個人データの範囲が広がる傾向に

　このような状況の中、DMP（データ・マネジメント・プラットフォーム）の登場に伴い、ユーザーデータを大量に集積し、それを瞬時に突き合わせて個人データとする技術が発展・普及しました。これにより、提供先において個人データとなることをあらかじめ知りながら、非個人情報として第三者に提供するスキームが取られることが多くなってきています。

　ある情報が個人情報に該当するか否かは、提供する側である提供元を基準として判断するとされていたことから（提供元基準）、このように提供先において個人データとなることを提供元があらかじめ把握していたとしても、提供元において個人を特定識別できない限り、個人データの第三者提供の規制も適用されないとされてきました。

　個人情報保護委員会は、このような方法は、法第23条の規定の趣旨を潜脱（せんだつ）するものであるとして、20年法改正では、提供元基準に必ずしもとらわれるものではないことを明確にしました。

　提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報については、個人データの第三者提供を制限する規律を適用することが予定されています（提供先基準）。

　データビジネス、とりわけDMPを用いたデータビジネスにおいては、これまで個人データの提供として規制の対象外だったところのデータの受け渡しまで規制対象に含まれることが予想されます。他方で、どのような場合に「提供先において個人データになることが明らか」といえるかはまだ明確ではなく、企業や事業者は対応に苦慮することが予想されます。