Slide 1

Slide 1 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント コンバージョンAPIの利用時に 考慮すべき個人情報のポイント 2024.01.23 於 株式会社イルグルム様

Slide 2

Slide 2 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 国内外の、個人情報保護法と電気通信事業法だけをやっている弁護士です 世古 修平(せこ しゅうへい) n 法律事務所LEACT n LINEヤフー株式会社 n IPA(試験委員) n 経済産業省(電子商取引及び情報財取 引等に関する準則 研究会委員) 2

Slide 3

Slide 3 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 感想やご質問は、ぜひTwitter(現X)で教えてください 3 #コンバージョンAPIの利用時に 考慮すべき個人情報のポイント

Slide 4

Slide 4 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 本日のお品書き n 1.コンバージョンAPIと個人情報 Ø そもそも個人情報とは Ø プライバシーポリシーとは n 2.ケーススタディ Ø 株式会社イルグルム 様 Ø 日本コカ・コーラ株式会社 様 Ø 株式会社 北の達人コーポレーション 様

Slide 5

Slide 5 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 本日のお品書き n 1.コンバージョンAPIと個人情報 Ø そもそも個人情報とは Ø プライバシーポリシーとは n 2.ケーススタディ Ø 株式会社イルグルム 様 Ø 日本コカ・コーラ株式会社 様 Ø 株式会社 北の達人コーポレーション 様

Slide 6

Slide 6 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 本日のお品書き n 1.コンバージョンAPIと個人情報 Ø そもそも個人情報とは Ø プライバシーポリシーとは n 2.ケーススタディ Ø 株式会社イルグルム 様 Ø 日本コカ・コーラ株式会社 様 Ø 株式会社 北の達人コーポレーション 様

Slide 7

Slide 7 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 詳しい方もおられると思いますが、まずは基本的な所から行きましょう 7

Slide 8

Slide 8 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 詳しい方もおられると思いますが、まずは基本的な所から行きましょう 8 日常用語でいう個人情報 氏名 性別 住所 電話番号

Slide 9

Slide 9 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 他方、法律は法律で個人情報の定義があります 9 日常用語でいう個人情報 法律用語でいう個人情報 氏名 性別 住所 電話番号

Slide 10

Slide 10 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント まずはこの、「日常用語」と「法律用語」ののズレを埋めましょう 10 日常用語でいう個人情報 法律用語でいう個人情報 氏名 性別 住所 電話番号

Slide 11

Slide 11 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 今日は丁寧に説明しますので、一緒に条文を読んでみましょう 11 個人情報の定義 (定義) 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるも のを含む。)

Slide 12

Slide 12 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 個人情報の定義の条文を、3つのパートに分解して順番に説明していきます 12 個人情報の定義 (定義) 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるも のを含む。) 柱書 1号本文 1号かっこ書き 実際にはこのあと2号が続きますが、今回の説明では割愛します

Slide 13

Slide 13 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント まず柱書では、個人情報の大枠を定義しています 13 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 柱書 1号本文 1号かっこがき

Slide 14

Slide 14 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント まず柱書では、個人情報の大枠を定義しています 14 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 柱書 1号本文 1号かっこがき 1 2 3

Slide 15

Slide 15 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント ここではとりわけ「個人に関する情報」の理解が重要です 15 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 柱書 1号本文 1号かっこがき 2

Slide 16

Slide 16 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 理解を深めるため、官公庁のガイドラインにおける説明を見てみましょう 16 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限 られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全て の情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も 含まれ、暗号化等によって秘匿化されているかどうかを問わない。 ガイドライン 柱書 1号本文 1号かっこがき 出所:https://www.ppc.go.jp/files/pdf/231227_guidelines01.pdf

Slide 17

Slide 17 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 「事実、判断、評価を表す全ての情報」と、非常に広範に定義されています 17 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限 られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全て の情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も 含まれ、暗号化等によって秘匿化されているかどうかを問わない。 ガイドライン 柱書 1号本文 1号かっこがき

Slide 18

Slide 18 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント よって、例えば以下のように「関する」情報の範囲はとても広いです 18 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 柱書 1号本文 1号かっこがき アクセスログ 推定属性情報 写真 基本4情報 (氏名・住所・生年月日・性別) デモグラ情報(性別、年齢、居住地 域、所得、職業、家族構成) 注文履歴

Slide 19

Slide 19 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント よって、例えば以下のように「関する」情報の範囲はとても広いです 19 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 柱書 1号本文 1号かっこがき アクセスログ 推定属性情報 写真 基本4情報 (氏名・住所・生年月日・性別) デモグラ情報(性別、年齢、居住地 域、所得、職業、家族構成) 注文履歴

Slide 20

Slide 20 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント よって、例えば以下のように「関する」情報の範囲はとても広いです 20 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 柱書 1号本文 1号かっこがき アクセスログ 推定属性情報 写真 基本4情報 (氏名・住所・生年月日・性別) デモグラ情報(性別、年齢、居住地 域、所得、職業、家族構成) 注文履歴

Slide 21

Slide 21 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント よって、例えば以下のように「関する」情報の範囲はとても広いです 21 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 柱書 1号本文 1号かっこがき アクセスログ 推定属性情報 写真 基本4情報 (氏名・住所・生年月日・性別) デモグラ情報(性別、年齢、居住地 域、所得、職業、家族構成) 注文履歴

Slide 22

Slide 22 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント よって、例えば以下のように「関する」情報の範囲はとても広いです 22 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 柱書 1号本文 1号かっこがき アクセスログ 推定属性情報 写真 基本4情報 (氏名・住所・生年月日・性別) デモグラ情報(性別、年齢、居住地 域、所得、職業、家族構成) 注文履歴

Slide 23

Slide 23 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント よって、例えば以下のように「関する」情報の範囲はとても広いです 23 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 柱書 1号本文 1号かっこがき アクセスログ 推定属性情報 写真 基本4情報 (氏名・住所・生年月日・性別) デモグラ情報(性別、年齢、居住地 域、所得、職業、家族構成) 注文履歴

Slide 24

Slide 24 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント よって、例えば以下のように「関する」情報の範囲はとても広いです 24 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 柱書 1号本文 1号かっこがき アクセスログ 推定属性情報 写真 基本4情報 (氏名・住所・生年月日・性別) デモグラ情報(性別、年齢、居住地 域、所得、職業、家族構成) 注文履歴

Slide 25

Slide 25 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント よって、例えば以下のように「関する」情報の範囲はとても広いです 25 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 柱書 1号本文 1号かっこがき アクセスログ 推定属性情報 写真 基本4情報 (氏名・住所・生年月日・性別) デモグラ情報(性別、年齢、居住地 域、所得、職業、家族構成) 注文履歴

Slide 26

Slide 26 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 続いて1号本文では、柱書の定義が具体化されます 26 柱書 1号本文 1号かっこがき この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの 具体的には…

Slide 27

Slide 27 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 続いて1号本文では、柱書の定義が具体化されます 27 柱書 1号本文 1号かっこがき この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに 該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの 具体的には…

Slide 28

Slide 28 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 1号本文では、多くの人が「特定の個人を識別」に注目します 28 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの 柱書 1号本文 1号かっこがき

Slide 29

Slide 29 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 先程の例だと「特定の個人を識別することができるもの」はどれでしょうか 29 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの 柱書 1号本文 1号かっこがき アクセスログ 推定属性情報 写真 基本4情報 (氏名・住所・生年月日・性別) デモグラ情報(性別、年齢、居住地 域、所得、職業、家族構成) 注文履歴

Slide 30

Slide 30 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント やはり氏名や住所などの基本4情報、そして写真とかでしょうか 30 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの 柱書 1号本文 1号かっこがき アクセスログ 推定属性情報 写真 基本4情報 (氏名・住所・生年月日・性別) デモグラ情報(性別、年齢、居住地 域、所得、職業、家族構成) 注文履歴

Slide 31

Slide 31 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント だとすると、「当該情報に含まれる」はいらない記述ですかね 31 何となく勢いで書いたのかな? 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの 基本4情報 (氏名・住所・生年月日・性別) 写真 柱書 1号本文 1号かっこがき

Slide 32

Slide 32 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント だとすると、「当該情報に含まれる」はいらない記述ですかね 32 何となく勢いで書いたのかな? 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの 基本4情報 (氏名・住所・生年月日・性別) 写真 柱書 1号本文 1号かっこがき

Slide 33

Slide 33 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント …果たして本当にそうでしょうか? 33 当該情報? 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの 写真 基本4情報 (氏名・住所・生年月日・性別) 柱書 1号本文 1号かっこがき

Slide 34

Slide 34 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 当然そんなことはなく、実は「当該情報」こそが個人情報なんです 34 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの 基本4情報を含んだ フォームの記載全体 写真を含んだ 履歴書の記載全体 「氏名、生年月日その他の」こそが(いわば)いらない記述 柱書 1号本文 1号かっこがき

Slide 35

Slide 35 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 同じことを、より現実的な企業活動に置き換えて考えてみましょうか 35 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの ユーザーID 氏名 生年月日 住所 性別 メールアドレス メールアドレス (hashed) CookieID (1st) CookieID (3rd) 00001 00002 00003 【テーブルA】 柱書 1号本文 1号かっこがき

Slide 36

Slide 36 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 同じことを、より現実的な企業活動に置き換えて考えてみましょうか 36 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの 【テーブルA】 ユーザーID 氏名 生年月日 住所 性別 メールアドレス メールアドレス (hashed) CookieID (1st) CookieID (3rd) 00001 00002 00003 ↓氏名、生年月日その他の記述等 柱書 1号本文 1号かっこがき

Slide 37

Slide 37 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント ユーザーID 氏名 生年月日 住所 性別 メールアドレス メールアドレス (hashed) CookieID (1st) CookieID (3rd) 00001 00002 00003 「当該情報」は氏名等のカラムのことではなく、テーブルA全体のことです 37 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの 【テーブルA】 ↓当該情報(全体が個人情報) 柱書 1号本文 1号かっこがき

Slide 38

Slide 38 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント ユーザーID 氏名 生年月日 住所 性別 メールアドレス メールアドレス (hashed) CookieID (1st) CookieID (3rd) 00001 00002 00003 「当該情報」は氏名等のカラムのことではなく、テーブルA全体のことです 38 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの 【テーブルA】 ↓当該情報(全体が個人情報) 柱書 1号本文 1号かっこがき 個人情報

Slide 39

Slide 39 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント ユーザーID 氏名 生年月日 住所 性別 メールアドレス メールアドレス (hashed) CookieID (1st) CookieID (3rd) 00001 00003 「当該情報」は氏名等のカラムのことではなく、テーブルA全体のことです 39 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの 【テーブルA】 ↓当該情報(全体が個人情報) 柱書 1号本文 1号かっこがき 個人情報

Slide 40

Slide 40 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント ユーザーID 氏名 生年月日 住所 性別 メールアドレス メールアドレス (hashed) CookieID (1st) CookieID (3rd) 00001 00003 「当該情報」は氏名等のカラムのことではなく、テーブルA全体のことです 40 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの 【テーブルA】 ↓当該情報(全体が個人情報) 柱書 1号本文 1号かっこがき 個人情報

Slide 41

Slide 41 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント ユーザーID 氏名 生年月日 住所 性別 メールアドレス メールアドレス (hashed) CookieID (1st) CookieID (3rd) 00001 00002 00003 「当該情報」は氏名等のカラムのことではなく、テーブルA全体のことです 41 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの 【テーブルA】 ↓当該情報(全体が個人情報) 柱書 1号本文 1号かっこがき 個人情報

Slide 42

Slide 42 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 「当該情報」に含まれれるなら推定属性情報やアクセスログも個人情報です 42 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの ユーザーID 氏名 生年月日 推定属性情報 注文履歴 アクセスログ 写真 00001 00002 00003 【テーブルA’】 ↓当該情報(全体が個人情報) 柱書 1号本文 1号かっこがき

Slide 43

Slide 43 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 「当該情報」に含まれれるなら推定属性情報やアクセスログも個人情報です 43 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの ユーザーID 氏名 生年月日 推定属性情報 注文履歴 アクセスログ 写真 00001 00002 00003 【テーブルA’】 ↓当該情報(全体が個人情報) 柱書 1号本文 1号かっこがき 個人情報

Slide 44

Slide 44 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 「当該情報」に含まれれるなら推定属性情報やアクセスログも個人情報です 44 一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別すること ができるもの ユーザーID 氏名 生年月日 推定属性情報 注文履歴 アクセスログ 写真 00001 00002 00003 【テーブルA’】 ↓当該情報(全体が個人情報) 柱書 1号本文 1号かっこがき 個人情報

Slide 45

Slide 45 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント あれ、確かCookieって日本では個人情報ではないんじゃなかったっけ… 45 柱書 1号本文 1号かっこがき

Slide 46

Slide 46 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 「Cookieは日本では個人情報ではない」は非常に誤解を招きやすい表現です 46 【テーブルA】 ユーザーID 氏名 生年月日 住所 性別 メールアドレス メールアドレス (hashed) CookieID (1st) CookieID (3rd) 00001 00002 00003 柱書 1号本文 1号かっこがき

Slide 47

Slide 47 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント ユーザーID 氏名 生年月日 住所 性別 メールアドレス メールアドレス (hashed) CookieID (1st) CookieID (3rd) 00001 00002 00003 「Cookieは日本では個人情報ではない」は非常に誤解を招きやすい表現です 47 【テーブルA】 柱書 1号本文 1号かっこがき

Slide 48

Slide 48 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント ユーザーID 氏名 生年月日 住所 性別 メールアドレス メールアドレス (hashed) CookieID (1st) CookieID (3rd) 00001 00002 00003 「Cookieは日本では個人情報ではない」は非常に誤解を招きやすい表現です 48 【テーブルA】 柱書 1号本文 1号かっこがき 個人情報

Slide 49

Slide 49 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 「Cookieは日本では個人情報ではない」の想定は、もっと限定的な場面です 49 【テーブルB】 Cookie ID 履歴情報A (アクセスログ) 履歴情報B (投稿画像) 推定情報A (興味関心) 推定情報B (居住地) 00001 00002 00003 柱書 1号本文 1号かっこがき

Slide 50

Slide 50 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント …だめだ、法律上の「個人情報」の範囲広すぎるわ 50 柱書 1号本文 1号かっこがき

Slide 51

Slide 51 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント そうですよね、確かに日常用語に比べてカバー範囲が広すぎる 51 今日はここのズレを埋めて欲しかったんです 柱書 1号本文 1号かっこがき #コンバージョンAPIの利用時に考慮すべき個人情報のポイント まずはこの、「日常用語」と「法律用語」ののズレを埋めましょう 9 日常用語でいう個人情報 法律用語でいう個人情報 氏名 性別 住所 電話番号

Slide 52

Slide 52 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント でもここで、一部のデータベース経験者が気付くわけです 52 あれ…分割しちゃえばいいのでは 正規化… 柱書 1号本文 1号かっこがき

Slide 53

Slide 53 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 例えば、全体が個人情報であるこのようなテーブルも… 53 分割前 ユーザーID 氏名 生年月日 履歴情報A (アクセスログ) 履歴情報B (投稿画像) 推定情報A (興味関心) 推定情報B (居住地) 00001 00002 00003 柱書 1号本文 1号かっこがき

Slide 54

Slide 54 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 分割すれば、赤枠の範囲に「個人情報」を限定できそうにも思えます 54 分割後 分割前 ユーザーID 氏名 生年月日 履歴情報A (アクセスログ) 履歴情報B (投稿画像) 推定情報A (興味関心) 推定情報B (居住地) 00001 00002 00003 ユーザーID 氏名 生年月日 00001 00002 00003 ユーザーID 履歴情報A (アクセスログ) 履歴情報B (投稿画像) 推定情報A (興味関心) 推定情報B (居住地) 00001 00002 00003 柱書 1号本文 1号かっこがき

Slide 55

Slide 55 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント この逃げ道を塞いでいるのが、冒頭でご紹介した「かっこがき」です 55 (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるも のを含む。) 柱書 1号本文 1号かっこがき

Slide 56

Slide 56 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント この逃げ道を塞いでいるのが、冒頭でご紹介した「かっこがき」です 56 (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるも のを含む。) ユーザーID 氏名 生年月日 00001 00002 00003 ユーザーID 履歴情報A (アクセスログ) 履歴情報B (投稿画像) 推定情報A (興味関心) 推定情報B (居住地) 00001 00002 00003 分割後 柱書 1号本文 1号かっこがき

Slide 57

Slide 57 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント この逃げ道を塞いでいるのが、冒頭でご紹介した「かっこがき」です 57 容易に照合 (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるも のを含む。) ユーザーID 氏名 生年月日 00001 00002 00003 ユーザーID 履歴情報A (アクセスログ) 履歴情報B (投稿画像) 推定情報A (興味関心) 推定情報B (居住地) 00001 00002 00003 柱書 1号本文 1号かっこがき ユーザーIDで容易に照合

Slide 58

Slide 58 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント この逃げ道を塞いでいるのが、冒頭でご紹介した「かっこがき」です 58 容易に照合 (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるも のを含む。) ユーザーID 氏名 生年月日 00001 00002 00003 ユーザーID 履歴情報A (アクセスログ) 履歴情報B (投稿画像) 推定情報A (興味関心) 推定情報B (居住地) 00001 00002 00003 柱書 1号本文 1号かっこがき 氏名、生年月日で個人を識別

Slide 59

Slide 59 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント この逃げ道を塞いでいるのが、冒頭でご紹介した「かっこがき」です 59 容易に照合 (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるも のを含む。) ユーザーID 氏名 生年月日 00001 00002 00003 ユーザーID 履歴情報A (アクセスログ) 履歴情報B (投稿画像) 推定情報A (興味関心) 推定情報B (居住地) 00001 00002 00003 ↓ ものを(個人情報の定義に)含む。 柱書 1号本文 1号かっこがき

Slide 60

Slide 60 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント なんだ結局だめじゃないか! 60 ごめんなさい… 柱書 1号本文 1号かっこがき

Slide 61

Slide 61 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 【まとめ】 実務において「個人情報」の定義をどう理解すればいいか(ざっくりver) 61 (定義) 第二条 この法律において「個人情報」とは、ユーザー識別子に紐付いている生存する個人に関する情報で ある。って、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれるただし、意図的に氏名、生年月日その他の記述等(中略)により特定の個 人を識別することができるものが、紐づき得ないように管理している場合を除く。 (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるも のを含む。)

Slide 62

Slide 62 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 今不安に思われている方は、「発想の転換」が必要かもしれません 62 従来の考え方 「発想の転換」後の考え方

Slide 63

Slide 63 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 今不安に思われている方は、「発想の転換」が必要かもしれません 63 従来の考え方 「発想の転換」後の考え方 n そうは言われても、やっぱり個人情報とは、氏名や住所のことだと思ってしまう n 漏えいしたら大変だし、個人情報は極力触りたくない n 個人情報を他社に渡すなんてとんでもない n ユーザーIDに紐づく情報はほぼ全て「個人情報」だが、 法律で決まっている以上仕方ない n 日常業務において個人情報を触らざるを得ない以上、 個人情報の内容・リスクに応じて対応を分ければ良い n 個人情報を他社に渡すことは避けられないのだから、 どのような条件であれば適法に渡すことができるかを理解しよう

Slide 64

Slide 64 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 今不安に思われている方は、「発想の転換」が必要かもしれません 64 従来の考え方 「発想の転換」後の考え方 n そうは言われても、やっぱり個人情報とは、氏名や住所のことだと思ってしまう n 漏えいしたら大変だし、個人情報は極力触りたくない n 個人情報を他社に渡すなんてとんでもない n ユーザーIDに紐づく情報はほぼ全て「個人情報」だが、 法律で決まっている以上仕方ない n 日常業務において個人情報を触らざるを得ない以上、 個人情報の内容・リスクに応じて対応を分ければ良い n 個人情報を他社に渡すことは避けられないのだから、 どのような条件であれば適法に渡すことができるかを理解しよう

Slide 65

Slide 65 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 今不安に思われている方は、「発想の転換」が必要かもしれません 65 従来の考え方 「発想の転換」後の考え方 n そうは言われても、やっぱり個人情報とは、氏名や住所のことだと思ってしまう n 漏えいしたら大変だし、個人情報は極力触りたくない n 個人情報を他社に渡すなんてとんでもない n ユーザーIDに紐づく情報はほぼ全て「個人情報」だが、 法律で決まっている以上仕方ない n 日常業務において個人情報を触らざるを得ない以上、 個人情報の内容・リスクに応じて対応を分ければ良い n 個人情報を他社に渡すことは避けられないのだから、 どのような条件であれば適法に渡すことができるかを理解しよう

Slide 66

Slide 66 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 本日のお品書き n 1.コンバージョンAPIと個人情報 Ø そもそも個人情報とは Ø プライバシーポリシーとは n 2.ケーススタディ Ø 株式会社イルグルム 様 Ø 日本コカ・コーラ株式会社 様 Ø 株式会社 北の達人コーポレーション 様

Slide 67

Slide 67 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 皆さんプライバシーポリシーって、ちゃんと読んだことありますか? 67

Slide 68

Slide 68 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 殆ど読まないよね…という話が本になるくらい、皆あまり読んでいません 68 出所:https://www.keisoshobo.co.jp/book/b605810.html

Slide 69

Slide 69 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント また、日本にはプライバシーポリシーの作成を義務付ける法律もありません 69

Slide 70

Slide 70 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント それでもなぜ、事業者がプライバシーポリシーを作成するかというと… 70 法第32条(第1項) 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態 (本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者 の氏名 2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を 除く。) 3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。) 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし て政令で定めるもの 知り得る状態に置かなければならない

Slide 71

Slide 71 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 法務が知っておくべき範囲 今日は「広告運用者が」知っておくべき範囲に絞ってご説明します 71 広告運用者が 知っておくべき範囲

Slide 72

Slide 72 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 本日のセミナータイトルを踏まえ、以下の2つに分類して説明していきます 72 法務が知っておくべき範囲 広告運用者が 知っておくべき範囲 プライバシーポリシーの構成要素 コンバージョンAPIの重要論点 1 2

Slide 73

Slide 73 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 本日のお品書き n 1.コンバージョンAPIと個人情報 Ø そもそも個人情報とは Ø プライバシーポリシーとは Ø ①プライバシーポリシーの構成要素 Ø ②コンバージョンAPIの重要論点 n 2.ケーススタディ Ø 株式会社イルグルム 様 Ø 日本コカ・コーラ株式会社 様 Ø 株式会社 北の達人コーポレーション 様

Slide 74

Slide 74 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 先ほど、各社がプライバシーポリシーを作成する根拠をお伝えしました 74 法第32条(第1項) 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態 (本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者 の氏名 2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を 除く。) 3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。) 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし て政令で定めるもの 知り得る状態に置かなければならない

Slide 75

Slide 75 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 具体的に、「知り得る状態」に置くべき事項を見てみましょうか 75 法第32条(第1項) 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態 (本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者 の氏名 2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を 除く。) 3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。) 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし て政令で定めるもの 法律の定め

Slide 76

Slide 76 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント そして「政令で定めるもの」は、具体的にいうと… 76 政令第10条 法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 1. 法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る 状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことにより当該保有個人デ ータの安全管理に支障を及ぼすおそれがあるものを除く。) 2. 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 3. 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、 当該認定個人情報保護団体の名称及び苦情の解決の申出先 政令の定め

Slide 77

Slide 77 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント うーんと、なるほど…? 77

Slide 78

Slide 78 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント プライバシーポリシーとは「何か」を定めていないので、理解が定着しない 78

Slide 79

Slide 79 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 【ボトムアップ】ではなく、【トップダウン】で俯瞰的に考えてみましょう 79

Slide 80

Slide 80 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント そこで、Privacy policyの作成が義務付けられている国の法律を見てみます 80

Slide 81

Slide 81 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント アメリカ(カリフォルニア州)での位置付けを見てみましょう 81 CCPA / CPRA § 7011. Privacy Policy. (e) The privacy policy shall include the following information: 1.the business’s online and offline practices regarding the collection, use, sale, sharing, and retention of personal information 2.An explanation of the rights that the CCPA confers on consumers regarding their personal information 3.An explanation of how consumers can exercise their CCPA rights and consumers can expect from that process 4.Date the privacy policy was last updated.

Slide 82

Slide 82 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント § 7011. Privacy Policy. (e) The privacy policy shall include the following information: 1.the business’s online and offline practices regarding the collection, use, sale, sharing, and retention of personal information 2.An explanation of the rights that the CCPA confers on consumers regarding their personal information 3.An explanation of how consumers can exercise their CCPA rights and consumers can expect from that process 4.Date the privacy policy was last updated. 単純化すると、「データの取扱い」と「権利」の記載を求めています 82 CCPA / CPRA プライバシーポリシーには、以下の情報を含めるものとする: ・個人情報の取得、利用、販売、共有、および保持に関する事業者のオンラインおよびオフラインでの慣行 ・CCPAが消費者に与える個人情報に関する権利の説明 ・消費者がCCPAの権利を行使する方法と、そのプロセスから消費者が期待できることの説明 ・プライバシー・ポリシーの最終更新日

Slide 83

Slide 83 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント なるほど、そうだとすると翻って… 83

Slide 84

Slide 84 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 84 法第32条(第1項) 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答 する場合を含む。)に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。) 3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、 第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料 の額を含む。) 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 政令第10条 法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。) •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び 苦情の解決の申出先

Slide 85

Slide 85 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 85 ①「データの取扱い」についての記載 法第32条(第1項) 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答 する場合を含む。)に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。) 3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1 項、第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手 数料の額を含む。) 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 政令第10条 法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。) •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び 苦情の解決の申出先 日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです

Slide 86

Slide 86 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 86 ②「権利」についての記載 法第32条(第1項) 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答 する場合を含む。)に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。) 3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、 第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料 の額を含む。) 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 政令第10条 法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。) •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び 苦情の解決の申出先

Slide 87

Slide 87 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 87 ③その他の事務的な記載 法第32条(第1項) 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答 する場合を含む。)に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。) 3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、 第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料 の額を含む。) 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 政令第10条 法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。) •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び 苦情の解決の申出先

Slide 88

Slide 88 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 【まとめ】結局、プライバシーポリシーには何を書けばいいのか 88 プライバシーポリシーの要素 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと

Slide 89

Slide 89 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント まずは、事業者における取得〜消去までのデータの取扱いを書きます 89 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと 取得 利用 安全 管理 提供 消去

Slide 90

Slide 90 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント つづいて、本人に法律上認められた権利とその行使方法を書きます 90 1.事業者のデータの取扱い 3.その他事務的なこと 2.本人の権利 What How

Slide 91

Slide 91 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 最後に、その他の事務的な(けれども大事な)ことを書きます 91 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと

Slide 92

Slide 92 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント プライバシーポリシーには何を書けばいいか、ざっくり理解できましたか? 92 プライバシーポリシーの要素 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと

Slide 93

Slide 93 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 本日のお品書き n 1.コンバージョンAPIと個人情報 Ø そもそも個人情報とは Ø プライバシーポリシーとは Ø ①プライバシーポリシーの構成要素 Ø ②コンバージョンAPIの重要論点 n 2.ケーススタディ Ø 株式会社イルグルム 様 Ø 日本コカ・コーラ株式会社 様 Ø 株式会社 北の達人コーポレーション 様

Slide 94

Slide 94 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント まずは、そもそもコンバージョンAPIとはどのようななものかを説明します 94 出所:https://www.facebook.com/business/tools/facebook-conversions-api Meta(Facebook)さんの例

Slide 95

Slide 95 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 今までは、主にフロントエンド側からタグを通じて情報を送信していました 95 Meta(Facebook)さんの例

Slide 96

Slide 96 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 今までは、主にフロントエンド側からタグを通じて情報を送信していました 96 Meta(Facebook)さんの例

Slide 97

Slide 97 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 今までは、主にフロントエンド側からタグを通じて情報を送信していました 97 Meta(Facebook)さんの例

Slide 98

Slide 98 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント これを、バックエンド側からやろうというのがコンバージョンAPIです 98 Meta(Facebook)さんの例

Slide 99

Slide 99 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント そしてイルグルムさんのCAPiCOは、この赤い部分… 99

Slide 100

Slide 100 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 媒体各社のコンバージョンAPIへの繋ぎこみをサポートするプロダクトです 100 出所:株式会社イルグルム イルグルムさんの例 CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo!

Slide 101

Slide 101 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント そしてここから本番、プラポリの流れに沿って重要論点をさらっていきます 101 取得 利用 安全管理 提供 消去

Slide 102

Slide 102 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント まず最初、「取得」で悩ましいのは法的な取得主体がどこになるかです 102 取得 利用 安全 管理 提供 消去 ユーザーに直接権利・義務を負うのは? ユーザー ??? 取得 権利 義務

Slide 103

Slide 103 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 広告主は、ウェブサイトという土管を用意しているだけだと整理できれば… 103 取得 利用 安全 管理 提供 消去 ユーザー 媒体? 広告主 権利 義務

Slide 104

Slide 104 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 広告主は、ウェブサイトという土管を用意しているだけだと整理できれば… 104 取得 利用 安全 管理 提供 消去 ユーザー 媒体? 広告主 権利 義務 広告最適化 etc の便益のみ享受

Slide 105

Slide 105 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 残項目の検討も原則として不要になるので、ここが最重要論点です 105 取得 利用 安全 管理 提供 消去 「媒体が取得って言いたい!」 取得 利用 安全管理 提供 消去

Slide 106

Slide 106 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント それでは、先ほどの「CAPiCOの仕組み」の図で考えてみましょうか 106 取得 利用 安全 管理 提供 消去 CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo!

Slide 107

Slide 107 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo! まずは、取得主体は①広告主(サイトオーナー)という考え方があります 107 取得 利用 安全 管理 提供 消去 1

Slide 108

Slide 108 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo! 続いて、②アドエビス(イルグルムさん)という考え方もあり得ます 108 取得 利用 安全 管理 提供 消去 2

Slide 109

Slide 109 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo! 最後に、③媒体側という考え方もあり得るかもしれません 109 取得 利用 安全 管理 提供 消去 3

Slide 110

Slide 110 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント この論点については、官公庁が出しているQ&Aの検討が必要です 110 取得 利用 安全 管理 提供 消去 “Q”と”A”を順番に解説します 出所:https://www.ppc.go.jp/all_faq_index/faq1-q8-10/

Slide 111

Slide 111 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント まずは、この“Q”における場面設定を理解しましょう 111 取得 利用 安全 管理 提供 消去

Slide 112

Slide 112 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント まずは、この“Q”における場面設定を理解しましょう 112 取得 利用 安全 管理 提供 消去 A社サイト

Slide 113

Slide 113 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント まずは、この“Q”における場面設定を理解しましょう 113 取得 利用 安全 管理 提供 消去 A社サイト B社タグ

Slide 114

Slide 114 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント まずは、この“Q”における場面設定を理解しましょう 114 取得 利用 安全 管理 提供 消去 A社サイト B社タグ B社

Slide 115

Slide 115 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント まずは、この“Q”における場面設定を理解しましょう 115 取得 利用 安全 管理 提供 消去 ユーザー A社サイト アクセス B社タグ B社

Slide 116

Slide 116 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント そしてここでの“Q”の内容は以下ですが… 116 取得 利用 安全 管理 提供 消去

Slide 117

Slide 117 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 少し日本語を補って説明します 117 取得 利用 安全 管理 提供 消去 A社が閲覧履歴を取得した上で、更に

Slide 118

Slide 118 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 少し日本語を補って説明します 118 取得 利用 安全 管理 提供 消去 A社が閲覧履歴を取得した上で、更に A社サイト B社 ユーザー 取得 提供

Slide 119

Slide 119 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 少し日本語を補って説明します 119 取得 利用 安全 管理 提供 消去 それとも、A社とは無関係に、B社自身がユーザーから 閲覧履歴を直接取得したと整理してもいいですか。

Slide 120

Slide 120 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 少し日本語を補って説明します 120 取得 利用 安全 管理 提供 消去 それとも、A社とは無関係に、B社自身がユーザーから 閲覧履歴を直接取得したと整理してもいいですか。 A社サイト B社 B社 ユーザー 取得 提供 ユーザー A社サイト 取得

Slide 121

Slide 121 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 「取り扱っていない」のであればB社の直接取得として整理できます 121 取得 利用 安全 管理 提供 消去

Slide 122

Slide 122 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント では、コンバージョンAPIではどうなるかを考えてみましょう 122 取得 利用 安全 管理 提供 消去

Slide 123

Slide 123 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 広告主が取得・保存したデータを、媒体に送信するのがCAPIなんですよね 123 取得 利用 安全 管理 提供 消去

Slide 124

Slide 124 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 広告主が取得・保存したデータを、媒体に送信するのがCAPIなんですよね 124 取得 利用 安全 管理 提供 消去

Slide 125

Slide 125 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 広告主が取得・保存したデータを、媒体に送信するのがCAPIなんですよね 125 取得 利用 安全 管理 提供 消去

Slide 126

Slide 126 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント そして、このスキームの下で広告主のCAPI利用を支援するのがCAPiCOです 126 取得 利用 安全 管理 提供 消去 CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo!

Slide 127

Slide 127 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 以上より、私(弁護士 世古)は①広告主が取得主体だと考えています 127 取得 利用 安全 管理 提供 消去 CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo! 1

Slide 128

Slide 128 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 広告主サイトで情報を取得する際、「利用」目的を明示する必要があります 128 取得 利用 安全 管理 提供 消去 CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo!

Slide 129

Slide 129 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo! 広告主サイトで情報を取得する際、「利用」目的を明示する必要があります 129 取得 利用 安全 管理 提供 消去

Slide 130

Slide 130 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo! 広告主サイトで情報を取得する際、「利用」目的を明示する必要があります 130 取得 利用 安全 管理 提供 消去 このタイミングで 利用目的を明示 第2章参照

Slide 131

Slide 131 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo! 自社の責任範囲について、安全管理を徹底する必要があります 131 取得 利用 安全 管理 提供 消去

Slide 132

Slide 132 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo! 自社の責任範囲について、安全管理を徹底する必要があります 132 取得 利用 安全 管理 提供 消去 広告主の責任範囲

Slide 133

Slide 133 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google 取得したハッシュ化データは 7⽇以内に削除 ここでハッシュ化 例:[email protected] ↓ xxxxxxxxx サーバー管理/運⽤も 当社エンジニアが実施。 Yahoo! 媒体サーバーに届けきるまでの安全管理を徹底する必要があります 133 取得 利用 安全 管理 提供 消去 広告主の責任範囲

Slide 134

Slide 134 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google 取得したハッシュ化データは 7⽇以内に削除 ここでハッシュ化 例:[email protected] ↓ xxxxxxxxx サーバー管理/運⽤も 当社エンジニアが実施。 Yahoo! 媒体サーバーに届いた後は、媒体の責任範囲になります 134 取得 利用 安全 管理 提供 消去 媒体の責任範囲

Slide 135

Slide 135 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 取得したデータを媒体に「提供」することについて、本人の同意が必要です 135 取得 利用 安全 管理 提供 消去 CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo!

Slide 136

Slide 136 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo! 取得したデータを媒体に「提供」することについて、本人の同意が必要です 136 取得 利用 安全 管理 提供 消去 このタイミングで 提供の同意を取得 第2章参照

Slide 137

Slide 137 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 自社の責任範囲のデータは、不要になったら消去する必要があります 137 取得 利用 安全 管理 提供 消去 CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo!

Slide 138

Slide 138 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo! 自社の責任範囲のデータは、不要になったら消去する必要があります 138 取得 利用 安全 管理 提供 消去 広告主の責任範囲

Slide 139

Slide 139 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google 取得したハッシュ化データは 7⽇以内に削除 Yahoo! 自社の責任範囲のデータは、不要になったら消去する必要があります 139 取得 利用 安全 管理 提供 消去 広告主の責任範囲

Slide 140

Slide 140 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo! 【まとめ】 「利用」「提供」への対応をきちんとするのがCAPI対応のキモです 140 取得 利用 安全 管理 提供 消去 ここで ・利用目的明示 ・第三者提供同意 第2章参照

Slide 141

Slide 141 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 本日のお品書き n 1.コンバージョンAPIと個人情報 Ø そもそも個人情報とは Ø プライバシーポリシーとは Ø ①プライバシーポリシーの構成要素 Ø ②コンバージョンAPIの重要論点 n 2.ケーススタディ Ø 株式会社イルグルム 様 Ø 日本コカ・コーラ株式会社 様 Ø 株式会社 北の達人コーポレーション 様

Slide 142

Slide 142 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 本日のお品書き n 1.コンバージョンAPIと個人情報 Ø そもそも個人情報とは Ø プライバシーポリシーとは Ø ①プライバシーポリシーの構成要素 Ø ②コンバージョンAPIの重要論点 n 2.ケーススタディ Ø 株式会社イルグルム 様 Ø 日本コカ・コーラ株式会社 様 Ø 株式会社 北の達人コーポレーション 様

Slide 143

Slide 143 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 資料請求フォームでは、担当者名と合わせて各種情報を取得しています 143 出所:https://go.ebis.ne.jp/official/lp_form/

Slide 144

Slide 144 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 資料請求フォームでは、担当者名と合わせて各種情報を取得しています 144

Slide 145

Slide 145 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 資料請求フォームでは、担当者名と合わせて各種情報を取得しています 145

Slide 146

Slide 146 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 「当該情報」である資料請求フォームの記入内容全体が個人情報でしたよね 146

Slide 147

Slide 147 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント そして、フォームの最後で①利用目的の明示と②提供同意を取得しています 147 取得 利用 安全 管理 提供 消去 出所:https://www.yrglm.co.jp/policy/privacy_f/?_ebx=ivhn1472o4.1663920883.7txy012

Slide 148

Slide 148 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント そして、フォームの最後で①利用目的の明示と②提供同意を取得しています 148 取得 利用 安全 管理 提供 消去 出所:https://www.ebis.ne.jp/offshore/

Slide 149

Slide 149 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 本日のお品書き n 1.コンバージョンAPIと個人情報 Ø そもそも個人情報とは Ø プライバシーポリシーとは Ø ①何が書いてあるのか Ø ②コンバージョンAPIの重要論点 n 2.ケーススタディ Ø 株式会社イルグルム 様 Ø 日本コカ・コーラ株式会社 様 Ø 株式会社 北の達人コーポレーション 様

Slide 150

Slide 150 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 続いて、日本コカ・コーラ株式会社さんのプライバシーポリシーです 150 出所:https://www.coca-cola.com/jp/ja/legal/privacy-policy

Slide 151

Slide 151 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 「利用」目的は、添付1として本文から切り出した上で 151 取得 利用 安全 管理 提供 消去

Slide 152

Slide 152 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 取得の経路別に利用目的を細かく定義しており、誠実な印象を受けます 152 取得 利用 安全 管理 提供 消去

Slide 153

Slide 153 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント つづいて、「提供」の部分では 153 取得 利用 安全 管理 提供 消去

Slide 154

Slide 154 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 「以下の場合を除き、第三者に提供しないものとします」として… 154 取得 利用 安全 管理 提供 消去

Slide 155

Slide 155 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 広告を配信するために、という “目的”と 155 取得 利用 安全 管理 提供 消去

Slide 156

Slide 156 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント ハッシュ化したメールアドレス等を、という“客体”と 156 取得 利用 安全 管理 提供 消去

Slide 157

Slide 157 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 広告事業者に、という“主体”を明示しています 157 取得 利用 安全 管理 提供 消去

Slide 158

Slide 158 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 本日のお品書き n 1.コンバージョンAPIと個人情報 Ø そもそも個人情報とは Ø プライバシーポリシーとは Ø ①プライバシーポリシーの構成要素 Ø ②コンバージョンAPIの重要論点 n 2.ケーススタディ Ø 株式会社イルグルム 様 Ø 日本コカ・コーラ株式会社 様 Ø 株式会社 北の達人コーポレーション 様

Slide 159

Slide 159 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 北の達人さんも、最後に個人情報保護方針を示して同意を取得しています 159

Slide 160

Slide 160 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 「利用」目的を網羅的に記載しており、広告目的も明示的に書かれています 160 取得 利用 安全 管理 提供 消去 出所:https://kaitekikobo.jp/privacy/get_privacy_utf8.php

Slide 161

Slide 161 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント こちらも第三者提供について主体、目的、客体が書かれています 161 取得 利用 安全 管理 提供 消去

Slide 162

Slide 162 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント 【まとめ】 他社での対応も参考にしながら、利用・提供部分の対応を行いましょう 162 CAPiCOの仕組み アドエビス サーバー 媒体 サーバー ユーザー 広告主サイト アクセス アドエビス タグ 媒体 サーバー 媒体 サーバー Google Yahoo! ここで ・利用目的明示 ・第三者提供同意 第2章参照

Slide 163

Slide 163 text

#コンバージョンAPIの利用時に考慮すべき個人情報のポイント ご清聴いただきありがとうございました! 世古修平(せこしゅうへい) Website(事務所) :https://www.leact.law/ Website(個⼈) :https://www.seko-law.info/ X(旧Twitter) :@seko_law Mail :[email protected] 163