※本記事は、2022年12月12日に公開済みの記事を移行して再掲載したものです。

はじめに

フェズアドベントカレンダー12日目の記事となります。

基盤開発部のデータ利活用グループでグループマネージャーをしている福田です。
データ基盤の構築・運用や、ビジネス側との接続を担当しています。

こちらの記事にて提供サービスについて説明しましたが、今回はその続編としてデータの中でも重要な個人情報の扱いについて取り上げようと思います。

個人情報保護法の動向

2022年04月の法改正により、個人情報保護の動きが加速しています。
細かくは範囲が広くなるため今回この記事で扱う範囲は個人情報の利用について主眼に扱います。
今回の法改正では、利用する際により個人を守り配慮した利用を行うための法整備や、違反に対する罰則の強化が行われました。

そのため、特に広告業界では、昨今のOSレベルでのオプトアウトに続き、利用が大きく制限される状況となっています。

2022年4月の個人情報保護法の概要

3年ごとの見直しとして今年の法改正が行われています。
利用に関する大きな観点では、データとしてそれ自体では個人を特定しえない個人関連情報だったとしても、
第三者提供先（外部サービスなど）において、個人データとして取得することが想定されるときは、予め本人の同意が必要となりました。
また、本人は事業者に対して第三者提供記録の開示請求ができるようになり、更に利用停止・消去・第三者提供停止に関する請求の権利も拡大されています。

このように、より一層、本人が認める範囲内で個人データを利用することが事業者に求められるようになりました。
また、2020年12月からですが、罰則の強化もありました。

• 委員会による命令違反・委員会に対する虚偽報告等の法定刑が引き上げ
• 命令違反等の罰金について、法人に対しては行為者よりも罰金刑の最高額（１億円以下のケースもあり）が引き上げ
• 改正前後の法定刑の比較
  ※厳密な法解釈については専門家に確認し、本記事を根拠にはしないでください。

OSレベルでのオプトアウト

個人情報とは少し毛色が違いますが、モバイル端末のオプトアウト（拒否設定）もアプリベンダーや広告事業者の頭を悩ませる変更のひとつです。
iOS14.5のセキュリティアップデートは記憶に新しいですが、アプリごとに明確に広告利用などの識別子の公開・利用についての許諾がとられるようになりました。
利用者からすると不要な広告などを抑制し、より個人特性に応じた利用が推進されますが、広告事業やアプリベンダーはサービス範囲の抑制や改修対応が必要となりました。

フェズにおける個人情報の扱い

フェズでは現状、本人が特定できる詳細な個人情報は小売様から一切お預かりしていませんが、
フェズが委託提供により小売様からお預かりするID-POSは、小売様が保有するID単位で管理されている個人情報と、会員IDなどのID情報をキーにして「容易に照合できる」とみなされることから、法律上「個人情報」に該当すると評価されます。

ただし、フェズが第三者提供により小売様から受領するID-POSデータは、それ単体で個人情報該当性が評価され、この場合は、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないため、22年4月の法改正で新たに定義された「個人関連情報」に位置付けられます。

データ利用においては、小売様から委託提供で受領しているデータと第三者提供で受領しているデータとを明確に区分し、小売様とそのお客様である本人からも、広告や販促でのデータ利用に関し同意をいただけているデータだけを扱っており適法な状態を実現しています。

小売様からフェズへのID-POSデータの第三者提供の実現にあたって、小売様や関連ベンダー様には小売様のプライバシーポリシーの改定やフェズへの第三者提供に関するアプリなどを通じた本人からの同意取得の実現にご協力いただいています。

データを安全に正しく活用いただくために

ではどのように個人情報保護の対応に向き合っているのかですが、自社内で法律を遵守して正しくデータを扱うことはもちろんですが、法律やITサービスの発展の加速に追従して小売様が正しくデータを扱うことについてもサポートさせていただいています。

フェズでは、法律のプロである弁護士先生方とともに、データデューデリジェンスサービスUrumo PrivPro.を提供しています。

概要はサポートページより抜粋

「Urumo PrivPro.」は、ドラッグストア業界において国内最⼤級※のID-POSデータをお預かりしている

リテールテック企業のフェズと、プライバシー保護・セキュリティに専門特化したTMIプライバシー&

セキュリティコンサルティング株式会社（以下：TMIPS）が提携し、小売事業者が保有する個人データの

適法な管理・利活用はもちろんのこと、プライバシーリスク及びセキュリティリスクへの

各種対策施策の実現をワンストップで支援するサービスです。

サービスページ：⼩売事業者特化型プライバシー対策支援サービス Urumo PrivPro

参考記事：小売業界のDXを推進するフェズ、TMIプライバシー＆セキュリティコンサルティングと業務提携！小売事業者特化型、プライバシー対策支援サービスの提供開始

フェズの提供サービスと個人情報の扱い

前置きが長くなりましたが、ようやく本題のフェズが提供するサービスと個人情報の扱いについてです。

フェズでは3つの領域があることを前回の記事でお伝えしましたが、今回は個人情報が深く関わる広告領域を取り上げて説明します。

（販促、店頭の領域に置いても、同様の考慮が必要となるケースはありますが、説明をシンプルにするために範囲を絞らせていただきます。）

フェズの広告領域での個人情報の扱い

広告サービス全体で見ると、一部の事例にはなりますがそれぞれの業務における個人情報の扱いについて説明します。

データクリーンルーム

前段でお伝えした個人情報保護の観点から、広告業界ではデータクリーンルームという動きが注目されています。

詳細には触れませんが、個人を特定しない形でデータを扱えるソリューションとしてデータクリーンルームと呼ばれる環境を、各媒体が提供に動き出しています。

Urumo Adsにおける個人情報

フェズでは、このデータクリーンルームを活用してUrumo Adsを提供しております。

特に活用しているのが、Googleが提供しているAds Data Hub (ADH)です。
まだ国内で利用できる企業も少なく、データの扱いも秘匿性が高いため利用難易度は高いですが、プライバシーに配慮した安全な環境としての利用に取り組んでいます。

委託業務としての広告運用も行っていますが、第三者提供の同意済みデータを用いて、ADHなどを利用し、本人の個人情報の保護やプライバシーに配慮した仕組みで、購買の可視化などを行っています。
複数の小売で第三者提供の同意をいただけており小売横断で購買を使ったデータプラットフォームとしてサービスを発展させていきます。

この動きに乗っていただけている小売様も増えていますし、利用面としての媒体も広がってきているため、より幅広いサービスを提供していけるように頑張っていきます。

まとめ

個人情報の扱いについてまとめてみましたがいかがでしたでしょうか？

法律や契約にも踏み込んだ説明になり少し難しい話になりましたが、フェズが小売様からデータを預けるパートナーとして認めていただいている証拠でありビジネスの根幹となる大切な概念です。

業界の動向などもそのうち記事にしていければと考えています。