現場で役立つデータ分析を学ぶ

データ分析大学

学長のつぶやき

ユーザを特定するあらゆるIDが個人情報となり得る話

更新日:

個人情報保護法ではcookie自体は個人情報ではありません。

しかし、cookieと何らかの個人情報が紐付け可能な際、個人情報に該当します。

そのため、ユーザから個人情報と紐付け可能なcookieを取得する場合、利用目的とそのcookieを無効にする方法を明示する必要が出てきます。

では、モバイル広告id、つまり、adidと紐付け可能なときはどうでしょうか?

adidもcookieと同様にそれ単体では個人を特定できるものではありません。

従って、単にそれらを紐付けする場合は、個人情報保護の対象外と考えることも可能です。

一方、各企業のプライバシーポリシーを見ると、adidそのものも個人情報とみなして規約を策定している企業も増えてきているように思います。

なぜでしょうか?

それは、adid単体で広告配信などに活用することはほぼなく、何らかの情報、例えば、ユーザの属性、インサイト、位置情報などと紐付け、ターゲティングして広告を配信しているためです。

確かに、ユーザの属性、インサイト、位置情報などは、それぞれが分割、あるいは統計情報として存在する場合、個人を特定することはできません。

しかし、ユーザを一意に特定できるadidに対してそれらを紐付けることで、個人を特定することも不可能ではなくなります。

そのため、それらとの紐付けが前提となりつつあるadidの取得は、それ自体も個人情報とみなされると考えることもできるのです。

ちなみに、国内の個人情報保護法では、cookieは個人情報に該当しませんが、GDPRでは個人情報に該当します。

そのため、cookieについては、個人情報とみなして、規約を定めるのが無難と言えます。

そう考えると、広告配信などで用いるユーザを識別するあらゆるidは、cookieやadid、その他、統合するとユーザを特定し得る情報と紐付けする(される)可能性があるため、個人情報とみなすこともできます。

もし、自社でユーザに特定のidを付与していて、個人情報とみなしていない場合は、本当にそれでよいか見直してみましょう。

-学長のつぶやき

Copyright© データ分析大学 , 2020 All Rights Reserved Powered by STINGER.