自社サイトで得た顧客の購買履歴等の情報を販促等に活用することに、法的問題はありますか?
- 質問者
-
弊社は、ネットショップを運営しており、利用者の購買履歴等に基づいて、利用者に興味がありそうな商品をおすすめする広告を配信する(行動ターゲティング広告)等、お客様の購買履歴等の情報を販売促進に活用しています。
また、弊社で保有している購買履歴等の情報をグループ会社等の第三者に対して提供することも検討しています。このような手法をとるにあたって、法的に気をつけなければならない点を教えてもらえますでしょうか。
- 弁護士
-
行動ターゲティング広告のように、利用者の購買履歴等いわゆる「ライフログ」を取得、利用する手法やサービスについては、個人情報保護法やプライバシー侵害との関係で問題とならないか等が議論されているところです。
今回は、個人情報保護法とプライバシー侵害についてお話ししたいと思います。
- 質問者
-
購買履歴が個人情報にあたるのでしょうか?
- 弁護士
-
個人情報保護法のなかで、「個人情報」は次のように定義されています。
(定義)
第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。したがって、誰に関する情報かわかる(個人識別性がある)形で保存されている情報については「個人情報」として、個人情報保護法の適用を受けることになります。
- 質問者
-
購買履歴は、クッキー技術を用いて生成された識別情報や携帯端末の固有IDで利用者を識別していることが多いので、購買履歴だけでは特定の個人を識別することができないように思います。
そうすると、通常、購買履歴は個人情報にはあたらないと考えていいのですね? - 弁護士
-
たしかに、購買履歴は、それ単独では誰の情報であるのか識別することはできませんが、氏名、住所等、特定の個人を識別できる情報と紐づけられて保存されている場合には、個人情報にあたることになります。
購買履歴が個人情報にあたる場合、法律上どのような義務が課されているのでしょうか?
- 弁護士
-
個人情報取扱事業者(法2条3項参照)が個人情報を取得したり利用したりする場合には、以下の義務が課せられます。
- ① 利用目的の特定(法15条)
- ② 利用目的による制限(法16条)
- ③ 個人情報の適正な取得(法17条)
- ④ 取得に際しての利用目的の通知等(法18条)
- ⑤ データ内容の正確性の確保等(法19条)
- ⑥ 安全管理措置及び監督(法20〜22条)
- ⑦ 個人データの第三者提供の制限(法23条)
具体的な内容については条文にあたっていただければと思いますが、個人データの第三者提供の制限(法23条)については用語がわかりにくいかもしれませんので簡単に説明しておきます。
個人データを第三者に提供するには、原則として事前に同意を得ることが必要となります(法23条1項)。
個人データとは、個人情報データベース等(コンピュータ等を用いて検索することができるように体系的に構成された個人情報を含む情報の集合物のこと)を構成する個人情報のことをいいます(法2条4項)。
一方、単なる個人情報については法23条の適用はありませんが、単なる個人情報を第三者に提供する場合は、法15条に基づき、利用目的にその旨特定する必要があります。 - 質問者
-
事前に同意を得ておかなければいけないというのは手続きが少し煩雑になってしまいますし、利用者としても抵抗があるかもしれませんね…。
- 弁護士
-
そうですね。事前同意を得るのはなかなか困難な場合もありますので、第三者提供を予定している場合は、オプトアウト方式(情報を第三者に提供することや、本人の求めに応じて個人データの第三者提供を停止することをあらかじめ本人に通知し又は容易に認識し得る状態にしておき、反対のない限り同意があるものとみなして第三者提供する方式)で対応するとよいでしょう(法23条2項)。
なお、平成27年改正個人情報保護法の全面施行は今年(平成29年)の5月30日とされており、同改正法によると、オプトアウト方式を採る場合、本人に通知等すべき事項を個人情報保護委員会にもあらかじめ届け出なければならないことになりますので、注意してください。
- 質問者
-
なるほど、そんな方法があるのですね。個人情報保護法との関係で守らなければならない義務等については理解できました。
プライバシーとの関係についてはどのように考えたらよいのでしょうか。
- 弁護士
-
プライバシーについて一般的に規定した法律は存在しませんが、判例上、プライバシーは法的に保護されるべき人格的利益として認められています。
購買履歴は、そこに個人の趣味、嗜好、思想傾向等を推し量ることが可能な情報が含まれている場合もあります。これらの情報は、個人の内面に関わるような秘匿性の高い情報であって、他人にみだりに知られたくないものと考えられますので、プライバシーに関する情報として法的保護の対象となり得ます。
- 質問者
-
でも、購買履歴だけではそれが誰に関する情報なのかわからないですし、プライバシーの問題にはならないのでは?
- 弁護士
-
ここは難しいところなのですが、単独では個人が特定できない情報であっても、それらが長期間にわたって大量に蓄積されることによって個人が容易に推定可能になる可能性がありますし、情報が転々流通するうちに個人を特定可能になるおそれがあるということには注意が必要です。
個人が特定可能になった時点で個人情報となりますので、ある時点で個人情報にあたらないからといって、プライバシーの問題が一切生じないと考えるのは相当ではありません。
- 質問者
-
プライバシー侵害の問題が生じないよう、情報を取り扱う際には利用者に対する配慮が必要ということですね。
- 弁護士
-
そのとおりです。
利用者に不安感を抱かせない配慮・対応が求められるのは、個人情報だけにとどまりません。
- 弁護士
-
仮に、個人情報にあたらず、プライバシー侵害も想定されないような場合であっても、情報の取扱いに関する透明性が確保されていない場合や、利用者が情報の取扱いに関与できない場合には、利用者は不安感を抱くものと考えられ、トラブルの原因にもなっています。
利用者の理解が得られないサービスを普及させることは困難ですから、取得、利用しようとする情報が個人情報にあたらないと考える場合であっても、個人情報を取得、利用する場合と同じように、情報取得の事実や、利用態様等について明らかにし、情報の取得停止や利用停止等の手段を提供する等により、利用者の不安感を払拭できるような配慮、対応をとるのが望ましいものといえます(総務省「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」第二次提言参照)。
- ▼連載「弁護士が教える「ネットの法律&マナー」講座」
-
- 第11回 「プライバシー権の侵害」とは? 店内の様子をブログに投稿する際、どんな注意が必要か?
- 第10回 街中で人気アーティストに遭遇! スマホで撮った写真をブログにアップしても問題ない?
- 第9回 顧客の購買情報など「ライフログ」を取得・利用したい。どんな点に注意が必要?
- 第8回 知人のコンサートや試合の動画を投稿するときも、著作権や肖像権が関係してくる?
- 第7回 ネット上で素敵な写真を見つけました。自分のサイトに転載してもいい?
- 第6回 他社の商標を“検索連動型広告のキーワード”や“メタタグ”に使いたい…
- 第5回 どんなケースが「肖像権の侵害」に? 具体的に気をつけるべきポイントは?
- 第4回 ステマに注意! 企業から頼まれて商品レビューを書く場合に気をつけたいこと
- 第3回 告訴されることも! ネットへの書き込みで刑事上の責任を問われる場合とは?
- 第2回 ブログで他人の著作物を引用したり、「まとめサイト」を作ることに問題はない?
- 第1回 著作権とは何か? ネットで情報を発信するとき、どんな注意が必要か?