プライバシーフリーク、リクナビ問題後初の個人情報保護法改正の問題点にかみつく！――プライバシーフリーク・カフェ（PFC）個人情報保護法改正編01 #イベントレポート #完全版：実はゆるゆるだった「Pマーク」（3/5 ページ）

委託なのか、第三者提供なのか

山本　スコアリングとは、図1の右側で分析をする場合に運営者の求める結果を出すプロセスなので、図の仕組み自体の適法性が問われている限り、スコアリングの是非まで議論がいかないということですよね。旧スキームに関しては、手前のところで既に適法性が疑われるという話だったと。

板倉　後はどちらで決着させるかです。「解釈の明確化なのでガイドラインを書き換えます」とするのか、個人識別符号みたいに「多少ちょっと書き換えて立法をします」ということになるのか。

　さかのぼって違法だということにすると、委員会も「旧スキームは違法ではない」と書いていた手前、衝撃が大きいかもしれない。その意味では、「改正しましたので以後だめですよ」というのがクッションとしてはいいかもしれません。

　ただ、メインでCookieを使っている広告の大手は、仮に「今までもダメでした」といわれても大丈夫なぐらいにいろいろとやっているんですよ。そこを旧スキームについてわざわざ「違法ではないけれど」と認定してまで業界にサービスしてあげなくてもよかった気はします。

山本　Ad Tech（広告技術）業界は一時期、この件ですごくバタついたと思うんですが。

高木　実は「情報法制研究所」（JILIS）は、Ad Tech業界の大手事業者とタスクフォースをやっていて、2017年には「匿名加工情報をターゲティング広告に使えるか」という内容の提言書を出しました。今、第二期として、リクナビ事案の論点について検討を開始したところです。

　Ad Tech業界はもともと米国の業界を中心に、これまで「特定の個人を識別しているのではなくて、特定の端末を識別しているだけだ」という建前でやってきたわけです。米国の業界団体「NAI（Network Advertising Initiative）」の自主規制行動規範では、PII（Personally Identifiable Information）ではなくてDII（Device Identifiable Information）だとかいっています。

　そういう建前でやっていたのに、「DMP」（Data Management Platform）という言葉が流行って、パブリックDMPのデータをECサイトの顧客データにマージして使わせるような事業を展開する会社がここ数年で出てきた。それは広告業界としては禁じ手だったはずです。

山本　本来は禁じ手ですよね。パブリックDMPで本人の閲覧履歴の情報とCookieがひも付けられたら、それは既にデバイスではない、ましてやブラウザではないですよね。

高木　氏名にひも付けていますからね。昔、米国の「DoubleClick訴訟」（2000年）では、まさに「リアル氏名、住所にひも付けないこと」を条件に和解しましたから。そこに踏み込んでしまう会社がここ2、3年で国内でもちらほら出てきたということです。

　合法的にやる手段はあります。有効な同意を取るというのも一つの方法ですし、「取得の委託」で整理すればいいじゃないかというのが私の腹案です。

山本　その整理を行った場合、「DMPとSSP（Supply Side Platform）で結合しました」というのも、適法性がある程度担保できるということですか。

高木　そうなのです。SSPは委託されているだけと整理可能です。リクナビの例でいえば、トヨタ自動車などの求人企業が自らやるのであれば自然な形で合法化できます。Web閲覧履歴も全部トヨタが収集して、トヨタが自分で分析して辞退率を推測するのだと。

山本　「トヨタがdata controller（データ管理者）だ」ということですね。

高木　はい。その上で、それを「全部リクナビに委託している」とすれば合法だろうという整理です。さらに、その上で「自分たちが何をしているのか、就活生に説明できますか？」ということです。

山本　しかしそれ以前の話として、トヨタの情報に日産自動車や他の業界の人たちの採用情報や辞退情報も加えて人工知能に食わせているのではないか、単純に「トヨタから委託を受けてリクナビが頑張りました」という抗弁はロジックとして通らないと思っていたのですが、今回は追及がそこに至る前に問題がフェードアウトしてしまいました。

　「いろいろな会社から委託されて内定辞退率を出しました」といいながら、委託されている情報を全部マージして統合して、「この業界はこの時期に内定しているから、辞退率はこういう確率になってしまいます」というところまで踏み込んでいたのだとしたら、適法というのは難しいということですね。

高木　混ぜたら委託ではなくなり、第三者提供が行われたことになるのです。Ad Tech業界でも、「自分たちはSaaSに徹しているだけだ、data processor（データ処理者）なのだ」という体裁で、「違法なことをしているのはお客さんであって、われわれは道具と材料を提供しているだけ」というスタンスを見せはじめている会社もありますね。

　刑法なら教唆やほう助が疑われるレベルですが、個人情報保護法違反だとどうなんでしょうか。「客が勝手に違法なことをしているだけだ」といっていられるのでしょうか。

山本　その辺は「混ぜちゃダメ」なんだけど、「混ぜないとリクルートに頼む価値がない」じゃないですか。頼む側は「リクルートなんだから他の会社の情報も含めていろいろ知っているはずだから、単なるdata processor以上の何かはやってくれるだろう」という期待感はどうしてもあったと思うのです。

　デジタル広告業界も同じで、「DMPをやっている会社は他のいろいろなショップのデータも合わせるので、自分たちのデータだけを扱って解析するより精度が高い」と見込むから、大手のAd Tech企業に自社のデータを預けて解析を頼むじゃないですか。

　Ad Tech企業側が、いろいろなショップから委託を受けて、各社の情報を一つ一つ完全に独立して扱って、データを混ぜないという前提ならば、それは適法です。

　ただ、各社のデータを混ぜて分析をしているからこそ、知見が深まり、いろんなデータの精度が高くなって、消費者履歴は宝である、というビッグデータ万歳の時代がありました。

　「多くのデータを集めれば、より多くの未来が予測できるようになる」というのがビッグデータによる未来予測の大原則ですから、少なくない経費を払い、他社と契約をするなどして、いろいろなところからデータを集めるモチベーションとなったことで、リクルートは巨大なデータを扱える会社となった。

　リクルートだけでなく、Yahoo! JAPANやLINE、楽天、デジタルガレージ、サイバーエージェントにGMOグループなど、ICT系サービス大手も皆そうかもしれない。いろいろな会社でデジタルプラットフォーム事業者と呼ばれている部門がビッグデータを志向していたのは間違いない。データドリブンと称する限り、おおむねそういう見解ではないかと思います。

高木　そこはですね、閲覧履歴を取得するのは、計測タグをどこかに設置してもらっているわけです。その設置を含めて発注者のお客さんが委託してやっていると整理すれば、その上で、発注者がdata controllerとして利用目的を特定して公表してやっているのであれば、合法だということになるはずです。

山本　そうですね。きちんと利用目的が明示されていれば適法ですよね。

高木　自分のところの利用者（顧客データベースの本人）に伝えていればですよ。

　でも、現実は違う。「聞いたこともない会社のパブリックDMPからのデータを使っています」といわれ、パブリックDMPには「どこそこに提供しています」と公表されていて、計測タグ設置サイトでは「どこそこのDMPを設置しています」と説明されてもですね、利用者はそれらを全部トレースして見ていかないと、どこから来たものがどうなっているのか把握できない。

　でも、これを「取得の委託」で整理すると、利用者が対面するサイトだけ見れば分かる形にできる。リクナビ事案なら求人企業、資生堂の事例なら資生堂のサイトだけ見れば全貌が分かるように説明されている方が、より良いと思います。