個人データ保護とは何？ ④

続き：

 

◉ 露わになった個人情報保護法制の不備

　法解釈上、氏名と紐付けられていない閲覧履歴(CookieのIDに紐付けられた履歴データ)が個人データに該当しないというのは、個人情報保護法の前回改正（平成27（2015）年改正）の検討段階においても、改正により解決すべき課題として俎上に上がっていた。その狙いは、行動ターゲティング広告（アドテク）も個人情報保護法の規律対象に含めるようにすべきとの点にあった。

　これは、EUがGDPR（一般データ保護規則）でそれを「personal data」（個人データ）として規制の対象であることを明確にし、米国もアドテク業界の自主規制を見守ってきた方針を転換して連邦法による規制案を打ち出していた時期であったことから、日本も国際協調のためにも、それらを倣う必要があるというものであった。しかし、法改正の立案段階で今一つ良い案を作り出せなかったことを新経済連盟の強い反対によって頓挫した経緯がある。

　個情委が今回のリクナビ事案で、旧スキームについて「個人情報保護法の対象外の可能性がある」として勧告・指導の対象外としたのは、そうした前回改正の経緯を踏まえて、個人データに該当しないとの解釈が確立していると考えたのだろう。しかし、行動ターゲティング広告の話と今回の事案は根本的に異なる。

　アドテクの場合は、あくまでブラウザを識別しているのであって個人を識別していない（から個人データではない）というのが、アドテク業界の建前であった。実際には、個人に合わせた広告を出そうとしている意図は明らかであるし、ブラウザを通じて間接的に個人を識別していると言うこともできよう。しかし、これを個人データとしての法的に扱うべきであると主張したところで、今一つ世論の賛同を得ることができなかったところがある。というのも、ターゲティング広告が出たところで、見なければよい話とも言え、履歴を収集する場所も広告を表示する場所もウェブの世界で閉じているという点で、履歴データの漏洩事故でも起きない限りは、法的に保護する実益に乏しいと感じられるところがあったのだろう。

　ところが今回のリクナビ事案では、DMPというアドテクの仕組みを用いているけれども、それを提供した先の求人企業で本人（そこには氏名等のデータがある）との紐付けが行われることを予定していたという点で、決定的に異なる。加えて、その用途が、就活生の採用の合否に秘密裏に使われ得るもので、深刻な人権侵害をもたらし得る実害があるという点で、世間の関心は高く、法規制の対象となって当然とする世論が形成されつつある。

　アドテク業界は、2000年代初頭のDoub1eC1ie k訴訟（米国において、Doub1eC1ie k社が開始した行動ターゲティング広告に対し、プライバシー侵害だとして集団訴訟が提起され、氏名等の本人に紐付けないこと等を条件に和解に至った訴訟）以来、こうした本人への紐付けを忌避し、閲覧履歴を提供する際にはこうした紐付けを行わないよう契約で求めてきたはず（そうしなければ法規制の対象とされてしまうとの危機感による）である。

　リクルートコミュニケーションズ社のDMPはその不文律を破ったわけであり、アドテク業界の自殺行為とも言えよう。