改正個人情報保護法について、先日ご紹介しましたが(記事はこちら)、ECサイト運営の中で具体的に気になる、広告運用での疑問についてまとめます。
特に、アフィリエイト広告を運用している、ECサイト運営者に向けた情報になります。
アフィリエイト経由の広告の場合、個人情報保護法の改正で、どのような対応が必要になったかについて、ご紹介します。

個人情報保護法について

個人情報保護法の改定は、社会・経済情勢の変化を踏まえて、3年ごとに見直しが入ります。
今回の改正では、個人情報の権利保護が強化され、またECサイト運営事業者にも責務が発生するなど、大きく変化が見られます。
特に今回ご紹介しておきたいのが、加工データの扱いについてです。
個人情報を加工して、個人を特定できない情報に変換した場合でも、「個人情報」として扱うことになりました。
これは、個人の権利利益の侵害の度合いなどにかかわらず、たとえそれが侵害のおそれが低い情報であったとしても個人情報と同様にあつかわなければならないとなります。

旧法律では、提供元の時点では個人情報データではないものの、提供先で個人データとなることが想定される場合に対して、規制がありませんでした。
今回の法改正により、提供元(アフィリエイト運営者)から提供先(ECサイト運営者)に情報が共有されることで、個人情報と紐づく(突合)できる場合、個人情報を得ていることになります。
つまり、個人情報を取得していることに対して、取得同意の確認義務が発生するようになりました。
ECサイト運営をしている場合、個人情報保護に対するECサイトでの運営取り組みが変わるので、プライバシーポリシーページへ変更内容を掲載します。

アフィリエイト運営でも理解しておくべき、Cookie情報

今回の法改正で、新たに設けられた「個人関連情報」の定義について、改めて整理します。
個人関連情報とは、「生存する個人に関する情報のうち、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」をいいます。
例えばCookieは、それ単体では特定の個人を識別することはできませんが、特定の個人に関する情報であるため、個人関連情報に該当すると解釈されるようになりました。
そしてこのCookieを利用した閲覧履歴や、趣味・趣向情報を利用企業に提供するDMP事業者などは、「個人関連情報取扱業者」に該当すると考えられます。
アフィリエイト広告で利用していたCookieについては、Googleが「サポートを廃止する」と発表したため、各ASPがCookieを利用しない計測方法についていち早く対応していました。
ECサイト運営者が陥りやすいのが、運営しているアフィリエイト広告では、Cookieを利用していないので、対応は無いと判断してしまうことです。
Cookie以外の方法で、行動履歴を取得している(どのアフィリエイターの記事から商品購入に繋がったか?の情報を得ている)ため、個人関連情報としてCookieと同様の解釈がされます。
ECサイト運営の中で、個人情報の取り扱いはとても重要です。ついついセキュリティの面に目がいきがちですが、法改正をうけて個人関連情報についても対策が必要です。

アフィリエイト運営で、規制されるケース

提供元(アフィリエイト運営者)では個人データに該当しないものであっても、提供先(Ecサイト運営側)において、個人データとなりうることが想定される場合、規制対象です。
例えば、図のようにA社(アフィリエイト運営者)からB社(Ecサイト運営側)に情報が共有されることで、個人関連情報だったデータが、個人データに変わってしまいました。この場合、原則本人同意が必要になります。

アフィリエイトでの対応

アフィリエイトサイト経由で、クライアントの商品やサービスを購入する最終消費者の個人関連情報を取得している場合、アフィリエイトの管理画面上ではまだ個人データにはなっていません。
ただ、このアフィリエイト管理画面での情報(広告クリック日や、経由したアフィリエイトサイトの情報)を、ECサイト運営者が確認できた場合、情報をつけ合わせできるため、規制が適応されることになります。ECサイト運営側には購入者情報があるので、簡単に個人情報と結びつけることができるからです。
つまり、アフィリエイト広告は、ほとんどの場合、本人同意を取る必要があります。
本人同意の取得方法としては、誰が、どのような情報をどのように使うかを事前に明示する必要があります。
アフィリエイト用のLPなどを制作しているECサイト運営者が多いと思いますので、アフィリエイト用のLPの中で取得同意をとったり、プライバシーポリシーに記載しておくなどの対応が必要になります。

アフィリエイト運営者も該当。違反の場合のペナルティー

法律違反になりますので、ペナルティーがあります。個人・法人ともに引き上げの傾向です。法人の罰金刑の上限額も大きく引き上げられています。
ECサイト運営は、個人情報を取り扱うので、セキュリティ面は力を入れている店舗ばかりだとは思いますが、
情報漏洩をしない対策や、体制づくりについて、今一度見直しても良いかと思います。

ECサイト運営とアフィリエイトにまつわるTOPICS

今まで、アフィリエイト広告での薬機法や景表法違反の表現について、アフィリエイト側(ASPやアフェリエイター側)の責任であり、ECサイト運営者は「知らなかった」として言い逃れをしていた事業者がいるようです。厚生省からの注意を振り切り、会社を無くして別会社で同じことを繰り返し、アフィリエイト広告を利用した、いわゆる悪徳な商売をしている事業者がいるようです。今回の個人情報の捉え方が変わる件、根底にあるのは、GDPR対応ではありますが、アフィリエイト側だけの責任でなく、ECサイト運営事業者側にもに責任を発生させること。これは、悪徳商法の言い逃れにメスを入れていく第1歩とも捉えられます。

まとめ

ECサイト運営をしている場合、集客や商品情報の拡散で広告を使う機会が多くあります。
ECサイト運営の中で、特に口コミやレビュー集めに注力しているところがほどんどかと思います。口コミやレビュー集めの手法でアフィリエイト広告を利用しているECサイト運営者も同時に多くいるかと思います。
Cookieも個人情報となるという認識だけで法改正を捉えてしまうと、アフィリエイト広告の場合、Cookieを用いない計測方法を実施しているところもありますので、対応について見落としてしまう可能性があります。
Cookieを利用しないアフィリエイト広告でも、アフィリエイト広告の管理画面上で個人が特定できない個人関連情報(広告クリック日時、経由したアフィリエイトサイト、成果日:購入された日)が見れるかと思います。
この情報をECサイト運営者が手に入れた場合、購入日から容易に個人情報を特定できてしまいます。つまり、規制の対象となります。
基本的にアフィリエイト広告は個人情報について、同意を取っておくほうが安全と言えます。
サイト内での改正個人情報保護の対策とともに、同じようにアフィリエイトLPも法改正対応を行いましょう。
こういった法改正対応は、スピーディーに対応していく必要があります。ECサイト運営者の場合、懲役・罰金刑についても考えていかなくてはなりません。
対応のためには、情報を早めに集め、どのような作業が必要かを洗い出し、すぐ修正・改善できる体制づくりが必要になります。
社内ですべて行うことが、対応を遅くしているようでしたら、1度アウトソーシングなどご検討ください。
ベイクロスマーケティングでは、ECサイト運営や、アフィリエイト広告の運営サポートを多角的視点で整理し行っています。個人情報保護については、今度も定期的な法改正が考えられますので、ぜひお気軽にご相談ください。
ECサイト構築・運用について

Written by