課徴金制度の導入は「DM・配信規模が大きい事業者」への直撃弾
個人情報保護委員会の4月7日付プレスリリースは、「個人情報の保護に関する法律等の一部を改正する法律案」が同日閣議決定され、第221回特別国会に提出されたことを発表した。実務インパクトが大きいのは、違法な取扱いで「財産上の利益」を得た場合に同委員会が課徴金納付を命じられるようになる点だ。
牛島総合法律事務所のクライアントアラートやBUSINESS LAWYERSの解説を参照すると、課徴金額は「対象行為やそれをやめることの対価として事業者が得た利益相当額」とされる。一律の「売上の○%」という上限ではないが、違法な目的外利用や規約違反のスクレイピング、不正取得データをもとにした配信などで「利益」が立証されれば、その利益額そのものが徴収対象になる。さらに、過去に課徴金納付命令があれば1.5倍、自主報告があれば50%減額という調整も用意される。CRMリストの違法購入、退会者を含む再配信、規約外の名寄せといった「利益が見えやすい違反」が最も狙われやすい構図だ。
「連絡可能個人関連情報」が、Cookie・端末ID周辺の設計を再び動かす
もうひとつ、Web担当者が見落とせないのが「連絡可能個人関連情報」という新類型である。日経xTECHの報道によれば、改正案は氏名・住所などの個人情報には該当しないが、メールアドレスや電話番号のように「特定の個人と連絡できる」情報のカテゴリを新設する。
これは、現行法で「個人関連情報」として扱われてきたCookie ID・広告ID・閲覧履歴の周辺で、規律のグラデーションが一段細かくなることを意味する。実務上、ある事業者が連絡可能個人関連情報を第三者に提供し、提供先で個人データとして取得される場合などには、本人同意の有無の確認・記録などが必要になる方向だ。日経新聞も、改正案は類型追加で複雑さが増し、実務上の混乱を招く恐れがあると懸念を伝えている。
筆者の見立てを示したい。サードパーティCookieの段階的縮退や、各DSPの同意プラットフォーム連携の進展と重ねれば、これは「Cookie対応のCMP整備が一段落した事業者」にも、もう一度同意UI・データフローの棚卸しを迫る変更だと考えられる。とくに、外部の広告計測ベンダーやデータプロバイダ経由で「ハッシュ化メールアドレス」「ハッシュ化電話番号」を流通させているケースは、新類型の射程に入り得るため、契約と運用の両面で見直しが必要になる可能性がある。
「統計作成のための同意不要措置」は、AI学習データ整備に追い風となるか
改正案では一方で、統計等を作成する第三者へ個人情報を提供する場面では本人同意を不要とする緩和措置も入る。個人情報保護委員会の概要資料に明記された変更点だ。LLM学習用データセットや行動分析データの社外提供については、ハードルが下がる方向に振れる可能性がある。
ただし、ここには日本弁護士連合会の意見書が指摘するような、要件の不明確さや濫用懸念も付きまとう。「統計作成名目で広告セグメントの実質的な共有が行われていないか」は、施行後の運用監視の論点になるだろう。緩和措置は活用機会だが、無条件のフリーパスではない、という整理が現実的だ。
Webマーケターが今期に着手すべき3つの再設計
第一に、同意プラットフォーム(CMP)の棚卸し。Cookieだけでなく、メールアドレス・電話番号など「連絡可能個人関連情報」相当の収集経路をすべて洗い出し、同意取得文面・記録・撤回フローを再整理する。
第二に、外部データ取引の契約見直し。プログラマティック広告のオーディエンスデータ、CRMマッチ系のID共有、ハッシュ化PIIの取り扱いについて、契約上の利用目的・取得経路の確認義務を強化しておく。
第三に、配信規模が大きい施策の「利益記述」整備。違反が起きたときに「いくらの利益相当」と算定されるかは、配信パフォーマンス記録の正確さに依存する。レポート設計の段階で、後追い検証に耐えるデータ保持が求められる。
法案は今後の国会審議を経て成立する見通しだ。施行は「公布から2年以内」とされており、現場の準備リードタイムを考えれば、施行待ちでは到底間に合わない。