かつてはまさに無法地帯、個人情報保護など関係なく自由になんでも分析にかけることができました。
ところが、といいますかある種あたり前の流れですが、個人情報保護法ができ、ユーザー側のプライバシー意識が高まり、情報の取り扱いにルールが設けられていったわけです。
今回は、そのルールの適用対象となる”個人情報”にどのような種類があるのか・・どのように回避していくのかを見ていきます
未加工データ
個人情報
特定の個人を識別する情報のことを指します。
氏名、住所、生年月日、電話番号、顔写真などが個人情報です。
まあ生年月日だけ持っていたところで個人を識別できるわけではないのですが・・限りなく限定されてしまう=識別しうる可能性がある、というだけで、それはもう個人情報なのです。
個人識別符号
ぱっと見誰なのか全くわからないとはいえ、ちゃんと照合すればだれを指しているのかはっきりわかる”記号”のことを指します。
マイナンバー、DNA配列などです。
イメージとしては、刑事ドラマで(そして実際にも)使われる指紋、がわかりやすいかもしれません。
前科があったり任意でとられたりとデータベースにあると照合=個人を特定できる、そういった類のものです。
なおマイナンバーはリセット可能ですが、リセットが可能かどうかは関係がありません。
要配慮個人情報
個人情報の中でも、それ差別の元にならない大丈夫?と直感的に思える情報のことを指します。
人種、信条、社会的身分、病歴、犯罪の経歴などです。
加工データ
匿名加工情報
特定の個人を識別できない、元の個人情報に復元できないように加工された情報のことです。
不可逆な暗号化をかけたデータはもちろん、年齢・性別・都道府県だけ抽出したりと、データ分析視点で言えば必要なものだけ抜粋してもらったデータもこれにあたります。
当然、個人を識別できないように加工しているため、個人情報ではありません。
仮名加工情報
他の情報と照合しない限り、特定の個人を識別できないよう、氏名などの情報を削除された情報のことです。
例えば匿名加工情報でも、1行目、2行目・・・と実は元の個人情報と並び順が同じだったりすると、それはもはや仮名加工情報に該当します。
なお氏名などが削除されただけでその他の部分は残りますので、仮名加工情報は個人情報です。法律的には加工する意味がないですね。
個人関連情報
生存する個人に関する情報で、個人情報、仮名加工情報及び匿名加工情報以外の情報のことです。
その定義から、個人関連情報は個人情報ではありません。
氏名など個人情報と結びついてないネット閲覧履歴単体、位置情報単体が該当します。JIAAで過去「インフォマティブデータ」と呼んでいた領域です。
CookieやRDID(IDFA/AAID)の扱い
ブラウザクッキーやデバイスIDについて、それ単独では「個人関連情報」に該当します。
ただし、個人関連情報とはいえ個人情報と紐づけ・統合管理されている場合においては個人情報として扱われます。例えば、広告主側データベース内で、デバイスIDと氏名住所が紐づけられて管理されている場合、などです。
会員登録させ管理しているような業態では、GAに会員IDを返すとそれだけで”GAで個人情報を扱っている”(なぜなら、照合すれば会員の個人情報と突合できるから)と解釈されます。
アプリ提供事業者であればなおのこと、デバイスIDはSDKで抜け、そこに会員IDが紐づき、・・・といった環境がデータ分析上もCRM施策検討/実施上も理想ということもあり、個人情報を扱っている、という状態です。
