【2022年最新】ビッグデータ活用時代における個人情報の取り扱いについて

「ビッグデータを使いたいが、個人情報保護がされているか気になる」 「ビッグデータをどう活用すべきかわからない」

とお悩みの方へ。ビッグデータに明確な定義はありませんが、一般的に量が膨大かつ種類・形式がバラバラでとても人間が分析しきれないものを指します。

ビッグデータの中には個人情報に該当するものも多く、個人情報保護の観点から活用に悩む企業も多いものです。

そこでこの記事では、2022年4月に改正があった個人情報保護法のポイントや企業が気を付けるべきこと、ビッグデータの活用事例をご紹介します。

ビッグデータ活用と個人情報保護

2005年から施行が始まった個人情報保護法。すでに10年以上が経過しており、その内容は定期的に見直されています。

個人情報の漏洩といえば外部攻撃を懸念する企業が多いものですが、実は内部不正による持ち出しの方が多く、企業は会社全体での情報漏洩対策が必要です。

2022年4月に「改正個人情報保護法」が施行

2022年4月から全面施行される改正個人情報保護法について、まずは主な6つのポイントを解説します。

1.個人情報の停止や情報削除の請求権の行使

改正前は、個人情報保護違反が証明できる場合のみ利用停止や削除を請求できました。しかし改正後は、権利や個人の利益が害される場合にも請求可能です。

具体的には、改正前は個人情報を当初の目的以外で使用した・不正な手段で取得した場合のみ請求できました。しかし改正後は、事業者が不要になった場合や漏洩が発生した場合なども請求可能です。個人情報の消去や削除といった請求の対象要件が緩和される改正となります。

2.漏洩事故報告の義務化

改正後は、要配慮個人情報・不正アクセス・財産的被害など一定の類型情報が漏洩した場合の報告が義務化されます。漏洩した内容が個人情報でなくとも、1000人以上の大規模な漏洩が起きれば報告しなければなりません。

改正前は、情報漏洩についての報告は努力義務として必須ではありませんでした。漏洩事故については、より厳しくなっています。

3.認定個人情報保護団体の認定対象が広がる

改正後は、企業の特定分野を対象とした団体も個人情報保護団体として認定されます。従来は全分野を対象とした団体のみが認定されていましたが、改正によって対象範囲が広がりました。

認定個人情報保護団体とは、民間の個人情報の保護を推進するために認定を受けた法人のことです。認定個人情報保護団体は、個人情報の取り扱いに関する苦情処理や「個人情報保護指針」の作成、指針に基づく対象事業者の指導などが求められます。(法大47条1項による)

参照:個人情報保護委員会 認定個人情報保護団体制度の概要

https://www.ppc.go.jp/personalinfo/nintei/summary/#info

4.仮名加工情報制度の新設

データ活用に向け、個人情報の匿名性を保持するために「仮名加工情報」という制度が新設されました。仮名加工情報の定義は「他の情報と照合しない限り、特定の個人を識別できないよう加工して得られる個人に関する情報」です。

この改正はデータ活用を意識しています。様々な制約によってデータ利活用が鈍化しているため、推進するために事業者の義務が緩和されました。

5.法人罰金額の上限引き上げ

個人情報保護違反や保護委員会の措置命令といった罰則に対し、法定刑が引き上げられました。

改正前、個人情報保護委員会の措置命令違反では6か月以下の懲役または30万円以下の罰金が科されていました。しかし改正後は、「1年以下の懲役または100万円以下の罰金」と重罰化されています。

さらに措置命令違反は30万円以下が1億円以下に、個人情報DBの不正な流用は50万円以下が1億円以下の罰金となりました。上限の大幅な引き上げで、取り締まりを強化しています。

6.外国事業者への罰則追加

改正後は、国内の個人情報を取り扱う外国事業者も罰則による報告徴収や立ち入り検査の対象となります。改正前、外国事業者はこれらの対象外となっていました。外国事業者も域外適用となることで、グローバル事業を行う事業者も個人情報の取り扱いに留意する必要があります。

小売業が扱うデータの一部も個人情報に含まれる

2022年4月の個人情報保護法改正により、小売事業者の運営する各店舗のID-POSデータも顧客の個人情報となります。

つまり販促や広告といった用途で活用する際は、顧客に許諾を得なければなりません。もちろん、利用後のデータの取り扱いも個人情報保護法を遵守した体制が必要です。

改正個人情報保護法の施行により、小売業で活用される以下のデータも個人関連情報として扱われることになりました。

  • ・Cookie情報や位置情報
  • ・広告ID

上記データの提供や利用については、制限や義務が課されることになります。すでにサードパーティーCookieデータについては廃止に向けて進んでおり、“クッキーレス”なマーケティングへと変わっています。詳しくは、サードパーティーcookie制限から考えるマーケティングのあり方をご参照ください。

企業の課題となるビッグデータ×プライバシー問題

企業には、「ビッグデータ×プライバシー」という課題があります。データの活用が重要と思う反面、消費者からすると「自分の個人情報は大丈夫だろうか」と心配する声もあり、企業は扱いに慎重になるのものです。

さまざまなデータを活用するデータ社会では、消費者がプライバシー保護に対して信頼してもらえる環境なくしては実現しません。

■匿名処理だけでは保護しきれない

データ活用では、個人情報を侵害しないために匿名処理を施すケースが少なくありません。

匿名化とは、名前や生年月日、住所などの情報を削除したり一部を変更したりして、個人が特定できないように処理を施すことです。しかし、匿名化においてこの処理は十分ではありません。

その理由は、ビッグデータ時代となりあらゆる情報が蓄積されることで、別のデータと突合することで個人を特定できてしまうためです。

ビッグデータの活用において、課題の1つとなっているのが「匿名性の保持」です。一方で個人性を限りなくゼロに近づけると、データの抽象度が高くなり正確なデータが導き出せません。

この問題を解決するために、昨今では必要最小限の情報だけを使ったり暗号化を行ったりといった対策がとられています。小売店もデータ活用にあたり、匿名性に注意しなければなりません。

■ 個人情報に配慮したデータサービスも登場

個人情報に配慮したデータ活用において、JR東日本は2022年3月に「駅カルテ」というサービスを提供しました。交通カード「Suica」のビッグデータを、個人情報に配慮したデータ形式で販売するのです。

駅カルテは2017年以降の首都圏を中心とした600駅のデータを対象として、駅別の月次レポートとしたPDFデータです。個人を特定できないよう統計処理されており、企業や自治体での利用を想定しています。

駅カルテのデータは、商圏分析や不動産投資等に活用できます。もちろん小売店もマーケティングに活用できるので、データ活用に悩む方におすすめです。

参照:Response 商圏分析や不動産投資等に活用…Suicaのビッグデータを5月から販売 個人情報に徹底配慮

https://response.jp/article/2022/03/17/355277.html

個人情報保護において企業が行うべき2つのこと

企業は、個人情報の改正において以下の2つのことを行いましょう。

  1. 1.個人情報について理解を深める
  2. 2.個人情報の取り扱いを可視化する

ビッグデータを活用するためには、改正に対応するだけではなく、上記2つが必要です。まず、データ活用において個人情報の定義を理解する必要があります。個人情報は生存する個人に関するものであり、その情報から個人を特定できるものを指します。

またCookieや位置情報といった情報は、以前は個人情報ではありませんでした。しかし特定の個人の情報であることに変わりはなく、「個人関連情報」となります。住所や名前以外にも、個人を特定できる顔写真も個人情報の1つです。

社内にあるデータの何が個人情報かを明確にしたら、そのデータが社内でどのように使われているか見える化(可視化)します。個人情報をどこで取得したか、利用される場所や保管方法も可視化しておくと、改正時にも対応がスムーズです。

小売業の課題はサイバーセキュリティとの両立

小売店でもマーケティングの一環としてデータの活用を推進する一方、セキュリティとの両立が課題となっていました。

2022年4月に施行された個人情報保護法の改正は、ビッグデータの活用に配慮されています。データエコノミー時代となった今、企業は恐れずデータを活用する姿勢が必要です。

データエコノミー時代へ突入

データエコノミーとは、個人の行動や企業活動、IoTといった技術の進化で生み出される膨大なデータ(ビッグデータ)を活用し、新たな価値の創出や競争力の強化に取り組む経済のことです。

スマートフォンや通信回線技術の発達により、世の中にはビッグデータという膨大なデータが生まれました。ECサイトでも、個人の購買履歴やキャンペーンの利用データなどを、ビジネスの成長や顧客体験の向上に活かしています。

ビッグデータ時代となった今、社外のより多くのデータを活用することが重要です。しかしセキュリティや活用スキルの点から、データの利活用に悩む企業も少なくありません。

個人情報保護法でもデータの利活用に配慮した改正が行われ、国もビッグデータの活用を支援しています。小売業はよりビジネスを成長させるために、セキュリティを考慮したデータの利活用が求められているのです。

企業が意識すべき3つのポイント

ビッグデータの活用において、企業は以下の3つを意識しましょう。

1.データを集めるだけで終わらない

デジタル化が進み、顧客データの収集や蓄積を行う企業も増えています。CRMやBIツール、アクセス解析やDMPといったシステムで、データを自動収集する仕組みを構築する企業も少なくありません。

しかし、収集したデータのうちどれだけを活用できているでしょうか。集めたデータを100%活用できている企業は多くなく、集めるだけになっている企業も多いものです。

ビッグデータをマーケティングに活かすためには、データを活用するノウハウも必要となります。

2.データを活用することに委縮しない

GDPR(EU一般データ保護規則)やCookieの利用制限など、個人情報にまつわる規制は世界中で進んでいます。国内でも漏洩問題などで信用が失墜した企業が多く、安全な個人情報の活用に悩み、活用が進まない企業も多いものです。

前述したように、まず企業は個人情報に対する理解を深め、使えるデータや新しい法整備について理解する必要があります。自社で限界を感じたら、外部に協力を求めることも必要です。

3.社内の連携を強化して取り組む

個人情報データの管理は、各部署の部分的な取り組みでは不十分です。マーケティングや販促部門に限らず、法務部門などを巻き込んだ全体的な仕組みが必要となります。

小売業者の場合、プライバシー侵害や意図せぬ個人情報保護法違反を犯さないためにも、外部の知見を活用することがおすすめです。

具体的には個人情報やデータ活用、プライバシーリスクに強い弁護士やセキュリティの知見があるエンジニア、包括的なアドバイスをくれるコンサルタントの依頼などが挙げられます。

ビッグデータでビジネス価値創出を

ビッグデータ時代となり、企業はデータを活用した新たな価値の創出が求められます。今後は、個人情報保護法に準拠したデータ活用のスキルが求められるでしょう。

また国は、医療や介護といったデータを活用できる「データヘルス改革」を進めています。これらを活用すれば、個人情報に配慮したデータ活用が可能です。

参照:厚生労働省 データヘルス改革推進本部

https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000148743.html

ビッグデータの活用を行う国内企業

最後に、ビッグデータの活用を行っている国内企業の事例を2つご紹介します。

■カルビーは販売店システムを構築

大手スナック菓子メーカーカルビーは、消費者が商品の取扱店を検索できる「販売店検索システム」を構築しました。「○○という商品が欲しい」という顧客に対し、膨大なカルビー商品の中から特定の商品を探すことが可能です。

将来はスマートフォンアプリ「カルビー ルビー プログラム」と「販売店検索システム」を組み合わせ、おすすめ商品を購入できる近隣店舗を表示させるなどのサービス発展も検討しています。

参照:Microsoft お客様事例

https://customers.microsoft.com/ja-jp/story/1467204323854613467-calbee-consumer-goods-azure-ja-japan

■山崎製パンはデータの一元管理を行う

大手製パン企業の山崎製パンは、国内20拠点の工場と約10万店舗ある販売店間の全データを一元管理して、業務の効率化などに成功しました。

具体的に実現したものは、生産や配送業務の効率化・全業務のプロセス監視や現場の進捗状況の把握・商品のトレーサビリティ確保による商品管理などの運用負荷の軽減・コスト削減などです。

業務プロセスや進捗業務が可視化することで、迅速な経営判断につながります。需要をリアルタイムで把握するすることで、需要の変化に応じた生産プロセスの最適化が可能となります。

参照:Harvard Business Review IoT、データ活用が創出する新しい価値

https://www.dhbr.net/articles/-/350

さいごに

公的なデータ活用まで手が回らない場合、まずは社内に蓄積されたビッグデータを活かすことが重要です。他企業の事例などを参考に、新たな顧客体験や企業価値をどう生むか検討していきましょう。

その際には個人情報保護の観点も忘れず、適正なビッグデータ活用を心がけましょう。