こんにちは、BICPDATAの菊川です。
本日は、“広告主”の方に読んでいただきたい、カスタマーマッチ広告(※)に関する同意管理についてです。
カスタマーマッチ広告について、弊社のクライアント様から「第三者提供なのか?それとも委託で整理できるのか?」とご質問をいただく機会が増えてきました。そこで、カスタマーマッチ広告の“第三者提供”と“委託”の整理の考え方と、それに伴う同意管理について書いていきます。
広告主の立場にいらっしゃる企業の皆様は、こちらのブログを読んでいただいた後、ぜひ自社の対応状況を確認してみてくださいね。
(※ 本ブログでは、“カスタマーマッチ広告”や“カスタムオーディエンス広告”等、広告主企業が自社顧客のメールアドレスや電話番号を用いて各プラットフォームで配信する広告のことを総じて“カスタマーマッチ広告”と記載いたします。)
カスタマーマッチ広告の依頼は“第三者提供”と“委託”のどちらか
弊社にご質問をいただいた多くのクライアント様では、プラットフォーマーへのカスタマーマッチ広告の配信の依頼は“委託”と整理されているようでした。しかし、カスタマーマッチ広告については一概に「委託で整理するのが正しい」とご回答することはできません。プラットフォーマー側のスタンスにもよりますが、弊社では“第三者提供”と整理しておくことが自社のみで(外的要因に左右されることなく)法令に適合するための措置がとれてよい、と考えています。
まず、“「個人情報の保護に関する法律についてのガイドライン」に関するQ&A”を確認してみましょう。下記のような記載があります(ハイライトは私自身でつけました)。
ここに記載されている 事例1)は、まさにカスタマーマッチ広告のことを指していますよね。
そしてこの場合について、①第三者提供と整理するパターンと②委託と整理するパターンとが記載されています。
では、委託で問題ないのではと思ってしまうのですが、②の場合は委託先(つまりプラットフォーマー側)でユーザーから同意を取得してもらう必要があります。
カスタマーマッチ広告を実施しているプラットフォーマーとの契約をご確認いただきたいところではありますが、そもそもプラットフォーム(SNS等)の一ユーザーとしては、そんな同意取得された記憶はないぞ?という感覚です。このように、プラットフォーマー側で同意を取得しているパターンはほぼないのではないでしょうか。
そうなると、広告主側にて同意を取得するパターン、つまりカスタマーマッチ広告は“第三者提供”と整理せざるを得なくなってくると考えます。
②の委託で整理することは、プラットフォーマーがユーザーから同意を取得している場合にしか当てはまらないため、プラットフォーマーのスタンスによって委託と整理したり第三者提供として整理したり、と管理が難しくなってきます。つまり、複数のプラットフォームにてカスタマーマッチ広告を実施している場合は、A社のは第三者提供、B社のは委託、と対応が異なってくることも考えられます。というわけで、自社内では①の第三者提供で整理した方がシンプルに管理できてよさそうですよね。
カスタマーマッチ広告のために必要な同意管理とは?
ではカスタマーマッチ広告を第三者提供と整理した場合、必要な同意管理は何でしょうか。
この整理によれば、カスタマーマッチ広告はメールアドレスや電話番号といった“個人情報”の“第三者提供”を伴いますので、明確な“事前同意”が必要となります。
そのため、顧客から個人情報を提供してもらうタイミング(会員登録時)などでカスタマーマッチ広告を行うことに事前同意いただく必要があります。
多くの場合、プライバシーポリシーや会員利用規約などで同意を取得することが多いかと思いますので、その規約上にきちんと「カスタマーマッチ広告を目的とした第三者提供を行う旨」の記載があり、同意を取得する必要があります。もちろん同意取得の方法はこれに限りませんので、カスタマーマッチ広告を実施する度にバナー表示等で同意取得を行うことも可能です(あまり現実的ではないかもしれませんが…)。
ぜひ一度、自社ではどのタイミングで同意取得を行っているか、確認してみてくださいね。
(おまけ)カスタマーマッチ広告の同意管理の落とし穴
弊社では、実は多くの企業様がカスタマーマッチ広告については適切な同意管理を行えていない可能性があると考えています。その理由の一つとして、カスタマーマッチ広告を“第三者提供”で整理するべきであることを認識できていなかったから、というものと、それに加えて、プライバシーポリシー等で同意が取得できていると誤解をしている、というものが考えられます。
よくプライバシーポリシー内にある第三者提供に関する記述は下記のようなものです。
「提供先・提供情報内容を特定したうえで、お客様の同意を得た場合に限り、当社は第三者企業にお客様の個人情報を提供することがあります。」
このような書き方では、会員登録時にプライバシーポリシーに同意をしてもらっているからという理由でカスタマーマッチ広告を行うことはNGです。
というのも、おそらく上記のような記述は、第三者企業とタイアップキャンペーン等を行った場合を想定して書かれている文章であり、第三者提供についても何らかのアクション(例えば、キャンペーン応募の際にキャンペーン参加規約に同意することで第三者提供についても同意する)が想定されているものになります。
そうであれば、上記のような記述のみで、プライバシーポリシー等で第三者提供について同意を得ていると整理することはできません。第三者提供について同意を得ているといえるためには、カスタマーマッチ広告を実施する際に、会員に対して個別にカスタマーマッチ広告目的の第三者提供について同意取得するためのアクションを取らなくてはならないことになります。
もちろん、前述の通り、プライバシーポリシーの記述にカスタマーマッチ広告のための第三者提供を行う旨の記述を入れておき、それに同意してもらう、というやり方も当然可能です。
ただ、もし現行のプライバシーポリシーにそういう記載がなされておらず、または不十分な記載であるため、今後プライバシーポリシーを修正して既存のユーザー様にもカスタマーマッチ広告を配信したい、というのであれば、その修正したプライバシーポリシーに積極的に同意をもらって、初めてその人に対してカスタマーマッチ広告を配信できることになるのです。逆に、同意がないうちはその人のデータを用いることはできない、ということになります。 この点も注意が必要ですね。
最後に
いかがでしたか?
かなり多くの企業の方が、「自社の対応は大丈夫かな」と思う節があったのではないでしょうか。
もし対応に迷われたら、お気軽に弊社にもぜひご相談下さいね。