個人情報保護法に違反？拡張コンバージョンやカスタマーマッチの注意点

カスタマーマッチと拡張コンバージョンは個人情報保護法に違反する恐れ

Google広告のカスタマーマッチとは、広告主が保有する顧客のアドレス・電話番号・住所などの顧客情報をGoogle広告管理画面にアップロードすることで広告配信の最適化に活用する技術である。

Google広告の拡張コンバージョンとは、フォームで入力された顧客情報をコンバージョン地点到達時にGoogle広告に連携させてコンバージョンの計測を補完する技術である。

cookie規制の流れによりファーストパーティデータの活用の重要性が増したことでこれら機能を耳にする広告主も増えたはず。

カスタマーマッチも拡張コンバージョンも当然のように個人情報保護法の規制を受けます。

しかし、その機能は広告管理画面上で適当にクリックを進めていくだけで利用できるものもあるため、「小難しいことはわからないけど広告効果の効率化のためにとりあえずやろう」ということで規制ガン無視でこの機能を利用している運用者や広告主は非常に多い。

そこで、今回は個人情報保護法とカスタマーマッチ・拡張コンバージョンとの関係について記載していく。

カスタマーマッチと拡張コンバージョンは個人情報の「第三者提供」に該当する
カスタマーマッチや拡張コンバージョンを利用する際にプライバシーポリシー等に記載すべき事項とは
ハッシュ化されても「匿名加工情報」にはならない
まとめ
関連記事

カスタマーマッチと拡張コンバージョンは個人情報の「第三者提供」に該当する

冒頭でも述べたように、カスタマーマッチは顧客情報を広告主側がリストアップして"手動で"広告媒体にアップロードするのに対し、拡張コンバージョンはフォームで入力された情報を"自動で"広告媒体に連携させるという点で異なるが、カスタマーマッチも拡張コンバージョンも顧客の情報を広告媒体（Google社）に渡しているという点で共通しており、つまり、個人情報の「第三者提供」に該当する。

そのため、カスタマーマッチや拡張コンバージョンを利用する際はユーザーの事前同意が必要となる。すなわち、プライバシーポリシーに個人情報を第三者に提供する可能性がある旨を記載し、それについて事前に同意を得ておく必要がある。

個人情報保護委員会のガイドラインに関するQ&Aでも下記の通り記載がある。

Ｑ７－41
委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

Ａ７－41
個人データの取扱いの委託（法第27条第５項第１号）において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。

したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例１）既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること
事例２）既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること
これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。
（令和３年９月追加）

引用：「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ｜個人情報保護委員会

上記の事例１）はSNS運営事業者とあるがまさにカスタマーマッチの機能が当てはまる。ちなみに、Facebook広告（meta広告）でも詳細マッチングという同様の機能がある。ほかの媒体でも名称は違えど同様の機能がある。

ガイドラインのアンサー①にあるように、カスタマーマッチ（や拡張コンバージョン）を活用するためには本人の事前同意を得る必要がある。外部事業者に対する委託と整理した②でもクリアできるのだが、広告主側がプラットフォーマーをコントロールすることは事実上不可能なため、実務上は①の対応一択という理解でよいだろう。

余談ではあるが、事前同意が必要なタイミングは正確に言えば第三者提供前であってフォーム入力時である必要はない。基本的に問題になるのは個人情報取得時ではなく第三者提供時なのである。ただし、実務上は第三者提供時に事前同意を得ることは困難であるため、個人情報取得時（フォーム送信時）に個人情報の取り扱いに関する同意のチェックで事前同意を得ているのである。なお、同意のチェックをしないと送信ボタンが押せなかったり、個人情報に関する規約を一番下までスクロールしないと送信ボタンを押せないなどの仕様にしてユーザーが明確に同意したと担保をとれるように実装することが推奨される。

ではフォーム送信時の規約にはどのような事項が記載されている必要があるのか。

カスタマーマッチや拡張コンバージョンを利用する際にプライバシーポリシー等に記載すべき事項とは

カスタマーマッチや拡張コンバージョンを利用する前にプラポリ等には以下のことを記載されていればよいとされている。
（もちろん記載するだけでなくフォーム送信時にその内容の同意を得る必要がある。）

個人データの第三者提供を行う旨
提供を行う情報の種類（メールアドレス・電話番号・住所など）
提供先に関する情報（会社名など）
提供の目的（広告配信の効率化など）

個人情報の保護に関する法律についてのガイドラインでは具体例までは記されていないが、上記のような項目を記載するのが望ましい。

とある企業のプライバシーポリシーには以下のような記載がされているので参考にされたい。

プラポリの記載例

さらに注意が必要なのが、GoogleやFacebook（meta）などは外国に所在地を置く企業のため、外国にある第三者への提供にも該当する点である。

外国にある第三者へ提供する際には、個人情報保護法施行規則17条第2項により以下の３点に関する事前同意が必要となる。

移転先となる外国の名称
適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
第三者が講ずる個人情報の保護のための措置に関する情報

とある企業のプライバシーポリシーには以下のような記載がされているので参考にされたい。

プラポリへの記載の仕方参考2

プラポリへの記載の仕方参考3

ハッシュ化されても「匿名加工情報」にはならない

少し詳しい人だと、「カスタマーマッチや拡張コンバージョンはハッシュ化されるのだから個人情報には当たらないのではないか」という人も稀にいる。

読み飛ばしても問題ないが、一応これについても解説しておく。

カスタマーマッチについて、Googleの公式ヘルプには以下のような記載があり確かにハッシュ化されているようだ。

顧客から提供された情報に基づいて顧客データファイルを作成します。

データを安全に保つために、SHA256 アルゴリズムを使用して顧客データをハッシュ化します。ハッシュ化はご自身で行うことも、Google 広告によって自動的に行うこともできます。SHA256 アルゴリズムは、一方向ハッシュ関数の業界基準です。

ハッシュ化されるのはファイルに含まれる機密性の高い顧客データ（メールアドレス、電話番号、姓、名）のみで、国と郵便番号のデータはハッシュ化されません。ハッシュ化データのファイルをアップロードする場合、国と郵便番号のデータはハッシュ化せずにお送りください。

拡張コンバージョンについては公式ヘルプで以下のように記載されている。

お客様のウェブサイトでユーザーがコンバージョンを完了すると、メールアドレス、氏名、住所、電話番号など、ユーザーに関するファーストパーティデータが取得されます。このデータはコンバージョントラッキングタグでキャプチャされ、ハッシュ化されて Google に送信されます。その後、このデータを使用してコンバージョン測定が拡張されます。

ハッシュ化された情報は個人情報保護法上の「匿名加工情報」に該当するため、ユーザーからの事前同意は不要であるという見方もあったが、個人情報保護法ガイドラインのQ&A（15-14）でハッシュ化は個人情報の匿名化ではない（ハッシュ化された情報は匿名加工情報には該当しない）と結論付けられている。

それゆえ、やはりカスタマーマッチと拡張コンバージョンを利用する際にはユーザーからの事前同意が必要となるのである。