◆情報連携のメリット

ヤフーとカルチュア・コンビニエンス・クラブ（CCC）とがユーザー情報の連携を強化しました（参考：ヤフー「カルチュア・コンビニエンス・クラブとの情報連携の開始について」）。

ヤフーは、CCCに対し、特定の広告に関する閲覧履歴情報を提供。これに対し、CCCは、ヤフーに対し、特定の商品に関する購入履歴情報を提供。情報を受け取った会社はそれぞれ、マーケティングの精度を高めることなどに活用するようです。

ユーザーのストレスとなる広告が敬遠される現代において、このような情報の活用は、企業の効果的なマーケティングにとってきわめて重要です。

◆閲覧履歴・購入履歴は「個人情報」か

企業間の情報連携には、個人情報保護の問題がつきまといます。本件のユーザー情報の連携は、個人情報保護法との関係でどのように位置づけられるのでしょうか。

⑴　個人識別性の有無がポイント

「個人情報」とは、氏名・生年月日などにより特定の個人を識別できる情報（他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む）をいいます（法２条１項）。

また、平成２７年改正後の個人情報保護法では、個人識別符号（指紋データ、顔認識データ、運転免許証番号、旅券番号など）が含まれる情報も「個人情報」とされることが明確化されました（改正法２条１項２号）。

いずれにせよ、ポイントは、「特定の個人を識別できるか否か」です。

閲覧履歴・購入履歴などのライフログ（行動履歴情報）は、それ単独では特定の個人を識別できるものではないため、個人情報保護法上の「個人情報」にはあたりません。

しかし、会員登録などの際に氏名・生年月日などを取得・保存している場合には、それらと容易に照合することができ、それにより特定の個人を識別することができるものとして、閲覧履歴・購入履歴も「個人情報」にあたることになります。

⑵　特定の個人を識別できないように加工した場合

「個人情報」を加工して特定の個人を識別できないようにした場合には、その情報は「個人情報」ではなくなり、個人情報保護法の規制は及ばないこととなります。この場合、利用目的の特定（法１５条１項）や第三者提供時の本人の同意（法２３条１項）も不要となり、情報を自由に活用することができます。

ただし、平成２７年改正後の個人情報保護法では、このような情報が「匿名加工情報」として一定の規律に服することとされていることに注意が必要です（改正法３６条～３９条）。

冒頭の事例では、ヤフーがCCCに対して提供する情報は特定の個人を識別することができないものであり、CCCがヤフーに大して提供する情報は特定の個人を識別することができないように加工されたものとのことなので、いずれも「個人情報」にはあたらないことになります。

◆匿名加工情報についてオプトアウトを設ける意味

個人データを第三者に提供する場合には、原則として、あらかじめ本人の同意を得ることが必要ですが、オプトアウト（本人の求めにより提供を停止すること）を設けた場合には、一定の要件を満たせば、あらかじめ本人の同意がなくても第三者への提供が認められます（法２３条２項）。

これに対し、冒頭の事例のように特定の個人を識別できない情報については、個人情報保護法の規制は及ばないので、そもそも第三者提供時の本人の同意は不要であり、オプトアウトを設ける必要もないはずです。

しかし、本人のプライバシーへの配慮や、法改正前後の微妙な時期における対応として、オプトアウトを設けることは妥当でしょう。

◆ユーザー情報の有効活用と本人の権利保護とのバランス

ユーザー情報の取扱いは、個人情報保護法やプライバシーとの関係で非常に難しい問題を孕んでいますが、企業においては、適切かつ有効に情報を活用し、ビジネスを盛り上げていただきたいと思います。

本ブログ及びこれに関連する法律相談等については、下記ＵＲＬからお問い合わせください。
http://kondo-law.com/contact/