(日本生命のLINE公式アカウント)
1.LINEヤフーが日本生命に「結婚予兆セグメント」のプロファイリングの個人データを販売
2025年1月13日のニュースイッチに「保険の成約率10倍以上に…日本生命、顧客開拓にLINE活用」日刊工業新聞2025年1月10日という興味深い記事が掲載されていました。
この記事によると、日本生命保険はLINEのLINE公式アカウントで友達登録したユーザーのうち、結婚する予兆のある層にピンポイントで保険を提案したところ、成約率がLINEを使わない提案手法に比べなんと10倍以上になったとのことです。「LINEヤフーはショッピングサイトの購買履歴などから傾向をつかみ、ユーザー・消費者をさまざまなセグメントに分類する。日本生命は自社のLINE公式アカウントの友達のうち、LINEヤフーが「結婚予兆セグメント」に分類した層にアプローチ」して、従来の10倍以上の保険契約の成約を達成したとのことです。
また、本記事によると、日本生命は同様に「転職活動の検討セグメント」の個人データもLINEヤフーから第三者提供を受けて採用活動に利用しているとのことで、さらに第一生命保険やT&Dグループも日本生命と同様にLINE公式アカウントを利用して保険の営業等を行っているとのことです。
たしかに保険の営業成績が10倍以上に伸びるということは大変なことであり、LINEヤフーや日本生命などのパートナー企業にとっては非常に素晴らしい話ですが、「結婚予兆セグメント」、「転職活動の検討セグメント」等の生々しいプロファイリングの第三者提供の話が出てくるとLINEのユーザー・消費者としては少し怖い気もします。(アメリカの大手スーパー・ターゲット社が顧客の購買履歴から妊娠をプロファイリングし該当する女性にベビー用品を販売した事件や、2019年のリクナビ事件などを連想する人も少なくないのではないかと思われます。*なお、ITメディアニュースの記事によると、NTTドコモもプロファイリング結果の第三者提供ビジネスを行っているそうです。)
このようなLINEヤフーや日本生命などのパートナー企業のビジネスは、個人情報保護法などの関係からどのように考えられるのでしょうか。
2.プロファイリングについて
EUのGDPR22条などがプロファイリングについて法規制を行っている一方で、日本の個人情報保護法は真正面からはプロファイリングの法規制を行っていません。(プロファイリングの法規制については現在、個人情報保護委員会などで個情法改正に関連して検討が行われています。)
しかし、個情法17条1項は、事業者は「個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。」と利用目的の特定について規定し、個情委の個人情報保護法ガイドライン(通則編)の3-1-1(利用目的の特定(法第17条第1項関係))の「(※1)」はつぎのように規定しています。
【個人情報保護法ガイドライン(通則編)3-1-1】
(※1)「利用目的の特定」の趣旨は、個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすることである。 本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したことにはならない。
例えば、本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない。
【本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例】
事例1)「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」
事例2)「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。」
(個人情報保護法ガイドライン(通則編)3-1-1(※1))
このように、個情法17条1項をうけた個人情報保護法ガイドライン(通則編)3-1-1は、事業者がプロファイリングを行う場合には、その旨をプライバシーポリシー等の利用目的の部分に特定しておかないといけないと規定しています。
この点、LINEヤフーのプライバシーポリシーをみると、「4.d.当社サービスのお客様への最適化の具体例」の部分に、「たとえば、以下のような場合、当社は、お客様に最適化されたコンテンツを提供するためにパーソナルデータを利用します。・お客様の性別、ご購入履歴などから、おすすめ商品やニュース記事のご紹介など、お客様におすすめの情報をお届けする・配信した広告の効果を測定する」と規定されており、ユーザー本人の個人データからプロファイリングを行う旨が一応説明されています。そのため、LINEヤフーはプロファイリングに関しては個情法および同ガイドラインをクリアしているように思われます。
(LINEヤフー・プライバシーポリシー「4.d.当社サービスのお客様への最適化の具体例」)
3.プロファイリングした個人データの第三者提供について
つぎに、LINEヤフーがユーザーの個人データをプロファイリングして得た「結婚予兆セグメント」などの個人データを日本生命などのパートナー企業に第三者提供するためには、これは個人データの第三者提供ですので、ユーザー本人の同意かオプトアウトが必要となります(個情法27条1項、2項)。
そして、この点について個人情報保護法ガイドライン(通則編)3-6-1のなお書きは、「なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨を特定しなければならない(3-1-1(利用目的の特定)参照)。」と規定しています。
(個人情報保護法ガイドライン(通則編)3-6-1のなお書き)
つまり、事業者は、個人データの第三者への提供に当たり、あらかじめ本人の同意を得ないで提供してはならないのであり、同意の取得に当たっては、その同意を実効あるものにするために、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならないのであって、あらかじめ個人情報を第三者に提供することを想定している場合には、利用目的において、その旨を特定しなければならないのです。
この点、LINEヤフーのプライバシーポリシーの「4.d.当社サービスのお客様への最適化の具体例」の下のほうの「また、一部の国または地域(*3)においては、お客様に最適化された広告などのおすすめのコンテンツを配信する目的でパーソナルデータを利用します。これには以下のような例が含まれます。」の部分には、「パートナーから取得したお客様に関する識別子(内部識別子、広告識別子など)、ハッシュ化した電話番号やメールアドレス、属性情報、購入履歴や視聴履歴を含むお客様に関する行動履歴などの情報を当社が保有するお客様に関する識別子(内部識別子、広告識別子など)、ハッシュ化した電話番号やメールアドレス、属性情報、広告接触履歴を含むサービス利用状況などのパーソナルデータと紐づけ、組み合わせるなどして、統計情報を作成し、当該統計情報をパートナーに対して提供する。」との記述があります。
(LINEヤフーのプライバシーポリシーの「4.d.当社サービスのお客様への最適化の具体例」下部)
つまり属性情報、購入履歴や視聴履歴などの行動履歴、Cookie、広告接触履歴など様々なユーザーの個人データを集めて突合しプロファイリングを行い、「結婚予兆セグメント」などの「統計情報」を作成し、ユーザーの識別符号などとセットで当該統計情報をLINE公式アカウントのパートナー企業などに第三者提供していると説明されています。
そのため、LINEヤフーはプロファイリングの結果のパートナー企業等への第三者提供に関しては個情法および同ガイドラインをクリアしているように思われます。
(ただし、LINEヤフーのプライバシーポリシーにリンクが貼られた「属性によるサービスの最適化について」の「サービスの最適化において実施しないこと」の部分をみると、「健康状態や政治的信条、宗教など、お客様の機微な属性を推定・分類する行為」は実施しないとなっているのですが、「結婚予兆セグメント」、「転職活動の検討セグメント」等のプロファイリングはユーザー・消費者にとって「機微な属性」を推定・分類することのように思われ、疑問が残ります。)
4.まとめ
LINEヤフーがユーザーの様々な個人データを収集・突合してプロファイリングを行い、その結果をLINE公式アカウントなどのパートナー企業に第三者提供していることは、現行の個人情報保護法および同ガイドラインを一応はクリアしているように思われます。
しかし、LINEを利用している一般のユーザーは、自分がLINEを利用することによって自分の機微・センシティブな「結婚予兆セグメント」、「転職活動の検討セグメント」等がプロファイリングされ、しかもそのプロファイリング結果が第三者提供されているとはあまり自覚していないように思われます。
この点に関しては、LINEヤフーはプライバシーポリシー全体への同意取得で済ませるのではなく、セグメント等のプロファイリングを行うこと、そのプロファイリング結果をパートナー企業に第三者提供すること、等について個別の同意を取得する仕組みを用意するなど、より丁寧な対応がユーザーの「個人の人格尊重」(個情法3条)の観点からのぞましいように思われます。
■追記:プロファイリング結果の第三者提供
なお、『AIプロファイリングの法律問題』353頁以下(坂田晃祐・福岡真之介執筆部分)は、プロファイリング結果の第三者提供は、①本人はプロファイリング結果の内容を把握できないことが多いのであるから第三者提供時点でその影響を判断することができないリスクがあること、②本人はプロファイリング結果が第三者提供先でどのような利用目的で利用されるか予測できず、思わぬ不利益を受けるリスクがあること、③プロファイリング結果の内容によっては、本人が自己の欲しない他者に対し秘匿したいと考える事項が明らかになる場合、プライバシー権の侵害が発生するリスク(民法709条、憲法13条)が生じること、等から通常の個人データの第三者提供とは別に考える必要があると指摘しています。
そのため同書は、プロファイリング結果の第三者提供については、①第三者提供先の事業者の利用目的につき本人に情報提供または通知・公表を行うこと、②一定の範囲のプロファイリング結果(本人に軽微でない不利益を生じさせる可能性のあるプロファイリング結果)についてはオプトアウトによる第三者提供を禁止すべきこと、という通常の個人データとは異なる法規制を導入すべきであると提言しています。
この点、本ブログ記事で取り上げたLINEヤフーと日本生命などの事例の「結婚予兆セグメント」「転職活動の準備セグメント」などのプロファイリング結果は、上のリスクのなかの「③プロファイリング結果の内容によっては、本人が自己の欲しない他者に対し秘匿したいと考える事項が明らかになる場合、プライバシー権の侵害が発生するリスク(民法709条、憲法13条)」が発生する可能性が一定程度存在するものであると思われます。
そのため、LINEヤフーは包括的な同意でなく個別の同意を取得するだけでなく、どのようなプロファイリング結果を生成するのか、どのようなパートナー企業等にプロファイリング結果を第三者提供し、当該企業等の利用目的はどのようなものなのか等をユーザー本人にあらかじめ情報提供や通知・公表する必要があるように思われます。また、現行の個情法19条があいまいとは言え不適正利用の禁止を規定しているのですから、ユーザー本人に軽微でない不利益を発生させるおそれのあるプロファイリング結果については、そもそもプロファイリング自体を社内で禁止する等の対応も必要なように思われます。
■参考文献
・福岡真之介・杉浦健二・田中浩之・坂田晃祐ほか『AIプロファイリングの法律問題』42頁、353頁
・岡村久道『個人情報保護法 第4版』208頁
PR
