IT法務・AI・暗号資産ブロックチェーンNFT・web3の法律に詳しい弁護士|中野秀俊
グローウィル国際法律事務所
03-6263-0447
10:00~18:00(月~金)

AIを用いた行動ターゲテイング広告と個人情報の取扱で注意すべきこと【2024年1月加筆】

ロボット・AI・ドローンの法律

行動ターゲティング広告について

ショッピングサイトで以前閲覧したアイテムや関連商品の広告が出る機能については、本当は購入したかったのにどこのウェブページで見たのか忘れてしまった時や、思わぬ好みの商品を推薦してもらえた経験があると思います。

行動ターゲティング広告とは、異なる時間に行われたオンライン上での利用者の行動を追跡すること(利用者が行った行動、訪れたサイト、閲覧したコンテンツを調べることを含む)により、利用者個々の嗜好に合わせた広告を提供することをいいます。

行動ターゲティング広告では、特定のCookieやスマートフォンなどの個体識別情報を識別し、Cookie等に蓄積された情報を取得し、閲覧者をセグメントに分類(ファッションサイトを閲覧していた人、賃貸物件のサイトを閲覧していた人などに分類するなどが考えられる)し、当該セグメントに分 類された閲覧者に合致すると思われる広告を表示させます。

AIを使うターゲティング広告では、無数の顧客変数をアルゴリズムに組み込みセグメント化することや、当該セグメントにどのような広告を表示させるかといった判断をAIが担っています。

昨今では、対象商品の購買実績があるユーザ層の属性データ、購買傾向、価格趣向など多種多少なデータを分析してスコア化し、マッピングすることで、購買実績のないユーザ層の中から近い特性をもつユーザを「購買見込みユーザ」として予測することなども行われています。

行動ターゲティング広告のうち、顧客IDと紐付けるものでは、特定の個人の趣向や状況をいち早く把握し、個別に広告を表示させることも可能となっています。

個人情報・プライバシーに関する問題

行動ターゲティング広告は、さまざまなものがありますが、法律的には、情報が特定の個人と紐付けられているのかいないのかによって分類できます。

特定の個人の識別をしない場合

個人IDなどと紐付けをしていない限り、ターゲティング広告事業者は、Cookie等によって当該閲覧者を識別しているにすぎず、どの特定の個人が当該閲覧をしているのかについては把握していません。

ライフログについては、必ずしも個人を特定するわけではありません。その場合には、個人情報保護法の適用は受けません。

しかし、個人情報ではないライフログについては、行政の文書でも、「個人識別性のない情報であっても、行動履歴等の情報が大量に蓄積されて個人が容易に推定可能になるおそれがあることや、転々流通するうちに個人識別性を獲得してしまうおそれもあることから、現時点で情報に個人識別性がないことをもって、プライバシーとしての保護が完全に失われると考えるのは相当ではない」と述べています。

事業者としては、大量のデータから時に特定の個人を識別することも可能であることに留意し、プライバシーにも配慮するスキームにすることが望ましいといえます。

特定の個人を識別できる場合

事業者が個人情報を取得する場合には、個人情報保護法を守る必要があります。

例えば、以下のような点に注意が必要です。

  • ユーザーに対して、取得する個人情報について利用目的を通知しなければならない
  • 個人情報については、その利用目的の範囲内での利用に限られる
  • 保有する個人情報について安全管理措置が必要となる

5月30日から全面施行!改正個人情報保護法に企業はどう対応すればよいのか【解説記事まとめ】