本文へスキップします。

フリーワード検索 検索

【全】ヘッタリンク
【全・SP】バーガーリンク
画像
さぶたいとる

世界は二次データ処理活性化に向けて動く!
-ESOMAR新ガイドラインの日本語版を公開しました


ISO/TC225国内委員会 委員長 一ノ瀬 裕幸

ないよう
はじめに

ESOMARでは、EUの新個人情報保護法制であるGDPRの施行(2018年5月)を受け、従来の各種ガイドラインを3本に再整理する作業を続けて来ました。今年6月に3本目の「調査のための二次データ処理に関するガイドライン」が公表され、このほど日本語訳が完成しましたのでご案内いたします。

検討開始からかなりの時間を要しましたが、この間に個人データ保護をめぐる国際環境は著しく変化し、クッキーや広告IDをはじめとする個人や端末を特定する技術には大きな制約が課されるところとなりました。私たち調査機関が果たすべき役割は変わりませんが、二次データの量と分析ニーズはますます増大し、関わる機会や処理する範囲・ボリューム等は拡大する一方です。
本ガイドラインでは、調査機関が理解しておくべき原則や責任範囲、法制度の理解等が整理されています。日本ではなじみの薄い概念もありますが、今後の事業拡張を展望するためにも、ご理解のほどよろしくお願いいたします(JMRAでは近日中に説明会を開催する予定です)。

1.「二次データ処理ガイドライン」発行に至る紆余曲折

上述の通り、ESOMARではGDPR施行を機に、それまで十数本に細かく分かれていたガイドライン類の整理・統合に着手していました。しかし、2019年の秋頃には成案に近づいていた3本のガイドライン案は、EU当局から「個人を(絶対に)特定できなくする技術的保証」を求められ、いったん頓挫(継続検討)の憂き目をみます。その後、2020年以降は新型コロナウィルスの国際的な蔓延により、検討そのものが止まってしまっていました。

2021年に入ってようやく議論が再開され、9月に1~2本目となる「注意義務に関するガイドライン:調査対象者保護のために」と、「一次データ収集に携わるリサーチャーとクライアントのためのガイドライン」が公表されるところとなりました。しかし、ニーズの高かった「調査のための二次データ処理に関するガイドライン」は、クッキー規制やApple社/Google社の広告IDに関する対応の動向を見定める必要などがあり、検討が続いていたのでした。
この年月の間、幸いなことに個人の特定につながる情報はプラットフォーマーから入手できなくなる流れが決定的となり、当業界には追い風になったと言ってよいでしょう。

2.「二次データ処理ガイドライン」の特徴

3本のガイドラインは相互に関連しあっており、相互参照の項目も多岐にわたっています。今回は3本目の「二次データ処理ガイドライン」に絞ってご案内しますが、3本まとめてご理解をいただくようにお願いいたします。また、いずれもGDPR施行の影響を強く受けているEU圏の状況を色濃く反映したものになっていることに留意しておくことが必要です。
結果的にたいへん長らくお待たせすることになってしまいましたが、本ガイドラインの基本的な考え方は、検討開始当初から大きくは変わっていません。以下の5点がそのポイントとなっています。

  1. 「調査(目的)のための」二次データ処理ガイドラインであること
  2. リサーチャーを主対象としているが、ユーザーを含む関係者全体の責任性を強調していること
  3. 調査設計の段階から「プライバシー・バイ・デザイン」を考慮すべきこと
  4. 個人データ処理の法的根拠を明確にしておくべきこと
  5. データ主体やクライアントだけでなく、元データの所有者や一般市民に対する責任も強調していること
1. 「調査(目的)のための」ガイドラインである

このガイドラインが対象とする、世の中にあふれている「二次データ」には、多種多様なものが含まれます。しかしそれらを、「調査(目的)のために」使用・分析する際には、このガイドラインが尊重されるべきことを明確にしています。

2. リサーチャーを主対象としつつ、ユーザーを含む関係者全体を拘束する

「二次データ処理」で扱うデータには、所有者が明確でない(判然としない)ケースが多々含まれます。だからこそ、法的・倫理的な責任性の認識が重要であり、リサーチャーはもとより、データ分析に関与するクライアント、データユーザー、データ提供者など、すべての関係者に尊重されるべきことを求めています。

3. 調査設計の段階から「プライバシー・バイ・デザイン」を考慮

日本ではあまり知られていないかもしれませんが、「プライバシー・バイ・デザイン」はGDPRの基本思想のひとつです。調査・分析計画を設計する段階から、いかにプライバシーを守るか、プライバシーが毀損される恐れのある要素を排除するかが考慮されている必要があります。そのための「プライバシー影響評価」や安全対策を実施すべきことが強調されています。

4. 個人データ処理の法的根拠

基本的に日本を含む世界の多くの国々では、調査対象者の「本人同意」をもってデータ処理の正当性を主張してきました。このことは今後も継続されると思われますが、二次データ処理の場合にはその同意取得が極めて困難か、実質的に不可能なことがあります。そのようなケースでは、本人同意取得に代わる法的根拠や、少なくとも組織としての説明方針を明確にしておく必要があります。本ガイドラインでは、今までにEU圏を中心に確立されてきた概念が示されており、参考になります。

5. データ主体やクライアントだけでなく、元データの所有者や一般市民に対する責任も

データ主体(≒ 調査対象者)のプライバシー保護は当然のこととして、クライアントと共有すべき責任の明確化も重要です。また、元データの所有者の権利尊重のほか、一般市民に調査・分析結果が公表される際の責任性についても述べられています。
(このことは、日本で最近問題になっている「No.1」調査への対処にも関連してきます)。

3.今後の対応

国際的に新型感染症に対する規制が緩和され、国境をまたぐデータ分析業務が再び活性化してくると予想されます。本ガイドラインは原則論を中心に述べたものですので、具体的な問題・課題が生じた際のお問い合わせ等はJMRA事務局にお寄せいただくようにお願いします。
今後は具体的な事例(あるいは事故とその対処策)の積み重ねによって、判例的な考え方が出てくるものと思われます。日本でも、実務的な指針を出していけるように検討を進めたいと考えています。

-> 新ガイドラインはこちら (「ESOMAR/GRBNの各種ガイドライン」のページ)


2022.9.15掲載