今日は、午前中にDMPで有名な会社さんと打ち合わせ。ネットのターゲティグ広告に絡んで個人情報保護法のなかなかに悩ましい問題を聞いた。
SNS事業者は、利用者のメアドなどをもとに、ハッシュし各ユーザー毎にユニークなID(AD IDというのかな)を生成している。このIDに紐づく、個人特定情報などは、これを生成したSNS事業者にしかないので、他の事業者は、このIDをもらったところで、個人特定情報を得る事はない。
DMPの会社は、検索連動型広告などは、この広告IDで連結させてリコメンド広告などを表示させている。ここで、DMP側は、あるIDに対応して発信した広告の種類や回数を、SNS事業者にレポートする。この場合、DMP側は、ハッシュタグから個人情報への展開は、当然できない。しかし、この報告を受け取るSNS事業者側が、このIDから個人情報を展開できることは自明だ。
さてさて、この場合は、このDMP事業者が送出する広告IDを含む情報は、匿名化された情報と言えるのだろうか? DMP事業者にとっては、匿名化された情報ではあるが、受けて側にとって匿名性がない事自明であり、受けて側が非匿名化できることを知っていて、それを渡すことになる。
つまり、事業者Aが匿名化したハッシュIDを外部に送出するときは、匿名化情報と言えるけど、それを受け取った事業者Bがそれを事業者Aに送出するときは、それは復号可能な情報になってしまうわけだ。
こうなると、事業者Bは、非匿名化情報を送出したことにならないのだろうか?
こんな広告の話ではじまった1日は、広告業界の業界紙からの取材で終わった。