調査研究ノート(査読付)
ターゲティング広告配信におけるデータクリーンルームの4機能とその個人情報保護法の下での評価
2025 年 9 巻 2 号 p. 63-86
詳細
2025 年 9 巻 2 号 p. 63-86
日本のインターネット広告売上の約半数を占めるディスプレイ広告には、ユーザを識別しての追跡が不可欠である。従来サードパーティクッキーやモバイル広告識別子によって行ってきたユーザの追跡は、近年高まるプライバシー保護の社会的要請によって困難となっている。それに加えて、人々の生活や実店舗のデジタル化が進んだ結果、今やマーケティングデータは識別子や取得主体、取得の文脈等の異なるデータが断片化して並立しており、実務上大きな課題となっている。データクリーンルーム(DCR)はこの断片化したデータを保有者が開示することなく共有し、分析や協業を可能にするものとして近年注目されている技術である。本稿では、ターゲティング広告配信の文脈において、DCRが利用企業に提供する機能を(1)データ拡充、(2)統計・モデル作成、(3)アクティベーション、(4)広告効果測定に分類することを提案する。この4機能について考えられるデータフローを列挙したところ、計23パターンが得られた。そこで23パターンそれぞれにおいて広告主、パートナー、DCRベンダに適用される個人情報保護法上の規律を検討した。その結果、DCRによってユーザデータが開示されないことが保証されていたとしても、個人情報保護法上の義務が免じられるケースがないことがわかった。最後にDCRの4機能すべてを提供するためのデータ移転の検討を行い、DCR参加者いずれもが個人データの第三者提供としてDCR利用に伴うデータ提供を整理する形が適当であることを明らかにした。
Digital display advertising, which accounts for approximately half of Japan's internet advertising revenue, fundamentally depends on user identification and tracking. Traditional tracking methods using third-party cookies and mobile advertising identifiers have faced mounting challenges amid escalating societal demands for privacy protection. Compounding these difficulties, the progressive digitization of both consumer behavior and physical retail has led to severe data fragmentation. Marketing data is scattered across disparate systems, each employing different identifiers, controlled by different entities, and collected in varied contexts. This fragmentation presents substantial operational challenges for marketers and advertisers alike. Data Clean Rooms (DCRs) have emerged as a promising technological solution, enabling collaborative analysis of fragmented datasets without requiring data owners to directly disclose their underlying information. This paper proposes a functional taxonomy for DCRs in the targeted advertising context, identifying four core capabilities: (1) Data Enrichment, (2) Statistics and Model Creation, (3) Activation, and (4) Advertising Effectiveness Measurement. Through systematic analysis, we identified 23 distinct data flow patterns across these four functional categories. We subsequently examined the obligations imposed by the Act of the Protection of Personal Information (APPI) on advertisers, partners, and DCR vendors for each of these 23 patterns. Our analysis reveals a critical finding: even when DCRs provide technical guarantees preventing direct data disclosure, no patterns exist where APPI obligations are circumvented or exempted. Finally, through examining the data transfers necessary to deliver all four DCR functions, we establish that all DCR participants should properly characterize data provision associated with DCR usage as constituting third-party provision of personal data under APPI. These findings have significant implications for DCR implementation and compliance strategies in Japan's digital advertising ecosystem.
現代人の生活には情報が不可欠である。仕事だけでなく家庭生活や余暇や娯楽にも情報、特に電子化された情報が深く入り込んでいる。特に近年の先進国ではスマートフォンの利用の伸びが著しい。2024年の日本人のスマートフォン平均使用時間は1日当たり約162分で前年より約10分増加した2。一方、いわゆる4マスの接触時間はいずれも減少し、差し引き合計するとメディア総接触時間は約433分となった。これは1日の30%に相当し、睡眠時間(1日平均約462分)とほぼ等しい。このメディアを介した情報接触を支えているのが広告である。2024年の日本の広告費は7兆6730億円で前年比104.9%を記録した3。そのうちマス4媒体の広告費は前年比100.9%の2兆3363億円、インターネット広告費は前年比109.6%の3兆6517億円であった。
インターネット広告は大きく検索エンジンの検索結果に連動して表示される「検索連動広告」4と、ウェブサイトやアプリ上に画像や動画の形式で表示される「ディスプレイ広告」に分けられる5。前者は2024年日本のインターネット広告売上の約40%を占める6。検索が行われると、検索語と関連するキーワードに関するオークションが開催される。広告主が予めキーワードに対する入札戦略を指定しておくことで、入札金額や広告文、ランディングページ7の情報を入札し、一定以上の評価を得た広告が表示される仕組みである8。後者はインターネット広告売上の約54%を占める9。ユーザの属性や関心、コンテンツの内容等に基づいて適切な広告を選択してユーザがアクセスした媒体の広告枠に配信を行う。配信にはアドネットワーク、アドエクスチェンジ、DSP(Demand-Side Platform)、SSP (Supply-Side Platform)といった数多くの事業者が介在している10。
ディスプレイ広告では、誰にどの程度の頻度や回数でどのクリエイティブ11を表示するかを制御し、広告がユーザにどのような行動を喚起したか測定するため、ユーザを識別して追跡する必要がある。ウェブでは主にクッキー、アプリではスマートフォンOSが提供するモバイル広告IDによる追跡が一般的であった。特に広告配信事業者が発行するサードパーティクッキーがその中心的役割を果たしてきた。
しかし近年、プライバシー保護への社会的関心が高まることで追跡のための技術への制約が強化されている。サードパーティクッキーを例にすれば、AppleはウェブブラウザSafariにおいて2017年に制限を開始し2020年には完全にブロックするようになった12。Firefoxは2018年に13、MicrosoftのEdgeも2020年にサイトをまたいだトラッキングをブロックするようになった14。自社収益の多くを広告に依存するGoogleもChromeでのサードパーティクッキー廃止計画を2020年に発表したものの、3度にわたって延期し、2024年7月には廃止計画そのものを廃止した15。ただしGoogleもサードパーティクッキーへの依存を減らすことを模索している16。
これに加え、スマートフォンでのアプリ利用拡大、プラットフォーム事業者やECサイト等クローズドなエコシステム(ウォールド・ガーデン。以下、「WG」という。)の伸長、店舗来店や購入等オフラインデータの充実といった環境変化により、マーケティングデータは識別子や管理主体が異なるものが並立する断片化が著しい。その結果、追跡やターゲティングの精度が低下し、最適化や効果測定が困難となっている。それを解決すべく、異なる主体が保有するデータを適切に統合して分析や配信を行う仕組みが求められている。
データクリーンルーム(以下、「DCR」という。)は、このマーケティングデータの断片化を解決するものとして近年注目されている技術である。世界的なオンライン広告業界団体Interactive Advertising Bureau (IAB)とIpsosによる広告主、媒体、広告代理店へのオンライン調査によると、203社の回答企業のうち2022年時点で64%がDCRを利用中と回答している17。わが国でのDCRの普及の程度は明らかでないが、グローバルなWGだけでなく複数の国内企業がDCRの提供を行っており、今後普及が進むと考えられる。
一方でDCRに関する公的機関やアカデミアによる中立的な検討は世界的に見ても十分とはいえない。数少ない例外がHerbrichやJindalによる論文と米連邦取引委員会(FTC)によるブログである。Herbrichの論文は、DCRをWG型と中立型に分類し、GDPRに照らしてステークホルダが共同管理者・処理者のいずれに該当するか、処理の根拠は同意と正当な利益のいずれか等の検討をしたものである18。Jindalによる論文は、DCRについて概念やステークホルダの整理、データプライバシーやセキュリティ上の利点、法的・倫理的な課題を総覧している19。FTCは、DCRはデフォルトでプライバシーを守ることはできず、トラッキングピクセル同様のプライバシー上の問題を惹き起こすと警告するブログを2024年に公開した20。当該ブログでは、DCRの利用がプライバシー上の問題を曖昧にさせることや、データ拡充により個人の識別とトラッキングが容易になること、DCRの利点であるさまざまな制約はDCRベンダと利用者が適切に設定しなければ機能しないことを指摘している。
これ以外のDCRに関する文書はDCRベンダや業界団体によるものに限られている。前者は自らが提供する機能の紹介にとどまっている上に、「プライバシーとデータ利活用の両立」を謳うものの、様々な側面を持つプライバシーのうちDCRが対応するのはどれなのか、そしてデータ保護法との関係といった点への言及は見られない21。業界団体の文書も総論的なものにとどまるものが多い中22、IABやIAB Tech LabによるものはDCRの法的位置づけや限界、制約について触れており注目に値する23。前者はDCRの構成をパターン分けした上で、米国のいくつかの州のデータ保護法で規制される個人情報の「販売」にDCRの利用が該当するかを検討している。結果、DCRでの処理も個人情報の処理であり、プライバシー強化技術(PETs)を使っても非識別化は保証されないことや、DCRを用いても州法で規制される「販売」に該当する場合があり、法の適用を免れることはできないことを指摘している。後者はDCRに参加するすべての事業者が信頼できる必要があり、それを担保するためにデューデリジェンスが必要なこと、関係者間で後述するID単位での突合のために用いるIDやその突合の方法、データのクレンジングや正規化の水準のすり合わせが必要なこと等を指摘している。そしてDCRベンダを選ぶ際には、コストやスピード、連携可能なデータの幅広さといったビジネス的側面だけでなく、候補ベンダが想定しているプライバシー攻撃モデルとそれに対応するPETsの適正さや、越境データ対応といった点も利用組織が注意深く検証することを勧めている。
DCRによるマーケティングデータ断片化の解決は、データ取得時の文脈を越えた利用と表裏一体であり、それに基づく決定がデータ主体への不意打ちになる蓋然性が高い。にもかかわらず、DCR特にその法的な位置づけを論じた文献は、日本での利用を前提にしたものは目下存在しないし、そもそもDCRによって何が可能になるのかの整理すら存在しない。つまり不意打ちの危険を孕むサービスが法的位置づけも曖昧なまま普及し始めているのが日本の現状といえる。こうした状況を改めるべく、本稿では広告の文脈下におけるDCRについて機能の整理を行い、それぞれの機能に対して個人情報の保護に関する法律24(以下、「個情法」という。)の下でどのような規律が適用されうるか検討する。第2節では本稿のスコープと分析法について触れる。続く第3節でDCRの概要と、その機能が(1)データ拡充、(2)統計・モデル作成、(3)アクティベーション、(4)広告効果測定の4つに分けられることを提案する。第4節ではDCRに関係する法として個情法と電気通信事業法を取り上げ、続く分析に必要な個情法上の規律を整理する。第5節ではDCRの4機能それぞれについて考えられるデータフローを列挙し、それぞれにどのような規律が適用されるか検討する。第6節では第5節の結果をまとめ、4機能すべてを備えたDCRを可能にする方法を検討する。第7節でまとめを行い、今後の展望に触れる。
本稿ではオーディエンスターゲティング広告を代表とした広告領域の利用を前提にDCRの機能分類と法的評価を行う。その理由としては、(1) 執筆時点でDCRのベンダや事業利用例のほとんどが広告に関わるものであり25、(1a) 既に幅広いDCRの利用パターンが存在し、他領域での利用パターンは広告領域のそれの亜種として包摂されうること26、(1b) 広告領域での用途は仮想的なものではなく市場でニーズがあるものであること、(2) 特にオーディエンスターゲティング広告では、DCRを用いることがデータ主体に配信される広告の変化という形で可視化されるため、プライバシー上の問題として表面化する可能性を多分に孕むことが挙げられる。
データ保護法とDCRとの関係については上記HerbrichやIABが触れてはいるが、その議論を日本にそのまま持ち込むことはできない。GDPRと個情法との間ですら、相互の十分性認定はあるものの、制度の内実に大きな違いがあるためである27。DCRとの関係で特に重要な差異は、GDPRの下では処理が適法であればその一連の処理の中で事業者の境界を越えることがあっても特段追加の義務が生じないのに対し28、個情法では全体で見れば1つの目的のための処理だったとしても、個人データが事業者の境界を越える場合には様々な義務が生じるというものである。結果、GDPRの下でのDCRは特定目的の処理の適法化根拠、参加者の管理者/処理者該当性や責任の割当て、当該処理とデータ主体の合理的期待との関係といった論点に焦点が当たり、処理の具体的な実装パターンの違いは結論に必ずしも影響を与えない。一方、個情法の下ではどのようなデータがどのような位置づけで移転し提供されるのかが議論の中心となる。例えば仮に個人データが移転しても委託やいわゆる「クラウド例外」の場合は義務が生じないなど、一連の処理の中での個々の移転それぞれでの場合分けなくしてDCRの法的位置づけを論じることはできない。
なお本稿では、IABが行ったDCR参加者間でのデータの移転パターンを分析の第一の分類軸とするのではなく、DCRによって可能となる用途の分類を行った上で、それぞれの用途の中でDCR参加者間データ移転パターンの場合分けを行う形を採用する。その理由は、第一には本稿の貢献のひとつが現在後景に退いている「なんのためにDCRを利用するか」を改めて整理した点であるため、それに合わせた議論を行うのが自然だからである。また、用途にまず着目する形の議論は処理ごとに適法化根拠を求めるEUでの議論と平仄が合うだけでなく、現在個情法の見直し論点の1つに、統計情報作成を前提にした個人データの突合に係る規制緩和があり、日本にも処理に着目した規制に向かう兆しも見られるためである。
DCRについてIABの技術部門IAB Tech Labは「オンライン広告エコシステムのあらゆるステークホルダに安全なデータ共有を可能にするソリューション」と紹介している。そしてそれを利用することで、(1) データに利用目的制限をかける、(2) 組織のプライバシーポリシー遵守を支援する、(3) 媒体のオーディエンス価値を最大化する、(4) 自社データを開示・共有せず価値を引き出す、(5) 分析プロセスの中でデータに変更・操作されないことを保証する、といったことが可能としている29。他のDCRベンダ等も類似したメリットを謳っている30。それらを総合すると、DCRとは「参加する組織が自らのデータを開示・共有せずに統合し、分析やデータの利用を可能にする隔離された環境」ということができる。
DCRの嚆矢は2017年にGoogleが発表したAds Data Hubとされる31。AmazonやMeta、TikTok、LINEヤフーといったWGも自らのユーザのデータとクライアントデータとの統合を謳うDCRを提供している(WG型DCR)。それ以外にHabu、LiveRamp、InfoSum、Snowflakeといった事業者は、自らユーザデータを持たず、広告主と媒体のデータ連携を支援するDCRサービスを提供している(中立型DCR)。それぞれのDCRを利用する際のデータの保有のされ方を図1に示す。それぞれのデータホルダが自らの個人データを仮名化した上でDCR領域にアップロードし、統合を実施する者でもデータ内容にアクセスできない領域で統合が行われる点は共通している。
ターゲティング広告の配信とは本質的には、広告主が指定したターゲットに対し、ひとりひとりのターゲットに適した広告表現を、媒体が表示することである。これを実現するため、実務では典型的には以下のような手順を踏む。(1) 広告主は広告出稿に先立って、マーケティングデータを収集する。(2) 集めたデータに基づいてターゲットを選定する。ターゲットは識別子により直接選定される場合もあれば、該当非該当を判断する条件や統計モデルによって選定される場合もある。(3) 開発したターゲット選定法を媒体に渡して配信を行わせる。(4) 媒体は広告主に配信の結果を報告する32。DCRに関する既存の文書等を総覧すると、上記4つすべてのステップにDCRが貢献しうることがわかる。それぞれに係るDCRの機能を (1) データ拡充、(2) 統計・モデル作成、(3) アクティベーション、(4) 広告効果測定と呼ぶこととし、以下それぞれについて概観する。
DCRとの関係で個情法上着目すべき情報は個人データと個人関連情報である。個情法では、保護の対象となる個人情報を生存する個人に関する情報であって、その記述等により特定個人を識別できるものとしている(個情法2条1項)。そして個人データとは、個人情報を含む情報の集合物であって、特定個人を検索できるよう体系性を持たせた個人情報データベース等に含まれる個々の個人情報を指す(個情法16条3項)。個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものをいう(個情法2条7項)。
個人データの取扱い上DCRと関係が深い規律は第三者提供に係るものと委託に係るものである。第三者提供に係るものとしては、原則として予め本人の同意を得ること(個情法27条1項)、受領者は提供される個人データの取得の経緯等の確認(個情法30条1項)、授受を行った双方が相手方氏名等の記録・保存を行うこと(個情法29条1項及び30条3項)がある。ただし、本人同意原則の例外としてオプトアウト方式も認められる(個情法27条2項)。また、個人データを第三者に提供することが想定される場合には利用目的としてその旨を特定する必要がある35。更に、個人データが外国(ただしわが国から十分性認定を受けている国または地域を除く)にある第三者(ただし「相当措置」を講じる体制を整備している者を除く)に提供される場合には当該第三者が存する外国における個人情報保護制度等の情報を本人に提供した上で本人からの同意を得なければならない(個情法28条)。以上の第三者提供に係る授受双方に課される規律を以降、「規律[27]」と表す。
委託に係る規律としてはまず委託元は委託先に対し必要かつ適切な監督を行う義務がある(個情法25条)。委託先が外国の第三者である場合は個人データの外国第三者への提供に係る規律と同じものが適用される。これらを以降「規律[25]」と表す。また、委託先は自らが独自に取得した個人データまたは個人関連情報を、委託の枠内で、委託された個人データに本人ごとに突合することはできない36(これを以降「規律[7-41A]」と表す)。ただしこの突合は、委託元から委託先への第三者提供と整理して委託元が規律[27]に対応した場合または委託先が本人から同意を取得すれば可能である37(これを以降「規律[7-41B]」と表す。)。複数の者から個人データの委託を受けている委託先が、それぞれの個人データに含まれる本人ごとに突合することもできない38(これを以降「規律[7-43]」と表す。)。
DCRとの関係で個人関連情報の取扱い上特に着目すべき規律は、個人関連情報を個人データとして取得するときに係るものである。このとき、受領側は個人関連情報の提供を受けて個人データとして取得することを認める旨の同意を本人から得る必要があり(個情法31条1項)、提供側はそれを確認せずに当該個人関連情報を提供することはできない(個情法31条柱書)。これを以降「規律[31]」と表す。
また、ターゲティング広告一般に係る規律として、「本人から得た情報から、本人に関する行動・関心等の情報を分析する場合39」いわゆるプロファイリングを行う場合には、個情法17条1項により個人情報の利用目的として特定しなければならない40。これを以降「規律[17]」と表す。
4.2.電気通信事業法2022年6月の電気通信事業法改正によって、インターネット広告のトラッキングを可能にするタグや情報収集モジュールに新たな規律が設けられた(電気通信事業法27条の12。外部送信規律)。これはウェブサイトやアプリケーションを利用する際に、ユーザがアクセスしたページに埋め込まれたタグや情報収集モジュールによって、ユーザの端末が第三者のサーバに情報を送信すること(外部送信)を問題視したもので、こうした外部送信に関する情報をユーザが確認できるようにする趣旨の規律である41。外部送信規律の対象となるのは例えばソーシャル・ネットワーキング・サービス、検索エンジン、ECモールなど、電気通信役務自体が事業目的となる事業者である。DCRとの関係では多くのWGが対象になるであろう。一方、電気通信役務を手段としてのみ利用する事業者は規律の対象とならない。自社ECサイトの運営者や自らの情報発信のためホームページを運営する企業・個人等が該当するため、広告主には外部送信規律が適用されないと考えられる。外部送信規律が適用された場合には、送信される利用者情報の内容、送信先の氏名または名称、送信される情報の利用目的を通知または公表する必要がある。
外部送信規律はDCRを利用せずともインターネット広告に関わっている事業者であれば広告主を除き広く適用されるため、DCR特有の問題を論じる本稿では外部送信規律に係る義務についての言及は省くこととする。
DCRの機能ごとの法的評価に際し、広告主、パートナー、DCRをそれぞれA、P、Dと表記する。WG型DCRの場合はPとDが同一となる。広告主データセット、パートナーデータセットをそれぞれa、pと表し、aやpに含まれるデータの内容を明らかにする必要があるときには、丸括弧で囲んで追記する。その際、ID(ハッシュ化等の変換を施したものも含む。以下同様。)はID、顧客の属性情報(関心や行動も含む)はAtと表す。例えば、a(ID)はAの顧客IDリストであり、p(ID, At)はPの顧客IDとそれに紐づく属性のリストである。加えて、データセットの保有主体を明らかにする必要がある場合には、データセットの右に上付きでaA(Aが保有しているaを表す)やpD(ID, At) (Dが保有しているp(ID, At)を表す)のように表記する。また、以下の前提をおく。(1) aやpは、DCRに用いるためA及びPが自社顧客データセットのうち氏名等の直接識別子を除いて作成してDCRにアップロードしたものである(図1参照)。(2) ただし、aやpは元の顧客データとの容易照合性が存在するため、いずれも個人データである。なお紙幅の都合上、以降の分析は中立型DCRを主に扱い、WG型DCRは補足的に触れるに留める。
5.1.データ拡充データ拡充はp(ID,At)に処理Drvを施してp(ID,At’)を作り、a(ID,At)と突合することによって実現される。従って、処理Drvを行う者(PまたはD)と突合を行う者(DまたはA)によって場合分けする。突合をDが行う場合は、Pが処理Drvを行う「処理後提供型」とDが処理Drvも行う「処理前提供型」に分かれる42。Aが突合を行う場合はPが処理Drvを行う「直接提供型」のみである(図2)43。
データ拡充の法的評価のためには、更に処理DrvとP→Dのデータ移転(以下「P→D移転」という。)における容易照合性によって場合分けが必要である。まず処理後提供型を考える。
同様に処理前提供型は、
直接提供型は、
以上をまとめると、すべてのパターンにおいてAには個人データの第三者提供または個人関連情報の個人データとしての取得が起きるため、規律[27]または規律[31]が適用されることがわかる。なお、WG型DCRの場合はP=Dなので、中立型DCRのパターンすべてが直接提供型に収斂することになる。
5.2.統計・モデル作成統計・モデル作成への法的評価は、モデル作成に用いるデータによって3つに分かれる。(a) AがaA(At)のみを用いる場合、(b) a(ID, At)とp(ID, At)とをID単位で突合した擬似シングルソースデータを用いる場合、(c) ID単位での突合を行わず、AがaA(At)を用いてモデルを作成し、そのモデルをPに提供して、PがpP(At)を用いて追加学習を行う場合である。ただし、(a)は通常の広告配信のセグメントの作成と変わるところがなく、DCR固有の論点がないため検討を省く。(c)はaA(At)からのモデル作成は統計情報等の作成に該当するため利用目的に記載の必要はなく、またPへの提供にも制限はない。PがそのモデルとpP(At)を使って追加学習を行うことも統計情報等の作成に該当すると評価でき、(c)の形でモデルを作ることに個人情報保護法による義務が課されることはないと考えられる。そのため以降は(b)に絞って検討する。
まず、Dが突合と学習を行うパターンとPまたはAが行うパターンに分けられる。前者の場合、規律[7-41B]よりA→D移転とP→D移転の少なくとも1つは個人データの第三者提供である必要がある。したがって次の3パターンがありうる。
後者はいわゆる「クラウド例外」によりDは突合・学習環境を用意するが自らはデータを取り扱わない場合である。提供元と提供先が逆転するがいずれの場合でもAP間で直接個人データの提供が行われるため規律[27]が適用される。学習されたモデルは統計情報なので移転に際して個情法上の規律は適用されない。以上をまとめると図3のようになる44。なお、WG型DCRではD=Pなので「A内学習型」「P内学習型」のみが可能で、同様に規律[27]が適用される。
なお2025年9月現在、個人情報保護法の今後の検討点の1つとして「特定の個人との対応関係が排斥された[...]統計作成等の作成にのみ利用されることが担保されていること等を条件に、本人同意なき個人データ等の第三者提供[...]を可能と」する検討を個人情報保護委員会が行っている45。本節で論じている統計やモデルはまさに特定個人との対応関係が排斥された統計情報等に該当するため、今後の法改正によっては本人同意を得ることなく作成できる可能性がある。この改正は、得られた情報が個人への決定に用いられない一般的な統計的知見であれば本人に驚きを与える可能性も低いため進めるべきと筆者は考える。一方で、得られたものが個人への決定を左右する場合には、5.4.で述べる「モデルを介した情報移転」の問題が発生する可能性があるため、決定の理由等を本人が容易に知りうる状態にするといった措置を検討することも考えられる46。
直接アクティベーションのためにはa(ID)とp(ID)を照合する必要があり、照合の場はDかPがありうる。前者の場合は規律[7-41B]よりA→D移転とP→D移転の少なくとも1つは個人データの第三者提供である必要がある。したがって次の3パターンがありうる。
後者はクラウド例外による直接提供型で、規律[7-43]により委託では不可能なので、個人データの第三者提供による1パターンに収斂し、AとPに規律[27]が適用される。
以上をまとめて直接アクティベーションが可能なデータフローを図示したものが図4である。委託による提供の場合はDに移転しても主体は提供元のままであることに注意されたい。どのパターンであってもAは第三者提供を行うこととなり規律[27]に対応する必要があるのに加え、DやPにもデータフローの設計ごとに異なる規律が適用されることがわかる。なお、WG型DCRの場合はP=Dなので直接提供型になり、規律[27]が適用される。
間接アクティベーションでは5.2.で作成されPに提供されたモデルmをPがp(At)に適用してターゲット有望度を推定し、広告配信の可否を決める。これはいわゆるプロファイリングに該当するため規律[17]が適用される。一方これはPによるデータの内部利用に過ぎず、移転や突合に係る規律は適用されない。
ただしここで行われるプロファイリングは、各社が自社保有のデータのみに基づいて行うものとは異なる性質を持つことに注意が必要である。それはモデルがa(At)とp(At)両方に基づいて作られるため、a(At)が持つ情報がモデルに埋め込まれている点である。そのため、ユーザから見ればAしか知らないはずの自分の情報をPが知っているように感じる可能性がある。例えば、次のようなケースが考えられる。「Uには幼い子どもがいる。またUは育児雑誌Kを購読しており、Kのサイト上で育児に関する情報を得たり、K主催の会員向けイベントに参加もしている。一方Uはソーシャル・ネットワーキング・サービスSにアカウントを持っているが、こちらでは子どもの存在を示唆する言動はまったく行っていない。あるときKが広告主、Sが媒体としてDCRを通じて、Kが開発した商品Iの潜在顧客を判定するモデルを作成したとする。モデルの性能が十分高ければUはIの潜在顧客と判定され、Iの広告がUの閲覧するS上に表示される。Uにとっては、子どもの存在を秘して活動していたはずのSに自身が購読するKが開発したIの広告が表示され、驚きを覚えるであろう。」この問題は異なる文脈のデータに基づいて学習したモデルを使ってプロファイリングを行う場合常に発生しうるもので、DCR特有の問題ではない。だがDCRによるモデル作成は2つのデータセットを本人ごとに突合するため、得られるモデルの性能は一般的なものより高くなると想定される。したがってDCRにおいてこの「モデルを介した情報移転」の問題は顕著になる懸念がある。
モデルを介した情報移転については、現時点では規律の議論はない。例えば個人情報保護委員会は、統計作成等に限る第三者提供の同意義務の緩和に関して、得られた統計情報等をどのように使うのが適当かについては言及していない50。一方、個人情報保護委員会事務局メンバーはこの義務の緩和に関し「統計作成のためと言いながら、裏でターゲティング広告に使うことは許容されない」と発言している51。これは少なくとも統計作成を謳いながら実際には統計を作成せず直接アクティベーションを行うことを否定していることは確かである。一方、実際に統計(モデル)を作成し、そのモデルをターゲティング広告の配信に用いる間接アクティベーションまで否定する意図があるのかは明らかではない。しかし、本人にとって見れば、Aのみが知るはずの情報に基づいた決定が下されうるという点では直接アクティベーションも間接アクティベーションも変わるところはない。こうした本人の合理的期待を超えるデータに基づく決定に対しては、単なる統計的知見の作成・提供とは別に、決定の根拠となった主な情報の内容や保有者等を本人が容易に知りうる状態にするといった規律もありうる52。
5.5.広告効果測定広告を配信したことによる実績データをAcで表すと、広告効果測定ではDにおいてa(ID, At, Ac)とp(ID, At, Ac)とをID単位で突合して擬似シングルソースデータを作成し、これにDが提供する環境下で分析を加える形となる。分析の結果は、ID単位または小サンプル単位の集計は出力されないことが保証されているため、「個人との対応関係が排斥された統計情報」に該当する。したがって広告効果測定の法的評価は5.2.統計・モデル作成で検討したものと実質的に同じになる。すなわちDへの移転が双方第三者提供のもの(両提供型)と第三者提供と委託の組合せ(D突合・P提供型及びA提供型)、そしてクラウド例外によるA-P間直接の第三者提供(直接提供・A内突合型とP内突合型)である(図5)。図5からはすべてのパターンでAまたはPに規律[27]が適用されることがわかる。なおWG型DCRではD=Pなので「A内突合型」「P内突合型」のみが可能で、同様に規律[27]が適用される。
ただし、広告効果測定の場合はモデル作成と違って得られた分析結果がターゲティング広告配信に使われることは想定されないため、現在検討されている統計作成等に限る第三者提供の同意義務の緩和が適用される可能性は、モデル作成よりは高いであろう。
前節でDCRの機能ごとに法的評価を加えた結果として、中立型DCRの場合のデータの移転に伴う義務をまとめたものが表1である。これらからは、DCRの4機能のいずれを提供するかによって、可能な法的構成が限られることがわかる。機能によって対応すべき規律が異なる状態は実務上煩雑であるため、提供する機能すべてをカバーできる構成を採用するのが望ましい。情報の移転を伴わない間接アクティベーションを除く4機能すべてを提供しようとするならば、中立型DCRであれば、Dはaやpを取り扱わないことを保証してすべてA-P間の第三者提供として整理する直接提供型を採用することとなろう。
| 機能 | パターン | 小区分 | A | D | P |
|---|---|---|---|---|---|
| データ 拡充 |
処理後提供型 | イ | [25(A→D)] [27(D→A)] |
[25(A→D)] [27(P→D)] [27(D→A)] |
[27(P→D)] |
| ロ | [25(A→D)] [31(D→A)] |
[25(A→D)] [27(P→D)] [31(D→A)] |
[27(P→D)] |
||
| ハ | [25(A→D)] [31(D→A)] |
[25(A→D)] [31(D→A)] |
- | ||
| 処理前提供型 | ニ | [25(A→D)] [27(D→A)] |
[25(A→D)] [27(P→D)] [27(D→A)] |
[27(P→D)] |
|
| ホ | [25(A→D)] [31(D→A)] |
[25(A→D)] [27(P→D)] [31(D→A)] |
[27(P→D)] |
||
| ヘ | [25(A→D)] [31(D→A)] |
[25(A→D)] [27(P→D)] [31(D→A)] |
[27(P→D)] |
||
| 直接提供型 | ト | [27(P→A)] | - | [27(P→A)] | |
| チ | [31(P→A)] | - | [31(P→A)] | ||
| 統計・ モデル 作成 |
D内学習 | 両提供型 | [27(A→D)] |
[27(P→D)] [27(A→D)] |
[27(P→D)] |
| P提供型 | [25(A→D)] |
[27(P→D)] [25(A→D)] |
[27(P→D)] |
||
| A提供型 | [27(A→D)] |
[25(P→D)] [27(A→D)] |
[25(P→D)] |
||
| 直接提供 | A内学習型 | [27(P→A)] | - | [27(P→A)] | |
| P内学習型 | [27(A→P)] | - | [27(A→P)] | ||
| 直接アクティベーション | 両提供型 | [27(A→D)] |
[27(P→D)] [27(A→D)] [31(D→P)] |
[27(P→D)] [31(D→P)] |
|
| A提供型 | [27(A→D)] |
[25(P→D)] [27(A→D)] |
[25(P→D)] |
||
| P提供型 | [25(A→D)] [27(A→P)] |
[27(P→D)] [25(A→D)] |
[27(P→D)] [27(A→P)] |
||
| 直接提供型 | [27(A→P)] | - | [27(A→P)] | ||
| 間接アクティベーション | - | - | [17] | ||
| 広告効果測定 | D内突合 | 両提供型 | [27(A→D)] |
[27(P→D)] [27(A→D)] |
[27(P→D)] |
| P提供型 | [25(A→D)] |
[27(P→D)] [25(A→D)] |
[27(P→D)] |
||
| A提供型 | [27(A→D)] |
[25(P→D)] [27(A→D)] |
[25(P→D)] |
||
| 直接提供 | A内突合型 | [27(P→A)] | - | [27(P→A)] | |
| P内突合型 | [27(A→P)] | - | [27(A→P)] |
しかしこのパターンではDがデータを取扱うことができないため、事業形態によっては採用できない場合も考えられる。そのような場合には、取扱う情報が個人情報か個人関連情報かの判断は事業者に任されていることを踏まえ53、処理Drv及び第三者提供前後での容易照合性を否定できたとしても、得られたデータを個人関連情報ではなく個人データとして取扱うことが考えられる。これにより、表1の[31]をすべて[27]に置き換えることができる。すると、データ拡充を除く3機能を両提供型で実現できることがわかる。一般論としては個人データに係る規律は個人関連情報に係る規律に比べて幅広いため、規律[31]ではなく[27]を選択することは対応のコストを高めることにつながり合理的とは言えない。しかし、機能によって対応すべき規律が異なることでステークホルダが負担するコストと比べ、どちらの負担が大きいかは必ずしも明らかではない。更に現在、個人関連情報について「このような[特定の個人に対して何らかの連絡を行うことができる]記述等が含まれる個人関連情報について、個人の権利利益の侵害につながる蓋然性の特に高い行為類型である不適正利用及び不正取得に限って、個人情報と同様の規律を導入すること」54の検討が行われている。DCRの利用は「個人の権利利益の侵害につながる蓋然性の特に高い行為類型」と直ちには言えないので、この検討の影響を受けることはないと考えられる。だが、そもそも個人関連情報に関する規律はいわゆる「リクナビ事件」を受けて導入されたものとされ55、その導入は弥縫的で理論的一貫性を欠くとの批判がある56。上述の特定個人への連絡可能な個人関連情報の規律の検討はまさにその証左といえ、今後個人関連情報に関わる何らかの問題が発生すれば追加で規律が導入される可能性は否定できない57。それであれば、予測可能性の高い規律を選択することも実務上ありうる58。
なお、データ拡充の「処理後提供型」「処理前提供型」ではAがDに拡充を委託するため規律[25]が適用されるが、これを第三者提供とすることも考えられる(脚注42参照)。より「重い」規律[27]が課されることになるが、パターン(イ)(ニ)の場合、既にD→A移転に課されている規律[27]への対応と統合できるメリットがある。他の(ロ)(ハ)(ホ)(ヘ)でも前述の個人関連情報の個人データとしての取り扱いを選択することで規律[31]を[27]に置き換えているのであれば同様である。
結局、4機能すべてを備えたDCRを実現するためには、個人関連情報や委託といった特別な規定を用いず、すべての移転を個人データの第三者提供として整理するのが総合的に見て合理的であることが示唆される。
本稿では、プライバシー保護と両立する形でマーケティングデータの断片化を解決する技術として普及しはじめているDCRについて、広告領域での利用を前提に個情法上の検討を行った。まず、DCRが利用企業に提供する機能を(1)データ拡充、(2)統計・モデル作成、(3)アクティベーション、(4)広告効果測定に分類し、それら4機能で考えられるデータフローを列挙し、計23パターンを得た。続いて23パターンそれぞれにおける広告主、パートナー、DCRベンダに適用される個情法上の規律をデータ提供に重点を置いて検討した。その結果、DCRによってユーザデータが開示されないことが技術的に保証されていたとしても、関係者のいずれかまたはすべてに規律[27]、[31]、[25]いずれかの規律が適用され、個情法上の規律が免除されるパターンがないことがわかった。また、4機能すべてを提供するDCRで採用しうる法的構成は、WG型DCRの場合は「広告主とDCR双方を個人情報取扱事業者としてデータの提供を第三者提供とする」パターン、中立型DCRの場合は、「広告主、パートナー、DCRベンダすべてを個人情報取扱事業者とし、それぞれの間でのすべてのデータ提供を個人データの第三者提供とする」パターンと「広告主とパートナーを個人情報取扱事業者とし、DCRベンダはいわゆる『クラウド例外』が適用される状態で、広告主とパートナー間でのデータ提供を第三者提供とする」パターンの2つが考えられることを示した。
本稿はDCRについて網羅的な場合分けを試みた結果、すべての移転を個人データの第三者提供と整理するのが合理的であるという「愚直な」結論を得た。筆者はこの結論を、いわゆる「デジタル敗戦」の巻き返し策としてデータ連携の必要性が叫ばれる昨今のわが国に示唆を与えるものと考えている。というのも、個情法は必要な連携を妨げるものとしてしばしば名指され59、DCR以上に高度な技術や技巧的な法解釈で義務が適用されない連携を模索する動きが見られるからである。しかし5.4で述べた通り、データ主体から見れば、自らの合理的期待を越えたデータ連携が行われ、それに基づく決定が下されることこそが問題であって、法の適用の有無は副次的な問題でしかない。なぜ法が適用されないかの微視的な理由など言うまでもない。そうした技術や技巧に依拠したデータ連携が跋扈し、法がそれを掣肘できないとなれば、企業や法への消費者の信頼が揺らぎ、データ社会の実現は却って遠のくことになろう。翻って本稿の結論は、技巧頼みの方策が実務上も非合理的となることを例示するものである。愚直故に消費者にも理解しやすいため、驚きを与える可能性を下げることにもつながる。DCRについても、こうした愚直な形での実装こそが望ましいのではないか。
加えて、同じデータに基づいて同じ目的の処理を行うにもかかわらず、どの中間データを誰に移転するかという形式的側面によってDCRに係る処理の法的位置づけが変わること自体が適当かには疑問がある。法的位置づけに幅があることによって、あるDCRはすべてを個人データの第三者提供で整理し、別のDCRは個人関連情報に係る規定への対応が必要といった断片化がもたらされうる。そもそもこの遠因は、個情法の規制が事業者を単位にしていること(第2節参照)に加え、個人データや個人関連情報のように、課される義務の異なる複数の保護対象が並立していることにある。EUのGDPRは処理単位で規制が行われている上に保護対象情報は個人データのみであるため、処理を構成する操作や中間データが変わったとしても処理そのものの法的位置づけは変わらない60。今後、複数事業者が経常的にデータを連携する事例はDCRに限らず増えると考えられる。個情法の事業者単位の構造が現実にそぐわない場面が増えるのならば、処理単位での規制に移行することも視野に入れる必要がある。
なお、本稿で触れることのできなかった論点としてはまず、諸外国のデータ保護制度の下でのDCR評価との比較がある。もとよりインターネット広告はステークホルダが世界中に分散しながら協力して機能を実現させている。DCRも例外でなく、その多くが外国企業によって開発・提供されている。それらのベンダが前提とする法制度はまちまちであるため、外国で機能提供を可能にするデータフローが日本では適法にならない場合やその逆、更に、ある法域の下では思いもよらない点が別の法域で問題になることが起こりうる。DCRに限らず外国ベンダのソリューションを導入する際にはついて回る問題ではあるが、実務上は重要な問題である。特に欧州司法裁判所によるMeta Platforms Inc v Bundeskartellamt判決は、収集の文脈の異なる個人データを統合することはデータ主体の合理的期待を超えるため、文脈ごとに同意取得が必要としている61。DCRが異なる文脈の個人データを統合することを踏まえると注意深い分析が必要である。更に、WG型DCRへの適用も考えられるデジタルサービス法や2025年11月に発表されたGDPR改正を含むデジタルオムニバス案など、DCRを利用する際には各国・地域の様々な法令に目配りが必要と考えられる。
もう1つ本稿で触れることのできなかった論点が、DCRベンダが採用するPETsがDCRの機能や法制度対応にどのように寄与しているかの検討である。DCRベンダはプライバシー保護とデータ共有・協業を両立するため様々なPETsを採用している62。しかしIAB Tech LabがDCRガイドでも指摘した通り、1つ1つのPETは特定のプライバシー攻撃を防ぐもので、プライバシー上の問題をすべて解決する「銀の弾丸」ではないし、今回の分析からわかるように技術の導入が自動的に法令遵守をもたらすとは限らない。5.4で論じたようにDCRにはユーザを驚かせる要素を持つため、法令上の義務に限定することなくプライバシー全般に視野を拡げてPETsを採用したDCRが解決する問題と解決しない問題を見極め、後者については別の手当てを模索する必要があろう。
インターネット広告にはプライバシー上の問題だけでなく、ディスインフォメーションやフィルターバブルを助長しているという批判がある63。しかし冒頭に述べた通り、広告は現代人の情報生活を支える不可欠なインフラであり、そのエコシステムにおいてインターネット広告の占める割合は無視できるものではない。そして広告は、人々により優れた商品・サービスの情報を届ける経済の潤滑油としてだけでなく、その収益によりメディアの経営を可能とし、ひいては人々の知る権利を支える機能も担っている。広告モデルに替わるメディア収益モデルは未だ模索中であるため、広告の重要性が下がることは当面考えにくい。だとすれば、インターネット広告に様々な問題があるからといって、そのすべてを捨てることはできない。個々の問題を特定した上で、解決や適正化をする必要がある。そのためには、技術やビジネスの変化のスピードが激しい領域ではあるが、実態に即したきめ細やかな分析を適時に行い、合理的な解決策を模索する不断の努力が今後も求められるだろう。
(掲載決定日:令和7年12月16日)
1 一般財団法人情報法制研究所上席研究員
2 株式会社博報堂DYメディアパートナーズ メディア環境研究所「メディア定点調査2024」(2024)。
3 株式会社電通「日本の広告費2024」(2024)。
4 「リスティング広告」とも呼ばれる。
5 公正取引委員会「デジタル広告分野の取引実態に関する最終報告書」(2021), 11頁
6 株式会社電通「2024年日本の広告費 インターネット広告媒体費 詳細分析」(2025) https://www.dentsu.co.jp/news/release/2025/0312-010858.html 最終アクセス: 2025年12月18日以下全て同様。
7 広告をクリックした後に表示される広告主のページのこと。
8 評価はユーザの検索との関連性やランディングページの質なども合わせて行われるため、最も高額な入札を行った広告ばかりが表示されるわけではない。
9 株式会社電通・前掲注(6)。
10 一般財団法人情報法制研究所オンライン広告研究タスクフォース「オーディエンスターゲティング広告における匿名加工情報の利用に関する提言」(2017) https://www.jilis.org/proposal/data/2017-12-18.pdf, 10–14頁。
11 広告として表示される具体的な画像や動画のこと。
12 John Wilander “Full Third-Party Cookie Blocking and More” (2020) https://webkit.org/blog/10218/full-third-party-cookie-blocking-and-more/
13 Mozilla Corporation “Firefox Focus New to Android, blocks annoying ads and protects your privacy” (2017) https://blog.mozilla.org/press/2017/06/firefox-focus-new-to-android-blocks-annoying-ads-and-protects-your-privacy/
14 Microsoft Edge Team “Safety and privacy in Microsoft Edge” (2020) https://blogs.windows.com/msedgedev/2020/10/26/safety-privacy-cyber-security-awareness-month/
15 Anthony Chavez “A new path for Privacy Sandbox on the web” (2024) https://privacysandbox.com/news/privacy-sandbox-update/
16 Googleはサードパーティクッキーに代わる新たなターゲティング広告配信技術Privacy Sandboxの開発を2019年以降続けてきたが、2025年10月にプロジェクトの終了を発表した。ITMedia 「Google, 『プライバシーサンドボックス』を実質終了 関連技術のほとんどを廃止へ」 (2025) https://www.itmedia.co.jp/news/articles/2510/19/news019.html
17 IAB & Ipsos “State of Data 2023: Data Clean Rooms & the Democratization of Data in the Privacy-Centric Ecosystem” (2023) https://www.iab.com/wp-content/uploads/2023/01/IAB_State_of_Data_2023.pdf
18 Tilman Herbrich “Data Clean Rooms” Computer Law Review International vol.23(4) p.109 (2022).
19 Piyush Jindal “Privacy-Preserving Data Analysis: Implications of Clean Rooms” International Journal of Management, IT & Engineering vol.14(6) (2024).
20 Federal Trade Commission “Data Clean Rooms: Separating Fact from Fiction” (2024) https://www.ftc.gov/policy/advocacy-research/tech-at-ftc/2024/11/data-clean-rooms-separating-fact-fiction
21 InfoSum “The ultimate guide to Data Clean Rooms 2023 edition” (2023); World Federation of Advertisers “WFA Survey: A Closer Look at Data Clean Rooms” (2023); Kamakshi Sivaramakrishnan & Lena Pennington “Snowflake Data Clean Rooms: Securely Collaborate to Unlock Insights and Value” (2024) https://www.snowflake.com/en/blog/unlock-insights-with-snowflake-data-clean-rooms/ ; Amazon Web Services “AWS Clean Rooms” https://aws.amazon.com/jp/clean-rooms/ ; LiveRamp “Clean Rooms Guide: 12 Essential Strategies for Marketers” https://liveramp.com/data-clean-room-playbook-interactive/
22 IAB Europe “Data Clean Rooms: A Promising Prospect” (2022) https://iabeurope.eu/data-clean-rooms-a-promising-prospect/ ; The Association of National Advertisers “ANA Releases ‘Ultimate Playbook for Data Clean Rooms’” (2024) https://www.ana.net/content/show/id/pr-2024-10-datacleanrooms
23 IAB “Data Clean Rooms: A U.S. State Privacy Law Perspective” (2025) https://www.iab.com/wp-content/uploads/2025/04/IAB_Data_Clean_Rooms_A_US_State_Privacy_Law_Perspective_April-2025.pdf; IAB Tech Lab “Data Clean Rooms: Guidance and Recommended Practices” (2023) https://iabtechlab.com/blog/wp-content/uploads/2023/06/Data-Clean-Room-Guidance_Version_1.054.pdf, 24頁。
24 平成15年法律第57号。
25 たとえば英語版WikipediaのData clean room (2025年11月27日時点)に記載されている会社6社すべてがDCRを広告関連事業の一環としている。
26 5.2.統計・モデル作成参照。
27 Seiichi Igaya & Osamu Sudoh “Ignored Discrepancies in the Fundamental Concepts of Data Protection Laws in Japan and the EU” International Data Privacy Law vol.15(2) p.171 (2025).
28 域外移転を伴う場合を除く。
29 IAB Tech Lab・前掲注(23), 8–9頁。
30 Acompanyプライバシーテック研究所「世界のデータクリーンルームサービスとは? AWSやSnowflake、Habuなどを比較してみた」(2023) https://www.acompany.tech/privacytechlab/data-clean-room-platform ;
31 InfoSum・前掲注(21), 5頁。
32 日本インタラクティブ広告協会『必携インターネット広告 プロが押さえておきたい新常識』(インプレス 2019)。
33 単一の調査によって取得されたデータを「シングルソースデータ」という。2つのデータセットをID単位で突合することによって擬似的にシングルソースデータを作成するため「擬似シングルソースデータ」と呼ぶ。
34 ここで(2) 統計・モデル作成で得た擬似シングルソースデータを用いて作ったモデルを使っても良い。
35 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン (通則編)」, 3-1-1。
36 個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」, Q.7-41。
37 同上。
38 同上, Q.7-43。
39 個人情報保護委員会「個人情報保護法GL通則編」・前掲注(35), 33頁。
40 同上。
41 総務省総合通信基盤局「外部送信規律について」(2023) https://www.soumu.go.jp/main_content/000862755.pdf, 3–4頁。
42 ここではAはDにデータ拡充の委託を行っていることを前提とするが、委託先の監督を省くためにAからDへの第三者提供で構成することも可能である。第6節参照。
43 データ拡充では最終的にa A(ID)とID単位の照合が行われるため、処理Drvを個情法16条6項の匿名加工とすることはできない。
44 一般の統計的知見を作成する場合であってもデータフローは同じであり、出力されたmが統計的知見となる。個人との関連性が排斥された統計情報であれば、Pに提供するだけでなく、Aやその他の第三者に提供できる。
45 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について(個人データ等の取扱いにおける本人関与に係る規律の在り方)」(2025), 1頁。
46 PurtovaとLeenesはGDPRの個人データの定義が個人に「関する(relating to)」情報であって、個人に「ついての(about)」情報ではないことに着目し、個人についての情報を一切含まないがそうした情報を処理するプログラムも個人データになると論じている。Nadezhda Purtova & Ronald Leenes “Code as personal data: Implications for data protection law and regulation of algorithms” International Data Privacy Law vol.13(4) p.245 (2023).
47 ここではp(ID)の中からマッチしたものだけをPに返す場合を想定している。p(ID)すべてにマッチしたか否かのフラグを付けてPに返す場合には、委託先独自取得の個人関連情報を当該データに付加に該当することになり規律[31]が適用される。
48 突合後データを一旦Aに戻してからPに提供することも論理的には考えられる。しかしこの場合は委託先が独自取得した個人関連情報p D(ID)をp A(ID)に付加して委託元に戻す形となるため、DとAに追加で規律[31]が適用される。したがってDからAに戻さず、Dからマッチしたp(ID)を直接Pに提供する形が合理的といえる。
49 突合後のデータに付く記号´はマッチしたものだけのデータであることを表す。P提供型の※はAからPへの第三者提供となることに注意。
50 個人情報保護委員会「制度的課題に関する考え方」・前掲注(45), 1頁。
51 一般社団法人次世代基盤政策研究所「NFI 5周年記念シンポジウム 〜2035年の次世代基盤政策〜」(2025年8月25日開催) 「テーマ2: データ利活用と個人情報保護」小川久仁子氏発言。
52 この決定理由の説明は、DCRの「自社が保有するデータが外部に開示されない」機能により実務上実現困難な可能性がある。あるデータ主体への決定にどの変数がどれだけ寄与したのか分析するためには、aとp双方のすべての変数名と値にアクセスできる必要があると考えられ、そのような者はDCRの構成上存在しないからである。
53 個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン(通則編)の一部を改正する告示案』に関する意見募集結果」(2021年8月2日公表), 番号295及び374。
54 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方(案)について(個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方)」(2025), 1頁。
55 石井夏生利・曽我部真裕・森亮二(編)『個人情報保護法コンメンタール第2版第1巻』(勁草書房 2024), 592頁 〔森亮二〕。
56 Igaya & Sudoh 前掲注(27)。
57 元来、データ保護規制は高リスクな決定への利用を統制するもので、高リスクな情報を保護するものではなかったことが指摘されている(高木浩光「個人情報保護から個人データ保護へ(9) —法目的に基づく制度見直しの検討—」情報法制研究 vol.16 p.96 (2024))。近年の機械学習技術の進化は機微な属性の推定を容易にしており、もはや高リスクな情報のみを保護することの限界も指摘されている(Paul Ohm “Broken promises of privacy: Responding to the surprising failure of anonymization” UCLA Law Review vol.57(6) p.1701(2010))。これらを踏まえると、情報に着目して保護を図るアプローチは合理的ではないよう筆者には思われる。寧ろ本人への決定に用いられる情報は一律保護対象とし、決定の性質に直接着目する方が見通しも良くなるのではないか。
58 なお、WG型DCRでは直接アクティベーション、間接アクティベーション及びモデル作成は規律[27]が、データ拡張は規律[27]または[31]が適用される形が可能である。
59 自由民主党「デジタル・ニッポン2024 —新たな価値を創造するデータ戦略への視座—」(2024), 22頁。
60 GDPRでは代わりに共同管理者や処理者としての責任分担の交渉が必要であるが、これは少なくとも「適法に行うには交渉が必要である」ということ自体は関係者に共有されていることを意味する。あるDCRは個人データの第三者提供で、別のDCRは個人関連情報で適法化といった断片化した状態は、DCR利用組織に無用の対応コストを強い、データ主体にDCRへの不信感を与えることにつながる。
61 欧州司法裁判所 C-252/21 Meta Platforms Inc v Bundeskartellamt (2023) ECLI:EU:C:2023:537.
62 例えばGoogleやAWSのDCRでは差分プライバシーが、TikTokでは合成データとTEEが、IAB Tech LabのDCRをまたいだ直接アクティベーションのためのプロトコルPAIRでは可換暗号が使われている。Vini Jaiswal “PrivacyGo Data Clean Room: A new tool for data collaboration” (2024) https://developers.tiktok.com/blog/privacygo-data-clean-room-open-source; IAB Tech Lab “Publisher Advertiser Identity Reconciliation (PAIR)” (2025) https://iabtechlab.com/pair/ ; Amazon Web Services “AWS Clean Rooms Differential Privacy” https://aws.amazon.com/jp/clean-rooms/differential-privacy/ ; Google Cloud「差分プライバシーを利用する」 https://cloud.google.com/bigquery/docs/differential-privacy?hl=ja
63 鳥海不二夫・山本龍彦「共同提言『健全な言論プラットフォームに向けてver2.1 ―情報的健康を、実装へ』」(2024) https://www.kgri.keio.ac.jp/docs/XDignity-WP20241029.pdf
