2018年03月08日に初出の投稿

Last modified: 2018-03-08

或る大きな駅のビルに入居している会社さんへ、テナント入居事業者の従業員だけが使えるクーポンを発行するらしい。そして、どこの事業所からどれくらいクーポン発行サイトへアクセスしているかを知りたいので、クエリを URL に付けてトラッキングするという。

受注している広告代理店のセキュリティ担当者という方によると、クエリ文字列は事業所の ID なんだから、ID を発行するときにトラッキングに関するオプトインは必要ないと言ってるらしいんだけど、ID が個人に紐づいていないというだけでオプトインが不要であるかどうかは即断しかねる。他にもデータを採っていて、アクセスした各種のデータを組み合わせて個人が特定出来たら、実質的に個人情報になっている可能性がある。なので、事業所 ID の他にはアクセスログで他の情報を取ってないかどうかを確認しないといけない。今回の事案では、UA 文字列のように個人を特定し得る情報は取得していないらしいので、ひとまず個人の特定はできないと考えていいとは思うけれど、例えばクーポンの ID を発行してあげる会社として個人事業主が含まれていたらどうなるのかとか、特定の時間帯に特定の人物だけが会社にいることが分かっているとか、そういう特殊な事情がクーポンサイトの運営側に分かっていれば、もう少し運営側が何を「照合可能な情報」として持っているかを調べないと判断がつかない。

だからこそ、このような判断をするときは、情報を取得する当事者が自社の保有する情報とか自社で知っている事情にもとづいて、取得する情報で個人を特定できるのかどうかを判断できるように、素養として PMS の基本を知っていなくてはいけない。外からでは、そういう当事者の内部事情は分からないので、あくまでも一般論として判断するしかない。(ということをクライアントには言うのだけど、まぁ面倒臭いからこっちに聞いてくるわけだよね。)

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook