Articles

米国企業が PII、非 PII、および個人データを気にかけるべき理由

メディアや広告の世界、特に米国の多くの人にとって、個人識別情報(PII)は長い間収集や追跡が制限されてきました。 PII と非 PII の間に線を引き、PII を識別できなくする (したがって、マーケティングに使用できる) 方法でマスクまたは仮名化するために、多大な努力が払われています。 しかし、米国での線引きは変化しており、ヨーロッパではGDPRが2018年5月25日に施行されるため、線引きがまったく存在しない可能性もあります。

PIIとは何ですか?

国防総省(DoDD 5400.11, October 29, 2014)はPIIを次のように定義しています:

「氏名、社会保障番号、誕生日および出生地、母親の旧姓、生体情報、自宅電話番号、その他の人口統計、人事、医療、財務情報など個人の識別または追跡に使用する情報」。 PIIには、単独で、または他の個人情報もしくは識別情報と組み合わされた場合に、特定の個人にリンクする、またはリンク可能なあらゆる情報が含まれます。 この発行の目的では、PIIという用語は、個人情報および識別可能な形式の情報も含みます」

この定義に基づいて、ほとんどの米国政府機関は、非機密PIIと機密PII(開示すると個人に害を及ぼす恐れがあるもの)とを区別しています。 これは、市民権の有無、宗教的所属、性的指向など、より有害な可能性のある情報と一般に入手可能な情報とを区別するためです (DHS ガイドブック)。 PIIが機密情報であるかどうかは、多くの場合、文脈と解釈によって決まります。 マーケティング担当者やパブリッシャーは、PII の使用を避け、非 PII に焦点を当てて、消費者に関連性の高い広告を作成することに細心の注意を払っています。

Non-PII

モバイルマーケティング協会によると、非 PII とは「特定の人物、アカウント、プロファイルに対応しているかもしれないが、その情報に関連する人物を特定、連絡、検索するには不十分な情報」のことを指します。 非適格リード” この例としては、

  • Device IDs
  • IP Addresses
  • Cookies
  • Browser Type
  • Plug-in Details
  • Language Preference
  • Time Zone

データ会社はこの情報を分析し、関心や購買意欲を予測すべく消費者に関する詳しいプロファイルの作成を可能にすることができました。 これにより、マーケティング担当者は、適切なオーディエンスをターゲットに、適切な時間に適切な場所で関連する広告を出すことができます。

PII の拡大

最近、プライバシー擁護者は、PII と非 PII の間の線を動かして、より多くの情報の保護を奨励し始めています。 たとえば、FTC のディレクターである Jessica Rich は、永続的な識別子はおそらく PII とみなされるべきであると示しました。 「我々は、データが特定の個人、コンピュータ、またはデバイスに合理的にリンクされる場合、「個人を特定できる」、したがってプライバシー保護を保証するものと見なします。 多くの場合、デバイス識別子、MACアドレス、固定IPアドレス、クッキーなどの永続的な識別子は、このテストに適合しています」。 FTC の例としては、

  • Customer number held in a cookie
  • IP Address
  • Processor or Device Serial Number
  • Unique Device ID

これらの追加の持続的識別子は、これまで PII とされてきたものを大幅に拡大し、現代のトラッキング方法を無視するという、FTC による意欲を示したものです。

Everything is Personal Data under GDPR!

EUのプライバシー規制GDPRのコンテキストでは、PIIと非PIIの区別は重要ではありません。 実際、GDPR の下では、ほぼすべてのものが個人データとして保護されるべきであると主張することができます。 FTCの「合理的なリンク」テストではなく、GDPRでは、偽名データと匿名データを区別しています。 大まかに言えば、偽名データは個人データとして保護され、匿名データは保護されません。 しかし、マーケティング担当者にとっての価値を維持しつつ、匿名であるための閾値は難しいものです。 実際、データ管理者および処理者に対し、「処理時に利用可能な技術および技術的発展」を考慮し、任意の仮名データまたは異種データを組み合わせることによってデータ主体(読み:人)を特定できるかどうかを判断することを求めています。 この定義によると、個人データは非常に広い範囲に及ぶため、管理者および処理者は、データのほとんどが個人データであると仮定し、そこから逆算するのがよいでしょう。 GDPRは、欧州のデータを扱う世界中の企業に、データポリシーの再考と再構築を迫っています。 米国がGDPRをそのまま採用することはないかもしれませんが、プライバシー意識へのシフトと欧州の個人データ保護の高い水準を無視するわけにはいきません。

  • SpotXのGDPRタスクフォース
  • GDPRとは? アドテクと一般データ保護規則について知っておくべきこと
  • GDPR: パブリッシャーが自らを守るためにすべきことトップ7
  • How US Based companies should be thinking about GDPR
  • Why US companies should care about PII, non-PII, and Personal Data
  • What is ‘Privacy by Design and Default’ and how can it help me making tough choices in a post-GDPR world?
  • GDPRにより、GoogleとFacebookは世界の広告費に対する支配力を強めることになるのか – 皮肉なものですね
  • Vlogをご覧ください。 シニアプロダクトマネージャー、ジェシカ・バーマン、GDPRについて語る