- Home
- CRM/SFA導入・活用, マーケティング・オートメーション, リード・ジェネレーション, 情報セキュリティ強化
- 「改正個人情報保護法」施行により、マーケティング活動において配慮すべきこと
BLOG
9.282017
「改正個人情報保護法」施行により、マーケティング活動において配慮すべきこと
個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的として2005年4月に全面施行された「個人情報保護法」が約10年ぶりに改正され、本年5月30日に全面施行となりました。
情報通信技術のさらなる進展により、膨大なパーソナルデータが収集・分析される時代が到来し、企業の正しいデータ利活用も妨げないような法整備がきっかけの一つです。
全面施行からすでに数ヶ月が経過しているものの、自身の実務に大きな影響を及ぼしていないと感じている方も少なくないようですが、単に法を遵守とするという観点に限らず、ますます複雑で多様化するインターネット環境の変化を受けて、顧客に信頼され選ばれるためにも、今回の「改正個人情報保護法」に対応した取り組みが求められています。
本コラムでは、「個人情報保護法」に関する基本的な要件をおさらいするとともに、改正のポイント含め、マーケティング活動において配慮すべきことを考えてみたいと思います。
個人情報を取り扱う全ての事業者が適用対象に!
「個人情報取扱事業者」とは、個人情報をデータベース化して事業活動に利用している事業者のことで、個人情報保護法上の義務規定を守らなければならない対象です。
改正前は、5,000人分以下の個人情報を取り扱う事業者(小規模取扱事業者)は、個人情報保護法が適用される対象ではありませんでしたが、全面施行後は小規模取扱事業者であっても同法が適用されることになりました。これは今回の改正で影響の大きいポイントの一つです。
また、法人に限らず個人事業主やNPO・自治会等の非営利組織であっても「個人情報取扱事業者」に当たりますので、中小零細企業であっても他人事では済まなくなりました。
そもそも個人情報とは?
改正前は「生存する個人に関する情報で、当該情報に含まれる氏名、生年月日その他の記述などにより、特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)」とされていたが、さらに指紋や顔認識データ、マイナンバー、さらに購買履歴や乗車履歴なども加えられました。
ちなみに、指紋データやマイナンバーなどは、その情報だけで特定の個人を識別できる情報(文字、番号、記号、符号等)ということで、「個人識別符号」という呼び方で個人情報に該当することになりました。
[出典]個人情報保護委員会
『個人情報の利活用と保護に関するハンドブック』 P3の一部を抜粋
「個人情報保護法」の基本的なルールは改正によってどう変わった?
①個人情報の「取得・利用」について
●利用目的を特定して、その範囲内で利用する。
●利用目的を通知または公表する。
ちなみに、利用目的の公表方法に明確な定めは無いようですが、Webサイト上のページや店舗等への掲示、あるいは申込書等への記載が一般的かと思います。
利用目的を特定する表記については、宜しければ弊社プライバシーポリシーの <2.個人情報の取得と利用目的について> を参考にして頂ければと思います。
> 弊社(B2Bマーケティング株式会社)のプライバシーポリシー
なお、改正に伴い「要配慮個人情報」を取得する際は、あらかじめ本人の同意が必要、と定められましたので、関係する場合はお気を付けください。
※「要配慮個人情報」とは?
●不当な差別、偏見その他の不利益が生じないように取り扱いに配慮を要する情報として、法律・政令に定められた情報
●人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実等の他、身体障害等の障害があることや、健康診断結果等も該当
②個人情報の「保管」について
●漏えい等が生じないよう、安全に管理する。
●従業者・委託先にも安全管理を徹底する。
個人情報を安全に管理する手法としては、個人情報保護委員会のガイドラインに幾つかの手法例が掲載されていますので、ここでは詳細を割愛しますが、例えば個人情報がリスト化(展示会の来場者リスト等)されたファイルの管理方法や、USBメモリ等での持ち出し規則など、個人情報の取り扱いにおける基本方針をまとめたマニュアルを作成し、配布・教育することが考えられる対応策の一つです。
③個人情報の「提供」について
●第三者に提供する場合は、あらかじめ本人から同意を得る。
●第三者に提供した場合・第三者から提供を受けた場合は、一定事項を記録する。
改正により、個人情報の「提供」に関わるルールが強化されました。
いわゆる『名簿屋対策』ですが、
個人情報を提供した場合は「いつ・誰の・どんな情報を・誰に」提供したか?
個人情報の提供を受けた場合は「いつ・誰の・どんな情報を・誰から」提供されたか?
を、相手方の情報取得経緯と含めて記録・管理(原則3年)の義務が生じました。
また、業務に関して取り扱った個人情報データベース等を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する「データベース提供罪」が規定されました。
④個人情報の「開示請求等への対応」について
●本人から開示等の請求があった場合はこれに対応する。
●苦情等に適切・迅速に対応する。
事業者は本人の求めに応じて、個人情報の開示・訂正・利用停止を行う義務があり、行政によって監督されます。しかしながら、本人が個別に迅速な問題解決を図るには裁判上の権利が必要ですが、改正により裁判上の権利があることを明確化しました。
同法を遵守するため、マーケティング活動において配慮すべきこと
①利用目的を特定(明確に)して、Webサイト上に公開する
「プライバシーポリシー」あるいは「個人情報保護方針」で、収集した個人情報をどう扱うのかなどを明示・公開するのは当然のことではありますが、今一度その内容を関係者間で見直してみることをオススメします。
個人情報の提供側では、個人情報を何の目的で利用するのか、第三者への提供は?、情報の安全管理についてどう対策を講じているのか、などを確認したいと考えている方は多く、特に利用目的は曖昧な表現よりも特定されている方が安心感を与えます。
そして、これらの「プライバシーポリシー」は、Webサイトのトップページからも容易に見つけられるような分かりやすいところに設置しましょう。
また、個人情報の獲得経路である問い合わせフォームや資料請求フォームなどの入力画面では、個人情報の取り扱いに関する同意を確認する欄を用意しておきましょう。
(情報取得後、メルマガ配信等を行う場合は、同意の確認・証拠保存は必須です)
②取得した個人情報の安全管理を(あらためて)徹底する
前述で、5,000人分以下の個人情報を取り扱う小規模取扱事業者も個人情報保護法が適用される対象に改正されたとお伝えしましたが、仮に数十人の企業規模であっても、例えばある展示会への出展で数百名程度の来場者リスト(Excel等で)を保有していれば、情報漏えいによる経営リスクがゼロではない、ということです。
もはや、個人情報を含むファイルやデータが、パスワードも設定されていない社内の共有フォルダ等で管理・保管されている状況は看過できない、といえそうです。
近年では、安価なクラウド型の顧客情報管理ツールも数多く提供されていますので、情報に対する閲覧や変更等のログ管理、あるいは権限設定も可能なITツールを活用したいところです。
例えば、営業活動のシーンでは SFA(営業支援システム)が一般的に利用されつつあり、マーケティング活動のシーンでは CRM(顧客管理システム)やMA(マーケティング・オートメーション)といったITツールが活用されています。
また、上記で紹介したようなITツールまでの要求や予算がない場合でも、サイボウズ社が提供するクラウドシステム『kintone(キントーン)』は、中小零細企業の業務部門がシステム部門(担当)に頼らずに導入できるツールかと思います。
個人情報を可能な限り正規化して管理しておけば、多くの業務において効率化が図れると同時に、「個人情報保護法」の要件でもある情報の「正確性の確保」や「開示請求等への対応」も容易になるでしょう。
③第三者から個人情報を受領する際の確認・記録を徹底する
個人データの提供を第三者から受ける際は、提供者の氏名等、その提供者がその個人データを取得した経緯を確認するとともに、受領年月日、確認した事項等を記録し、一定期間保存しなければならなくなりました。これらの確認により、受領者はそのデータが不正に入手されたものでないかどうかを判断した上で利用できます。
こういったデータ管理の側面からも、セキュアに利用できるITツールの利活用を検討頂くのが望ましいかと思います。
さいごに
本コラムでは、今回の「個人情報保護法」の改正・施行を機に、同法のおさらいとあわせ、マーケティング活動において配慮すべきことを考えてみました。
ご周知の通り、B2Bマーケティングにおいてデータベース・マーケティングは根幹となる取り組みであり、個人情報のみならず、マーケティングあるいはセールス活動における機密情報の安全な取り扱いはいずれの企業も避けられない重要なテーマとなってます。
他人事や情報システム部門(担当)における問題と捉えず、業務上で扱う個人情報や機密情報の適切な管理・活用に関して、ぜひ問題提起や意見交換を推進して頂きたいと考えてます。