顧客の氏名・性別・年齢・住所・電話番号といった個人情報を活用して事業活動を行っている企業は、それらの情報を個人情報保護法に抵触しないように扱わなければなりません。この記事では、個人情報取得のルールや取得後に注意すべきポイントなどをわかりやすく解説します。
個人情報取得に関するルールとは
個人情報取得に関するルールとは、個人情報保護法に定められている個人情報取得に関わる条項と同義です。この個人情報保護法には「取得・利用」「保管・管理」「提供」「開示請求などへの対応」という四つの事項に関わる基本的なルールが明記されています。ここでは、そのうちの個人情報の取得・利用に関連するルールについて解説していきましょう。
利用目的を特定・公表する
個人情報保護法の第17条では、取得する個人情報をどのような目的で利用するのか、はっきりと指定しておかなければならないことが明記されています。また、第21条では個人情報を取得する場合には、利用目的を公表・通知しなければならないことなどが定められています。
したがって、顧客に対して自社のWebサイトなどへ個人情報の入力を求める場合、入力に先立って利用目的がわかりやすく表示されるようなデザインのサイトにするといった措置が必要です。
不正手段による取得をしない
個人情報保護法の第20条は、個人情報の適切で正しい取得のあり方を定めています。不正な手段での取得は法律違反です。
個人情報は適正なプロセスを踏んで取得しなければならず、差別や偏見の種となるかもしれない犯罪歴や病歴など、配慮を要する個人情報を取得する場合には、特に気を付けなければなりません。このような個人情報の入手にあたっては、事前に本人から立場の差などを悪用しない正当なやり方で、きちんと同意を得たうえで取得するというプロセスが極めて重要です。もし、同意を得ずに取得してしまえばそれも法律違反となります。
また、個人情報が掲載された名簿の売買は禁止されてはいないものの、他社が違法な手段で個人情報を集めて作った名簿を購入してしまうと、法に抵触するので注意が必要です。
さらに、インターネット上に公開された個人情報を閲覧するだけなら、法令で定めるところの個人情報取得に該当しませんが、それらの情報を集めて検索データベース化する行為は個人情報取得に該当するので注意しましょう。
利用目的の変更についても明示する
個人情報保護法の第18条は、特定した利用目的の範囲内でしか個人情報を扱えず、その目的の範囲を超えてしまう場合には、本人の事前同意をとらなければならない旨の制限を加えています。
また、後から個人情報の使い道を変える場合には、改めて変更後の利用目的を公表・通知しなければなりません。このことを定めているのが第21条3項です。
取得後に守るべき個人情報保護法のルール
個人情報を取得した後にも守らなければいけないルールがあります。ここでは個人情報保護法に定められている三つの基本ルールについて解説します。
保管・管理
保管・管理に関するルールは同法第22条に定められており、利用目的を遂げるのに要する範囲に限って、取得した個人情報のデータを最新の正確な内容となるように保持し、不要になったら直ちに消去することが求められています。
また、同法第23条の規定の通り、取得したデータの紛失や漏えいなどが起きないように、しっかりと安全管理対策を行わなければなりません。
たとえば、パソコンなどで個人データを管理する場合には、不正アクセスなどが起きないよう、セキュリティ対策ソフトを導入したうえで、対象となるファイルにパスワードをかけておくといった対策が求められます。
提供
提供に関するルールは同法第27条に規定があり、取得した個人データを第三者に提供する場合には、原則として提供前に本人の同意をとらなければなりません。
ここで、第三者提供とみなされる事例には、グループ会社の間やフランチャイズ組織の本部と加盟店の間で個人データをやり取りする場合が含まれるので、注意が必要です。ちなみに、同一事業者において社内の他部門へデータ提供を行う場合は、第三者への提供とはみなされません。
なお、第三者に保有している個人データを提供したり、逆に第三者から提供を受けたりした場合には、記録として残さなければならず、その記録を原則として3年間保存する必要があります。
開示請求等への対応
開示請求等への対応に関するルールは同法第33条に定められ、本人から保有している個人データに関する請求を受けたら、その求めに応じて保有データの開示や訂正、利用停止などを行わなければなりません。たとえば本人から紙ではなく、電子データで情報を提供するように求められたら、その通りに対応することが必要です。
本人が開示を請求できる対象は取得した個人データに限らず、第三者にデータ提供を行った記録も含まれます。
GDPRへの対応も必要
個人情報の保護については、個人情報保護法よりも厳しい規制だといわれるGDPRへの対応も必要です。GDPRはGeneral Data Protection Regulationの頭文字をとった略語であり、「EU一般データ保護規則」と和訳される個人情報保護に関わる法令で、EUに所属する国すべてに適用されています。GDPRには欧州経済領域内で取得された個人データを処理して、欧州経済領域外の国へそのデータを移す場合に守るべきルールなどが定められており、これに違反すると多額の制裁金を支払わなければなりません。
GDPRに対応すべき企業
日本はEUに属していませんが、GDPRはEUに関わる日本の企業にとって、決して無視できない法的規制です。GDPRはEU在住者の個人情報保護を目的としているため、EUに属する国に自社の事業拠点がないからといって油断はできません。もし自社の顧客にEU居住者が含まれていたら、GDPRへの対応が必要になるからです。 そのため、実は日本企業の多くがGDPRに対応すべき企業に含まれます。
GDPRの対応方法
GDPRへの対応にはいくつかの注意すべき点があります。
GDPRで要求されるのは組織的かつ技術的に適切な個人データの保護であり、個人データを提供してもらう際には、利用目的などをわかりやすく示して同意を得るという透明性を確保しなければなりません。また、GDPRで要求される説明責任を果たせるように、GDPRに準拠して個人データの管理や処理を行っていることをどのようなときでも示せるように準備しておくことも必要です。
加えて、GDPRを遵守するためには、データ保護責任者を決めておくほか、プライバシーポリシーやCookieポリシーを作成することなども忘れてはなりません。
個人情報の安全な取り扱いには「SAP Enterprise Consent and Preference Management」
個人情報の安全な取り扱いには「SAP Enterprise Consent and Preference Management」がおすすめです。SAP Enterprise Consent and Preference Managementは、顧客の個人情報に関する同意やプリファレンスを管理する企業向けツールです。
GDPRだけでなく、カリフォルニア州消費者プライバシー法(CCPA)、ブラジルの個人情報保護法にあたるLGPD など各地域で定められたデータ保護法の要件に対応しています。このツールを使用すれば、顧客が自らの手で同意やプリファレンスを含む自分の個人情報を管理可能となり、一元管理された同意とプリファレンスに関するデータ履歴を用いて、常時監査に対応できるようになるでしょう。
参照:https://www.sap.com/japan/products/crm/customer-consent.html
まとめ
企業において個人情報の取得や管理を行う際には、個人情報保護法を守ることはもちろん、世界中に顧客が存在する場合には、GDPRなど顧客の居住する地域の法令を遵守しなければなりません。各地域の法令を確実に守って、安全に個人情報を管理するためには、SAP Enterprise Consent and Preference Managementのような管理ツールの導入がおすすめです。