コラム個人情報保護

ホームページで個人情報を登録いただくときの基本原則

企業が持っている個人情報は、大きく3つに分けられます。
1番目が、社員の個人情報で、これをインハウス情報といいます。
2番目が、見落としがちな取引業者さんの個人情報。そして3番目が、お客様の個人情報です。

どんなシーンで、お客様の個人情報を「取得」するかは、御社がB2Bの会社かB2Cの会社かで違ってきます。B2Bの場合、一番多いのが、なんといっても名刺交換、次が展示会やセミナーなどでいただく名刺、申込書ですね。B2Cの場合は、やはり、申込書に記入いただいた個人情報でしょう。その場合でも、大きく店頭でご記入いただく場合と、ホームページからご登録いただく場合に分けられます。

で、一番気を付けなければならないのが、ホームページから個人情報をいただく場合です。

その理由は、というと…。

ホームページから個人情報を登録いただく場合の最大の特徴は、お客様は、御社の「顔を見ない」で、登録するかどうか決断しなければならないこと。
お客様は、御社の実際の店舗も見なければ、御社のご担当者様の顔も見ないまま、御社のことを信頼して個人情報を提供することになります。

それだけに、少しでも段取りが悪くて不信感を抱かせてしまうと、良くても申込みの途中離脱、最悪の場合、ネット炎上という事態に結びつきかねません。

では、どんな段取りを組むと、お客様に安心いただいて個人情報を登録していただけるのか。

個人情報をいただく際には、御社がお客様の個人情報をどのように取り扱うかを、できるだけ丁寧にわかり易く伝えます。

  1. 御社がどんな会社か。
  2. ※会社概要、企業理念、そしてわすれちゃいけないのが、「特定商取引法に基づく表記」。
  3. 個人情報の取り扱い方法
  4. ア)お客様の個人情報を大切に取り扱い、勝手に他社に渡さないということ。
    イ)お客様の個人情報は、同意いただいた目的にしか使わないということ。
    ウ)クレームや問い合わせの窓口と、具体的な問い合わせ方法
    エ)自分に関するどんな個人情報を持っているかを、問い合わせできること。
    オ)自分に関する個人情報を訂正・消去できることと、その方法。

などです。
これらの項目は、ホームページのトップページ付近に目立つように掲示します。さらに、具体的に申込みいただく際に、これらの事項を十分に理解したうえで個人情報の提供に同意いただく必要があります。

その手順は、

  1. 申込みボタンを押すと、「個人情報の取り扱い方法」の項目が表示される。
  2. 表示内容は、はっきりと大きな文字で書く。
  3. 表示内容の全文を読んで理解したら、「同意ボタン」を押してもらう。
  4. エントリーフォームが現れる。
  5. エントリーが終わったら、「内容確認ボタン」を押す。
  6. 内容確認のページが表示される。
  7. 「戻るボタン」あるいは「訂正ボタン」でエントリーフォームに戻る。
  8. 確認済みボタン」を押すと「送信ボタン」を表示。
  9. 送信ボタンを押すことにより、メールで申込み内容が送信されることを明示。
  10. 送信完了後、メール受信。メールに申込みの訂正や取り消し方法を表示。

で、まあ、わりに一般的な手順ではあります。
では、この手順をすっ飛ばすとどうなるでしょうか。

答えは、簡単。お客様は不安になり、申込みをすぐに取り消したい衝動に襲われます。
当然ですね。だって、たいていの場合、御社のことをよく知らないまま申込みするわけですから。

もちろん、お客様に信頼していただくために、商品説明や御社の理念、社長の人柄、体験者の声などを丁寧に紹介するわけですが、それでもやっぱり、一抹の不安を抱えています。

お客様に安心して申込みいただき、ホームページから購入していただくために、ひとつひとつのステップを大切に、申込フォームまわりを構築しましょう。





個人情報の漏洩ってどんな風におこるんだろう。

個人情報の漏洩というと、なんだかおどろおどろしげで、根暗なハッカーたちがよくわかんない難しげなテクニックでネットから侵入して、サーバの奥深くに隠しておいた機密データをいつの間にか盗み出したり、派遣のSEがクライアントのデータを盗んで売り飛ばしたりっていうイメージがあります。

実際に、wikileaksがアメリカの外交文書をリークしたり、ハッキングされた政府高官のメールから外交交渉の内容をリークしたり。あるいはハッカーと対立して狙われたソニーみたいに顧客データを大量にハッキングされたり。大日本印刷で派遣のSEが、大量のクレジット情報をサーバからコピーして業者に売り渡したりとかいう、重大なケースも毎月のように起こっています。

でも、こういうケースって、私たちの身の回りにめったに起こることではないですよね。私たちに関係あるのは、もっと地味なケース。一番起こりがちなのが、不注意による流出事故なんです。

たとえば、DM発送の委託業者にお客様の住所をメールで送ろうとして、メールアドレスを間違えたり、ミスプリの裏紙をメモに使っていて、その裏紙にお客様の情報が入っているのに気づかず部外者に渡してしまったり(実際に沖縄県内の市役所で発生したケース)。あるいは、顧客データを社内で共有するためwebサーバにおいていて、気づかずに外部から閲覧できるwebサイトにセキュリティ無しで張ってあったり。ほとんどが、「ありえね~」と思うようなケアレスミスが原因なんです。

個人情報の保護というと、会社のドアを生体認証かなんかでがっちりガードしたり、パスワードで多重に保護されたサーバの奥深くに個人情報が保管されていて、アクセスしようとするとアラームが響き渡ったり、といった大規模なセキュリティ・システムを思い浮かべがちなんですが(もちろん、会社の規模や扱う個人情報のリスクによってこういったシステムも必要になることもある、かもしれませんが)、私たちが、企業としてお客様の個人情報を護ろうというときに、最も有効なのは、どちらかというと次の二つ。

  • 個人情報の取り扱い手続きの整備と教育
  • 個人情報の大切さやどういう風に保護するかという教育

なんです。どんなにセキュリティにお金をかけても、それを取り扱う社員たちが、どうしなければいけないかをキチンと理解していなければ、何の効果もないんですね。

では、個人情報を取り扱う手続を整備するときに、どんなことに気をつければいいんでしょうか。

個人情報をお客様から頂く時の承認手順
お客様は御社に対して個人情報を提供するのであって、担当者に提供するわけではないので、個人情報を取得するときは、いち担当者の判断でおこなうのではなく、会社としてきちんと承認(決裁)が必要なんです。
というと、いちいちそんな煩雑な手続きは、取ってられないという声が聞こえてきそうですが、その場合は、一件いっけんの個人情報取り扱いに対して承認手続きをとるのではなく、業務ごとにまとめて一括事前承認をとるようなルールにするとか、あるいは、軽微な個人情報については、事前に具体的なケースと個人情報の種類を設定しておいて、承認不要にするといったことも考えられます。
個人情報お客様から頂く際の同意取得手順
お客様からどんな個人情報を頂き、どんな目的で使うのかを説明して、文書で同意を得ます。
個人情報を利用する担当者の限定
お客様の個人情報が社内の誰でもが閲覧できるようだと、「ついつい」とか「うっかり」とかのミスやあるいは不正を助長してしまうこともあります。誰が、どんな業務で閲覧し、利用できるのか権限管理をきちんとしましょう。
個人情報の保管場所の特定>
お客様の個人情報が担当者の机の中に眠っていたり、営業マンのパソコンに保存されていて、そのことを誰も知らない(コピーした本人すら!)というのは、非常にありがちなケースです。個人情報の保管場所を限定して、アクセス権限者とアクセス履歴を(紙ベースでいいので)きちんと管理しましょう。
個人情報の台帳管理
御社がどんな個人情報を持っているのか、きちんと台帳を作って管理しましょう。
そんなに詳細である必要はないと思います。一般的な個人情報については、業務ごとに分けての件数管理でOKです。ただ、お客様の病歴やクレジット情報などの重要な個人情報については、より詳細な台帳管理が必要になります。
不要な個人情報の廃棄
いまどき、個人情報の流出事故・漏洩事件を起こしてしまうと、企業の死命に関わるダメージを受けかねません。個人情報にかかわる事件・事故を起こさない最も有効な方法は、「いらない個人情報は持たない」といういたってシンプルな方法です。

いかがですか。ほとんどが単純な方法でしょ。こうしたシンプルな手順を整備して、従業員がちゃんと守れるように教育・指導していく、これが個人情報を守る一番の方法なんですね。しかも、社員の能力向上にも大きく役立ちます。





個人情報保護法って、分かりますか。

個人情報保護法って、分かりますか。

「え、個人情報を護る法律でしょ」。

それはもうその通りです。では、個人情報ってなんですか、誰から護る法律ですか。何で護らなければならないのですか。どうやって護るんですか。

矢継ぎ早の質問でごめんなさい。でも、専門家やプライバシーマークを取得した経験のある方でもないかぎり、このシンプルな質問に、さっと答えきれる人はそうはいないはず。

2005年の個人情報保護法の施行以来、「個人情報の保護」は、もはや常識となっています。常識どころか、私たちの社会活動を強く規制する、重要な、もしかしたら空気みたいに重要な法律になっている気がします。

あまり長くなるとなんなんで、さっさと答えからいいましょうね。

個人情報保護法とは。
そもそもの目的:個人情報取り扱いの基本ルールを定めることで、その商業利用を円滑にする。
何を護る
生存する特定の個人を識別できる情報。
何から護る
個人情報の同意なしの利用。個人の不利益となる利用。
※この部分、いろいろ例外規定があってややこしいので、詳細は省きます。
規制の対象
個人情報を事業で使うためにデータベース化している事業者で、データベースの件数が過去の半年間に5,000件を越えないもの。
違反するとどうなる
主務大臣からの報告の求め、助言、是正勧告をへて6ヶ月以下の懲役または30万円以下の罰金。

ということで、乱暴に言えば、個人情報を安心してビジネスに活用するためのルール、なんですね。どうですか、印象変わりましたでしょ。

その対象は、大雑把ですが半年間で5,000件を超える個人情報をデータベースとして利用している事業者で、ちなみに事業者には、国や地方公共団体、独立行政法人などの公的機関や個人は入りません。

とろが、ややこしいことに、本来、個人情報のビジネス利用を規制するはずの法律が、なんだか社会全体を覆ってしまって、個人情報の取得、利用は、誰であれ、どんな場合であれ、×「だめー」というような感じになってしまっています。

そんな雰囲気を助長したのが、保護法施行一年後に起こった、JR宝塚線脱線事故での過剰反応。一部の病院が、個人情報保護法を理由に、運び込まれた事故被害者の情報をJR側に提供しなかったことが社会問題化しました。本来、保護法では、人の生命・身体、財産に関わる場合には、本人の同意なしに個人情報を提供することは見さめられているんですが、この時は、個人情報の保護の方が身体・生命、財産よりも優先されてしまった。

それはまあ、施行後の混乱と、保護法の趣旨が十分浸透していなかったんだな、と理解もできますが、「これは、ちょっと違うだろ」と思ったのが、行政機関の不正・不祥事がばれたときに、個人情報保護法をたてにメディア側に、担当者の名前すら教えるのを拒否した事案が相次いだこと。

施行後、こうしたことが立て続けに起こったこともあって、個人情報保護法は、なんだかよく分からないけど、違反するとヤバそうな法律、という雰囲気ができあがっちゃったんですね。

おかげで、PTA名簿すら、安心してつくれない。小学校の連絡網がつくれない、という状況が出来上がってしまった。こうした状況は、個人情報保護法の立法の趣旨からは、大きくずれてしまっているんです。まあ、過剰反応といってもいいかもしれません。

じゃあ、安心して自由にPTA名簿をつくっていいのかというと、社会状況がこうなってしまっては、後のクレームが怖くって…。

でも作る方法は、あります。それはいたってシンプル。公開範囲・利用範囲を限定すること。流出しにくいように名簿に配布番号をつけて、配布先名簿をつくること。そして一番重要なのが、本人から名簿掲載の承諾を得ること。

しち面倒くさいですが、これだけはやっといたほうが無難です。しょうがないですね…。