2017年5月に法改正! マーケティング担当のための個人情報管理｜コラム｜IT企業・IT業界専門のマーケティング＆制作会社

2017-04-06(Thu)

2017年5月に法改正! マーケティング担当のための個人情報管理

IT化の進展で、個人情報保護の重要性が一層増しています。パソコンの性能アップとインターネットの発達で個人情報の収集、加工、利用が簡単になった分、外部に漏えいしてしまえば、瞬時に世界中に拡散され、完全に取り返すことは不可能です。きちんと活用できれば強い味方になり、いざ事故が起これば会社存在をも左右しかねないのが個人情報です。

今回はマーケター向けに、2017年5月から施行される法改正も控え、今後注目が集まりそうな個人情報の基礎知識と取り扱い方について解説します。

マーケ部門は実は一番個人情報が集まる部門 !?

近年、企業の情報漏えい事故が後を絶ちません。第三者によるサイバー攻撃によるものや、社内の人間による内部不正など、原因はさまざまです。

＜近年の衝撃的なセキュリティ事故＞

アメリカYahoo!から5億件以上の個人情報漏えい
ビッグデータが事業の核のひとつであり、データの取り扱いに関して厳重に対策がなされているであろうアメリカYahoo!から5億件を超えると見られる個人情報が流出。件数の多さ（MySpaceの約3億5900万件、LinkedInの約1億6400万件、Adobeの約1億5200万件を超えて単一企業としては過去最多）と、ネットニュースで情報が販売されているという報道が流れて初めて発覚し、少なくとも2年以上は内部で気付かれることがなかったということも衝撃を与えました。

上場セキュリティ会社がハッキングされ個人情報漏えい
東証マザーズ上場の中小企業向けセキュリティ製品ベンダー、アークンが不正アクセスを受け、約4000社の顧客データが漏えい。他社のセキュリティを守るプロフェッショナル企業がハッキングされ、しかもハッカーによる恐喝の手紙が来るまで気付かなかった事件として衝撃を与えました。

専門の会社でも防げないのですから、一度対策すれば安全だと油断できない状況です。

それは、マーケティング担当も同様です。情報漏えいはシステム部門と法務部門の担当では、と思われた方もいるかもしれませんが、実はマーケティング担当は数多くの個人情報と接する部門です。

MA（マーケティングオートメーション）ツールやCRM（顧客関係管理）ツールを利用することが多く、営業に渡る前のリード情報が集まる部門です。より厳重な対策と日々のセキュリティを頭に置いた行動が求められています。

個人情報保護法が2017年5月に改正

2005年に施行され、一気に世の中に知られることになった「個人情報保護法」。それから10年を過ぎ、環境変化に対応するため、2016年9月に改正法案が国会成立。2017年5月30日より全面施行されます。

代表的な改正内容をいくつか見ていきましょう。

１）保護すべき「個人情報」の範囲が広がる

もともと「個人情報」とは、下にあるように、かなり範囲が広いものです。そこに今回、指紋データや遺伝子データのような身体の一部をデータ化した情報や、マイナンバーのように個人に割り振られる個人識別番号、移動履歴や購買履歴などの情報も加わりました。

＜主な個人情報＞

・基本情報
氏名、住所、電話番号、メールアドレス、年齢、性別、学歴

・仕事情報
職歴、勤務先会社名、会社住所、会社電話番号、メールアドレス、査定結果

・出生情報
本籍、生年月日、血液型、家族構成

・要配慮情報
身長、体重、趣味、宗教、病歴、犯罪歴、結婚歴、国籍、防犯カメラ映像

ただ、「特定の個人を識別して悪用される」ことを防ぐ目的で制定された法律なので、誰なのか特定されない情報に加工して利用することまでは禁じられていません。

２）全事業者が対象になる

今までは「5000人分以下の個人情報」しか取り扱っていない事業者は対象外でしたが、今後はほぼ全事業者が対象になります。

３）ビッグデータの活用が容易に

現在の法律では、個人情報の利用は全員から同意を得た利用目的の範囲内に限定されています。しかし、ビッグデータのような膨大な数の個人情報を集めようと思うと、全員から同意を得るのは無理です。そのため、個人情報保護法が日本でのビッグデータ活用の障害になっていました。今回の改正で、「個人情報」に該当しないようデータを加工して「匿名化」し、本人のプライバシーが保護されたうえで利用＆活用できる規定に変わります。

４）個人情報のトレーサビリティの義務化

2014年、ベネッセの大規模情報漏えい問題で、不正に持ち出された個人データを名簿販売会社から知らずに購入してDMを送った企業が強い批判を集めました。今回の改正では、個人データをどこから取得したのか、適正に取得された情報かどうかを確認することが義務付けられます。同時に、情報がいつどういう手段でどこから入手して、いつどこへ渡ったのか、といった記録を付けることも必須になります。

５）データ越境の制限

インターネットで海外とのデータのやりとりが活発になってきましたが、今回の改正で、外国企業への個人データの提供が制限されます。日本の個人情報保護法と同水準の制度がない国へ個人情報を提供をする場合は、その同意を得る必要が出てきます。

このように、改正は多岐にわたります。具体的に実務がどう変わるのかは法務部門などの見解もあると思いますが、2017年の早い時期にはデータの扱い、データ入手時の同意内容、プライバシーポリシーなどが変わりますので、ご注意ください。

・参考：経済産業省による法改正内容資料
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/01kaiseikojinjohopamphlet.pdf

マーケ担当がこれだけは気をつけたい必須項目！

法律が改正されていない今も、もちろん個人情報の重要性や、取り扱いに最新の注意を払う必要性は変わりません。日々気をつけるポイントはたくさんあります。

サイト制作

個人情報を入手するフォームなどを実装する場合は、プライバシーポリシーの提示をしますが、他社との提携などにより、個人情報利用の範囲が拡大することがありますので、常に最新情報を掲載するよう注意します。セミナーの共催や合同サイトなどを制作する場合は、すべての会社のプライバシーポリシーを掲載する必要があります。

メール配信

膨大なリード・リストに対してメール配信を行う場合、原稿に社名や個人名を差し込んだりするOne to Oneマーケティングを行っている場合は特に、一つ設定を間違えたら大きな事故に発展してしまいかねません。事故を防ぐためには、事前にテスト送信をして確認する習慣をつけるようお勧めします。

データ管理、メンテナンス

個人情報を管理しているツールにアクセスできるスタッフを制限し、パスワードを強固なものにします。セキュリティに大きな効果があると言われる2段階認証などを導入してもいいでしょう。そして、データベースなどからCSV抽出したデータは、いつまでもローカルの個人のパソコンに保存せず、使用後はすぐにゴミ箱に入れ、さらに空にしておくことが重要です。データを完全に復元できないようにする電子シュレッター・ソフトなども活用すると安心です。