2023年7月3日公開

マーケティング担当者必見！顧客情報を扱う上で押さえておきたい個人情報保護法の基本

顧客情報は企業にとって欠かせない貴重な資産ですが、一方でその取り扱いには細心の注意が必要です。例えば、顧客情報が漏えいしてしまった場合、企業の信用や評判を損なうだけでなく、法律違反による厳しい罰則を科される恐れがあります。

今回は、下記の項目を中心に、マーケティング担当者の皆様に向けて個人情報保護法の基本を解説します。

まずは、顧客情報は個人情報保護法における個人情報に該当するのかという点を確認しましょう。

顧客情報は個人情報に該当するのか？

顧客情報は、特定の顧客に関する情報であり、個人情報は、特定の個人を識別できる情報全般を指します。

例えば、ある企業が商品の購入履歴やアクセスログを収集している場合、これらはすべて顧客情報に該当します。ただし、購入履歴だけでは個人を特定できない、もしくは他の情報と組み合わせても個人を特定できないのであれば、個人情報に該当しません。

つまり顧客情報は、必ずしも個人情報に該当するとはいえません。

しかしながら、顧客情報には、顧客の氏名や生年月日など、特定の個人を識別できる情報が含まれているケースが多いでしょう。

事実、BtoCの企業・店舗の販促マーケティング担当者を対象に株式会社ロジック・ブレインが実施した『顧客情報の収集と活用に関する調査』によれば、顧客情報として把握している情報の上位3つは、性別（73.5％）・年齢（64.9％）・生年月日（56.7％）でした。

このように、顧客情報には多くの個人情報が含まれていると考えていいでしょう。顧客情報の取り扱いに関しては、個人情報保護法に基づいた取り扱いを徹底する必要があるといえます。

また、同調査で「それらの顧客情報を活用しきれていない理由について具体的に教えてください」と質問したところ、下記のように個人情報に関連する回答も多く確認できました。

20代 女性 神奈川県｜個人情報保管が厳しいから

40代 女性 埼玉県｜ 個人情報に関わるため、安易に活用しづらい

40代 男性 埼玉県｜ 個人情報保護法の限られた範囲の中でかつ、お客様に不快感を与えないアプローチをしなくてはいけないから

50代 男性 沖縄県｜ 使用制限が厳しいので

このようにマーケティング担当者の中には、顧客情報には個人情報が多く含まれているため、取り扱いに不安に感じている方もいるのではないでしょうか？

 そこで次に、顧客情報を扱う上で押さえておきたい個人情報保護法について解説します。

個人情報保護法の基本

まずは個人情報保護法の成り立ちと、個人情報の定義について確認しましょう。

個人情報保護法とは

個人情報保護法は、個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的とした法律です。2003年5月に制定、2005年4月に施行されました。その後、デジタル技術の進歩や個人情報に対する意識の高まりに対応するために大きな見直しが行われ、3度の改正が実施されました。

平成27年（2015年）改正法のポイント

・取り扱う個人情報の数が5,000人分以下の小規模事業者を対象化

・「匿名加工情報」に関する制度の創設

・国境を越えた域外適用と外国執行当局への情報提供に関する制度の整備

・外国にある第三者への個人データの提供に関する規定の整備

・個人情報保護委員会の新設

令和2年（2020年）改正法のポイント

・保有する個人データの利用停止・消去等の請求権の拡充

・漏えい等が発生した場合の個人情報保護委員会への報告及び本人通知の義務化

・「仮名加工情報」に関する制度の創設

・不適正な方法により個人情報を利用してはならない旨を明確化

令和3年（2021年）改正法のポイント

・個人情報保護法、行政機関個人情報保護法、独法個人情報保護法の3つの法律を統合及び所管の一元化

・医療分野、学術分野の規制を統一

・学術研究に係る適用除外の規定

・個人情報の定義などの統一

このように、個人情報保護法は時代に合わせて改正されています。

個人情報保護法は、個人情報の取り扱いに関するルールです。そのため、国の行政機関や独立行政法人、地方公共団体などだけでなく、個人情報を取り扱うすべての事業者や組織が対象となります。

個人情報の定義

個人情報とは、生存する個人に関する情報です。個人情報保護法において、個人情報は以下のように定義されています。

「個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む）をいう」

つまり「生存する」「個人に関する情報」が、個人情報保護法における個人情報に該当します。個人情報には大きく分けて以下の3種類があります。

例えば、生年月日や電話番号などは単体では個人を特定できませんが、氏名などと組み合わせることで個人を特定できるため、個人情報に該当してしまうケースがあります。ユーザー名やドメイン名から特定の個人と識別できる場合、メールアドレスも個人情報に該当します。

個人情報データベース等、個人データ、保有個人データの違い

次に、個人情報保護法でよく用いられる用語について解説します。

個人情報データベース等と個人データ

個人情報データベース等とは、個人情報をデータベース化したり、検索できるようにしたりしてまとめたものです。個人データとは、個人情報データベース等に含まれている個人情報を指します。

つまり、顧客からもらった名刺に記載されている氏名や電話番号などは、個人情報に該当します。顧客からもらった名刺データをエクセルファイルなどにまとめたものが、個人情報データベース等に該当します。

保有個人データ

保有個人データとは、開示・訂正・削除などの権限がある個人データです。例えば顧客情報や従業員情報などが該当します。

また個人情報保護法では、下記のように、個人情報・個人データ・保有個人データのそれぞれに課せられる義務が異なるため注意してください。

個人情報の取り扱いに関する4つの基本ルール

マーケティング担当者が顧客情報を扱う場合、そこには個人情報や個人データが含まれるケースが多いでしょう。そのため個人情報保護法に則って、顧客情報を適切に扱う必要があります。ここでは、個人情報や個人データを取り扱うときの基本的なルールについて解説します。

取得・利用

個人情報を取り扱うに当たっては、どのような目的で個人情報を利用するのか具体的に特定する必要があります。

また、ターゲティング広告の効果を高めるためプロファイリングを実施する際にも、個人情報の収集が必要であるため、個人情報保護法に則った適切な取り扱いが求められます。

利用目的に関しては、上記のように具体的にどのような事業でどのような目的で利用するのか、本人にわかるように特定する必要があります。

個人情報を収集・利用する際には、本人の同意が必須です。書面やWebフォームなどで明示したり、個人情報の取り扱いに関する方針をWebサイトなどで公開したりすることで、同意を得ることが可能です。

保管・管理

個人データの漏えい等が生じないように、安全に管理するために必要な措置を講じます。また委託先に対しても、個人データの安全管理が図られるよう、監督する必要があります。

例えば、紙で管理している場合は鍵のかかるキャビネットに保管、パソコンで保管している場合はファイルにパスワードを設定するなど、漏えいや紛失が起きないように対策を講じます。

提供

個人データを本人以外の第三者に提供する際には、原則として、あらかじめ本人の同意が必要です。ただし、法的な義務に基づく場合や契約上必要な場合など、例外もあります。

第三者への提供は法人単位で判断するため、同一事業所内での個人データの提供に関しては、同意は不要です。また利用目的の範囲内で個人データの取り扱いを委託する場合も、委託先は第三者には該当しません。

例えば、個人情報の利用目的にダイレクトメールの送付について明記しているのであれば、委託先にダイレクトメールを送付するために個人データを提供するケースでは、本人の同意は不要です。

ただし、個人データの取り扱いを委託した場合、委託先が安全管理措置を適切に講じられるように監督を行う必要があります。

第三者に個人データを提供した場合は「いつ・誰の・どんな情報を・誰に」提供したか、第三者から個人データの提供を受けた場合は「いつ・誰の・どんな情報を・誰から」提供されたかを確認・記録する必要があります。またこれらの記録は、原則3年保存しなければなりません。

開示請求に対する対応

本人からの請求があった場合は、保有個人データの開示、訂正、利用停止などに対応する必要があります。開示請求の方法に関しては、事業者側が定めます。

そのため、ウェブサイトで下記の内容について公表するなど、本人が知り得る状態にしておかなければなりません。

例えば、通販業者に対して、自分の購入履歴などの開示請求が可能です。ただし、開示請求をする際には、通販業者側が定めた手続きに従って行う必要があります。

個人情報の取り扱いに対する苦情を受けた場合は、適切かつ迅速に対処しなければなりません。第三者に個人データを提供した記録も、開示請求の対象です。

顧客情報を安全に管理する上でCRMシステムが最適な理由

CRMツールを使うことで、顧客情報の一元管理が可能です。多くのCRMシステムには、アクセス権限の設定やログの取得、情報の暗号化など、セキュリティ面での対策が施されています。

そのため、エクセルファイルなどで顧客情報を管理するのに比べて、情報漏えいのリスクの低減が期待できます。

顧客情報を管理するためにCRMツールを選択する際には、顧客データ管理や分析機能といった基本機能だけでなく、セキュリティ面についても検討するといいでしょう。

TENPiNは株式会社ロジック・ブレインが提供しているCRMツールです。TENPiNを活用することで、商談履歴、スケジュール管理機能により顧客情報を管理することができます。

引用元：TENPiN公式サイト

それだけでなく、顧客の個性や性格・意思決定の傾向を1000万件を超えるデータベースから導き出すことで、コミュニケーションの最適化が可能となり、売上の向上が期待できます。

更に、TENPiNの開発及びサポートを行う株式会社ロジック・ブレインは、情報セキュリティに関する国際規格のISO/IEC 27001（情報セキュリティマネジメントシステム）を取得しているため、セキュリティの面からも安全だといえるでしょう。

TENPiNに関しては、下記より確認してください。

まとめ

今回の記事では、マーケティング担当者の方々に向けて、下記の項目を中心に顧客情報の適切な取り扱いについて解説しました。

顧客のニーズを把握し、より良いサービスを提供するためには、顧客情報の活用が欠かせません。しかしその一方で、顧客情報には個人情報が含まれるため、個人情報保護法に則って適切に管理することが求められています。

顧客情報の取り扱いについて正しく理解し、適切な取り扱いを心がけましょう。