2023年8月18日公開

【事例別】顧客情報の取り扱いに悩む人必見！顧客情報の取り扱いのポイント

顧客情報の取り扱いについて注意しているつもりでも、日々の業務を進める中で、情報漏えいのリスクを抱えている可能性があります。

例えば、営業担当者間の引き継ぎやCRMツールの利用時など、知らないうちに顧客情報の適切な取り扱いができていないケースもあるでしょう。今回は、下記の項目を中心に顧客情報の取り扱いに関するポイントを解説します。

あなたが抱える顧客情報の取り扱いに関する悩みや不安に対して、解決策や改善点が見つかるかもしれません。では早速、営業担当者間での引き継ぎ時における顧客情報の取り扱いについて確認しましょう。

ケース1：営業担当者間での引き継ぎ時における顧客情報の取り扱い

退職する営業担当者Aさんが管理する顧客情報を、Bさんが引き継ぐことになりました。退職までに時間がなかったため、BさんがAさんの顧客に対して、挨拶のDMを出しました。

解説

退職する営業担当者Aさんが管理していた顧客情報を引き継ぐ場合、個人情報保護法に基づき、顧客情報の取り扱いには注意が必要です。顧客情報の取り扱いには、以下のような事項が考慮されるべきです。

今回の場合、BさんがAさんの顧客に対して挨拶のDMを出すこと自体は問題ありませんが、個人情報の提供元から同意を得ることが必要な場合があります。また、顧客情報の取り扱いに関する契約の締結や、適切な教育・訓練を受けた者が引き継ぐことも考慮すべきです。

ケース2：顧客から別の顧客の情報について開示を求められた場合の取り扱い

店舗内で顧客同士のトラブルが発生してしまった。その時は穏便に解決したが、後日顧客Aより、顧客Bに謝罪したいため顧客Bの連絡先を教えて欲しいと店舗に問い合わせが入った。

解説

店舗側が顧客Bの連絡先を把握していたとしても、顧客Bの了承なしに顧客Aへ顧客Bの連絡先を教えることは、個人情報保護法に違反します。

さらなるトラブルを避けるためにも、直接の開示は避けるのが望ましいです。そのため一旦、顧客Aに顧客Bに対する謝罪文を作成するように伝え、店舗を通じて謝罪文を顧客Bに届ける旨を提案するのもいいでしょう。

それでも顧客Bから、直接謝罪するために顧客Aの連絡先を教えて欲しいと申し出があった場合、顧客Bに顧客Aから謝罪したいと連絡があったこと、それにあたり連絡先を提供していいかという点を確認した上で対応します。

つまり、謝罪したいというような理由であっても、本人に無断で個人データを提供しては いけません。

ケース3：CRMツールに入力時の顧客情報の取り扱い

CRMツールの導入にあたり、営業担当者が個人で管理していた顧客情報を、まとめてCRMツールに入力することになりました。

解説

営業担当者が個人で管理していた顧客情報をまとめてCRMツールに入力する場合、個人情報保護法や個人情報の適切な取り扱いに関する規制に従う必要があります。この時に注意すべきことは下記の3つです。

まずは個人情報の取り扱いに関するルールを、明確にする必要があります。CRMツールに入力する前に、情報の保管場所やアクセス権限、情報の提供先などについて定めておきましょう。

次に、個人情報に関する許可を得ていることを確認してください。個人情報をまとめるために、顧客からの許可を得る必要がある場合があるのです。顧客からの許可が得られない場合、個人情報をCRMツールに入力することは違法となってしまう恐れがあります。

最後に、CRMツールに入力された個人情報に関して、セキュリティを確保することが必要です。CRMツールを選定する際には、アクセス権限の設定やログの取得、情報の暗号化など、セキュリティ面での対策が講じられているか必ず確認しましょう。

ケース4：業務委託時の顧客情報の取り扱い

CRMツールの導入にあたり、顧客情報をシステムに入力する際に、外部の方に業務委託しました。

解説

CRMツールの導入にあたり、顧客情報をシステムに入力する業務を外部に委託する場合には、個人情報保護法や情報セキュリティ基本方針等に基づいて、適切な措置を講じる必要があります。具体的には下記の3つです。

業務委託先は、個人情報を適切に管理し、情報漏えい等が発生しないような措置を講じていることが求められます。委託先の選定にあたっては、適正な選定基準を設定し、十分な調査や確認を行い、安全性の高い業者を選定する必要があるでしょう。

業務委託契約には、業務委託内容や個人情報の取り扱いに関する規定を明示する必要があります。例えば、個人情報の利用目的や保管期間、委託先における安全管理措置、情報漏えい時の責任分担等を、明確に規定するのが望ましいでしょう。

業務委託先に対して、適切な監督を行うことも必要です。例えば、業務遂行状況の把握や委託先による個人情報の管理状況の確認等を、定期的に行うのが望ましいでしょう。

以上のように、業務委託による個人情報の取り扱いには、法的要件を遵守し、適切な措置を講じることが必要です。また取引先に対しても、個人情報の適正な取り扱いを求めることが重要です。

ケース5：リモートワーク時の顧客情報の取り扱い

リモートワークの際に、会社のクラウドにアクセスして顧客情報を表示したまま離席したところ、家族がその顧客情報を見てしまいました。

解説

この場合、個人情報の流出に該当します。

個人情報保護法によれば、個人情報は適切な管理措置を講じることが求められます。また、個人情報を管理する者は、その業務の範囲内で個人情報を利用することとし、その目的の範囲内での利用に限定し、不正アクセス、個人情報の紛失、破壊、改ざんおよび漏えい等の危険に対する適切な安全対策を講じることが求められます。

したがって、リモートワークの際にも、企業は適切なセキュリティ対策を講じ、顧客情報に対して不正にアクセスされることを防止する必要があります。

このような事態を避けるために、企業側ができる対策は以下の通りです。

企業は、リモートワークに関するポリシーを策定し、従業員に周知徹底する必要があります。ポリシーには、個人情報の取り扱いに関するルールや、セキュリティ対策についてのガイドラインなどを含めるのが望ましいです。

従業員がリモートワーク中にクラウドにアクセスする際には、暗号化された通信の利用が必須です。これにより、データが盗聴されることを防止できます。

さらに、クラウドにアクセスできる社員を限定します。パスワードの強度を高めたり、2段階認証を導入したりすることで、セキュリティの強化を図りましょう。

企業は、定期的にセキュリティ対策を実施することが必要です。セキュリティ対策は、外部からの攻撃に対する防御だけでなく、従業員への教育や意識向上などの内部対策も含まれます。

リモートワークを導入する際には、適切なセキュリティ対策を講じた上で行いましょう。

ケース6：オンラインセミナーにおける個人情報の取り扱い

自社主催のオンラインセミナーで、講師が受講生に講座内で、名前と今住んでいる場所について質問しました。その後、質問部分をカットせずに、オンラインセミナーの動画を社外に公開しました。

解説

このケースは個人情報の流出に該当します。

名前や住所などの個人情報は、一般的には個人を特定することができる情報です。そのため個人情報保護法によって保護されます。

個人情報保護法では、名前や住所などの個人情報は、本人の同意なくしては収集・利用・提供ができないとされています。講師が受講生に質問して、個人情報を収集すること自体は問題ありません。

しかしその後、質問部分をカットせずに、オンラインセミナーの動画を社外に公開した行為は、個人情報保護法に違反する可能性があります。なぜなら、個人情報を収集・利用・提供する際には、適切な手続きや本人の同意を得る必要があるからです。

つまり、オンラインセミナーの動画を社外に公開する場合には、収集した個人情報の利用目的や範囲を明確にし、事前に本人の同意を得る必要があります。

また、個人情報が含まれる動画を公開する場合には、顔や声、名前、住所などの個人情報を適切に加工することが求められます。具体的には、顔をぼかしたり、音声を加工したり、実在する住所を伏せたりして、個人が特定できないようにします。

オンラインセミナーを主催する企業は、このような問題が起こらないよう、個人情報保護についての意識を高める必要があるでしょう。

まとめ

今回の記事では、顧客情報の取り扱いに悩む方々に向けて、下記の項目を中心に顧客情報の適切な取り扱いのポイントについて解説しました。

顧客のニーズを把握し、より良いサービスを提供するためには、顧客情報の活用が欠かせません。しかしその一方で、顧客情報には個人情報が含まれるため、個人情報保護法に則って適切に管理することが求められています。この機会に、自社における顧客情報の取り扱いについて見直してみませんか？