最近,ある化粧品店のポイント・カードをもらったとき,ふとした変化に気付いた。3年前に同じ店舗でポイント・カードを発行してもらったときには,住所や氏名などを記入する必要があった。ところが今回は,何も記入せずにすぐポイント・カードを発行してもらえた。
話を聞くと,一定のポイントがたまってカードを更新するときに初めて,住所や氏名を記入する方法に変えたという。余計な個人情報を抱え込まないためだろう。個人情報保護に対する企業の意識の変化を一消費者として実感できた。
個人情報保護への意識が変わり始めた
冒頭の例はささいなものだが,確かに世の中は変わってきている。いうまでもなく,頻発する個人情報漏えい事件(関連記事)――2004年には200件以上の事件が報道された――と,2005年4月から全面施行される個人情報保護法が原因である。
個人情報保護に関する意識の高まりとともに,「個人情報を保有することは,様々なリスクやコストを抱え込むこと」という認識が多くの企業に広まっている。冒頭の化粧品店と同様に,「いつか利用するかもしれない」程度の個人情報については,収集するのを止める企業が増えている。
パルコと同社のメール配信業務を担うパルコ・シティも同様だ。個人情報保護法の成立をきっかけに,過去に収集した顧客データの中から,不要な項目を削除することした。「絶対にあってはならないが,もし個人データの漏えいが発生した場合でも,顧客が被る影響をできるだけ最小限にすることが不可欠」(代表取締役専務 ジェネラルマネジャー 今枝立視氏)と考えた。保有していた約20万人分の個人データから,「氏名」「電話番号」「職業」などの項目を削除した。
顧客対応も個人情報保護法への対応の一つ
企業の意識が変わり,個人情報保護への意識が高まることは,顧客としては喜ばしい。ただ,「個人情報保護」あるいは「個人情報保護法への対応」というと,つい,情報漏えい対策のみが強調されてしまう。もちろんそれも重要だが,情報漏えい対策だけでは不十分なのである。個人情報保護法に備えるべき企業は,そのことを忘れないようにしたい。
情報漏えい対策以外の個人情報保護法への備えの一つとしては,顧客対応が挙げられる。個人データを提供した本人から当該データの開示や利用停止を求められたら,企業は原則として応じなければならない。このときの対応手順や体制をあらかじめ整備しておく必要がある。
現在では相次ぐ個人情報漏えい事件によって,自分の個人情報の使われ方に対して,消費者の意識は大きく変わってきている。このため,個人情報保護法が全面施行されると,消費者から自分の個人データに関する問い合わせが増えることが予想される。
「顧客対応窓口の担当者に社員教育を施せば十分」と考えている企業は少なくないだろう。もちろん教育も重要だ。だが教育だけでは,開示すべき情報の範囲を誤ったり,本人になりすました者に開示してしまったりする恐れがある。法律にのっとった対応が間違いなくできるように,専用の業務アプリケーションを作って対処したい。
個人データの利用目的の管理についても,システムの力を借りたい。「どういう利用目的で収集したデータなのか」をきちんと管理しておかないと,“うっかり”利用目的を超えた使い方をする恐れがある。そうなれば,もちろん法律違反である。
まだ間に合う!早急に再点検を
顧客対応や利用目的の管理以外にも,「情報漏えい対策以外の個人情報保護法対応策」は複数存在する。具体的にどのような対策を施すべきかは,経済産業省などが公開しているガイドラインが参考になる。
ガイドラインはあくまでも指針であり,拘束力は弱い。しかし,「ガイドラインで『しなければならない』と明記されていることについては,基本的にやっていなければ違法となる。できる限り対策してほしいことについては,『望ましい』と明記している」(経済産業省 商務情報政策局 情報経済課 課長補佐 鳥丸忠彦氏)。ガイドラインだけを頼りにしすぎるのは危険だが,最低限実施すべき内容が明確に示されたため目安になる。
情報漏えい対策だけに力を入れてきた企業では,個人情報保護法のほかの対応策がなおざりになっている可能性がある。個人情報保護法が全面施行されるまであと4カ月。残された時間は少ないものの,まだ間に合うことも多い。これまである程度の情報漏えい対策を実施してきた企業も,もちろんそうではない企業も,ガイドラインを参照して改めて確認してほしい。そして,法律の要件を満たしているかどうかを緊急に点検し,不足があれば追加の対策を行いたい。
日経システム構築12月号でも,個人情報保護法対応策として,実際に企業で実施すべき対策項目などをまとめた。少しでも役に立てていただければ幸いである。
(岡本 藍=日経システム構築)
