そのままの運用方法で、ペナルティ最大1億円！？改正個人情報保護法への対応を突破して、
攻めに転じる一手

個人情報保護法の施行から16年以上が経った。その間、個人情報の取り扱いの多くが紙から電子データに移行し、漏洩事故による影響はその数や量、伝搬の速度や範囲など全ての面において、施行当時とは比較にならないほど大きくなった。企業の信頼どころか存続にも関わる重大なプライバシー・リスクを下げ、個人情報の安全で安心な利活用を促進する個人情報保護法は、現代の企業や組織が遵守すべき最も重要な法律の一つである。

今、「個人情報保護法のことはよく知らない」、「個人情報についてはあまり考えていない」という企業や組織はさすがにないだろう。しかし、正しく遵守できている企業は果たしてどの程度あるのだろうか。

個人情報保護法は、施行から現在に至るまで、小さな見直しも含めて何度か改正されている。大きな改正としては、2015年に情報通信技術の発展によるパーソナルデータの利活用を目的とした改正法が施行され、その際に3年ごとに見直す規定がなされた。その見直し規定に基づいて、2020年6月に新たな改正個人情報保護法が国会で成立し、2022年4月から全面施行されることが決まっている。IT技術の急速な発展に対応するため、非常に早いサイクルで改正されている。企業や組織は、常に最新の個人情報保護法を把握し、柔軟に追従していける体制や仕組みをアップデートしていく必要がある。

改正 個人情報保護法 の全面施行まであと半年

今回の改正個人情報保護法では「個人の権利」、「事業者の守るべき責務」、「事業者による自主的な取組を促す仕組み」、「データ利活用」、「ペナルティ」、「法の域外適用・越境移転」の6項目に渡る全面的な改正が行われている。そのなかで企業の販売促進活動に特に重要と思われるポイントを簡単に紹介する。

「個人の権利」では、個人情報の利用停止や消去の請求権を拡充し、保有している個人データや第三者への提供記録の開示請求に応える義務が強化された。これまで個人データの開示請求がされた場合には文書で提供すればよかったのだが、改正法では文書または電子データのどちらかを請求者が指定できるようになる。

また、本人が提供停止を求めなければ本人の同意なしで第三者に個人情報を提供できるオプトアウト規定は、その利用範囲が大幅に制限される。主に名簿業者による個人情報の不正な流出を防ぐのを目的とした改正で、オプトアウト手続きによって取得した個人情報を第三者に提供する場合には、個人情報保護委員会への届け出が義務化された。

「事業者の守るべき責務」については、漏洩等の発生時の個人情報保護委員会への報告と本人への通知が義務化されたことが大きい。企業や組織には、漏洩が発生した場合に備えて、委員会への報告や本人への通知を行うためのフローを整備し、通知システムを構築しておくことが求められる。

そして、企業や組織にとって非常に大きなインパクトとなるのが、「ペナルティ」だ。今回の改正では法人に対する罰則が大幅に強化された。個人情報保護委員会からの命令違反について、現行法では30万円以下の罰金だったものが、一気に1億円以下まで引き上げられた。また、個人情報データベース等の不正提供についても50万円以下だったものが1億円以下まで引き上げられている。

対岸の火事では済まされない

個人情報保護法は「個人情報をデータベース化して事業に利用している事業者」を対象としており、2005年4月の施行時には5,000人以下の個人情報を扱う事業者は対象外とされていたが、2017年5月の改正で人数による適用除外が外された。例えば、名刺交換で得た個人情報をPCに保管して新商品の案内をメールで送るだけで個人情報保護法の対象になる。法人や個人事業、事業規模や個人データの保有数の区別なく、全ての事業者が対象だ。

今回の改正では、先ほど紹介した以外にも、現代の情報通信技術を前提とした現実的で細かい規定が広範囲に渡って盛り込まれている。そのため、確実に法令を遵守するためには、担当者や担当部署が今までよりも少しだけ気を付ければよい、などというレベルでは対応できない。事前に改正法案を正しく理解し、然るべき仕組みやフロー、システムの構築が必要となるだろう。

改正個人情報保護法が現場に与える影響とは

それでは、改正個人情報保護法が営業やマーケティングなどの販売促進活動におよぼす影響は、どのようなことが考えられるだろうか。

前述した通り、個人の権利が拡充されたことで、改正後は個人データに関する本人からの問合せが急増することが考えられる。開示請求された場合には、速やかに文書、または電子データで提供する必要があるため、営業活動やマーケティング活動で入手した名刺やアンケート、リード情報を担当者や部署単位で保管、管理している状態では企業として正しい対応ができなくなる。個人情報をデータ化し、開示や削除の請求に対して迅速にアクションできる保管と管理の仕組みを構築しておかなければならない。

今回の改正では、個人情報漏洩が発生した場合の本人への通知が新たに義務化された（ただし、1000人以上の漏洩、または人種、信条、社会的身分、病歴、障害など、原則として事前に本人の同意を得る必要のある要配慮個人情報の漏洩の場合）。もしも個人データが保管されたPCやスマホを紛失し、そのデバイスにしか個人データが保管されていなかった場合、本人への通知ができず法令違反となる。個人データをセキュアな環境で保管・管理する仕組みやシステムが求められる。さらに、漏洩が発覚した際に速やかに委員会への報告、本人への通知ができる仕組みやフローを整備しておく必要もあるだろう。数人程度の漏洩であれば、手作業で一人ずつ通知することができるかもしれないが、数百人、数千人、さらに数万人単位になると、もはや手作業では不可能だ。ITを活用した緊急通知システムを構築したり、緊急時における対策委員会の模擬訓練をしたり、といった入念な準備をしておく必要がある。

また、オプトアウト規定によって取得された個人データの第三者への提供が制限されたことで、名簿業者から購入した個人データを使ったビジネスでは、今までより多くの確認作業が必要になる。名簿業者が不正に入手したリストではないか、個人データの第三者への提供について本人の同意が取れているか、を確認し、データの入手経路を明確に記録しておかなければならない。オプトアウトにより取得した見込み客のリストを代理店やパートナー企業と共有してセールス、マーケティング活動をすること自体が非常に難しくなるだろう。

お客様へのサービスの一環として、誕生日や記念日にプレゼントを贈ったり、好みの髪型や洋服などを写真に撮って次回の訪問に活用したりする場合も注意が必要になる。改正法では、個人データと関連付けることで個人を特定できる誕生日や記念日、顔や身体の一部が映った写真、動画なども個人データとして扱う義務があると規定された。それがスタッフのスマホに保管されている場合も個人情報保護法が適用される。

まずは何をするべきか

では、現実的には何をするべきだろうか。まず、最低条件として挙げられるのが、紙による管理からの脱却だ。前述の通り、改正法では、個人情報の開示方法を電子データに指定された場合に、それに応じる義務が生じる。また、個人データの入手経路を明確にしたり、社内での分析作業に個人データを利用する際に氏名をIDに置き換えたりするなどの措置も求められる。多くの場面で紙による管理では対応できなくなる。キャビネットや引き出しの中のファイルに格納してある個人データは、1日でも早くデジタル化した方がよいだろう。

次に、部署単位の共有ファイルやスタッフのPC、個人のスマホなどに分散している個人データを集約して統合管理することが重要だ。しかし、社内で集められたデータが全て同じフォーマットやファイル形式とは限らないだろう。まずはこれを統一してデータベース化することから考えなければならない。

個人データはCRMに集約、一気に攻めに転じる

個人データを集約してデータベース化する場合、いくつかの選択肢が考えられる。すぐに思い付くのは、使い慣れたエクセルなどの表計算ソフトに集約することかもしれない。名刺スキャンサービスも、ペーパーレス化の観点から魅力的に感じても不思議は無い。しかし、こうしたやり方では、目先の解決策にしかならないだろう。個人データを集約してデータベース化するというよりも、単に置き場所や保管方法を変えるだけに過ぎず、結果的に情報の散在を助長することに繋がりかねないからだ。

ではどうすればよいのか。ここでCRMの出番である。CRMで個人データを統合管理しておけば、 開示請求への レスポンスもリアルタイムに行えるし、万が一の漏洩の際も対応プロセスを自動化することで迅速な通知が可能になる。オプトアウト規定で取得した個人データも入手経路などが可視化されることで、不用意な第三者への提供も防げる。改正個人情報保護法の遵守は、ほぼ全ての項目においてクリアされると考えてよいだろう。

さらに、個人データに紐付けられている属性や趣味、嗜好、行動パターンなどを分析することで、これからのビジネスに必須のワンツーワンマーケティングが可能になり、売上げや利益の向上、新たなビジネスの創造を見据えることができる。CRMを活用することで、個人データは単に守るべきものから企業の重要な情報資産に変化を遂げ、攻めに転じるための強力な武器になるのである。

CRMへの移行は想像以上に簡単

「CRMの必要性は理解しているが、導入時のデータ入力や移行に手間と時間とコストが掛かる・・・」。こんな印象はすでに過去のものとなった。すでに世界で25万社以上が導入し、使いやすさを追求しているZoho CRMであれば、様々なファイルやデータをクリックするだけで簡単に移行することができる。エクセルやCSVファイルはもちろんのこと、SalesforceやZendeskなど他社製のCRMのデータ取り込みも、メニューでデータ形式を選択し、クリックするだけで自動的に完了する。もちろん、名刺スキャンサービスのデータインポートもサポートしている。

個人データの開示請求への対処も簡単にできる。開示する際の本人への通知メールはテンプレートとして用意されており、それを利用するだけでよい。開示までの社内プロセスや届け出プロセスなどもマクロを組んで自動化できるので、クリック一つで実行可能だ。個人データの入手経路に関する情報も詳細に管理可能だ。その他、改正個人情報保護法に対応したセキュリティ対策を施すための各種機能が搭載されている。欧州の一般データ保護規則（GDPR）など、世界標準の厳格なルールへの対応も適切に行える。

Zoho CRMはクラウドベースのWebアプリケーションのため、自社でサーバーを用意する必要がない。また、Zoho CRMには永久に無料で使える「無料プラン」が用意されている。ユーザー数や扱えるデータ容量、機能に制限はあるが、企業規模や情報量があまり大きくなければ、個人データの統合や基本的なCRM機能の活用、そして改正個人情報保護法への対策に十分対応できるはずだ。

さらに、SFA（セールスフォースオートメーション）の機能を最大限に活用したビジネス効率向上に取り組むのであれば、無料プランからそのままアップグレードもできる「有料版」の導入が効果的だ。初期費用もオプション料金もかからないシンプルな価格構成で、1ユーザーあたり月額¥1,680（税抜き・年間契約の月額換算）から、最新機能を搭載したエンタープライズレベルのCRMを利用することができる。機能に応じてスタンダードからアルティメットまで4つのプランが用意されているので、事業規模やニーズ、予算に合わせた投資の最適化が図れる。また、全ての機能を15日間無料で使える「無料お試し期間」を使えばデータ移行と実際の運用を想定したPOC（Proof of Concept）も気軽に実施できるので、無料期間中に導入に伴う様々な課題を洗い出し、本格稼働後のリスクを最小限に抑えることが可能だ。

Zohoはグローバル企業として、プライバシーへの取り組みを全世界／全部門において徹底的に強化し実施していくことを、個人情報保護方針で明言している。それは、お客様の個人情報の重要性を企業として強く認識し、安心して利用してもらうために他ならない。我々は、個人情報保護のプロフェッショナルであり、お客様に信頼していただける、よき相談相手であることを目指して日々ビジネスを行っている。

改正個人情報保護法の施行まであと半年。これをきっかけに、個人データの利活用を最大化して、競争力の向上と、安全で安心な個人情報保護の仕組み作りの両立を狙ってみてはいかがだろうか。