全ての事業者必見!改正個人情報保護法の変更ポイント

江戸時代の商人は、火事が起きると、お金や商品よりもまず先に顧客台帳を持って逃げ出したといいます。お得意様(リピーター客)との関係こそ最も価値のある財産であり、焼けてしまったお店を建て直すにも、失った商品を再び仕入れるにも、お客様との関係を維持してこそ取り戻す意味があると考えていました。

現代においても、顧客情報はビジネスの要であるといえます。氏名や住所などの基本情報に加えて、お客様の購買傾向や趣味嗜好を把握しておくことは、一人ひとりの特性に合わせたきめ細かいサービス提供に繋がります。お客様の好みや普段の行動に合った的確なサービスは、満足度を向上させるだけでなく、次回も来店したいという気持ちを掻き立て、繰り返しの来店を促すことになります。繰り返しの来店は、安定した売り上げには欠かせません。リピーター客の獲得は、長期的に安定した利益を得るという意味でも事業者にとって特に注力したいポイントではないでしょうか。

参考:コストをかけずにリピーター客を獲得するための5つのヒント

リピーター客の情報を管理するには、顧客リストの作成が必須です。江戸時代の商人は大切なお客様の情報を帳簿で管理していました。しかし、インターネットが発展し、スマートフォンなどの情報機器が普及している現代では、膨大な情報をかんたんに検索したり編集できるツールを利用して顧客情報を管理することができます。

Squareを使えば、貴重な顧客情報をオンラインの顧客リストに安全に保存でき、いつでもどこからでもアクセスすることができます。Square POSレジを使って会計時に新規のお客様情報を顧客リストに追加することもできれば、既存のお客様情報をまとめて顧客リストにアップロードすることもできます。リストからお客様情報を選んでクラウド請求書を送ったり、来店頻度や決済履歴を確認することもできます。

人々の生活を支えるテクノロジーは、より先進的なサービス展開に向けて今後も発展を続けていくでしょう。

一方、個人情報を提供するお客様が抱く不安が強まっているのも確かです。お客様は、快適なサービスを受けることを前提に自分の情報を事業者に提供しています。事業者には、お客様から預かった情報が外部に漏洩したり別の目的に使われたりすることを防止し、適切に取り扱う責任があります。

これを法律で義務化したのが個人情報保護法(個人情報の保護に関する法律)です。個人情報保護法は、個人の権利と利益の保護を目的とし、事業者に対して個人情報の取り扱い方法を定めた法律です(2005年施行)。しかし、情報社会の急速な発展により、貴重な個人情報が不特定多数の者によって閲覧される危険性は大きな問題になっていました。

そこで、10年以上ぶりに個人情報保護法と関連する法律の内容を見直す改正案が提出され、2017年5月30日に個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の改正法が全面施行されました。

今回は、個人情報を取り扱う全ての事業者に適用されることになった改正個人情報保護法について紹介します。

ネットショップを無料で開始するならSquare

EC作成から、オンライン決済、店舗連動の在庫管理まで、便利な機能が無料で簡単に始められます。

全ての事業者に適用

alt text

改正前までは、顧客リストなどに含まれる「個人情報によって識別される特定の個人の数」の合計が過去6ヶ月以内のいずれの日においても5,000を超えない場合、個人情報取扱事業者としての義務は課せられませんでした。

しかし、改正法では、適用範囲の制限が取り払われ、中小企業、BtoBの事業者なども個人情報保護法が適用されます。それまでは関係ないと思っていたスモールビジネスの事業者や個人事業主も法律が適用されます。

※ただし、一定の条件を満たせば、簡易な安全管理措置が許される中小規模事業者として区分されます。詳しくは、個人情報保護法ガイドラインにおける 安全管理措置及び小規模の事業者への配慮に関する 基本的な考え方(個人情報保護委員会)をお読みください。

新たに導入された概念

alt text

個人識別符号

改正法では、グレーゾーンが多かった個人情報の定義を明確化しています。改正前個人情報保護法では、個人情報は、

生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

と定義されていました。改正法では、個人情報の範囲は変わらないものの、特定の個人を識別することができるものを個人識別符号と定義しています。個人識別符号とは、以下の二つのいずれかに該当するものであり、政令・規則で個別に指定されています。

  1. 身体の一部の特徴を電子計算機のために変換した符号(DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋)

  2. サービス利用や書類において対象者ごとに割り振られる符号 (パスポート番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、 各種保険証など)

要配慮個人情報

要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪歴など、不当な差別や偏見など、本人にとって不利益が生じる可能性のある個人情報を指し、その取り扱いに特に配慮を要する情報として改正法で新たに規定されました。

事業者が従業員からこれらの情報を取得する必要があるときは、あらかじめ取得目的を従業員本人に明らかにし、同意を得ることが必要です。

利活用のために

alt text

匿名加工情報

改正法で新たに導入された概念の一つに匿名加工情報があります。匿名加工情報とは、その情報からだけでは特定の個人を識別できず、該当する個人情報を復元できないように匿名化した情報を指します。第三者に提供する際に本人の同意を得る必要はありません。

例えば、顧客の購買傾向を分析するために、お客様一人ひとりの年代や購入内容を記録するとします。このとき、お客様個人の生年月日や来店時間などを正確に記録する代わりに、「20代女性」や、「午後1時から5時の間」とグルーピングすることで、当該個人情報が復元できない匿名加工情報として取り扱うことができます。

情報通信技術の発展は、莫大な情報の収集・分析を可能にしました。大量の個人に関する情報(ビッグデータ)は、人々の行動や趣味嗜好を分析するのに有効なデータです。

個人情報保護委員会が出している個人情報の保護に関する法律についてのガイドライン (匿名加工情報編) を読んで、匿名加工情報の扱い方を理解した上で、事業に適切に利活用してみましょう。

利用目的の変更

改正前の個人情報保護法では、取得した個人情報の利用目的を変更する場合、元々の利用目的と相当の関連性が認められる範囲内に限られていましたが、改正法では、「相当の」という文言が削除され、個人情報を取得した時の利用目的から新たな利用目的への変更を制限する規定が緩和されました。

事業者にとって、既に取得した顧客情報などを他のサービスや事業展開に利用できる可能性が広がりましたが、利用目的の変更範囲は当該個人が想定し得る範囲内と定められているので、判断には十分注意が必要です。

大切なお客様の情報を守るために

alt text

個人情報保護法の改正は、個人情報を扱う全ての事業者が、自社内における個人情報の取り扱い方を見直すきっかけになったといえるのではないでしょうか。とはいえ、これまで法律の対象外だった事業者にとって、今すぐに個人情報保護法を完璧に理解して事業に反映させることはかんたんではないかもしれません。

個人情報保護委員会は、中小企業や小規模事業者向けに、自社(自店)のお客様や従業員の情報を適切に扱っているかを確認できるチェックリストを出しています。ビジネスの成長の要であるお客様情報を適切に扱う事業者になるためにも、是非、確認してみてください。

執筆は2017年6月9日時点の情報を参照しています。
当ウェブサイトからリンクした外部のウェブサイトの内容については、Squareは責任を負いません。