マーケティング担当者が絶対に知っておきたい!個人情報保護法の基礎

マーケティング担当者が絶対に知っておきたい!個人情報保護法の基礎プロモーション
2024.11.25

マーケティングや営業の仕事に携わっていると、普段から大量の個人情報を取り扱うことも多いかと思います。

今や一瞬で情報が世界中に拡散される時代、個人情報の漏洩は何が何でも避けたいもの。

しかし個人情報保護委員会の調べによれば、2023年度の企業や行政機関からの個人情報の漏洩事故は1万3279件と1日あたり35件も発生しているそうです。

セキュリティ事故が起こる要因も多様で、どの企業にも漏洩のリスクはあるといえます。

そこで今回はマーケターとして知っておきたい、個人情報保護の基礎についてお教えします。

個人情報漏洩の主なリスクについておさらい

セキュリティ事故が当人や所属している企業にとって、どれほど重大なリスクを引き起こすか改めて見ておきましょう。

当事者と法人の両方に刑が科される

個人情報の流出などのセキュリティ事故が発覚した場合、政府機関である個人情報保護委員会が企業に対して立ち入り検査などを行い、業務改善命令を出します。

この命令に従わなかった場合、漏洩した当事者に1年以下の懲役または100万円以下の罰金が科されるほか、所属する法人にも1億円以下の罰金が科されてしまいます。

また事故の内容によっては、不正アクセス禁止法違反や電子計算機使用詐欺罪などに該当するとみなされる可能性もあります。

かつては保有する個人情報の件数が5,000件未満の場合は個人情報保護法の対象外となっていましたが、2022年の法改正によって1件でも個人情報を保有していれば必ず個人情報保護法を遵守しないといけなくなりました。

 

関係者への賠償対応の負担が発生する

個人情報を流出された法人や個人が損害賠償を請求した場合、事故を起こした側に賠償金として慰謝料や請求手続きにかかった費用を払う責務が生じます。

賠償金の額は流出した個人情報の種類によって異なり、氏名や住所といった秘匿性の低いものは一人あたり数千円程度ですが、アカウントのパスワードや過去の病歴など漏洩が当人への犯罪行為や差別などの原因となりやすいものは一人あたり三万円ほどにまで上がります。

一人あたりの賠償額が数千円というと低く感じた方もいるかもしれませんが、何百人何千人に支払うことを考えると合計すれば相当な金額になりかねません。

クレジットカードの番号が流出して不正利用されたといった二次被害が発生した場合、賠償金の額はさらに数万円上がってしまいます。

ちょっとした不注意で起きたセキュリティ事故で、会社の資産が大きく損なわれることになってしまいます。

 

企業のブランドイメージ低迷につながる

セキュリティ事故が起こったことが社外に知れ渡った場合、企業のブランドイメージに悪影響を及ぼし株価や業績の低下につながるリスクもあります。

2022年にサイバーセキュリティークラウドが行った調査によると、2021年に個人情報漏洩が発覚した上場企業の8割が発覚以降に株価が下落し、再び上がり始めるまで平均で30日ほどかかっています。

実際にある通信教育サービスの企業で顧客データベースの情報が流出した事件が起きた際には、サービス利用者が大幅に減ったり児童向けに開催予定だったイベントが軒並み中止になったりとブランドイメージの低下が目に見える形で現れています。

ブランドイメージが悪化すれば企業や法人同士のつながりにも悪影響を及ぼし、業務提携や取引などが停止する可能性も十分にありえます。

 

個人情報の取得は「オプトイン」が必須に

オプトインは企業や法人が宣伝メールを送ってもいいかユーザーに事前に許可を得る仕組み、あるいはユーザーが送ってもよいと許可を出すための仕組みを指します。

メールマガジンやセールのお知らせなどメールによる販促活動を行うためには、ユーザーが個人情報の利用に同意するようオプトインの仕組みを設置しないといけません。

どんなに顧客の関心を集められそうな内容でも同意なしではDMを送信できないため、オプトインはメールマーケティングにとって必要不可欠なものといえます。

オプトインにより同意を得ていることで、顧客側は個人情報を悪用されるおそれがなくなり法人側は信頼できる個人情報を扱えるようになるため、双方の信頼性を向上しやすくなります。

 

オプトインで個人情報取得の同意を得る方法

消費者庁ではリード顧客の個人情報を取得する方法として、ダブルオプトインというものを推奨しています。

ダブルオプトインは以下のように2回の確認を通じて、ユーザーの同意を確実に得る方法です。

  • ユーザーが問い合わせフォームにメールアドレスを記入する(1回目の確認)
  • 記入されたアドレスに確認メールが送信される
  • ユーザーが確認メールを通じてメール配信などに同意する(2回目の確認)
  • 配信が確定してダブルオプトインの状態になる

ダブルオプトインは、まず送信者側がユーザー側にプライバシーポリシーを読んでもらって同意する旨のチェックボタンをクリックしてもらうなどの手順で「ユーザーに同意するよう依頼」したのち、ユーザー自ら確認メールにあるリンクを開くといった手順で「ユーザーが同意を許可」するという流れとなっています。

第三者が勝手に個人情報を登録してしまうのを防ぐという理由から、消費者庁がダブルオプトインを推奨しているのです。

一方でメールアドレスなどの記入だけで同意を確認するシングルオプトインという方法もあり、ユーザーにとって手順の負担が少なく気軽に申し込んでもらえやすいことから、こちらの方法を採用している企業も少なくありません。

 

Cookie情報の取得も「オプトイン」が必須

企業の公式サイトなどでよく「Cookieの取得を許可しますか?」というポップアップが表示されますが、これもオプトインによる同意確認の用例といえます。

インターネット上の個人情報ともいえるCookie情報は、ユーザーのWEB上の行動履歴を分析してWEBコンテンツの改善に役立てられるため、世界中の多くのWEBサイトで活用されてきました。

近年ではプライバシー保護の観点からCookieの利用を規制する動きが広まっており、Cookie情報の取得そのものを行わなくなった企業も増えています。

 

オプトイン後のメール展開の必要事項

相手からのメール送信の許可をオプトインで得られたといっても、どんな内容のメールを送ってもいいわけではありません。

特定電子メール法では、メールの本文内に氏名や住所などといった送信者の情報を表記することを義務付けています。

加えて、メールの配信停止や会員登録の解除などを自由に行うための導線(オプトアウトリンクやオプトアウトボタンとも呼ばれます)をメール本文のわかりやすい場所に設置するのも義務となっています。

また個人情報取得の同意を得たことを示す記録は時期やアクセス経路などが分かるよう、保管しておく必要があります。

保管期間は最後のメール配信日から1ヶ月間ですが、特定電子メール法による措置命令を受けている場合は1年間保存しなければなりません。

他にもメールの配信の目的が販促や宣伝であることを分かりやすく提示する必要があり、一般的には申し込みフォームでの補足説明やプライバシーポリシーに書かれることが多いです。

 

オプトアウトの状態でのメール展開が違法に

個人情報の取得の同意を得るオプトインとは対照的に、相手が個人情報の取得や利用を許可していないこと、あるいは拒否することをオプトアウトと呼びます。

ウイルスやマルウェアを含んだ悪質なメールやスパムメールは、不特定多数のユーザーへ許可なくオプトアウトの状態で送り付けられることが一般的です。

こうした背景もあり、特定電子メール法によりオプトアウトの状態で一方的にDMを送り付ける行為は違法となっています。

 

オプトインの省略が例外的に認められることも

名刺などで直接的に個人情報を取得した場合は、すでに相手の同意を得たとみなされるためWEB上で改めて同意確認を行わなくても法的に問題はありません。

また広告やWEBサイト上で公表されているメールアドレスも、事前の同意確認なしでメールを送信することが許可されています。

 

オプトインに欠かせない「プライバシーポリシー」

プライバシーポリシーはWEBサイトにおいて取得した個人情報をどう扱うか明確に公表したもので、個人情報保護方針とも呼ばれます。

法人は顧客の個人情報を取り扱う際の方針を公表する責務があるため、プライバシーポリシーの掲載も事実上の義務となっています。

そのためチケットの予約や会員登録などWEB上で個人情報を取り扱う際には、ユーザーにプライバシーポリシーを確認してもらう手順が入ります。

プライバシーポリシーでは、一般的に個人情報を取り扱う責任者の基本情報、取得方法、利用目的などが記載されます。

個人情報保護法と関わる内容も含まれるため、法改正の際には改正内容にあわせてプライバシーポリシーも更新する必要があります。

 

プライバシーポリシーの記載内容の例

プライバシーポリシーに書かれている内容は、その企業の事業内容や事業の提携先などによって異なります。

今回はホテルや新幹線・飛行機のチケットなどの予約を扱っている大手旅行サイトを例に、プライバシーポリシーの内容を端的に見ていきましょう。

【A社のプライバシーポリシー】

  1. 個人情報の取得方法ならびに取得する個人情報の種類
  2. 取得した個人情報の利用目的
    (ユーザー向けサービスの運営ならびに開発・各種広告の配信・口コミやアンケート内容の引用など)
  3. 提携している企業・団体などへの個人情報の提供について
    (提供先の法人名や提供する個人情報の項目や目的ならびにプライバシー保護のための配慮など)
  4. 提携している企業・団体などからの個人情報の受領について
    (提供元の法人名や受領した個人情報の項目や目的など)
  5. 個人情報の取り扱い業務の外部委託について
  6. 提携している外国法人などへの個人情報の提供について
  7. ユーザーによる個人情報の開示・削除などの請求について
  8. 個人情報の提供の任意性
  9. 個人情報保護・管理の責任者
  10. 個人情報に関する連絡先
  11. サイト運用会社の別サービスにおける個人情報の連携等について

細かい言い回しや表現は異なるものの、一般的なプライバシーポリシーは上記のような構成で書かれています。

また企業によってはGoogle Analyticsなどのアクセス分析ツールでの個人情報の利用について、見出しを独立させてまとめているところもあり、アクセス分析ツールを使ってどの項目の情報を取得して、SEO改善などどんな目的で活用するかといった内容が記されています。

 

マーケティングにおいてオプトインとプライバシーポリシーは重要

日常的に膨大な個人情報を取り扱っているマーケターにとって、セキュリティ事故を防ぐための個人情報保護の基礎は絶対に知っておかないといけません。

問い合わせや新規会員登録などでWEB上で個人情報を取得する場合は、事前にオプトインによるユーザーの個人情報取得・利用の同意を得る必要があります。

またオプトインにより同意が取れたあとも、メールを展開する際には送信者の情報が明記されていて難なく配信などの解除が設定できるような仕組みにしないといけません。

そしてプライバシーポリシーにより、取得した個人情報をどう扱うかユーザーに公表することで、ユーザーが安心して個人情報を提供できるWEBサイトを実現する必要があります。

 

タイトルとURLをコピーしました