私たちはマーケターとして、マーケティング戦略の企画、立案、実行、運用を行う際に、関連する法規制を遵守することが重要です。たとえば、景品付きキャンペーンの企画や一般広告の表現を考える際には、景品表示法に準拠する必要があります。また、健康食品や化粧品の広告表現については、薬機法(旧薬事法)を遵守する必要があります。
最近では、ステルスマーケティング(ステマ)に対する規制が話題となっています。今年10月からは、景品表示法によりさまざまな規制が導入されることが予定されています。
これらの法規制を遵守することは、BtoCやBtoBの業界で働くマーケティング部門、セールス部門、マーケティング・オペレーション部門のビジネスパーソンにとって特に重要です。特に、「個人情報の保護に関する法律」(以下、「個人情報保護法」)は、既存の顧客や見込み顧客などの個人情報を収集し、業務に利用している企業にとって重要な法律です。
公布から20年近くが経過した個人情報保護法ですが、2022年4月に一部改正されました。今回のコラムでは、その改正点をマーケター視点から解説します。ただし、本コラムはマーケター視点からの解説であり、実際の改正条文や法的解釈については、法務の専門家にご相談いただくことをお勧めします。
また、今回のコラムは個人情報保護委員会の「令和2年 改正個人情報保護法について」を参考にしています。この資料も合わせてご覧いただくと、理解が深まると思います。
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
個人情報保護法の概要とその変遷
改正の内容を解説する前に、まずは個人情報保護法について簡単に説明しましょう。個人情報保護法は、個人情報の有用性を保ちつつ、個人の権利と利益を守ることを目的として、2003年5月に公布され、2005年4月に施行されました。このコラムを読んでいる方の中には、施行に合わせて企業の個人情報の取り扱いや運用の設計、導入作業に関わった方もいらっしゃるかもしれません。
個人情報保護法は、施行以降も社会環境、経済情勢、デジタル環境の変化を受けて、その目的である「個人情報の有用性を保つ」「個人の権利・利益を保護する」の両面のバランスを保つために、おおむね3年ごとに検討を行い、必要に応じて改正されています。
例えば、2005年の施行当初は、5,000件以上のデータを保有する企業のみが個人情報保護法の適用対象でした。それよりも少ないデータを保有する企業は適用対象外でした。しかし、2017年の改正により、この部分が削除され、1件でも個人情報を保有する企業が適用を受けることになりました。
このように、個人情報保護法は定期的に細かな改正を行っています。最新の改正は2020年(令和2年)に行われ、2022年(令和4年)から施行されています。
次に、今回の改正による影響について見ていきましょう。
個人情報の開示と利用停止に関する改正とその影響
まず、個人情報の開示に関する改正についてです。例えば、企業が保有する個人情報を使用してキャンペーンを実施した際、受取人から自身の情報の開示を求められたとします。
これまでは、個人情報の開示請求に対する対応は書面によるものだけで十分でした。そのため、多くの企業の個人情報保護方針やプライバシーポリシーでは「開示請求を受けた場合は書面による開示のみ」としていました。
しかし、今回の改正により、開示方法は開示請求を行った本人が電子的記録媒体を含む任意の方法を指示できるようになりました。さらに、企業が保有する記録だけでなく、個人情報が第三者に提供されている場合、その提供記録の開示請求も可能になりました。これにより、提供先がどのように情報を使用したかも記録する必要が生じました。
また、個人情報の利用停止や消去が可能だったのは、不正取得や目的外利用など一部の個人情報保護違反に限られていました。しかし、今回の改正では、本人の権利や利益が損なわれる可能性がある場合、個人情報の利用停止や消去を行う必要が生じました。
この改正により、個人情報を保持する企業にとって、個人情報の受付対応窓口やデータ処理業務を担当する部門の業務負荷が増加する可能性があります。まだこの改正に対応していない企業は、方針の改定や対応業務フローの修正を早急に検討する必要があります。
個人情報漏えい事故とその対応に関する法改正
ビジネスパーソンが個人情報を利用してキャンペーンを企画・運用する際、データの取り扱いに関して細心の注意を払い、漏えい事故などを防ぐことは当然のことです。しかし、残念ながら事故は現実に発生しています。
東京商工リサーチが2023年1月に公表した「2022年 上場企業の個人情報漏えい・紛失事故」調査によると、2022年に漏えい・紛失事故を起こした企業は150社、事故件数は165件、漏えいした個人情報は592万7,057人分(前年比3.0%増)でした。
事故の原因別では、「ウイルス感染・不正アクセス」が91件(構成比55.1%)で半数以上を占め、「誤表示・誤送信」が43件(同26.0%)、そして「紛失・誤廃棄」が25件(同15.1%)となり、メールの送信間違いやシステムの設定ミスなど人為的な原因が上位に来ました。
この調査では非上場企業や海外企業、官公庁、学校などは集計対象外であるため、それらを含めると事故件数はさらに多くなると考えられます。
https://www.tsr-net.co.jp/data/detail/1197322_1527.html
年々増加する漏えい・紛失事故に対して、今回の改正では事故発生時の企業の対応が強化されました。従来は、事故が発生した場合、個人情報保護委員会に報告し、本人に通知することを努力義務としていました。
しかし、今回の改正により、要配慮個人情報の漏えいや個人への財産的被害が発生するおそれがある場合、または不正アクセス等故意によるものや1,000人を超える漏えい等の事故が発生した場合、個人情報保護委員会への報告とともに本人への通知が義務付けられました。
開示・利用停止・消去の強化に加えて、事故時の本人への通知の義務付けにより、消費者の権利の保護がさらに強化されたと言えます。
規制強化だけでない改正:新概念「仮名加工情報」の導入
改正は規制の強化だけではありません。ビッグデータの活用やデータの応用範囲が広がる現代において、今回の改正では「仮名加工情報」という新たな概念を導入し、その定義、利用方法、運用方法を明示しました。
まず、「仮名加工情報」の定義は、他の情報と照らし合わせない限り特定の個人を識別できないように個人情報を加工した結果得られる情報とされています。具体的な例としては、元の個人情報の一部を加工や削除したり、単なる記号に置き換えたりした情報などが該当します。匿名加工情報は個人を識別できないように加工するため、元の情報に復元することは不可能でした。しかし、仮名加工情報は匿名加工情報に比べてデータの有用性を保つことが可能で、より詳細な分析が実施できるようになりました。
また、仮名加工情報は内部での利用を条件に、利用目的の変更の制限や漏洩時の報告、本人への報告の義務、開示・利用停止等の請求対応などが除外されます。
この改正により、特に分析時に取り扱うことができる個人情報の幅と質が向上し、購買分析や行動分析の深度が増すことが期待できます。
マーケティング業務の見直しはフュージョン株式会社へご相談ください
2022年の改正では、外国にある第三者への個人情報の提供や法定刑に関しても改正が行われていますが、今回のコラムではこれらの話題は割愛します。今回の改正に関して詳細な情報が必要な方は、最初に述べた通り、個人情報保護委員会の「令和2年 改正個人情報保護法について」を参照してください。
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
個人情報を利用している企業にとって、個人情報保護法は順守すべき法令であり、そこで働くマーケターにとっては理解しておくべき法令です。他の法令にはない3年という定期的かつ短いスパンで改正される個人情報保護法を理解し、順守しながらマーケティング活動を行い、その活動を支えるプラットフォームやオペレーションを構築・運用する必要があります。
フュージョン株式会社では、30年以上にわたり、さまざまな業界や業種のCRMやロイヤルティプログラムの戦略策定から具体的な施策の企画支援、さらには実際の運用までワンストップでサポートしてきました。個人情報保護法を正しく遵守するため、プライバシーマークを取得し、その上でクライアント様の個人情報をお預かりして分析業務や各種運用業務等を行っています。また、そのような社内での知見を基に、様々なクライアント様のデータ・オペレーション設計の支援を行っています。
個人情報を扱っているけどアップデートが追い付いていない、改正に対応したオペレーションやマニュアルを見直したい、新規ビジネスを始めるにあたり個人情報保護法を踏まえてオペレーション設計を行いたい等、様々な問題に対してお悩みのある担当者の方は、お気軽にお問い合わせください。
