個人情報保護法が制定されて以来、個人情報の取り扱いに対する関心は急速に高まってきました。
最近では不用意に自身の個人情報(氏名、住所、生年月日など)を記入したり入力することに抵抗を感じる人も少なくないことでしょう。
ビジネスマンであれば当たり前のように行なっている名刺交換。
個人の氏名を含めさまざまな情報が記載されている名刺は、企業にとって大切な資産であると同時に取り扱いに注意が必要な機密情報です。
もし、お客さまの名刺が入った名刺ケースを落としてしまったら情報漏洩になるのでしょうか。
また、交換した名刺をお客さまの知らない社内の第三者に渡した場合、違法行為となるのでしょうか。
名刺と個人情報保護法との関連性を把握し適切に管理することで企業のコンプライアンスは向上します。
今回は、同法における名刺取り扱いの注意点について解説します。
名刺は個人情報。取り扱いには注意が必要
氏名に加え会社名や部署、役職、電話番号などが記載されている名刺は、個人情報の保護に関する法律(以下、個人情報保護法)の第1章2条にある
当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
に該当し、生存する個人のものであれば個人情報にあたります。
しかし、名刺を所有していれば常に個人情報保護法において規制の対象になるかというと、必ずしもそうではありません。
具体的にはどのようなケースで同法の対象となるのでしょうか。
個人情報保護法の対象となるかどうかは、整理された情報かどうか
個人情報保護法とは個人情報をデータベース化して所有し、それを事業に利用している事業者※に対して個人情報保護の義務を課す法律です。
※平成27年の法改正により取り扱う個人情報の件数が5,000件以下である事業者でも規制の対象となりました。また、営利、非営利を問わないため、法人のみならずフリーランスや個人事業主、NPO団体なども該当することがあります。
また、データベース化された状態とは、容易に検索できるよう何らかの規則に基づきまとめられた情報、すなわち情報が整理された状態をさします。
例えば、顧客から受け取った名刺をそのまま名刺ケースに入れ、そのケースを失くしてしまった場合、個人情報保護法違反にはなりません。
名刺ケースに入っている顧客の名刺は誰でも検索しやすいよう整理されている状態ではないため個人情報データベースには該当しません。
また、社に戻り交換した紙の名刺を第三者に渡した場合も同様です。単独の名刺は個人情報にはあたりますが、個人情報保護法で規制されるデータベースには該当しません。
一方で、誰でも調べられるように整理してファイリングされた名刺ファイルや、名刺情報から作成されたOutlookの連絡先、Excelで作成された50音順の顧客リストなどは体系的に整理されているためデータベースに該当します。
利用目的の通知について
名刺のデータベース化とともに注意しなければならないのが、名刺の利用目的の通知です。
個人情報保護法第18条1項では個人情報の利用目的について
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、すみやかに、その利用目的を本人に通知し、又は公表しなければならない。
とあり、個人情報を取得する際はその利用目的を相手に通知しなければなりません。
ただし、個人情報保護法第18条4項の4に
取得の状況からみて利用目的が明らかであると認められる場合
はこの限りではないとの例外が記されています。
つまり、交換した相手(企業)との連絡に利用するのであれば、名刺の一般的な利用となり通知の必要はありません。
しかし、取得した名刺に記載された情報を利用し新製品案内などのDMを送付するとなると、これは名刺の一般的な利用範囲を越えるため、利用目的の通知が必要になります。
リード客の獲得を目的として企業がセミナーや展示会を開催した場合、来場者から受け取った名刺情報をもとに販促メールを送ることがありますが、そのような場合は事前に個人情報の取り扱いについて伝えて(または書面やWebサイトで告知)おくのが良いでしょう。
個人情報を守るには?
前述の通り名刺は、それにより個人を特定できてしまう個人情報です。
仮に個人管理(所有)のものであっても、名刺の紛失は所属する企業のイメージダウンにつながります。
また、Excelなどにより名刺情報をデータベース化していればなおさら注意が必要です。
社員一人ひとりや部署ごとに管理を任せるのではなく、企業単位で交換した名刺をすぐにデータ化し、セキュリティの高いクラウドに保管すれば紛失による情報漏洩や退職による顧客情報の持ち出しもおこりません。
名刺管理アプリの導入は企業における個人情報の取り扱いを強化し、企業のコンプライアンス向上につながります。