個人情報　管理対策の実践

キャンペーン実施における個人情報とは

年々その関心と保護意識が高まっている個人情報。

個人情報を事細かく解説すれば、個人情報保護法、条項、ガイドライン等。

てんこ盛りで壮大な論文みたく、すごく食べづらいコラムに仕上がるので（正直読むのが苦）、今回はあくまで“キャンペーンで取得する個人情報と、管理対策のポイント”に焦点を当ててご紹介します。

応募者から取得する個人情報の項目

キャンペーンの事務局運営にあたって、取得する個人情報にはどのようなものがあるでしょうか。

応募ハガキやWebフォームにある記入内容は、主に以下のような項目かと思います。

-------------------------------------------------------------------------

・郵便番号

・住所

・氏名

・年齢

・性別

・メールアドレス

・会員番号

-------------------------------------------------------------------------

尚、個人情報保護法では、個人情報を以下のように定義しています。

先に挙げた応募情報たちは、まさに上記で言うところの「特定の個人を識別」できるものです。

また、ポイントサービス等で発行された会員番号は、会員番号と登録情報（氏名、住所、電話番号等）がデータベースで管理され、個人を特定できる場合には、個人情報として取り扱う必要があります。

個人情報保護のために必要なルール

では、取得した個人情報を適切に保護するために、どのようなルールが必要なのでしょうか。

主なものをご紹介します。

①「取得・利用」に関するルール

キャンペーンで個人情報を取得するにあたって、まず気を付けないといけないのは、利用目的を応募者本人に通知または公表することです。

お客様の重要な情報を何に使うのか、を明確に伝えておく必要があるのです。

例えば、告知ツールとなる応募ハガキやWebサイト（またはWebフォーム）には、注意書きとして、

例）

といった、お客様と利用目的を約束する一文が必要です。

また、これを明示することは、約束した目的以外には使用しない、という事でもあります。

前述の例のように公表しておきながら、取得した個人情報を用いて、商品宣伝のメルマガを送る、郵送で新商品のサンプルを送る等の行為はNGなのでご注意を。

仮に、予め通知・公表した利用目的以外の用途で個人情報を使用する場合には、改めてお客様に通知または公表する必要があります。

②「保管」に関するルール

個人情報を取得した後は、当然ながら情報漏洩が生じないように管理する必要があります。

キャンペーンの実施からクロージングまで、

事故なく安全に事務局運営を行うためには、ここが最も肝心です。

万が一、情報漏洩した場合には、社会的信用が失墜、企業経営をも脅かされて…、そのダメージは想像に難くありません。

そうならないために施すべき措置としては、例えば以下のような事が挙げられます。

-------------------------------------------------------------------------

・個人情報の管理責任者を立てる

・紙類、記憶媒体（CDR等）は鍵付きのロッカーで保管する

　⇒持ち出し日時/氏名を記録し、追跡可能な証跡を残す

　⇒個人情報を取り扱う執務室への入退室自体を制限、管理する

・個人情報の利用者（従業員）に対して、十分な教育・監督を行う

　⇒守秘義務について告知し、誓約書を取り交わす

    ⇒取り扱い手順を作成し、遵守させる

・利用者を限定する

　⇒電子ファイルにパスワードを設定し、利用者のみに告知する

　　（従事者以外が電子ファイルを見られないようにする）

　⇒管理サーバのアクセスログを記録する

・PC、サーバにウィルス対策ソフトを入れる

-------------------------------------------------------------------------

上記は一例ですが、安全に情報を管理するには、モノ（機器）に講じる対策はもちろんのこと、実際に情報を取り扱うヒトへの教育、訓練、手順化といった仕組み作りが重要です。

また、考えたくはないですが、情報漏洩、紛失等が発生した場合に備えて、予め緊急時の対応手順、具体的な指揮・連絡体制を構築しておく必要もあります。

因みに、個人情報に係る業務を外部委託する場合には、プライバシーマークやISMS（ISO27001）の第三者認証を取得している企業を選定し、かつ実態的に適切なルールと運営体制があるかを、十分に確認することをおすすめします。

③「転送」に関するルール

事務局では業務進行上、保管する個人情報を第三者（社外）に渡す場面もあり得ますよね。

例えば、収集した応募データで抽選をして、当選者の郵便番号、住所、氏名等を賞品発送業者に提供する、等がそのケースです。

個人情報の受け渡しに際しては、以下のような対応が得策です。

-------------------------------------------------------------------------

●外部記録媒体に暗号化したデータを格納し、集荷～配達完了までがトレース可能な配送業者のセキュリティ便を利用する

●いつ、だれが、だれに、何を、どのようにして、といった授受の証跡を記録する

-------------------------------------------------------------------------

物理的移送のほかには、クラウド型のストレージサービスの利用が挙げられますが、誤送信防止や自動暗号化などの機能を十分に確認した上で、利用サービスを選定する必要があります。

尚、メールでの引き渡しは、誤送信のリスクが残るため極力避けましょう。

大切なお客様情報、廃棄まで気を抜かない！

個人情報に利用目的を果たし、キャンペーンが終了した後には最後の仕上げ、廃棄です。

主な廃棄方法として以下が挙げられます。

-------------------------------------------------------------------------

・応募ハガキ等の紙媒体…　シュレッダーで破砕、その後溶解処理

・CDR等の記録媒体…　シュレッダーで破砕

・電子ファイル…　データ抹消専用ソフトでの抹消

-------------------------------------------------------------------------

紙媒体の廃棄証明書、データの抹消証明書等のエビデンスは必ず残しましょう。

各証明書には、廃棄対象の内容・数量（容量）、実行日時、実施担当者等を記し、廃棄現場の風景写真があれば尚良いでしょう。

エビデンスは、「お客様からお預かりした個人情報の一切を廃棄し、残留していない」ことの証拠であり、万が一の開示請求にも対応できるように一定期間保管しましょう。

今回のまとめ

・保護すべき個人情報を理解する

・利用目的を定め、取得前に本人に告知する

・保護のために十分な運用ルールを策定する

・業務工程ごとに対策を講じる

・適切な方法を以って廃棄し、証明記録を残す

個人情報の管理で重要なのは、ヒト・モノにおけるセキュリティ対策はもとより、運用においては、いつ、どこで、誰が、何のために、どのように利用したか、というトレーサビリティ（追跡可能性）を担保する事が大切です。

これを確実に実施、記録することで、適切な取り扱いを可視化できますし、トラブルが生じた時にも原因究明、あるいはリカバリーの範囲を限定でき、早期の対応が可能となります。

といったお悩みがあれば、ぜひお声がけください！

当社ではISO27001（ISMS：情報セキュリティマネジメントシステム）の登録認証を取得し、お預かりした個人情報を管理しています。

これまで13年間、多数のキャンペーン事務局を運営代行して、事故は0件！

セキュアな運営体制で、キャンペーン業務をご支援します。

↓ 資料ダウンロードはこちらから ↓