ネットショップを運営していますと、数多くの顧客情報を取扱うことになることは皆さんよくご存じでしょう。
大切なお客様の個人情報、その管理を怠ったがために、顧客情報が流出してしまった場合を想像したことはありますか?
単に運営していたネットショップの閉鎖を余儀なくされるだけでなく、最悪のケースでは多くのお客様から損害賠償請求され、一夜で多額の借金を抱えてしまうことにもなりかねません。
インターネット上の情報流通の速さは恐ろしく、ネットショップを運営する際には、実店舗に増して、顧客情報の管理を慎重に行わなければならないのです。
今回は、IT法務を得意とする弁護士が、インターネット通販ショップを経営する際に注意しておきたい顧客情報のセキュリティ管理について解説していきます。
1. なぜ顧客情報が流出するの?
昨今、「顧客情報が流出した!」というニュースは、ますます増えています。
では、そもそもなぜ顧客情報が流出してしまうのか、お考えになったことはありますか?
お客様の情報には流出させてでも奪いたいだけの価値があるからです。
名簿業者が実在していることからしても、顧客情報の需要が高いことは容易にわかります。
1.1. ネット通販で収集する顧客情報の有用性
ネットショップが収集している情報は、非常に有益な情報が多いことから、流出の危険性が非常に高く、だからこそ、法律的にも厳格な管理が義務付けられているわけです。
ネットショップなどのネット通販運営者が知りうる顧客情報には、具体的に以下のようなものがあります。
- 名前
- 性別
- 住所
- 電話番号
- メールアドレス
- クレジットカード番号
- 購入した商品やサービス
いずれも、ネット通販を運営していく場合にはもちろん、それ以外のビジネスを経営する会社でも非常に有用な情報であることは一目瞭然でしょう。
最近では、データ分析技術が進歩し、購入した商品やサービスの履歴を、他の個人情報と結びつけることにより、より効果的に広告をお届けすることもできるようになり、個人情報の価値はさらに上がっています。
1.2. 顧客情報には様々な情報が隠れている!
解説したとおり、顧客情報の有用性は、簡単にわかっていただけるのではないでしょうか。
更に、顧客情報には、多くの重要な情報があります。その中でもとくにお客様が「購入した商品やサービス」についての情報は、とくに大きな意味をもちます。
お客様が購入したものが、誰もが購入するようなお米やドリンク、お菓子等の日用品・生活必需品であればさほど情報としての価値があるとはいえないでしょう。
しかし、例えば、次の例を考えてみてください。
特定の人が必要とする商品・サービス、例えば、育毛剤や医薬品・ダイエットサプリ、英会話や資格獲得のための教材、成人向けおもちゃなどの商品である場合、個人情報としての価値は一気に上がります。
特定の商品を中心に広告をすれば、高倍率がいっきに高まるからです。
価値の高い顧客情報が漏れてしまった場合、そのお客様はメールや営業電話を頻繁に受けることになり、御社のお客様が多大な迷惑を被る危険があります。
情報の内容によっては振り込め詐欺などに利用されてしまう危険性もあります。
しつこい勧誘電話に悩まされれば、流出先をつきとめ、御社に損害賠償を請求するのも時間の問題でしょう。
3. 顧客情報が流出する原因は?
顧客情報が流出する原因には、主に以下の2つがあります。
それぞれの流出経路をしっかりとイメージしていただくことが、次に解説する、「情報流出の防止策」を検討するときに役に立ちます。
3.1. システム上の情報流出
システム上の流出は、サーバーの問題や外部からの不正アクセスなどにより生じることが多く、とくに小規模の企業や事業所では対策に限界があります。
セキュリティソフトを導入したり、レンタルサーバーをセキュリティ重視のものに変更したりといった方法により、技術的に対応していきましょう。
3.2. 人的要因による情報流出
もう一つの顧客情報流出の経路は、人的要因によるケースです。
技術が高度化していく中、対策を立てるのが非常に難しい流出経路であり、実際には、問題になっている顧客情報流出の中でも、人的な要因がからむケースが多くを占めています。
例えば、「社員が持ち帰り残業をした際、USBを無くしてしまった。」「社員が不用意にSNSにアップしてしまった。」「出入りの業者がこっそり盗み見した。」といったイメージです。
そこで、まず、人的要因による顧客情報の流出ケースとその具体的対策について、弁護士が解説していきます。
4. 【ケース別】人的要因による顧客情報流出の対策
顧客情報流出の原因として、非常に多いのが「人的要因」によるものです。
今回は、よくある人的要因による顧客情報の流出について、その対策を解説します。
4.1. ケース1「外部メモリを失くしてしまった!」
最近は、USBメモリやSDカードをはじめとする外部メモリが、仕事でもよく利用されます。
仮に、顧客の個人情報をこの外部メモリに保存して管理していたところ、紛失してしまったら大変です。誰の手に渡り、利用されてしまうか、予想がつかないからです。
外部メモリ紛失による顧客情報流出の、具体的な対策は以下の通りです。
- 重要な顧客情報を普段持ち歩くメモリに保存しない。
- 外部メモリにもパスワードを設定する。
- バックアップ用の外部メモリを事務所から移動させない。
4.2. ケース2「ノートPCを失くしてしまった!」
最近は、どこでも仕事ができるように、ノートPCを持ち歩く方も少なくありません。
顧客の個人情報に関するデータをノートPCに保存しており、外に持ち出していたところ、紛失するケースもみられます。
例えば、電車やタクシー、喫茶店に置き忘れたり、置き引きされたり、盗難されてしまうケースもあります。
ノートPC紛失による顧客情報流出の、具体的な対策は以下の通りです。
- パスワードでロックをかけておく。
- 顧客の個人情報が入ったノートPCを持ち歩かない。
- 外出用の、顧客情報の入っていないPCやタブレットを用意する。
4.3. ケース3「メールの送信先を間違ってしまった!」
お客様の個人情報が入ったデータを自社の従業員や支店などへ送信する際に、メルマガを送るために作成していたお客様のアドレス全員に送ってしまった、という重大なミスが起こることもあります。
ケアレスミスによる顧客情報流出の、具体的な対策は以下の通りです。
- 社員がミスを犯さないために社内教育を徹底する。
- 顧客情報に関するデータのメールやり取りを禁止する。
- 二重チェックを義務付ける。
4.4. ケース4「第三者が意図的に漏らした!」
たった一人でネットショップを運営するような場合には、社員のミスによる顧客情報の流出はあまり想定できません。
しかし、業務の拡大に伴い、従業員やスタッフを雇った場合には注意することが必要です。
従業員やスタッフによる単なるミスであれば、上記のように社内教育により防ぐことはできるかもしれません。
ところが、従業員やスタッフなどの内部の人間が悪意を持って流出させる場合にはどうしようもありません。
悪意を持った第三者による顧客情報流出の、具体的な対策は以下の通りです。
- 顧客情報へのアクセス権を代表者のみに制限する。
- 顧客情報の持ち出しを記録する。
- 顧客情報を持ち出す際には社内でのルールを作る(就業規則など)。
- 顧客情報の不正利用が許されないことを教育する。
- 不正利用に対し、懲戒処分など厳しい対応を行う。
5. プライバシーポリシーによる顧客情報流出の対策
これまでみてきましたように、顧客情報の流出を完全にゼロにすることは不可能です。悪意をもって顧客情報を流出させられる場合もあるからです。
そこで、顧客情報が流出してしまう可能性を少しでも軽減するために、「プライバシーポリシー」を作成して対策するのが一般的です。
個人情報の利用、管理に関する方針を「プライバシーポリシー」によって宣言することによって、御社の顧客情報流出への対策を万全にととのえておきましょう。
5.1. 「プライバシーポリシー」って何?
「プライバシーポリシー」とは、個人情報およびプライバシー情報の取り扱いに関する方針すなわち、ポリシーを定めた文書をさします。
ここで、プライバシーポリシーと似た役割をする文書に、「利用規約」があります。
どちらも顧客と事業者との間のルールとなる文書であるため、プライバシーポリシーの内容を利用規約の中に盛り込むケースもあります。
5.2. プライバシーポリシーの役割
もっとも、多くのネット通販運営業者の多くは、「利用規約」とは独立した「プライバシーポリシー」を用意しています。
それだけ個人情報を取り扱うことには慎重さが求められているのです。
個人情報保護法上は、事業者はユーザーから個人情報を収集し、また利用等をする際には、一定の事項について、個人情報保護法において公表することが義務づけられています。
つまり、プライバシーポリシーは、個人情報保護法での公表義務対応する、という役割を担っている、といってよいでしょう。
また、それだけなく、プライバシー情報の取り扱いに関する方針をわかりやすく明示することにより、御社が運営するネットショップの顧客・利用者の不安を和らげる、という役割も担っているといえます。
信頼してもらえるネットショップとなるために、顧客情報を収集する場合には、プライバシーポリシーを作成しておくようこころがけましょう。
5.3. プライバシーポリシーの例
最後に、プライバシーポリシーの記載例を解説します。
ただし、この記載例はあくまでも一般的なプライバシーポリシーの例であって、実際には、会社の収集する個人情報の種類や方法、利用形態などによって、ケースバイケースの対応が必要となります。
プライバシーポリシーの作成も、弁護士が対応をいたします。
また、個人情報に関する法令を順守し、当社の全従業員に対しても、個人情報の保護を推進致します。
第1条 個人情報の取得
当社は、お客さまの個人情報を適正に取得します。
第2条 個人情報の管理
当社は、お客さまの個人情報を正確かつ最新の状態に保ち、個人情報への不正アクセス・紛失・破損・改ざん・漏洩などを防止するため、セキュリティシステムの維持や管理体制の整備、社内教育の徹底等の必要な措置を講じ、個人情報の厳重な管理を行ないます。
第3条 個人情報の利用目的
当社のウェブサイトでは、お客様からのお問い合わせ時に、お名前やメールアドレス・電話番号等の個人情報をご登録いただく場合がございますが、これらの個人情報はご提供いただく際の目的以外では利用いたしません。お客さまからお預かりした個人情報は、当社からのご連絡や当社主催の催し物、商品やサービスのご案内や、ご質問に対する回答として、電子メールや資料のご送付にのみ利用いたします。
第4条 個人情報の第三者への開示・提供の禁止
当社は、お客さまよりお預かりした個人情報を適切に管理し、次のいずれかに該当する場合を除き、個人情報を第三者に開示することは決して致しません。
1. お客さまの同意がある場合
2. お客さまにサービスを提供するため、当社が業務を委託する業者に対して開示する場合
3. 法令に基づき開示することが必要である場合
4. 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
5. 予め次の事項を告知あるいは公表をしている場合
・利用目的に第三者への提供を含むこと
・第三者に提供されるデータの項目
・第三者への提供の手段または方法
・本人の求めに応じて個人情報の第三者への提供を停止すること
第5条 個人情報の安全対策
当社は、個人情報の正確性及び漏洩や紛失などの安全性確保のために、セキュリティに万全の対策を講じています。
第6条 ご本人の照会
お客さまがご自身の個人情報の照会・修正・削除などをご希望される場合には、ご本人であることを確認の上、対応させていただきます。
第7条 法令、規範の遵守と見直し
当社は、保有する個人情報に関して適用される日本の法令、その他規範を遵守するとともに、本ポリシーの内容を適宜見直し、その改善に努めます。
6. まとめ
個人情報に関して慎重な姿勢が企業に求められている現代において、膨大な量の顧客情報を取り扱うネット通販ショップこそが、個人情報に対する的確な意識をもつことが必要である、といえます。
顧客情報の管理について不明点等がある場合には、IT法務を得意とする弁護士に、お気軽に法律相談ください。