【2021年版】Webマーケティング&EC担当必見!個人情報保護法改正による影響と必要な対策

個人情報保護法法律 2021.04.02
【2021年版】Webマーケティング&EC担当必見!個人情報保護法改正による影響と必要な対策

国内企業に多大な影響を与えると予想されている個人情報保護法の改正。今回の改正はマーケティングを含む多く部門・部署に関連する内容であり、人ごとではありません。落とし穴にはまらぬよう、理解しておきましょう。

ここでは、Webマーケティング&EC担当者の視点から、知っておくべき改正法のポイントや、施行までに取るべき対策をご紹介します。

1.Webマーケティング&EC担当がおさえるべき改正法のポイント

まずは、Webマーケティング&EC担当が理解しておくべき改正法のポイントを見ていきましょう。

1.1.法人に対するペナルティ引き上げ

改正により、法人に対する罰金は以下のとおり厳罰化されました。

  • 個人情報保護委員会からの命令への違反:30万円以下→1億円以下
  • 個人情報データベース等の不正提供等:50万円以下→1億円以下
  • 個人情報保護委員会への虚偽報告等:30万円以下→50万円以下

これまでの罰金から最大1億円と大幅な引き上げです。

今後はミスや認識の甘さが自社へ大きなダメージを与えかねないことを理解しましょう。

参照元:個人情報保護委員会「令和2年 改正個人情報保護法について

1.2.企業イメージの悪化「レピュテーションリスク」に注意

今回の改正を皮切りに、世論の消費者保護意識はますます強まるものと予想されます。もし適切な対策を怠れば消費者を大切にしない企業だとレッテルを貼られてしまい、企業イメージが低下し、業績の悪化にまでつながりかねません。いわゆる「レピュテーションリスク」と呼ばれる風評被害の問題に気を配る必要があります。

2.いますぐ対応すべきポイントは、4つ

自社への深刻なダメージを避けるため、Webマーケティング&EC担当者には今すぐ改正法への対応を進めていくことが求められます。特に重要であるのは以下の4点です。

2.1.WebサイトのSSL化

自社が提供するWebサイトのセキュリティを高め、データの漏えいリスクを下げるためにサイトのSSL/TLS化に取り組みましょう。SSL/TLSとは、暗号化通信に関する技術です。訪問者がページに入力した情報を第三者が盗み見たり、改ざんしたりするのを防ぐ効果が期待できます。

ちなみに、GoogleはSSL/TLS化したページを検索結果で優遇すると明言しています。このため、SSL/TLS化は検索順位の上昇という副次効果を生む可能性もあります。

参照元:Google「HTTPS ページが優先的にインデックスに登録されるようになります

2.2.Pマークの取得

取引先や消費者などに対して、個人情報保護に取り組んでいる企業だと伝えるために役立つのが「Pマーク(プライバシーマーク)」の取得です。日本情報経済社会推進協会が認定するPマークは、以下の基準を満たした事業者にのみ与えられます。

Pマークを取得していることが「個人情報を一定水準以上に大切に取り扱っている企業の証」として働きます。他部門と連携しつつ、積極的に取得へ取り組むことをおすすめします。

  • JIS Q 15001「個人情報保護マネジメントシステム(PMS=Personal information protection Management System)」に基づいた個人情報保護マネジメントシステム)を定めていること。
  • PMSに基づき実施可能な体制が整備されて個人情報の適切な取り扱いが行われていること。
  • 「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に定める欠格事項のいずれかに該当しない事業者であること。
  • 実際の事業活動の場で個人情報の保護を推進していること。

引用:一般社団法人日本情報経済社会推進協会「プライバシーマーク制度について 付与の対象と単位

2.3.リスクの認識とリテラシー向上

Webマーケティング&EC担当は直接的に個人情報を取り扱う機会が多く、個人情報保護に対する高いリテラシーが求められます。それとあわせて、改正法に対する知識も深めておく必要があるでしょう。

例えば今回の改正では、「個人関連情報」と「仮名加工情報」と呼ばれる新たな個人情報の区分が創設されました。それぞれの定義は以下のとおりです。

  • 仮名加工情報:他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した個人に関する情報

引用:「改正法に関連する政令・規則等の整備に向けた論点について(仮名加工情報)

  • 個人関連情報:生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの

引用:「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)

複雑な定義をしっかり理解し、今取り扱っている情報がどのデータ区分に該当するのか、取り扱いにどのようなリスクがあるのかを常に把握できる知識が求められます。

2.4.個人情報漏えい時の対応フロー構築と見直し

今回の改正により、個人情報の漏えい事故が発生した際には、速やかに委員会と本人に通知するよう企業に対して義務付けられました。現時点では速やかにと、明確な期限は定められていませんが、今後のガイドラインで目安が公表される見込みです。万が一の場合に迅速に解決するために、どの部署がどのように対応するのか、今からフローを明確にしておきましょう。

>Priv Tech「個人情報保護対応 準備できるくん」はこちら

3.EC運用者の実務上の影響

EC運用者の実務上の影響としては、カード情報の流出への対策の必要性が挙げられます。

3.1.カード情報の流出への注意

2020年12月25日、楽天に対して不正アクセスがおこなわれ、最大148万6,291件もの個人情報が流出したのは記憶に新しいところです。営業管理に用いていたSaaSのセキュリティ設定のミスという人為的なエラーが原因でした。

ECサイトを運用するうえでは、クレジットカードの情報に代表される個人情報の保護を徹底しなければいけません。また、万が一の流失時の対応フローを構築するとともに、以下のような対応を取ることも必要です。

  • 従業員の個人情報保護に対する正しい知識の熟成
  • サイトのSSL/TLS化などのセキュリティ対策
  • ヒューマンエラーの起きにくいシステム作り
  • エラーを速やかに発見できる監視体制の構築

参照元:「楽天に不正アクセス、最大148万件以上の情報流出の恐れ 営業管理用SaaSの設定にミス

4.EC構築・運用関連企業の影響

EC担当者向け対策に加え、ECサイトの構築や運用を専門とする企業には、いち早くシステムを整えて改正個人情報保護法に対応していることが重要です。

ガイドラインの整備など改正法に関する情報を絶えずフォローアップしつつ、Pマークを取得して対外的にも有効な対策を進めましょう。

5.Webマーケティング担当者版 改正に向けての対策

最後に、Webマーケティング担当者に向けて必要な対策をご紹介します。

5.1.メルマガ配信やお問い合わせフォームの同意取得

現在提供している「メルマガ配信」や「お問い合わせ受付フォーム」も取得目的や利用方法の本人同意が必要となりえることに注意しましょう。

改正法では、「明示の同意」と呼ばれる、取得したデータを何のためにどのように利用するのか説明したうえでの同意が重要となります。法務部などと連携し、適切な文言を用意・公開しておくことが求められます。

またお問い合わせに関しては、できるだけ件数を減らして保有する個人情報自体を少なくするため、「よくある質問」をQ&A形式で公開しておくのもよいでしょう。

5.2.セミナー/ウェビナー来場時の対応

セミナーやウェビナーで個人情報を取り扱う場合も注意しなければいけません。メルマガのケースと同様に、あらかじめ取得する個人情報の利用目的を明確化し公式ページで公表しておく、あるいは当日に書面等で知らせるなど、適切な本人への通知を心がけましょう。

株式会社大塚商会は、「イベント・セミナー開催における個人情報の取り扱い・利用目的について」を明確に開示しています。今後、他の企業もこのような対策が必要となってくるでしょう。

5.3.SNS運用の方針策定

所有しているSNS(法人アカウント)の運用もあらためて確認しておきましょう。必要な対策として、以下が挙げられます。

  • 乗っ取りを防ぐための二段階認証などの導入
  • キャンペーン等で集めた個人情報の管理方法の見直し
  • 特別な場合を除き、DM(ダイレクトメッセージ)等で
    こちらに個人情報を送ってはいけないとユーザーに周知
  • 各SNSで不特定多数からDMを受け取らないように設定

参照元:Twitter Japan「ダイレクトメッセージについてのよくある質問

5.4.Cookie情報取り扱いの再確認

最後に注意しておきたいのが「Cookie」です。Cookieは上記で紹介した「個人関連情報」に該当し、改正によって以下のとおり取り扱いに制限がかかります。

「個人関連情報取扱事業者が、提供先が個人関連情報を個人データとして取得することが想定されるときは、あらかじめ当該個人関連情報に係る本人の同意等が得られていることを確認しないで、当該個人関連情報を提供してはならない」

引用:「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)

提供元における確認方法などはこれから定められる段階ですが、本人同意の取得が重要となるケースが増加することに留意しておくべきです。

>Priv Tech「個人情報保護対応 準備できるくん」はこちら

6.まとめ

ここでは、個人情報保護法改正における影響とその対策をWebマーケティングやEC担当者向けの視点から解説しました。

法人に対してのペナルティが引き上げられた点や「個人情報を大切にしていないこと」に対して風評被害が起こりうる社会情勢に鑑みると、もはや対策は待ったなしの状態です。ここで解説した内容を参考に、できるだけ速やかな行動を取ることをおすすめします。

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!