飛び込み営業で受け取った名刺も、個人情報として管理しなければ違反になるのか?と疑問を持つ人もいるのではないでしょうか。結論から言うと、1枚の名刺を誰にでも見られる状況にしただけでは、個人情報の漏えいには当たりません。
しかし、個人情報データベースに該当すると、よく知らない相手の名刺さえも個人情報漏えいのリスクになる可能性もあるのです。本記事では、名刺と個人情報保護法の関係性、またクラウドツールは個人情報保護法の違反に当たらないか?について解説します。
個人情報保護法と名刺情報の関係
名刺情報の管理について、個人情報保護法のガイドラインに実例として挙げられています。実際のガイドラインと照らし合わせて内容を確認しましょう。
名刺も個人情報だが1枚であれば管理義務はない
名刺には、「氏名」「所属企業」「部署名」「メールアドレス」などが記載されているため、個人情報に該当することになります。では、飛び込み営業やダイレクトメールなどで渡された相手の名刺を厳格に管理しなければならないのかと言われたら、そういう訳でもありません。
個人情報取扱事業者に該当するのは、「個人情報データベース」を所有している場合であり、データベースとして保管していなければ厳格な管理義務は発生しません。また、個人情報保護法のガイドラインには、複数枚の名刺をバインダで保管している場合でも、個人情報データベースに該当しないケースを実例として挙げています。
【個人情報データベース等に該当しない事例】
事例1)従業者が、自己の名刺入れについて他人が自由に閲覧できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合
引用:個人情報の保護に関する法律についてのガイドライン(通則編) |個人情報保護委員会
このように名刺1枚の管理で個人情報取扱事業者の対象になることはなく、個人情報データベースに登録していなければ問題はありません。ただし、バインダで五十音順に紙の名刺を並べていたり索引を付けたりした場合、個人情報取扱事業者として管理する義務が生じてしまいます。
データベース化することによって名刺は管理対象となる
名刺は「個人情報データベース」としてまとめることによって管理対象となります。個人情報データベースは、個人情報保護法に以下の通り定義されています。
第十六条 この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
引用:個人情報の保護に関する法律 | e-Gov法令検索
つまり、「Excelデータや電話帳などで簡単に検索できる電子データ」「バインダに索引を付けて紙の名刺を簡単に見つけられるようにしている」などの場合、個人情報取扱事業者としての義務が生じます。
個人情報取扱事業者は、個人データの安全管理や規律の整備などが求められており、適切な管理を怠ると個人情報保護法に抵触する可能性があります。個人情報データベースが流出すると、個人情報保護委員会への報告義務があるためセキュリティを高めましょう。
法改正によって5,000人以下の小規模データベースも対象となった
2017年に個人情報保護法が改正されたことによって、今までは対象から外れていた小規模事業者でも営利・非営利を問わずに個人情報取扱事業者の対象となりました。
例えば、町内会の自治会や草野球チームの名簿といったわずかな人数であっても、個人情報保護法で保護される個人情報データベースとなります。法人格や権利能力に関係することなく、ほぼすべての団体(行政機関を除く)が個人情報取扱事業者となるのです。
個人情報をデータベースでまとめている組織は、わずかな件数であっても情報漏えいに備えてセキュリティ管理を高めなければなりません。
クラウドツールを用いた名刺管理は違法になる?
名刺をデータベース化する場合には、個人情報保護法に則って正しく管理しなければなりません。それでは、クラウドツールを用いるのは違反になるのでしょうか?
セキュリティ管理が不十分だと違法になる可能性がある
クラウドツールの利点は情報の共有だけでなく、24時間監視と堅牢なセキュリティに守られたデータセンターでのデータ保護にあります。物理的安全措置の観点で言えば、自社オフィスにデータを保管するよりもはるかに優れた安全対策が施されているでしょう。
ただし、GoogleスプレッドシートやMicrosft365などのクラウドツールは、データ共有機能のアクセス制限を誤ると、全体公開で誰でもデータベースにアクセスできる状況を作りかねません。そのため、一般的なクラウドツールでの名刺管理は物理的安全措置を守ることができても、技術的安全措置の面で不安が残ってしまいます。
名刺管理ツールの利用は違法にならない
では、クラウドツールの中でも名刺管理に特化したツールではどうでしょうか?他のクラウドツールと同じように堅牢なセキュリティで保護されているため、物理的安全措置は正しく満たしているでしょう。
また、データの暗号化や二段階認証などの保護されたシステムは、技術的安全措置の精度も高いと言えます。そのため、クラウドツールを用いるならセキュリティ精度の高い名刺管理ツールを利用するのがベターでしょう。ただし、無料の名刺管理ツールについては安全性が保証されるわけではありません。したがって、基本的には有料ツールで管理するほうが安心だと言えます。
名刺管理のポイント
個人情報保護法に抵触しない名刺管理のポイントを紹介します。
正しく運用するには名刺管理ツールを利用する
スマートフォンの電話帳なども個人情報データベースに該当するため、盗難や紛失のリスクが少ない名刺管理ツールソフトでの保管がおすすめです。組織的安全管理措置に則った正しい運用方法の制定こそ必要ですが、名刺管理ソフトを利用することが個人情報保護法に抵触することはありません。
オンプレミスで保管するなら堅牢なセキュリティ体制を整える
名刺管理ソフトを導入しない場合、物理的安全措置、技術的安全措置に則った設備や管理が求められることになります。盗難や盗聴の被害にあった場合であっても、その事実を個人情報保護委員会に報告しなければなりません。
個人情報保護法のガイドラインでは、「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の4つの安全対策を講じることが求められています。例えるなら、ISMS(情報セキュリティマネジメントシステム)に準拠するレベルのセキュリティ管理を自社で整備する必要があるでしょう。
個人情報保護法についての社員教育を強化する
名刺管理ツールを用いた場合でも、従業員のパスワード管理や端末管理がずさんであると個人情報は守られません。例えば、従業員が勝手に名刺データベースを作成することも個人情報保護法では管理の対象となります。このような個人情報保護法の理解を社員1人ひとりに浸透させる必要があります。
セキュリティ管理を見直して安全に個人データを管理しよう
改正個人情報保護法では適用範囲が広がり、5000人以下の個人情報データベースであっても法律に則り正しく管理されていなければなりません。他人から推察されない分類方法であれば個人情報データベースには該当しませんが、いつ営業を受けたか覚えていない営業マンの名刺であっても、五十音順で整理していると管理義務が生じてしまいます。
自社で名刺を管理するなら、セキュリティ対策の一環として名刺管理ツールを導入するのがベターでしょう。
