インターネットのサイトで猫や犬用のペット用品を販売している猫村社長。最近、海外向けの販売も始めました。個人情報の保護について求められるものがだんだん厳しくなってきていると感じています。
* * *
猫村社長:個人情報の正しい取扱いがよくわからず不安です。例えば、サイトで注文を受けた猫用の大きな遊具を、メーカーからお客様に直送してもらうことがあります。このような場合、我が社の顧客の氏名や住所などの個人情報をその業者に伝えてよいのでしょうか。
賛多弁護士:その場合は、個人情報保護法が禁止している「第三者提供」にはなりません。「利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合」に当たるためです。通信販売では普通、宅配便の業者に顧客の住所・氏名を伝えることになりますが、それが適法なのと同じですね。ただ、サイトには「メーカーから直送される」ということは書いておいた方がよいでしょう。
猫村社長:さらに不安なのは個人情報の漏洩です。万が一漏洩した時に備えて、顧客名簿の名前をイニシャルにしてしまえば安心でしょうか。
賛多弁護士:イニシャルと住所であっても、その二つを組み合わせれば多くの場合個人が特定できますから、イニシャルと住所の組み合わせはやはり個人情報といえます。
猫村社長:そうなんですね。では、顧客名簿の管理はどうしたらよいでしょうか。
賛多弁護士:そうですね。個人情報取扱事業者は、個人情報の安全管理のために必要かつ適切な措置を講じなければならない、とされています。また、顧客名簿は個人情報であるとともに会社にとっては大変貴重な資産でもあります。万が一退職された従業員に持ち出されるなどしてしまうと個人情報の流出の問題に加えて、営業上も大きなマイナスですので、必要な担当者以外は閲覧できないようにしたり、閲覧やコピー等の手順を決めたりするなどの管理には気をつけた方がよいでしょう。
猫村社長:私の会社では英語のサイトも作っていて、アメリカやドイツからも注文が来ています。何か気をつけることはありますか。
賛多弁護士:ヨーロッパに関しては、今年から「GDPR」というEU(ヨーロッパ連合)の個人情報保護規制が日本との関係でも発効しました。この規制はEU域内に商品を販売する業者にも適用されるとされています。
猫村社長:難しそうですね。
賛多弁護士:GDPRは日本の法律と比べると厳しい点も多くこれに対応するのは簡単なことではありません。ヨーロッパ向けの販売の量も見ながら、相談しつつ体制を整備していきましょう。
猫村社長:お願いします。
* * *
個人情報保護の流れは、だんだんと厳しいものになってきています。個人情報保護法が平成29年までに施行され、中小事業者にも法律に従った個人情報の管理が求められるようになりました。しかし、実際は十分な管理ができていない企業も散見されます。
また、本文にも出てきますが、昨年施行された「GDPR」というEUの個人情報保護規制が日本との関係でも適用されることになりました。個人情報保護の流れがいっそう強まることになりそうです。
「GDPR」について詳しくお知りになりたい場合は、こちらのURLをご覧ください。
執筆:鳥飼総合法律事務所 弁護士 竹内 亮
