プライバシーマーク短期取得への道 コンサルタント/宮崎県/鹿児島県/沖縄県

神奈川県の事務機器販売会社の取り組み

プライバシーマーク（ｐマーク）とは

プライバシーマークを証取得しませんか？
プライバシーマークとは??財団法人　日本情報処理開発協会（JIPDEC）によって運用されている制度。個人情報の取扱いを適切に行っている民間事業者に対して、審査を実施し、合格企業に”プライバシーマーク”の使用を認めるものです。個人情報保護に関する、方針や規程（コンプライアンスプログラム）を定めた上で、教育・周知と内部監査を実施し、審査を受け、文書審査、現地審査ともにパスすれば合格となります。個人情報保護法の制定とともに、大変注目を浴びている制度です。

取得する！という社長の決断　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
取得スケジュールの決定
個人情報取扱業務に関する詳細のヒアリング 、「ＣＰ策定プロジェクト｣の設立
社長による個人情報保護方針の宣言及び全社員への周知
個人情報保護管理体制の設置
Ｐマーク付与機関への事前相談
申請資料の準備、申請　

1。全般的な事項にかかわるQ＆A
〔テーマ１〕CRM（custmer　retationshipmanaSement）は、個人情新ビジネスに活用するための情報システムであるが、個人情報保護を行うと，CRMができなくなるのではないか？

個人情報保護を行っても，CRMができなくなるわけではない。
　CRMは，企業が保有する個人情報を活用して顧客ニーズにあったサービスを提供したり，効率的な営業活動を行ったりするうえで重要な情報システムである。また，個人情報保護と対立する概念のように考えることもできる。しかし，個人情報保護法の目的が「……，個人情報の有用性に配慮しつつ，個人の権利利益を保護することを目的とする。」（第1条）としているように，個人情報保護は、健全な個人情報の利用を行うためのものであり，適切な個人情報保護を講じていれば，必ずしも対立する概念とはいえない、
　個人情報を適正に収集（取得）し、収集目的（利用目的）の範囲内で利用するのであれば，CRMを利用したビジネス活動を行うこと自体に問題はない。CRMを導入する際には、どのようにCRMを導入し活用したいのかを検討したうえで，個人情報の収集時に収集目的を明確にして，本人の同意（個人情報保護法では、利用目的の通知または公表）を得て個人情報をCRMで利用すればよい（図表付1参軌つまり，JCRMにお
いて個人情報を適切に取り扱うためのポイントは，個人情報の収集時にあるといえる。
　なお，個人情報をCRMで利用することを明確にしないで，個人情報を収集してビジネスで活用することは，個人情報保護の視点から，問題になるおそれがあるので注意しなければならない。

 

〔テーマ２〕CRMでは，個人情報保護について具体的にどのような点に気をつければよいのか？

CRMは，個人情報の保護と利用を両立させるという個人情報保護の課題が最も典型的に現れたケースといえよう。個人情報保護とCRMを両立させるためには，次のような点に留意する必要がある。
（1）個人情報の収集
　ホームページ，インターネットや店頭などで個人情報を収集する際に，個人情報の収集目的を明確にし，本人の同意を得ること。個人情報保護法では，利用目的の通知，公表をしなければならないとしている（第18条）。また，利用日的は，できるかぎり特定しなけらばならない（第15条）。
（2）個人情報の利用範囲
　収集目的の範囲を超えた利用はできないので，収集日的を意識した利用をするように注意する。収集目的をどのように設定するのかが，ポイントとなる。
（3）既存データの利用
　既存のデータベースを利用する場合には，当該個人情報データベースの収集目的の範囲内での利用にとどめなければならない。収集目的を超えた利用を行う場合には，電子メール，郵便などによって，本人の同意を得ること。
（4）本人以外からの情報収集
　個人情報保護法では，情報主体以外からの個人情報の収集については，個人情報保護ガイドラインのように独立した条項として定めていない。しかし，企業が事業活動を行う場合には、本人以外の着からの情報収集も考えられる。
　本人以外の者から情報を収集する場合としては，紳士録などのオープンソース情報（公表された情報）の利用や電話帳で公開された電話番号を利用するケースが考えられる。しかし，非公開の電話番号を名簿業者などから収集する場合には、トラブルになるおそれがある。また，名簿業者などから各種データを購入し利用する場合には，問題になるおそれがあるので，注意が必要である。
　紳士録などのオープンソースからの個人情報の収集は，情報主体以外からの間接的に収集する場合に該当する。情報主体以外からの間接収集の場合においても，情報主体に対して，自己情報の提供の拒否，開示請求、訂正、削除について明確にしておくこと。
（5）データベースの適正管理
CRMデータベースなどを適正に管理し、業務上必要のない者が利用できないようにする。具体的には，アクセス権限の付与を適切に行い，それを定期的に見直すこと。
垣ヨ携帯電話サイトで、ビジネスを行う場合にはどのような点に気
をつければよいのか？

〔テーマ３〕携帯電話サイトでビジネスを行う場合にも，個人情報保諸に関する法令、ガイドラインを遵守する必要がある、ただし、携帯電話サイトでは，表示される画面スペースに制約があるので、個人情報の収集目的、個人情報管理責任者，開示請求権などを利用者に示す方法に工夫が必要である。
　携帯電話サイトのサービスを提供している企業の携帯電話サイトに関する利用規則では，他の顧客や第三者のプライバシーを侵害する行為，または侵害するおそれのある行為を行った場合には，携帯電話サイトサービスの提供を取りやめる旨が記載されている、こうしたことからも，個人情報を適切に取り扱うことは，携帯電話サイトをビジネスに利用する際の重要な要件になっている。

〔テーマ４〕社員情報も顧客情靴と同様の保護が必要なのか？

社員情報も個人情報であり，個人情報保護に関する法令、ガイドラインにもとづく保護が必要である、個人情報保護に関する法令、ガイドラインは、顧客の個人情報保護だけをねらいとしたものではない。したがって，社員、パート、アルバイト、派遣社員どの個人情報も同様に取り扱わなければならない、図表付2に示すように社員情報以外に
もさまざまな個人情報があるので，注意が必要である。

個人顧客に関する住所，氏名，取引などに関する情報
個人事業者に関する住所，氏名，取引などに関する情報
個人株主に関する住所，氏名などの情報
社員，パート，派遣社員などに関する住所，氏名，給与などに関する情報
イベント，アンケートなどで収集した個人に関する情報

社員等の個人情報は，人事管理，給与計算，所得税の源泉徴収，健康保険料などの社会保険料の徴収などに利用することを目的として収集したものである．したがって，この範囲内で利用することは、雇用関係の維持，納税などの社会的な責任の遂行のために問題はないと考えられるが，これ以外の目的のために利用することは，問題となるおそれがある。たとえ，自社の社員情報であっても，会社が無制限に利用できるわけで
はないことに注意しなければならない、

〔テーマ５〕得意先の企業から、DMや電話セールスを行うために当社の社員情報（氏名、住所，電話番号など）を教えてもらいたいとの要請があった。どのように対応したらよいか？

社員の同意を得たうえで提供すれば問題はないが、同意を得ない場合にはトラブルになるおそれがある。社員情報は，人事管理，給与計算などに利用するために企業が収集したものであり，これ以外の目的に社員情報を利用することは，目的外の利用に該当するからである。
　したがって，得意先に対しては，個人情報保護の考え方を説明して，理解してもらうように対応する必要がある．そのためには，プライバシーポリシーを策定しておくと説明しやすく，相手の了解も得られやすい。
　取引上の理由から，断りにくい場合には，社員に対して事情を説明し，同意を得た社員の個人情報に限定して提供するなどの方法で対応することも一法である。この場合でも，次の点に注意する必要がある．
　�@　先方の利用目的の把握
　先方の利用日的を調べて，その内容を社員に的確に伝える．
　�A　提供する情報の限定
　先方の利用日的に必要な情報だけを提供する。例えば，DM送付のために利用したい場合には住所と氏名しか提供しないようにし，電話セールスを行うのならば，氏名と電話番号だけを掟供するような対応をとるとよい．
　�B　適切な取扱いの確保
　先方と提供する社員情報の利用に関する契約を締結し，先方が当初目的以外に社員情報を利用したり，社員情報を第三者に漏えいしたりすることがないように適切な取扱いを確保する。

〔テーマ６〕人事評価や社員行動のチェックなどのためにメールサーバを調べて．社員の電子メールを読んでもよいか？

人事評価や社員行動のチェックなどを目的として，電子メールをチェックすることは，個人情報保護の視点から問題になるおそれがある．しかし，情報セキュリティの視点から電子メールのチェックが必要な場合がある．このような場合に備えて，情報セキュリティ確保のために電子メールをチェックすることがあることを事前に明確にして，社員
に周知、徹底しておく必要がある．電子メールのチェックは，情報セキュリティポリシーで定められることが多いので，情報セキュリティポリシーを策定する場合には，このような事項も盛り込むとよい．
企業の設備（メールサーバ，メールソフト通信回線など）を利用して電子メールの送受信を行う場合には，企業の設備なのだから企業が電子メールの内容を見てもかまわないという考え方があるが，電子メールのチェックを行うことがあることを事前に明示し周知していない場合には，トラブルになるおそれがある．
　また，情報セキュリティのために電子メールをチェックする場合には、チェック者の機密保持義務をより厳格にする必要がある。例えば、教育の徹底、誓約書への署名，罰則規程の策定などの対応をとる方法がある。
　なお，情報セキュリティを名目として社員の行動（勤務状況，私用メールなど）を監視することは，労働問題などになるおそれがある、労働者の行動を監視する方法には電話の盗聴、テレビカメラによる監視などがあるが，電子メールによる監視もこれらの方法と考えられる。
〔テーマ７〕社員名簿の管理は、どうしたらよいのか？
最近では，社員名簿を作成し社員に配付する企業は少なくなりつつある。これは，社員名簿作成のコスト低減という理由だけではなく，個人情報保護意識の高まりも理由と考えられる。
　社員名簿の外部流出などを防止するためには，社員名簿の作成、配付を取りやめることも有効な方法である。上司が部下を管理するために自宅住所、電話番号などを知ることは必要なことであり問題になることは少ないが，直接関係のない社員の情報まで知る必要性は少をいので不用意に社員名簿を広く配付すると社員の個人情報保護の視点から，問題になる可能性がある．
社員の流動化が進み，企業文化や職場慣行が大きく変化しつつある状況を考えると，社員名簿の作成そのものを見直す時期に来ていると考えられる．

〔テーマ８〕イントラネットで社員の趣味、特技などの情報を公開し社内のコミュニケーションをよくしようと考えているが、問題はあるか？
イントラネットは、社内に限定して公開されているものであり，本人が同意していれば問題は少くないと考えられる。保有資格，特技など業務上役立つ項目を公開し、趣味などの業務上必要がない事項については、任意の公開項目とすればよい。強制的にすべての情報公開させると，問題になる可能性がある．
　イントラネットは，社内向けのネットワークであり、セキュリティ対策が万全ならば外部に公開されることは少ない、しかし，ファイアウォールの設定ミスや修正パッチあて（セキュリティ上の欠陥を改善するもの）の失念をと℃よりセキュリティホールがある場合には，外妙ら不正アクセスされて、情報が漏えいするリスクが発生する。また，データをダウンロードして持ち出されるおそれもある。したがって，セキリティ対策を適切に行っておくことが，イントラネットで情報公開する場合の前線条件となる．
なお、インターネットで社員の個人情報を公開する場合には，慎重な対応が必要である、例えば、営業担当者の自宅の住所や電話番号については，業務上公表する必要は紬ので、ホームページに掲載すべきではない．嫌がらせやストーカー行為などに用いられたりするおそれがあるので，注意が必要である．
〔テーマ９〕ネツトビジネスでは，個人情報を収集できないのか？
ネットビジネスは、インターネットを通じて商品の販売などを行うビジネスであり，インターネットを通じて住所、氏名などの個人情報を収集することは，ネット取引を行ううえで必要なので問題はない、ただし，収集目的を明確にしていない場合や不正な収集などを行っている場合には，個人情報保護法に違反するおそれがある、
　インターネット上で個人情報が第三者に漏えいしないように，暗号化を図るなどのセキュティ対策を忘れてはならない．店頭で直接顧客から個人情報を収集する場合や営業担当者が訪問して個人情報を収集する場合と異なり，インターネットという非安全地帯を経由して個人情報を収集する場合には，セキュリティ対策が不可欠である、

〔テーマ１０〕ソト通販などのビジネスにおいて、個人情謝呆護の視点から注意すべきことは何か？
BtoCの電子商取引では，インタ￣ネットを通じて個人情報を収集するので，店頭販売や訪問販売と異なるリスクがある、リスクに対応するために，次のような対応をとる必要がある、
（1）プライバシーポリシーの明示
　ホームページ上に次のような事項（JISQ15001を参照）を明記したプライバシーポリシーを掲載する．
　�@　個人情報に関する管理者の氏名（代理者，職名），所属，連絡先
　�A　収集日助
　�B　個人情報を外部に提供する場合の目的，提供先または提供先の組織の種類，属性，個人情報の取扱いに関する契約
�C　個人情報を外部に預託する場合のその旨
�D　当社に個人情報を提供することの任意性，情報を掟供しなかった
　場合に本人に生ずる影響
�E　個人情報の開示請求，情報に誤りがある場合の訂正、削除を要求
　する権利
（2）暗　号　化
　インターネット上での情報漏えいを防止するためにSSL（secure
を安全に送受信するための業界標準
プロトコル）などの仕組みを導入する方法がある、
（3）重要情報の取扱い
ユーザーIDやパスワードなど特に重要な情報は，郵送などの方法も
検討する、
（4）目的外利用の禁止
収集した個人情報を収那的以外のことに利用しないこと、
（5）不正アクセス対策
不正アクセスによって個人情報が漏えいしないように対策を請じる、
例えば，Webサイトには，個人情報データベースを置かないようにする、
（6）問合せ窓口の明耐ヒ
問合せ先の酎メールアドレスや電話番号を明示し、顧客からの聞合
せに迅速かつ適確に対応できるようにする、
瓦コ臥顧客の場合には∴情報保護について、個人顧客とどのよう
な点が違うのか？
更コ個人情報は、個人酪や個人事業者が対象である、したがって、
法人顧客の情報は個人情報に該当しないので、個人情報保護法や個人情
　報保護ガイドラインの対象ではない、
　しかし，取引上の情報については，守秘義務契約が締結され第三者に
開示したり，漏えいしたりすると契約違反になることがある、自社にと
　っても，商品の仕入単価や原価、支払条件などが第三者に漏れると取引
　■囲謳■僻保掛こおける個人解と法人顧嘗
socketslayer：WWW上でデータ
−−一個人情報保護
一−一取引上の守秘義務，営業上の秘密保護など
を行う場合に支障が生じることが少なくない、そこで，法人顧客の情報
についても，第三者への開示や漏えいなどが発生しないように個人情報
に準じた取扱いが必要になる（図表付3参照）、
2．個人情報の収集lこかかわるQ＆A
瓦ヨ発信者情報通知サービスを利用して、個人情報を収集してもよ
いのか？
瓦ヨ発信者情報通知サービスは，電話を受信した際に相手の電話番
号が表示される機能であり，企業では顧客対応を効率的に行うことなど
を目的として利用されることが多い、個人顧客の場合には，電静番号を
記録保存するために顧客の了解が必要になる、顧客の醜番号を保存せ
ずに，一時的に利用するだけなら、特に問題がないと考えられる、発信
者情報通知サービスの取扱いについては，1996年に策定された総務省
（旧郵政省）「発信者情報通知サービスの利用における発信者個人情報の
jβ9
亙亘〕ホームページでアンケート調査を行う場合は、どうすればよい
か？
田　マーケテイングや営業活動に生かすために、ホームペ￣ジ
（Webシステム）でアンケート調査を行い，住所，氏名，電子メールア
ドレスなどの個人情報を収集する場合には，情報主体の同意（個人情報
保護法では，利用目的の通知、公表）が必要である（図表付4参照）、具
体的には，ホームページに�@個人情報の収集日的，�A個人情報の管理者，
�B外部への提供の有無および契約の締結状況，�C個人情報提供の任意性
などについて，わかりやすく表示しておく必要がある．また，アンケー
ト情報の利用、保存に際しては，情報漏えいが生じないように適切に保
護するとともに，収集目的の範囲内で利用するように徹底する必要があ
る．

■インターネットによる個人情報の収集

　なお，ホームページへの収集日的などの掲示や電子メールでの収集目
的の通知は，個人情報保護ガイドラインの「電磁的記録の送信の方法」
に該当すると考えられる．
瓦ヨネ、ソトビジネ子での個人情報収集で留意すべきことは何か？
〔盃王ヨネットビジネスでは、インターネットを利用して取引を行うう
えで，個人情報を取扱うことが避けられない．顧客側からみると，個人
情報が適切に管理されていなければ，安心して取引ができないので，個
人情報保護の状況がビジネスの成否に大きな影響を及ぼすことになる．
　具体的には，ホームページ上にプライバシーテイボリシーを明示する
必要がある．プライバシーポリシーを明示している企業には，例えば，
ネット証券，ネット銀行，ネット通販企業などがある．プライバシーポ
リシーでは，個人情報の収集，利用，提供，保管，廃棄などの取扱いに
ついて，個人情報保護ガイドラインなどに準じて定められたものが多い．
プライバシーポリシーの策定にあたっては，法令、ガイドラインや他社
事例を参考にするとよい．
亙王ヨ紳士録などから個人情報を収集してもよいのか？
更ヨ紳士録は外響に公開された個人情報である、本人も公開される
ことを前提に個人情報を提供していると考えられるので，紳士録などか
ら個人情報を収集することには特に問題はないと考えられる．電話帳か
ら電話番号を収集することも，電話加入者に対して電話番号を電話帳に
掲載してよいか（開示してよいか）について確認したうえで行っているこ
とを考えれば特に問題はないと考えられる．しかし，そうした個人情報
の収集を行っていることは，本人に対して通知または公表することが必
要になる．
　一方，学校の同窓会名簿，サークルや同好会の会月名簿などについて
は，公開することを目的としたものではないので，これらのものから個
人情報を収集すると問題になるおそれが大きい．したがって，個人情報
を収集する情報源が，公開を目的としたものなのか，非公開のものなの
かを判断する必要がある．
　公開情報から収集した個人情報を利用して営業活動を行う場合には，
次のような点に留意しなければならない．
（∋　情報主体は，営業活動で利用することまで了解しているとはいえ
　　ないこと．
　�A　情報が古い内容であるかもしれないこと．
（事　情報主体の申し出によって個人情報の利用停止，個人情報の削除
　　をすることができるような仕組み（オプトアウト）の確立と情報主体
　　への通知、公表が必要なこと．
亙正〕川ebサイトから個人情報を収集してもよいのか？
瓦ヨWebサイトで一般に公開されている情報を収集し利用するこ
とは，紳士録などの公開情報から個人情報を収集する場合と同様だと考
えられるので，大きな問題はないと考えられる．しかし，次の事項に注
意する必要がある．
�@　特定のメンバーを対象に公開されたWebサイトの場合には，当
　該情報を収集して利用することには問題があると考えられる．こう
　したWebサイトに氏名，電子メールアドレスなどの個人情報を掲
　載することは，メンバー内での親睦を図ったり，情報交換を行った
　りすることなどを目的としているからである．学校の同窓会名簿や
　同好会の名簿などと同様と考えればよい．
�A　公開情報を利用して営業活動（電子メール，電話，DM，訪問な
　ど）を行う場合には，情報主体からクレームが寄せられることが考
　えられる、したがって，どのようなWebサイトから情報を収集し
　たのかについて説明できるようにするとともに，当該個人情報の利
　用停止，または削除に対応できるようにすることが必要である．
�B　個人情報の内容の正確性に注意すること．webサイトで公開さ
　れている情報は，常に最新のものとは限らない．古い内容であった
　り，氏名や電子メールアドレスなどに誤りがあったりすることがあ
　る、したがって，公開された個人情報を利用する場合には，このよ
　うな点についても考慮する必要がある．
�C　webサイトでの個人情報の公開目的を考慮して，それと異なる
　目的に利用することは，大きな問題になるおそれがあるので注意し
　なければならない．例えば，スポーツ関係のWebサイトで公開さ
　れた個人情報を利用して，スポーツ用品のセールスを行うことは，
　情報主体にとって大きな違和感を感じることは少ないと思われるが，
　不動産のセールスに利用するときには，クレームになるおそれが大
　きい．
�D　webサイトで公開されている個人情報が，本人の同意を得てい
　ない場合もあるので，Webサイトの信頼性についても考慮する必
　要がある、社会的に信頼性が低いWebサイトの情報は，後日のト
　ラブルを回避するためにも利用しないことが望ましい．
いずれにしても，個人情報を利用する場合には，企業倫理，情報倫理
を踏まえた対応が必要になる、
互ヨどのような個人情報でも収集してよいのか？
〔盃∃個人情報には，収集してはならない情報がある、人種、門地，
信教，政治的見解，保健医療などに関する事項は，'簡定の機微な個人
情報"（sensitivedata）と呼ばれ、JISQ15001などでは、収集すること
自体が禁止されている、ただし，明示的な情報主体の同息法令などに
特別の規定がある場合，司法手続上必要不可欠である場合は除かれてい
る．なお，個人情報保護法には，特定の機微な情報の収集に関する定め
は特にないが，JISQ15001や個人情報保護ガイドラインの定めに従っ
〔亘三ヨ収集目的を明確にすれば、どのような目的であっても個人情報
を収集してよいのか？
し云ヨ企業などの正当な事業の範囲内で，その目的の達成に必要な範
囲内で行わなければならない．したがって，自社の事業目的と大きく異
なる目的や不正な利用を目的として，個人情報を収集することには問題
がある．一般的には，定款で定めた事業などが正当な事業の範囲に該当
すると考えられる．
〔亘三ヨ収集日的が企業秘密の場合には、収集目的を隠してもよいの
か？
i云ヨ収集目的を明確にしないで個人情報を収集することはできない、
収集目的を明確にしないで，個人情報を掟供することは，個人の立場か
らみると白紙委任状を渡すようなものであり，個人情報を捷供すること
に不安が生じるからである．なお，個人情報保護法でも，利用目的（収
集日的）をできる限り特定することが定められている（第15条）．
3．個人情報の利用にかかわるQ＆A
包ホームページにお客様の声を載せる場合に，留意すべきこと
は？
包　自社製晶やサービスなどに対するお客様の感想，意見などを掲
載し，自社のPRに利用することがある、このような場合には，次の点
に留意する必要がある．
　�@　お客様の氏名などを掲載する場合には，事前に必ず本人の同意を
　得ること．できれば，後日のトラブルを防止するために書面による
　　同意を得ておくとよい．
　�A　お客様の写真，音声，ビデオ映像などを掲載する場合にも，�@と
　　同様の取扱いをする必要がある．
　�B　お客様の氏名などを明記しない場合，例えば仮名を使うような場
　合でも，お客様本人が特定されることのないように注意する必要が
　　ある．
�C　お客様の感想，意見などの内容に誤りがないようにチェックする
　こと、氏名を間違えたり，感想などの内容を間違えたりすると，思
　わぬトラブルにつながることがある．担当者と管理者のチェックな
　ど複数の者が確認するようにすること．
�D　お客様の感想，意見などについて，企業側で勝手に内容を変更し
　　ないこと．
蜃ヨ収集時には考えていなかったことに，個人情報を利用できる
か？
〔盃ヨ収集時に明示した目的の内容によって利用できる場合と利用で
きない場合がある、収集時に考えていなかった利用方法でも，収集時に
明示した収集日的に含まれており、個人情報の預託（外部委託）などの取
扱いに変更がなければ，特に問題はないと考えられる．しかし，収集目
的に明示されていない目的で利用する場合には，情報主体の同意を得る
必要がある、例えば，利用日的，情報管理責任者などを明記した書面を
情報主体に送付し、回答を得る方法がある、電子メールなどで行う方法
も考えられる．
　いずれにしても，当初想定していなかった個人情報の利用を行う場合
には，収集目的と照らし合わせて，その範囲内であるか，個人情報の預
託などの取扱いに変更がないか、個人情報の管理費住着や問合せ窓口な
どに変更がないか，などについて確かめる必要がある．利用日的（収集
目的）の達成に必要な範囲を超えて利用する場合には，情報主体の同意
が必要になること（個人情報保護法第16条第1項）に，注意しなければ
ならない．
包電子メールで顧客に商品やサービスに関するさまざまな情報を
提供しているが，気をつけることは何か？
蜃ヨ電子メールで個人顧客に対して情報提供を行う場合には，電子
メールアドレスをどのようにして収集したかがカギになる．電子メール
アドレスの収集時に、商品やサービスなどの情報捷供に利用することを
明確にしていれば特に問題はない、しかし，本人の同意を得ずに電子メ
ールアドレスを収集した場合には，トラブルになる可能性がある．
一般的に顧客の来店時に顧客の個人情報を収集したり，電話，FAX，
インターネットなどを通じて個人情報を収集したりすることが多い．こ
のような場合，自社の営業活動に個人情報を用いることを明確にしてお
けば，安心して電子メールを利用した情報捷供を行うことができる．
　なお，電子メールによる一方的な商業広告の送りつけ（迷惑メール）に
ついては，電子メールの件名欄の冒頭に「未承諾広告※」と表示する
ことなどが義務づけられている．詳しくは，「特定商取引に関する法律」
（2002年4月12日改正，2002年7月1日施行）および「特定電子メール
の送信の適正化等に関する法律」（2002年7月1日施行）を参照されたい．
また，給務省のホームページ「迷惑メール関係施策」を参照されたい．
　　http：／／www．soumu．go．jp／joho＿tSuSin／top／m＿mai1．html
回モバイル端末（パソコン）の画面を顧客に見せながら，ビジネス
を行っているが，問題はないか？
包モバイル端末を顧客に見せながらビジネス活動を行うこと自体
については，特に問題がない、モバイルコンピューティングを導入した
ビジネスモデルで考えられる使い方である、ただし，モバイル端末の画
面には，さまざまな個人情報が表示されるので，次の点に注意する必要
がある．
　�@他の顧客などの個人情報が見られないようにすること．
　�A当該顧客に見せている個人情報をどのように収集したかを明確に
　　説明できるようにしておくこと．
　�B内容に誤りがある場合には，速やかに訂正できる体制にしておく
　こと．
�C当該顧客に対する評価情報（例えば、営業担当者による得意先の
　評価など）の扱いに注意すること．
　なお、モバイル端末の紛失や盗難が発生しないように，情報機器や記
録媒体の取扱いについては、十分に気をつけなければならない．万一，
機器などの紛失，盗難が発生しても簡単に情報が見られないように，情
報の暗号化ユーザーIDおよびパスワードによるアクセスコントロー
ルなどのセキュリティ対策を行う必要がある．
4、個人情報の提供にかかわるQ＆A
亙ヨ個人情報を第三者に提供できるケースは，どのような場合か？
蜃ヨ有償，無償にかかわらず第三者に提供することは，原則として
できない、個人情報は、自社の事業遂行のために収集、利用しているの
で、それを社外に操供することはできない、第三者からこのような申し
出があった場合には、個人情報保護法や個人情報保護ガイドラインなど
の考え方を説明して、お断りする必要がある、つまり，業務提携先や，
友好関係にある取引先から，自社の保有する個人情報の捷供を求められ
た場合には、安易にこうした要求に応じてはならない．
　しかし，個人情報を収集する際に，第三者への凍僕について明確にし
て，あらかじめ情報主体への通知を行っている場合には，第三者に提供
することができる（個人情報保護法第23条第2項）．
〔亘三ヨ収集した個人情報を他企業に販売してもよいのか？
（空包収集時に外部への個人情報の販売を明確にして本人の同意を得
ていれば販売できるが，そのような同意がない場合には他企業などへの
販売はできない．個人情報を収集する際に，どのような内容について同
意を得ているのかを確かめる必要がある．
　個人情報の収集時に情報主体の同意を得ておけば他企業への個人情報
の販売が可能であるが，外部への提供に関する事項を明示していなかっ
たり，わかりづらい表雲削こしておいたりすると，個人情報の第三者への
捷供が大きな問題になる可能性がある．
　個人の立場からみると，自分の情報が他企業と売買されることについ
て，同意することは少ないと思われるので，個人情報を収集してそれを
他企業に販売するようなビジネスは，情報主体のメリットがなければ現
実的には成立しないと考えられる．
包社外の友人から顧客に関する情報の提供を求められたが，どう
すればよいか？
包断るべきである、企業が保有する顧客情報（個人情報）を個人的
な目的のために使用してはならない、個人情報保護法の第三者提供の制
限（第23条）や個人情報保護ガイドラインの"目的外の利用，，に違反する
おそれがある、また，就業規則等での処罰の対象になることもある．こ
のような個人情報の提供要求に応じてしまい、問題となる事件も発生し
ているので，個人情報の適切な取扱いを徹底するために，アクセスコン
トロールの強化従業員教育の徹底などを推進する必要がある．
企業等にとっては、従業者の監督（個人情報保護法第21条）について，
責任が問われるおそれがあるので，注意しなければならない．　　　
〔亘亘ヨアンケート調査で収集した個人情報を，社内の営業部門に提供
して，営業活動で使用してもよいか？
〔歪ヨ　アンケート実施時に，どのような内容で情報主体の同意を得て
いるかによって異なる．
（1）営業活動への利用について同意を得ている場合
　アンケートで収集した個人情報を営業活動に使用しても問題はない．
　ただし，アンケート収集時に収集目的を公表、通知，または同意を得
ていても，情報主体の考えが変わることもあるので，情報主体が拒否で
きるような仕組みを整備する必要がある．例えば，営業担当者が情報主
体から営業活動で個人情報を利用することを拒否されているにもかかわ
らず，別の営業担当者が同一の情報主体に再度営業活動を行ってしまう
と，トラブルになるおそれがある．
（2）営業活動への利用について同意を得ていない場合
　アンケートで収集した個人情報を営業活動に使用してはならない．一
旦人手するとそれを自由に利用できると思いがちであるが，個人情報に
ついては目的外に利用してはならない．アンケート収集時に，アンケー
ト調査のために利用するとして同意を得ている場合には，その他の目的
に利用できないし，アンケート調査で収集した個人情報を社外に提供す
ることも当然ながらできないことになる．
団親会社で収集した個人情報を関係会社に提供しても問題はない
力＼？
包収集時に関係会社へ提供することについて情報主体の同意を得
ていない場合は，提供できない．同じ企業グループということで，独立
した企業という意識が弱くなりがちなので，注意が必要である．
　ただし，個人情報を収集する際に関係会社へ個人情報を提供すること
について同意を待ていれば，その範囲内で提供することには問題ない．
また、関係会社へ個人情報を提供しようとする際に，事前に情報主体の
同意を得てから行うのであれば問題はない．
　個人情報保護法では，個人データを特定の者との間で共同して利用す
る場合には次の事項についてあらかじめ本人に通知するか，本人が容易
に知り得る状態にしておくことが求められている（第23条第4項）．
�@　個人データを共同利用すること
　�A　個人データの項目
�H　共同利用する者の範囲
　�C　利用日的
�D　管理費住着の氏名または名称
包官公庁から顧客に関する問合せがあったが．どのように対応す
べきか？
団個別に判断する必要がある．法令等にもとづく問合せの場合に
は、個人情報を開示することが必要になる場合がある．例えば，裁判所
の命令にもとづくケースが考えられる．しかし，法令にもとづく問合せ
であっても，必ずしも対応する必要がない場合もあるので，案件ごとに
判断する必要がある．
5．外部委託をしている場合の個人情報の取扱いにかかわるQ＆A
包個人情報にかかわるシステム処理を外部に委託しようと考えて
いるが，問題はないか？
団必要な条件を満たしていれば、問題はない、システム処理は、
その一部またはすべてを外部に委託することが多い、外部委託を行う場
合には，次の点に留意する必要がある、
（1）適切な委託先の選定
　個人情報の保護水準が十分な委託先を選定する、
（2）契約などの法律行為による個人情報保護
　�@　個人情報管理責任者または個人情報管理者の指示の遵守
　�A　個人情報の秘密保持
　�B　個人情報の再掟供の禁止
　�C　事故時の責任分担の明確化
（3）契約書などの保存
　これらの要件を満たす際には，個人情報保護だけではなく、アウトソ
ーシグにあたって定められる次の事項についても併せて検討する必要が
ある．
　�@　委託料の金額および支払方法
　�B　情報処理などに関する内容およびサービス水準
　�B　責任および権限
　�C　澱庇担保責任
　�D　損害賠償
　�E　監査権（検査権）
�F　システムトラブルなどの発生時の緊急対応，報告義務
システムの運用を外部に委託したいのだが，問題はない
か？
包個人情報保護を担保するための措置がとられれば，問題はない、
システム処理の外部委託と同様に考えればよい．ただし，Webシステ
ムの運用を外部に委託する際には，通常の業務システムと異なり，次の
ような点に注意する必要がある．
　�@　他社のWebシステムと一緒に自社のWebシステムを運用して
　　いることがあるので，その有無を確かめ，適切に区分して管理され
　　ていること．
�A　不正アクセスを防止するための措置（ファイアウォールなど）がさ
　　れていること．
�B　パスワードの管理が適切に行われていること、
�C　WebシステムとWeb以外のシステムとの連携に問題がないこと、
�D　情報セキュリティに関する内部監査または外部監査が実施されて
　　いること．
�E　バックアップが適切であること、
�F　Webシステムヘアクセスできるシステム管理者が特定されてい
　　ること．
　�G　情報セキュリティポリシーが策定されていること、
�H　Webシステムの変更管理の取扱いが定められ，遵守されている
　　こと．
　なお，個人情報保護法では，委託先の監督について定められている
（第22条）ので，外部委託先に個人情報保護を任せきりにしないで，適
切な監督を行う必要がある．
〔亘亘ヨ事務所の清掃を清掃会社に委託しているが，個人情矧呆護の視
点から注意することは何か？
〔亘亘ヨ清掃業務は、通常，事務所内全体が対象となっており，個人情
報が記載された文書，出力帳票や，端末などを見たりできる機会がある、
そこで個人情報にかかわるシステム処理の外部委託に準じた個人情報の
セキュリティ対策が必要になる．
　具体的には，次のような事項を契約等で明確にする必要がある、
　�@　守秘義務
　�A　受託側の責任
　�B　損害賠償
　�C　責任者の明確化
　�D　従業員の教育
　�E　監査権（検査権）
　この他に，特に重要なエリアについては，社員による清掃や，清掃作
業時の社員の立会いなどの対応を行うとよい．
包代理店に端末を設置して，業務を委託しているが問題はない
か？
個人情報保護に関する契約を締結し，委託業務に必要な情報以
外の個人情報にアクセスできないようにするなど，適切な個人情報保護
の水準を確保するための措置がとられていれば問題はない．また，個人
情報を収集する際に，プライバシーポリシーのなかで，代理店などが個
人情報を取り扱うことがあること，当該代理店とは個人情報保護に関す
る契約を締結するなどして個人情報保護に関する措置を講じていること
を明確にするとよい（図表付5参照）．
　個人情報の漏えいなどを防止するために，定期的に個人情報保護監査
を実施して，セキュリティ水準の確保に努めるとよい．そのために，代
理店と個人情報の管理状況などに関する監査権を確保するための契約を
締結しておくことが望ましい．
　加えて，代理店の従業員などに対する個人情報保護教育を実施して，
代理店の従業員の個人情報保護意識を高める必要がある．いわゆる，情

■個人情報の預託における個人情報保護

代理店契約（個人情報保護に関する事項）
プライバシーポリシー教育，監査
報告（個人情報の取扱状況，事故など）

報倫理教育の一環として，個人情報保護教育を実施すると良い、
システムを代理店に使用させているが、注意す
ることは何か？
インターネット経由でアクセスするシステムの場合には、ユ￣
ザーIDとパスワードなどによるアクセス管理が特に重要である、ユー
ザーIDやパスワードなどが第三者に漏えいしないように管理を徹底さ
せる必要がある．具体的には，次の事項に注意する必要がある、
　�@　パスワードを定期的に変更すること
　�A共通のユーザーID、パスワードではなく，個人単位にユーザー
　ID、パスワードを付与すること
　�H　アクセス状況のモニタリングを行うこと、
　�C業務上での必要性を十分検討し、代理店が利用する必要がある機
　能や情報と，代理店が利用する必要のない機能や情報を明確に区分
．し，アクセスコントロールを行うこと、
　�Dバイオメ＝ツクス（生体認証）などパスワード以外のアクセス管
　　理についても検討すること、
6．個人情報の管理（教育、監査を含む）にかかわるQ＆A
団社員教育はどのように行えばよいか？
回個人情報保護に関して、次のような社員教育を定期的に行うこ
とが大切である．
（1）教育内容
　�@　プライバシーポリシー
　�A社内規程など（個人情報管理規程，個人情報取扱マニュアル）
　�B　取扱者の責任と義務
�C　個人情報保護の必要性，ビジネスにとっての意義
�D　個人情報にかかわるリスクとビジネスへの影響
　�E　その他
（2）対　象　者
役員，社員，パート，派遣社員，代理店など，自社の個人情報の取扱
者全員．
（3）教育のタイミンク
　社員研修などのタイミングに合わせて実施すると効率的である、
（4）教　材
　ビデオ，個人情報保保護に関するクイズ（理解度テスト），マニュアル
など．
（5）そ　の　他
　イントラネットからプライバシーポリシー，個人情報管理規程、個人
情報取扱マニュアルなどを照会できるように環境を整備するとよい、
�K個人情報の管理をチエ、ソクするためにはどうしたらよいか？
〔盃ヨ定期的に監査を実施して個人情報管理について点検●評価する、
監査には，内部監査部門が監査を行う方法と，外部監査人に委託して監
査を行う方法がある．個人情報保護監査は，会計監査とは異なって、個
人情報にかかわるコンピュータ処理，運用およびシステムの利用状況を
中心に監査することになるので，システム監査人による監査を行うこと
が有効である．
　個人情報保護監査は，次のように実施するとよい、
（1）監査の実施者
　内部監査部門または外部の監査法人などのシステム監査人、
（2）監査の概要
�@ 個人情報の取扱い状況
　1）情報セキュリティポリシー、個人情報管理歳晩個人情報棚
　　マニュアルなどに定められた手続が周知、徹底されているか．
　2）情報セキュリティポリシー，個人情報管理規程，個人情報取扱
　　マニュアルなどに定められた手続に従って，個人情報の収集、利
　　用、管理、廃棄などが取り扱われているか．
　3）個人情報管理幾程や個人情報取扱マニュアルなどの改訂が行わ
　　　れているか．
　4）機器や保存媒体の管理，取扱いが適切か．
　5）パスワード管理が適切か．
　�A　個人情報を扱うシステムの開発
1）個人情報の収集目的を明確化し、本人の同意を得る仕組みが考
　　えられているか．
　2）アクセスコントロール機能が適切か．
　3）個人情報の目的外利用，目的外提供を行うことを考えていない
　　か、考えている場合には，必要な措置をとっているか．
�B　監査の実施タイミング
1）個人情報の取扱い，システムの利用に関する監査は，定期的に
　　実施すると有効である．
　2）個人情報を取り扱うシステムを周発する場合には，システムの
　企画段階で監査するとよい、例えば、CRMシステムの開発では，
　個人情報の適正な利用と提供がカギとなるので，企醐階で個人
　情報保護の視点からシステム化の目的、システムの機能を監査し
　ておく必要がある、なぜならば，システム稼働後に問題がわかっ
　ても，システムの改修を行うためには多大なコスト手間がかか
　ることがあるからである、場合によっては，システムそのものの
　利用に問題が生じる場合（個人情報の目的外利用、捷供に該当し，
　個人情報データベースを利用できないケース）もあるので注意が
■鞄個人情報保護状況の自主点検
　　必要である．
個人情報保護の監査はどのように行えばよいのか？
システムの利用状況を中心に監査を行う方法が最も効果的であ
る、監査は，内部監査部門または外部監査人に委託して実施することに
なるが，個人情報の取扱者またほ棚箇所のすべてを対象として監査を
実施することは難しい、そこで、情報システムを利用してアクセスコン
トロールの有効性を確かめたり，パスワードの変更状況などを確かめた
りする監査手法が適用されることになる、また、個人情報の取扱状況に
ついて，監査対象箇所をサンプリングで決めて、監査を実施する方法も
ある．
　このほかに、CSA（controIselfassessment：裁判自己評価）とよばれ
る方法がある、個人情報の取扱箇所において、管理者などが自箇所での
プライバシーポリシーの遵守状況をチェックし，その結果を内部監査部
門に報告させる方法である（図表付6参照）．
小さな会社で内部監査部門がないのだが，どうしたらよいか？
国内部監査部門の紬企業では、監軸当者を任命して，内部監
査を実施する方法がある、監査担当者は専任であることが望ましいが，
企業親模によっては、必ずしも専任である必要はか、．
監査担当者は，可能ならばシステム監査技術者，CISA（公認情報シス
テム監査人）などの資格を有していることが望ましい、この他に，CIA
（公認内部監査人），内部監査士などの資格もある、
監査担当者だけで個人情報保護監査を実施することが難しい場合には，
外部に個人情報保護監査の実施を委託する方法もある、この場合には，
「システム監査企業台帳」に登録された企業などに委託する方法がある、
個人情報管理の最高責任者は誰にすればよいのか？
トップマネジメントを管理責任者にすることが望ましい、中小
規模の企業では，社長を個人情報の管理責任者とするとよい、大企業で
は，社長自らが個人情報の管理責任者となることは難しいこともあるの
で，副社長や専務、常務などの役員を管理責任者にするとよい、誰が個
人情報の管理責任者なのかによって，当該企業の個人情報保護に対する
姿勢がわかるので，管理責任者の任命は、注意しなければならない、ま
た，管理責任者の下に，補助者を設けることは、個人情報護を徹底させ
るために必要である．
　企業における個人情報管理の最高責任者は，1名としたほうが責任の
所在が明確になる．必要以上に管理責任者を多数指名して責任の所在を
不明確にしてはならない．
　なお，個人情報保護法では，管理責任者などの体制については具体的
な定めは特にないが，JISQ15001（「4、4、1体制及び責任」）や個人情報
保護ガイドライン（第22条）では，個人情報保護に関する体制などにつ
いて定められているので，これを参考にするとよい、

顧客などからの問合せ窓口をつくる必要があるか？
顧客などからの個人情報保護に関する問合せ窓口を設置する必
要がある．個人情報保護ガイドラインでは，自己の個人情報に関する開
示請求，訂正、削除，利用、捷供の拒否の権利があるので，これに対す
る窓口を設置する必要がある．情報主体が開示請求を行おうとした場合
に，どこに請求すればよいのかがわからなければ，個人情報保護法で定
める「開示等の求めに応じる手続」（第29条）に違反するおそれがある、
また，JISQ15001では，個人情報およびコンプライアンス、プログラ
ムに関する苦情および相談を受け付けて対応しなければならないと定め
ている．
意表済観
7．個人情報の廃棄にかかわるQ＆A
帳票の廃棄をリサイクル業者に委託しているが、問題はない
か？
個人情報の記載された帳票の廃棄処理を外部委託すること自体
には，問題がない．ただし，帳票の廃棄処理の過程（図表付7参照）で，
個人情報が漏えいしないような措置を講じる必要がある、具体的には，
帳票の廃棄処理のプロセス
　　職　場　　　　　倉庫など

　次のような対応が必要である，
（1）信頼できる廃棄案者および運送業者の選定
　図表付7に示すように帳票の廃棄プロセスでは，運送業者や廃棄業者
がかかわるので，これらの外部委託先企業が，個人情報の取扱いについ
て信頼できるかどうかがポイントになる、処理費用の比較など価格面の
評価だけで安易に委託先を決めないように注意する必要がある．
　業者のチェックポイントには，次のような事項がある．
　�@プライバシーポリシー，情報セキュリティポリシー，社内過程，
　　マニュアルなどの整備状況
　�A　経営者の意識
　�B　従業員教育
　�Cプライバシーマークの付与認定やISMS認証取得の有無
　�D　内部監査体制（チェック体制）
　�E　経営の安定性
　�F　過去の事故の発生状況
　�G　その他（業界での評判など）
（2）輸送華南の適切性
帳票の輸送途中で帳票が紛失し，盗難することのないように，コンテ
ナタイプの車両を使用させること．
（3）作業員の適切性
アルバイトの作業員だけではなく、必ず委託先の従業貞が含まれるよ
　うにさせる、また、作業月教育を定期的に実施させること．
（4）帳票の取扱いなどに関する契約の締結
　委託先とは、次の事項を含む契約を締結するとよい．
　�@自社のプライバシーポリシー、情報セキュリティポリシー，社内
　　規程、マニュアルなどの遵守
　　�A　守秘義務
　　�B　義務および責任
　　�C　損害賠償
　�D事故発生時の取扱い（応急対応，報告など）
　�E作業への立ち会い，検査
　�F　従業貞の監督
　�G　従業貞教育
　�Hその他個人情報の保護に必要な事項
団リプレイスで不要になったパソコンの処馳どのように行え
ばよいか？
包パソコンに保存された情報が第三者に見読され，漏えいし紬
ようにしたうえで、廃棄などの処理を行うこと、パソコンに保存された
情報は一別除コマンドを朗しただけでは消去できない点に注意する必
要がある■削除コマンドは，保存されたデータのイげックス部分を削
除するだけであり、情報自体が削除されるわけではな叶したがって，
パソコンの廃棄に際しては、次のよう相応を削る必要がある．
　�@ハードディスク部分の破壊
　�Aデータ消去用のソフトによる消去
柚破壊によって情報を見読できないようにすることは，情報源え
いを防ぐ最も有効な方法であるが，パソコンがリースの場合にほ，所有
権がリース会社にあるので、事前の相談が必要になる．
　以上のような取扱いは，パソコンだけではなく，PDA（personaldig−
italassistance：携帯情報端末），外付タイプのハードディスクなどにつ
いても適用する必要がある．
CD−ROM、USBプラ、ソシュメモリ、MOディスウ、プロ、ソ
ピーディスウなどを社内で再利用しているが，どのような点に気をつけ
ればよいのか？
包再利用する際には、関係者以外の者が情報を読むことのないよ
うに注意しなければならない．再利用するときには，再利用のための保
存箱などにフロッピーディスクやMOディスクなどの記録媒体を入れ
ておき，必要な者がそれを取り出して利用するといった方式がとられる
ことがある．このような場合には，顧客などの個人情報が記録媒体に保
存されたままで，それを業務上必要のない者が見読してしまうリスクが
ある．また，保存箱に入れてある記録媒体を外部に持ち出して第三者に
売却してしまうおそれもある．したがって，記録媒体を再利用する場合
には，次のような取扱いが必要である（図表付8参照）、
　�@　利用者に個人情報保護教育を徹底すること、
　�A　再利用する記録媒体に記録された情報を消去用のソフトウェア利
　用して見読できないように消去することを，従業員に徹底させるこ
　　と．

■記韓媒体の再利用のポイント
　 �B　再利用は，社内だけで行い，可能な限り同一部署内で行うこと．
�C　記録媒体に貼付されたラベルは，剥がしておくこと．
�D　再利用できない記録媒体は，破壊，専用ソフトによる消去などに
　よって，情報が漏えいしないようにすること．
8．その他のQ＆A
個人情報保護関連の認定マークにはどのようなものがあるか？
個人情報保護に関する認定マークには，次のようなものがある、
（1）プライバシーマーク
　国内で代表的なマークであり，�挙�本情報処理開発協会が付与してい
る（http：／／privacymark．jp／）．プライバシーマークは，『個人情報保護
に関するコンプライアンス、プログラムの要求事項JIS Q15001』に適
合して適切な個人情報保護を行っている事業者に対して付与されるもの
である．
（2）個人情報保護マーク
　�挙�本データ通信協会が付与している．個人情報保護マークは，電気
通信事業者または発信者情報通知サービスの事業利用者であり，自己の
事業活動またはその活動日的を達成するために個人情報を取り扱う団体
などが，個人情報取扱事業者として，一定の審査を経て登録された場合
に，表示できるマークである（http：／／www．dekyo．or．jp／）．
（3）オンラインマーク制度
　�鞄�本通信販売協会が付与している．オンラインマーク制度は，イン
ターネットを利用した消費者向けの電子商取引において，適切な取引を
行う事業者に対して付与される（http：／／www．jadma．org／）．個人情報
の適切な保護も認定するための条件であり，個人情報保護の外部評価を
行うマークの1つといえる．
（4）BBBオンラインプライバシーシール
　米国の非営利団体であるベター、ビジネス、ビューローが付与してい
るマークである、オンラインプライバシーシールは，同団体のBBBオ
ンライン、プライバシー、プログラムの要求事項に適合したオンライン
企業に対して付与される（http：／／www、bbbonline．org／）．わが国のプラ
イバシーマークとの相互認証を行っている．
（5）WebTrustマーク
　米国公認会計士協会（AICPA）が、Webサイトの信頼性を監査して無
限定意見の場合に当該WebサイトにWebTrustマークの使用を認める
ものである（http‥／／www、CpaWebtrust、Org／）、WebTrustには，業務開
示の保証、取引完全性の保証、情報保護の保証という3つの原則がある．
個人情報保護は，情報保護の保証に含まれる．
（6）TRUSTeプライJてシーシール
　米国の非営利団体であるTRUSTeによって，個人情報保護が適切で
あることを保証（assure）することを目的に付与されるものである（http：
／／www、truSte、net／）、インターネットにおける消費者の億頼を得るこ
とをねらいとしている、なお，個人情報侵害の監視のための仕組み（"the
TRSUTeWatchdog''）がある．

包プライバシーマークの付与認定などを受けるとどのようなメリ
、ソトがあるのか？
団ネットビジネスの拡大にともなって，個人情報の侵害に対する
消費者の関心が高まっているが、プラインバシーマークなどを取得する
ことによって、自社の個人情報保護の適切性を消費者にアピールするこ
とができる．
　ホームページ上にプラバシーポリシーを掲載しただけでは，それを見
た顧客は、当該企業の個人情報保護の適切性を倍頼することができない．
そこで、プライバシーマークのような第三者による個人情報保護の点
検、評価結果の表示が重要になる、プライバトマークは，ネットビジ
ネスなどでの自社の個人情報保護の安全性をアピールし，自社製品、サ
ービスの選択率を高めることにつながる．
紬、プライバシーマークなどが普及すると、プライバシーマークな
どがなければ消費者が来紬（商品などが売れか）という状況になる可
能性もある、今後の個人情報保護に関する動向を把断ることがビジネ
スを進めていくうえで大切である．　

　「訪問販売法」の適用を受けるとは言っても、実際の訪問販
　　売と電子商店にはさまざまな違いがあります。ここでは、イン
　　　ターネットならではの鉄則をまとめてみました。
個人憫報偏凛～プライバシーポリシー
　　　以下の3点を通販広告表示で宣言し、必ず守るようにしてく
　　ださい。
　　1．お客様から頂戴した大切な個人情報（住所・電話番号・メール
　　　　アドレス等）を商品の発送や予約の発注以外の目的に流用しま
　　　　せん
　　　2．当店で過去にお買物をされた方といえども、御希望されない
　　　　ぉ客様のメールアドレスに無断でDMを送る迷惑行為は絶対
　　　　　　　にいたしません
　　　3．大切な個人情報を第三者に流すようなことは絶対にいたしま
　　　　せん
　　　発送に必要という理由で、お客様はショップを信じて大切
　　　な顧客情報を教えてくれるのです。デr夕べースに取り込ん
　　　でしまったから、後は販促のためにどう活用してもよいという
　　　思想は、通販における信頼関係を根底から崩す最も危険な
　　　考えです。特に2番目のDMに関しては大きな誤解をしている
　　　ショップが多いようですが、これは後章の「オプトイン・メール」
　　　　という項目で詳説します。
開業の鉄則
　　　　　　　　　　　　　　　　

2．3メルマガ配億の鉄則
電子商店のチラシ的な役割を果たすのが「メールマガジ
ン」。いわゆる「メルマガ」です。メルマガは数多く送ればよ
いというものではありません。ここで説明するメルマガのル￣
ルを守って、好感を持たれるメルマガ配信を目指しましよう。
スパムメールとオプトイン・メール
　ショップメール配信のルール・マナーは、「スパムメールの
反対」と考えれば正解。無差別に送られてくるスパムメール
とは違い、あらかじめユーザーに受け取り確認を得て、求め
る人に求められる情報を届ける「オプトイン・メール」が一般
的になりつつあります。
許可なき配信はお客様への背信
　購読の意思のない人に勝手にパンパンDM（ダイレクトメ
「ル）を投げかけるのは、完全にルール違反。すべてのショ
ップが好き勝手に情報発信をし始めたらどうなるか、考えて
みればわかります。ネットショッピングが便利で快適でも、メ
＿ルポックスを開くとあふれ出すようにDMが入るようでは、
誰もショップにメールアドレスを教えなくなります。特に女性
のお客様は激減することでしよう。
　メ＿ルアドレスはとっても大事なパーソナル情報。電話番
号と同じです。お客様がその大事なアドレスを敢えてくれる
理由はただひとつ。商品配送にあたっての発送や受注の案
内をオンラインで受け取るためです。決してDMを受けるた
めではありません。心証を害さないためには、希望されない
DMを送らないのが一番です。
意思の確認は注文書で
　DMを送ってもよいかどうか、もっともスマートで一般的な
方法を紹介しましょう。それは、注文書やトップページに「今
後、当店からのメールニュースをお届けしてもいいですか」
という質問チェックボタンを設置しておくことです。このチェ
ックボックスひとつで、購読意思の確認ができます。　これ
が第一段階。
　さらに、「どういった情報が欲しくて購読を希望したか」を
尋ねなくては、完璧とは言えません。ショップのコンテンツの
中でどの分野に興味があるのか、鋭く絞り込むのがコツ。筆
者の経験上、読者が求めることとかけ離れた内容を配信した
失敗は、翌日に購読解除の嵐によって思い知らされます。
　読者の欲しい情報だけを配信するためには、マガジンの細
分化を計る必要があります。欲しいのはバーゲン情報か、新
商品情報か、あるいは商品に関する知識か。読者の好みに応
じて複数のマガジンを組み合わせます。何が必要とされてい
るのかを常に分析し、余分な情報を送らないことが、功を奏
するのです。

商品特性と配信体制・配備国数
　マガジンを継続的に出す場合、その間隔はリピート率に応
じて考えるのがよいでしょう。ウェブページは定期的に更新
した方がいいですが、メルマガは定期的に来ればよいという
ものではありません。リピーターの多いものは定期配信する
意味がありますが、リピート性のないものは定期配信よりタイ
ムリーな配信が決め手。バーゲンや限定品の販売など、「こ
こぞ」というときに配信すると効果的です。
†一ミッション
　オプトインメールの考えを発展的に商売に投影したのが
「パーミッション」（許諾）という概念になります。優れた書籍が
多数出版されているので、参考にしてください。
　基本的にはショップからの情報を欲しいと意思表示した方
に定期的、積極的にコミュニケーションをとっていく手法のこ
とですが、許諾を得られない方に対しては、たとえ有益で優
れた内容であってもコンタクトを取ってはならないというルー
ルは同じです。
　パーミッションは個人個人に合わせた情報配信ができるた
め、今後はワン・トウ・ワンに代わる重要な手法としてクロー
ズアップされてくるでしょう。
配信先のアドレスを買ってはいけない！
　噂では、メールアドレスー万個単位で一個0．5円～1円で売
られていると聞きます。しかし、そういった業者からアドレス
を購入して配信しようなどと、夢々考えてはなりません。たと
えお試し版であろうと、知らない相手から突然やってくるメー
ルはスパムメールと同じこと。そんなことをすれば「ここまで
なりふり構わない、売れない店なんだ」とお客様の信用を失
うことになります。
「有益な情報だから送ってもいいじゃないか」といった論理
は通じません。情報の有益虔の問題ではなく、どこでそのア
ドレスリストを入手したかということの方が大きな問題だと思
います。不特定多数に広報を出すなら、メジャーなメールマ
ガジンヘの広告掲載や広く希望読者を募る機構（まぐまぐ等）
を利用すべきです。
椛客情報を厳守するということ
　自分の店の顧客情報を守るのは、責任者としての最低限
の務めです。顧客情報を守るということは、ほかの人に売
り渡さないのはもちろん、発送以外の目的に流用してもい
けません。　ここで、顧客情報を守るための鉄則をまとめて
おきましょう。
◆DMを発送する場合tま、注文書などのページに購読を希望す
　　るかどうかのチェックボタンを設置して相手の意思を確かめ
　　ること
◆簡単に購読を解除できるよう、毎号に案内文を入れること
◆冒頭または巻末に「これは00にて登録されたメルマガです」
　　という案内を必ず入れること
◆お試し版を送る場合は、継続購読希望者以外に＝度と送らな
　　いこと
◆できるだけバックナンバーを公開しておくこと
◆不要に長く重たいメールは御法度。できれば軽く読みやすい
　　ことを第一義に！
◆ お客様が求める情報のみを厳選し、細分化した配信体制をとること

運びです○　それぞれを詳しくみていきましょう○
園インターネットそのものを揺るがしかねないスパム公害
アメリカがインターネット先進国ということは、スパム公害の先進国
でもあるわけです○消費者ばかりでなく、インターネットという社会基
盤そのものも揺るがしえない存在となってきました○懸念される理由と
しては大きく分けて次の3つに分類されます○
�@消費者に誤解を与えるような表現による被害の懸念
�Aスパムの大量送信によって引き起こされるネットワーク上の損失の懸
念
�B消費者のコスト負担増と不快感の増幅
　すでに26州でスパムを規制する法律が制定され、連邦レベルでもスパ
ム行為に鉄拳を下すべく、連邦議会の上院、下院耐に法案が提出され
ています○
　さらにプライバシー保護の観点からも新しい動きがあります○非営利
組織のトラストe（TRUSTe）では、認定プログラムを発表しました○
先に日本情報処理開発協会の「プライバシーマーク」を説明しましたが、
さしずめそのEメール版とも呼べるものです○Eメールの表示規則を遵
守している企業に対して、プライバシー認定シールを発行するというも
のです○米マイクロソフト社やインターネット広告代敵手の米ダブル
クリック社も支持していくことで合意しています〇内容についてはまだ
流動的に見受けるので、詳細はここでは省略しますが、いずれにしても
　今後の動向に注意を払いたいところです○
　匪週日本での迷惑メール対策法の最新事情
　一方、日本でも迷惑メール関連の対策法が立て続けに施行されます。
　ひとつは経済産業省、もうひとつは総務省の管轄となります。いずれも
　2002年の雛4回国会（ムネオ問題や真紀子外相更迭、辻元秘書給与問
　題で騒がれた国会です）で可決成立し、そして同年7月には施行という
　　　62
　はじめに「特定商取引に関する法律の一部を改正する法律」です。内
閣が3月1日に国会に提出。4月12日に可決成立し、4月19日付けで交
付となりました○
　おもなポイントは、2月に施行された経済産業省令の改正と合わせる
と次の通りとなります○
�@事業者や広告主の電子メールアドレスの表示
�A商業広告である旨の表示（件名欄に「未承諾広告※」）
�H消費者がメールの受け取りを希望しない場合に、その旨の連絡方法の
　表示
�C消費者が受信拒否した場合の、再送信の禁止

　マーケテイング担当者のなかには、すべての企業メールに「商業広告
である旨の表示」（このことは後でも詳しく述べます）が必要と思って
いる方もいますが、これは特定商取引、つまり通信販売などの商業広告
メールが対象です○　また、消費者からの配信の希望や許諾があれば、要
するに正しいオプトインをしているのであれば、その必要はありません。
　ただしその場合でも、消費者が今後受け取りを希望しない場合のため
の連絡方法（オプトアウトの方法ということ）は表示しなければなりま
せんし、事業者や広告主の電子メールアドレスの表示、および消費者が
受信拒否した場合の再送信禁止も遵守する必要があります○
　なお、この法律では以前から住所や電話番号などの表示も義務付けて
いますので、もし通信販売などを手がける場合は、これらの表示義務も
合わせて守らなければなりません○
　また、オプトインしていたとしても、その際に定義していた範囲以外
の内容（例えば、「美容の最新情報を配信します」と定義してパーミシ
ョンを得たのに、不動産情報を配信する、など）だと、それは許諾を得
ていることにはなりませんので、商業広告である旨の表示義務の対象と
なります○
　この義務に違反した場合は、経済産業大臣名の書面による指示（警告

　　　　　　　　　　　　　　　　　　　　　　
（１）個人情報を取り扱う業種の例
�@ 人材派遣会社
�A データーセンター
�B 電話サポートセンター
�C システム開発
�D ホテル
�E 病院
�F 銀行、保険会社等金融会社
�G 建売住宅販売会社　（展示場でのアンケート収集）
�H 塾、英会話教室、スイミングスクール
�I セミナー、講座開催
�J 電話帳発行会社
�K 携帯電話販売店
�L インターネット販売、テレビショッピング
�M 健康食品、ふるさと特産品等の通信販売
�N 個人情報預り会社、廃棄依頼会社
�O メールマガジン発行会社
�P デパート、スーパー、ガソリンスタンド会社等での友の会、カード発行、ポイントカード
�Q ビデオレンタル
�R クレジットカード発行会社
�S 住宅地図
21 情報誌発行会社
22 印刷会社
23 新聞販売店
24 牛乳販売店
25 置薬販売会社
26 旅行会社
27 プロバイダー
28 DM発行会社
29 カーナビ
30 
31