ケーススタディ

CASE STUDY

ホーム

アイコン

名簿利用企業のPマーク取得(2007年)

名簿業者から名簿を購入してアウトバンドで販促をおこなう企業はプライバシーマークを取得できるのか?

実は、国内で初めて名簿購入事業者のPマーク取得支援をおこなったのが当社でした。

A社は、「富裕層×女性×シルバー世代」向けの商品を販売する会社でした。

最大手の名簿業者から名簿を購入して販促をおこなっていました。ターゲットが明確なので、名簿を利用したマーケティングは非常に有効です。その会社の経営層がプライバシーマークを取得しようと考え、当社のアライアンスパートナーの営業にコンサル依頼をおこなったのです。その営業担当は、「できます!」と笑顔で答え、その話が巡り巡って私にやってきたのです。常識的に考えると当時は無理筋でした。

 

私は可能性を模索するために、JIS規格との当てはめをおこないました。

名簿購入による個人情報の取得は、「3.4.2.5 個人情報を3.4.2.4 以外の方法によって取得した場合の措置」が該当するため、利用目的の通知公表を行えば良い。ここは簡単にクリアできます。

問題になるのは、架電またはメールによるアウトバンドのアプローチです。ここは「3.4.2.7 本人にアクセスする場合の措置」が該当し、取得方法を含めた必要事項を本人に明示し同意を得る必要があります。ここをクリアするのが難しい。

ところが、この部分の審査基準が緩和された話を少し聞いていました。同意を取るタイミングは、最初のDMでも良い、かつ同意は「黙示的同意」(オプトアウトがなければ同意とみなす)でも良い、というものです。これを使うことにしました。

実はもう一つ、クリアしければならないハードルがありました。「3.4.2.2 適正な取得」です。名簿業者が適法に取得し、適法に提供していることを確認しなければならない。多くの名簿業者は個人情報保護法施行時に、オプトアウト方式の第三者提供と施行附則に定められた経過措置を組み合わせたリーガル対応をおこなっていました。グレーゾーンとは言え、何とかいける。ここの証明は非常に難しいのですが、名簿業者から「適法に取得し、適法に提供した」旨を明記した誓約書を提出させました。

審査機関とも裏で確認しながら、上記の組み立てをおこない、A社は無事プライバシーマークを取得しました。

 

さて、2014年夏に発生したベネッセ事件。名簿業者、名簿購入企業の存在が改めて問題視されることとなりました。2014年12月に経産省ガイドラインが改正され、「適法に取得し、適法に提供した」という誓約書では認められないこととなりました。また改正個人情報保護法では、名簿業者(オプトアウト方式の第三者提供を採用する企業)は、個人情報保護委員会への届け出が義務付けられることとなりました。

私は複数の名簿業者にヒアリングをおこない、上記への対応可否を確認しました。答えは「NO」。適法性を証明する詳細なエビデンスは提示できないとのことでした。名簿業者が保有するデータベースの多くは、住民基本台帳または電話帳がソースだと推定していたのですが、実は、半数以上がいわゆる卒業生名簿を含めた出自を明かしにくいものがソースだったことも分かりました。

 

結論、かつてはプライバシーマーク取得は可能でしたが、経産省ガイドラインが改正された2014年12月以降は実質不可能となりました。
 

<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ

その他のケーススタディ

これまでに当社が取り組んできた問題解決の事例をご紹介します。

一覧へ