個人情報保護法の施行が秒読みに入り、多くの企業がその対応に追われている。しかし、この法律を正しく理解できずに嘘や噂に振り回されている企業も多い。

そこで今回は、メールマガジン配信後に対応不手際で6億円もの損失を出してしまったY社の症例をもとに考えてみた。

大流行の兆し、個人情報保護法パニック症候群

通信系の大手企業やカード会社、大手流通業などの顧客情報漏えい事件が続き、新聞などで連日大きく報道されている。このタイミングで2005年4月の個人情報保護法の施行がいよいよ秒読みに入り、顧客や見込客などの個人情報を持つ企業の担当者はある種のパニックに陥っている。

問題なのは、多くの企業が誤った情報に振り回され、マーケティング活動ができなくなっていることだ。
例えば「個人情報保護法」と「コンプライアンス」と「プライバシーポリシー」がごっちゃになって議論されている例をよく見かける。

「個人情報保護法」に関しては、2005年4月の施行なので付帯する政令もまだ未完成であり、当然、判例もない。今は情報を集め、この法律がいかなるものかを見極めることが重要だと思う。「コンプライアンス」は「法令遵守」であり、遵守すべき法令はなにも「個人情報保護法」に限った話ではない。「プライバシーポリシー」とは企業やWebサイトのプライバシー情報の取り扱いに関しての「方針」であり「独自の規定」である。

それぞれに意味の異なるこれらのことがすべて個人情報に関する規定であるかのように論じられている。まさに個人情報保護法パニック症候群が大流行しているのだ。
今日はこのテーマを考えてみようと思う。

個人情報保護法とは

個人情報保護法は「個人情報取扱事業者」を対象にした個人情報の「利用」と「管理」に関する法律で、「個人情報取扱事業者」の定義は「5,000人以上の個人情報データベース等を事業の用に供しているもの」とされている。「個人情報データベース等」とは、個人データの集合物で検索可能な状態になっているものを指すため、紙ファイルでも目次や索引がつけられ検索できれば該当する。

つまり、「5,000人以上の個人データを検索性をもたせて利用している企業」のことを指すので、ほとんどの大企業はこれに入る。個人データの扱いについては、「データ内容の正確性の確保」「安全管理措置義務」「第三者提供の制限」の3つが主な規制事項である。

法整備まではしっかり準備する時間がある

この法律の問題点は、「個人の情報」の「利用」と「保管」という法学者が未知の分野に、「インターネット」や「データベース」などの新しい概念が加わり、実態が把握されていない部分が多すぎる点だ。例えば、メール配信システムと回線を利用するメール配信ASP（アプリケーション・サービス・プロバイダ）サービスを利用すると仮定しよう。この場合、配信オペレーションなどはすべてユーザーサイドで行うものの、メール配信サーバのハードディスクに一時的にメールアドレス・データを置くことになる

ASP業者は第三者である。さらにもっとも気をつけるべきことは、社内の法務部門との調整だ。法務とは会社を「守る」部門である。あらゆるトラブルを想定し、できる限りリスクを回避しようとする。

一方、営業やマーケティングは「攻め」の部門だ。多少危ない橋を渡っても競合に打ち勝とうとする。今起きている問題は、この法務部門が作った社内のルールに縛られ、営業活動が麻痺していることだ。営業やマーケティングに足かせをはめて会社がおかしくなってしまえば、なんのための法務部門かわからなくなってしまう。

法律の問題だからと言って任せ切りにせず、営業やマーケティング部門が積極的にプライバシー・ポリシーやWebの運用ルールなどにかかわるべきだろう。

顧客・見込客情報のトレーサビリティ

「トレーサビリティ」（traceability）という言葉を聞いたことがあるだろうか？　トレーサビリティとは「跡をたどること」「原因などを追跡すること」という意味の言葉で、近年ITの世界で非常に重要なキーワードになっている。

私の会社はクライアント企業の顧客情報をお預かりしてリストのメンテナンスやメール配信などのコミュニケーションを代行するアウトソーシング事業を行っている。メール配信オペレーション業務の中で最も多いお問い合わせは、「私のメールアドレスをどこで手に入れたのですか？」という質問である。

この時点で、いつ・どこで・どのように入手したのかという回答ができればまずクレームにはならない。とにかくこの最初の問い合わせにきちんと回答できることが重要なのだ。面白いことに、こうした問い合わせをされる方の多くは、今後こうしたメールを配信しない方が良いですか？　というこちらからの質問に、今後も配信して欲しいと回答するのだ。

これをお読みいただいている方は、セミナーや新製品などのご案内メールやメールマガジンを出した方から「私のメールアドレスをいつ、どこから手に入れたのか？」という問い合わせがあったときに正確に回答できるだろうか？　多くの企業は見込客の情報データを紙かエクセルデータでそれぞれ保管している。そのため、顧客や見込客リストのどれかに入っていたことはわかっても、それがどれなのか、含まれていたリストはひとつなのか、複数なのか、また複数のリストに同一人物が居た場合にはデータの新旧もわからないことが普通だ。

ある人の個人データがいつ、どこから入力され、その後どんなeメールが送られたか、どんなDMを発送したか、配信停止依頼を受けているかいないか…こうした履歴を管理することを「データのトレーサビリティ」という。車のリコールや食品の異物混入、また狂牛病などの問題が発生したときに「生産履歴」を追跡するトレーサビリティが可能かどうかが緊急の課題となっているのは良く知られている。

これは何も製造業やITの世界だけの話ではない。例えばサラブレッドの血統などは完璧なトレーサビリティが可能で、世界中に数百万頭もいるサラブレッドはすべて完璧に血統を遡ることができる。こうした「トレーサビリティ」は生産ラインや家畜の繁殖だけでなく、顧客や見込客の情報管理でも必要になるのだ。いつ、どこで、どうやって登録された個人データなのか…あなたの会社はその準備ができているだろうか？

噂や憶測には要注意

法整備の背景はeメール、特に携帯電話へのスパムメールで大きな被害が出たことで、メールアドレスの不正な流通やその配信による経済的な被害が深刻になったことである。
だからB to Cのメール配信にスポットが当たっている。B to Bの場合は、ほとんど想定すらされていないと考えられる。

おもしろいことにこの法律の施行が近付くにしたがって、さまざまな風評が出てきて、混乱に拍車を掛けている。「メール配信ができなくなる」「本人に承諾を得たメール以外はすべて未承諾を付けないといけないのではないか」「メール配信やDMのラベル貼りはすべて社内で作業しないといけないのか」などなど…噂に振り回されてせっかく好評だったメールマガジンを廃止したり、展示会でアンケートを集めること自体を辞めてしまったりする企業が出てきたのだ。

しかし、少なくとも私は展示会で集めた名刺に来場お礼のメールを出すときに「未承諾メール」という見苦しいサブジェクトをつける必要はないと考えている。自社で真面目に収集した見込客や顧客のデータを持つことやメール配信という行為を規制しているわけではない。ただし、気を付けなくてはならないのは、購入リストの取り扱いである。基本的には今後、リストの購入はあまりお勧めしない。この新しい法律は実態に則しているとは言い難い部分も多い。噂や憶測に振り回されないで、地に足をつけて対応して欲しい。

では、症例を見てみよう。

医療機器メーカーのY社は、内視鏡装置やCTスキャンなどで大きなシェアを持っている。毎年いくつかの展示会に出展し、毎月のようにセミナーを開催している。また全国の営業所や販売代理店の営業スタッフが集めた名刺情報をコンピュータに入力し、これら過去の営業活動で集まったデータは6万人にも及んでいた。

Y社はこの見込客に、新製品やセミナーなどの案内を効率的に送りたいと考え、メールマガジンを発刊することにした。3カ月の準備期間中、システム会社に依頼して見込客管理用にデータベースを構築した。メール配信システムのASPサービスとも契約した。社内の技術者や広報などからメールマガジンの編集チームが選考され、最先端の医療従事者にとっては非常に面白い内容のコンテンツが用意された。

分散していたリストを統合し、メールアドレスが入っているリストだけを抽出して配信リストを作った。また、契約したメール配信システムには重複チェック機能が付いていたので、ひとつのメールアドレスには1通のメールしか配信されない。事故は起こらないはずだった。

3カ月後、いよいよ第1回目のメールマガジンを配信した。その直後に、ある医師から問い合わせが入った。「御社からメールをいただくのは初めてだが、メールアドレスをどこで入手したのか？」という内容だった。

この時点では決してクレームではなく、単なる問い合わせだった。名前とメールアドレスがあるのだから展示会、セミナー、営業の名刺交換のどれかなのだが、リストを統合してしまい、それぞれのリストの経歴を取っていないので正確なことはわからなかった。どこから調査して良いかもわからずに日が経ってしまった結果、この医師は対応の遅さや納得がいく回答がないことに腹を立てて会社に対して内容証明郵便でクレームを申し立ててきた。その中には「個人情報保護法」「情報開示義務違反」「プライバシーポリシー」などの言葉が散りばめられ、「なぜサブジェクトに『未承諾』と書かないのか」「不正な手段で個人情報を購入しているのでないか」などと書かれていた。

相手が大きな病院の医師であったため、Y社内でこの問題は大きくなり、結局メールマガジンは廃刊、今まで蓄積した6万件の見込客情報を一度すべて廃棄するという方針が決定された。6万件の中のたった1通の問い合わせへの不手際でメールマガジン・プロジェクトチームの3カ月の苦労が水の泡。加えて、過去数年間にわたるマーケティング活動も根底から否定されてしまった。Y社の展示会などでの名刺獲得単価（Cost per Lead：展示会の出展コストを獲得した名刺数で割った単価）は約1万円。数年間分の担当者の苦労や汗と6億円もの投資をたった1件のクレームのために捨てることになったのだ。

Y社は医師を相手に高額な医療機器を販売する会社なので、医師には非常に神経を使って対応している。
それだけに今回の医師からのクレームをショッキングに受け止め、個人情報保護法という見えないお化けに振り回されて、貴重な経営資源である見込客のリストを廃棄するという判断をしてしまった。複数の原因が重なったことで引き起こされたショック症状、ある種のアレルギーである。こうなると、対策を打つためには、それを引き起こした原因を特定しなくてはならない。

まずは鎮静剤を打って、パニックを収束させることが先決である。この場合の鎮静剤はクレームの相手に直接会い、謝罪して許してもらうことだろう。次に打つべき手は、今回のショック症状を引き起こした2つの原因、「個人情報の履歴管理（トレーサビリティ）がまったくできていなかったこと」と「個人情報保護法という法律に関してまったく知識がなかったこと」の2つを正確に知ることである。知らないから怖いのだ。ちゃんと理解さえすれば、それが恐ろしいものでも何でもないことがわかる。原因を突き止めれば恐怖は消えるのだ。

逆に無知は悲劇を生む。個人情報保護法やプライバシーポリシーの取得、プライバシーマークの取得、そしてコンプライアンス・プログラムなどを混同して、見込客リストを廃棄してしまったのだ。見込客リストを作るのにどれだけの予算と時間がかかるかも考えずに、また展示会やセミナーなどの代替手段も検討せず、持っているだけで恐ろしい、と廃棄や封印してしまうことの方が、余程、企業経営にダメージを与える。

まずY社は、個人情報の取り扱い（収集・保管・利用）に関するガイドラインを決めなくてはならない。その中で個人情報に関する担当者を決めて、十分な情報収集をさせなければならない。個人情報保護法に関する正しい理解と予防が必要なのだ。

現段階での対応としては、ビジネスモデルが法人営業（B to B）であれば、下記の5項目くらいをしっかり守れば、まずは安心と言えるだろう。

1.リストの購入には最大限の注意をしよう

違法に漏えいしたリストではないことを確認すること。残念ながら個人情報の漏えいの90％以上は社内からである。こうしたリストが業者によって販売されている。欲しいリストがあっても購入しないことだ。会社の信用を傷つけてはマーケティングどころではない。
なぜ自分のアドレスを知っているのか、という問い合わせがあった場合に、購入したことを説明できるリストであることが、購入する最低限の条件になる。

2.パーミッションをしっかり取ろう

手元にあるリストが不正に漏えいした可能性があるものなら、廃棄するしかないだろう。そうでないなら、リストを捨てる必要はない。今持っているリストを対象にメールマガジンを始めるので許可を欲しいという挨拶メールを出せば良い。もちろん、配信停止、削除依頼に迅速に対応できる準備が必要だが、その条件さえカバーすれば、社内で眠っている見込客リストを活性化することができるのだ。まずはパーミッションからはじめよう。

3.トレーサビリティができる管理体制を敷こう

前述したように、なぜ自分にこのメールが来たのか、という問い合わせは必ずあると考えるべきだろう。そのことに対する回答ができる管理体制を組まなくてはならない。最初のコンタクトはいつなのか、どのイベントなのか、誰との名刺交換なのか…。それを管理できるデータベースを使って管理しなければならない。

4.アクセス・コントロールを厳しくしよう

残念ながら個人情報流出の大半は社内漏えいである。例えば見込客情報に営業スタッフ全員がアクセスできるシステムを欲しがる企業が多いが、弊社は情報漏えいを防ぐ観点からも、できればアクセスできる人間を必要最小限にするようにアドバイスをしている。
誰がいつデータベースにアクセスし、何をダウンロードしたか、などがアクセスログに残る仕組みが必要だし、そうした仕組みがあったとしても、やはりアクセスできる人間が少ないに越したことはない。

5.メール配信のオペレーションを専門チームに任せよう

問題が発生するのは圧倒的にメール配信の前後である。
メール配信リストを作成する段階から、配信、不達メールの仕分け、削除やフラグ立て、配信停止への対応、最新データのアップデートなどのタイミングである。もしあなたの会社のメール配信回数が月に8回を超えるようなら、社内に専門チームを持つことも検討すべきかも知れない。
しかし、そこまで多くないなら、社内でメール配信オペレーションを行うべきではない。信頼できる専門チームを探してアウトソースすべきである。