DM発送する前に個人情報保護法についても押さえておこう

ここでは、DM発送の前に押さえておきたい個人情報保護法について解説していきます。特に、2022年4月に改正個人情報保護法が施行されて、個人情報の取り扱いが変わっているので、下記の内容に注意して発送するようにしてください。

個人情報保護とは

個人情報保護法とは、2005年4月に施行された「個人情報の権利利益を保護するための法律」のこと。個人情報をデータベース化し、事業に利用する事業者はすべて個人情報保護法を順守して取り扱う必要があります。

2022年4月には改正個人情報保護法が施行され、個人情報の利用停止や消去権が拡充されています。これまで利用停止や消去を求められるのは、目的外利用や不正取得が行われた場合のみでした。しかし、利用が必要なくなった場合・重大な漏洩が発生した場合・権利や利益が害される場合のいずれかに該当する際に、個人情報の利用停止や消去を求められるようになりました。

つまり、個人からDMの発送停止を求められた場合、原則として企業は個人情報の利用停止に応じる必要があります。送付の停止を求めたにもかかわらず、ダイレクトメールを繰り返し送付した場合は、措置命令や罰則が科せられる可能性があるのでご注意ください。

 個人情報とは

個人情報とは、生存する個人に関する情報で、特定の個人を識別できるものを指します。氏名・生年月日・住所・顔写真といった個人を識別できる情報だけでなく、個人を特定できるメールアドレス・社員番号・会員番号・電話番号なども該当します。指紋や虹彩、静脈といった電子的な利用目的で変換した符号についても、個人情報に該当するので注意が必要です。運転免許証やマイナンバーカードの番号も個人を特定できる情報に該当するため、取り扱いには注意しましょう。

個人を特定できるメールアドレスも個人情報に該当
氏名・誕生日@○○.jp　など

※上記のように氏名・誕生日記載されていないケースでも、職員のメールアドレスなど、他の情報と組み合わせて個人が特定可能な情報は個人情報に該当します。

DMに該当する個人情報

DM発送時に該当する個人情報としては、名前・住所・生年月日・性別・電話番号・会員番号・ID・メールアドレス・購買記録などが当たります。2022年4月に施行された改正個人情報保護法により、6カ月以内に消去されるデータも個人情報保護法が適用されると定められたため、短期間の保有データの取り扱いにも気をつけてください。

個人情報を取り扱ううえで企業がとるべき対応とは

ここからは、個人情報を扱う際に企業が取るべき対応について解説していきます。

利用目的の明確化

個人情報を利用する際は、利用目的の通知や公表が義務付けられいます。本人の同意なしに個人情報を取り扱って、一方的にDMを発送することはできないので気をつけてください。関連企業で個人情報を扱う場合や、第三者に提供する場合はその旨が分かるように、利用目的を明確化しなければなりません。また、途中で取り扱っている個人情報の利用目的を変更する場合は、本人に通知・公表しなければならないと決められています。

適切な管理

個人情報を取り扱う事業者は、個人情報を適切に管理することが義務付けられています。個人情報の取り扱いを他事業者に委託する際は、自社で適切に安全管理措置を講じる際と同レベルの措置を講じられるように、適切に監督しなければならないと義務づけられています。他事業者に委託する際は、個人情報取得の通知事項や個人情報保護方針にて、委託内容を記載することが大切です。尚、個人データをUSBメモリ等で扱う際は、個人情報が判明しないよう暗号化・パスワードによる保護が必要となります。

第三者へ提供しない

個人情報を取り扱う事業者は、原則として本人の同意なしに個人情報を第三者へ提供することはできません。あらかじめ第三者に提供が分かっている場合は、その旨を明確に特定しなければならないので注意してください。第三者への提供については、本人に通知・公表して同意を得ることが大切です。ただし、本人の同意を得ずに第三者に提供して良い例外もあります。警察の捜査に応じる場合、急病で医師等に提供する場合、児童虐待の恐れで児童相談所等に共有する場合、一般統計調査等に回答する場合、オプトアウトによる提供の場合は、あらかじめ同意を得てなくとも個人情報を提供できます。

Pマークの取得

Pマークを取得すると、消費者に対して個人情報保護の体制や運用を適切にしているとアピールできる材料になります。Pマーク、プライバシーマークはJIPDECが運営しており、日本産業規格「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」をクリアした事業者のみ使用できるマークです。有効期限は2年間で、再度取得するには更新申請が必要となります。

発送停止の手続きを可能にしておく

2022年4月に施行された改正個人情報保護法により、個人情報の利用停止が認められる条件が緩和されました。目的外利用・不正取得が行われた場合だけでなく、利用が必要なくなった際にも、個人情報の利用停止や消去を求められます。定期購読の解約や退会により、消費者が個人情報の利用停止を求めてくるケースが出てくるので、企業はDM発送停止の手続きをいつでもできる状態にしておかなければなりません。

DM発送代行業者へ依頼する場合も必ず確認する

DM発送代行業者へ依頼を検討している場合も、個人情報の取り扱いについて監督する責任があります。セキュリティ対策を行っているDM発送代行業者へ依頼し、個人情報の漏えいリスクを低減させましょう。また、DM発送停止の依頼に柔軟に対応できる代行業者へ依頼することで、顧客とのトラブルを回避できます。

Pマーク保持しているかチェック

DM発送代行業者がPマークを保持しているかどうかは、依頼前に確認しておくと良いでしょう。上述した通り、Pマークは個人情報保護の体制や運用を適切にしている証になります。Pマーク取得済みかどうかを確認するには、DM発送代行業者のホームページを確認してみてください。万が一、ホームページに掲載されていない場合でも、一般社団法人日本情報経済社会推進協会（JIPDEC）のプライバシーマーク制度の公式サイトより、プライバシーマーク付与事業者を検索できます。

個人情報の取り扱いについて

DM発送代行業者に委託する場合は、社内での個人情報の取り扱い方法について確認してください。安全管理の規定やマニュアルを作成して、安全管理が適切に行える状態をつくりましょう。また、万が一のリスクに備えることも大切です。情報漏洩等の危機的状況が発生した場合の報告体制・調査体制・被害拡大の防止策・罰則規定を設けておくと、被害拡大前に対処できるようになります。

DM発送は個人情報の取り扱いに注意しよう

個人情報の取り扱いは年々厳しくなっており、ひと昔前のように事業者が一方的にDMを発送することはできなくなっています。昔であれば新聞欄などから個人情報を得ても、利用目的を通知すれば一方的にDMを発送できる時代もありました。しかしながら、個人情報の取り扱いには利用目的を知らせて同意を得る必要があります（2022年7月時）。同意を得てからでなければDM発送はできず、また第三者へ発送を委託する際も、本人に通知・公表し利用目的を知らせなければなりません。

少しのゆるみから情報漏洩やトラブルに発展するリスクがあります。代行業者へ依頼する際はセキュリティ対策や個人情報の取り扱い、緊急時の対応について確認しておきましょう。本サイトでは、DM発送代行業者を複数社比較しているので、依頼時の参考にしてみてください。

信頼できる会社はどこ？
メーリングサービス会社
を徹底解説！