―現役知財法務部員が、日々気になっているあれこれ。本音すぎる辛口連載です。

※ 本稿は個人の見解であり、特定の組織における出来事を再現したものではなく、その意見も代表しません。

また揉めたんですか？

実は、昨年後半から数か月にわたり、某企業と個人情報の扱いについて個人的にちょっと揉めてしまっていた（ちょっとね！）。同意した覚えがなく、規約に照らしても同意していない形で個人情報が扱われていたので、「是正してほしい」と求めていたのだが、まったく埒が明かなかったのである。それについて詳しく述べるつもりはないのだが、企業における個人情報管理の難しさを、個人情報を利用される方の立場として実感することができた。

顧客の個人情報は企業にとって“生命線”だ。個人情報の利活用が事業の成否を握る場面は多い反面、保護や管理などの取扱い方に不手際があれば、顧客に不利益を与え（流出などを伴えばその不利益は取り返しがつかない場合もある）、社会の信頼を失う。“取扱い注意”の、諸刃の剣なのである。
その扱い方のルールを定めるのが個人情報保護法なのだが、個人の利益に深くかかわる法律のわりには複雑で難解だ。「誰でも簡単にしくみを理解できる」という類のものではない。

そこで、企業活動における個人情報の保護・管理・利活用に際しては、法規を現実の運用に落とし込むうえで法務部門の果たすべき役割が大きい。多くの企業では、

①　法務部門が個人情報の取扱いに関する社内規程をつくり、

②　これを周知するための社内啓発を行い、

③　対外的なプライバシーポリシーをつくり、

④　事業ごとにその性質や目的に照らした規約や契約をつくり、

⑤　顧客からの問い合わせや法定の開示請求があった場合の対応フローを定める。

といったことが行われていることだろう。
こう書き出すだけでも大変そうだが、いかにも大変だ！

事業の変化に個人情報管理規程はついていけているか！？

プライバシーポリシーや社内規程、これらを従業員向けにわかりやすく啓発するためのルールブックをつくるのは、ある意味で簡単な方である。法律をわかっていれば、それに適合した社内ルールをつくることはできる。大変なのは、ルールを実際に施行・運用する場面である。

最初に着手すべきは現状把握だ。個人情報を取り扱う自社の事業について、

❶　これらの内容を個々に把握し、

❷　そこで行われている個人情報の取扱いをレビューし、

❸　取得経路を確認し、

❹　利用目的を特定し、

❺　第三者提供の可能性があればそれも特定し、

❻　それらを利用規約等に落とし込む。

といったことを行わなければならない。
しかし、一口に“個人情報を取り扱う事業”と言っても多様だ。単発の懸賞キャンペーンから、顧客の嗜好や行動履歴などのデータ収集まで千差万別である。これらを全部フォローしなければならないのは骨が折れる。

しかも、ビジネスは“生き物”だ。日々新しい事業計画が立ち上がるし、既存事業にしても、最初の利用規約で想定していた内容が永遠に維持されることの方が少ない。必然的に、個人情報の利活用場面や範囲も変容していくことになる。そして、事業の変化に応じて個人情報に係る規約も改め、その度に顧客に通知し、同意を得ないと、いつの間にか「同意した利用目的外で個人情報を好き勝手に使っていた」ということにもなりかねない。
規約類については定期的に監査している会社は少なくないと思うが、リアルタイムで事業の変化を把握し、遅滞なく個人情報管理方法をメンテナンスできている会社がどれほどあるだろうか。

顧客窓口担当者はトンチンカンになりがち！？

個人情報の取扱いについて顧客から疑問や問い合わせがあったとき、適切に対処できる体制を構築するのも難しい。
通常、顧客とのコミュニケーションの窓口は、カスタマーサービス部門や事業部門が担っている。個人情報についての問い合わせだからといって、すぐに法務部門に回されることは少ない。ところがこうした窓口部門は法規には精通していない場合が多く、「個人情報の扱いに問題があるんじゃないか」という主旨の問い合わせを受けたとしても、法規に沿った受け答えやサポートができない。せいぜい「規約にはご同意いただいておりますが…」くらいの答えしかできないのである。
しかし、前述のとおり、「いつの間にか規約による同意範囲外で個人情報を扱ってしまっている」ということは十分にありうる。逆に、顧客が規約をよく読まずに（誤解して）クレームをしていることもあるだろう。

いずれにしても、こうした問い合わせを受けた場合、「同意外の利用や第三者提供は原則として法令違反になる」という基本を理解したうえで、規約における同意事項を読解し、それと実際の個人情報の利活用の態様を照らし合わせて適否を判断する能力がないと、問題の所在すらつかめないのである。
これを窓口業務の担当者に任せるのが酷だとしたら、適切に法務部門と連携できる体制にしなければならない。だが、窓口担当者が“問題の所在”すらつかめていないと、法務部門にエスカレーションさせることすらままならないのだ。結果として、いつまでもトンチンカンな対応を続け、顧客を怒らせることにもつながるのである。

法務による窓口担当者の適正支援が円満解決のカギだ！

個人情報関係のトラブルは、基本的には、「個人情報取扱事業者が法規に則った対応を尽くすことで当事者間での解決に努める」というのが個人情報保護法の趣旨である。それは「個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない」とする同法の条文（40条）にも表れている。
ところが、この義務を履行する能力が窓口担当者にしっかりと備わっていることは少なく、その能力不足を適切に後方支援できる法務体制が整っている企業もまた、多くはなさそうだ。その結果、個人情報保護委員会や認定個人情報保護団体などの監督機関マターになったり、SNSで不満をぶちまけられたりといった事態になるのは、顧客とっても企業にとっても不幸なことだろう（筆者はぶちまけてないですよ！）。

それにしても、このような問題点は、実際に自分が企業に預けた個人情報を意図せぬ形で利用されてその是正のために奔走しないと、なかなか気がつけないものである。
こっちが百何十条もあるサービスの利用規約を丁寧に読み返して、「ここの条文と、実際の利用態様は確かに食い違っていますよ」と何度説明しても、まったく理解してもらえなかったんだもん。3か月以上やり取りして、やっと話のわかる人が出てきて、どうにか是正された次第である。いや～、参りましたよ…。
百何十条ある規約なんて、たとえ仕事でも二度と読みたくないよ！

→この連載を「まとめて読む」