【PR】事例で考える 中小企業が「今からできる」プライバシー保護


顧客データやアンケート、名刺情報など、現代のビジネスでは大量の個人情報を扱うようになっています。個人情報は、ビジネス拡大の有力な武器であるとともに、取り扱いを間違えるとビジネスそのものにダメージを与える「両刃の剣」であるといえるでしょう。個人情報に起因する事故、いわゆる「個人情報の侵害」は、法務やコンプライアンスの面で人や資金などの経営資源が比較的潤沢な大企業であっても頻繁に発生しており、海外では数多くの制裁事例が発生しています。日本でも個人情報に対する消費者や個人の意識が高まっていることに加え、今年は個人情報保護法が改正されたこともあり、より欧米に近いプライバシー保護規制が進められることが予想されます。そしてそれは大企業だけではなく、中小企業の経営にとっても見過ごせない経営リスクとなる可能性があります。

このシリーズでは、海外の個人情報の侵害事故の事例などを参考に、中小企業の経営で遭遇するかもしれないプライバシー対応上の問題と対策について、シリーズでお伝えしてまいります。なお、内容にはフィクションが含まれます。

知らないうちに広告表示? ウェブサイト運営で委託先任せのリスク

A社は、10年前に現社長が脱サラして開業した通販会社である。日本に住んだ経験がある外国人の顧客に、日本の食料品や日用品、ノベルティグッズなどをインターネット上で販売している。近年、日本文化への関心の高まりもあって、海外、特にヨーロッパの消費者からの注文が急増している。中には「アニメのフィギュアやキャラクターを取り扱ってほしい」というリクエストもある。主力は付き合いの長い顧客であるが、最近では検索で同社のウェブサイトを発見・注文する客の増加が著しい。

ある平日の昼下がり、昼食を終えたA社の社長は、会社の問い合わせアドレスに届いた一本のメールに目をやった。差出人はイギリスの顧客。「こんな時間に何のメールだろう?イギリスは深夜のはずだが」。訝しげにメールを開くと、顧客は礼儀正しくも厳しく会社を批判していることが理解できた。

社長はそのメールを読み進めた。メールで顧客は、「昨日から検索エンジンの表示や、よく見る日本の旅行関係のサイトに、貴社が取り扱う商品と関係するかのような会社の広告が頻繁に出るようになった。これまでこのようなことはなかったのに、いったいどうなっているのか?」と質問する。

社長には思い当たることが一つだけあった。2週間ほど前、ある異業種交流会で知り合った旅行代理店Bの社長から、「御社サイトはヨーロッパの日本通の間でとても人気があるとお聞きしました。弊社は日本を訪れる個人の旅行者さんに、国内の個人ツアーを企画・販売しているのですが、御社のホームページに広告を載せていただけないでしょうか」というメールを受け取った。社長はウェブサイトの構築と保守を外部のフリーランスのウェブデザイナーCに委託していたため、彼の了解を得てその連絡先をB社の社長に送った。B社の社長からは、「あとはデザイナーさんと直接調整しますからご心配なく」と連絡を受けていた。

もう一度顧客のメールを読み返すと、たしかにB社の広告に関する言及があった。それだけでなく、B社サイトのアフィリエート先の広告まで勝手に表示されて困っているというクレームが記されていた。「きっとあの会社の広告が原因だ」と思いながら、顧客には「ご連絡ありがとうございました。ただいま原因を調べておりますので、判明しだい折返しご連絡いたします」と返信した。

翌日、同じような内容のメールが10通送られてきた。いずれも同社が管理している顧客リストに載っている、付き合いの長い顧客からのものである。さらに、同社のウェブサイトに掲載している「お問い合わせ」メールアドレスを経由した問い合わせも数件確認された。社長は委託先のCにコンタクトし、広告設置のいきさつを確認したところ、B社社長から、A社のウェブサイトの広告スペースにB社ホームページへのリンクの設置と、閲覧者を追跡するクッキーの設置がリクエストされたことを明らかにした。Cは「Aさんに了解はもらってるのですか?」と尋ねたところ、B社の社長は「広告設置はAさんから自由に調整していいよといわれてるから大丈夫」と答えた。

そこでAは、知り合いのウェブエンジニアDに事情を説明し、自社サイトをチェックしてもらったところ、B社の広告ページのリンクを通じて、B社のウェブサーバからクッキーが発行され、ブラウザに設置される仕様となっていたことがわかった。また、A社のウェブサイトは、B社ウェブサイトのクッキーだけでなく、自社サイトのクッキー設置についても、その目的を説明する表示(クッキーバナー)を設置していなかったことが明らかになった。Aは委託先のCに連絡し、B社の広告に関係するクッキーを削除してもらうとともに、Bに抗議の手紙を送った。

A社の社長はウェブサイトの企画、構築、運用に関する知識が乏しかったので、そのすべてを委託先のCに任せていた。Dも、「ウェブマーケティングのことをよく知っている人ならちゃんとアドバイスしてくれたはずだが」と言ってくれた。顧客からの問い合わせメールは、一時期に比べて数が減ったものの、現在も継続的に送られてきており、発信元もヨーロッパの6カ国に増えている。AとDは、協力して対応を模索し始めた。

事例の問題と対策

インターネットによる通信販売は、小さな投資で販売機会を増やすことができるため、中小企業の販路拡大に有効な手段です。海外のお客様にも簡単にコンタクトできるので、アウトバウンドビジネスで使われる事業主の方も多くいらっしゃいます。

一方、インターネットサイトの仕組みを理解していないと、このようなトラブルに巻き込まれる可能性があります。クッキーとは、閲覧者があるサイトを閲覧した「しるし」として発行され、閲覧者のブラウザに記録されるデータです。ヨーロッパでは、クッキーが閲覧者の個人情報とみなされているので、閲覧者に「あなたの個人情報をこのように集めて使いますよ、いいですか」と通知し、同意を事前に得なければなりません。この事例では、自社のサイトのクッキーだけでなく、他社のサイトのクッキー(サードパーティークッキー)についても同じような通知と同意の取得が必要であったにもかかわらず、必要な措置を講じていなかったのが問題です。

また、この事例では、社長がインターネットの知識が乏しいことから、自社サイトの設置や運営などを委託先であるウェブデザイナーに任せきりしていたことが問題だったといえるでしょう。個人情報を扱うようなサイト運営で外部の委託先を利用する際は、個人情報の保護やセキュリティの面でちゃんとした技術があるか、発注者とコミュニケーションが十分にできるか、なにかあれば速やかに発注者に報告してくれるかなどを確認し、定期的に情報交換をするなどの対策が求められます。B社の社長が「後はこちらでやるから大丈夫」と言ったとしても、どのような調整内容なのか、調整の結果がA社にどんな影響を与える可能性があるのかについて、事前にB社と委託先に確認しておくべきだったといえるでしょう。

さらに、インターネットサイトの運営に最低限必要な知識や情報を入手しておくことも大事です。この事例では、ウェブエンジニアDが社長を手伝ってくれたため、トラブルの原因を解明することができました。

A社のその後

対応を調べていたDは、検索サイトからIIJの「BizRisブログ」にたどり着いた。BizRisブログでは、世界のプライバシー保護に関する最新のニュースが毎日更新されていて、A社が直面するクッキーの実装やクッキーバナーの設置についても、特集ページへのリンクが設けられていた。BizRisポータルのアドバンスト会員に登録すれば、プライバシー保護に関するちょっとした悩みを相談できる「アドバイザリサービス」や、プライバシー保護の論点を詳しく解説した「ホワイトペーパー」も購読できることがわかった。

DはBizRisブログをAに紹介すると、Aは早速アクセスし、そしてBizRisポータルのアドバンスト会員に登録した。試しにアドバイザリサービスを利用し、直面している問題を相談したところ、今後の対応方針について、プライバシー保護の専門家からすぐに回答を得ることができた。クッキーについても、IIJが提供するOneTrustクッキー管理ツールを導入することにより、クッキーの設置や目的を閲覧者に適切に通知するクッキーバナーを設置することができた。法務やコンプライアンスの専門家を配置する余裕がないA社にとって、今ではBizRisポータルは身近な「相談者」になっている。

世界のプライバシー保護への対応について、「どこに情報があるの?」「誰に相談すればいいの?」とお悩みの皆様へ。IIJは、日本を始めとする世界のプライバシー保護規制の最新情報を集め、日本語で発信するポータルサイト「BizRisブログ」や、世界のプライバシー保護に関する専門的な情報やセミナー等のイベント情報を発信する「BizRisポータル」を運営しています。BizRisポータル有料会員に登録すると、プライバシー保護規制対応に関する豊富なFAQや解説資料、テンプレートなどがご利用できるほか、アドバンスト会員様にはご相談内容に応じた時間課金制の「アドバイザリサービス」や、IIJ主催セミナーへの無料参加権などのサービスを受けることができます。

執筆:井澤 寛延(ビジネスリスクコンサルティング本部)
お問い合わせ:bizrisk-enquiry@iij.ad.jp

関連情報

IIJ ビジネスリスクマネジメントポータル

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

IIJビジネスリスクアドバイザリーサービス 

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。

世界19ヵ国・地域のクッキー規制を網羅したグローバル・オーバービュー(概要版)

IIJでは日本企業からのニーズが高かった①19ヵ国・地域、②17調査項目を対象に、西村あさひ法律事務所様の協力も得て、2019年4月の初版に続き、「世界のプライバシー保護法制の最新動向に関するレポート(グローバル・オーバービュー)をアップデートしました。

サンプルの閲覧はこちら
購入のお申込みはこちら

関連記事