大企業であるがゆえに個人情報保護への全社的な取り組みへの課題を抱えていたNECでは、今年4月に顧客情報セキュリティ室を発足させ、これまで行ってきた事業部門ごとの対応を、全社レベルでの取り組みへと発展させようとしている。
プライバシーマークは事業部ごとに取得
個人向けの製品やサービスを提供するパーソナルソリューション事業や、法人向けのネットワークソリューション事業、ITソリューション事業など、幅広い事業を手掛けるNECは、いわゆる「情報」を「顧客情報」、法人向け事業における「お客様の企業秘密」、そして社員のプライバシーにかかわる「個人情報」の3つに分類し、保護体制の整備や認定制度の活用などを実施している(図表)。個人情報保護に関するプライバシーマークの取得、そして情報処理サービス事業者向けのセキュリティマネジメント適合性認定制度であるISMS取得など、客観的な評価を受けることで全顧客からの信頼を得てきた。今回は、パーソナルソリューション事業など、個人客にかかわる事業の個人情報保護について説明する。
同社が顧客情報の取り扱いについて本格的に検討する必要があると考え始めたのは、1999年にまで遡る。住民基本台帳法が改正されるとともに、個人情報の流出が社会問題として注目を集めていた当時、現体制の見直しとセキュリティ強化を早急に実施しなければ、との危機感が高まった。しかし、先に述べたように同社の事業は多岐にわたっており、ハードウエア生産など、顧客情報と直接的なかかわりを持たない部門も存在する。
こうした事情を受け、同社は全社一括ではなく、必要性の高い事業部門が独自にプライバシーマークを取得する方向で個人情報保護への取り組みをスタートさせた。まず2000年10月に、BIGLOBE事業本部がトップを切って同マークを取得。同年12月にWeb上のユーザー向けパーソナル商品総合情報サイト「121ware.com」を運営するパーソナル事業ラインが、そして2003年3月にはCS推進部が相次いで認定を受けた。各事業部門長が個人情報管理の責任者となり、顧客データの管理も事業部門ごとに行っている。
プライバシーマーク取得の試みが始まった当初、社内で個人情報保護を推進するための中心的な役割を果たしたのは法務部だ。法律および法律に関連する事項の遵守の推進、プライバシーポリシーの策定、そして社内規定の作成などを同部が担当し、社内における啓蒙活動を実施してきた。その後、2003年4月に新たに企業行動推進部内に顧客情報セキュリティ室が開設された。現在、個人情報の保護にかかわる部署は、
①法務部(関連する諸法遵守の視点から全社を指導)
②IT戦略部(技術面から、 情報セキュリティ対策を実施)
③CS推進部(顧客対応を実施)
④顧客情報セキュリティ室
(企業倫理の視点から情報リテラシー施策を実施)
など多岐にわたるが、顧客情報セキュリティ室 マネージャー 小堤康史氏は、今後は、CS推進室と顧客情報セキュリティ室が中心となって全社を引っ張っていきたい考えを示した。
未承諾広告は原則禁止
それでは、実際に行われている個人情報保護への取り組みを挙げてみよう。
まず教育については、全社員が年に1度、定められた項目をeラーニングで学ぶことが義務付けられている。学習時間は約1時間で、終了後にテストを実施して習熟度を確認する。
セキュリティ上の施策としては、顧客データの持ち出しを禁止とした。顧客からの問い合わせ対応については各事業部門が直接実施し、支社などでの対応は行わない。これは、顧客と顧客データを扱う事業部門が直接的にやり取りを行うことで、間接的な部門から情報が流出するリスクを抑えるためだという。
次にマーケティングにおいては、顧客情報は同社の事業に活かすために収集しているとの認識から、顧客データの第三者への提供は原則として禁止している。また、未承諾広告についても原則禁止とし、顧客向けのメルマガの配信は、BIGLOBE事業本部が実施するメール配信アウトソーシングサービスを活用するよう定めている。商品・サービスの案内は、121ware.comなどの会員組織に登録されている顧客にとどめ、例えばコールセンターに問い合わせた顧客に対して、その後、商品・サービスの案内などを行うことはない。
課題として挙げられているのは、主にWeb上で実施されるキャンペーン応募者のデータの取り扱い。
①あるキャンペーンに応募した顧客に対し、次のキャンペーンの案内を行うかどうか。
②キャンペーン時に収集した顧客データを、キャンペーン終了時に破棄するべきかどうか。など、曖昧な点が残されている現状について、小堤氏は「顧客の気持ちに立った視点から再検討する必要がある」と語っている。
全社的な取り組みを推進
最後に、現在、検討中の個人情報保護に関する施策を紹介しよう。
まず、これまでは特定部門のみにとどめていた個人情報責任者の設置を全部門に広げ、全社的な理解の推進を図ること。
次に、「非常に困難な作業」(小堤氏)ではあるが、各事業部門が保有している「個人情報データ」をすべて洗い出し、一括したデータベースを構築すること。現在はユーザーから「住所を変更したい」などの申し出があった場合には、事業部門ごとに個別対応が取られているが、NECとしての総合的な顧客窓口で一括対応ができるようにしたい考えだ。というのも、今後は「自分の個人情報をどこまで把握しているのか」などの問い合わせが入ることも予想される。統合データベースがなければ即座にこれに回答することはできず、各部署に問い合わせることになれば、それだけでそのユーザーの氏名や住所などの個人情報が社内を駆け巡ることにもなりかねない。
大企業だけに対応が難しかった「全社的な対応」、そして「グループ企業全体としての対応」を今後はさらに強化。グループ企業の連絡会などを開催し、プライバシーマークの重要性に対する認識を高めるとともに、その取得を促していく方針という。
