大手小売業・イオンのグループ会社、イオンクレジットサービスは、2003年1月に(財)日本情報処理開発協会より「プライバシーマーク」の認定を受けた。この3月からはさらに個人情報の管理体制を見直し、順次、その強化を図っている。
ボトムアップでマーク取得を目指す 社員の動機付けとしても活用
クレジットカード事業、旅行代理店事業、保険代理店事業などを行うイオンクレジットサービスでは、イオンカードを発行・運営するほか、トイザらス、日本テレコム、ザ・ボディーショップなどとの提携カードを発行している。国内62カ所の営業拠点でカード会員募集や加盟店開発に当たっており、会員数は順調に増加。2000年の780万名から2002年2月期には980万名、2003年2月期には前年から150万名増加の1,130万名に達している。
同社では、2001年7月に環境ISO14001を、2002年1月に品質ISO9001を取得したが、2003年1月にはプライバシーマークを取得。ホームページ上では個人情報保護のコーナー内で同マークを表示して、顧客の同社に対する信頼感につなげている。
プライバシーマークの運営に当たる管理本部 品質管理室の室長、高橋明氏によると、同マーク取得に向けたプロジェクトが立ち上がったのは2002年3月のこと。同年8月に申請、 同年末に審査があり、2003年1月に認可が下りた。環境ISO14001はトップの指示で取得を目指したが、品質ISO9001、そしてプライバシーマークについては、品質管理室などが経営陣に検討を持ちかけるボトムアップのかたちでプロジェクトが動きだした。クレジットカード業界としてはかなり早いマーク取得への動きだったが、その理由につて高橋氏は次のように話す。
「個人情報の保護は、品質ISO9001の審査にもある項目。業界の動きを待つよりも、自主規格を作り、それに準拠するかたちで体制強化を図るほうが得策と考えた。社員に対しても、単にこうしなくてはならない、というだけでなく、マーク取得という具体的な目標を提示したほうがモチベーションが上がり、意識向上にもつながりやすいと判断した。経営陣にこちらの意思を示したところ、数度の会議で素早く了承を得られ、その後はトップダウンで全社的な取り組みへと発展させていった」
個人情報の保護は3部署が担当 コンプライアンス委員設置で万全の教育体制を築く
それでは、実際に同社が実施している取り組みについて紹介しよう。
まず組織体制だが、個人情報の保護は、常務取締役を統括責任者とし、その下にプライバシーマークを実際に運用する管理本部 品質管理室、情報管理の監査を実施する検査室、そして、システムの構築・運営に当たる情報システム本部が置かれ、各業務を分担している。また、各営業所の支店長・所長が、営業所ごとの個人情報の保護、そしてこれに関する教育の責任者を務める。プライバシーマークでは、「年1回以上、事業者内部の個人情報の状況を監査すること」が定められているが、検査室ではこの基準に則り、年間およそ4回のチェックを実施する。
また教育については、全社員に対して最低年1回の同テーマにかかわるセミナーへの出席を義務付けた。さらに個人情報に関するテキストを全従業員に配布。23ページにわたって記された基本事項を確認させる。また、企業倫理に基づいて定めた行動規範を策定。法令編としてもうひとつのテキストを作成し、個人情報保護に関する教育と同時に、行動ルールも学習する体制を築いた。
情報の出力やダウンロードは原則禁止 分析は専用サーバで実施する
次に実際に個人情報がどのように管理されているかを見てみよう。同社では今年3月から、これまでの個人情報の漏えい事件をすべてチェック。どのような情報が、どのように流出したかを徹底分析し、自社内の体制作りに活かしている。
全顧客のデータは本部で一括管理しているが、顧客情報を管理するホストコンピュータへのアクセスは登録制となっている。会員照会、データ入力、データ出力、DM発送時の打ち出しなど、業務ごとに登録された担当者にIDとパスワードを付与している。また、IDとパスワードによって、いつ、誰が、どのような情報を、どのように使用したかのログを取り、情報の利用状況をトラッキングできるようにした。支店レベルでも体制は同様という。なお、パスワードは3カ月ごとに更新される。
直接的な顧客接点を持たない本部ではほとんどのスタッフが顧客情報を見ることができないが、顧客データの分析を実施するために、これに必要な情報のみを別システムとして構築し、担当者が活用できるようにした。このシステムでは、電話番号やクレジットカード番号など、分析に必要のない個人情報を閲覧することはできない。さらに、ホストコンピュータからの帳表出力をやめ、帳表専用のサーバを設置することで情報の保護体制をさらに強化。必要なデータがあればこのサーバで閲覧する。
さらに今年8月には、フロッピーディスクなどの記録媒体の使用を禁止した。媒体を問わずデータをコピーすること、それ自体にストップをかけた。高橋氏は、「教育も大切だが、顧客データの流出が物理的に“不可能”な体制を築くことも重要」と、教育と社内体制およびシステムの構築を3本柱に、情報の保護に万全を期したい考えを示した。
保護法施工はチャンス 加盟店との協力体制をますます重視
しかし、加盟店の中には情報保護に対する体制が万全とは言えない企業もある。加盟店に対して顧客データを渡すことはなく、売上情報のみの提供にとどめているが、先方の都合からデータのやりとりにフロッピーディスクを利用することもある。「何枚送った」「何枚受け取った」などを明確にするなどの確認ルールを定めてはいるが、今後、暗号化されたデータ伝送が実施できる体制を整備するよう、加盟店に働きかけていく方針だ。
また、個人情報保護法により、DM発送サービスを実施しにくくなるのではとの指摘もある中、高橋氏は「個人情報をしっかり管理できている弊社にはむしろ勝機になる可能性が高い」と語る。同社ではDM発送サービスの提供は基本的に提携加盟店のみにとどめており、さらに知名度、ISO取得などの信頼性、また会員が頻繁に利用する見込みがあるかなど、いくつかの条件を設けている。顧客セグメンテーションについては、要望により、性別・年齢・居住地域といった属性をはじめ、利用回数・利用金額・入会日からの経過日数などによって対象顧客を抽出することも可能だ。DMには加盟店の名前に加えてイオンクレジットサービスの名前を併記するなどし、顧客の安心感につなげている。
情報がある限り常に流出の可能性は存在する。高橋氏は「昨年よりも今年、今年よりも来年というように、徐々にレベルアップしていくことが大切」と語り、会員そして加盟店や提携企業との信頼関係を強化するとともに、これを末長く維持するべく、さらなる施策の実施を目指したい考えを明らかにした。