名刺は個人情報？ 個人情報保護法における管理のポイントを解説

個人情報保護法における個人情報とは？

個人情報は、企業にとってビジネスにつながる可能性のある有用性の高い情報です。一方で、個人情報は扱いに注意が必要な情報でもあり、利用に関して守るべき点が多くあります。ここではまず、個人情報保護法の概要と、個人情報の定義について詳しく解説します。

個人情報保護法の概要

個人情報保護法は2003年5月23日に成立し、2005年4月1日から全面施行となった法律です。氏名や性別、生年月日、住所など、個人に関する情報は、うまく活用することで行政や医療、ビジネスなどにおいてサービスの向上や業務の効率化などさまざまなメリットが生まれる可能性があります。

一方で、個人情報は扱い方によっては個人のプライバシー侵害につながる恐れもあります。そこで、個人情報の取り扱い方をしっかりと法律で定めることにより、個人の権利や利益を守りながらも個人情報活用のメリットを受けられるようにしようという考え方が生まれました。これが、個人情報保護法成立の背景です。

2003年の成立以後、個人情報保護法は3度改正されました。これには、デジタル技術の進展やグローバル化など、社会の変化により個人情報に関する考え方が変わってきた背景があります。

個人情報保護法における個人情報の定義

個人情報保護法における個人情報とは、氏名や生年月日、住所、顔写真など、「特定の個人を識別できる情報」のことです。その情報単体でなく、ほかの情報と組み合わせることで特定できる情報も個人情報に含まれる場合があります。例えば、生年月日はそれだけでは個人を特定できませんが、氏名などほかの情報と組み合わせると個人の特定が可能になるかもしれないからです。

また、メールアドレスはドメイン名などから個人の特定が可能な場合は個人情報となります。指紋認証データや顔認証データといった個人の身体データや、公的機関から個人に割り振られる番号も個人情報として扱われます。

名刺情報が個人情報保護法の適用対象になるケース

名刺の情報は、個人情報保護法の適用対象となるのでしょうか。実は名刺に関しては、個人情報保護法の適用対象になる場合とならない場合があります。まず、個人情報保護法の適用対象になる場合について解説します。

名刺をデータベース化している場合

名刺をデータベース化している場合は、個人情報保護法の適用対象となります。データベース化とは、例えば名刺をデジタル化して「Microsoft Excel」などで管理している場合です。デジタル化すると検索などで容易に名刺を見つけ出すことができます。これがデータベース化であり、個人情報保護法の適用対象となります。

名刺をファイリングしている場合

名刺をデジタル化せず、アナログで管理している場合でも、データベース同様に簡単に見つけ出せるよう整理されている場合は、個人情報保護法の適用対象となります。例えば、名刺をファイルに入れて五十音順に名刺を並べたり、索引をつけたりして整理している場合などです。これも一種のデータベース化であり、個人情報保護法の適用対象となるため注意が必要となります。

名刺が個人情報保護法の適用対象にならないケース

一方で、名刺が個人情報保護法の適用対象とならないケースもあります。ここでは、3つのケースをご紹介します。

自分の名刺を渡す場合（名刺交換）

名刺交換などで自分の名刺を誰かに渡した場合、その名刺単体では個人情報保護法の適用対象にはなりません。名刺を渡すのは自分自身のことを相手に知ってもらって、ビジネスに活用してもらう狙いがあります。そのため、自分の名刺を自主的に渡した場合は、個人情報保護法の適用対象外として扱われます。ただし、名刺を受け取った相手が、前述のようにデータベース化して管理した場合は適用対象となります。

名刺や名刺入れを紛失した場合

名刺は、データベース化して初めて個人情報保護法の適用対象となります。そのため、名刺交換でもらった名刺や、その名刺を入れていた名刺入れを紛失した場合の情報漏洩については、個人情報保護法に違反したことにはなりません。名刺入れはデータベース化されているわけではないからです。とはいえ、名刺に書かれてある情報が個人情報であることに違いないため、なくさないように注意する必要があります。

データベース化せずに名刺を保有する場合

データベース化せずに保有している名刺も、個人情報保護法の適用対象外となります。例えば、もらった名刺を引き出しにしまい込んだり、特に整理することなくまとめてケースに入れたりしている状態だと、個人情報保護法は適用されません。もっとも、データベース化されていない状態だと、せっかくの名刺をビジネスのために有効活用することができません。

個人情報保護法の改正による変更点

個人情報保護法は、時代に合わせて何度か改正されています。ここでは、名刺管理について影響があった改正のポイントについて解説します。

2017年の法改正で中小企業も適用対象に

2017年以前まで、中小企業や個人事業主などの小規模事業者は、個人情報保護法が適用されませんでした。しかし、2017年の法改正により、小規模事業者であっても個人情報保護法が適用されることになり、名刺の管理についても適切に行うことが求められるようになりました。

2022年の法改正ではオプトアウト方式が厳格化

2022年にも法改正が行われ、オプトアウト方式が厳格化されました。オプトアウト方式とは、個人情報を収集する際、本人に対して第三者に情報を提供する可能性があることを伝えて許可を取った上で、本人から異議の申し出がない限りは個人の情報を許可なく第三者に提供しても構わないという考え方です。

しかし、2022年以降はオプトアウト方式が厳格化され、個人情報をオプトアウト方式で収集する際には、個人情報保護委員会への事前申請が必要になりました。

個人情報保護法における名刺管理のポイント

法改正のたびに個人情報保護法が厳格化される中、名刺管理についてもきちんとした知識を持っておく必要があります。続いては、個人情報保護法における名刺管理のポイントについて解説します。

名刺情報の安全管理措置を取る

個人情報保護法では、情報漏洩を防ぐために4つの安全管理措置が設けられています。具体的には、個人情報を管理する組織体制をしっかり作る「組織的安全管理措置」、個人情報に関して従業員を教育する「人的安全管理措置」、外部への情報の持ち出しなどを防ぐ「物理的安全管理措置」、サイバー攻撃などで情報が流出しないよう対策を行う「技術的安全管理措置」です。名刺に関しても、これらの安全管理措置をしっかりと講じる必要があります。

名刺の利用目的を守る

名刺の活用は利用目的を守って行う必要があります。そもそも名刺は交換した相手と連絡を取り、円滑にビジネスを行うためのものです。それ以外の目的に対して名刺情報を用いるのは、トラブルの基になる可能性があります。

名刺情報を第三者に提供する場合は承諾を得る

一般的に名刺は、交換した相手の手元にとどまっていると考えるのが普通です。名刺情報のデータベースを第三者に提供する場合は、あらかじめ相手に承諾を得る必要があります。ただし、社内で共有する場合であればこの限りではありません。

個人情報保護法は、名刺管理サービスで遵守する

前述したように、名刺をデータベース化しなければ個人情報保護の適用対象外となります。しかし、名刺がデータベース化されていなければ、ビジネスにつなげることができません。そこで活用したいのが、名刺管理サービスです。名刺管理サービスとは、名刺をスキャナーやスマートフォンで読み込んでデータ化し、会社全体で管理、共有することを目的としたツールのことを指します。

多くの名刺管理サービスでは情報漏洩リスクに備えて、データの暗号化やアクセス制限などさまざまなセキュリティ対策を行っており、個人情報を安全に守ることが可能です。

名刺管理サービスを選ぶポイント

名刺管理サービスは、どのような観点で選べばいいのでしょうか。注目すべきポイントは、次の3つです。

プライバシーマークやISO/IEC 27017を取得しているか

名刺管理サービスを運用する企業が、情報セキュリティに関する規格を取得しているかどうかを確認することがポイントです。例えば個人情報を適切に管理できているかを評価する「プライバシーマーク」を取得済みの運営企業を選ぶことで、個人情報保護法を遵守した上で、安心して名刺を営業活動に活用することができます。そのほかにも、情報セキュリティマネジメントシステムに関する国際規格「ISO/IEC 27001」を取得している運営企業も、そのサービスが高いセキュリティレベルを持っているという証明の一つとなります。

セキュリティ強度が高い

セキュリティの強度を高める対策の実施も、名刺管理サービスを選ぶポイントの一つです。スキャンした名刺情報やテキスト化された名刺データをサーバーへ転送する際のやりとりが暗号化されることや、ログイン認証、IPアドレス制限など、名刺管理サービスに十分なセキュリティ機能が備わっているかどうかを事前に確認する必要があります。そのほか、別のサービスに乗り換える際などに、スキャンした名刺画像を含むすべてのデータが名刺管理サービスの運営企業からきちんと返却されるかどうかも確認すべきです。

クラウド型・オンプレミス型から選べるかどうか

名刺管理サービスを選ぶには、クラウド型かオンプレミス型かどちらかを選べることが重要です。ただし、名刺情報を管理するのにどちらがいいかは、企業の事情にもよります。オンプレミス型は、自社にサーバーを設置して名刺情報を保管・管理するため、組織のセキュリティポリシーに沿った柔軟な運用が可能です。導入コストはかかりますが、自社の管理下で自由に名刺情報を利用できる点も魅力です。一方でクラウド型はデータをベンダーが運営するサーバーに置くためメンテナンスが不要で、導入や運用がしやすいメリットがあります。自社に最適な運用に合わせて、クラウド型とオンプレミス型のいずれかから選べるサービス設計であることも名刺管理サービスを選ぶ上での大切なポイントです。

個人情報保護法を遵守しながら、効果的に名刺管理できる「SKYPCE」

「SKYPCE（スカイピース）」は、名刺情報の取り扱いにおけるさまざまなシーンを想定した機能と高いセキュリティを備えた名刺管理サービスです。

Ｓｋｙ株式会社は、先述のプライバシーマークやISO/IEC 27001を取得しており、「SKYPCE」はデータのやりとりの暗号化をはじめとするセキュリティを考慮した運用をしています。さらに、「SKYSEA Client View」と連携することで、個人情報の漏洩リスクを低減させ、より安全性を高めることができます。例えば、名刺情報の取り扱いを操作ログで把握することでUSBデバイスへのコピーやメール添付による送信など、不審な動きがないかどうかを確認する機能や、名刺管理画面のキャプチャーやクリップボードへのコピーや印刷を禁止する機能、操作が一定時間ないと自動的に画面をロックして第三者の閲覧を防ぐ機能で、セキュリティを強化することができます。

また、「SKYPCE」は、オンプレミス型・クラウド型のいずれかの環境を、組織の運用に合わせて選ぶこともでき、さらに名刺画像データを含めた名刺情報は、必要なときにいつでも返却されます。

個人情報保護法を遵守し、効果的な名刺管理や運用を行う際は、ぜひ営業支援 名刺管理サービス「SKYPCE」の導入をご検討ください。