美容業界における個人情報管理と有効な漏洩対策
最近は、どこどこの企業から個人情報が漏洩したといって、ニュースで報道されることも多くなってきました。美容業界では、一昔前ですが大手エステ会社がアンケートのデータや資料請求のために入力されたデータなど,およそ5万人分のデータが外部から閲覧できる状態にしてしまったという事案もありました。
いつどこでも個人情報の漏洩が起きても不思議ではなく、美容業界においてもお客様情報が記録されているパソコンが盗難にあったりと危険は身近なところに存在しています。
今回は、個人情報の漏洩の危険性と有効な対策方法について記載していきます。
【目次】
1 情報漏洩が起きる場合
情報漏洩が起きる場合とは、どのような場合でしょうか。下の図をご覧下さい。
(※出典 特定非営利活動法人 日本ネットワークセキュリティ協会 2016年情報セキュリティインシデントに関する調査報告書より)
この図を見てもらうとわかるとおり、意外にも「紛失・置忘れ」、「誤操作」、「管理ミス」で75%近くを占めており、不正アクセスや盗難等の犯罪行為は20%程度です。
このように、個人情報の漏洩は犯罪行為のような悪意あるものは少なく、スタッフ等のうっかりミスが大半を占めているのです。このため、「うちの会社や店舗には個人情報を盗むような不届き者はいないですよ」と高をくくるのは早いです。
どこの会社においても、個人情報の漏洩の危険性はあるということを肝に銘じる必要があります。
2 個人情報保護法について
個人情報については、個人情報保護法という法律で規定されています。個人情報保護法は、平成29年5月に改正されており、その適用範囲が拡大しています。これからざっと個人情報保護法を解説します。
2-1 個人情報とは
個人情報保護法においては、保護されるべき個人情報とは、「氏名、生年月日その他の記述等により特定の個人を識別する情報」と定義されています
少し小難しい定義ですが、要は名刺や顧客名簿のようなものをイメージしてください。これらが紙媒体であってもパソコンやUSB等の電子媒体に保存されているものであっても、厳重な保管が求められます。
2-2 個人情報を管理しなければいけない事業者とは
個人情報をデータベース化している事業者の方は全て個人情報を法に基づき管理しなければなりません。
これまでは、取り扱う個人情報の数が5000人分以下の事業者には適用されていなかったのですが、平成29年5月30日からは個人情報保護法が改正されて、全ての事業者に適用されることになりました。
美容業界において個人情報を管理していない事業者はほぼいないと思いますので、個人情報保護法に沿った管理が必要です。
2-3 個人情報を取得するに際して
個人情報を取得する際は、まず利用目的をできるだけ特定して本人に通知する必要があります。
顧客カードに記入してもらう場合などは、その顧客の個人情報を本人から書面で直接取得する以上、顧客からカードの提出を受ける前に、当該顧客にカード記載の個人情報の利用目的を明示しなければなりません。
美容室やサロン店など店舗の事業様の場合、個人情報を取得する利用目的の公表を店内へ掲示しておくことが推奨されています。最近では、HPを出している店舗様も多く、併せてプライバシーポリシーも掲載しているところが増えています。このように、個人情報を適正に取得して管理していることは、お客様に対する信用性アピールにも繋がります。
3 漏洩してしまった場合
では、次に情報の漏洩等がおこると美容関連の事業者がどのようなリスクを負うことになるか見ていくことにしましょう。
3-1 金銭的賠償
まず、会社が個人情報を漏洩させてしまった場合、情報を漏洩させた個人に対して損害賠償義務、すなわちお金で保障する責任を負うことになります。また、漏洩させた人がスタッフであったとしても、そのスタッフの雇用主である会社(経営者)は、使用者責任の名のもとで同様の責任を負うことになります。具体的な損害額ですが、これは一概にいくらと決められるものではありません。ただ、過去の事例からすると
- ・市の住民基本台帳のデータシステムから住民の住所、氏名、性別、生年月日が流出 :1万円
- ・大手エステ会社の顧客の住所、氏名以外に職業、スリーサイズや身体の悩みなどの情報が流出 3万5000円
という金額の賠償が認められています。
美容業界の場合、個人情報が漏洩する場合、あわせて、来店履歴等も漏洩してしまう可能性が高いです。これらの情報は他人には公開されたくないセンシティブな情報と言えるので、損害賠償額も通常より高くなることが予想されます。
3-2 お客さん(取引先含む)の信用を失うリスク
万が一個人情報が漏えいし、それが発覚すれば、その企業サイトや個々の店に対する信用が落ちることは間違いないでしょう。誰でも自分の情報を勝手に漏らしてしまうような会社やお店に自分の情報を提供したくはありません。
今は、ネット上のレビュー等で、個人情報漏洩があった事実というは、すぐに広まってしまいます。ですので、「うちは小さなお店だし関係ない。。」はなかなか難しいので要注意です。
3-3 漏洩後の対応に関するリスク(コスト)
漏洩トラブルが一度起これば、その原因究明やお客さんに対するお詫び・お詫びとして商品券の発送などを行なう必要がでてきます。そのためには、原因究明チームの人件費やお詫び品代等、かなりのコストがかかってきます。これは意外と大きなリスクとなります。
4 有効な漏洩対策
個人情報の漏洩対策として有効なのは、まずは、会社内のルール化を進めることです。ルールをどこまで定めるかは、会社や個々の店の規模や性質等によって変わってきますが、下記を参考にしてみて下さい。
4-1 スタッフ、従業員対策
まずは、就業規則を定めたり、誓約書を提出させることがかんがえられます。また、個人情報管理のマニュアルを制定することにより、スタッフに対して、個人情報の管理の重要性を周知させましょう。
4-2 情報の取扱い
パソコン上のデータにつきましては、IDやパスワードによるアクセス制限や適切なウイルスソフトの導入など基本的な事柄は最低でも守って下さい。その外にも、データをUSBなどにより外部に持ち出させない、アクセスログをチェックするなど適切な措置を講じて下さい。
また、紙媒体の顧客名簿がある場合には、毎日の業務終了時に所定の保管場所に収納されるシステムとなっているか確認して下さい。
最近の報道では、女性客の個人情報を抜き出しLINEでナンパの美容師がいるとの情報もありました。経営側からすればとんでもない事案ですが、やはりまずは従業員が不正できないような環境作りが重要です。
4-3 それでも漏洩してしまったら
どのような厳格な管理をしても、情報漏洩事案を完璧に防ぐことは困難です。このように万が一漏洩してしまった場合は、まずは責任者に報告するようにして、企業内で事故の原因を調査する必要があります。
5 まとめ
個人情報の漏洩については、上で見たように大企業だけの問題ではなく小規模な企業や店舗であってもリスクがあります。個人情報の取扱いは年々厳しくなってきており、消費者もその危険性を意識するようになってきています。
美容関連の事業者様は、正しい知識をもって、顧客であり消費者でもある立場を理解することで、より安心感のある企業体制や店舗体制の構築ができるように目指していってください。
- エステサロンの広告で「ビフォーアフター」写真は使えるのか - 2019年2月6日
- エステサロンが歯のセルフホワイトニングを導入する時の注意点 - 2019年1月30日
- スタッフがインフルエンザになった場合、会社は出勤停止に出来るのか - 2019年1月23日