営業リストの利用用途は、基本的には企業や組織の営業活動です。一般的には商品やサービスの過去の取引履歴がある売込み先、もしくは来店された客などの見込み客の情報が記載されています。
当然、どこの誰であるかが分からなければ、商品やサービスの売込みは行えませんので、営業リストは個人を完全に特定できる情報になっているはずです。逆に言えば、個人を特定できない情報に、営業リストとしての価値は無いと言っても良いでしょう。
つまり、個人を完全に特定できる情報ですので、営業リストは個人情報に該当すると言ってよい性格のものです。 むしろ典型的な個人情報の代表例と言っても良いかもしれません。
今回はその個人情報の塊と言って良い営業リストの取り扱いについて、個人情報保護という観点から見ていきたいと思います。
営業リストの中身
まず、営業リストの構成要素をおさらいしておきましょう。営業リストは、法律や政令によってフォーマットが定められている性質のものではなく、個々の企業や組織がその必要性に応じて、自由に体系立てて作成しているものです。
とは言え、営業活動における売込み先や見込み客のリストという性格から、ある程度記載される内容は収斂されています。つまり、以下のような項目になっていることが一般的です。
企業名
代表者名
電話番号
担当部署
担当者名
メールアドレス
案件の進捗
顧客の受注確度
冒頭でも申し上げた通り、個人名と電話番号・メールアドレスが紐づいていて、完全に個人を特定できる情報ですので、「個人情報」と言えます。
営業リストは、前述した通り、規模の大小を問わず企業内で保管、管理される顧客情報ですので当然個人情報ですが、そもそも個人情報である以前に、非常に重要な情報で価値が高いものと言えます。
その一番の大きな理由は、各々の企業が持っている商材やサービスを売り込んだ先、もしくは有力な見込み客として情報を集めている訳ですから、特定の商材やサービスと顧客が強く紐づいた情報と言えるからです。
このような営業リストの特性は、同業他社からすると非常に魅力的に見える可能性が高くなります。同業他社からすれば、自分達の知らない未知の優良顧客を容易に見つけることができる可能性があるという点において、まず何よりも有益な情報です。つまり魔が差すと盗む、覗き見るということをしたくなる衝動を引き起こしかねないということです。仮に合法的に閲覧できるとしたら、おそらく同業他社の誰もが見てしまうぐらいの価値があるものでしょう。
さらに他社の動向がある程度分かるという点においても、魅力的と言えます。営業活動は企業活動において肝といって良い活動ですし、その中でも顧客との接点がどのようになっているかについて知ることができるとすれば、動向を知るという意味では、非常に大きな意味を持つはずです。
仮に営業リストが何らかの形で流出、漏洩した場合、営業リストに掲載されている企業や個人に迷惑が掛かるという点ももちろんですが、ライバル企業からのアプローチによって顧客を失うリスクや、流言飛語による信用リスクの損失など売上という企業にとって最も重要な価値を減じてしまう可能性が出てしまいます。
そもそも盗む、覗き見るという行為自体が犯罪行為、もしくは犯罪性が高い行為ではありますから、そもそもそのような不法行為が発生して欲しくないという面もありますが、可能性がある以上、しっかりと管理を行い、情報が漏洩しないように十二分に配慮しなければなりません。
社会が成熟すると個人の権利の尊重という面が一般に充実していきます。個人情報保護というのは、その個人の権利の尊重というここ最近特に強い世の中の風向きの中でも特に配慮が行き届き始めたものの一つですが、今までの扱いがあまりにも杜撰だった面は否めません。
20〜30年前であれば、名簿屋のような営業リストやそれに類する名簿類を仲介、販売する業者というのは大っぴらに存在しました。そこに持ち込まれる名簿類の出処はかなり怪しいものも含まれていたと思いますが、特にお咎めない状態でした。また個人情報の流出が何かしらの罰則を伴うことが無かったために無法状態と言って良い状況でした。
顧客(消費者と言い換えても良いかもしれませんが)のプライバシーに対する配慮は、直接人体を見られるなどの非常に原始的、物理的な部分でしか配慮されておらず、顧客情報に記載されている部分についての守秘性は守られていないのが普通でした。もちろん、個人情報の守秘性を強味にしていた企業、業種も存在していましたが、プライベートバンクのような富裕層向けで一般的な考え方とは言い難い状況であったのは間違いありません。
そういった環境だったものが、社会の成熟に伴い個人の権利を尊重すべきという大きな流れと同時に、インターネットの隆盛による個人情報の集積の規模が急拡大したことと、それらが流出して悪用され、電子メールの大半がジャンクメールになってしまった状況、さらには流出した情報をもとに発生している振り込め詐欺をはじめとした犯罪被害が無視できない規模になったことから、「プライバシーは守られるべきもの」という意識に大きくシフトチェンジし、状況が大きく変わっていきます。
消費者の立場が強くなっていることも否めない影響でしょう。特にインターネットの浸透と社会インフラ化は、消費者の情報発信能力を非常に高めたため、問題提起をしやすくなってきています。今風に言えば炎上しやすくなっているので、そう言った観点からも個人情報に敏感な消費者、ユーザーへの適切な対処も要求されるようになってきていると言えます。
何よりも個人情報の保護を明確に謳った個人情報保護法の制定が大きな潮目になったのは間違いありません。前述したような社会背景が高まり、個人情報、プライバシーの保全ということがかなり意識に上るようになったことで、世の中の流れはプライバシー保護へのシフトしましたが、罰則規定なども明記されたり、プライバシーマークの取得が奨励され、地方公共団体、官公庁における入札の必須条件になっているなど様々なことが個人情報保護法によって明文化、必須化になったことが何よりも切っ掛けになったと言って良いでしょう。
まず罰則規定が明確になったことで、個人情報の保持の方針が大きく変わってきています。一時代前であれば、ネットのアンケートや懸賞などにおいて個人情報は取得できるだけ取得するのが一般的な流れでしたが、個人情報の取扱に対して厳しい目が向けられるようにあり、さらに個人情報保護法が制定され、ブラッシュアップしていく中で、個人情報はできうる限り最小限に留めるような流れに変わってきています。それだけ個人情報の取扱いに慎重になる企業が多くなってきているという状況ということです。
さらに公共事業の発注元である地方公共団体、官公庁でプライバシーマークの取得企業のみ入札できるようになったことも大きな要因と言えます。地方公共団体、官公庁からの受注に依存している企業にとっては、プライバシーマーク未取得による失注は死活問題になることから、当然のことながら取得に動きました。
またプライバシーマークを取得した企業からの波及効果も少なからずあります。プライバシーマーク取得企業が発注する際に、個人情報保護に配慮している企業を選定することがプライバシーマーク取得や更新の条件になっていることから、必然的に受注する企業に要求することになります。受注企業側からすると、どう個人情報保護を行なっているかを示すかということを色々自前で準備するよりも、結局「プライバシーマークを持っています」の一言で保護基準を満たしているとことを示せることから、受注企業もプライバシーマーク取得するようになるといったことが実際に起こっています。
以上が営業リストの個人情報としての性質から来る周辺状況についての概要です。次は、この状況を踏まえて、営業リストの取り扱い方について考えたいと思います。
典型的な個人情報と言って良い営業リストは、今までに述べてきた経緯を経た時代背景的にも個人情報保護法の観点からも取り扱いを厳重にかつ慎重にしていく必要があります。何に対して厳重かつ慎重であるべきかを大きく分類すると、
の2点と言えます。それぞれを細部に渡って論じていくと1冊以上の書籍ができてしまうほどのボリュームになってしまいますので、今回は営業リストという個人情報の場合で、かつそれを外部委託する際の状況に限定して、考えていきたいと思います。
営業リストに纏わることで外部委託するのは、主に営業リストの作成と営業リストを使ったテレアポ等具体的な営業活動の外部委託になるかと思います。つまり個人情報である営業リスト、もしくはそれの元となる個人情報そのもの(例えば参加したセミナーやイベントで交換した大量の名刺や来客名簿等)を外部委託先に渡すことになります。
そのことから漏洩や紛失が起こる場所は、自社内、自社社員だけではなくなります。簡単に言ってしまえば委託先で漏洩や紛失が発生する可能性が出てくる訳です。自社内と比較して圧倒的にコントロールできない部分が増えるところで問題が起こってしまう可能性ということですから、この点は何よりも最大の注意が必要になる点です。
そもそも問題が起こらないところに発注したいという話ではありますし、一般的に個人情報という機微なものを取り扱うことをしっかりと伝えた上で、機密保持の契約などをしっかりと取り結べば、確率論で言えば、問題が起こる可能性は相当低くできるはずではあります。ただ、想定外のことを0にすることはできないので、どこまで行っても仮の話で問題が起こった時のことは考えておかなければなりません。実際、個人情報の大量流出がニュースになる場合、多くの場合委託先、もしくは再委託先でのケースは比較的よく見るケースです。この点はよくよく注意しなければならない点と言って良いでしょう。
可能性が0に出来ない中でも可能な限り可能性を低くしたい時に、何を基準にしたら良いでしょうか。それの一つの解決策がPマークを保持しているかどうかを選定基準にするというものです。地方自治体や官公庁がこの基準を入札の必須条件にしているのは、つまり法律の順守という側面と同時に問題発生確率を低減させる意図も含まれていると言って良いでしょう。
さらに仮にPマークを保持している会社であれば、Pマークを持っている会社を選定するメリットは他にもあります。おそらく社内手続き的に非常に楽になるという点です。
Pマークを保持している会社であれば、個人情報のやり取りが発生する時点で様々な報告、申請が必要なはずです。その中で委託先の審査過程があるはずですが、ここでPマークを持っている会社であれば、Pマークを持っているだけで合格基準を満たせる場合がほとんどでしょう。
Pマークを持っていない会社の場合、Pマークの取得、更新基準に照してみると、様々なことを委託先に確認した上で、説明を行わなければならない可能性が高くなるはずです。そういう本来の委託内容とあまり関係ない周辺業務を減らせるという意味でもPマークを保持している会社に委託することはメリットが大きいと言えます。
以上が、「個人情報」という観点から見た営業リストについての概論になります。典型的な個人情報と言って良い営業リストは、その扱いは厳密さを要求される性質のものです。取り扱う際には、最新の注意が必要になるのはもちろんのこと、特に外部委託する際に「営業リスト」もしくは「営業リストの元となる個人情報」を渡すとなれば、コントロールしきれないところに渡してしまう以上、外部委託先の選定も様々なことをしっかりと確認すべきと言って良いでしょう。
ただ、しっかりとした確認というのは、時間とトレードオフです。その時間とのトレードオフをできる限り発生させずに選定する基準としてPマークがあることは覚えておいた方がよいでしょう。特にPマークを保持している会社であれば尚更です。外部委託先がPマークを持っていれば外部委託時の周辺業務を圧倒的に減らせる可能性があるからです。