コンタクトセンター向けクラウドCRM enjoy.CRMⅢ

顧客を中心にコンタクトセンターからDXを実現

コンタクトセンター運営のポイント第76回：定期的に再確認したい！コールセンター業務に必要な個人情報の知識

その76　コールセンター業務に必要な個人情報の知識とは

コールセンターでは、個人情報を含む膨大な顧客情報を取り扱っています。顧客情報が漏洩すると顧客が直接的・間接的に被害を受けるだけでなく、企業にも損害が生じます。
そこで今回は、コールセンター業務を行うにあたり知っておくべき個人情報の取り扱いに関する基礎知識と、個人情報の漏洩対策の方法についてご紹介します。

個人情報の概要

一般的に使われている「個人情報」と「個人データ」という言葉は、個人情報保護法にて明確な定義があります。

個人情報

個人情報とは、特定の個人を識別できる情報のことで、氏名や生年月日、性別、住所、電話番号、メールアドレスなどが該当します。この他、映像や音声による情報も個人情報に含まれます。そのためコールセンター業務においては、顧客情報はもちろん、電話でのやり取りによる音声も個人情報に該当します。

個人データ

個人情報をデータベース化し検索ができる状態にしたものを「個人情報データベース等」といい、これを構成する上で必要な情報を「個人データ」といいます。コンピューターのデータベースはもちろん、紙で管理されている個人情報も検索できるように整理していれば、個人データに該当します。また、コンピューターにあるデータベースを印刷した個人情報の帳簿も個人データになります。

個人情報保護法とGDPRについて

個人情報や個人データを正しく取り扱うためには、個人情報保護法と一般データ保護規則（以下GDPR）について理解する必要があります。海外の顧客も相手にする場合は特にGDPRに準拠した対応が求められるため、あらかじめ確認しておきましょう。

個人情報保護法の適用条件

個人情報保護法では、個人情報、ひいては個人情報データベース等を事業活動に利用している事業所を「個人情報取扱事業者」と定めています。個人情報保護法が改正され、平成29年5月30日に全面施行される前までは5,000人分を超過した個人情報を扱う事業者のみが該当していましたが、現在は5,000人分以下の個人情報を取り扱う事業者も個人情報取扱事業者に当てはまります。言い換えれば、人数に関係なく、個人情報を取り扱っている事業者は全て個人情報取扱事業者に該当するということです。

個人情報取扱事業者が守るべき個人情報保護法

個人情報取扱事業者は、個人情報保護法を遵守しなければなりません。たとえば、以下の3項目があげられます。

第15条1項
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。
第15条2項
個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
第16条1項
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
第18条1項
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

引用：経済産業省 [1.0MB]

GDPRの適用条件

GDPRとは、EUによる個人情報保護の新たな枠組みとして2018年5月に制定された規則です。EUに子会社や支店、営業所などを有している企業や、EUから個人データの処理に関する委託を受けている企業、また日本からEUに商品・サービスを提供している企業はGDPR適用の対象となります。コールセンターにおいても、欧州経済領域（EUにアイスランド、リヒテンシュタイン、ノルウェーを加えたもの。以下EEA）の顧客の個人データを取り扱っていればGDPRを適用しなければなりません。

もし、EEAの顧客の個人情報を取り扱っているのにもかかわらずGDPRを適用しなかった場合、違反内容に応じて多額の制裁金が課せられます。
たとえば、個人データの処理に関する原則に違反したり、監督機関からの命令に従わなかったりした場合は、罰則として企業の前年度の全世界年間売上高の4%以下、もしくは2,000万ユーロ以下のいずれか高い方を支払わなければなりません。
個人データを取り扱う上で適切な安全管理措置を実施しなかった場合は、罰則として企業の前年度の全世界年間売上高の2%以下、もしくは1,000万ユーロ以下のいずれか高い方を支払う必要があります。
2018年11月時点で1ユーロ約128円なので、それぞれの制裁金を日本円に換算すると、2,000万ユーロは約26億円、1,000万ユーロは約13億円になります。

グローバルなコールセンターはもちろん、そうでないコールセンターもいつEEAの顧客の個人情報や個人データを取り扱うことになるかは分からないため、多額の罰則を支払わないためにもあらかじめGDPRに対応しておくことをおすすめします。

個人情報保護法やGDPRに神経質になりすぎない

個人情報保護法やGDPRは遵守しなければなりませんが、過剰に警戒すると企業側の不利益につながることも考えられます。そのため、個人情報を取り扱う場合は個人情報保護法やGDPRについて正しく理解するとともに、適正な取り扱いを心がけることが大切です。

規則の範囲内での取り扱いを心がける

顧客から個人情報を入手する前には、必ず何に利用するのかを顧客に分かりやすく提示して同意を得る必要があります。たとえばコールセンター業務において、個人情報の利用目的を「自社が取り扱う商品やサービスの案内に利用する」として同意を得たのであれば、自社が取り扱う商品やサービスについてアウトバウンドしても特に問題はありません。

個人情報保護法やGDPRを適用しているからといって過剰に警戒するのではなく、各規則の範囲内で顧客の情報を活用することで、企業側は利益を確保できます。

本人の許可なく第三者に個人情報を開示できることもある

法令に基づいた個人情報の提供には応じる必要があり、第三者であっても本人の許可なく個人情報を開示できます。たとえば、警察や弁護士会からの報告の求め、統計調査への協力などがそれに該当します。
「第三者だから個人情報は明かせない」とこれらの申し出を拒否することは、企業にとって不利益になりかねないため注意が必要です。

コールセンターで実践すべき個人情報の漏洩対策

管理者と従業員に関わらず、コールセンター業務に関わる全員が個人情報保護法に対して高い意識を持つことで、情報漏洩を未然に防ぐ可能性が高まります。企業内でのルールを徹底して、個人情報が外部に流出しないよう努めましょう。

対策マニュアルの熟読を徹底させる

全ての業務員が研修で指導したことを覚えているとは限らず、また業務中に混乱して臨機応変に対応できないことも考えられます。そのため個人情報の取り扱いに関する対策マニュアルを作成し、全ての従業員に熟読・遵守させて適切な行動を促しましょう。

業務で使用するアイテムを持ち出させない

個人情報はもちろん、業務内容を記載したメモの端書きなど、業務で使用するアイテムを外部に持ち出さないようルールを定めておくのもおすすめです。また、スマートフォンや録音機器、USBメモリーなどを受電現場に持ち込むことを禁止するのも効果的です。
顧客の情報が間違っても流出しないよう、細心の注意を払いましょう。

企業内の情報を第三者へ発信させない

取り扱っている個人情報や業務内容を第三者に共有することも禁止しましょう。具体的には、口頭で家族や友人など親しい人物に業務内容を伝えること、FacebookやTwitterなどのSNSで個人を特定できる情報や業務内容、それに対する不平不満を発信することを禁じるルールの制定がおすすめです。
顧客の信頼を裏切ってしまうだけでなく、企業にとって大きな損害につながる恐れもあるため、ルールとして徹底させましょう。