見出し画像

個人情報保護法からみて、スプシでの顧客情報管理はOKなのか?考察してみた

本田正憲|クロスコム

こんにちは!クロスコムの本田です。

 今回は、個人情報保護法からみて、スプシでの顧客情報管理はOKなのか?考察してみたので記事にします。
※今回は、令和4年9月最終改正分の個人情報保護法を引用しています。


1.きっかけは「スプシで顧客情報を管理って、大丈夫なんかな…?」

 普段はクライアントのCRM運用や広告運用の代行しているのですが、一方で、新しく支援させていただく企業の中で、スプレッドシートで顧客情報や商談情報をリスト化してGoogleドライブで管理しているケースをよく見かけていました。

 「スプレッドシートでの顧客情報って大丈夫なんかな、、?」って思ってネット検索してたんですが、法律の観点からスプレッドシートのセキュリティ対策に関する説明記事が見当たらなかったので、「だったら自分で調べて記事にするか!」と思ったのが、本記事を投稿したきっかけです。

 また個人的には、顧客情報をスプレッドシートで管理しているのは、リード育成と部署間コミュニケーションの観点から、非効率さを感じている派です(ていうか、そもそも表計算ソフトだし)。ただ「リスト数がそもそも少ない」「普段から使い慣れている」理由から、状況次第でスプレッドシートを使うのはめちゃくちゃ理解と納得もできる派です。

 ただ、近年特にデジタル界隈では、3年ごとに改正される個人情報保護法の観点から、Cookie規制や、個人データの管理・活用への規制が厳しくなっています。一部の企業から「スプレッドシートでの顧客情報管理はNG」なんて規定も聞いたことがあります。

 私としては「スプレッドシートで顧客情報を管理するって、セキュリティ対策大丈夫かいな、、?」と思ってはいたものの、明確にその理由を説明できる知識を持っていませんでした。そして、CRM支援をしている身としてこの知識感覚ではダメだと考え、今回の投稿でインプットしたいと思います。

2.個人情報保護法を深堀りして考察した

個人情報保護法 6つの取り扱い方

 それでは、個人情報保護法の観点から、スプレッドシートでの顧客情報は管理してOKなのか?について考察していきます。また、今回の記事を書くにあたり、個人情報保護法に関する情報源として、個人情報保護委員会の公式サイトから複数文章を引用しながら進めます。

 
 また、今回記事で考察するのは、主題である「スプレッドシートでの顧客情報の管理は大丈夫か?」から、利用や提供などではなく保管(保存+管理)の観点に絞っています。上図はガイドラインの各項目をカテゴリ分けして書いているので、もし分け方が適切でなければすみません。

 それでは、早速ガイドラインを見ていきます。

  ①個人データの管理(法第22条~第25条関係)が該当しそう

 まず、個人情報保護委員会の公式HPでガイドラインを一通り確認しました。すると、以下図の法第22条~第25条に、今回の主題に関する情報が記載されていそうです。※ほかの条項をここで紹介するのはボリュームが大きいので、割愛して進めます。

個人情報の保護に関する法律についてのガイドライン(通則編) 一部抜粋

 これらの条項から、主題について詳細が記載されている条項がないかを見ていきます。

法第22条
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

法第23条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

法第24条
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

法第25条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

個人情報の保護に関する法律についてのガイドライン(通則編) 3-4 個人データの管理

 どうでしょうか。第22条は更新作業と削除対応について、第24,25条は委託時の監督方法について記載されているように見えますが、第23条は安全管理の適切な措置について記載されています。この「安全管理の適切な措置」が、今回の主題に関係ありそうです。

 ということで、ここからは法第23条に範囲を絞り更に深堀していきます。

  ②法第23条の"安全管理措置"にヒントがありそう

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならないが、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。具体的に講じなければならない措置や当該措置を実践するための手法の例等については、「10(別添)講ずべき安全管理措置の内容」を参照のこと

安全管理措置(法第23条)  

 こちらは、法第23条”安全管理措置”に関する説明文章です。「講ずべき安全管理措置の内容を参照のこと」ですが、ここを更に深堀すれば、考察結果が書けそうです。

 ということで、経済産業省がガイドラインとして出しているこの安全管理措置の内容を調べてみました。すると、安全管理措置は更に以下4つ(組織的・人的・物理的・技術的)の観点の安全管理措置で成り立っていることが分かります。

「中小規模事業者」とは、従業員の数が100人以下の個人情報取扱事業者をいう。ただし、次に掲げる者を除く。
・その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6か月以内のいずれかの日において5,000を超える者
・委託を受け手個人データを取り扱う者

個人情報の保護に関する法律についてのガイドライン(通則偏) 10(別添)

 
 これら4つの観点をおさえ、スプシでもそれぞれで適切な措置を講じることができれば、スプシでの顧客情報管理も問題ないことが言えそうです。ではそれぞれの観点を説明します、、、、、が、全文章を書いていると量が多すぎるので、関係ありそうな箇所を私の方で抽出してみました。

 

   A)組織的安全管理措置

組織的安全管理措置 一部抜粋

 まず組織的安全管理措置ですが、これは管理するツール・システムというより、管理する組織に対して求められる措置体制のようです。

 スプレッドシートの共有権限に「リンクを知っている全員」というものがあります。これはつまり、URLを知っていると情報がいつでもどこでも閲覧できるということになります。

 ビジネスの現場でスプレッドシートを関与者と共有するときに、「リンクを知っている全員」に設定することが100%ないと言い切れるかは事業者次第です。しかし、編集者権限を持っているユーザー全員がアクセス制御の設定を変えられる仕様は、「個人データの取り扱いに関する責任者の設置、および責任の明確化」に抵触するきっかけになり得ないか少し懸念しています

   B)人的安全管理措置

人的安全管理措置 一部抜粋

 続いては人的安全管理措置です。こちらは、管理する組織の特に従業員への指導的意味合いとして記載されているようです。主題とは関係なさそうなので、ここの説明は飛ばします。

   C)物理的安全管理措置

物理的安全管理措置 一部抜粋

 続いて物理的安全管理措置です。こちらはどうでしょうか。データの暗号化やパスワード保護に対する管理方法について記載されていますが、こちらはUSBメモリやその他電子媒体のハード面に関わる措置内容だと読み取れそうです。

 ハード面から考える内容は主題と関係がなさそうですが、外出先でもクラウド上で閲覧できるという点で、電子媒体等の持ち運びと主題が関係ありそうです。個人データの暗号化やパスワード保護に関しては、次章でも説明しているので、合わせて考察してみます。

   D)技術的安全管理措置

技術的安全管理措置 一部抜粋

 最後に、技術的安全管理措置です。これはソフト面での管理手法に関する記載があるので、主題と深く関係がありそうです。特に関係がありそうな箇所をオレンジ色でハイライトしたので、1つずつ見ていきます。

(1)アクセス制御
個人情報データベース等を取り扱うことのできる情報システムを限定する。

 これは、個人情報を含むデータベースやその他の情報システムを扱う際に、どんなシステムを使用しているかを明確にして、限定する必要があることを意味しているようです。要は、使用しているシステムが個人情報の保護に適しているか?ということでしょう。、、、まだざっくりですね。

 スプレッドシートでは、特定のユーザーを招待もしくはリンクを知っている全員に、閲覧・編集権限を付与することができますよね。一般公開しなければ、特定のユーザーのみ閲覧・編集できるようにアクセス制御は設定できます。

 では、セキュリティ対策はどうでしょうか。セキュリティ対策については(3)の内容にも関連するので、合わせて考えてみます。

(3)外部からの不正アクセス等の防止
・情報システムと外部ネットワークとの接続箇所にファイアウォール等を設置し、不正アクセスを遮断する。
・情報システム及び機器にセキュリティ対策ソフトウェア等を導入し、不正ソフトウェアの有無を確認する。

 ファイアウォールとは、社内ネットワークに対して外部から侵入してくる不正アクセスや、社内ネットワークから外部への許可されていない通信から守るための“防火壁”のことを指します。私も専門の人ではないのですが、今の時代では外部から簡単に不正アクセスできるネットワーク技術だそうで、このファイアウォールはもはや必須の装置だそうです。

 スプレッドシートは、このファイアウォールが設置されているのでしょうか?ヘルプページを探してみたところ、以下の文言が見つかりました。

ユーザーが社内のネットワークから Google ドライブ、Google ドキュメント エディタ、新しい Google サイトにアクセスできるようにするには、ファイアウォールのルールで次のホストとポートに接続します。

ドライブと Google サイトのファイアウォールとプロキシの設定

 明確に設置されていると明言はされていないようですが、ファイアウォールが設置されている前提で説明されていますね。つまり、スプレッドシートでもこのセキュリティ対策としてファイアウォールが設置していることが分かりました。

 他にも不正アクセスへの対策として一般的には、ファイアウォールを突破されてもIPS(不正侵入防止システム)という侵入を自動的に阻止するシステムがあるのですが、このIPSに関してはGoogleヘルプページに記載が見当たりません。なので、IPSは導入されていない可能性があります

 一方で、セキュリティ対策に関して明言している項目があります。それはデータの暗号化です。以下、ヘルプページの一部を抜粋しました。

Google ドライブにアップロードされたファイルや、Google ドキュメント、スプレッドシート、スライドで作成されたファイルはすべて、転送時も保存時も AES256 ビット暗号化で暗号化されます。機密情報の保護を強化するために、Workspace のクライアントサイド暗号化を使用して Google ドライブ、ドキュメント、スプレッドシート、スライドのファイルを暗号化することもできます(組織の設定で許可されている場合)。暗号化されたファイルには、通常のファイルにはない制限があります。あらゆる形式のドライブ ファイル(PDF や Office など)を、暗号化されたドライブ ファイルとしてアップロードできます。

Googleドキュメントエディタヘルプ  "暗号化されたファイルをドライブ、ドキュメント、スプレッドシート、スライドで使ってみる"

 つまり、データが暗号化されている場合、仮に外部から不正アクセスされて情報が閲覧できても、不正アクセス者はその情報を復号できず閲覧できない仕様になっているいうことです。アクセス制御を突破されても、このように情報が復号されない仕様は、少し安心できそうです。

  ③【結論】スプレッドシートのセキュリティ対策はいかに?

■スプレッドシートのセキュリティ対策
・アクセス制御(編集者権限を保有するユーザー全員が操作可能)
・ファイアウォール設置
・データの暗号化(AES256ビット暗号化)

 以上、説明文章が長くなりましたが、個人情報保護法の4つの安全管理措置の観点から、スプレッドシートで顧客情報を管理しても問題ないか考察してきました。

 私もセキュリティ対策のプロではないので、ここで取り上げたセキュリティ対策の考察も、レベルや対策範囲を表面的にしか捉えられていない可能性があります。

 その点も踏まえての個人的な結論ですが、顧客情報の管理としてスプレッドシートの使用は不十分と感じました。理由としては、以下の通りです。

■4つの安全管理措置の観点から、スプレッドシートでは顧客情報管理のセキュリティ対策は不十分だと思う理由

①編集者ユーザー全員がアクセス制御を設定できるため、個人データの
 取扱責任者の固定がシステム設計上難しい(組織的安全管理措置)

②データの暗号化やファイアウォールはヘルプページで文言として
 確認できたが、不正アクセスに対する定期的なログ分析ができない
 (技術的安全管理措置)

4つの安全管理措置の観点からの考察

 100%ダメとは言い切れないセキュリティ対策かという印象です。アクセス制御ももちろん、一定のセキュリティ対策はされていたようでしたが、やはり表計算ソフトだからか、システム設計上どうしてもセキュリティにおいては不完全な対策になっているようです。

3.顧客情報を適切に管理しながら利活用しよう

 以上、個人情報保護法の観点から、スプレッドシートでの顧客情報の管理はセキュリティ上、不十分であるという結論で締めました。

 「そりゃスプレッドシートは表計算ソフトやから、セキュリティ対策は完璧じゃないやろ~」で済むような内容ではありましたが、公的機関情報を引用しながらの考察で、個人情報保護法に加えてセキュリティ対策に対する理解を深めることができたのは、個人的にも良い学びだったと感じています。

 ちなみに、今回の考察の中で「へぇ!」という新しい気づきを得ました。それが以下の太字の箇所です。

この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、 個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の 保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人 情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定める とともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ 円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力 ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に 配慮しつつ、個人の権利利益を保護することを目的とする

個人情報保護法 第1条(目的)

 「個人情報の適正かつ効果的な活用が~~~」とあるように、個人情報保護法では、顧客情報の取り扱いに関する保護の規則だけではなく、国民成果の豊かさを実現するために資する活用面も目的にされていたことです。

 「個人情報保護法」の名称から、てっきり保護に関する規定を記しているだけだと思っていましたが、活用面にも触れていることには気づきませんでした。という、小さな気づきです。

 顧客情報の管理方法として、CRM(Customer Relationship Management)のような専用ツールがよく推奨されています。それは、多要素認証・二段階認証・IPアドレス制御・ログ解析・アクセス制御レベルの設定など、(スプレッドシートより)セキュリティ対策がより厳重であることが理由です。ツール次第ですが、安全管理措置の基準も満たしているように考えられます。

 また最近のCRMツールでは、MA(マーケティングオートメーション)機能や、SFA(セールスフォースオートメーション)機能も搭載されているので、属性や売上金額、Web行動などの顧客情報を、マーケティングや営業に活用することができます

 スプレッドシートのようにsheet上に顧客情報を管理しているだけでは、他ツールとシームレスにデータ共有ができませんので、このCRMツールはお勧めだと思います。特に人員や時間が少ない企業には、マーケテイング活動の自動化という観点で非常に有力な武器になりますので、一度使ってみてはいかがでしょうか。※CRMツールが企業の経営活動にどう役立つかを、以下の記事にて考察しています。よろしければぜひ。

 では、最後に本記事のおさらいをして終わりにします。

■考察
個人情報保護法の観点から、スプレッドシートでの顧客情報の管理は大丈夫なのか?⇒個人の見解:不十分である

■理由
 ①編集者ユーザー全員がアクセス制御を設定できるため、個人データの 取扱責任者の固定がシステム設計上難しい(組織的安全管理措置)
 ②データの暗号化やファイアウォールはヘルプページで文言として 確認できたが、不正アクセスに対する定期的なログ分析ができない (技術的安全管理措置)

 以上です、最後までお付き合いいただきありがとうございました!

この記事が参加している募集

マーケティングの仕事

6,588件

この記事が気に入ったらサポートをしてみませんか?