小売店レジのPOSデータを改正個人情報保護法に対応させるには? | POSレジ ニュース

2017年5月30日から全面施行される「改正個人情報保護法」。とくにPOSレジを使って多くのデータを取り扱う小売店のマーケティングに深く関わってきます。今後ますます重要になる顧客情報を安全に管理し、かつ有効に活用できるか、法改正のポイントを知ることで、POSデータを販売促進や商品開発などに活かすための方法を紹介します。

コンテンツの目次

• 個人情報保護法とは?
• 改正の背景
• 改正のポイント
• POSデータの個人情報を安全に管理し、有効に活用するには?
• 小売店POSレジシステム

個人情報保護法とは?

「個人情報保護法」の正式名称は「個人情報の保護に関する法律」といいます。個人の権利を守る目的で平成15年５月に公布され、平成17年４月に全面施行されました。
まず、何が「個人情報」にあたり、法律によって保護されるのかを説明します。

「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）」をいいます。
「個人情報保護委員会」よりhttp://www.ppc.go.jp/personal/general/

お店の会員カードを作ってもらう際に、会員個人の名前や生年月日、電話番号などを記入してもらい、会員データとして保存しておくことがありますが、これは「個人情報」にあたります。氏名のみの場合でも、個人情報になります。会員の個人情報を顧客管理データベースに入れ、この会員がお店で何か買い物をしたり、サービスを利用した際に購入記録、利用履歴が残りますが、誰がいつ何を購入したかといった記録は個人が特定できるため、個人情報になります。データベースに記録された個人情報は「個人データ」といいます。
紙への記入やコンピュータへの登録といった文字情報以外に、防犯カメラで撮影され、個人が特定できる映像も個人情報にあたります。個人情報を取得した事業者は、その利用目的を公表している場合を除いて、速やかに、その利用目的を本人に通知し又は公表しなければなりません。ただし、取得の状況からみて利用目的が明らかであると認められる場合にはこの限りではありません。防犯カメラを設置し防犯目的にのみカメラ画像を利用しており、また、被写体となる者にとって防犯目的のために当該ビデオカメラにより撮影を行っていることが自明である場合には、取得の状況からみて利用目的が明らかであると認められます。
このように取得された個人情報を個人情報取得事業者は漏洩や滅失を防ぐため、必要な措置を講じる必要があります。また原則として、あらかじめ本人の同意を得ずに本人以外の者に個人データを提供することは禁止されています（第三者提供の制限）。ただし、委託や共同利用に該当する場合は、第三者提供に該当しないとされています。
例えばダイレクトメールを会員あてに発送する場合、発送業務を外部に委託することがありますが、このとき、委託先に会員の名前や住所を伝えても第三者提供の制限違反にはなりません。ただし、委託者は委託先を監督する義務があります。
このように個人を特定できる情報を取得する事業者は適切に保護する義務があり、違反した場合には懲役や罰金といった罰則が課せられます。

改正の背景

改正個人情報保護法5月30日から全面施行されます。その背景には、IT技術の進歩による膨大な量の顧客データが取り扱われることになったことが存在します。スマートフォンやIoT技術が普及し、人の行動や購買情報がデータ化しやすくなりました。また、大量のデータ、いわゆるビッグデータを処理、分析できる環境が整ってきたことで販売、マーケティングといったビジネスに活用できる機会が増加。同時に個人の権利侵害も起きやすくなってきました。これまでの個人情報保護法では、個人情報に該当するかどうかが曖昧なグレーゾーンになる部分も増えたため、現在の状況にあった内容に改正する必要が出てきました。今回の改正では、どこまでが個人情報にあたるのかをより具体的にすることで個人の保護、安全性の確保を行うとともに、情報を十分に加工すれば本人の同意なしで二次利用できるといった積極性な利用しやすさが推進されることも期待されています。

改正のポイント

改正個人情報保護法により何が変わるのでしょうか?おさえておくべきポイントを以下にあげてみます。

1. 個人情報における定義の明確化
   住所、氏名、生年月日等の一般的な個人情報に加えて、個人情報の定義の明確化を図るため、その情報単体でも個人情報に該当することとした「個人識別符号」の定義が設けられました。
   「個人識別符号」には次のものが該当します。
   (1)ＤＮＡ、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋といった身体的特徴の一部。
   (2)旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証などの公的な番号。
   また人種、信条、社会的身分、病歴、犯罪歴といった情報は要配慮個人情報として取得に当たって、原則として事前に本人の同意を得る必要のある情報にあたります。
2. 匿名個人情報の利用
   匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことを指します。ビッグデータ時代に対応し、自由な流通・利活用を促進することを目的に新たに導入されました。
   これにより、個人情報取り扱い事業者は指針に沿って個人情報を加工すれば本人の同意がなくても、第三者に売買できるようになります。

事業者は指針に沿って個人情報を加工すれば本人の同意がなくても、第三者に売買できるようになります。

POSデータの個人情報を安全に管理し、有効に活用するには?

第三者提供を行う際に求められる本人の同意が不要な「匿名加工情報」（特定の個人を識別することができないように個人情報を加工した情報）の基準に従った適正な管理を行うことでPOSの購買情報などから得られるデータを販売や商品開発に活用することができます。
ただし、「匿名加工情報」に関しては取り扱いについて規則があります。
匿名加工情報の作成方法に関して、最低限の規律として、次の措置を講ずることが求められています。

• 特定の個人を識別することができる記述等（例:氏名）の全部又は一部を削除（置換を含む。以下同じ。）すること
• 個人識別符号の全部を削除すること
• 個人情報と他の情報とを連結する符号（例:委託先に渡すために分割したデータとひも付けるID）を削除すること
• 特異な記述等（例：年齢116歳）を削除すること

「匿名加工情報」などについて詳しくは「改正個人情報保護法の施行に向けた取組について」をご覧ください。

POSデータの活用例

1. 店舗や地域別での売れ筋商品を見つけ、適正な在庫を確保する。
2. ある商品の売れ行きの良い時間帯を把握し、商品棚に並べる順番を変える。
3. ネット経由で複数店舗の売上を確認し、状況に応じて柔軟な対応ができる。

このようなデータを販売に活用するために、個人情報保護委員会では匿名加工情報の事例を挙げています。

匿名加工情報の例

• 住所、生年月日などが合わさることで特定の個人を識別することができるものは全部または一部を削除することで個人を特定できないようにする。
• IDや会員番号は削除もしくは復元の困難な仮IDに置き換える。
• 住所や年齢は一定のカテゴリーに分類する。
  例、東京都千代田区→東京都（市町村区単位まで）。25歳→20代

次に購買情報、顧客情報を扱うことの多い小売店での事例を挙げてみます。

• 購買データに具体的な商品情報があり、購入者が極めて限定されている商品の購買履歴が含まれている場合、具体的な商品情報（品番・色）は一般的な商品カテゴリーに置き換える必要があります。
• 購入店舗と購買時刻に関する情報や特異な購買金額、居住エリアが合わさり、個人が特定できる場合、時刻の詳細な時間を削除したり、購買情報、利用回数の削除が必要になります。

小売店POSレジシステム

個人情報・購買データを適切に管理した上で、販売や在庫管理を行うには、データを加工できるPOSレジシステム・ソフトウェアが必要です。小売店向けFreePOSは、時間帯や季節ごとの商品別売上を簡単にデータ化することができます。また、ハンディターミナルやバーコード管理と連携し、仕入、売上、移動、棚卸を一元管理し、顧客ごとの売上や来店履歴も集計できる顧客管理機能でニーズを把握し、効果的な販促活動が可能になります。
小売店向けPOSレジシステムについてはこちらをご覧ください。

Summary

Article Name

小売店レジのPOSデータを改正個人情報保護法に対応させるには?

Description

平成29年5月30日から全面施行される「改正個人情報保護法」。POSレジを使って多くのデータを取り扱う小売店のマーケティングに深く関わってきます。顧客情報を安全に管理し、かつ有効に活用できるか、法改正のポイントを知ることで、POSデータを販売促進や商品開発などに活かすための方法を紹介します。

Author

FreePOS

Publisher Name

office24 Co., Ltd.

Publisher Logo