実録！某食品ECサイトの個人情報保護法違反
プラポリにデータ保管期間記載は必要なのか？！

実例！メルマガ誤配信による個人情報保護法違反＆企業が行った対応

1月某日、それは突然やってきました。
【会員の皆さまへ！サイトリニューアルオープンのお知らせ】
送られてきたメルマガは5年前に退会した某食品ECサイトのリニューアルのお知らせメルマガです。

メルマガ末尾に［マイページより送信停止］のリンクが貼られていますが、私はすでに退会済なので、自身でメルマガ停止や情報削除ができません。

ここでポイント！
メルマガはオプトイン（購読同意）をもって送信ができる、なのでこの時点で個人情報保護違反です。

いつもご利用いただき〜から始まるそのメルマガによると、そのサイトは数日前にリニューアルしたとのこと。
考えられるヒューマン・システムエラーとして

です。
ただ、私もEC企業で実務を経験した身、リニューアルに伴うこういった失敗は笑って許せるくらいの心を持っています。

代理店の失敗か、自社運用での失敗か、リプレイス担当者とメルマガ配信者は反省文書いているんだろうな…、と思っていたところ翌日ECサイトから

と書かれたメールが送られてきました。

ユーザー視点としては

• 退会した時点で会員情報も消されていると思っていた（実際はマイページから個々人で情報削除した上で退会しないと会員情報は消えない＆リコールなどの商品問い合わせのため注文情報≒個人情報は残る）
• ECサイトなので購入後の商品問い合わせの為に情報を残していたとしても、返品規約の購入後7日後を遥かに超えた、5年前の会員の個人情報はいらないのでは？

という疑問は残りつつ、これ以降メルマガが届かないのであれば…とこれ以上の追求はしませんでした。

ここで一件落着、と思いきや…一ヶ月後またメルマガが届きます。
【1000円OFFクーポン付き！特別セット発売！】
いや、これは流石にダメだろう…と、こちらから状況の問い合わせ＆個人情報の取り扱いについて連絡します。

二日後、サポートから回答がきました。

とのこと…。（なぜかこの回答メールが1分おきに3通届き、不信感は増幅していきます。）

であれば！と、記録として残している注文情報及び私の個人情報を削除して欲しいと依頼したところ、メールでは本人確認ができないため、書面で「個人情報開示等請求書・本人確認書類」を送付してください、と返信がきます。ユーザー（私）視点では、メルマガから始まった誤送信や、対応の不信感から個人情報を削除して欲しいのに、より詳しい個人情報を請求されているように感じました。

ここでポイント！
個人情報の開示・削除の依頼に対してこの対応は正しく法律に沿った対応です。通常場面では問題ないですが、インシデント発生時のユーザー視点では納得できない、企業の印象が悪くなる対応ではあります。

勝手に妄想！最悪の世界線

今回社名は伏せて記事を書かせていただきましたが、個人SNS・告発系YouTuberが全盛期の昨今、社名公表されてネット上で晒されてしまうと炎上、上場企業であれば株価に影響することも容易に考えられます。

また、今後の対応としてメルマガ配信の際にダブルチェックを行う、とありましたが「インシデントがあったにも関わらず、対応策がまたヒューマンエラーが起こり得る人力チェックのみで、システム側での制御を検討しない」というデータ管理をしているシステム部とメルマガ配信を担当しているマーケティング部の話し合いがなかったように見受けられました。部署の横連携がないままだと、またいつかインシデントが起こるとも。

また、私自身は先方とのやりとりの中で、窓口を担当してくださったサポートの方への罪悪感もありました。カスタマーサポート部からすると、自部署からは把握できない部分で発生したインシデントの処理をさせられているわけです。

こういった積み重ねが社内で「あの部署はデジタルだ、顧客体験だ、と言いながら余計なことをする部署」という印象になり、データを使ったマーケティングや顧客情報データの分析について社内理解をしてもらえなくなりデータを触れる部署や人の制限がかかる、リプレイスや新プロジェクト立ち上げの際エラー発生や守備・制御関係の実装が優先されやりたかったことができない、結果的に会社のDXが進まない、競合他社に差をつけられる、という最悪の世界線もあったと考えられます。（あくまで妄想です）

ただ、エンドユーザーからの声が直接届くカスタマーサポートの意見が上層部に響きやすいは事実ありますので、妄想で済むことではないかもしれません。

適切なデータ保管について弁護士の先生のご意見

このインシデントは本来、会員/個人情報を正確に把握し、扱っていれば起こりえなかった事象です。ただ、エラーはどの企業でも起こりえます。システムでの制御ももちろん必要ですが、その前提として”なるべくインシデントの範囲を最小限に留める環境作り”を考える必要があります。

実はこの話はトレジャーアカデミー「リーガル実践編② プラポリ作成」の講義で弁護士の先生に実例として提示＆企業側が本来すべきことを質問したことがあります。

その際の先生からのご意見として

「個人情報を削除して欲しいと依頼したところ、メールでは本人確認ができないため、書面で「個人情報開示等請求書・本人確認書類」を送付して依頼して欲しいと返信がきます。
ユーザー（私）視点では、メルマガから始まった誤送信や対応の不信感から個人情報を削除して欲しいのに、より詳しい個人情報を請求されているように感じました。」
のユーザー視点の気持ちは分かるが、法の難しい部分で本人確認なしの依頼で個人情報の削除や公開をすると別の問題になるので、企業としての対応としては致し方ない部分がある。プライバシーポリシーにはデータ保管期限の記載・対応は推奨ではあるが、データの保管期間を決め、定期的な削除を行っていれば起こりえなかった事象ではあり、個人情報流出などの事件発生時に被害が最低限に留められる。なので、過去数年前の退会した会員情報は一律削除と社内でルールを決め削除を行う。が最適解と言える。

また、過去実際に起こった個人情報流出案件では大半が使えない個人情報であるようです。これは食品ECサイトに残っていた私の情報がまさに使えない個人情報で、退会から5年経ち、住所も電話番号も使用しているクレジットカードもスマートフォンも今とは違っている。という企業として残しておいてもあまり意味がない情報と言えます。

完璧すぎる顧客データ管理企業の事例

このプチ事件のメールやりとりをしていた最中、某化粧品ECサイトからメールが送られてきます。
【大事なお知らせ、個人情報削除のご案内】
親に頼まれて会員登録・通販購入をしたサイトです。記憶ではここも5年ほど利用していません。

メールは以下のような内容でした。
「重要なお知らせの為、対象の方全員にお送りしています。当サイトでは会員・非会員に関わらず、一定期間購入履歴のない・ログイン歴のないお客様の会員/個人情報の削除をおこなっています。注文情報も消えてしまうので、不都合がある場合は1週間以内に会員登録・マイページへログインしてください。ログイン歴がない場合、このメールを最後に弊社からメールが送られることはありません。
P.S.
去年から、アマゾンでも購入いただけるようになりました！こちらが便利な方は是非ご利用ください。」

食品EC企業とのやりとりに荒んでいた私は、あまりの対応のギャップに感動します。そして、当時は親のために購入した化粧品を、自身のために購入しました。実に5年ぶりのリピーターが誕生です笑

ここでポイント！
メール配信のオプトアウト（購読解除）には例外があります。

• 契約に伴う料金請求等やサービス内容の変更のための事務連絡等の電子メールに付随的に広告・宣伝が含まれる場合

今回のように、広告・宣伝とは別の目的で送信されるお知らせメールに、P.S.(付随的に)広告・宣伝が含まれていても、オプトアウトの例外として問題ありません。

持論ですがEC業界歴が長かった身としては「また利用したいと思われる店舗運用ではなく、もう利用したくないと思われない店舗運営」が根っこの考えとしてあります。この考えは最低限の行いであり目標ではありません。この化粧品サイトのように法律としては推奨・任意とされていることも、きちんと対応することで、結果的に「また利用したい」となり得ます。

EC業界が拡大し、大手ECプラットフォームでも転売品や不良品が販売されている！とSNSでもよく目にします。ユーザー視点で安心して自分の個人情報を提供していいと思える企業は、いかにユーザーを大切に扱うかではないでしょうか？

EC企業だけでなく、個人情報を取り扱う企業の方は今一度顧客情報の扱い・データ保管について考えてみるきっかけになれば幸いです。