名刺を受け取ったとき、そこに記された情報をどう扱えばよいか迷ったことはないでしょうか。実は、名刺に書かれた氏名や連絡先は個人情報に該当し、管理方法によっては個人情報保護法の規制を受けます。本記事では、名刺と個人情報保護法の関係を整理したうえで、安全な管理方法・営業活用時の注意点・廃棄手順・退職時のリスクまでを解説します。
1. 名刺が個人情報にあたるかどうかの基本的な考え方
1-1 個人情報保護法が定める個人情報の範囲
個人情報保護法では、個人情報を「生存する個人に関する情報で、特定の個人を識別できるもの」と定義しています。1つの情報だけで判断するのではなく、複数の情報を組み合わせて個人が特定できる場合も含まれる点がポイントです。
たとえば生年月日は単体では個人を特定しにくいですが、氏名と組み合わせれば特定できる可能性が高まります。メールアドレスも、ドメイン名から個人が判別できる場合は個人情報として扱われます。
情報の種類 | 個人情報への該当 | 補足 |
氏名 | 該当する | 単独で個人を特定できる代表的な情報 |
生年月日 | 単独では不確か | 氏名などと組み合わせると個人情報となる |
住所・電話番号 | 該当する | 氏名と組み合わせることで特定性が高まる |
メールアドレス | 条件付きで該当 | ドメイン等から個人を特定できる場合は該当 |
指紋・顔認証データ | 該当する | 個人識別符号として個人情報に含まれる |
1-2 名刺の情報が個人情報保護法の対象になるかどうかの判断基準
名刺には氏名・所属・役職・電話番号・メールアドレスなど、組み合わせることで個人を識別できる情報が含まれるため、個人情報に該当します。
ただし注意が必要なのは、「名刺の情報が個人情報である」ことと、「個人情報保護法の規制対象になる」ことは別問題だという点です。
法律の規制対象になるのは、個人情報が検索できる状態で体系的に整理・管理されている場合に限られます。受け取った名刺をそのまま保管しているだけでは規制対象にはなりませんが、整理・分類して検索できる状態になった時点で法律の適用を受けることになります。
1-3 名刺をデータベース化した時点で保護対象となる
名刺を受け取っただけで保管しているだけの状態は規制対象外ですが、ExcelやアプリなどでDB化した時点で「個人情報データベース等」に該当し、個人情報保護法の適用対象となります。ここでいうデータベースとは五十音順や年代順など何らかの規則で整理され、容易に検索できる状態のものを指します。デジタル・アナログを問わず「検索しやすい状態に整理されているかどうか」が判断基準です。
1-4 データベース化して業務で使用すると「個人情報取扱事業者」となる
名刺をデータベース化して業務で使用している場合、個人・法人・営利・非営利を問わず「個人情報取扱事業者」となり、個人情報保護法に基づいた管理義務が発生します。2022年の改正により、以前は対象外だった5,000件以下の中小企業・個人事業主・非営利団体も対象となっています。
義務の種類 | 概要 |
利用目的の特定・通知 | 取得した個人情報の利用目的を具体的に特定し、相手に通知または公表する |
安全管理措置 | 漏えい防止のための技術的・組織的対策を講じる |
第三者提供の制限 | 保有する個人情報を他の企業・団体に渡す「第三者提供」を行う際は、原則として本人の事前同意が必要。提供・受領の記録作成・保存も義務付けられている |
従業者の監督 | 社内規定の整備と従業員への研修を実施する |
1-5 名刺交換の場面では個人情報保護法の対象外となる理由
名刺は「広く自分を知ってもらい、ビジネスに活用してほしい」という本人の意思のもとで渡されるものです。そのため、慣行の範囲内で交換・保管される限りは個人情報保護法の対象外と解釈されます。名刺入れに入れたまま紛失した場合も、データベース化されていない状態では同法の違反にはなりません。ただし名刺に記載された情報は個人情報に変わりなく、紛失や雑な保管は信頼を損なう行為です。
2. 名刺情報をマーケティング・営業活動に使う際の注意点
名刺情報を営業・マーケティング活動に活用することは可能ですが、 「個人情報保護法」と「特定電子メール法」の両方に従った運用が必要です。特に「メール配信」と「広告配信」では適用ルールが異なるため、それぞれ正しく理解しておくことが重要です。
2-1 名刺交換した相手へのメール配信は可能
名刺交換で得たメールアドレスへの営業メール・ご案内メールの配信は、原則として可能です。名刺交換という行為自体に「ビジネス上の連絡を受け取る」という暗黙の了解があるためです。ただし個人情報保護法に加え、特定電子メール法に基づいた対応が必要です。具体的には以下の3点を必ず整備してください。
・ 配信停止手段の設置:メール本文内に配信停止用のリンクや連絡先を明記する
・ 拒否した人への再送禁止:受信拒否の意思を示した相手への送信を直ちに停止する
・ 送信者情報の表示:送信者の氏名・会社名・住所・連絡先をメール内に明記する
名刺交換により取得した連絡先に対して、自社の広告宣伝のための冊子や電子メールを送ることはできますか。|個人情報保護委員会PPC
2-2 広告配信への名刺情報活用には「オプトアウト規定」の対応が必要
前述の通り、第三者提供には原則として本人の事前同意が必要です。マーケティング活動においてGoogle広告の「カスタマーマッチ」などのターゲティング広告に名刺情報を活用する場合もこれに該当します。なお、メール配信システムへの登録は業務委託にあたるため第三者提供には該当しません。
第三者提供の例外措置として「オプトアウト規定」が認められています。オプトアウトとは、第三者提供を行う旨を本人に事前通知したうえで、拒否の機会を与える仕組みです。合わせて個人情報保護委員会への届出と、提供する情報項目のインターネット上での公表が義務付けられています。
ただし実務上このオプトアウト対応は手続きが複雑で、対応コストも高くなります。名刺情報をターゲティング広告に活用したい場合は、名刺交換の際に改めて本人から同意を取得する方法が現実的です。
3. 名刺の個人情報を安全に管理するための実践ポイント
3-1 紙の名刺を安全に保管するアナログ管理の方法
鍵のかかるキャビネットや引き出しに名刺ファイルを保管し、担当者以外が閲覧できない体制を整えることが基本です。持ち出しや社外への携行は必要最小限にとどめるルールを設けましょう。アナログ管理は手軽である反面、紛失・誤廃棄のリスクがあり、リモートワーク時に情報へアクセスできないという課題もあります。
3-2 名刺をデジタル管理する際のセキュリティ対策
名刺をアプリやクラウドで管理している場合は個人情報保護法の適用対象となるため、以下のような安全管理措置が必要です。
対策の種類 | 具体的な内容 |
アクセス制限 | 役職・部署ごとにアクセス権限を設定し、閲覧・編集できる担当者を限定する |
通信・データの暗号化 | SSL/TLSによる通信の暗号化、ストレージの暗号化を導入する |
認証の強化 | 二段階認証やパスワードロックを設定し、不正ログインを防止する |
ログ管理・監視 | 誰がいつ情報にアクセスしたかを記録し、不審な操作を検知する |
定期バックアップ | 障害に備え、定期的にデータをバックアップする |
クラウドサービスを利用する際は、プライバシーマークやISO/IEC 27001を取得しているベンダーを選ぶことが安心につながります。
3-3 不要になった名刺の正しい廃棄手順
紙の名刺はシュレッダー処理や専門業者による溶解処理など、情報が復元できない方法で廃棄します。デジタルデータは不要になった時点で確実に削除し、廃棄の記録を残しておくことでトレーサビリティを確保できます。
4. 名刺の個人情報管理における守秘義務違反のリスク
名刺に記載された情報は単なる連絡先の集まりではなく、企業にとって重要な営業資産です。名刺は機密保持契約の対象となる場合があり、取り扱いには守秘義務違反とならないよう注意が必要です。
4-1 退職時に名刺情報を持ち出した場合のリスク
守秘義務とは職務上知り得た秘密を守る義務のことで、在職中だけでなく退職後も適用されるのが一般的です。名刺情報を無断で持ち出すと個人情報保護法違反に該当する可能性があり、退職後に持ち出した名刺をもとに元顧客へ営業活動を行うと、競業避止義務違反や不正競争防止法違反に問われるケースもあります。
実際に、前職の顧客名刺を使って営業活動を行った社員に対し、会社からの損害賠償請求が認められた判例もあります。
違反の類型 | 根拠法・契約 | 主なリスク |
名刺情報の無断持ち出し | 個人情報保護法 | 個人情報の不正取得・法的責任 |
退職後の名刺情報の転用 | 守秘義務契約・不正競争防止法 | 損害賠償請求・刑事告訴 |
競合他社での顧客情報活用 | 競業避止義務条項 | 契約違反・民事訴訟 |
退職後の名刺管理サービスへのアクセス | 就業規則・社内規定 | 情報漏えい・コンプライアンス違反 |
見落とされがちなリスクとして、退職時の名刺管理サービスなどのアカウント管理が不適切だと、退職後もアクセスし続ける可能性があることです。物理的な持ち出しがなくても情報漏えいと同等のリスクが生じるため、業務上の名刺情報は会社契約のツールで一元管理を行い、退職時の名刺情報保護のためのフローを整備しておきましょう。
4-2 営業秘密として名刺情報を保護するための社内体制
名刺管理を個人任せにせず、組織として体制を整備することが不可欠です。退職時には名刺データの引き継ぎ・アカウント削除・パスワード変更・機密保持義務の再確認を組織的に実施できるフローを用意しておきましょう。また就業規則に「業務上の名刺情報は会社の資産」「個人契約サービスへの登録禁止」「違反時のペナルティ」を明文化し、入社時から定期的なコンプライアンス研修で周知することが、トラブル防止の第一歩になります。
5. まとめ
名刺に記載された氏名・連絡先などは個人情報に該当しますが、個人情報保護法の規制対象となるかどうかはデータベース化の有無が基準です。2022年の法改正により、規模や業種を問わずすべての事業者が対象となりました。紙・デジタルを問わず適切な管理・廃棄を徹底し、第三者提供には本人の同意が必要です。また退職時の名刺持ち出しは法的リスクを伴うため、組織として管理ルールを整備することが重要です。
