いよいよ個人情報保護法の完全施行が目前に迫り、戦々恐々としている企業の担当者が多いようだ。これまで社内で同法に抵触しそうな部分を徹底して見直してきたつもりでも、次々と新たな不備が発見されるからだ。

　最近、ある流通業A社の関係者にこう尋ねられた。「会員顧客向けにDM（ダイレクトメール）を定期的に発送しているが、商品配送時に住所氏名を教えてもらった非会員のデータも発送名簿に加えている。これも個人情報の不正利用になるのか」。

　法律の専門家ではないので、一般論で答えるしかなかったが、商品配送という「利用目的」で取得した個人情報をDM発送に利用するのは、同法に違反している可能性が高いと述べた。

　現実の話、非会員がDMを受け取ったとしても、「商品配送を頼んだ時に書き込んだ個人情報を使っているのだろう」と思うぐらいで、特に不快に思う人はほとんどいないはずだ。

　だが、1人でも不快に思う人がいる可能性があり、かつ同法の規定に照らし合わせて自らの行為を正当化できない以上、企業としては是正せざるを得ない。

　A社も結局、もし1件でも苦情が発生し、個人情報を不正利用していることが世間に広まったり、行政から指導が入るような最悪のリスクを考え、DM発送を会員限定に切り替える。

　この件から推測できるのは、企業が使う顧客データベース（DB）には、様々な利用目的で取得した個人情報が混在している可能性が高いということだ。

　A社のDM発送名簿の場合、会員・非会員という属性で単純に本来の利用目的を切り分けることができたが、そう単純に切り分けられないことも多い。

　特に、あらゆるチャネル、あらゆる営業活動を通じて取得した個人情報を集約した統合顧客DBでは、個々のデータが利用目的（取得手段）と明確にヒモ付けられていないことがある。

　データを統合する際に行うクレンジング（データ形式の標準化）作業で、本来持っていた利用目的を想定できる情報が洗い落とされている可能性すらある。

　企業にとって、本来の利用目的がはっきりと見えない個人情報を集約した統合顧客DBを営業活動に利用することは今後、リスクの高い行為となりそうだ。（坂口正憲（ジャーナリスト））