チケットサイトの個人情報の取り扱いについて


fed8dd05e0ff7de81151bbdf065d3104_m

いつもご愛読ありがとうございます。
ISO総合研究所の安井です。

ふと気が付くと、芸術の秋は過ぎ去ってしまい、紅葉も枯れ落ち、すっかり寒くなりましたね。

私の中で芸術といえば、ズバリ音楽です。
雰囲気も味わえてお酒も飲めるライブが大好きで、多い時で週に2,3回ライブに行きます。

そんなライブへ行くのにチケットサイトを利用される方は少なくないのではないでしょうか。

チケットサイトといえば、多くの場合でまず会員登録が必要になります。

ある日、ユーザーの会員登録が必要なサービスを提供されているお客様から「会員登録をしてもらうサービスをやるうえでPマーク上どんなことをしないといけませんか?」という相談をいただきました。

今回はその相談を元に、Pマーク(プライバシーマーク)にまつわる“会員登録をしてもらう際に必要な措置”をチケットサイトになぞらえて解説してみたいと思います。

WEBでの会員登録に必要なPマークでの要求事項とは?

まずはPマークでWEBでの会員登録に関連するJIS Q 15001:2017(Pマークの規格)の要求事項を見てみましょう。


A.3.4.2.5「A.3.4.2.4 のうち本人から直接書面によって取得する場合の措置」
組織は,A.3.4.2.4 の措置を講じた場合において,本人から,書面(電子的方式,磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下,同じ。)に記載された個人情報を直接取得する場合には,少なくとも,次に示す事項又はそれと同等以上の内容の事項を,あらかじめ,書面によって本人に明示し,書面によって本人の同意を得なければならない。

少しわかりづらい項番名ですが、わかりやすくいうと“本人から直接個人情報をもらう場合”に必要な措置が要求されています。
関連する要求事項はいくつかありますが、今回はこの管理策のA.3.4.2.5をピックアップしたいと思います。

要求事項では、本人から直接個人情報をもらう場合、『“次に示す事項”またはそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、書面によって本人の同意を得なければならない』とあります。

チケットサイトの例になぞらえると、チケットの購入はおおよそ以下のような流れになります。

①チケットの購入がしたい!
②チケットサイトに新規会員登録するために個人情報を入力
③利用規約を確認して同意ボタンをチェック
④メールアドレスなどで本人確認
⑤登録確認メールに記載されたリンクに飛ぶと登録完了
⑥購入したいチケットを選ぶ
⑦支払方法、受取方法を選択
⑧チケットを受け取る、発券する

A.3.4.2.5では個人情報をもらう②、③の本人から個人情報を取得する局面で次のようなa)~h)の事項を書面で示し、同意を得るよう求めています。

a) 組織の名称又は氏名
文字通り事業者名等(株式会社XX等)になります。

b) 個人情報保護管理者(若しくはその代理人)の氏名又は職名,所属及び連絡先
a)で明示した事業者の中での個人情報の取扱いの責任者を明示します。
氏名又は職名、所属及び連絡先とありますが、
責任者を明確にし、何かあった際の本人からの問合せ先を明示します。
氏名又は職名とあるように氏名を載せたくないという場合は職名でも氏名と代用することすることができます。

c) 利用目的
取得する個人情報の利用目的を明示します。
チケットサイト
・チケットだけでなくCD、DVDなどの商品やサービスを提供する為
・メルマガ等の広告の送信、送付の為
・アンケートやキャンペーンに使う為
・営業活動の分析に使う為
・情報システムの運用管理のために使う為

d) 個人情報を第三者に提供することが予定される場合の事項
- 第三者に提供する目的
- 提供する個人情報の項目
- 提供の手段又は方法
- 当該情報の提供を受ける者又は提供を受ける者の組織の種類,及び属性
- 個人情報の取扱いに関する契約がある場合はその旨
個人情報を第三者提供する場合は上記事項を明示する必要があります。
一例として、チケットサイトでは以下のような表記が想定されます。
-チケットの本人確認や広告の案内の為
-チケット購入者情報
-システムを介して連携して提供
-イベントの企画会社
-機密保持契約の締結有

e) 個人情報の取扱いの委託を行うことが予定される場合には,その旨
第三者提供の場合とは異なり、委託する場合は“委託する旨”を明示すればよいとされています。
チケットサイトの場合、WEBサーバー、チケットの配送事業者、クレジット決済代行、システムのレンタルサーバー、DM発送など大規模なチケットサイトであればあるほどたくさんの委託先が想定されます。

f) A.3.4.4.4~A.3.4.4.7 に該当する場合には,その請求等に応じる旨及び問合せ窓口
本人から個人情報の開示請求等に応じることとその連絡先について明示することがまとめられています。
しばしばお問合せ窓口といわれるものです。

g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
個人情報の提供は任意であるうえで、チケットサイト等では、適切に個人情報を提供しなかった場合、チケットの購入やその他サービスを受けることができない可能性があることなどを本人に事前に明示する必要があります。

h) 本人が容易に知覚できない方法によって個人情報を取得する場合には,その旨
上記について、事例としては、スマートフォンのアプリケーション経由で自動的に取得する位置情報、端末情報などがこれに該当します。
これらの情報を取得している場合は、取得している旨を明示する必要があります。

上記の事項に関しては、チケットサイトや会員登録を必要とするサービスでは、利用規約や会員規約、個人情報の取扱いについてのような文面の中に盛り込まれ、Pマーク以外の諸法令で要求される事項などとまとめられ、チェックボックスを設ける形で同意を取り、送信する、という形が多く見られます。

またA.3.4.2.5だけでなく、A.3.4.3.2安全管理措置という項番では、暗号化措置として入力フォームのあるページのSSL化も行うべきと言われることが通例です。

まとめ

いかがでしたでしょうか。

チケットサイトだけでなく、ECや予約サイト、その他のWEBサービスなど自社のサービスで個人情報を取得して会員登録を行っているサービスなどを提供している企業であれば、お客様からたくさんの個人情報をお預かりすると思います。

お客様から大切な個人情報を預かるうえで自社の対策は大丈夫だろうか?と心配になったときは、ISO総研までお気軽にお問い合わせください。
まずは無料相談だけでも承っておりますので、下記よりお気軽にお問い合せください。

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!

最後までお読みいただき、ありがとうございました。


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス