インターネットで商品やサービスを購入する場合に、クレジットカード決済が主に使われています。
このクレジットカード決済のデータを使用した新しいサービスが続々と生まれています。その中の1つに、CLO(Card Linked Offer )と言うものがあり、クレジットカードを使った新しいマーケティング手法として注目されています。
具体的には、クレジットカード会員の属性情報や購買情報などを使用して、特定の商品やサービスの購入可能性が高い会員を選び、ポイント付与などの特典情報を配信するというものです。
2008年頃から米国で展開されはじめ、国内でもクレディセゾンを皮切りに、三井住友カードやセディナ、ジェーシービーなどの国内カード会社が続々と取り組みを始めています。
利用者としては、紙や画面のクーポンなどを提示する必要はなく、登録したクレジットカードで決済するだけで特典を受けることができる。
カード会社としても、毎月、顧客とマッチした特典を提供することで、カード利用率を高めることができる。
利用する店舗も、集客力がアップする。
など、関わる事業者の利益になるということで、注目されているのです。
そんなCLOですが、法律上は、どのようなことが問題になるのでしょうか?
CLOは、個人の属性情報や購買歴情報を活用してサービスを提供するものです。
そうすると、個人情報と深く結びつくことになります。そこで個人情報保護法との関連が重要になってきます。
CLOについては、クレジットカード会社とその他の会社とのあいだで、個人の特性情報について共有することが想定されています。
このような場合には個人情報を自社以外の第三者に提供する事が考えられるため、その対応が必要です。
個人情報保護法では、個人情報を第三者に提供する場合、本人の同意が必要とされています。
この点においては、CLOに関わる事業者が、プライバシーポリシーなどで、第三者提供をする旨を記載し、個人の同意を取ることが必要になります。
また個人情報を第三者に提供する側も提供を受ける側も、当該個人情報についてどのような形で入手したのかなどを記録する記録義務が発生します。
そこで、このような記録をしていことが現実的なのかどうかを見極め、その方法を検討する必要があります。
改正個人情報保護法施行!個人情報を第三者提供する場合の事業者の義務とは
個人情報保護法では、事業者は利用目的をできる限り特定することが求められています。
この特定については、「弊社事業目的のため」や「弊社マーケティングのため」などの抽象的なものはNGで、具体的に何に使うのかを明示する必要があります。
CLOを導入する事業者は、利用目的に、、何に使うのかを、具体的に明示する必要があります。
なお、改正個人情報保護法では、利用目的を変更するための要件が、「相当の関連性を有する」から「関連性を有する」へと改正され、変更が許容しやすくなりました。
これを機に、事業者は、今一度、プライバシーポリシーの利用目的を確認しましょう。