外部から購入した医師や歯科医師のリストを活用して営業活動(テレアポやDM等)を行う際、法務やコンプライアンス担当者から適法性を問われるケースがあります。
結論として、適切な法的手続きを経て流通しているデータベースを選定し、自社側でも正しい実務処理を行えば、法令を遵守した上で営業活動へ活用することが可能です。
法律を調べる際、よく混同されるのが「守秘義務」と「個人情報保護」です。刑法などで定められる守秘義務は、医師が「患者の秘密」を守るためのルールです。一方で、企業が営業目的で扱うのは「医師自身のプロフィール情報」であり、これは個人情報保護法に基づく企業側の取り扱いルールに従う必要があります。
個人情報保護法において、病歴や診療データなど不当な差別を生むリスクのある情報は「要配慮個人情報」とされ、本人同意のない取得や第三者提供が原則禁止されています。
しかし、営業対象となる医師の「氏名・勤務先・標榜診療科」といった情報は公開された職業上の属性情報であり、要配慮個人情報には該当しません。適切な手続きのもとであれば、合法的に流通・活用することが可能です。
市場に流通しているデータベースが適法なものであるかを判断するには、プロバイダーが以下のいずれかの仕組みを採用しているかを確認することが重要です。
本人の同意を得る代わりに、個人情報保護委員会へ事前に届け出を行い、本人からの申し出があればデータの提供を停止する(オプトアウト)仕組みです。
ここで注意すべきは、2022年4月施行の改正法(令和2年改正個人情報保護法)により「オプトアウトで提供されたデータを、別の業者がさらにオプトアウトで第三者提供(転売)すること」が一律に禁止された点です。そのため、データを横流ししている中間業者からの購入は避け、自社でデータを構築しオプトアウト届出を行っている「一次プロバイダー」から直接調達することが重要になります。
製薬メーカーや医薬品卸などが中心となって構築しているデータベースに見られる仕組みです。あらかじめ特定のグループ間で共同利用を目的として管理されており、利用目的や管理責任者などが公表された上で運用されます。
適法なデータベースを購入した後、自社でアウトバウンド営業を行う際には、データを受領(購入)する企業側にも法的な義務が課せられます。
個人情報保護法第30条により、データを購入する企業は、提供元(プロバイダー)の名称・住所・代表者氏名やデータの取得経緯を確認し、記録を作成して原則3年間保存する義務があります。営業活動が終わったからといってすぐに記録を破棄すると法令違反となるため注意が必要です。
自社のホームページ等で公開しているプライバシーポリシーに、外部から取得した情報を営業利用する旨を明記します。自社はデータを「利用」する立場であるため、「第三者提供の停止(オプトアウト)」ではなく、法第35条に基づく「利用停止・消去」の窓口を設けることが適切な法解釈とされています。
【文面例】
「当社は、適法な外部データベース会社より医療従事者の皆様の個人データ(氏名、勤務先等)の提供を受け、当社の医療関連商品・サービスの情報提供のために利用いたします。当社からのご案内(DM・お電話等)の停止、または当社が保有する個人データの利用停止・消去をご希望される場合は、下記窓口までお申し付けください。」
医師から連絡先の取得経路を問われた際、提供元を開示することは法第33条に基づく「第三者提供記録の開示義務」にあたります。提供元の会社名や取得経緯を遅滞なく開示できる体制が求められます。
また、「今後の案内を停止してほしい」という要望(利用停止等請求)を受けた場合は、社内のCRM(顧客管理システム)等に「アプローチ禁止フラグ」を設定し、次回のリスト更新時に誤って再架電してしまうエラーを防ぐ運用が基本となります。
医師リストを活用したマーケティングを推進するためには、出所が不透明な名簿を避け、個人情報保護委員会への適切な届出を行い、本人確認や安全管理措置を講じている一次プロバイダーから調達することが基本となります。
データの出所が明確であり、法定の確認・記録義務にスムーズに対応できるデータベース企業を選定することが、自社のリーガルリスクを低減し、円滑な営業活動を行うためのポイントです。
