エステサロンは個人情報保護法の対象？守るべきルールと適切な対応を解説

エステサロンでは、顧客の氏名や連絡先だけでなく、体調や肌状態、施術履歴、ビフォーアフター写真など、極めてセンシティブな情報を扱います。そのため、「個人サロンでも個人情報保護法の対象になるのか」「LINEでのやり取りは問題ないのか」と不安を感じている方も多いのではないでしょうか。

現在は小規模事業者であっても原則として個人情報保護法の対象となります。本記事では、エステサロンが守るべき個人情報保護法の基本ルールから、漏洩時の対応義務、実務上の注意点までを詳しく解説します。

エステサロンは個人情報保護法の対象になる？

エステサロンは、原則として個人情報保護法の対象となります。自宅サロンや個人経営の小規模店舗であっても、顧客の氏名や連絡先、施術履歴などを取り扱っている限り、法令の適用を受けます。

「うちは小さなサロンだから関係ない」と考えている経営者も少なくありません。しかし現在は、保有している個人情報の件数にかかわらず、ほぼすべての事業者が規制対象となっています。エステサロンは顧客の身体情報や写真データなど、特に慎重な管理が求められる情報を扱う業種です。そのため、個人情報保護法への理解と実務対応は不可欠といえるでしょう。

個人情報保護法とは

個人情報保護法とは、個人情報の適正な取り扱いを定めた法律です。氏名や住所、電話番号といった基本情報だけでなく、特定の個人を識別できる情報はすべて対象になります。

また、健康状態や身体的特徴などは「要配慮個人情報」に該当する可能性があり、より厳格な管理が求められます。エステサロンでは、肌質や体質、既往歴などをヒアリングする場面が多いため、法律上の管理義務を正しく理解しておきましょう。

エステサロンは「個人情報取扱事業者」に該当する

顧客情報をデータベース化して管理している場合、エステサロンは「個人情報取扱事業者」に該当します。紙カルテであっても、体系的に整理されている場合は対象になります。個人情報取扱事業者には、安全管理措置の実施、利用目的の明示、漏洩時の報告義務などを遵守しなければいけません。特に近年は、デジタル管理やクラウドサービスを活用しているサロンも増えており、情報管理体制の整備がより重要になっています。

小規模サロンも対象になる

かつては保有件数が5,000件以下の事業者は対象外でしたが、現在はこの基準が撤廃されています。そのため、顧客数が数十人規模のサロンでも法律の対象です。個人サロンだからといって例外扱いされることはありません。顧客との信頼関係を守るためにも、法令を必ず遵守しましょう。

2022年の改正における変更点

2022年の改正では、個人情報漏洩時の報告義務が強化されました。一定の重大な漏洩が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されています。

また、罰則も強化され、違反時のリスクが大きくなっています。エステサロンはビフォーアフター写真や健康情報など、漏洩時の影響が大きい情報を扱うため、改正内容を踏まえた体制を整備することが重要です。

エステサロンが扱う個人情報の範囲

エステサロンでは、一般的な個人情報だけでなく、顧客の身体や健康状態に関わる情報も取り扱います。取り扱う情報の範囲を正しく理解していないと、適切な管理体制を構築することはできません。ここでは、エステサロンで実際に取り扱われる代表的な個人情報の種類を整理します。

顧客の基本情報

氏名、住所、電話番号、メールアドレス、生年月日などは代表的な個人情報です。予約管理や連絡、DM送付などの目的で取得するケースが多くあります。漏洩すれば不正利用や迷惑行為につながる可能性があります。紙の顧客名簿や予約台帳も個人情報データベースに該当するため、保管場所やアクセス管理を徹底しましょう。

カウンセリング情報・施術履歴

エステサロンでは、肌質や体質、アレルギーの有無、持病、既往歴などをヒアリングすることがあります。これらは健康状態に関する情報であり、管理には特に注意が必要です。施術履歴も個人情報に該当します。どの部位にどの施術を行ったかという情報は、顧客の身体状況を示すデータであり、外部に漏れた場合の影響は小さくありません。

ビフォーアフター写真・動画データ

施術前後の写真や動画は、顔や体の特徴から個人が特定できる場合が多く、明確に個人情報に該当します。

特にSNSやホームページに掲載する場合は、広告利用にあたるため、事前に明確な同意を取得する必要があります。「写真は撮るけれど外部には出さない」という説明をしていたにもかかわらず、後日掲載してしまうと目的外利用に該当するため注意しましょう。

画像データはスマートフォンやクラウドに保存されるケースも多いため、端末管理やアクセス制限も徹底しなければなりません。

LINE・メール履歴

LINE公式アカウントやメールでのやり取りも、個人情報に該当します。予約内容や施術相談の履歴には、健康状態や身体に関する情報が含まれる場合があります。

業務用と私用アカウントを分ける、端末にパスコードを設定する、退職スタッフのアカウント権限を削除するなどの対応を行いましょう。エステサロンでは、日常的なコミュニケーション手段の中に個人情報が含まれていることを常に意識することが重要です。

個人情報を取得する際に守るべきルール

個人情報保護法では、顧客から個人情報を取得する段階から一定のルールを守ることが義務付けられています。取得時の対応を誤ると、後々のトラブルや法令違反につながる可能性があります。ここでは、エステサロンが実務で押さえておくべき基本ルールを解説します。

利用目的の特定と明示義務

個人情報を取得する際には、「何のために利用するのか」という利用目的を具体的に特定し、本人に明示する必要があります。

例えば、「施術サービスの提供およびアフターサポートのため」「予約連絡およびキャンペーン情報のご案内のため」など、できる限り具体的に記載することが重要です。

利用目的が曖昧なまま情報を取得すると、後から広告利用やSNS掲載を行った際にトラブルになる可能性があります。事前に利用範囲を明確にしておくことが、法令遵守とトラブル防止の両面で重要です。

同意を取得する具体的な方法

個人情報の取得にあたっては、適切な方法で同意を取得することが求められます。特に、写真データや健康情報などを取得する場合は、書面や電子フォームでの同意取得が望ましいです。

具体的には、カウンセリングシートに同意欄を設ける、タブレット端末で電子署名を取得する、予約フォームにチェックボックスを設置するなどの方法があります。口頭のみの同意では、後日トラブルが発生した際に証明が難しくなるため、記録として残る形で取得することが重要です。

目的外利用が禁止されるケース

取得時に明示した利用目的の範囲を超えて個人情報を利用することは原則として禁止されています。例えば、「施術管理のため」に取得した写真を、本人の追加同意なく広告やSNSに掲載する行為は、目的外利用に該当する可能性があります。また、第三者へ無断で情報を提供することも違法となるケースがあります。利用目的を変更する場合は、あらためて本人の同意を得なければなりません。

SNS掲載時に同意書を作成するポイント

ビフォーアフター写真をSNSやホームページに掲載する場合は、掲載範囲や期間を明確にした同意書を作成することが重要です。同意書には、掲載媒体（Instagram・ホームページなど）、使用目的、掲載期間、削除依頼への対応方法などを明記します。さらに、「顔出しの有無」「個人が特定される可能性」についても明示しておくとトラブル防止につながります。

写真掲載は集客効果が高い一方で、個人情報保護の観点ではリスクも伴います。書面での明確な同意取得を徹底することが、エステサロン経営における重要なポイントです。

個人情報漏洩が起きた場合の対応義務

エステサロンにおいて個人情報漏洩が発生した場合は、迅速かつ適切な対応が法律上求められます。特に2022年の法改正以降は、一定の重大な漏洩について報告義務と本人通知義務が明確化されました。

スマートフォンの紛失、誤送信、クラウドサービスの不正アクセスなど、サロン運営では漏洩リスクが常に存在します。万が一に備え、事前に対応フローを整備しておくことが重要です。

報告義務が生じるケース

すべての漏洩が報告対象になるわけではありませんが、以下のようなケースでは報告義務が生じます。

• 要配慮個人情報が漏洩した場合
• 財産的被害が発生するおそれがある場合
• 不正アクセスなど悪意ある第三者が関与している場合
• 1,000人を超える漏洩が発生した場合

エステサロンでは、健康状態や施術履歴などの要配慮情報を扱うため、報告対象となる可能性が高い業種といえます。

個人情報保護委員会への報告手順

重大な漏洩が発生した場合は、まず「速報」として速やかに報告を行い、その後、詳細が判明次第「確報」を提出します。報告内容には、漏洩の概要、原因、対象件数、再発防止策などを記載します。報告はオンラインで行うことが一般的です。迅速な報告と再発防止策の提示は、行政指導リスクの軽減にもつながります。

本人に通知する方法と期限

報告対象となる漏洩の場合、本人への通知も義務付けられています。通知では、漏洩の事実、影響の可能性、問い合わせ窓口、再発防止策などを明確に伝える必要があります。方法は書面やメールなどが一般的ですが、確実に伝達できる方法を選ぶことが重要です。通知を怠ると、行政指導や信頼失墜につながる可能性もあるため注意しましょう。

エステサロンの個人情報保護に関するよくある質問

エステサロン経営者からは、個人情報保護法の適用範囲や実務対応について多くの疑問が寄せられます。ここでは、特に相談の多いポイントを解説します。

Q.個人サロンでも個人情報保護の義務はある？

はい、あります。現在の個人情報保護法では、顧客情報を取り扱う事業者は原則としてすべて対象です。保有件数が少ない、スタッフが1人しかいないといった理由で適用外になることはありません。

Q.LINEは使っても違法にならない？

LINEの利用自体が違法になるわけではありません。しかし、業務で利用する場合は、利用目的を明示した上で取得し、安全管理措置を講じる必要があります。具体的には、端末のパスワード管理、アカウントの適切な権限設定、退職者のアクセス削除などが挙げられます。

Q.写真掲載は口頭同意でも大丈夫？

法律上、必ずしも書面でなければならないと明記されているわけではありません。しかし、実務上は書面または電子記録での同意取得が強く推奨されます。口頭同意のみでは、後日「同意していない」と主張された場合に証明が困難になります。掲載媒体や期間、削除依頼への対応方法まで明示した同意書を作成しておくことが、安全な運用につながります。

Q.顧客から削除請求されたら必ず応じる必要がある？

原則として、本人からの削除請求には対応する必要があります。しかし、法令に基づく保存義務がある場合や、正当な事業運営上必要な範囲内であれば、例外が認められることもあります。

正しく個人情報を管理して運営しよう

エステサロンは、氏名や連絡先だけでなく、健康状態や施術履歴、ビフォーアフター写真など、機微性の高い個人情報を日常的に扱う業種です。そのため、小規模サロンであっても個人情報保護法の対象となり、適切な管理体制を整える義務があります。

利用目的の明示、書面での同意取得、安全管理措置の実施、漏洩時の報告対応などは、すべてサロン運営における重要な責任です。特に2022年の法改正以降は、漏洩時の対応義務が強化されており、従来以上に慎重な管理が求められています。

改めて自社の個人情報管理体制を見直し、書面同意や管理ルールの整備、スタッフ教育まで含めた対策を進めましょう。適切な対応を継続することが、安定したサロン経営につながります。