GTM-MML4VXJ
Skip to main content

English

Japan

  1. ホーム >
  2. コラム >
  3. オピニオン >
  4. 2017年 >
  5. シリーズ【個人情報保護はこう変わる】(6)金融分野のガイドライン(案)が公示

シリーズ【個人情報保護はこう変わる】(6)金融分野のガイドライン(案)が公示

-実質的に変更はない。ただし、一般事業者向けガイドラインへの特則化に注意-

2017年2月9日(木曜日)

1.金融分野のガイドラインの変更点(結論)

金融分野における個人情報保護のガイドライン案(以下、新ガイドライン)および実務指針案(以下、新実務指)が公開され、同時にパブリックコメントを募集しています。今後、意見集約の後、正式版が公開されますが、通常、それほどの変更はないため、ほぼ案どおりの内容になるものと推定します。それを前提として、ご説明します。

結論として、新ガイドラインや新実務指針は、現行ガイドラインや現行実務指針と比べて、次のようになります。

【新ガイドライン】

  • (1)規定の内容として実質的な変更はない。(条項の項番合わせなどはある)
  • (2)ガイドラインと安全管理措置を詳細に定めた実務指針とで構成されることに変更はない。
  • (3)新ガイドラインは、ページ数で約3分の2にスリム化された(19頁→13頁)。
  • (4)今後は、新ガイドラインに加えて個人情報保護ガイドライン(通則編等4編:総計185ぺージ)も併せて参照しなければならない。

【新実務指針】

  • (1)規定した内容・ページ数も含めて、変更は全くない。

【発行者】

  • (1)従前は金融庁のみであったが、今後は個人情報保護委員会と金融庁との共同告示となる。

以降、要点について、私なりの解説をします。

2.一般事業者向けガイドラインの特則に移行

現状では、銀行・証券・保険等の金融機関は、ガイドラインと実務指針の2つを参照していれば十分でした。現状のガイドラインは、金融機関固有の事項に加えて、一般企業で遵守すべき事項との両方を含んで規定していたためです。

新ガイドラインにおいて、スリム化した内容とは、まさに一般企業でも遵守すべき事項です。なお、削ぎ落とした規定は、改正法の全面施行日(2017年5月30日)に向け、すでに確定している個人情報保護ガイドライン(通則編等4編)に記載されています。

このように、新ガイドラインは、個人情報保護ガイドライン(通則編等4編)の『特則』となり、金融分野に固有の規定のみが収められたガイドラインに変わります。したがって、新ガイドラインに記載のない事項は、個人情報保護ガイドライン(通則編等4編)が有効となるため、必ず参照しなければなりません。

まとめると、金融機関の方々は、次のガイドラインをセットで利用することが必要になります。

(1) 新ガイドライン
(2) 新実務指針
(3) 個人情報保護ガイドライン(通則編等4編)

参考として、これらのガイドライン同士の関係を図示します。

【図表1】新ガイドライン等と個人情報保護ガイドライン(通則編等4編)の関係
【図表1】新ガイドライン等と個人情報保護ガイドライン(通則編等4編)の関係

特則化するメリットとデメリットを挙げます。

【メリット】

  • 個人情報保護ガイドライン(通則編等4編)と重複した記述がなくなることで、矛盾が生じにくく、メンテナンスもしやすい。(公益上のメリット)

【デメリット】

  • 今後は、2種の新ガイドライン等を参照するだけでは足りず、個人情報保護ガイドライン(通則編等4編)をも参照しなければならない。(金融機関側の負荷増大)

3.個人情報保護委員会と金融庁との共同告示

EU/APEC等が求めるグローバルな基準では、1国の個人情報保護体制については、一元化した独立機関を求めています。それを受け、日本は新たな行政組織として個人情報保護委員会を設置しました。公正取引委員会と同様な独立行政委員会であり、事業者に対する報告命令、資料提出命令、立入り検査等、個人情報に関する一切の権限を持ちます。

現状、日本の個人情報保護の仕組みは主務大臣制(いわゆる省庁ごとの縦割り)であり、金融分野においては金融庁が所管しています。

今後は委員会へ移管されますが、委員会がすべての金融機関を監督することは現実的ではないと思われるため、その権限の行使を金融庁等へ委任することができます。そのような事情から共同告示となっているものと推測します。

4.個人情報保護ガイドライン(通則編等4編)で留意が必要な事項

今後は、金融機関も一般企業向けのルールである個人情報保護ガイドライン(通則編等4編)を参照しなければなりません。その中でも留意が必要な事項を3点挙げます。

4.1.個人情報を5千件以下しか保有していない金融機関も遵守することを義務化

現行法では、個人情報を5千件以下しか保有していない金融機関については、安全管理措置等は努力義務でした。しかしながら今後は、保有数いかんにかかわらず、すべての金融機関にとって義務となります。

もっとも、銀行法、保険業法など業法は、規模に関係なく、厳密な個人情報管理を従前より求めていますので、大きな影響はないと考えます。

4.2.個人信用情報機関への第三者提供や受領の場合の確認・記録義務

これは、ガイドライン案(第三者提供時の確認・記録義務)のパブリックコメント募集において、金融機関から多くの意見が出たテーマです。これは外部の信用情報機関との情報のやりとりに対して確認・記録義務が課されると、業務に対するインパクトが非常に大きいためです。

普通に考えると、確認・記録義務が生じると思われます。理由は、以下のとおりです。

(1)法令によって定められた第三者提供ではない。

(返済能力情報の取り扱いを定めた銀行法施行規則第13条の6の6は、それら機関から受領した情報の安全管理措置を定めたものであって、それら機関との個人信用情報の交換を法令で直接的に強制する意味ではない。)

(2)それら機関との情報交換が、確認・記録義務の対象ではないとする規定が、ガイドライン(第三者提供時の確認・記録義務)に見当たらない。

しかしながら、以下のいずれかの整理をすることで、確認・記録義務は不要と考えます。

(a)個人信用情報機関とのやりとりを、第三者提供ではなく、「共同利用(注1)」で整理する。

共同利用は、そもそも第三者提供には当たらないことから確認・記録義務は生じません。実際に、メガバンク3行の個人情報保護方針によると共同利用で整理しています。

(b)個人データではなく、受領側は1件の「個人情報」として取り扱う。

多少荒っぽい解釈です。そもそも第三提供時の義務が課せられるのは、個人情報の集合体である個人データベース等を構成する個人データです。提供元がそのデータベースから1件抜いて提供した場合、受領側にとっては個人データではなく、あくまでも1件の個人情報ですので、確認・記録義務は課せられません。この考え方は、ガイドライン(第三者提供時の確認・記録義務)にも記載されています。

一方、提供側にとっては、現在の経産省・厚労省ガイドラインを参考にすると、企業内で個人データベースから抜いた1件のデータは、個人情報でなく、個人データであると例示されています。このことから推測すると、記録義務は免れないと考えます。

(c)「本人に代わって」銀行側が第三者提供し、個人信用情報機関が受領する。

この「本人に代わって」は、定義が当該ガイドイランにないため、解釈が非常に難しいのです。

要約すると、ある人が銀行に融資を申し込んだとします。銀行は個人信用情報機関と個人情報のやりとりをして、融資の可否を判断します。本人(望んではいないし、できれば止めて欲しい)は、このことを十分に認識しているうえで、金融機関が信用情報を含む個人情報の交換を行うことを「本人に代わって提供する」としているようです。この場合、提供側・受領側ともに、確認・記録義務は生じません。

以上、結論として、個人信用情報機関との与信情報のやりとりには、確認・記録義務は生じません。ガイドライン(第三者提供時の確認・記録義務)にある、「形式的には第三者提供の外を有する場合であっても、確認・記録義務を課する必要性に乏しい第三者提供については、同義務の対象たる第三者提供には該当しない。」とする主旨にも合致しています。

4.3.外国にある第三者への提供(該当する場合、対策の検討が必要)

国内の金融機関では、それほどの例はないでしょう。日本に居住している人の個人情報を外国に提供する場合は注意が必要です。

国内と違って、外国にある企業に対して、個人情報を提供することには、規制がかかるように改正されます。一定の条件を満たさない場合は、提供自体が許されません。提供先については、自社のグループ内企業、外部の委託先いかんを問いません。すなわち、個人情報が外国へ物理的に移転する場合すべてが該当します。
外国に提供することが可能となるケースを以下に図示します。

【図表2】個人情報を外国に提供することが許される条件
【図表2】個人情報を外国に提供することが許される条件

このように、提供先が新ガイドラインを遵守している場合、もしくは同意がある場合を除いては、外国への提供は、今後できなくなります。

4.3.1.個人情報の海外への移転は、形態にかかわらず、すべてが該当

さらに、この「第三者への提供」という用語についてです。少々紛らわしいのですが、純粋な第三者提供のみならず、次のケースも含まれます。

(1)外国にある委託先に提供する場合

例えば、委託先がデータセンターを海外においている場合は、外国への提供に該当します。

クラウドサービスを利用している場合、受託している業者の中にはデータの設置場所を公表していない事業者も少なくありません。データセンターの設置場所の開示を求め、海外であった場合は、対策の検討とその実施が必要です。

(2)合併等の事業承継の場合

外国にある企業が吸収合併存続会社として、すなわち外国の企業に吸収される場合に、個人情報が外国へ移転するケースが該当します。通常、吸収する側に、吸収される側のすべての債権・債務が法的に移転するわけですが、個人情報については事前に全員から同意をとっていない場合は、物理的に移転させられないこととなります。

一方、国内の企業同士の吸収合併であれば、吸収される側の会社が保有する個人情報については、本人の同意は不要であり、合併効力発生日に移転(提供)します。ですので、外国に移転することについて事前の同意を、お客さまから取得しているケースは考えられないため、このような事態が起こると大きな影響を企業は被ります。

(3)共同利用の場合

前述した共同利用です。企業グループ内企業の人事・総務サービスを海外で一括処理するようなケースです。

この規制は、日本の金融機関や企業よりも、外資系の金融機関や企業にインパクトが大きいのではないでしょうか。例えば、米国に本社を持つ企業が、日本法人の顧客の個人情報を東南アジア等のセンターに集中させるケースが該当します。

4.3.2.海外に不法に移転した場合、本人・国が行使できる権利・権限

この規制に違反した場合、これに対して、即時に刑が課されるわけではありませんが、本人(個々のお客さま)や個人情報保護委員会が、次のような権利・権限を行使できます。

【図表3】外国への提供違反の場合、本人や国が行使できる権利や権限
主体 事業者に対して行使できる権利・権限など 補足(保護法根拠条文等)
本人 【利用停止・削除】
事業者に対して利用停止や削除を請求することができる
第30条
なお、単に要求するだけでなく、裁判を提起できる
個人情報保護委員会 【指導と助言】
アドバイスを行うことができる
第41条
【報告及び立入検査】
報告の求め、資料の提出、立入検査を行うことができる。
第40条
正当な理由なく応じない、虚偽の場合は、罰金刑
【勧告及び命令】
勧告、命令、緊急命令を発するこができる
第42条
正当な理由なく、命令、緊急命令に違反した場合は、罰金・懲役刑

なお、法令違反があった場合、通常は銀行法等の業法と併せて行政措置が講じられるのが通常であり、上記内容はあくまでも個人情報保護法のみの事項である。

5.終わりに

金融機関において、本人が特定できない加工を施し、外部へ提供する匿名加工情報を取り扱う場合は、本シリーズ「【個人情報保護はこう変わる】(5)匿名加工情報によるビッグデータの活用」を参考にしてください。

以上のとおり、金融分野の新ガイドラインや新実務指針は、現行と比べて実質的な変更はありませんが、基本的なルールである個人情報保護ガイドライン(通則編等4編)が変更になっているため、これらを考慮したうえで全面施行日に向けて、準備を進めてください。

注釈

(注1) : 共同利用 : 個人情報保護法第23条第3項第三号で規定された個人情報の提供と利用形態であり、第三者提供には該当しない。典型的な例は、グループ企業において、各企業の社員の人事・給与業務を一体的に引き受ける人事・総務サービス会社において共同利用するケースである。この場合、当該サービス会社への本人同意は不要であるが、グループ企業全体で管理・監督責任を持つ企業(通常は親会社)を定め、その旨をホームページ等で公開する必要がある。
なお、保護法では本人の同意までは求めていないが、個人信用情報機関と金融機関とが共同利用している場合において、金融機関が本人の同意をとるのは、金融分野ガイドラインで規定していることが理由である。

シリーズ【個人情報保護はこう変わる】

関連サービス

【個人情報マネジメント支援サービス】
PUSH型の情報提供やご相談などを通じて、マイナンバー制度や改正個人情報保護法への対応を側面からご支援します。月額払いも可能な、3種の基本サービスタイプをご用意しました。


上 茂之

上 茂之(うえ しげゆき)
株式会社富士通総研 金融・地域事業部 エキスパートコンサルタント 兼 富士通株式会社マーケティング戦略室番号制度推進室員
2007年富士通総研入社。これまで、個人情報保護、情報セキュリティ、内部統制、事業継続計画、金融機関におけるシステムリスク管理態勢構築など、リスクマネジメント分野をテーマとしたコンサルティング業務に従事。2014年からは国のマイナンバー調査業務に参画し、民間企業におけるマインバー対応、個人情報保護対応やサイバーセキュリティに関するコンサルティング業務に従事中である。