金融審議会金融分科会特別部会（第５回）議事録

平成１３年６月２１日
金融庁総務企画局

○ 倉澤部会長

出席ご予定の方でまだお見えになっていない委員の方もおられますけれども、定刻を回りましたので、ただいまから、金融審議会金融分科会特別部会の第５回目の会議を開催いたします。

本日は、皆様ご多忙のところご参集いただきまして、本当にありがとうございます。

議事に入ります前に、本日の部会から、大須敏生金融情報システムセンター理事長に金融審議会専門委員として審議にご参加いただくことになりましたので、ご紹介をさせていただきます。

○ 大須委員

大須でございます。

○ 倉澤部会長

どうぞよろしくお願いいたします。

それでは、早速、お手元の議事次第に従いまして、議事を進めさせていただきます。

本日は、前回ご了承いただいた主要検討分野のうち、金融取引に係る個人情報の同一企業内での多目的利用、及び、同一グループ内での複数企業による共同利用に関するルールを今後検討していくに当たりまして、金融機関における個人情報の取扱いの実態につきまして委員の皆様のご理解を一層深めていただく観点から、シティバンクの方においでいただきまして、個人情報の取扱いについて具体的な事例をご紹介いただくこととしております。

それでは、シティバンク個人金融本部の金澤バイスプレジデント、どうぞお願いいたします。本日はどうもありがとうございます。

○ シティバンク

シティバンクの金澤でございます。よろしくお願いいたします。

ちょっと風邪を引いておりますので、声が小さいとかわかりづらいとかということがございましたら、その都度教えてください。

私どもの方で２年ほど前に実施いたしました個人情報の取扱いに関する社内規定等につきまして、その導入の背景、私どもの取扱い手順等の特徴、どのように導入・実施していったのか、最後に、今後の私どもの考える問題点ということにつきまして、説明をさせていただきたいと思います。１つの事例として捉えていただいて、皆様のご参考になればと思います。

お手元の配布の資料なんですが、申しわけございませんが、この場限りのものとさせていただきたいと思います。何とぞご了承のほどお願い申し上げます。

そうしましたら、お手元の資料に沿いまして説明をさせていただきます。なお、この資料の14ページ以降はまだ英語のままになっているんですが、あくまで皆様のご参考として、米国におけるいわゆるプライバシーに関する法令諸規則とＥＵのデータ・プロテクション・ディレクティブの内容、その他、香港、カナダ、オーストラリア等における現状についてちょっと記載させていただいております。ご参考ということでお願いいたします。

では、２ページ目からまいります。もともと個人情報の保護に関しましては、例えばインターネットの発達であるとか、いわゆるサイバースペース、クロスボーダーの取引もだんだん増えてくると、そういったところでいわゆるプライバシーの保護というのがやはり大きな問題になっておりました。99年に施行されましたＥＵのデータ・プロテクション・ディレクティブ、こういう世論の高まり等がありまして、私どもの方でもプライバシーの保護に関するルールというものを考えるようになったわけでございます。

98年にシティコープとトラベラーズの合併というものがありました。これはアメリカにおきましていわゆる業態を超えたフィナンシャルグループの誕生という初めてのケースだったわけなんですが、そこで、この１つのグループの中で、例えば銀行、証券、保険、その他いろいろな業種がサービスを行うということになりまして、いわゆる顧客情報のより厳格な管理というものが最重要課題となっておりました。そして、この合併の承認を行うのがいわゆるフェデラル・リザーブ・ボードなんですが、こちらの方に対しまして、顧客情報保護のための方策をつくりましてそれを実行しますと、そして、もちろんのことなんですが、合併後におきましても顧客情報の厳格な管理を継続して実行しますということを98年に表明しております。

そこで、具体的にどういう手続きをとりましょうかということを社内で検討し始めたわけですが、その手続きを考えるに当たっていろいろなポイントに留意いたしました。

まず１番目、これが一番大きいかと思うんですが、個人顧客の情報ををどのように保護するかという規定をつくります。そして、それは倫理規定等、もともとある規定とのインターフェースも必要になってくるでしょう。ただ、この保護のためのルールをつくるだけでは片手落ちだと。つまり、いわゆるインフォメーション・セキュリティーと呼ばれているようなところ、簡単に言えば、個人個人のパスワード管理から外部からのハッキングの対策であるといったようなインフォメーション・セキュリティー、この２つが十分でなければいい保護の対策というものができないと、この２つが大きな柱であろうと。そして、私どもはアメリカの銀行ですので、アメリカの法律、それから、日本において業務を行っておりますので当然日本の法令諸規則、そして慣習というもの、こちらも遵守し、考慮に入れる必要があるということでした。

その他としまして、いわゆる取扱いの商品によりましていろいろな規制がございますので、それに対しても何らかの方策を考えなくてはいけないし、お客様の層によりましても、我々がどういうようなサービスをどういう形でどういう組織で推進していくのかといったその形態によってもやはり取扱いというのは違ってくるでしょう、こういうことを念頭に置きましてつくりましたのが私どもの「プライバシー・プロミス」と呼ばれるものです。

３ページ目に行きます。この私どものプライバシー・プロミスなんですが、その特徴を何点かここに書かせていただきました。

まず、情報の入手、その利用の目的をお客様に明示します。これは後で出てきますけれども、私どもの言葉としては「業務管理」という言葉を使っています。そして、「最適なサービスの提供のため」という言葉になっておりますけれども、契約の安全確実な履行のため、そして、マーケティングのためと、これが大きな目的ということになっています。

そして、このプライバシー・プロミスと呼ばれるものを、お客様が私どもに口座を開設される際に、そして、年１回すべてのお客様に開示・通知を行うということを行っています。ですから、このプライバシー・プロミスの内容につきましては、口座開設の申込書、取引規約等に印刷しておりますし、インターネットのウェブサイト、国内におきましてはｉモードがございますので、ｉモードの画面にも公表をしております。

お手元の資料の後ろから２枚目なんですが、こちらが口座開設の申込書になっております。これに最後のページの「お客様のプライバシーに関するシティグループの確約」というものをつけております。口座開設の際に必ずこの内容をご了解いただいてご署名していただくという形になっております。

そして、インターネットなんですけれども、これが９ページ目です。私どものホームページのコピーをつけました。ここで２つアクセスするところがありまして、左と右下ですが、ここをクリックしていただくと私どものプライバシー・プロミスが見れるという形になっております。

次の10ページですが、ｉモードの画面です。こちらの方にも、９番目に、「シティバンク・プライバシー規約」という項目をつけまして、ここをクリックしていただくとその内容につながります。こういう形で公表を行っています。

そして、いわゆるオプト・アウト――これは後でも何回か出てくるんですが、マーケティングのリストからお客様のお名前をお客様の希望に基づいて削除すること。この方法を含めまして、年１回、文書ですべてのお客様に通知をしましょうという手続きをとっております。これが開示・公表の仕方です。

そして、３つ目のポイントとしまして、お客様のいわゆる医療情報につきましては、その入手目的以外には絶対に使用しませんということを明示しています。といいますのは、お客様の医療情報というのはその情報の中でも最も機密性の高い情報だというふうに私どもは考えておりまして、その情報の入手目的以外には使用しませんということを謳っております。

そして、オプト・アウトなんですが、マーケティングリストからの削除です。国内におきましては、「電話をしないでください」あるいは「郵送しないでください」ということを、口座開設時にまず選ぶことが可能です。最初は例えばＤＭは構いませんよということになっていたんですけれども、途中でやはり送ってほしくないというお客様の希望があった場合には、いつでもそのマーケティングのリストから削除することができるという形になっております。お客様が例えば文書あるいは電話でその旨を私どもの方に連絡していただく、そのお客様の指示をシステムで管理するという形になっております。

それから、このプライバシー・プロミスを作成するに当たっての一番の留意事項であるその主な手続きと、もう１つ、セキュリティーの問題ですね、厳格なセキュリティー。情報管理の手続きだけではその責任を全うすることができないでしょうということで、セキュリティーの重要性を念頭に置いて作っております。

もう１つこの中で、いわゆる十分な教育を受けた従業員、そして、私どものプライバシー基準を満たした者だけがその情報にアクセスできるということを約束する。お客様に接する可能性のある従業員はすべて事前にこのプライバシー・プロミスの研修を受ける、受けなければお客様に接することはできませんという体制にしております。

あと、融資を行う場合あるいはリスク管理のために、信用情報機関と情報交換をすることがありますと、これも明確に開示をしております。このプライバシー・プロミスというのは全部で10カ条あるんですけれども、これは後ほど11ページ、12ページに出てまいります。

４ページへ行きます。実施が99年、２年前なわけなんですけれども、実際にこのプライバシー・プロミスというものを私どもの内部で導入・実施していったその過程をちょっとご説明しまして、皆さんの参考にしていただきたいと思います。

まず、それぞれの国にいわゆるプライバシー・オフィサーというものを設置しました。このプライバシー・オフィサーを中心に、導入・実施のための組織をつくり、各国においてどのように実施していくのかというプランをつくりました。基本は、すべてのお客様に私どものスタンスというものを理解していただくために、通知をするということになります。オプト・アウトにつきましては、特にお客様の数が多くなるとマニュアルというのは不可能ですので、システムで管理をするという体制が必要になってきます。この私どものプライバシー・プロミスに対してお客様からいろいろな問い合わせがあるでしょう、あるいはマーケティング、例えばＤＭ、こんなものは要らないよというようなこともお客様の方から言ってくるケースがあるでしょう、そのための体制づくりが必要です。

それから、やはりセキュリティーの問題ですね、大きなポイントになってきます。

あと、お客様の情報のいわゆるデータベースなんですが、共有できない、あるいは提供できない、そういうお客様の情報というのはあるのか、あれば、じゃあどのように対処していけばいいのかと、こういうことも考えます。

それで、研修ですね。導入ですから全く新しい研修ということで、基本的にすべての従業員に対して研修をしなければいけないということで、研修のプランですね。

後でまたご説明しますけれども、いわゆる業務委託契約とういうもの、これの内容の確認というのが重要なプロセスになりました。これは後でご説明します。

それから、これを導入した後、実際にいろいろな法令諸規則に照らして、あるいは社内の手続書に照らして、実際にきちんとできているんですかということをチェックしていかなくてはいけないというプロセス、ここに「自己査定手順」というふうに書かせていただきましたけれども、社内的には「セルフ・アセスメント」という言葉で呼んでおります。あと、社内の監査部、検査部による監査・検査というもの、そして、外部に監査をお願いするということも行いました。

こういう過程で、99年10月８日に世界的にこの導入というものが完了いたしました。日本におきましては２年前の６月に完了いたしまして、８月から９月に社内の監査を受けましてオーケーということになりました。

一つ一つの項目、５ページへまいります。

まず、実施計画ですけれども、プライバシー・オフィサーの選任・組織というものは先ほど申し上げましたが、この導入実施計画の策定に関しましては、まず我々の方針を明確にしてお客様に周知するという必要があり、これがまず第一にきます。そのためには、米国のみならず、例えば日本の法令諸規則にも準拠する必要があります。私どもが取扱っております商品はいろいろあるんですけれども、これの規制にも適合させる必要があります。お客様のニーズ、そして、業態に適合した内容にする必要があります。

右の方の「顧客への通知」というところなんですけれども、お客様に周知を図らなくてはいけません。どういう形で、どういう手続きで周知するか。まず、口座開設のときにお客様にその内容を確認していただくことが必要です。ですから、一般の口座開設の手続きに私どものプライバシー・プロミスに関する項目を入れます。既存顧客につきましては、私どもの新しいルールでございますので、一斉に通知を行います。必ずオプト・アウトの手続きをわかりやすく目立つように通知を行います。

このオプト・アウトなんですが、日本におきましては、「電話をしないでください」と「メールをしないでください」のこの２つだけです。もともと米国におきましては、「情報の共有をしないでください」と「連絡をしないでください」の２つが大きな柱になっています。ただ、国内におきましては、たとえグループ企業であっても基本的には顧客情報の共有はしませんので、例えばシティバンクの中であればシティバンクの中だけとなります。ですから、「do not share」というのは国内では現状は必要ないであろうということで、「do not call 」と「do not mail 」の２つだけにしました。

そして、オプト・アウトを把握するための手続き・システムが必要です。継続開示としまして、年１回通知を行いますという手続きもつくりました。そして、あらゆる方法で公表しましょうと、店頭において、インターネットで、ｉモードで、可能な限り公表を行うというスタンスです。

６ページへ行きます。お客様からの問い合わせ、苦情への対応なんですが、担当者の教育というものが必要になってきます。お客様に対しましては、何か質問があればこちらへと、あるいは苦情があればこちらへと、連絡先を明示させていただいております。１つはフリーダイヤルです。フリーダイヤルで電話をかけてきたお客様がこのＤＭを止めてくれと言ってきた場合、その場ですぐシステム的に管理を行うことが、オプト・アウトを入力するということが、できるようにしております。

右のデータのセキュリティーのところなんですが、私どもはインフォメーション・セキュリティー・オフィサーというものを設置しております。このインフォメーション・セキュリティーの統括責任者を各国に設置しておりまして、そのインフォメーション・セキュリティーに関するポリシーというものをつくっております。

このプライバシー・プロミスを導入したときに、どういうセキュリティーが必要なんでしょうかと、いろいろな項目をピックアップしました。そこで、当時のインフォメーション・セキュリティーと実際のところとの比較、いわゆるギャップ・アナリシスというものを行いました。それで、何らかのギャップがある場合には、改善策をつくって至急直していくという体制をとりました。それで、継続的な自己査定、それから、インフォメーション・セキュリティーとプライバシー・オフィサーの連携・協力というものが当然必要になってまいります。

７ページへまいります。「顧客情報」というところですが、プライバシー・プロミスの手続き・方針を作成するに当たりまして、どういう形で入手して、どういう利用をしているんだと。お客様の情報の保護、お客様の情報をどこかに提供する場合の手続きについては、現状確認ということで行っております。そして、お客様の情報の内容につきましては、基本情報、取引情報、それと、もしその入手目的以外に使用できない情報があればそれに対するルールをつくる必要がありますので、そういうものがないかどうかということを確認しております。

右の「従業員研修」のところです。研修は私どもの、特にコンプライアンスとしましては重要な柱になるわけなんですが、新しいルールを導入するときに全従業員への研修を行いました、研修を受けなければ接客はできません。それで、違反行為等がありました場合の報告の体制といいますか、風通しをよくするということも必要になってきます。それと、今回、お客様の情報に関することですので、もし我々のルールに違反するような行為が行内であった場合、明確に懲戒処分の対象になるんですよということをはっきりさせております。信用ということになろうかと思いますが、一番のポイントですので、懲戒処分の対象ですよということを明確にさせていただいております。

それから、例えばデータ処理であるとか、メーリングであるとか、コストの観点から外の会社に業務委託をするというケースは非常に多いかと思います。その業務委託先につきましても、私どものプライバシー・プロミスの内容につきまして理解していただくために、研修ということをやらせていただきました。これが導入時なんですが、その後、新入社員が入った場合は、当然研修をいたします。そして、継続研修ということで、年１回私どもはコンプライアンスの研修をやっておりますが、必ずその中にこのプライバシー・プロミスに関する項目を入れさせていただいております。

８ページへまいります。「業務委託」というところなんですが、私どもの行員であればすぐそばにいるわけですからコントロールも簡単ですが、業務委託先の管理、これは私どものプライバシー・プロミスを実行するに当たって重要なポイントということになっております。

グラム・リーチ・ブライリー、この７月１日施行になりますアメリカのプライバシーに関する法律なんですが、こちらの規定の中でも、業務委託先に関する管理を非常に厳格にしなさいということを謳っております。

導入に当たりまして、既存の業務委託先との契約の内容を一つ一つ確認しました。機密保持に関する条項、守秘義務、そしてもう１つ重要なところが、この業務委託先の業務のモニタリング。これは「業務監査」という言葉で書いておりますけれども、私どもの方から一種の業務監査をいたしますので、それについて同意してくださいということです。この点につきましては、新規に業務委託をするという場合にも１つの留意事項になっております。

あと、「その他」としまして、グループ内の法人間、部署間の契約、サービス・アグリーメントと呼んでおりますけれども、その内容の確認。そして、例えば日本での業務なんですが、そのデータ処理を例えば他の国で行うという場合の契約の内容の確認、こういうことも行っております。

次に、「遵守状況の継続・点検」というところですが、私どもの中では、自己査定、セルフ・アセスメント、社内検査というものが中心になりますが、まず導入時に確認ということを行っております。ただ、その遵守状況確認のためにはどういうポイントをチェックしたらいいんでしょうかといったことがございますし、そのポイントをチェックする際にどういう方法で確認するんでしょうかといったことがございます。このポイントにつきまして、いわゆるテスト方法の策定・実施というものを当時やっております。そして、通常のセルフ・アセスメントにおきまして、このプライバシー・プロミスに関する項目を追加して、定期的に確認を行っていくという作業を継続して行っております。

私どものセルフ・アセスメントですが、定期的に行い、何か問題があればマネジメントに問題を提起する、そしてそこで改善策を策定して、いわゆるターゲットデートを決めて、それまでに直していくというような方法をとっております。セルフ・アセスメントの点検項目が十分かどうか、テストの方法というのは妥当なんでしょうか、出てきた問題点、その改善策というのは十分なんでしょうかと、こういうことにつきましては別途独立した部署で確認を行うといった一種の牽制作用というものを持たせております。

以上が私どものプライバシー・プロミスを導入するに当たって我々が行ってきたことです。

９ページのインターネットのホームページですが、これは先ほど申し上げました。

それから、10ページのｉモード。

では、11ページへ行きます。この11ページ、12ページがお客様に公表しております私どもの確約、プロミスというものです。全部で10項目ございます。先ほど来申し上げておりますいろいろなポイントが、基本的にはこの10カ条の中に全部入っております。

１番目が、厳格なセキュリティー、機密保持の基準です。

２番目に、お客様の情報の収集と使用、「入手及び利用の目的」ですが、ここに明確に書いております。

３番目に、いわゆる研修・教育、違反した従業員は処分の対象になります。

４番目が、他の組織への開示に関して、お客様に事前開示・通知許可を得た場合、あるいは法律上の要件として開示をしなければいけないケースをここに書いております。

５番目なんですが、日本ではほかの企業に情報を提供するということはありません。アメリカ国内ではあることで、法令上も許されていることなんですが、日本ではありません。

12ページの６番、これがいわゆるオプト・アウトに関する項目になりますが、年に１度はオプト・アウトの方法をお知らせし、いつでもオプト・アウトすることができます。

７番目、これが業務委託に関するところでして、その委託先が私どもの基準に従っていること、あるいは監査できるということを要求してまいります。

８番目が、融資あるいはリスク管理のために信用情報機関と情報交換をすることがありますということをディスクローズしています。

９番目が、いわゆる医療情報です。特に保険などの場合こういう情報が入ってくるかと思いますが、この情報は保険の契約という目的のため、それ以外には絶対に使用しません、提供しませんということを申し上げております。

あと、10番目、お客様のデータを最新かつ正確なものにしますということで、間違っている場合はすぐにお知らせください、すぐに訂正いたします。

最後に、自己査定の話を入れております。

13ページへ行きます。アメリカのプライバシーの基本法であるグラム・リーチ・ブライリーですが、これは基本的な事項について定めているという認識です。あとは、各社において、各業態において、いわゆるセルフ・レギュラトリー、セルフ・レギュレーションというもの、こちらを重視したアプローチということになっております。これは７月１日施行ということなんですが、私どもは既にこのプライバシー・プロミスを実施しておりまして、このＧＬＢＡの内容に照らしても大丈夫ということで、７月１日施行に当たって特に変更というものはしておりません。

私どもはこのプライバシー・プロミスの10カ条を公表しております。公表することによって自分を縛ってしまうという形になっております。多分それがセルフ・レギュレーションの１つの考え方なのかなと思っています。

最後に、今後の課題ですが、現状の私どもの手続き等につきまして、法令その他の規則が変更になった場合は対応していく必要があります。今回の国内のこの個人情報の保護に関する法令に対応して、施行前に一部手直しをする必要があるかなと思っております。それから、業務、これがいろいろ変わってくることも考えられますので、それに対応しなければいけないと思っております。

あと、いろいろなシステムの問題があります。システム化することによっていろいろなコストを削減できる。効率的な管理をするためには、システムの問題というのは、現状、そして今後も出てくるかと思っています。ただ、ここには書いてはいないんですが、システム化というのは多大なコストがかかります。コントロールとコストのバランスをどう考えていくかということは、やはり今後も問題として残っていくのかなと思います。

あと、私どもの内部管理のためのセルフ・アセスメントあるいは社内監査の強化というものがございます。

以上が私どもが現在行っておりますプライバシー・プロミスの内容でございます。

○ 倉澤部会長

どうもありがとうございました。

それでは、ただいまのご説明を踏まえまして、ご質問等がございましたらご自由にご発言いただきたいと思います。

では、原委員。

○ 原委員

シティグループさんの状況をどこかで知りたいと思っておりましたので、大変参考になりまして、ありがとうございました。幾つかもう少し詳しくお聞きしたいというところが６項目ぐらいあるんですけれども、でもそれを全部言ってしまうと時間もありませんので、基本的に聞きたいところは重点的に２項目程度なんですが。

８ページと12ページのところなんですが、８ページに「業務委託」が書いてありまして、「その他」のところで、「グループ内の法人間・部署間の契約」、「他国他地域でのデータ処理を行う場合」ということで、ここで「グループ」という書かれ方がしてありまして、それから12ページだったと思うんですが、12ページのところは「シティグループとしての確約」というふうに書かれていて、７と８の項目のところなんですけれども、７のところでは、他の組織、サポートサービスを依頼するときにはこういう基準をとか、８のところでは、「お客様に関する情報を交換することがあります」というふうに書いてあって、この辺は日本で法案化するときにも大変議論になってくるかと思っておりまして、この８ページで書かれている「グループ内」というのがどの部分に合わさせての「グループ」という言葉で使われているのか、それから、12ページの７、８で書かれている、すごく一般的な言葉で書かれていますけれども、融資のところなんかで書かれますと、日本で言えば消費者金融と実際に銀行の残高といったホワイト情報の交流なんかの話もあるわけですけれども、そこはシティさんの場合はどのように整理をされているのか、もう少し詳しくお聞かせいただきたいというふうに思います。

それから、もう１点なんですけれども、オプト・アウトの話が随分出てきたんですけれども、オプト・インでやられている場面というのは全くないのかどうかということも１点お聞きしたいと思います。とりあえずその２点をお願いします。

○ シティバンク

まず８ページの「その他」のところですが、「グループ内」というふうに書かせていただきましたが、アメリカ国内では、例えばシティグループの傘下に、銀行、証券、保険、消費者金融もございますし、いろいろな業種の会社があります。そこで、例えばデータの処理を１つのデータセンターで行うとか、コストの観点から集約するというのがあるかと思いますが、そこで例えば誰がどういう情報に接するんでしょうか、そして、コンピューターといいますかハードウェアの中のファイアウォールをどうしましょうかと、いろいろな問題が出てきます。

それに当たって、例えばそのデータセンターとのサービスに関する契約は、そのサービスにかかるコストをいわゆるマーケットのレートで、アームス・レングス・ルールでやりなさいというのがもともとありまして、それに基づいてつくるサービス契約なんですが、その中で具体的に情報の取扱いについて取り決めをする必要があるでしょうということで、グループ内の法人間あるいは部署間でもそういう契約を結びましょう、そして、この導入に当たってその内容の確認をしましょうということになったわけです。

この「グループ」というのは――ちょっとアメリカと日本では商法上の考え方というのは違うかと思いますが、いわゆる持株会社の影響が及ぶ範囲、多分、国内では関係会社であるとか、連結の対象であるとか、そういう言葉になるのではないかと思いますが。

それから、12ページの私どもの確約の中の７番、８番というところなんですが、７番につきましてはサポートサービスということでございますので、いわゆるメールを出してくれるような会社、印刷会社、そういうところへ業務の効率化のために委託をするというケースがございます。ですから、ここで言う「サポートサービス」というものは、いわゆる業務の根幹ではなくて、あくまで付随している業務のサポートという意味で書かせていただいております。

あと、８番は、リスク管理というのはやはり非常に重要です。融資を行う場合、それから、いろいろなリスクの高い商品を行う場合、そのリスク管理というものは非常に重要なポイントです。私どものリスク管理、つまりは自分たちを守るという観点なんですけれども、その目的のために信用情報機関などと情報交換をすることがありますということをあらかじめ伝えております。銀行というよりも、やはりクレジットカードであるとか、消費者金融であるとか、そういうところの方がもっとこの項目というのは重要性を持っているのかなと思います。

最後に、オプト・アウト、オプト・インなんですけれども、現状、私どもではオプト・アウトの形態をとっております。オプト・インというケースはございません。

○ 倉澤部会長

済みません、実は金澤バイスプレジデントはご所用のある中を無理に来ていただきまして、３時10分ごろには、その後にご所用があるということですので、できるだけ多くの方にということでご了承ください。

○ 原委員

わかりました。では、質問だけで、ご解答はいいです。私は11ページの５番についてお聞きしようと思っていたのを落としていましたので、またこれは後日……。

○ 倉澤部会長

事務局経由でやらせていただきますので。大変恐縮です、お忙しいところをおいでいただいておりますので。

高橋委員、どうぞ。

○ 高橋委員

少し細かい点なんですが、消費者の立場から素朴な質問を出させていただきます。

まず私はシティバンクの顧客なんですが、残念ながらこのプライバシー・プロミスができる前の顧客なものですから、この実施のプロセスを踏んでおりません。それで、大変うかつな者ですから、ご説明にありましたような、全顧客にこのプライバシー・プロミスを通知したり、オプト・アウトの方法を通知しているということに関して認識しておりません。これはダイレクトメールだったのでしょうか、あるいは、取引の記録に入っていたのか、これはぜひお伺いしたいと思います。

私はオンライン取引をしておりますので、すべてネット上で完結しております。それで、紙の資料というのは年間に１回ぐらいは整理するんですけれども、普段は紙情報が多いので見ないというずぼらな生活をしております、恥をさらすようなんですけれども。ネット上のプライバシー・プロミスは読みましたけれども、個人的にそれが知らされたという認知はないのですが、こうしたことの認知調査というのはかけておられるのかということを１点お伺いいたします。

どういうふうに通知されているのかということと、そういうセルフ・アセスメントをやっていらっしゃるということなんですが、ご自分のところの自己評価と顧客の評価と、あるいは第三者の評価というのがあると思うんですけれども、私はその顧客の評価のアンケート調査等に当たったことがないので、どんな形で調査をされておられるのかということを教えてください。

それから、昨年からシティコープさんの名前でおびただしい数のダイレクトメールが来るようになりました。これは「ダイナースカード利用のあなたに」ということで、シティさんが資本参加されたというごあいさつをいただいたということは私も認識をしておるんですけれども、それには多分オプト・アウトのことも書いてあったのかもしれませんけれども、やはり私はちょっと認識していないという恥ずかしい状態でございます。

どういう形でこのダイレクトメールを――これは原さんからご質問がありました多分５番の「一流企業の関連商品の販売促進」に当たるのだろうというふうに思うんですが、それだけではないですか。シティバンクのものであるとか物販に関するものとかいろいろ来ているように思いますけれども、これはどういう範囲に入ってきて、規制の対象になっているのかなっていないのか教えてください。

長くなって恐縮ですが、私は、申し上げたように、シティバンクの顧客なんですけれども、シティバンクの方から何らかの情報が……、ほかにグループ会社に回って来ているという自覚はないのですね。そうすると、ほとんどがダイナースクラブの情報からいろいろなものが回っているだろうと思われます。それで、来ている情報を見ますと、私の、いろいろ無駄使いをしているのも含めて、使われているなという自覚をしておるのですけれども。シティバンクのいろいろな最近の、投信ですとか、そういうもののご案内もいただくんですね。そうしますと、私は既にシティバンクの顧客でございますから、二重にいただくということに対して随分むだなコストをかけているなというような印象も正直なところ持っているわけなんです。そういう場合、企業イメージとして、そういう無駄をしている企業というのは一消費者の立場からしますと余り……、少しマイナス点がついてしまうというところもあるんですけれども。そういう情報を共有できないためにそういうふうになっているというふうにも思うんですが、その辺に関してのお考え、率直なご意見をお伺いしたいと思います。

以上です。

○ シティバンク

貴重なご意見をありがとうございます。私よりもマーケティングの人間の方がいいかとは思うんですが、私の知っている範囲内で答えさせていただきます。

２年前にお客様に通知をいたしました。これは月次の報告書がございますね、それのスタッファーとしてそこに一緒に封入されております。それと、そのほかに何回か、私どもの月次の報告書の中に『シティニュース』というのがございますよね、いろいろなサービスの内容であるとかが書いてあるものがあるんですが、そちらの方にも書かせていただきました。そして、年１回の通知なんですが、これは、年末、12月末に出ます月次の報告書の中に封入させていただいております。

○ 高橋委員

１枚紙という形で入っているということですか。どこかについでに書いてあるということではないんですね。

○ シティバンク

年に１回、12月末の段階でお送りしていますのは、『シティニュース』の中に書かせていただいております。

そして、認知調査というところなんですが、過去に一度やったことがあります。ちょっとその調査の結果につきましては、今手元にデータを持っておりません。

それから、ＤＭなんですが、たくさん受け取られているということなのですが、確かにダイナースクラブを去年の２月に買収いたしまして、私どものグループ企業になっております。そして、マーケティングの観点から１つ行っているのは、ダイナースクラブのお客様にシティバンクのことを認知していただきたい、あるいは、私どものサービスを知っていただきたいということがございまして、ダイナースクラブのお客様にＤＭを打っていただくということはやっております。これはあくまでダイナースクラブから出ています。

○ 高橋委員

そうです。

○ シティバンク

ダイナースクラブがいわゆるＤＭのビジネスの一貫として私どもがつくったパンフレット等を送っているということです。どのお客様にそのＤＭが行ったのかということはシティバンクの方ではわかりません。その他への情報の遮断ということは行っております。

○ 倉澤部会長

上柳委員と堀部委員は、お約束の時間まであと10分ですから、５分ずつになるようにお願いいたします。

○ シティバンク

あと１つ、先ほどのダイナースクラブとの関係なんですが、この５番というのは関係ないです。

○ 倉澤部会長

上柳委員、どうぞ。

○ 上柳委員

ちょっと細かいのかもわかりませんが、12ページの９番の医療情報の取扱いのところなんですけれども、保険の取扱いの方はお話があったんですが、この口座の管理をする場合というのはどういうことが想定されているのかということと、保険の方で

得られた情報を――いわゆる口座というのは預金口座なのかなと思うんですが、そちらの方に利用されるという保険と預金口座管理との間での情報交換はあるのでしょうかというのが１つ目の質問です。

２つ目が、多分、シティグループとおっしゃる中のグループの中にはいわゆる非金融機関というのは入っていないのではないかなと思うんですが、そこのところの確認をした上での話なんですけれども。このアメリカの新しい法律の、ページで言いますと14ページの下から３行目のところなんですけれども、オプト・アウトがデータを出す前に要求されると、ある意味ではオプト・インにかなり近くなってくるのではないかと言えるかどうかという問題意識なんですが、この第三者に提供するということを、第三者というのをどの程度特定してオプト・アウトの機会を与えておられるのか――日本では関係ないのかもしれませんが、アメリカでの取扱いがわかれば教えていただきたいというのが質問です。

○ シティバンク

まず12ページの９番の「医療情報」というところなんですが、これは一般的なお話ですけれども、医療情報の中に例えば「癌」だとかというような話があったとします。そういうお客様に対しては融資はしたくないという判断が働くかもしれません。ですから、それをマーケティングに利用するというのは大変なことだと思います。私どもの銀行の中では基本的にこの医療情報が入るようなケースというのはございませんのでいいのですが、アメリカ国内ではグループ内に保険会社がございますよね、ですから、保険会社の中ではお客様のメディカルヒストリーに関して情報が入っているケースがあろうかと思います。ですから、そういう取扱いについてはかなり厳しく隔離してやらないと大きな問題になるであろうと、そういう認識のもとでこの９番というものをつくっております。それから、14ページのＧＬＢＡ、下から３行目のオプト・アウトなんですが、アメリカ国内におきましては、グループ内であれば情報の共有というのはもともとオーケーということになっているんですね、これは日本と大きな違いだと思うんです。ここのオプト・アウトというのは「サード・パーティー」というふうに書かれております。これはグループ外の企業です。そちらの方に情報やデータを出す場合には、オプト・アウトというプロセスを踏んでからしてくださいということだと思うんです。

○ 堀部委員

わかりやすく説明していただきまして、どうもありがとうございました。お伺いしたいことはいろいろありますが、時間の関係で２点だけ伺いたいと思います。

１つは、シティグループの場合はいろいろな国で企業活動を行っていまして、先ほどもその説明がありましたが、ＥＵのディレクティブとの関係がひとつあろうかと思いますけれども、そういう国と、それから、いろいろな国でレベルが必ずしも同じなわけではないわけですので、そうしますと、このレベルというのはどの辺に合わせたものなのか。シティグループとしてこういったプロミスをして、これが日本の現状と比較して高いと見るのか低いと見るのか、そういう全般的なグローバルなスタンダードとの関係での質問が１つです。

もう１つは、先ほども若干コストの問題に触れられていましたが、99年にこれを導入してコストが非常に増えたと言えるのか、それをどのようにして回収といいましょうか、あるいは顧客に転嫁していくのかどうか、そのあたりも含めて率直にお話しいただければと思います。

○ シティバンク

もともとはプライバシー・プロミスというものをつくって顧客情報の管理をもっと厳格にしましょうということで、私どもの取引というのは、先ほどのお話にもありましたように、オンラインであるとか、サイバーの方に向かっていたというのもあるんですね。そうなってくると、本当に国を越えて情報が行き交ってしまう。私どものグループ、銀行にとりまして、お客様の情報というのは最も大切な資産の１つだと思うんです。ですから、それは守らなくてはいけない。それで、当時、このＧＬＢＡという法律はありませんでした、この７月１日施行ですから、ありませんでした。ないにもかかわらず、そのあたりの重要性を考えて、当時の――今もそうなんですけれども、監督官庁であるＦＥＤの方と密に連絡を取りながらつくっていったということです。

各国で対応はやはり違います、それぞれの国の事情というものがございますから。ですから、私どもが日本でとっている手続きというのは、アメリカとは多少違います。レベルがどの程度のものなのかというのは、これはちょっと難しい問題なんですけれども。

それから、情報の共有に関しまして、国内ではやっていないんですけれども、今後例えばそれを行えるようなことになれば、やはりどの会社と共有するのかとか、個別の名称とかを今後出していくというのが方向かなと思います。

あと、コストなんですが、でも、顧客には転嫁していないつもりです。これは、収益とコストのバランスです。ですから、シニアマネジメントがどう考えるか、顧客の情報の保護というものはどれぐらいの価値があるものなのか。正直言いまして、私どもの重要な資産の１つですから、かなりコストをかけてもいいんじゃないかと、個人的には思います。

○ 堀部委員

ありがとうございました。

○ 倉澤部会長

どうもありがとうございました。まだたくさんのご質問、ご意見等がおありでしょうし、実質的に活発なご意見もいただいているところですけれども、金澤バイスプレジデントはご所用のためこのあたりで退席されます。ご質問等がございましたら、私の責任で事務局を経由して処理をさせていただきますので、どうかご了解ください。

金澤バイスプレジデントには、ご多用中のところ特別部会にご出席いただき、貴重なお話をご説明いただきましてありがとうございました。委員を代表して心からお礼申し上げます。どうもありがとうございました。

○ シティバンク

こちらこそどうもありがとうございました。

○ 倉澤部会長

それでは次の議題に移りまして、本日、皆様のお手元には前回配布しました「検討事項」を配布しておりますけれども、「具体的なルール整備の在り方」につき何かご意見等がございましたら、ご自由に、自由討論ということでご発言をいただきたいと思います。特別部会の資料５－２に関連して、どんな視点からでも結構でございます。

原委員、どうぞ。

○ 原委員

質問がちょっとずれておりまして大変失礼いたしました。

シティバンクさんの今のご説明の中を聞いていても、グループ内交流は当然アメリカの状況としてはベースとしてあるというようなお話がありました。方向性としても、先ほど私は５のところを言い落としてしまったんですけれども、あの書きぶりを見ますと、もう情報を提供してそれを利用するのは是認をしている、オプト・アウトでだめな人だけノーと言ってきなさいという形ですよね。最後のご回答の中でも、堀部先生のご質問に対して、各国等はどうですかというお話の最後のところも、どこと情報を共有していくかはこれからの課題だというようなお話で、考え方の中に情報交流は当然というふうにあって、それをどこの範囲でやるのかという、手法としてはオプト・アウトのみという感じなんですけれども。

これは、ここで議論をしていくときに絶対に金融市場の国際化というのが一方でありますから、アメリカとかヨーロッパとか、全体的な金融市場でこの問題というのがどう考えられているのかというのをぜひもう少し……、実態というんでしょうか、国際的な実情というのを知りたいと。あと、それで日本の消費者が納得するのか、それから、同意の方法として何をよしとするのかというのはこれからの議論のように思いますので、少しその手の情報整理をしていただけたらと思います。

それから、もう１点なんですけれども、余り時間がなかったので説明をしなかったのですが、２つの柱があるというふうにおっしゃって、もう１つの柱をハッカー対策、セキュリティーの話をなさっておりますよね。私たちの頭の中には個人情報保護法があってずっと議論を進めてきているものですから、あの法律に沿った形で、グループ内交流とは何かとか、同意のとり方は何かというような議論をしていますけれども、一方で、ネット化が進むとハッカー対策ということもかなり大きな論点になるように思いますので、そこも議論としてはぜひ加えていただきたいなと。きょうのお話を聞きながら、追加的に意見を出させていただきたいと思います。

以上です。

○ 棚橋調査室長

実は、本日のこのシティバンクさんのご説明は、私もこの場で初めて聞きました。私は事前にご出席依頼だけを申し上げただけで、その時点ではこんなに詳しいことは何もお聞きしていなかったのでははあと思いまして。

ははあと思ったのはなぜかというと、私は今アメリカの法制については一生懸命勉強中でございまして、ちょっと補足的に私の知る限りを申し上げておきますと、今、原委員がおっしゃられましたとおり、本日の、後ほど回収させていただきますが、シティさんがお配りになった資料の14ページのいわゆるＧＬＢ Ａｃｔ、ＧＬＢ法ですね、グラム・リーチ・ブライリー法のところというのはかなりはしょってポイントだけをレジュメに書いておりますのであれなんですが、あくまで私の理解では、オプト・アウトの権利が消費者の側にある、コンシューマーズにあるのは、non affiliated third partyであるということが大事なことですね。

それで、affiliateとは何かというのがきちんと定義がされていて、それは法律上もされていますし、私がたまたま見たＯＣＣのレギュレーションでも改めて同じことが定義されておりますが、ちょっと今手元にありませんのであれですが、簡単に申しますと、affiliateとは当該会社を支配する――コントロールするか、is controlled ――コントロールされているか、あるいは同一の人の下に支配を受けているか、つまり親か子か兄弟かという、そういう形です。ただ、レギュレーションを読みますと、「コントロール」の細目が相当詳しく書いてございます。だから、それは単に資本系列にあるというだけではなくて、例えば役員を送っているかとか、その重要なポリシー、会社のストラテジーと言っているのかは知りませんが、とにかく会社の経営方針についてどれだけ影響力を持っているかとか、かなり実質的なことがＯＣＣのレギュレーションには一種のコンメンタール風に書いてあるわけなんですが。

私が申し上げたいのは、いずれにしても、アメリカのＧＬＢ法は日本の基本法と違いまして、あくまで金融機関を対象にした――ファイナンシャル・インスティテューションズを規制対象とした法律、個別法でございますが、その中でのものの考え方というのはaffiliateであるかないかが大きな境目でございます。affiliateとの、親子とかそういう意味のやりとりというのは、当然だという前提になっています。それは一体だというものの考え方に立っております。

それから、事前にある程度勉強をした方がいいということで、東京で手に入るものということで、アメリカン・バンカーズ・アソシエーションという、いわゆる日本の全銀協に当たるところかと思われますが、全米の銀行協会がガイドラインをお出しになっておりますが、そのガイドラインというものは全部でやはり10カ条ございます。ただ、その10カ条というのは本日ここでご披露いただいたシティバンクさんの10カ条とはかなり中身が違っておりますが、私が今ご披露申し上げたいのは、そのうちの第４の項目に「情報の責任ある利用」、原語で申しますと、「responsible use 」ですね、「責任ある」という形容詞がかかっているところが大事だと思いますが、responsible use というのは、「顧客に利益を提供する。」ということをはっきり謳っております。

つまり、アメリカという国は――私も実は住んだことがありませんので、旅行でしか行ったことがありませんのでよくわかりませんが、一般によくプラグマティックなお国柄かなと思うんですが、そこでは、もちろんプライバシーの保護は大事なんですけれども、金融グループとして情報を共有することが結局はお客様へのサービスを高めるんだという精神ですね、その精神がガイドラインの１項目として入っているということかなと思います。

それに対しまして、イギリスの方はそれに該当するものがありませんのであれなんですが、やはり私の読んだ印象では、イギリスの場合は一般法で、日本で言う基本法に当たるものが98年にできました。従ってこれは当然ＥＵ指令を踏まえた法律ですが、「データ・プロテクション・アクト」――データ保護法ですが、膨大な法律です。それを読みますと、はっきり申し上げて、法律なんですけれども、その書き方が日本で言う府令より細かいことまで書いてあるような気もするぐらい詳細な記述になっておりますが、それを一読する限りは、相当データの保護に対して――金融機関に限りませんが、繰り返しますがイギリスの場合は一般法でございますので、事業者を相当厳しく縛っていると読めます。読めますが、前回の第４回の際にも申し上げましたが、プラクティスがどうなっているかということをよく知りませんと、法律にはこう書いてあるけれども、意外と実際はそうアメリカと大差はないのかもしれないですね。そこはよくよく来月調査をいたしたいと思ってます。

それから、２点目のセキュリティー対策についてのご意見は承っておきますが、正直申し上げて――もちろんセキュリティーが大事なことは言うまでもございません、これは基本法の第25条のことかと存じますが、ここで言う話というのはいわゆる物理的なセキュリティーの問題かと思います。これになりますとかなりプロフェッショナルな世界に入っていって、正直申し上げて、私自身がどこまで理解可能かという問題もあろうかなと思います。ただ、多分、原委員のご指摘は、そういう意味のきちんとした安全管理措置というものが極めて重要だということをご指摘になったんだと思いますが、その点においては何ら異論はございません。

○ 倉澤部会長

上柳委員、どうぞ。

○ 上柳委員

関連質問なんですけれども、たまたま先週１週間なんですけれども、弁護士の継続教育というのがありまして、ハーバード・ロー・スクールの弁護士向けの研修に行ったんです。それで、１科目、金融法がありまして、ごく一部なんですがプライバシーのことも勉強しまして。

先ほど原さんが言われた関係で言うと、オプト・イン、オプト・アウトの問題なんですが、聞いた話ですと、今でもアメリカのうちのアラスカ州とコネチカットとバーモントは金融情報について――これはどの金融情報かと特定しないと余り意味がない議論をしているんですけれども、オプト・アウトがないわけではなくて、やっている州があると。それで、去年あたりにこのグラム・リーチ・ブライリーがどぼどぼあって、各州で消費者側はオプト・アウトをすごく望んだんですね。ところが、金融機関側からのログインがすごく強くて、その３つの州を除いて新たにオプト・アウトを決めた州はないけれども、まだいろいろ戦いは続いているというふうな話を聞いたのが１つです。

それからもう１つは、このアフィリエートといいますのは、グループ内の企業と第三者等をアメリカは分けるというのを基本にしているんですね。私なんかはそれでいいのかなという疑問があったんですが、私が話を聞いたそのハーバードのジャクソンさんという金融法の先生は、確かに、アフィリエートが、今まではアメリカの銀行規制というのはかなり狭くて、金融機関の定義というか、あるいは関連する金融機関の範囲が狭かったのでよかったんだけれども、どんどんファイナンシャル・ホールディング・カンパニーになって広がってきたので、確かにアフィリエートに情報提供される場合と第三者に提供される場合とが違ってきていると、そこについて疑問を呈する文書、案分をもらったんですけれども、ドラフトをもらったんですけれども、自分は書こうと思っているというふうにおっしゃって――だけど一学者の意見ですから何とも言えませんけれども、いろいろありました。

それから、もう１つだけつけ加えですけれども、このシティグループさんのレジュメの18ページのところにもあるんですが、特に私の感触では、いずれもこういうほかの法律も見なければいけないなということなんですけれども、特にこの２つ目の、ヒッパー、ヒッパーというふうに言っていましたが……。それから健康情報を出しているんですけれども、ヘルスに関する情報について情報保護法があるようで、もちろんこれは病院とか医療保険会社を対象にしているんですけれども、この規制がややこしいというのか、きついというのか、というようなことで、これも勉強しなければいけないなと思いましたが、詳細は不明です。

以上です。

○ 棚橋調査室長

ありがとうございました。

私も正直言って今勉強途上にございますのであれですが、私の知っている限りの、今日段階で、これまでのところで知っていることを申しますと、そのグラム・リーチ・ブライリー法で本当にコアになるのはせいぜい２条ぐらいなんですよね。つまり、ノーティスをきちんとしろ、ここで言う通知ですね。高橋委員は送られてきた記憶がないとおっしゃいましたが、そのノーティスをする義務。これはまさにイニシャル、顧客関係というか、取引をした時点、最初のとき及び――ＧＬＢ法上ははっきりコンシューマーとカスタマーを使い分けておりまして、一回限りの取引をする人はコンシューマーなんですけれども、そのコンシューマーの部分集合として、まさに預金を口座を持っているとか、金を借りるとか、継続的に銀行とお取引をする人をカスタマーと言葉を分けておりますが、カスタマーに対しては最初だけやればいいのではなくて、年１回ノーティスの義務がございます。ノーティスということは、私の英語力で理解すれば、基本法で言う公表では足りなくて、常にその人に対してワン・トゥー・ワンで通知をするということであろうと理解いたしておりますが、そういうことがございます。

それから、ノーティスのこととオプト・アウトのことのせいぜい２つぐらいなんですが、つらつら読んでいますと、１つあったのが、私の記憶では、今ちょっと手元にないのであれですが、既にある法律との優先関係に関する規定があるんですね。１つはいわゆる私ども日本でも従来から議論しております信用情報に関するもので、「公正信用報告法」というＦＣＲＡと呼ばれているものがありますが、これは前からある法律で、いわゆるアメリカのクレジットビューローですとか、ＦＣＲＡでは、私もきちんと勉強しておりませんが、あれは単にクレジットビューローという日本で言う信用情報機関だけではなくて、そのレポートを使う側も規制しておりますので、まさに銀行は使って与信審査をしていますので、銀行もその法律の規制に入っているわけです。それはここで言うＧＬＢ法とは全く別の法律です。そことの優先関係で申しますと、当然のことながらＦＣＲＡの方が規制がきついですから、そっちが優先適用されるとＧＬＢ法でははっきり謳ってあります。

それから、州の法律との関係、州法がございますね、アメリカの場合は州ごとに法律がつくられて、特に保険は州ごとの監督でございますので。それで、州法との関係については、私の記憶では、このＧＬＢ法とinconsistentでない限り、すなわち、相矛盾しない限りきつい方が優先します。だから、普通は州法が強いですから、強い州もあるでしょうから、その場合はＧＬＢ法より強い州法がこのプライバシーに関して適用になるというのが私の理解です。だから、上柳先生が今そういうお話を幾つかの州でお聞きになったというのはそういうことではないかなと思います。

それから、もちろんこれは実際にお伺いして向こうで聞いてこないとなりませんが、このＧＬＢ法についてまさにここにとりまとまる過程においては、いろいろな動きがあったはずです。つまり、もっと厳しくしろというのと、これじゃやってられないというのが当然アメリカでもあったはずでして、少なくとも私がＧＬＢ法を読んだ中でははんと思ったのは、財務省、トレジャリーに対して義務がかかっておりまして、その関連するＧＬＢ法の施行というのは、アメリカの場合は金融庁１つというのと違って、プルーラルな、多元的な監督体制ですので、ＦＲＢとかＯＣＣとかＯＴＳとかいろいろあるんですけれども、その辺とコンサルトした上で、コーディネートした上でレポートをつくれという義務がかかっていますね、財務省に対して。たしか私の記憶では、それを来年の１月に提出しろということになっていると記憶しておりますが。だから、まさにそういう施行状況をスタディーしてリコメンデーションを含むレポートをコングレスに出せという条文になっておりますので、やはりこのＧＬＢ法についてもまあとりあえずこれでやってみようということではないのかなという気がいたしております。その辺はちょっと聞いてまいります。

○ 倉澤部会長

岩村委員、どうぞ。

○ 岩村委員

ちょっと今までの話とはずれますが、議論のポイントとしては、オプト・インとオプト・アウトの話が出ていますけれども、特に海外との関係で、やはり国によって人々の行動の仕方というのは随分違うし、それから、金融機関とつき合うときの環境も違うので、米国でオプト・アウトだから日本もオプト・アウトでなければいけないとかそういうふうに考える必要はなくて、むしろ日本の銀行の利用者の実情を踏まえた議論をした方がいいと思います。

一般論として言えば、よく言われるのは、アメリカの消費者というのは権利意識が強いですから、アメリカと同じものをやれば十分だという考え方にもともとなる必要はないと。それから、プライバシー法制という観点から言うと、よく言われる話ですけれども、米国は最もそういう意味ではプライバシーに対する保護は一般的には薄い、公益とか効率を優先する国ですので、そこだけを見るというのはどうかなという感じがそもそも聞いていてしました。

それはそうとして、もう１つ本日の議論の中で僕は大変気になっていて、論点として整理する必要があると思うのは、アフィリエートということと情報の共有、そこでさらに顧客の利益という言葉が出てきているんです。うっかり聞くと、なるほどそうかというふうに考えがちになるのですが、やはり特に制度の設計をするというのであれば、顧客の利益になるんですか、それではぜひ共有してくださいというふうに簡単には言えないと思うんですね。

なぜかというと、例えば本日出てきたことで、余りせっかく来ていただいた方をいじめちゃいけないと思って言わなかったんですが、例えばシティとトラベラーズの間で情報共有するのが利益になると、だからしているんだと言われると、僕はへそ曲がりですから、じゃあなぜバンカメリカとトラベラーズの顧客が不利益になるんですかと、こういうことを聞きたくなるわけです。つまり、顧客の利益というのはよほど慎重に考えなければいけないことで、特に異なった金融機関同士が、あるいは異なったインダストリーの金融機関同士がアフィリエーションの関係にあるときに、アフィリエーションによって顧客に利益を供与していますと、その利益というものの性質によっては、むしろ、特に競争法的な観点になると思うんです。好ましくないと言える余地もあるはずで、それを考えないでアフィリエーションの間で顧客の利益に沿った行動をしていますと、だから立派なことをしているんですと――マイクロではそれでいいんですけれども。

つまり、例えばシティバンクのオフィサーの方が自分のグループ内の企業と一緒に自分の金融機関を使ってくれているお客さんに利益が最大になるようにすると言うのは、これはマイクロの経営の立場で、個々の経営の立場からすれば当たり前のことなんですが、それは避難されることでも何でもないんですけれども、金融機関相互の競争の枠組みという観点から言うと、簡単に納得できる話ではないはずなんですね。

やはり、特に顧客の利益ということに踏み込んだ議論になるのであれば、本日の話の中からはすぐに言えない話で、そもそも顧客の利益というのは何なんですか、どういう利益を考えているんですか、アフィリエーションの関係にない顧客同士は利益を得られないんですか、利益が得られない理由は何なんですかということをよほど慎重に考えないと、一概に顧客の利益になるから情報共有を推進しましょうと、これは言えないと思います。

棚橋さんがいろいろお調べになっていただけるのであれば、その辺はむしろ制度の字面を見るのと同時に、ぜひお願いしたいと思います。

○ 倉澤部会長

確かに、先ほど原委員が……、私が無理やりカットしちゃったこの５番で「一流企業の関連商品」とあるけれども、一流企業というのはだれが決めるのかとか。ただ、先ほどの室長の話でいくと、responsible use というのが、要するに情報の本人に利益になることというのをレスポンシブルと言うとすると、そういう判断についての結果責任みたいなものが出てくるということなんでしょうかね。そういう仕組みの仕方もあるかもしれませんね。

○ 岩村委員

くどいようですけれども、一定の制度のもとでレスポンシブルなユースをするというのは、これは個々の経営にとって当たり前のことですね。それから、自分のクライアントに対して、カスタマーに対して、最大の効率的な利用をしてもらえるように努力するのも、これも一般的にはそれが自分の利益にも同時になるわけで当たり前のことなんですが、ただ、そういう異業種間とか、あるいは非金融機関間での――これは個人情報に限らないんですが、情報の共有が直接的にアフィリエーションにとって利益が出るような、あるいはアフィリエーションの顧客にとって利益が出るような設計にしてしまうというのは、これは個々の経営のスタンスとして良い悪いということとは別の問題だと思いますので、制度を考えるのであればそれはすごく重要なことだと思ったので申し上げました。

○ 倉澤部会長

そのほか、きょうの検討事項の１、２、３について、まだ検討事項として欠けている部分があるのではないかとか、これは検討事項としては適切ではないというような問題があるかというような点について、何かご意見はございましょうか。

大体こちらが予定した時間は経過したところでございますけれども、特にありませんか。

○ 棚橋調査室長

今の岩村委員のご指摘は、私なりに理解をしますと、いわゆる競争政策上の問題ということでしょうか。弊害防止措置というか、いわゆるマクロ的にはうんぬんとおっしゃられましたのは、そういう理解でよろしいですか。

○ 岩村委員

２つあります。１つは、文字どおり、自分で申し上げたように、競争政策の問題です。つまり、顧客に利益があるようにすれば、顧客の方はより利益がある金融機関を利用しようと、あるいは金融機関連合、アフィリエーションリーグを利用しようとするはずですので、これは競争政策の問題がそもそも出てまいります。

それから、第２番目には、これはやはり個人情報保護そのものの問題ですけれども、意地悪な議論をすることになるんですが、顧客に経済的な利益を与えるような行動をすれば、結局、個人顧客の方は自分のプライバシーについてより多く譲るわけですね、コンプロマイズする誘因を生ずるわけで、その意味で言えば、余計な誘因を生じさせるような仕掛けが望ましいのかどうかという観点は競争法とは別にさらにあり得ると。

要するにどういうことかというと、より大企業に対して、より大きな産業グループに対して自分のプライバシーをコンプロマイズさせる誘因が生じるわけで――ここにかなり大きな金融機関の方がいらっしゃるので、僕はそれが望ましいと思っている制度のデザインではないので、お断りした上で申し上げるんですが、もしもそういう誘因が生じるような制度設計がなされているのであれば――いらっしゃる方は嫌がると思うんですけれども、プライバシー保護のレギュレーションの体系というのは大企業に対して厳しくならざるを得なくなってしまうんですね。僕はそれはなかなか、プライバシーというもののあり方からしても、それから、やはりマーケットの枠組み――これは競争法と言わずに、独占禁止法的な意味ではないので、マーケットの枠組みという観点から言っても余りうれしくないので、やはり出発点としては、アフィリエーションによって情報共有する、だから顧客にとってアドバンテージが出ますよというものではなくて、それを経由しないでアドバンテージが出るような方法はないのかなというのを考えるのが先決なんだろうと思うんですね。

そういう意味から言うと、いろいろ文句が多いわけですけれども、個人情報機関というような業界でと言うとこれは気になるんですけれども、共同利用機関で個人情報を管理しましょうという考え方はそんなに的外れな議論ではないですね、そういうことが本当に起こるんであるとすれば。ただし、なぜそんなことを言うのかというと、例えば保険会社と銀行との間でアフィリエーションすると、情報を自由に使っていいという前提を飲むからなんですね、これは飲まないと話が変わってくる。だから、競争法というと、多分そうするとまた司が変わってしまうので気にされたんだと思うんですが、司を変えない世界の中でも議論する点が僕はあると思っています。

いずれにしても、アフィリエーションで顧客に利益があるという話は、それは利益がある方向だけを見ればそのように常に見えるわけですけれども、それは大変そういう意味では抜け穴があり得る議論なんだということを気をつけてこれから議論されるべきだろうと思います。

○ 倉澤部会長

当然のようにこの個人信用情報の保護と利用に関する法制度というものが、例えば企業結合にプッシュを与えるような産業政策みたいな意味を持っては困るわけで、そういう点に関しては全くニュートラルにこの検討事項は考えざるを得ないということは確かだと思うんですね。

○ 岩村委員

今度はいちいちその反対のことを言うみたいですけれども、一方では、金融機関の間でも情報共有ということにしか差し当たって議論を展開できないのであれば、今のような意味での金融産業政策的な側面があるんだから、これはほかの話と固有に切り離して議論をする価値があるんですよという議論にも一応なり得ると思うんですね。ただ、競争法と言われちゃうと難しいだろうなと思ったので。

○ 倉澤部会長

だから、そういう視点でこの金融産業政策……。

○ 岩村委員

金融コングロマリット法と言うんでしょうかね。

○ 倉澤部会長

的な特殊性ということはあっても、それを政策としてここの会で方向性というようなものを持つことはないので、そういう点はニュートラルなんでしょうね。

○ 岩村委員

そうですね。

○ 倉澤部会長

それでは、予定された時間を過ぎましたので、本日の審議を終了させていただきたいと思います。いろいろと貴重なご意見をいただき、ありがとうございました。なお、この後、記者会見を行いまして、本日の当部会の模様につきお話をさせていただきます。ご了承ください。

最後に、事務局の方からご連絡がございましたらお願いいたします。

○ 棚橋調査室長

では、２点申し上げます。

まず第１点は次回の日程でございますが、正直言って今決めておりませんので、追ってご連絡をさせていただきたいと存じます。

２点目が大事で、繰り返しで恐縮でございますが、本日席上にお配りいたしております資料、シティバンクさんの資料につきましては本会合限りというお約束でご提示いただいたものでございますので、事務局の方で会議終了後回収させていただきますので、お持ち帰りのないようにくれぐれもよろしくお願いいたします。

以上でございます。

○ 倉澤部会長

ありがとうございました。

それでは、以上で本日の会議を終了させていただきます。

どうもありがとうございました。

（以上）