金融審議会金融分科会特別部会（第９回）議事録

平成１６年５月１９日（水）

金融庁 総務企画局

○ 山下部会長

おはようございます。それでは定刻でございますので、ただいまから金融審議会金融分科会特別部会を開催させていただきます。

本日はご多忙のところご出席いただきまして、まことにありがとうございます。当特別部会におきましては、金融分野における個人情報の保護のあり方についてご議論いただいておりますが、信用分野につきましては、産業構造審議会個人信用情報小委員会との合同会議でご議論いただいているところでございます。

当特別部会単独の会合におきましては、信用分野以外の金融分野における個人情報の保護のあり方についてご議論いただきたいと存じております。本日はその分野での金融分野における個人情報の取り扱いの現状を把握するため、事業者の代表の方々からヒアリングを行うこととさせていただきたいと思います。

本日のヒアリングは、最初に全国銀行協会、次に信用金庫業界を代表して、社団法人信金保証基金、最後に日本証券業協会にそれぞれお願いをしております。

それでは関係業界の方々から順次、ご説明をお願いいたしますが、まず全国銀行協会業務委員長、ＵＦＪ銀行専務執行役員でいらっしゃいます佐々様よりご説明をお願いいたします。約25分程度でお願いしております。よろしくお願いいたします。

○ 佐々委員

ＵＦＪ銀行の佐々でございます。前回に続きまして、特別部会での銀行界の実情等につきまして申し述べる機会を頂戴いたしまして、誠にありがとうございます。

前回は銀行の業務の中で、特に与信業務における個人情報の取り扱いの現状等についてご説明を申し上げました。今回は預金・投資信託など、お客様の金融資産をお預かりする業務を中心にお話を申し上げたいと思います。

初めに若干のお断りを申し上げます。銀行では、預金業務と貸出業務が一体的であって、いわば不可分の関係にあるということは既に申し上げたとおりでございます。従いまして、今回のご説明の中に、前回と重複する部分が多少ございますが、あらかじめご了承いただきたいと思います。

また今回もＵＦＪ銀行という個別行の事例を中心にお話しさせていただきます。どうぞよろしくお願いいたします。

本題に入ります前に、まず本日お話しいたします預金業務が、前回ご説明いたしました貸出業務とどういった点で違っているか、２点ほど特徴的なことについてご説明をいたします。１つは顧客数の違いでございます。個人のお客様向けの貸出業務といたしましては住宅ローン、カードローンなどがございまして、このようなローンのお取引を頂戴しているお客様は、弊行の場合、合計でおよそ100万人ほどでございます。一方、普通預金を初めとする預金取引をいただいているお客様はおおよそ1,500万人でございまして、貸出の返済は預金口座を通じて行いますので、貸出取引のあるお客様とはすべて預金取引があるということになります。つまり、弊行の個人のお客様は全部で1,500万人で、うち100万人と貸出のお取引があるということでございます。

２つ目は銀行とお客様との契約上の立場、債権債務の関係における違いでございます。貸出業務では銀行は貸し手の立場です。ご融資した資金が確実にご返済いただけるかどうか慎重に審査し、判断をした上で、貸出を行います。したがって、借り手であるお客様の返済能力や、借入の目的などをよく知る必要があります。そのために、お客様に関する情報を幅広く取得いたします。

それに対しまして、預金業務では逆に銀行はお客様から資金をお預かりする債務者の立場にございます。例えば普通預金口座の開設であれば、本人確認と預金取引を継続するために必要となる連絡先の確認などが必要です。しかし、貸出のような審査があるわけではございません。そのため、貸出取引に比べますと、預金取引に際して、お客様からいただく情報の量は一般的にかなり少なくなっております。

以上をまとめますと、預金業務では貸出に比べると、銀行が取得する情報の量は少ないけれども、お客様の数は圧倒的に多いということでございます。

それでは本題に入らせていただきます。初めに預金取引における個人情報の取得についてご説明を申し上げます。先ほど申し上げましたとおり、従来、預金取引に際して頂戴する情報は、さほど多くはございませんでした。少し前までであれば、住所と氏名とご印鑑があれば、口座の開設を受け付けておりました。そのころは、本人確認資料の提示は受けておりませんでしたので、例えばキャッシュカードを書留でお送りすることで、確かにお届けいただいた住所にお住まいであるかどうかを確認しておりました。

しかし近年、預金取引で取得する情報の種類と量はふえる傾向にございます。背景としては、以下の３つがございます。１つは法令上の要請でございます。昨年の１月に施行されました本人確認法により、預金口座の開設時には公的な確認資料で、お名前や住所などを確認することが義務づけられております。これにより、マネーロンダリングの防止や口座の不正利用の排除を図っております。また、預金保険法では、生年月日等の情報を整備しておくことを銀行に義務づけております。これは万一のペイオフ発生時に、円滑に預金保険金をお支払いできるようにするために、名寄せに必要なデータをそろえておこうというものでございます。そこで、銀行では生年月日などの情報の提供をお客様にお願いしております。これらは法令上の要請により、取得情報が正確であるという確認をより厳格に行うことを求められているということでございます。

背景の２つ目は銀行の取引チャネルの多様化でございます。以前は窓口でのお取引が中心でございましたが、現在ではＡＴＭ、電話、インターネットといった非対面でのお取引が全体のおよそ９割を占めるまでに至っております。

こうしたダイレクト取引においては、預金者ご本人の確認のために、ダイレクト取引特有の方法が必要になっております。例えば、ＡＴＭでは皆様ご承知のとおり、暗証番号が必要です。さらに、より一層のセキュリティー向上を目指して、生体認証技術を取り入れる銀行も出てきております。またテレフォンバンキングや、インターネットバンキングなどでは、キャッシュカードとは別のＩＤやパスワードなどが用いられております。

弊行の場合、あらかじめご契約者にご契約番号と乱数表を記載したカードをお渡ししてあり、取引の際の本人確認に使用しております。ご契約番号の一致だけでなく、10行10列から成る乱数表のある一部の数字をご入力いただき、その数字が合致しないと、取引が成立しない仕組みになっております。

これらの暗証番号や契約番号はお客様固有のものであり、一種の個人情報でございます。銀行の取引チャネルの多様化や社会情勢の変化によりまして、お客様から頂戴する情報が増えてきているということでございます。

なお、ダイレクト取引ではインターネットやＡＴＭにお客様ご自身が情報を入力いただき、銀行はいわば受動的に情報を取得するケースも増えてきております。

３つ目の背景は規制緩和等による取り扱い商品の拡大でございます。従来は基本的に預金のみであったわけですが、現在では、国債、外貨預金、投資信託、個人年金保険などの運用商品を幅広く取り扱うようになっております。預金とは違って、元本が保証されていない、これらの商品を価格変動商品と我々は呼んでおります。

こうした価格変動商品のお取引では、リスクのある商品をお勧めすることがふさわしいかどうか、お客様の適合性を判断しなければなりません。その判断に必要な情報をお聞きすることにしております。例えば、投資信託のお取引を開始するに当たっては、お手元の資料にございますとおり、投資経験や資産形成の目的、金融資産、年収などについてお客様にお聞きしております。今回の商品がお客様のニーズに合っているか、リスクを十分ご認識いただけるお客様か、資産全体のバランスから見て、過度にリスクをとられていないかなどの判断を行っております。

投資信託などのお取引に際して、お客様の投資適合性を判断することに関しましては、日本証券業協会の投資勧誘規則にも、「顧客の投資経験、投資目的、資力等を十分に把握し、顧客の意向と実情に適合した投資勧誘を行うよう努めなければならない。」と規定されております。また、証券取引法では、「顧客の知識・経験及び財産の状況に照らして、不適当と認められる勧誘を行ってはならない。」とされております。

このように価格変動商品のお取引に際しまして、投資家保護の観点からも、お客様をよく知って、お客様にふさわしい商品をご案内することが求められております。そのためにも、従来の預金取引では必要のなかった情報も取得することが不可欠になってきております。取り扱い商品の拡大によって、取得する情報も拡大したということでございます。

以上、ご説明してまいりましたように、法令上の要請、取引チャネルの拡大、取り扱い商品の拡大といった変化に伴い、預金取引において取得する情報の種類も、取得方法も、従前に比べると多岐にわたってきているというのが実情であります。

なお前回、宮本委員から個人情報の取得の際の同意の取り方について、工夫が必要とのご意見を頂戴いたしました。これについて、弊行での具体的な取り組みの一端をこの場をお借りして紹介させていただきます。

前回も申し上げましたが、申し込み書上に記載する文字は例えば注釈のような部分でも、すべて最低でも８ポイント以上の文字を使用することにしております。あるいはインターネットでのお取引で、あらかじめ規定に同意をいただく必要があるような場合には、次の画面に飛ぶボタンを上の方には置かないことにしております。これは規定全文をスクロールして、最後までお読みいただかないと確認ボタンが出てこないということでございます。このようにして、規定をお読みにならずにお取引の申し込みをされることを防ぐ工夫を行っております。お客様にもいろいろな方がおられまして、煩わしいとお叱りを受けることもありますので、バランスは非常に難しいところですが、一方で十分とは言えないとのご指摘も踏まえ、今後もさらにわかりやすくする努力を続けてまいりたいと考えております。

次に、いただいた情報の利用の実情について、ご説明をいたします。情報取得に当たっての利用目的の説明については、既に一部のものについては、明示的に行っているものもございます。例えば預金口座の開設に際しては、本人確認法上必要ですので、確認資料をお見せくださいとご説明しております。また、投資信託のお申し込みに際しては、ご相談シートを用いて、お客様に適した商品をご紹介させていただくためにご記入くださいと説明しております。

ただし現時点では、情報取得時にすべてにわたって、その取得目的、利用方法を明示的にお示ししているわけではないというのは、前回お話ししたとおりでございます。

次にお客様から頂戴した情報の利用方法の特徴としまして、銀行内の各部署での共有について、ご説明申し上げます。お取引が店頭だけでなく、電話、インターネットと多様化しておりますが、お客様がどこでお取引をされても、そのお客様に関する最新の情報に基づいた最適のサービスの提供ができる体制の構築に努めております。例えば、コールセンターのオペレーターとお客様との間の会話などの情報を支店等の窓口担当者が知ることにより、ご来店の際に最適なご提案やスピーディーな対応が可能になる、といったようなことでございます。

もう一つ、銀行内の情報の共有について、別の例をご紹介させていただきます。預金口座の開設には確認資料をご提示いただくことで、情報の正確性を確認する必要があることは既にご説明をいたしました。営業店が窓口で、普通預金口座を作成いただいたお客様が後日、別の取引チャネル、例えばインターネットで定期預金口座を作成していただく場合には、既に確認させていただいた情報を行内で共有することで、同じ資料を改めてご提示いただく必要がなくなります。銀行内で情報を適切に共有することで、お客様の利便性が確保されている一例でございます。

お客様は店頭・テレフォンバンキング・インターネットバンキングなど、多様な取引チャネルを、その時々のご希望やご事情に応じて使い分けていただいております。どの取引チャネルもお客様から見れば、同じ銀行ですので、ある一つの取引チャネルで一度訊かれたことと全く同じことを別の取引チャネルでもう一度訊かれるということは、お客様にとって、極めてご不満に思われる点になっております。こうしたことから、銀行内での情報の共有は多様な取引チャネルをお客様に便利にご利用いただく上では欠くことのできないものだと認識しております。

次に、グループ内での共同利用について申し上げます。現在は、グループ内であっても別会社であれば、お客様の同意なく情報をやり取りすることは行っておりません。ただし、金融サービスのワンストップ化の流れは国際的にも強まっております。多様な金融サービスの提供を望まれるお客様も多いものと認識しております。実際、昨今の規制緩和により、銀行が本体で行うことができるサービスも多様化してきております。今後は、例えば専門的な分野については、銀行本体で取り扱えるものであっても、人材確保などの観点から、別会社として運営し、銀行本体とそうした関連会社が一体となって、金融サービスを提供するといった例も増えてくるのではないかと考えております。

こうした、いわば実態的には同一企業に近いようなグループ企業間での情報の共同利用に関しては、全く別の第三者とははっきりと峻別した上で、柔軟に対応できないものか、その方がお客様の利益にもつながるのではないかと考えております。

続きまして、預金業務における個人情報の第三者提供についてご説明申し上げます。貸出取引においては、信用保証協会やローンの提携会社にお客様の同意を得た上で、個人情報を第三者に提供するケースが多いことは前回お話ししたとおりでございます。これに対しまして、預金・投資信託などでは情報の利用は基本的に行内で完結するケースがほとんどでございます。例えば投資信託の商品は銀行が募集・販売を行い、投資信託の運用会社が運用の指図を行い、信託銀行が信託財産を保管いたします。業務上は複数の金融機関が関係いたします。

しかしながら、個々のお客様の氏名・住所、口座番号あるいは投資金額といった、銀行が取得した情報は運用会社や信託銀行には一切提供しておりません。何かお客様にお知らせの必要がある場合には、資料を運用会社から受け取り、弊行が個々のお客様にお送りするという仕組みになっております。このように、取得した個人情報は別途同意をいただいている場合以外は、あくまでも銀行内でのみ利用しております。

続きまして、安全管理措置の実情についてご説明を申し上げます。安全管理措置につきましては、前回、情報漏えい防止の措置から、従業員の管理・研修の体制に至る一通りのお話をさせていただきました。重複を避ける意味で、ここでは預金業務における個人情報の外部委託の実情についてご説明申し上げます。

預金業務でも、お客様の個人情報の取り扱いの一部を外部業者に委託するケースは多数ございます。例えば預金のお取引を頂戴しているお客様に別の商品やサービスを案内するダイレクトメールを印刷して郵送する業務の委託などでございます。この場合、お客様の氏名・住所を外部業者に引き渡しております。このような個人情報の取り扱いを含む業務の外部委託においては、前回、お話しさせていただいたとおり、そのオペレーショナルリスクを十分に認識した上で、情報の適切な管理に細心の注意を払っております。

まず、業務委託契約の締結に当たっては、委託先の経営の健全性や信用力をはじめ、情報管理体制の管理能力や業務遂行能力が十分であることを確認するところから、行内の管理基準に則って行います。契約上の守秘義務については、業務委託契約解消後の守秘義務の存在を含めて、契約書上に明記するように努めております。業務委託開始後も、委託先の処理内容や手続についての規定、マニュアルなどを入手することに努め、さらには定期的に委託先を訪問するなど、業務運営状況の把握に努めております。

このように、業務の外部委託に際しましては、委託先の管理の徹底に努めておりますが、それに加えて、委託先との情報の授受にも細心の注意を払い、情報の漏えいの防止に努めております。

具体的な一例をご紹介させていただきます。預金のお取引を頂戴しているお客様に、他の商品やサービスをご案内するダイレクトメールの印刷業務を外部業者に委託する際の情報の取り扱いの事例でございます。まず、個人データを委託先に引き渡すために、銀行でＭＯ(Magneto-Optical Disk)と呼ばれる磁気媒体に個人データを書き込みますが、その際には複雑なパスワードをかけることで、第三者が不正にデータを読み取ることができないようにいたします。その上で、委託先へＭＯを持ち出しますが、ＭＯはジュラルミンケースに格納した上で、厳重に施錠され、特別の輸送車で委託先に輸送されます。

委託先では受け取ったＭＯに書き込まれたデータをシステムで読み取り、お客様あてのダイレクトメールを作成いたしますが、処理を行うスペースはセキュリティーカードにより入退室管理がなされており、必要最低限の人員以外は入室できません。委託先では受け取った情報の件数と成果物として作成した印刷物の件数の精査を行い、作業途中での情報の漏えいがないことをシステム上の記録と照らし合わせて行うようにしております。作業終了後には、委託先のシステムから個人データを速やかに消去するよう、契約により、取り決めております。

以上のように、個人情報を含む業務の外部委託に際しましては、行内で個人情報を取り扱う場合と同様に、厳正な管理のもと、個人情報の外部漏えいを防止し、適正に運営するよう、努めております。

以上、預金業務における個人情報の取得、利用、第三者提供及び外部委託の実情に関しまして、ＵＦＪ銀行の事例に基づき、お話ししてまいりました。銀行の預金業務においても、その具体的な取り扱い方法は、各銀行、必ずしも一様ではございませんが、業界全体の統一的な指針はございます。現在は、金融庁の検査マニュアルにも参考掲載されているＦＩＳＣの指針を参考にして、適切に取り扱うこととしております。この指針は国際的な個人データ保護の考え方との調和を確保しつつ、個人情報の取り扱いに関する顧客の信頼を維持・強化し得るものであります。

また前回、今松委員と原委員から業界として、今後どのように個人情報の問題に取り組んでいくのかというご質問がございましたので、その点について、改めて申し上げますと、現在、全国銀行協会では、来年４月の法律施行を見据え、銀行界の自主的な取り組みとして、業界自主ルールを策定しているところでございます。

自主ルールでは、法令に定められた各項目について、実務上の運営が正しく行われるよう、また各銀行での理解に齟齬が生じないよう、具体的な例示を盛り込むことを検討しております。銀行の多様な業務に一つ一つ当てはめてみますと、いろいろな場合がございまして、法令の解釈などで、まだ細かな点を確認しなければならないところもございます。

今後の当審議会でのご議論並びに実務上の観点も踏まえつつ、業界全体として法律の趣旨に則った適切な運用が行われるよう、実効性のあるものをつくると同時に、加盟各行に徹底していきたいと考えております。

最後になりましたが、銀行界としての個人情報保護に関する考え方について、一言申し添えさせていただきます。今後、法律の施行までには、開示方法など、新たな論点について細部の検討を要するといった課題は認識しておりますが、これまでも個人情報の取り扱いに関しては、お客様の信用、財産に係る情報を取り扱う業態であることを十分認識し、その取得から利用及び外部委託する場合を含めた安全管理措置に至るまで、適切な取り扱いに努めてまいりました。消費者が金融分野の規制緩和や高度情報通信社会のメリットを生かした利便性の高い、良質なサービスの提供を受けるためには、個人情報の保護とのバランスに配慮した高度な利用が不可欠であると認識しております。

先ほど触れましたように、例えば一度提供した情報が同じ銀行内で共有されていないといったことは、お客様から見ても、極めて違和感を覚えることでございます。情報の保護には十分留意しつつも、お客様が利便性を最大限に享受できることに配慮することが必要であると考えております。そのために銀行界としても、保護と利用のバランスに配慮した個人情報保護の仕組みを自主的に構築していく所存でございます。

ご清聴ありがとうございました。

○ 山下部会長

どうもありがとうございました。

本日の議事につきましては、後ほど最後の30分ぐらいでお三方のご報告全体を通じてのご質問、ご意見をいただきたいと思いますが、とりあえずただ今の銀行についてのご報告について、特にご質問がございましたら、大体５分ぐらいのめどを考えておりますが、お願いいたします。

○ 上柳委員

グループ内での共同利用の話のところの関連なんですけれども、幾つかの銀行なり多くの銀行で、このごろはいわゆる持ち株会社化とか、今まで同じ法人の中でやっておられたことを、会社を分けるというようなことをやっておられると思うんですけれども、例えば銀行部門の情報を持ち株会社の方では自由に見られるんでしょうか。先ほど例に挙げられましたのは、実体的には同一企業と同種類のケースで、形式的に情報の隔壁があるのはいかがなものかというご指摘があったんですけれども、それにもちょっと関連して、実情を伺いたいんですけれども。

○ 山下部会長

いかがでしょうか。

○ 佐々委員

まず、持ち株会社と銀行の間で、個人情報のやり取りは一切ございません。あるとすると、例えば個人預金が総額で幾らあるとか、そういう情報は経営上、当然渡しますが、個人にかかわる情報というのは一切やり取りはございません。

○ 山下部会長

堀部委員どうぞ。

○ 堀部委員

現在、いろいろな事業分野でこの個人情報保護法をどのように解釈し、また具体化していくかという議論をしていますが、ただいまご説明いただきました点で、例えば15条１項の「利用目的をできる限り特定しなければならない」については、余り特定し過ぎると、内部での共同利用が非常に難しくなる、そのあたりのバランスをどのように現在、検討されているのか。特に銀行協会などで自主ルールをつくるときに、先ほども具体例をできるだけ挙げてということを言われていましたけれども、どういう検討が現在進んでいるのか。これはまた、いろいろな法律との関係で変わってまいりますので、とりあえず、そのあたりについていかがでしょうか。

○ 佐々委員

現在、作業中でございまして、できるだけ具体・個別にわかるような形で事例を挙げていきたいと考えております。利用の目的を明示してお客様にお知らせするということについても、現時点でもかなり従来に比べれば出してきているんですけれども、どこまでが適切かということについて、まだ我々は確たるものを持っておりませんので、いろいろなご意見を聞きながら、また業界の中で話し合いながら検討していきたいと思っております。

○ 山下部会長

高橋委員どうぞ。

○ 高橋委員

保護と利用のバランスという点についてお伺いします。今まで顧客の側からの利用のバランスというと、利便性ということで語られることが多かったんですけれども、銀行が投資取引に販売なり、あるいは取り次ぎとしてかなりかかわるようになってこられていると思います。そうしますと、利用者の側からしますと、その投資適合性判断に自分たちの情報がどういうふうに利用されるのか、それがどういう形で保護されるのかということに関して、非常に関心が高いと思います。

先ほど投資信託のケースでお話をいただいたんですけれども、投資信託の場合には証券業協会の公正慣習規則に従うと。これに関しては、証券業協会の方の特別会員になっておられるという事情がおありだと思うんですけれども、最近、販売が活発化されています変額年金の場合はいかがなのかお伺いしたいと思います。米国のように有価証券規制がかけられておりませんので、保険業界に取材する限りは、特に適合性判断のための個人情報収集を要求していないようなのですが、銀行が販売窓口としてそういう判断情報を投資信託と同様にとっておられるのかどうか、お伺いいたします。

○ 佐々委員

基本的に、我々の販売しているものは、投資信託も売っていますし、変額年金も売っていますから、全く販売するスタンスとしては、投資適合性の判断というのは、当然その場合に、その時点において間違いなくやっております。

○ 高橋委員

やっておられるというのは、変額保険の販売時に投資信託と同じような確認書とか、書類というのを別途に銀行でつくってとっておられるところが多いというふうに判断してよろしいですか。

○ 佐々委員

ここにございますようなことを、ほぼ同じ項目を訊いています。(添付資料としてご提示した)この、これとね。

○ 高橋委員

つまり書類として存在するのかどうかということを確認させてください。

○ 佐々委員

ちょっとそれは確認してみますけれども……。

○ 山下部会長

それではまた後ほどの時間か後日にでもわかればご報告いただければと思います。

それでは、まだ質問があろうかと思いますが、あと２つ報告を予定していますので、後ほどの時間にまたあわせてご質問いただければと思います。

続きまして、信用金庫業界を代表していただきまして、社団法人しんきん保証基金専務理事の白井様よりご説明をお願いいたします。

○ 白井委員

ただいまご紹介いただきました、しんきん保証基金の白井でございます。

本日は信用金庫業界のこの分野の取り組みの状況等について説明させていただく機会をいただきまして、ありがとうございます。時間の関係で座って説明をさせていただきます。

まず信用金庫でございますが、ご案内のとおりでございますけれども、会員制度に基づく協同組織金融機関でありまして、現在、全国に306の信用金庫がございます。預金業務につきましては、会員外からも広くお受けいたしておりますが、貸付については原則会員ということで取引をさせていただいております。

本日は個人情報保護法に対する個別の信用金庫の対応の状況と、信用金庫業界全体としての対応状況について、ご説明をさせていただきます。資料といたしましては、資料の３－１でございます。

まず１枚目のところでは、信用金庫業界における個人情報の取り扱いについてということで、１といたしまして、「個別の信用金庫の対応状況について」。ここではといたしまして、個人情報の取得方法・利用の状況、で個人情報の第三者提供の方法等、３番目で個人情報の安全管理措置等ということで、ここではプライバシーポリシーの策定及び公表など４項目についての説明。それからのその他でございますが、ここでは苦情窓口の設置の状況でございます。

次のページで、２枚目でございますが、これは信用金庫業界全体としての対応状況ということになりますが、ここでは「セキュリティーポリシー策定に向けて」というガイドラインを信用金庫業界でつくっておりまして、これの内容の説明ということになります。それから２番目で個人情報保護法等の周知が現在、業界に対してどういうふうになされているかということ。それから３番目といたしまして、個人情報の保護に関する今後の対応になりますが、説明会の開催について、これから順次説明をさせていただきます。

それでは、１ページの方へ戻っていただきまして、まず個別信用金庫の対応状況ですが、ヒアリング項目に沿って説明をさせていただきます。これについては、私どもの業界団体でありますところの全国信用金庫協会が信用金庫にアンケートを実施いたしました。このアンケートはすべての信用金庫を対象としたものではなくて、一部抽出によるものですが、どちらかと申しますと、先進事例としての信用金庫としては、このようになっているということの説明ということになります。

の個人情報の取得方法・利用の状況ということでございますが、本日は信用分野以外の金融分野における業務についてということでございますので、預金業務を中心に説明をさせていただきます。預金業務において、個人情報を取得する方法は、私ども信用金庫の業態におきましては、店頭もしくは信用金庫の渉外係がお客様の自宅等を訪問した際に、お客様に各種預金の申し込み書等に記入いただく場合と、本人確認のために運転免許証や健康保険証など、個人情報が記載された資料やコピー等をお客様からご提出いただくということでございます。その際にご記入いただく情報は氏名・住所・生年月日・自宅の電話番号・勤務先名・勤務先の電話番号、そして取引印鑑等もお願いするということになります。

こういうことを続けますと、結果といたしまして、預金残高情報が蓄積するということにも当然なります。そのほかには、国債や投資信託の販売など、証券業務に関しまして、適合性の原則を確認するために、先ほど説明した各種の情報のほか、有価証券の投資経験や、収入、資産状況について確認いたしております。

いずれの場合も、個人情報の管理規定等によりまして、業務上必要と認められる事項についてのみ、収集するものといたしておりまして、顧客の意に反した情報の収集は行っておりません。また、収集した情報の保管方法でございますが、これはホストコンピューターに登録し、原票は金庫室等に保管しております。

次に個人情報の利用につきましては、富裕層に対する投資信託の販売等、顧客の資産に応じた金融商品の販売について利用いたしておりますが、あくまで業務上必要な範囲内で利用するものといたしておりまして、業務の目的外のための利用は禁止しております。

続きまして、の個人情報の第三者提供の方法等についてということでございますが、これにつきましても、個人情報の管理規定等によりまして、顧客情報の外部者への提供は法令で定められた手続に従う場合等除きまして、後日、疎明が可能な方法で顧客から同意を得ている場合以外は行ってはならないということにしております。また実際上も個人情報を他の企業等、第三者に提供するといったことは行っておりません。

続きまして、の個人情報の安全管理措置についてでございます。１つ目はプライバシーポリシーの策定及び公表についてでございます。プライバシーポリシーにつきましては、その内容といたしまして、顧客に個人情報についてお尋ねする場合は、どんな場合か。個人情報の利用目的、個人情報を第三者に例外的に開示する場合、そして個人情報の管理方法、それから個人情報の保護に関する関係法令及びその他の規範の遵守等について定めておりまして、これらの内容を信用金庫のホームページ等に「お客様情報の取り扱い」という項目を設けて、公表いたしております。また個人情報保護法への対応をコンプライアンス・マニュアルや同プログラムにも盛り込んでおります。

２つ目は個人情報の取り扱いに関する管理責任者及び管理担当部署についてでございます。これにつきましては特定の部署を個人情報の管理担当部署として定めるとともに、管理責任者も定めまして、個人情報の適正管理に関する管理責任体制を構築しています。また各部店ごとに情報セキュリティー管理責任者を配置している信用金庫もございます。さらに個人情報の適切な管理運用を行うためには、役職員に対して周知徹底を図ることが必要でありますので、各種要領等を策定しまして、徹底を図っております。

３つ目は個人情報の管理規定についてでございますが、個人情報の取り扱いを適切に行うために、各種規定及び事務マニュアル等を定めまして、個人情報の収集・利用・開示に当たっての留意点及び苦情対応等について定めております。さらに個人情報の処理を外部委託する際に情報が漏えいするといったことも考えられますので、これらを防ぐために外部委託先の選定基準等も規定しております。また委託先より機密情報の保持に関する覚書などを差し入れてもらうようにもしております。また情報セキュリティー管理要領等を定めまして、コンピューター端末機の操作に特定のユーザーＩＤやパスワード等を設けたり、顧客関連資料の持ち出し禁止などを定めたりいたしまして、職場内における情報管理の徹底を図っております。

４つ目は個人情報の取り扱いについての役職員に対する周知徹底についてでございます。個人情報の取り扱いにつきましては、全役職員が十分に理解しておくべきものであるととらえておりまして、新人研修はもちろんのこと、各種集合研修など、さまざまな機会をとらえて実施しております。ここでは個人情報の取り扱いのポイントについてまとめたテキストなどを参考にしながら、各部門に配置したり、それからＯＪＴも実施しております。

それから昨今、新聞紙上等において、個人情報の漏えい事件が報道されておりますことから、その情報等についても取りまとめた上で、役職員に回覧を行っている信用金庫もございます。

のその他についてでございますが、個人情報の取り扱いに関する苦情窓口の設置についてでございます。この窓口につきましては、単なる個人情報に関する苦情対応だけではなく、顧客からの個人情報の開示、それから訂正・削除と、各種要求に答えられますよう、担当部署を定めるとともに、受付窓口を設けています。また苦情処理要領等についても定めまして、これに基づいて具体的に苦情対応を行うことといたしております。

以上が、アンケート結果から見た状況でございますが、実はこれは一部の先進的な信用金庫の事例でありまして、全体としては、まだ体制整備が十分とは言えない状況にございます。現在、個人情報保護法の内容等を踏まえた実務的な対応を多くの信用金庫で検討しているというのが実情でございます。個人情報保護に対する個別の信用金庫の対応状況については、以上でございます。

続きまして、資料の２ページ目で、信用金庫業界としての対応状況について説明をさせていただきます。私ども信用金庫業界におきましても、顧客にかかわる個人情報につきましては、当然ながら守秘義務がございまして、従来より厳正な取り扱いを行っております。具体的にはお手元に資料３－２としてお配りしておりますセキュリティーポリシー策定に向けての一部抜粋資料をごらんいただきたいと存じます。

これは平成12年６月に全国信用金庫協会に設置されましたセキュリティーポリシー研究会というものにおきまして検討の上、平成13年３月に制定されたものでございますが、その概要について説明をさせていただきます。なお、先ほど説明いたしました個別信用金庫の対応と一部重複するところもございまして、委員の皆様には既にご案内の内容が非常に多いと思いますが、ご容赦いただきたいと存じます。

まず１ページ目の「情報資産保護に関する基本方針」をごらんいただきたいと存じます。これを作成した目的でございますが、信用金庫は金融機関としての社会的責任を果たすために、各信用金庫が保有する情報資産を適切に保護しなければならないということでございます。万が一にも情報資産の漏えい、紛失、不正使用や改ざん等が行われたり、災害、故障その他の理由によりまして、情報システムが停止した場合には、信用金庫の業務遂行に重大な影響が及ぶことになります。また企業イメージも低下いたしまして、信用が失墜するとともに、地域内の中小企業や住民の方々に多大なるご迷惑をおかけすることにもなります。

こういった事態を避けるために、情報資産に関する基本方針といたしまして、この情報資産保護に関する基本方針を定めたということでございます。この基本方針は記載が必要とされる事項につきまして、最低限の記述で表現しておりまして、各信用金庫もこの基本方針を策定する際には個別事情によって、より詳細な記述をするということも考えられるため、参考例、いわゆるガイドラインといった位置づけということになっております。

基本方針の具体的な内容について説明いたしますと、まず１－１の総則におきまして、基本方針の目的を定めておりますとともに、基本方針の位置づけや信用金庫の役職員は基本方針が有効に機能するように努める旨、定めた役職員の責務について定めています。

次に２の情報資産のところでございますが、この基本方針における情報資産の定義と情報資産の保護について定めています。続きまして２ページ中ほど、３のセキュリティー管理体制におきましてはセキュリティー管理体制の整備を図るために、セキュリティー統括責任者として、情報セキュリティー担当役員を置くとともに、情報セキュリティーの維持管理を信用金庫全体で統一的に行うため、セキュリティー部門の設置と必要な体制整備を行うことを定めています。

次に３－２の検査体制では以上の管理体制のもとで、信用金庫における情報資産が適切に保護・管理されていることを確認するために、検査部門による内部検査時にその検証を行うほか、その検証結果を情報セキュリティー統括責任者に報告するというふうに定めております。

さらに、この基本方針の遵守のための方策といたしましては、４－１において役職員の遵守について定めるとともに、４－２では外部委託先に対しまして、この基本方針が有効に機能するよう協力要請を行っていくということに決めております。

そのほか、５の危機管理でございますが、この基本方針の重大な違反行為があった場合や、信用金庫の情報システムなどに災害・事故等による危機的状況が発生した場合の危機管理計画についても定めるということにいたしております。

続きまして、資料の４ページをごらんいただきたいと存じます。以上、説明いたしました基本方針のほかにも顧客情報管理規定についても定めております。この規定は１の「目的」にもございますとおり、信用金庫が業務を通じて接する顧客に関する情報について、金融機関としての社会的信義を全うし、適切な利用を行うとともに、顧客の権利利益を保護することをその目的としております。

顧客情報の取り扱いにつきましては、４の「顧客への周知」にもございますとおり、顧客情報の収集に当たっては、収集した情報の取り扱いについて、当該顧客に周知するということ。それから５の「顧客情報の収集範囲」では業務上必要と認められる事項についてのみ、収集するものとしております。顧客の意に反した情報の収集は行わない。ほか、６の「収集方法の制限」では適法かつ適正な方法によって行うことと定めております。

また情報の収集だけではなく、その利用についても適正な取り扱いが望まれることになりますので、８の「利用範囲の制限」において、顧客情報は正当な業務の範囲内でのみ利用することというふうに定めまして、一般的に合理的と考えられる範囲を超えて、利用目的を変更しないということにしております。

９の「目的外の外部提供の禁止」についてでございますが、当該情報の収集目的の範囲を超えて、顧客情報を外部へ提供しないというふうにしております。このほかには顧客情報の管理における注意点といたしまして、11のところでは「顧客情報の正確性の確保」、12では、顧客情報の利用の安全性を確保するための顧客情報への不当なアクセス、それから改ざん等に関する安全対策の構築、さらに13では「従業者の秘密保持に関する責務」についても定めております。

また14では「顧客情報の処理委託に関する事項」といたしまして、顧客情報の情報処理を外部に委託する場合には、顧客情報についての十分な保護水準を維持し得るものを委託先として選定するとしております。この点につきましては、実務的にも重要なポイントとなってくるということになりますので、資料の一番最後の７ページにございますとおり、さらに外部委託管理規定についても定めまして、外部委託先の選定及び契約内容や委託先に対する定期的なモニタリング調査等についても定めております。

以上、資料３－２、セキュリティーポリシーの策定に向けての内容につきまして、簡単に説明させていただきました。

その他の個人情報の保護に対する信用金庫業界の対応といたしましては、去る平成15年５月30日に公布されました個人情報の保護に関する法律のほか、個人情報の保護に関する施行令や政府の個人情報の保護に関する基本方針等について、すべての信用金庫に対して、周知を図っております。それとともに、この４月中旬から１カ月間をかけまして、しんきん保証基金が地区別に信用金庫の理事長を対象に開催した会合がございまして、その機会に個人情報保護の動向、とりわけ信用金庫が今後取り組むべき課題について説明いたしまして、各理事長に今後の重要な課題ということで認識していただくよう、努めました。

さらに全国信用金庫協会が会員信用金庫を対象にいたしまして、来る６月８日に個人情報保護に関する説明会を開催する予定でございまして、ここで改めて個人情報の保護に関する実務対応等について説明をする予定でございます。

また個人情報の保護についての具体的な対応につきましては、信用金庫業界といたしまして、自主ガイドラインの策定等も含めて、現在、検討を行っておりまして、今後なるべく早期に対応をいたしたいと考えてございます。

私の方からは以上でございます。ありがとうございました。

○ 山下部会長

どうもありがとうございました。

それではただいまのご報告について質問があればお願いいたします。上柳委員どうぞ。

○ 上柳委員

すみません、２点あるんですが、１つはこのセキュリティーポリシーの中で、最重要情報、重要情報に分けられているので、どこに当てはまるかを伺いたいんですが、顧客情報ということで、お客さんから伺うといいますか、聞く氏名であるとか、電話番号とかいうことのほかに、預金とか決済は使っておられると、決済をしたこと自体といいますか、何月何日にどこそこに幾ら払ったと。例えば弁護士の上柳に相談をしたから、報酬を払うんでしょうけれども、そういう情報も蓄積されていくと思うんですけれども、これももちろん最重要情報に入るということでよろしいのでしょうか。それとも、この保護法の範囲なのかどうかという問題もあるのかもわかりませんが、そこら辺の考え方を伺えればというのが１つ。

もう一点は、これは差し支えない範囲で結構なんですが、公権力の行使に基づく場合には、第三者にも提供するということで、具体的には私ども、一番気になるのは、税務署にどの程度協力されているのかということなんですが、これは相場というのか、何かもしあれば、教えていただきたいと思います。

○ 白井委員

まず１つ目でございますが、基本的に個人情報はすべて最重要情報と認識している信用金庫がほとんどだと考えられます。

それから２つ目については、強制調査については提出しています。

○ 山下部会長

最初の第１点の質問で、個人情報かどうかはともかく、決済に関する情報のようなものも最重要情報ということでしょうかというご質問が含まれていたかと思いますが。

○ 白井委員

個別の金庫の状況を詳しく調査しておりませんので、ここではお答えする内容を持ち合わせておりません。

○ 山下部会長

その点については後日にでもお願いいたします。

それではまず原委員から。

○ 原委員

セキュリティースタンダード例で、４ページのところなんですけれども、信用金庫の場合は、銀行とは違って、日常的に顧客といろいろな場面で接触をしていらっしゃると思っておりまして、ここの４番の顧客への周知と、それから８番の利用範囲の制限のところなんですが、顧客への周知のところでは、収集した情報の取り扱いについては顧客へ周知すると書かれていて、日常会話等により偶然知り得たことに関してはこの限りではないという書き方になっているわけです。それから８番の利用範囲の制限のところも、「正当な業務の範囲内で利用することとし」としてあるんですが、一般的に合理的と考えられる範囲を超えての……。

ここはいいんですね。利用範囲の制限のところはちょっと私の勘違いで申しわけないんですが、信用金庫独特の業務の中で知り得た、非常にさまざまな情報というのがあると思うのですけれども、これについては、どのような、明文化というのは大変難しいと思いますけれども、実際上はかなりいろいろな面に利用されているのではないかと思うのですけれども、そのあたりは銀行とはちょっと違うと思っておりまして、もう少しお話を聞かせていただけたらと思います。

○ 白井委員

できるだけ正確を期したいと思いますので、個別の信用金庫に確認いたしまして、次回等で改めて回答するということでよろしいでしょうか。申しわけございません。

○ 堀部委員

ただいまのセキュリティーポリシーに関係してですが、このいただいた資料ですと、平成13年３月ですので、個人情報保護法が成立する前のものですけれども、例えば今の４ページに書かれていることというのは個人情報保護法の内容とほぼ同じものです。セキュリティーポリシーあるいはセキュリティースタンダードの問題になりますと、むしろ20条の安全管理措置とか、21条の事業者の監督とか、22条の委託先の監督とか、そういうところがこれからは中心になると思うのです。これですと、個人情報あるいは顧客情報全般の取り扱いの例になっているわけですけれども、このあたりをどのように今後法律ができた現時点において、改正しようとしているのか、何か議論があるかどうか、そのあたり、詳しくお願いします。

○ 白井委員

きょうお配りしましたこの「セキュリティーポリシーの策定に向けて」というのはどちらかというと、コンプライアンスとかリスク管理の観点から、平成12年の途中から全国信用金庫協会で研究会を設けてつくりました。したがって、今回の個人情報保護法の内容等を踏まえまして、さらに見直し、検討を進めていくことにしております。

○ 堀部委員

最後のところで、全体としてはまだ体制整備が十分というわけではないとお話しされたのですが、そうすると、ここのからのところでそれぞれありますけれども、恐らくとかこのあたりは当たり前のこととしてやっていると思うのです。とか、例えばまだこれは当然アンケート等々の対象になっていないと思うのですけれども、わかる範囲でいいのですが、これからどういう点の整備が必要なのか、二、三わかる点があれば教えていただけますか。

○ 白井委員

このアンケートそのものについてでございますが、全国信用金庫協会でコンプライアンス検討専門部会という部会を設置しておりまして、この部員信用金庫８金庫についてのアンケートの内容に基づく個別の発表ということにさせていただきました。したがいまして、それ以外の信用金庫の現状、さらには今後については、実態が把握できていないというのが現状でございます。

○ 山下部会長

それではまだご質問があろうかと思いますが、先に次のご報告を聞いて、また後ほどのまとめての質疑でご質問をいただければと思います。

続きまして、それでは日本証券業協会会員本部長、吉岡様並びに野村證券株式会社専務執行役、柴田様よりご報告をお願いいたします。

○ 吉岡委員

日本証券業協会の吉岡でございます。

私の方から業界全体の現状についてご説明させていただいて、あと野村證券から個社の個人情報の具体的な取り扱いについて、ご報告させていただきたいと思います。

それでは資料４でございますが、先ほどＵＦＪ銀行からもお話がございましたが、証券界の方では適合性原則を満たすために、協会員の投資勧誘、顧客管理等に関する規則というもので、顧客カードの整備というものを義務付けております。別紙に規則の抜粋をお付けしてございますが、氏名からはじまる10の項目を記載した顧客カードの備え付けを義務付けております。

また、証券会社ではその次にございますように、インサイダー取引（内部者取引）の未然防止という観点から、協会のルールで次の２ページ目の上にございますが、同じ規則で、役職員が発行会社に係る未公表の情報を取得したときの管理と、それから顧客の管理というものも行っております。

ここには具体的には書いておりませんが、証券会社では内部者登録カードというものを作っています。ここで顧客が、例えば企業のどういう役職にある方かと、つまりインサイダー情報を入手する可能性があるかどうかというような点も踏まえて把握するということを行っております。

これについて、実際にきちんと管理が行われているかどうかにつきましては、３年に１回の周期になりますが、協会の監査でチェックをさせていただいているということでございます。

また、顧客の秘密の漏えいに関する担保ということでございますが、２にございますように、１つは秘密漏えいに関する禁止規定というのがございます。具体的な規則の抜粋が２ページ目の先ほどの顧客カードの部分の第２項に「協会員は顧客について顧客カード等により知り得た秘密を他に漏らしてはならない」という禁止規定を設けておりますし、役職員に関しましては、「証券従業員に関する規則」というところで、禁止行為を定めておりまして、その第９条３項18号に「職務上知り得た秘密を漏えいすること」と、ここにございますように、証券界では特に今の個人情報保護法に基づく情報以外にもその秘密の漏えいということで、広くとっております。つまり、顧客の取引の動向だとか、こういうものも漏らすことは禁止ということにしております。

これの実効性の担保でございますが、３ページ目にございます。この規則は若干端折って書いてございますが、協会のルール上、会社に対する罰則といたしまして、定款に基づく処分がございます。処分の種類は譴責、過怠金の賦課、会員権の停止若しくは制限又は除名と。それから定款に基づく勧告というのがございます。協会員に対して是正勧告をし、改善報告を求めるという、これらが定款に謳われている会社に対する罰則規定でございます。これ以外にも理事会決議によりまして、ここに至らないものでも文書注意というような処分も行っているところでございます。

また役職員（個人）に対する罰則でございますが、ここにございますように、１つが、外務員に対する登録取り消しで、その期間は５年間でございます。また、職務停止処分であればその期間が２年以内となっております。これは証取法に基づく行政処分でございまして、金融庁から委任を受けて実施しているところでございます。

また業界独自の役職員に対する処分が、下の ii 、 iii にございます。１つは外務員の資格、これは外務員登録をするためには、日証協の自主ルールで外務員資格を義務付けております。この外務員資格の取り消し・停止処分を行うということ。それから不都合行為者処分。これは５年間、証券会社の役職員として勤めてはいけないという、厳しい処分でございます。これにつきましては、外務員以外にもかかってくるところでございます。

それと個人情報保護の関係につきましては、先般のＩＴ関係省庁連絡会議の幹事会の申し合わせによりまして、金融庁から「個人情報の情報管理の徹底について」という、周知方の要請を受けて、証券会社の方に通知をしているところでございます。これにつきまして、情報漏えいの事実を把握した場合には、監督当局への迅速な報告だけでなく、先ほどの規則に違反する場合には日証協にもきちんと、事故として報告をしてほしいということで周知徹底をしたところでございます。

業界の先ほどの処分等について、具体的な事例をここで少しご紹介いたしたいと思います。まず、従業員の部分で、実際にこの処分につきましては、余りこれは言いたくない数字なんですが、昨年度260件程度の処分を行っております。これは「職務停止１週間」という軽い処分から不都合行為者処分という厳しい処分までを含めまして260件程度でございます。そのうち、昨年度、秘密の漏えいという部分では２件ぐらいしかございません。

それ以前のものを含めまして、ちょっと事例をご紹介申し上げますと、１つが従業員が他の会社への転職をしようという目的で、その会社のパソコンに記録されていた、顧客名簿を含めた営業上のノウハウを自宅にメールで送ったという事実が発覚したということがございます。日証協としては、この外務員に対して、２週間の職務停止の処分を行っております。

また、ある従業員が金融業者に売却する目的で顧客のデータが記録されている会社のパソコン自体を自宅に持ち帰り、家で顧客データをフロッピーディスクに移し、これを金融業者に売却したという事実が発覚しました。さらに社内調査において、この従業員については、顧客資産の着服というものも判明した結果、会社の方では多分告発をしたんだと思います。窃盗容疑で逮捕され、裁判で有罪となっております。日証協としましては、不都合行為者処分、５年間の業界追放という処分をいたしております。

それから、「証券会社の以外の他の事業者から、証券会社との取引について、何か知っているような感じで取引の勧誘があったんだけれども」という顧客から証券会社に対しての何か話があったようでございます。そのため、この証券会社では警察への届出を行うとともに、社内調査を行った結果、一部の支店の顧客情報が漏えいしていたと十分に推測できる状況が把握されたということで、事故の報告が来ました。ここで社内調査をいろいろしたわけですが、実行行為者について、なかなか決めつけることができなかったということで、従業員の処分は行っておりませんが、日証協といたしましては、会社の情報管理体制について是正を求めるということで、会社に対して勧告を行っております。

またもう一件、支店の営業員がお客さんの情報が入ったかばんを自宅に持ち帰って、車に置いていたところ車上荒らしに遭って、盗難されてしまったという事件もございましたが、これについては特に意図性というものがないということから、特に処分というものには至っておりません。このような事例が過去にございます。

それから個人情報に関する苦情対応でございますが、日本証券協会では証券あっせん・相談センターというものを全国９地区に置いて、いろいろな苦情、それからあっせんに応じております。昨年度の苦情件数は751件、件数としてはございますが、個人情報の漏えいに関しての苦情というのは１件もございません。過去においてもないと聞いております。

今後の業界としての対応でございますが、にございますように、去る４月にワーキンググループをまず立ち上げたところでございまして、まだ具体的な検討には至っておりません。一度開催し、内閣府のご担当者に来ていただいて、法律自体をご説明いただきました。そのときにいろいろな質問が出まして、先ほどの顧客に対する利用目的の通知・公表のところでございますが、どこまできちんと示せばいいのかというような話で、まだ明確になっていないものもあり、これから検討をしていきたいと思っております。

個人に同意いただく事項についても、できるだけ業界として、こういうことは同意をいただくべきだということを決めていきたいと思っております。特に日証協自体も、監査等で個人顧客の情報について証券会社からいただくようなことがあろうかと思います。この辺についても、第三者提供に該当するのか、該当しないのかというような点も踏まえまして、今後検討をしていきたいと思います。

そういった部分で、かなりまだ明確になっていない部分もございますが、現在、協会で各種研修を行っておりますが、その中で、個人情報保護法をテーマにした研修を弁護士等を講師にご説明をお願いして、周知、徹底に努めているところでございます。

あと個別の話は野村證券からお願いします。

○ 柴田参考人

野村證券専務執行役の柴田でございます。よろしくお願いします。

お手元の資料に沿ってご説明申し上げたく存じます。まず個人情報の入手の経路でございますが、１つは協会の規則に定めるような形での顧客のカードをお客様から受け入れさせていただくということでございまして、これは口座を開かれるときに、お客様ご自身が記入するものでございます。お手元に別紙の１というのがついております。これは現物でございまして、お名前でございますとか、生年月日でございますとか、住所、電話、それからご職業、お勤め先云々と。また内部者情報を用いる立場にいらっしゃる方々ということで、上場会社の役員さんに該当するか否かといったようなことを記入していただく。また振込先の銀行さんの口座もございますので、これも頂戴すると。

２ページ目でございますが、主に適合性についての判断の助けとなるというために、ご投資経験のありなしを幾つかの商品に分けて具体的にお伺いしてみたり、それからご収入の形態ですが、給与がおありになるのか、年金なのか、事業収入なのかといったことをお尋ね申し上げるとともに、年収水準とか、金融資産の水準についてもお尋ね申し上げるということです。

また、特にプライバシーにかかわるところで金融資産については知らせたくないという方がいらっしゃるような場合には、そこに「拒否」となされた旨を残させていただくというものでございます。これはこの資料にございます「個人情報入手」のその１、「顧客のカードの整備」ということでございます。

２つ目、内部者登録でございます。お客様ご自身から、「私はこういった会社の内部者であります」という申告を受けることもございますが、それに加えまして、公表情報でございますけれども、これを定期的に購入しまして、具体的には３カ月に１回ということでアップデートさせていただいております。当社のお客様の情報とマッチングするということを電子的に行っています。また規則で要求されております内部者登録のカードもまた別途準備をしているということです。

具体的に内部者情報を持っていらっしゃると思われるような方が、取引があるような場合、一たんシステムでブロックをかけまして、個別に審査をさせていただくという体制でございます。

それから「情報の保護」という、項目の２でございますが、まず「ポリシー等」とございます。コンプライアンスの基本方針でございますが、基本的に非常に幅広い倫理規定を会社で設けておりまして、その中に当然でございますが、法令を守りなさいとか、あとは会社の施設ですとか、情報ですとか、地位を利用して会社の利益じゃなくて、自分の利益に使ってはいけませんとか、こういった私利追求の禁止でございますとかいうものにあわせまして、守秘義務というのが厳格に決められております。

保護すべき情報といたしましては、お客様の情報一般、それからそれに加えまして、個人情報としますと、私どもの会社の役職員に係る情報でございますとか、また未公表のいろいろな情報、または会社情報といったものもこの守秘義務の対象に含まれております。

の情報セキュリティーポリシーでございますが、これも明確に文書化しておりまして、情報ごとに管理の規則を定めるなど、明確化しております。この情報セキュリティーという言葉を社内で定義しておりまして、１つが機密性、２つ目が完全性、３つ目が利用可能という意味の可用性でございますが、機密性ということをどう定義するかということでございますけれども、利用を許可されたものだけが利用できる状態と定義しております。また完全性でございますが、正確な状態で保存されており、かつ正しく処理されるというふうに定義しております。可用性はこういったことを厳しく管理するものの、必要なときに有効に利用できる状態というところでございます。先ほど銀行さんの方からお話があったところにもかかわるかと思います。

それから情報システムに関する規定、これはかなりきちんとやらせていただいておりますが、後ほどのシステムの管理のところでまとめてご報告させていただけたらと思います。インターネット等々の利用ガイドラインも同様でございます。

(2)「情報セキュリティーに関する体制」でございますが、別紙の２というところを見ていただきたく存じます。横長の紙でございますが、代表執行役、ＣＥＯたる社長に直接リポートする形で、役員がこの情報セキュリティー統括責任者になっております。かつそれが代表執行役であると。たまたま私でございますが、それを補佐する形で情報セキュリティー委員会というものが定時に行われまして、いろいろな基本方針でございますとか、業務の施策をその場で議論をすると、また決定をしていくという機関でございます。

これがハイレベルでの規則とか施策であるといたしますと、現実には現場に行かないと、やはり情報の管理というのはできないということでございまして、支店でございますとか、本社の各部でございますとか、そういったところのヘッドが基本的にその責任を持つと、逃げられないという立場にございます。彼のもとに、総務系で業務管理を行う方、それからシステム系で管理を行う方がいるということでございます。

それから会社としては非常に高いレベルでのコミットを行っているということと、問題点が仮にあれば、早く対処できるというための体制はとっているつもりでございます。

それではまた紙の方に戻ります。今、、につきましては、先ほどの別紙２でご説明申し上げましたので、につきまして補足という形で申し上げます。例えばシステム等々の障害が起きたような場合、これはそれぞれの問題がありますが、１カ所、主管部、ＩＴ戦略部ということでございますが、ここからご当局及び協会に報告ということでございます。またその中で似たようなことで、情報の漏えいがあったような場合、また協会規則違反となるようなものにつきましては、この主管部から協会へ報告を行うという体制になっております。

これは全体のポリシー及び体制につきますところでございますが、日々の周知徹底というものも、これはかなり大事でございまして、「文書による通知」、これは口頭ですとかなりおかしくなりますので、厳密なる通知を行うということと、それから紙を配ればいいというわけではございませんので、定期的に研修会のような形で、それぞれの部店におきまして、共通の教材で勉強を行うとか、あとは全社的にコンプライアンスアワーという時間を設けまして、法令遵守等々に係る勉強会があるわけですけれども、そこでも、この情報保護だけの時間をとったりということもございます。

また、紙を見ない人もいませんし、研修に参加しない人もいませんが、やはり人間の記憶力に、また整理力に問題があるといたしますと、机上にございますコンピューターの社内のホームページで情報セキュリティー委員会ウェブとして、常時いろいろなルールを掲示しているという体制をとりまして、この３つの方法によりまして、定期的に、継続的に周知の徹底を図っているということでございます。

第三者提供をするか、また業務情報を共有をするか、外部照会にどう答えるかという点でございますけれども、第三者提供は基本的にいたしません。ただし、先ほどの銀行さんのご説明にもございましたとおり、例えば目論見書をお送りする。氏名・住所が入ります。それからいろいろな報告書をお送りするということもございますので、これを外部にお願いする場合には、契約書に厳しい守秘義務条項等々の項目を入れるということでございますが、これは今後継続して強化する方向でございます。

また、グループ間の情報共有といったことでございますが、私どもは例えば野村ホールディングという持ち株会社がございます。その下に証券会社がございまして、また海外の子会社も証券会社の兄弟会社であると。それから昨今、例えばハウステンボスでございますとか、西武百貨店でございますとか、そういったところに出資をしておりますＮＰＦというのがございます。またリースを行うところ、信託銀行も入りますが、これはグループの中の会社でございます。基本的には個人情報につきましては情報共有をしないということでございます。経営情報については別でございます。

ただし、お客様のところに例えば証券会社のセールスマンがリースの会社の人をお連れするという場合には、事前にこういった方です、こういったニーズがありますといった概念的なことについては伝えることは可能であるけれども、個々の情報については、基本は伝えられない。しかし、お客様から書面による同意書を頂戴した場合には、その限りではないということでございまして、事前にこういった人間をお連れいたしますけれども、こういった情報を共有してもよろしゅうございましょうかと。署名捺印していただけまして、事前にオーケーという場合には事前共有ということでございます。

また外部照会でございますが、外部からの照会につきましては、営業マン等々では少し限界もございますので、対応マニュアルを作成して、総務の関係の管理者がきちんと応対をすると。例えば弁護士の方から連絡があったとき、どうしたらいいかとか、正当に授権されているか否かとか、そういったことに関しては、非常に細かいマニュアルをつくります。また、個々人の判断によることになりますと、お店によって対応が違うということになりますので、全国で統一的な対応を図るためのマニュアルということでございます。

それから次は、先ほどシステム等々と申し上げましたけれども、これは別紙の３と４を見ていただくと。その上でご説明を申し上げます。この別紙の３でございますが、当社の社内用語で申しわけございません。上の「ＢＰＲ環境」という言葉と、「ｉネット環境」というのがございますけれども、基本的にはＢＰＲはお客様の情報が詰まっているシステムである。そこにおきまして、取引の処理を行ったり、決済を行ったりということでございますが、ここの環境からは基本的に外部へｅメールを送れないと。それからほとんどの機械につきましては、コンパクトディスク、フロッピーを差し込む穴がないと、ふさがれているということでございます。また、印刷につきましては、かなり制限的に行っておりまして、１人１台あるわけでございますが、特別に印刷をした場合には、いつ印刷をしたかというのが残っています。ですから、少なくともどのＰＣからどういったデータが印刷されたということはデータが保存されるという状況でございます。またコンピューターのネットワークで、外の方と連絡がとれないというのが問題でございますので、主に外の方と連絡するためにｉネットという環境をつくっております。ここが外部との電子的な通信が可能でございますし、グループ各社との連絡も可能であるということです。ここは一般的なオープン環境を前提としたセキュリティー対策ということになっておりまして、ファイヤーウォールでございますとか、ウィルスのチェックですとか、実に大量のウィルスが来ますけれども、届く前に大体処理されているという状態です。

注目すべきはメールに対する自動ＢＣＣ機能とここに書いてございます。ＢＣＣのＢはブラインド、ご本人が知らなくても、カーボンコピーが行われていると。すなわち、例えばおやめになるセールスマンが転職するときに、自分のお客様のこれを持っていきたいということでやろうという場合には、基本的にセールスマンのほとんどＢＰＲ環境でここからデータを持っていけません。ただし、社内で連絡のために、ごく少数の人間はこのＢＰＲからｉネットにメールが送れると。ですから、何人かがグルになったというような場合に、ここからコピーしたものをもう一回送ることは技術上は可能ではあるということです。

悪い人はいるわけであるという仮定を置いているわけですが、どんなｅメールのメッセージもすべて100％会社にログが残っています。ログはだれが何を送ったというだけではなくて、中身も残っています。それから、そのＰＣを使う人の上位者には自動的にそのコピーが送られます。ですから、例えばこの人はこんなデータを持っているのはおかしいですよと。こういったものを大量なデータを送るというのはおかしいというものはその場で、事後的ではありますけれども、ｅメールを送った瞬間に彼のボスがそれを認識するという体制になっています。これも周知徹底はされております。

それから本体のの印刷ですけれども、これも先ほど申しましたが、印刷について非常に制限的に扱っていまして、印刷のボタンを押せる人の数が管理者以外、余りいないと。責任ある人以外いないということでございまして、また業務上必要な場合に印刷を限定していると。例えば顧客管理委員会、適合性等々を議論する場でございますが、そこに資料が５部必要であるということになりますと、社内のルールとしてはコピーをとってはいけませんと。５部印刷してくださいという立場をとっております。

またこの印刷物の社外への持ち出しにつきましては、管理者の判こが必要である。その管理者は持ち出しを許可したそのものに判こを押します。持ち出した人間は持ち帰って、破壊する義務があるということでございます。

大体そういったような形で、全体な管理を行っていると。かぎは、お客様情報を持っている方のシステムについては限りなく不便にすると。外部との連絡、資料の印刷、それからデータの持ち出しについては限りなく不便にするという体制でございます。

以上、ご報告申し上げました。

○ 山下部会長

ありがとうございました。

それでは、ただいまのお二方のご報告についてのご質問が何かございましょうか。堀部委員どうぞ。

○ 堀部委員

野村證券の柴田さんに伺いたいのですが、１ページ目の情報セキュリティーポリシーのところで、明文化していて、機密性、完全性、可用性を定めていまして、これは国際的なスタンダードで、コンフィデンシャリティー・インテグリティー・アベイラビリティーで、ＣＩＡと言っていますが、これが実際に定めていると、何かかなりセキュリティーの面で重要な役割を果たすものなのかどうかというのを教えていただくのが第１点です。

それから第２点としまして、別紙２で、こういう形でしっかりやっておられるということは大変よくわかりましたが、４月２日に閣議決定されました個人情報保護に関する基本方針の中でも、そちらの方にも関係していますので、個人情報保護管理者の設置ということを入れましたが、今後、野村證券として、この体制の中で、情報セキュリティーの点はよくわかりますけれども、個人情報保護について、個人情報保護管理者のようなもの、あるいは外国でＣＰＯ、チーフ・プライバシー・オフィサーと言っておりますが、こういうものを置くことを考えておられるかどうか、いかがでしょうか。

○ 柴田参考人

まず、ＣＩＡなることを決めて、それが直ちに実効性に結びつくかということでございますが、これはお題目になるリスクが必ずあるというのが外部からの目でもあり、また内部の議論でもございます。ただ、このＣＩＡを定めるということは何かと申しますと、私どもが情報セキュリティーをさらに改善させていくというためのシステムでございますとか、社内の情報の流れを決定しますときに、その戦略目標が明確でなければならないということで、実はこのＣについても、Ｉについても、Ａについてもそれぞれ別の言葉で定義し直しているということでございますが、これはそれが目的でございます。これはいろいろな細かい規定整備及びそのシステム整備の根幹を成すものと位置づけております。

２つ目のご質問でございますが、現在、私どもの情報管理というところは、実は個人情報保護法が議論される以前に制定されたものでございまして、具体的には概念的にお客様、顧客情報というふうに規定しておりますが、個人でとはいかないと。法人も含まれます。また、個人情報保護法で規定されております、どこのどなたであるかということが容易に推察できるようなデータ以外に、お取引の記録でございますとか、どういった預かり資産があるかといったこともきちんと決めさせていただいているということでございます。

法律施行後、どういった体制になるかということでございますが、これは協会さんと今、業界全体のいろいろなルール、体制といったものをワーキンググループで議論しているわけです。私どもはそこに参加させていただきながら、法律上、必要なところはまた別途、新たに必要とあれば定めさせていただくというつもりでおります。

このＣＰＯを置くつもりがあるかというご質問でございますが、これは現在、議論はされておりません。ただし、私どもはニューヨークに上場しておりまして、サーベンス・オクスレー法において、２つぐらい証明書を出さなければいけないと。１つは財務情報は完璧ですと。もう一つは財務情報をつくったプロセスは完璧ですと。実は、これは大変な作業でございまして、すさまじい紙の量になるんですが、このプロセスをつくっている。これも定期的な監査を受けます。

それから情報関係についても定期的な内部監査を受けております。外部の人にときに見るということで、いろいろな仕組みで、逃げも隠れもできない体制になっておりますので、ＣＰＯというタイトルは別にして、個人情報保護のために、責任を持つ人間とその人間を助けて保護を推進する組織というものは必ずつくるというつもりでございます。

○ 原委員

２点お聞きしたいんですが、１点は昨年のこういった実際に漏えいされた案件が２件ということで、その内容についてご紹介があったわけなんですけれども、２つ目は犯罪目的ですから、ちょっとそれは置いておきまして、１つ目の他の会社に転職をするために持ち出したということで、２週間、業務の停止ということなんですけれども、こういった持ち出しのようなものは、どういうふうに発覚をしたのかというのがあって、最後の方で、野村證券さんの方からかなりセキュリティーがしっかりしている仕組みをとられているというようなことではあったんですけれども、そういう仕組みをとっていれば、例えば２つの案件は秘密漏えいを防げたことになったのかどうか。

というのは、遇然にも去年、地裁にちょっと傍聴に入ったときに、似た案件がありまして、こういった個人情報を持ち出されて、その方がまた非常にリスクの高い商品を高齢者に売って、1,200万円ぐらいの損失を与えていたというので、そういう案件を見て、結構漏えいされているのかなというような感じもして、でもかなり万全なセキュリティーをとられるということなので、これがあればそのようなことはないということになっていくのかどうかというのが１つ。

それから２つ目なんですけれども、資料５の２ページのところに、(4)のでグループ間の情報共有の話が入っているんですが、これはグループ会社間の共有については、必ずあらかじめ顧客から同意書を受け入れるとなっているのですが、これをもう少し具体的に、あらかじめというのがいつの段階で、どういう形での同意書になっているのかを教えていただきたい。

以上、２点です。

○ 吉岡委員

それでは最初の従業員が自宅にメールで送っていたという件でございますけれども、これは、この会社においては、この外務員の方が転職をするということもありまして、いろいろ持っている秘密の資料だとか、情報の破棄だとか、こういうことを確認するとともに、会社としてもそういった機密情報を持ち出していないかを調査したということでございます。たまたま、電子メールをチェックしたところで、自宅のメールアドレスに宛てて、大量の情報が送信されていたということがわかって、問い詰めたところがそういうことで情報をメール送信する方法で持ち出したということでございまして、この会社では、ですから先ほどの野村證券みたいなチェックというものは多分かけていなかったんだろうと推察されます。

会社によって、証券会社の場合は大きいところから小さいところがありますので、一律なチェック態勢というのは取られていないという部分もあろうかと思います。メールについても営業以外には使わせないとか、そういうふうに一般的に定めるところもあるようですし、メールでの書き込みの量を非常に制限するとかいうような手当てをしている会社もあるようでございますが、各証券会社によって、それぞれ対応がちょっと違っているという状況だと思います。

○ 柴田参考人

２つ目のご質問でございますけれども、いつの段階で、どういった同意書を得るかという話ですけれども、まず社内ではどういう体制になっていて、結果、いつの段階かと申し上げますと、基本的に情報共有は禁止であるということは、またウェブの中できちんと、いつでも参照可能です。その中で、この同意書の書式も入っています。ですから、これをきちんと同じような文章で印刷するということで、全社画一的なスタンダードで対応可能と。

もう一つは、いつこの同意書を入れるんですかと、やはり情報を与える前にこの同意書がないと、情報は伝達できませんという社内のルールになっております。また、それにつきましては、この社内のウェブでいろいろな、こういった場合はどうするんでしょうかという質問と回答の欄に同じように書いておりまして、誤解はないという体制になっております。

○ 西村委員

事実関係をお聞きしたい。ＩＴもいろいろな問題があるようで、その話を聞こうと思います。事実関係でまず２点ほどお聞きしたい。まず一番簡単ですが、フロッピーとかＣＤ－ＲＯＭの話が出たましたが、一般のパソコンを使っていらっしゃる場合には、ＵＳＢとかＩＥＥＥ1394とかそういったものが入っていると思いますが、そこら辺のところはどうなっているのかというのをまず聞きたい。

それからもう一点は、そもそも紙媒体そのものというのは、実は持ち出すのは物すごく大変なわけです。物すごく膨大な分量になりますから。紙媒体が実は磁気媒体になることによって、非常に簡単に持ち出すことが可能になる。ということは、ちょっとすぐ考えればわかりますが、磁気媒体に対する暗号化というのは当然なされていなければいけないと思いますが、それはなされているのかどうか。暗号化も高価な暗号もありますけれども、例えばＰＧＰのようなオープンの暗号化であれば、非常に安い暗号で、余り賢くない盗人に対応するには、これで十分であるということも言えるわけです。

それから暗号化の場合、もう一つ重要な点というのは、不定期に、しかし頻繁に暗号を変えるというです。この２つさえやっておれば、カジュアルな犯罪というのはかなり避けられると思いますが、その点についてどういう形になっていらっしゃるかお聞きしたい。

付け加えて３番目は、ヒューマンファクターによる、要するにカジュアル犯罪と、それから大規模なアタックがある。後者はファイヤーウォールをいろいろたててという形になりますが、私はファイヤーウォールは一切信用できません。バッファオーバーフロー等いろいろなことで中に入ることは可能になります。そういったことをやるのは非常に少数な人間ですけれども、そういうことはあります。問題は、そういうことがあったときに、危機管理がちゃんとできているかどうか。つまり破られないということを前提にした旧日本軍のようなことではなくて、破られることを前提として、それに対する危機管理がなされているか、つまりダメージを最小限にするような仕組みがつくられているのかどうかということです。その辺について、どういうような取り組みがなされているか、教えていただきたいと思います。

以上です。

○ 柴田参考人

まず最初のＵＳＢ云々というご質問ですけれども、基本的にＰＣ本体にデータは基本的にはなくて、ネットワーク上に存在するという構成はとりますけれども、じゃ、コピーしてペーストしたらどうだと。これはあるかもしれません。ただ、実際のこのＢＰＲ環境というところにおきましては、ネットワーク自体がクローズドサーキットでして、一部の例外を除いてそこから外部にはつながっていないと。これは当社のｉネットに一部の人間だけが送れるということでございますので、夜中に入ってきてＰＣの裏をあけて、つないでＣＤの端末を無理やり入れてということまで防げるかといったら、防げないかもしれませんけれども……。

○ 西村委員

ＵＳＢというのはこの大きさなのですが。

○ 柴田参考人

それは入らないな、確かに。

○ 西村委員

ふさいである。

○ 柴田参考人

物理的に。ただ、それも壊す人がいますかという話になると、いないでしょうが、そこまでやればというのはあるかもしれませんけれども、防犯カメラ等々では……。

それから２つ目ですが、これは永遠のテーマでして、ファイヤーウォールが信用できるかということは、過去のファイヤーウォールは常に信用できないということで、毎日ファイヤーウォールというのはアップデートされていくものでございますので、今の言葉は警句として、私どもの日々の体制として、きちんと常に外との闘いは続けていくということだと思います。ここで一助になりますのはＢＰＲ環境そのものについては、外とのファイヤーウォールそのものを必要としないクローズドサーキットであるということが助けになると思います。

それからあとは、例えばテープを持って逃げたらどうするんだとか、この犯罪に関しては、やはり非常にプリミティブな形でカメラがあるとか、コンピューターのセンターをイメージしているんですけれども、出るときに身体検査があるだとかいったことはございます。これで今、十分か否かというと、さらに強くしていくつもりですというあたりが私どもの考え方で、情報セキュリティーのための闘いというのは日々続いていくというふうに考えております。

○ 西村委員

暗号化のところ、それから危機管理のダメージコントロールのところについてがまだなんですけれども。

○ 柴田参考人

今、ダメージコントロールのところについてはいろいろと議論しておりまして、昔のローマ帝国のように、殻は固いけれども、中は柔らかいんじゃないかというおそれがないか、常に議論しておりまして、またそういったときに、何をもって危機管理といういう定義もございますので、例えば本当に顧客情報の重要なものが漏えいしてしまったような場合、犯罪があったような場合にはご当局へのご報告、それから協会への報告というものもあるわけですけれども、それで十分かというのもございますので、ダメージが行われた後のダメージコントロールというのはかなり難しいだろうと思いますが、今、いろいろ工程表はつくっているところです。

○ 山下部会長

暗号化についてはいかがでしょうか。

○ 柴田参考人

暗号化のところについてはすみません。私の専門外でございますので、どこまで暗号化できているかというのはまた別途……。

○ 山下部会長

この点についてもまた後ほどお願いできればと思います。

残り時間ももう短くなってまいりましたので、今、証券さんの方へ伺っていますが、全体のどの報告についても改めて結構ですから。じゃ、まず原委員。

○ 原委員

１点だけなんですが、銀行とそれから信用金庫さんとは、外部への委託をなさっているということなんですけれども、それが全体の中のどれぐらいの割合になるかということと、それから委託先の外部の会社というんでしょうか、組織というんでしょうか、どういうところがあって、どういうような内容の業務をやっていらっしゃるのかというのを、きょうでなくてもいいですので、少し相手方がわかればと思っております。

○ 佐々委員

どのくらいの量を委託しているかと申しますと、いわゆる基本的なトランザクション業務は全部自前でやっていますから、逆に言うと、例えばダイレクトメールということについていえば、全部それは委託しているし、それから所謂、発送業務ということになると、それも基本的には外部に委託しているということになります。どういったところがあるかということになると、これは各行いろいろだと思いますけれども、例えば我々がやっているところですと、一例を挙げますと、Ａ社さんですとか、Ｂ社さんという情報処理会社がありますけど、ここでやっているとか、そんなような、言ってみればだれが聞いても余り知らないというところには、恐らく大手はやっていないんじゃないかと思います。

○ 山下部会長

信金さんはいかがですか。

○ 白井委員

信用金庫の場合は銀行さんよりもっと少ない委託の実情にあろうかと思います。細かい点は、調べてみないとわかりませんけれども。

○ 佐々委員

先ほどちょっとご質問があった件でございますけれども、投資型年金保険のチェックをしているかどうかという話ですけれども、私どもの資料２の別紙を見ていただきますと、ここに所謂、投信の場合のチェックリストがずっと書いてあるわけです。私ども、投資型年金保険を売っている場合、申し込み書に１から３までは当然あるわけです。その下、は実は言ってみれば、これを訊かないと投資型年金保険は全く売れないわけです。相続でやるのか、年金で受け取りたいのか、そういう事を全部訊いていくわけですし、総資産が幾らあって、そのうちの幾らというのを我々は知らないことには売りようがない。かつ商品としては、投資型年金保険で、要するに投信が中にどれも含まれているものですから、それを説明しないことには、売りようがないということで、私どもとしては、それでいいだろうということでやっていますけれども、他行さんでは投信と同じチェックリストを備えてやってみるところもあると聞いています。

私どももほかの銀行も同じだと思いますが、保険の販売担当者というのは、保険の資格のほかに、投信業務の資格も当然持っていなきゃいかん形にしておりますので、その投信販売のコンプライアンスに準じて、当然そこを押さえた上で、投資型年金保険をお客様にお売りしていると思っております。

以上でございます。

○ 高橋委員

ありがとうございました。今のことにも関連しますけれども、証券業界の方に主にお伺いできたらと思います。今、投資型年金の話もありましたけれども、顧客の立場からしますと、その収集された情報が正しく収集されているのか、それから顧客の状況の変化に対応できているのかということが非常に大きな関心事ということになります。

先ほどご説明いただきました野村證券さんに関しては、私は複数の証券会社と取引がございますけれども、非常にその辺の情報の管理には徹底していらして、先ほどの本人記入であるとか、あるいは定期的にこの情報でいいかということの確認という作業をしていらっしゃるのは存じ上げているんですが、随分個社による差があるというのが現状だと思っております。ですので、証券業協会の方にお伺いしたいですが、この辺を業界として何かスタンダードをつくるような動きがあるのか。

具体的に申し上げますと、本人記入じゃないところも結構存在するわけです。それから本人に写しを渡していない、これは私、致命的だと思いますけれども、自分のところでは備えつけというのは義務づけられているんですけれども、利用している側がどういうふうに自分の内容が登録されているのかということを知らないと、訂正も何も求められないということになるんです。これはどうも義務づけられていないんじゃないかと私は認識しているんですが、ちゃんとやるような方向にあるのかということです。

それからもう一つは、野村さんの実例でも結構なんですけれども、１つはここに収集されている情報で、よく消費者トラブルになりますのは、投資経験というものに関して、どういうふうに判断がされるかということです。裁判でも問題になっていますけれども、例えばＣＢなんていうのがここに書いてありますけれども、預金と同じように最終利回りで買っている方と、途中で転換するようなことを考えて買っている方とは、もともと違うわけなんですけれども、よく最終利回りで買っている方が投資経験があるじゃないかということで、それに基づいてかなりハイリスクなものの勧誘を受けて困っているなんていうケースもあるんです。この辺の設定について、どういう判断をされているのかについてを、管理とは少しずれるかもしれませんがお伺いします。

それから……。

○ 山下部会長

すみません、時間が迫っておりますので、ごく簡単に。

○ 高橋委員

はい、簡単に言います。これによって、つまりそのときの投資判断、投資経験があったとしても、将来的にだんだん判断が怪しくなってきて、ハイリスクな取引ができないような人も出てくると思うんですけれども、そういうところの情報管理に対して、どういう配慮をされているのか。

それともう一点はそれとも関係しますが、先ほどウェブでいろいろなことの情報開示をしていらっしゃるとおっしゃいましたけれども、高齢者の場合、ウェブなども見ていないわけなので、その辺はどうしていらっしゃるのか、以上でございます。

○ 山下部会長

簡潔にお願いできればいいと思います。

○ 吉岡委員

まず情報のリライトといいますか、直近のものに変えていくというのは、規則上は書いていませんが、お客様に適した商品をお勧めする目的も、当然その場によって違うと思います。お客様に適した商品を勧めていくという観点から、常に新しいものにしていく必要があるというような点は、今までの研修等において、きちんと協会から説明はしております。ただ、それは義務付けにはなっておりません。

それと、写しの開示については、今度、個人情報保護法における「開示」対応の部分もございますので、そこに合わせて検討したいと思っております。現在は、おっしゃったように義務付けの規定はございません。

○ 柴田参考人

手短に申し上げます。

この顧客情報のアップデートに関しましては、社内ルールにおいて、その年１回でもお取引をしていただいたお客様につきましては、「この内容でよろしいでしょうか」という、私どもが持っています顧客情報の内容をお送りさせていただきまして、「違いますよ」という方につきましては、直させていただく体制をとっております。

それからウェブということでちょっと申し上げなかったんですけれども、このウェブは社内ウェブでございまして、担当の人間がいつでもわかるようにというための道具としての社内ウェブでございます。

転換社債等々について云々というのは個別で線を引くのは少し難しいかと思います。やはり基本的には総合的な評価ということになろうかと思います。直感的には転換社債を利回りでお買いになる方は本当は個人的にはプロじゃないかと思っています。

○ 山下部会長

私の不手際で、まだいろいろご質問があろうかと思いますが、予定の時間が参りましたので、本日はこれぐらいで終了したいと思います。

次回、特別部会を単独で開催する際には、今回お話を伺えませんでした事業者の代表の方々からのヒアリングを引き続き行うこととさせていただくことにしたいと思います。

最後に事務局からご連絡などありましたらお願いします。

○ 居戸企画課長

次回の特別部会の日程等につきましては、追ってご連絡をいたしますので、よろしくお願いをいたします。

○ 山下部会長

それでは本日は各関係者の皆様にはご報告をありがとうございました。改めて御礼を申し上げます。

それでは本日、これで終了いたします。どうもありがとうございました。