金融審議会金融分科会特別部会（第11回）議事録

平成１６年６月２１日（月）

金融庁　総務企画局

○ 山下部会長

それでは、定刻になりましたので、ただいまから金融審議会金融分科会特別部会を開催させていただきます。

本日はご多忙のところご出席いただきまして、まことにありがとうございます。当特別部会単独の会合では、信用分野以外の金融分野における個人情報の保護のあり方についてご議論いただいております。前回の単独会合に引き続きまして、本日は各分野での個人情報の取扱いの現状を把握するため、事業者の方々などからヒアリングを行うということにさせていただきます。

本日のヒアリングは、最初に財団法人金融情報システムセンター、次に生命保険業界を代表して日本生命保険相互会社、最後に損害保険業界を代表して株式会社損保ジャパンの方にお願いをしております。

ヒアリングに先立ちまして、前回の単独会合におきまして、委員からご質問がございました件につき、日本証券業協会及び社団法人全国信用金庫協会の皆様方にご説明をいただきたいと思います。

まず吉岡委員、よろしくお願いいたします。

○ 吉岡委員

前回の特別委員会におきまして、西村委員からご質問いただきました点について、野村證券に確認しておりますので、私の方からご説明申し上げます。

ご質問いただいた内容は、野村證券における現状に関しまして、同社のデータが磁気媒体にダウンロードされて持ち出される場合に備えて、その磁気媒体を暗号化するような技術的手当がなされているのかということであったかと思います。

この点につきましては、同社の各店舗、それから各部署にあるパソコンにつきましては、全てフロッピーディスクやコンパクトディスク等の磁気媒体を挿入する口を物理的にふさいでいる。ここからダウンロードすることはできないという形になっておりますので、この挿入口を破壊して侵入し、磁気媒体にデータをダウンロードされるという事態は想定していないということで、同社においては暗号化する対応はとっていないと、こういうことでございました。

以上でございます。

○ 山下部会長

どうもありがとうございました。

続きまして、白井委員、よろしくお願いします。

○ 白井委員

白井でございます。去る５月19日に開催されました本部会におきましてご質問いただき、次回持ち越しとなりました点につきまして、この場で説明をさせていただきます。

まず上柳委員より、私どもが資料として提出しておりましたセキュリティーポリシー策定に向けての中にございます情報資産保護に関する基本方針に、情報資産の定義という項目がございまして、そこで各種情報について最重要情報、重要情報、一般情報の３種類に分類しているわけでございますが、預金口座における決済内容については、そのうちどこに位置づけているのかといったご質問をいただきました。この点につきましては、最重要情報に位置づけているということでございます。

次に、原委員より、信用金庫の場合、銀行とは異なる営業スタイルで活動しているものと思われるが、具体的にどういった点が異なり、それに対して個人情報の保護といった観点から、どういった対策を講じることとしているのか。例えば、顧客との日常会話等により偶然知り得た情報についても、対面取引を主体とする信用金庫においては、利用しているのではないかといったご質問がございましたが、この点につきましては、信用金庫も銀行も、営業活動は窓口及び外訪等で行っておりますので、基本的には、大きな違いはないと思います。強いて言えば信用金庫は渉外担当者による集金活動など外訪活動のウエイトが高い点が異なるというふうに考えられます。

このため、これらの点を踏まえて個人情報の管理規定の見直しを行うとともに、職員への研修等により、個人情報の取扱いについて、より徹底していきたいと考えております。

なお、日常会話により知り得た情報につきましては、従来より就業規則等に基づき守秘義務が課されておりますが、今後さらにその方向について徹底していきたいと考えております。

また、同じく原委員より、個人情報処理の外部委託の実施状況についてもご質問をいただきましたが、信用金庫業界におきましては、個人情報処理の外部委託は余りやっておりません。外部委託を行っているのは、ダイレクトメールの作成会社や信用金庫の内部事務のプログラム作成会社等でございまして、これらの先とは守秘義務契約を締結いたしております。

第９回部会の補足説明は、以上でございます。

○ 山下部会長

ありがとうございました。

それでは、本日のヒアリングの方を開始させていただきます。それぞれ３つのご報告をいただきますが、それぞれ25分以内でのご説明をお願いしております。

まず、財団法人金融情報システムセンター理事長でいらっしゃる日高委員及び総務部次長の瀧様よりご説明をお願いいたします。

○ 日高委員

本日は当センターの金融機関等における個人データ保護の取扱い指針、私どもこれを略してＦＩＳＣ、ＦＩＳＣというのは私どものセンターの略称であります。ＦＩＳＣ指針と申しますが、これについての発言の場をいただきましたので、その概要を説明させていただきます。

まずＦＩＳＣ指針策定の背景について申し上げます。1980年、昭和55年のＯＥＣＤ理事会勧告や、1982年、昭和57年の行政管理庁によるプライバシー保護研究会報告を受けまして、当時我が国でも個人情報保護の重要性が認識されるようになっていました。しかしながら、我が国では民間部門、政府部門を問わず、それらを対象とした個人情報の保護に関する法令やガイドラインがない状態でございましたので、そうした中、ＦＩＳＣ指針は、これらのＯＥＣＤ理事会勧告や、プライバシー保護研究会報告を踏まえて、官民の先陣を切る形で1987年、昭和62年３月に作成されたものであります。その点で、ＦＩＳＣ指針の我が国個人情報保護における歴史的な意義は大きかったものと言えるかと思います。

ＦＩＳＣ指針はそもそも、個人情報保護の国際ルールともいえるＯＥＣＤ８原則に即して策定されました。その後1985年、平成７年10月にＥＵの個人データ保護指令が採択をされました。これらを踏まえまして、一部省庁では、このころには既に制定されておりました個人情報保護に関する指針の改訂を相次いで実施しておりましたが、これと歩調を合わせましてＦＩＳＣ指針も1999年、平成11年４月に改正を行っております。

このようにＦＩＳＣ指針は、国内外の動きと平仄を取るような形で改正を行ってきたわけであります。ＦＩＳＣ指針の策定ないし改正に当たりましては、堀部委員を座長として個人データ保護専門委員会を当センター内に設置し、そこで審議をした上で取りまとめるという手順を踏んでおります。

専門委員会では金融機関、保険会社、証券会社、クレジットカード会社等で、実務経験を有する方々や、学識経験者に参加をいただき、会員等のご意見を踏まえつつ幅広い見地からのご議論をなされております。

このように策定され、あるいは改正されてきたＦＩＳＣ指針は、各金融機関が個人情報を取り扱う際の、いわば基本的な方向性を示したものでありまして、これを参考にして各金融機関等がそれぞれの事情に合わせて活用しているものと認識しております。

具体的なＦＩＳＣ指針の内容についての説明を、これから総務の次長の瀧の方から説明をさせていただきます。

○ 瀧参考人

それでは、ＦＩＳＣ指針の具体的な内容について説明させていただきます。資料として２種類お配りしておりますが、資料２、金融機関等における個人データ保護のための取扱指針と題する資料で、いわゆるＦＩＳＣ指針の全文でございます。これを見ていただきながらお願いいたします。各条文には必ず説明の欄がございます。ＦＩＳＣ指針の中では条文と説明は相等しい重要性を持ち、両者が一体となって規定の趣旨をあらわしているとお考えいただきたいと思います。

資料１ページの章立てをごらんください。ＦＩＳＣ指針では、基本法で特に焦点となります個人情報取扱い事業者の義務の部分、第15条から第31条に対応する規定がＦＩＳＣ指針全体にわたって定められております。第２章から大きく４つのカテゴリーに分類されます。収集、利用及び提供、適正管理、開示請求等への対応、管理体制の整備の４つでございます。

それでは、資料の点線以下をご覧いただきたいと思います。基本法の第１条では法の目的が示されておりますが、ＦＩＳＣの指針でもその第１条で目的が記されております。すなわち個人データ保護の観点から、個人データを取扱う際の基本的事項を定めることをその目的としております。

続いて、ＦＩＳＣ指針の第２条の定義でございます。ＦＩＳＣ指針が対象としている金融機関等について限定列挙しております。いわゆる銀行業務を営む機関に加えまして生命保険会社、損害保険会社、証券会社、そして日本クレジットカード協会に加盟しているクレジットカード会社が含まれます。

２ページをお開きいただきまして、上から２つ目の三でございますが、個人データを顧客に関するデータと限定しております。その点を除きますと、個人データの定義の後半部分にございますように、基本法の個人データの定義とほぼ同じと言えるかと思います。

次の３ページをご覧いただきたいと思います。説明の第３号の(3)、にありますが、個人データには手書き、すなわちマニュアルデータも含まれることとなっております。

続いて、その下の(4)で、対象とならないデータの例示として、営業日誌、期日順に作成された手書き文書、一時的に記録された電子情報が挙げられております。また評価等に関する情報も対象外となっております。

次に、ＦＩＳＣ指針第３条の顧客への周知ですが、ここでは個人データの保護についての考え方、利用及び提供の状況、そして開示請求等の手続を顧客に周知することを求めております。これは、基本法では第18条、取得に際して利用目的の通知等と、第24条の保有個人データに関する事項の公表等の規定に対応するものでございます。

第４条の取扱い指針の拡張についてでございます。これは指針というたぐいの取り組みの性格を反映した部分でございまして、次のページの説明にもございますように、このＦＩＳＣ指針の水準を低下させないという範囲におきまして、業務の実態に応じ事業者が自主的にルール項目を追加し修正することを認めております。

ここからは４つのカテゴリーの１つ目、収集、利用及び提供についてでございます。資料の４ページをご覧ください。ＦＩＳＣ指針の第５条、個人データの収集でございますが、収集という表現になっておりますが、その規定内容は基本法の第15条、17条、18条及び23条、すなわち利用目的の特定、適正な取得、取得に際しての利用目的の通知等及び第三者提供の制限の４つの条文に対応しております。

まず、基本法第15条、利用目的の特定に対応するものとして、ＦＩＳＣ指針第５条で、業務上必要な範囲内で個人データを収集するものとするとしております。そしてそのページの下の方には説明の第１項で、業務上必要な範囲内について具体的に４つ例示しております。

上の方に戻って第５条第２項では、個人データの収集に際して、個人データの利用又は提供の目的を明確にし顧客の同意を得るものとするとして、データ収集の目的をめぐる本人からの同意取得について規定しております。

なお、ＦＩＳＣ指針では、この利用という言葉は提供を含まない概念であり、自社内でデータを使う場合であります。そして提供というのは、他の人にデータを譲り渡す場合という意味であります。

同意取得につきましては、次の５ページをご覧いただきたいと思います。説明の第２項の(1)で、例えばということで、個人データの収集に当たり明示的な方法による顧客の同意が要る場合を例示しております。また、明示的な方法につきましては、その下の(2)で、申込書又は契約書等により収集する場合は、書面により同意を得る。電話又は面談であれば口頭による。コンピュータ等により収集する場合には、本人確認を行った上で、電子的手段により同意を得るとなっております。

次に(3)では、次の場合には、顧客が個人データの利用又は提供の目的について同意しているものとみることができるとして、同意があるものとみなせるという７つの類型を示しております。

まずとしまして、利用又は提供の目的が一般的に明らかである場合で、顧客がその情報収集に応じるときということで、具体例を挙げております。契約書の表題等で顧客が目的を理解していると判断される場合、あるいは市場調査又は統計処理等に利用する場合でございます。

次にとして、法令又は顧客によって公開された書類等からデータを収集する場合とういことで、いわゆる個人情報を収集する場合。

として、口座情報又は取引履歴等、契約締結に伴い収集した、又は契約履行の結果生じた個人データを業務上必要な範囲内で利用する場合。この場合も、顧客の同意があったものとみなすことができることになっております。

例としては、顧客に適合した商品及びサービスを開発し、又は提案する場合。それから、普通預金残高等既に収集済みの情報を与信判断の参考とする場合でございます。

次にとして、収集した個人データを金融機関等が、ダイレクトマーケティングの目的で利用する場合となっております。

では、グループ会社間で個人データを提供する場合となっております。ここでは、グループ会社のことは、連結財務諸表の対象となる親会社、子会社及び関連会社と定義されております。

今度は第三者提供の観点から見てまいります。５ページの上の方、説明の第２項、(1)のに、明示的な方法により顧客の同意を得るものの例示としまして、第三者に提供する場合を挙げています。ただしグループ会社を第三者から除外しております。

６ページに入りまして、６ページの(4)をご覧ください。ここで例示された類型のうちのと、すなわちダイレクトマーケティング目的で利用する場合、あるいはグループ会社間で個人データを提供する場合の内容の記載について記されております。

その内容についてですが、５ページほど進んでいただいて11ページをご覧ください。11ページの下の方、説明の補足２がございます。これが対応しております。パンフレット、あるいはダイレクトメール等には以下の内容を記載しなければならないとしております。すなわち、利用又は提供について、顧客が中止を請求できること。中止請求する場合の方法及び連絡先です。それから、グループ会社へのデータ提供の場合は、個人データを提供するグループ会社の名称及びその業務内容が加わります。このように、個人データをダイレクトマーケティング目的で使うか、グループ会社間で使う場合は、当初の段階では必ずしも同意を要しないということではあります。ただし、事後的に当該顧客から中止するよう要請があれば、中止することとなっております。

それでは４ページにお戻りいただきたいと思います。ＦＩＳＣ指針の第５条第３項をご覧ください。基本法では制限が設けられておりませんが、ＦＩＳＣ指針では、いわゆるセンシティブ情報を収集することを原則として禁じております。

続いて、第５条の４項でございますが、これは基本法第17条の適正な取得の規定と同趣旨の定めとなっております。

２枚めくっていただいて、６ページの中ほどの説明第４項でございます。ここでは、収集する目的を偽って収集することや、第三者から個人データを収集するに際して、その第三者が漏洩等の不当な行為をしていることを知った上で収集することを禁じております。

続いて、同じページの下、ＦＩＳＣ指針第６条、個人データの利用及び提供でございます。これは基本法の第16条に対応しております。ここでは、次の７ページの説明にございますように、ＦＩＳＣ指針の第５条第２項の同意取得と表裏をなす形で、同意を取得した目的の範囲内においてとして、その利用提供のあり方に制限を設けております。

また、説明の第２項では、基本法第16条第３項の同意取得に関する適用除外の規定とほぼ同様の趣旨を定めております。

以上が、収集利用及び提供についての規定でしたが、続いて２つ目の適正管理のカテゴリーに移ります。７ページの下の方をご覧いただきたいと思います。

ＦＩＳＣ指針の第７条、個人データの適正管理は、基本法第19条で規定しますデータ内容の正確性の確保とほぼ同趣旨の規定を置いております。またその第２項の業務上必要な期間を経過した後は、個人データの廃棄その他の処理を行うものとするは、基本法第20条の安全管理措置で規定する安全管理のために必要かつ適切な措置の一部に相当いたします。ここでいう廃棄その他の処理とは、次のページ８ページの上の方、説明第２項にもありますとおり、廃棄すること、削除すること、又は一人一人の個人が識別できない状態にしてしまうことでございます。このようにＦＩＳＣ指針では必ず期間を定めて、期限が来たら一定の廃棄処分をするよう求めております。

また、すぐ下のＦＩＳＣ指針の第８条、個人データの安全保護措置でございますが、基本法第20条に対応する規定を置いております。その説明の(2)では、個人データの安全性確保の手法を例示しております。特にその安全保護措置としては、続く(3)で、ＦＩＳＣで制定し全国の金融機関にご参照いただいております金融機関等コンピュータシステムの安全対策基準などの参照を求めております。ここのＦＩＳＣ安全対策基準は、高い公共性及び広範性を有する金融機関等のコンピュータシステムにつきまして、その十分な安全性を確保するため、昭和60年ＦＩＳＣが中心となって策定しました安全対策のための業界の標準でございます。その中身は自然災害、機器の障害、不正使用行為などから生ずるコンピュータシステムの障害などを未然に防止するとともに、発生時の影響を最小化し、早期の回復を図るために必要とされる安全対策を金融機関の実態に合わせて記述したものです。

ここで、参考としてお配りしておりますもう１つの参考資料、金融機関等コンピュータシステムの安全対策基準における関連項目の用紙をご覧ください。ＦＩＳＣ安全対策基準のうち、個人情報の取扱いで最も問題視されます漏洩に対して有効な対策につきまして、その主なものを抜粋し、要旨をまとめたものでございます。

この安全対策基準は、全体が設備、運用、技術の３つの観点から対策が構成されております。例えば設備の安全性という観点で見ますと、参考資料の１ページ目、上から３つ目の設備基準122がサーバーの設置場所について、エレベータや階段で直接入れる位置や出入口付近を避けるよう求めております。

また、運用の安全性について、その２つ下、運用基準の18が、機密情報やシステムへのアクセスを管理するための手続の制定を求めております。

さらに、技術の安全性につきまして、２ページ目の一番下、技術基準37が、不正使用防止する観点からシステムやデータへのアクセス履歴を取得、監査することを求めております。

それでは、元の資料２にお戻りいただきまして、８ページをお開きください。８ページの下の方、ＦＩＳＣ指針第９条外部委託ですが、基本法第22条の委託先の監督に対応する規定となっております。外部委託先に関して、外部委託先との委託契約を締結するに当たって、金融機関等と同等の個人データの保護に関する事項について定めるものとすると規定しております。なお、ここでいう外部委託先とは、次の９ページの説明の(1)にありますように、コンピュータ処理会社又はメール発送業者などを指しております。また、その(2)では、外部委託先との委託契約において、個人データを受託業務以外のために利用しないよう定めることとしております。

以上が適正管理です。

次は、３つ目の開示請求等への対応のカテゴリーでございます。同じ９ページをご覧ください。基本法の第25条から27条にかけての開示、訂正等及び利用停止等に対応するものは、ＦＩＳＣ指針では第10条の１つの条文の中にそれぞれ開示、訂正、利用又は提供の中止としてまとめられております。

まず開示についてですが、このページの説明の下の方(3)に開示に応じることができない場合の例示として４つ挙げております。顧客利益の乏しい終了済の取引に関するデータ。保有期間を経過したデータ。10ページに移りまして、他人の個人データが混在しているもの。金融機関側の企業秘密を侵害するおそれのあるものでございます。また訂正等については、10ページの上の方、説明の(4)で、個人データの訂正又は変更を行うのは、開示した個人データに限定しております。また利用の目的に照らして必要と判断したときはという限定はございますが、これは基本法でいう利用目的の達成に必要な範囲内においてとほぼ同じ意味でございます。

利用停止等につきましては、ＦＩＳＣ指針では中止という言葉を使っております。前にも触れましたが中止とは、前のページの説明の(1)で、金融機関等が個人データのダイレクトマーケティング目的での利用又はグループ会社への提供を行わないことをいうとして、この２つの場合に限っております。それについて中止請求があった場合には、既に当該顧客の同意を得ている場合を含め、合理的な期間内に中止するということになっております。この同意を得ている場合を含めということで、同意を撤回することは可能な規定になっております。

以上が開示請求等への対応でございました。

最後に、管理体制の整備についてでございます。10ページの中ほどをご覧ください。ＦＩＳＣ指針第11条では、管理体制の整備に努めるものとするとしておりまして、その説明の(1)で、金融機関等は、収集した個人データ（外部委託先及びグループ会社が管理している個人データも含む。）の取扱いにつきまして、あくまで金融機関等が責任を負うこととしております。これは基本法第21条の、従業者の監督の規定に対応しております。

また(2)では、個人データを保護するために、個人データの保護に関するルールの作成や、これに沿う形での事務の取扱い等に関するルールの作成に努めるものとするという規定を置いております。これは事業者ごとに社内の方針を定め、それに基づく具体的な事務取扱い上の規定を定めることを求めたものであります。

さらに(3)では内部監査、従業員への教育、顧客の相談及び苦情への適切な対応に努めるものとするとの規定も設けております。また、(5)では、正当なものと認められる苦情と限定しておりますが、苦情の解決に努めるものとすると定めております。これは、基本法第31条の苦情の処理に相当するものとなっております。

以上駆け足でございましたが、ＦＩＳＣからの説明を終わらせていただきます。

○ 山下部会長

どうもありがとうございました。

ただいまのご説明につきまして、とりあえず５分程度の質問をお受けする予定でおりますが、いかがでしょうか。３つのご報告が終わった後で、またまとめてご質問いただけるようにはいたしますが、とりあえずご質問ございましょうか。

どうぞ、高橋委員。

○ 高橋委員

ＦＩＳＣのガイドラインの場合は、金融機関等のグループ会社への情報提供及びダイレクトマーケティングの場合を含めて、実質上オプトアウトの原則ということなのですけれども、銀行持株会社を通じた広範なグループ化が進んで、個人情報の共有に関しては一般消費者が不安を持っているところなんですね。グループ会社の中には金融機関ではないところもいっぱいあるだろうというふうに想定されるんですけれども、アメリカ並みの今、基準を適用されているようなんですが、欧州並みの厳しい基準にするような見直しの検討というものが行われているかどうかにつきまして、教えていただきたいと思います。

○ 山下部会長

いかがでしょうか。

○ 瀧参考人

現状のところは、今の見直しをするということは特に考えておりません。会員の方々の総意でこのＦＩＳＣの指針をつくっておりまして、金融機関等の皆様の現状に十分即したものでございますので、保護についても、今のように中止規定など設けておりまして、十分なものができているのではないかというふうに思っております。

○ 高橋委員

今、会員の皆様方という表現があったのですが、冒頭で金融機関等に関してどういうところが含まれるのかというご説明があったのですけれども、クレジットカードに関してはクレジット協会加盟ということが限定されております。ほかの金融機関に関しては、今多様な金融機関が出ていますけれども、どの程度ＦＩＳＣに加盟があるのか教えていただきたいと思います。

○ 瀧参考人

今、現在六百数十社の会員が入っていらっしゃっております。そういう面で言いますと、全く私どもに入っていない会員の方々についての扱いといいますか、取扱いかがどうなっているかというのは、ちょっと承知しておりません。

○ 原委員

私は厳しい質問なのでちょっとどうしようかと思っていたのですけれども、ＦＩＳＣのこちらのガイドラインは、もう以前から出ていて、金融機関がこれに基づいてやっていらっしゃるというのは承知しているのですが、その割には漏洩事件とか大変たくさんの事件がありまして、犯罪という目的で詐取をしたようなものは、これは別枠かとは思いますけれども、このＦＩＳＣのガイドラインでおやりになっていて、やはり何かガイドラインとして欠ける部分というようなことの精査というものは、99年以降もう５年たちますので、おやりになって検討していらっしゃるのかどうかということをお聞きしたいと思います。

○ 山下部会長

いかがでしょうか。

○ 瀧参考人

正直申し上げて、各社それぞれがどういう形でこれを実行されて対応しているかというのは、必ずしも私どもつまびらかにしていないんですけれども、基本的には、私どもの今の作ってあるものでかなりの部分はカバーしています。これはもう国際的な水準はある程度意識して作っておりますので、そういう面では十分な水準ができているなとは思っておりますが、具体的な案件、事件等が発生していることにつきましては、それぞれいろいろ事情があったのだろうなというふうに思います。

○ 山下部会長

また後ほど、ご議論いただくとして、とりあえずＦＩＳＣの日高委員及び瀧総務部次長に対する質疑は、とりあえずこの時点で打ち切りまして、次のご報告に移りたいと思います。

次は、生命保険業界を代表して、日本生命保険相互会社常務取締役の加藤委員よりご報告をお願いいたします。

○ 加藤委員

日本生命の加藤でございます。このような発言の機会をいただきありがとうございます。本日は、生命保険会社における個人情報の取扱いというテーマに従いまして、生保業界としての取り組みと、個別会社としての日本生命の取り組みの双方をご説明させていただきます。

また、生命保険会社においては、さまざまな業務を行っておりますが、生命保険事業の中心であり、また皆様の関心も高い個人保険分野の個人情報の取扱いについてご説明いたします。

それでは、資料の１ページをお開きいただきたいと思います。まず、生命保険事業における個人情報の取扱いの特徴をご理解いただくために、生命保険事業の特性を簡単に説明させていただきます。

生命保険会社は遺族の生活基盤を確保するための死亡保障、老後の生活資金を確保するための年金、また病気や介護状態となったときの費用確保のための医療・介護保障などを提供しており、人の一生涯にわたり発生するさまざまなリスクをお引き受けしております。このようにリスクをお引き受けすること、すなわちアンダーライティングが生命保険業の本質であり、保険会社は事業の健全性を確保し、長期にわたり引受責任を果たしていくことが何よりも重要となります。

適正なアンダーライティングのためには、まず、入口、すなわち契約をお引受けする際にリスクを正確に把握することが必要であり、また出口である支払い段階では正当な請求かどうか確認することも必要です。このために健康情報などを取得する必要があるといった点が生命保険事業に特徴的と考えられます。

また、お客様とは長期にわたりおつきあいさせていただくこととなりますので、ライフステージによってお客様のニーズが変化することに応じ、追加のご契約をご提案するなどのコンサルティングを行う必要があります。また、住所変更や改姓手続などさまざまな保全サービスも必要となります。

このために、生命保険会社はお客様の個人情報を長期にわたり保有することになります。生命保険業界としては、これまでもこのような生命保険業における個人情報の特性に照らして個人情報の保護の重要性を十分に認識し、特段の留意を払い、取り組みを行ってまいりました。

以下、具体的に説明いたします。２ページをお開きください。

まず全体概要ですが、図の左側が生保協会としての取組となります。生保協会としては、個人情報保護の重要性を早くから認識し、「顧客情報取扱いにおける行動規範」を制定するとともに、先ほど説明のありました「ＦＩＳＣ指針」と一体として、「生命保険業における個人データ保護のための指針」、いわゆる「生保指針」を自主ガイドラインとして制定しております。

「生保指針」は、「ＦＩＳＣ指針」の個人情報保護に関する考え方を生命保険事業に当てはめたガイドラインとして作成しており、例えば生保会社における個人情報取得時における利用目的の明示方法の事例を挙げ、また安全管理体制の取組内容を定めることなどによって、各社において具体的な取組ができるようにしております。この「顧客情報取扱いにおける行動規範」は、別紙１に添付いたしておりまして、また生保指針につきましては、別紙２として添付しておりますので、ご参照いただければと存じます。

時間もありますので元へ戻らせていただきます。２ページの下でございますが、生命保険協会では、東京の本部における生命保険相談所のほか、全国の地方生命保険協会53カ所に、生命保険に関する相談受付窓口を設置しております。昨年度の生命保険協会が受け付けた苦情件数は1,020件ですが、そのうち13件がプライバシー関係の苦情となっています。中身を見ましたところ、大量のデータが流出したといったものはなく、担当者が契約内容を近親者にうっかり言ってしまったというような類のものが大半でございました。このような苦情が寄せられますと、協会は各社に対して適切な解決を図るよう連携を行い、また結果についても報告を受けております。

次に、日本生命における取り組みについて、図の右側でご説明いたします。

本社では「ＦＩＳＣ指針」及び「生保指針」を受け、社内の個人情報保護に関する方針や規定を整備しております。具体的には、まず弊社の個人情報保護の方針を宣言する「個人情報保護方針」を策定し、弊社ホームページ上で公表しております。個人情報保護方針は、いわゆるプライバシーポリシーであり、４月に閣議決定された「個人情報の保護に関する基本方針」においても、策定することが重要とされているものです。今後、生保協会の業界自主ガイドラインの改訂内容等も踏まえ、個人情報保護法に沿ったプライバシーポリシーとするよう検討してまいります。

また、内部基準といたしまして、個人情報保護の社内基本ルールとして、「顧客データ取扱基準」を策定しております。当基準に基づいて組織面、システム面、教育研修面等の実務対応を行っています。

なお、安全管理措置の具体的取り組み内容については、後ほど説明いたしますが、個人情報保護に関する取り組みが確実に実施されているかについて、例えば第一線の営業部に対しては最低年３回、社内検査を行い、不十分な場合には再検査、改善指導を実施するという形になっております。

また、金融庁の保険会社にかかる検査マニュアルにも、データ保護、データ不正使用防止、不正プログラム防止策について、適正かつ十分な管理体制を整備しているかと記載されておりまして、適正な顧客データ保護体制を確立しているかどうかが検査項目となっており、金融庁からのチェックを受けることにもなっております。さらに全国のお客様から寄せられたご相談、お申し出については、迅速に対応が行われるよう努めておりますが、同時にお客様の声として本部に吸い上げ、分析の上、構造的な改善につなげるという形を行っております。

３ページに移らせていただきます。個人情報の取得・利用についてご説明いたします。生命保険事業においては、保険の募集、保険契約の申込・締結、住所変更等の保全手続、給付金や保険金の支払請求といった各業務があり、そのときどきで個人情報をお客様からいただくことになります。個人情報の取得・利用全般についてはまず個人情報保護方針において、さっきのプライバシーポリシーですが、「お客様情報の収集は、商品、サービスを提供させていただくため及び契約の締結、維持管理のために必要とする最小限とします。これらの情報は保険制度の健全な運営、ニッセイ保険口座のサービス提供、新しい商品・サービスの紹介等の目的のために利用します。」と規定をいたしております。

具体的な取得場面ごとに申し上げます。

まず、ニーズ喚起型商品である保険を募集する際には、お客様に合った商品をご提案するために年齢や家族構成、既加入の保険契約などについてアンケート等の形で個人情報を収集することがあります。この場合、アンケート書面に「コンサルティングサービス等に活用」させていただく旨を明示することをルール化しております。また、お客様に配布するパンフレットやアンケート等は、現場の営業部で作成するものも必ず本部で事前審査を行うことにしており、この文言が入っていないものについては承認しないことといたしております。

次に、お客様から契約をお申し込みいただく場合は、通常申込書で住所や氏名などを記入いただくとともに、告知書で現在の健康状態や過去の入院歴などの健康情報を被保険者から申告いただくこととなります。医的審査を行う場合は、告知書のほかに医師の診断書が必要となりますが、この場合には診断書等は医師から直接本社の方に送付されることとなり、営業担当者が関与することはありません。

ご契約のお申し込みをいただく際においては、特にお知らせすべき項目を記載した「重要事項説明書」という書類をお渡ししてご説明いたしますが、この中に個人情報の利用目的を明示しています。重要事項説明書については、その内容をご確認・了解いただいた上で申込書に押印をいただいております。

長期にわたる契約期間の間には、住所変更などの契約の保全手続が必要となります。３段目でございますが、各種の手続は営業職員や窓口で取扱っておりますが、例えば住所変更などはコールセンターでも手続が可能となっております。本人確認を行った後で、新旧住所など手続に必要な情報を収集しております。この場合は、お客様の申し出によって手続を行うものであり、個人情報の利用目的はおのずと明確となっています。

保険金、給付金等の請求に当たっては、請求人を確認する書類などのほか、請求事由を確認するために必要な診断書等の提供を求めています。診断書は、例えば手術を行った場合の手術名の確認や、加入以前から同じ病気を患っていなかったかなどについて、お支払いできない事由がないかどうかなどを確認するために必要となります。これらの場合も、利用目的は明らかであり、その情報は当然ながら保険金、給付金の支払い査定に限定して使用しています。

このように、これまでも弊社においてはお客様が利用目的を理解できる範囲内で個人情報を利用することとしてきたわけですが、個人情報保護法の施行に向けて、その取扱いの詳細を再度点検しているという状態でございます。

次のページ、４ページですが、個人情報の第三者提供について説明いたします。

現在、個人情報の第三者提供としては二種類のものがあります。一つは、生保事業全体の健全性確保のために行うものです。大変残念なことなのですが、生命保険では、保険金殺人や入院給付金の不正取得など、金銭を詐取する犯罪行為や不正行為が行われることがあります。このようないわゆるモラルリスク防止のために、契約内容登録制度を生命保険協会内に設けております。契約内容登録制度に対しては、保険契約者並びに被保険者の氏名、生年月日、死亡保険金額、入院給付金日額を登録する場合があります。契約内容登録制度により、各社の保険に短期間に集中加入、あるいは多重にわたる入院給付特約の加入等、保険制度本来の趣旨を逸脱した加入懸念をチェックすることとしており、各社はそれぞれの規定に従って過重な保険加入と判断される場合は、お引き受けを拒絶することになります。この制度は、保険制度の健全性や信頼を維持するために大変重要な制度となっています。この契約内容登録制度については、「ご契約のしおり」でその内容を詳細に記載しておりますが、「重要事項説明書」の中でも明記しております。

今、申し上げた登録制度は入口、つまり契約時の制度ですが、出口の支払査定時に関しても、モラルリスクをより的確に防止するための照会制度を平成17年１月に立ち上げるべく、今、協会で検討を行っております。

もう１つは、下の段でございますが、ニッセイ保険口座のサービスの１つである「損害保険・口座で割引」を行うため、ニッセイ同和損害保険株式会社、グループ会社でございますが、この会社に情報を提供するものでございます。ニッセイ保険口座は右の下に書いてございますように、ご契約者のご契約を一つの口座で取りまとめることにより、さまざまなサービスを提供する制度です。例えば複数ご加入いただいているお客様には、保険料を割引する「はいるほど割引」といったサービスを設けております。ニッセイ保険口座を開設されたお客様が、ニッセイ同和損保の自動車保険、火災保険等に申し込まれ、口座割引の適用をお申し出になった場合、ニッセイ同和損保から日本生命に氏名と口座番号だけを示して照会を行います。日本生命は口座の有無だけを回答することとなっております。すなわち、情報は損害保険料割引サービスの目的に限定し、またお客様が「損害保険・口座で割引」の適用を申し出た場合に限定して提供するものでありまして、損害保険の保険料が割引になり、お客様にとってメリットがあるものです。このニッセイ同和損保への情報提供についても、保険募集時にお客様のご了解をいただく取扱いといたしております。

次に、５ページの安全管理措置についてご説明いたします。まずは組織面の対応をご説明いたします。資料の５ページをご覧いただきたいと思います。

社内組織の対応としては、経営層が関与して社内横断的に法令遵守を推進、徹底する組織として、コンプライアンス委員会を設けております。このコンプライアンス委員会傘下の部会として、情報資産保護部会を設置して顧客データ保護に取り組んでおります。情報資産と名付けておりますのは、顧客データ以外の営業機密といった情報資産を含めて保護を推進していく組織として位置づけられているためです。

情報資産保護部門のヘッドは、システム部門等を管掌する役員が務めており、営業部門や企画部門などの各部門長が部会を構成しております。さらには、個人情報に関係する各担当部門の責任者を明確化し、システム設計・運用、事務対応、営業教育それぞれの部門で個人情報保護の推進を行っております。

次に、システム面での具体的対応ですが、６ページをご覧いただきたいと思います。

まず本社では、情報の重要度に応じて３つの分類を行っております。本社に特徴的だと思いますが、第１に特に厳重な管理を要するものとして、お客様の健康情報等の個人情報があります。第２に氏名のほか、住所、電話番号等のデータが登載されており、仮に第三者の手に渡った場合に、その第三者が顧客を特定し連絡できる情報を含む個人情報、この情報を社内的にはＡ情報と呼んでおります。

最後にそれ以外の情報、すなわち万一その情報が漏れても、第三者が個人を特定できず、直ちに連絡ができるという情報でない、これは社内的にはＢ情報と呼んでおります。このＢ情報の場合は、ほかのデータと突き合わせないと個人が特定できないという情報になります。以上の３種に分けて安全管理措置を構築しています。

このＡ情報、Ｂ情報の区分けは、仮に万一情報が流出した場合に、お客様への二次被害を防止するため、第三者でもすぐに個人が特定できる、すぐ連絡できるＡ情報は極力なくしていこうという趣旨で設けたものです。

まず、最も厳重な管理が必要なのは一番上の健康情報等の個人情報ですが、これは利用者を本部の査定・審査部門の担当者に限定しており、かつ利用場所は査定・審査部門内に設置した専用端末に限定しております。

７ページの図をちょっとご覧いただきたいのですが、要は一番上にあります健康情報は、ほかの情報とは完全に区分されております。コンピュータネットワークは、社外とは完全に分離されているだけではなくて、社内の他のシステムとも物理的に分離された専用システムで管理しておりまして、専用端末でしか利用できません。当然のことながら、社外や社内の他の端末へデータ送信することは不可能でございます。

この健康情報等の個人データについてはリスト編集不可能としております。例えば、仮にリスト形式に編集して印刷することによりデータを大量に取り出ししようとしても、これは不可能だということでございます。またフロッピーディスク等へのデータのダウンロードも物理的に不可能な構造にいたしております。どうしても必要な場合、単票として打ち出すことだけは可能でございますが、当然のことながら保管期限を定め、鍵のかかる保管庫で保管し、最後はシュレッダー処理を義務づけるという対応をいたしております。

次に、５ページに戻っていただきまして、個人を特定できる情報を含むＡ情報は、例えばライフプラザとか支社の窓口などでお客様からご契約内容の照会を受けた場合に、契約内容を確認するために必要な帳票などが挙げられます。これらは本部に限定せず全国の事業所で利用はできます。

また、次の７ページの表をご覧いただきたいと思いますが、中段にございますところでございますが、健康情報以外でも顧客情報を管理する社内システムは社外とは分離されており、例えばＥメール等に添付して社外にデータを転送することはできないようになっております。このＡ情報についてもフロッピーディスク等へのダウンロード、リスト形式での編集、印刷は不可能な仕組みとしております。利用は画面またはどうしても必要な場合は単票としての印刷しかできません。また、単票として印刷される場合、帳票１枚ごとに利用者の氏名、ＩＤ番号が印字されるのみならず、社外持ち出し厳禁であり、違反した場合には厳重な社内処分に処する旨の文章が印字されます。これは全国で利用されるために行っている対応であります。

次に、また戻っていただきまして６ページですが、保険会社においては例えば新しいサービスについてお知らせをするお客様のリストといったものがどうしても業務上必要となりますが、その場合は第三者が個人を特定できないＢ情報の形式にしております。そのようなリストはそのお客様を担当している営業担当者のみに交付されますが、そのままでは担当者自身も対象者を特定できませんので、担当者は、お客様訪問の際に携帯する電子手帳にリストの情報を入力することにより対象のお客様を特定することとしております。

なお、Ａ情報、Ｂ情報に関わらずリスト、帳票については、保管期限を定め、全てシュレッダー、または専用業者による廃棄を行っています。

お客様訪問の際に携帯する電子手帳、この安全対策について説明をいたします。７ページをもう一度お開きいただきたいのですが、中段の右に電子手帳（エフパー）とありますところでございますが、この電子手帳を操作するためには、ユーザーＩＤとパスワードの入力に加えて、専用キーを挿入する必要があるようにしております。この専用キーは電子手帳１台に対して固有のものとなっており、専用キーを挿入しないと電子手帳は立ち上がらない仕組みとしています。さらに、登載しているデータは暗号化しており、仮に紛失した場合でも他人が内容を見ることはできないようにしております。

また一定期間会社の端末と連動しないままにしていると、電子手帳が自動ロックされるといった安全対策を実施しております。なお、平成17年１月からは、その下にございますように、この電子手帳に代わりまして、ＷＥＢパソコンを導入する予定にしております。このパソコンに対してもユーザーＩＤとパスワード入力に加え、ＵＳＢキーを導入しないと操作できない仕組みとするよう、今、考えております。このＵＳＢキーもパソコン１台、１台に対し１対１で対応しており、そのパソコンに対応するＵＳＢキーを挿入しないと立ち上がりません。もちろん登載しているデータは暗号化されています。なお、社内のデータベースとの連動は社内でしか行えず、社外の公衆回線からのアクセスはできないようになっていますので、ハッカー等社内データベースへのアクセスはできないようになっています。

以上が個人情報の取扱いに関する枠組みでございます。

次に、データベースの不正アクセスへの対応策でございますが、これも７ページの一番下の表で見ていただいたらいいのですが、社内からの不正アクセス対策としては、まず社内システムの設計に当たっては、情報への不正アクセスを防止するために、データの重要性や行う業務の内容に応じ、アクセスを許容するデータの範囲、アクセスのレベル、言い換えると参照することだけできるのか、参照、更新とも可能なのか等を決定いたしております。

また、弊社では「システム管理センター」でお客様の個人情報をデータ管理していますが、そこでは、情報資産の安全確保のため、人と物の出入りを管理し不法侵入を検出する厳重なシステムを導入し、24時間監視を実施しています。具体的には、人の出入りについては磁気カードによるゾーンの入退出制御を行っており、とりわけ厳重な管理が必要なコンピュータ機械室、総合監視センターについては指紋照合とパスワード入力を必須としております。フロッピーディスクなどの物の持ち出しについてもＸ線探知機、金属検出器、テープ持出し防止装置を設置し、また監視カメラ及び赤外線装置などの各種防犯センサーを設置しています。その上で、社内の各ユーザーに対してそれぞれＩＤ及びパスワードを付与するなどして、ユーザーの本人確認を行うこととしています。ちなみに第三者により個人を特定できる情報はリスト化できませんが、単票を大量に打ち出すなどの懸念が残ります。しかし、大量に打ち出しを行ったということが仮にあれば、そのことは定期的にリストアップされて誰が打ち出したかをチェックできる仕組みといたしております。

社外からの不正アクセス対策については、一番下段にございますが、弊社ではホームページから契約者が自分の情報を確認したり、契約者貸付などのお取引をしたりすることができます。社外からのインターネット経由の不正アクセスを防止するために、ファイアーウォールを設置し、インターネットを介した社内ネットワークへの侵入を制限しております。当然、本人以外の情報を見ることは不可能です。また、社外から入り込める可能性のあるデータベースには、顧客情報は持っておりません。顧客情報はサーバーと社内データベースの間で特殊な言語でGatewayを通してやり取りすることとしており、外からの侵入は事実上不可能です。さらに、本社システムへの不正アクセスについて監視し、アクセスの記録も定期的にチェックしております。

次に８ページでございますが、外部委託と社員研修についてご説明をいたします。

保険会社の業務の外部委託については、平成15年12月24日に事務ガイドライン、事務の外部委託に当たっての留意点の明確化が発出されています。保険会社が事務を外部委託する際に留意する点としては、委託先に守秘義務を課すこと等が求められており、本社も遵守しております。本社においては、システム開発については原則として本社ＩＴ関連会社であるニッセイ情報テクノロジー社に限定して委託し、年１回定期的にシステム監査を行っております。さらにニッセイ情報テクノロジー社より他社に再委託する場合には、再委託先について日本生命が事前承認することとし、ニッセイ情報テクノロジー社に対するものと同様な詳細取扱いの遵守を契約書で定め、定期的にシステム監査を実施しております。システム運用についても、本社の関連会社であるニッセイコンピュータに委託し、本社の役職員の監督のもと、本社の施設内でシステム運用を行っています。

従業員の研修については、まず役職員全員必携の「行動規範」で法令遵守一般について定めておりますが、その中に「プライバシーの保護」を明確にうたい、お客様情報の保護に努めるべきことを定めています。

またコンプライアンス教育の一環として、情報資産保護に関する教育・研修を行っております。とりわけ年２回、６月と12月の「情報資産保護強化月間」においては社内衛星放送による全社教育を行っています。なお、ニッセイ情報テクノロジー社においても、多くのデータを取り扱っていることの重要性を踏まえ、全社を挙げて従業員への詳細な指導教育を行っております。具体的には職場単位での集合研修、各自の端末を用いた個人単位の理解度確認テストなどを行っております。

９ページでございますが、開示・訂正でございます。

弊社においては、「ご契約内容のお知らせ」として、毎年契約者に対してご契約の保障内容や祝金積立額や契約者貸付等のご利用いただける資金など弊社が管理している個人情報をご確認いただけるよう通知を送付しています。開示請求についてですが、現状において通常の照会等はあるのですが、開示を特段に申し出るということは今のところございません。通常の照会としては、日常的に全国のライフプラザや支社窓口、コールセンターなどにおいてお客様からの申し出やご契約内容等のご照会を受けており、本人確認手続をした実施した上で回答を行っています。また、現在、訂正のお申し出として多いものは、住所変更のお手続ですが、お申し出を受けた場合には速やかな対応を図っております。なお、契約者から、通知等の郵送を中止してほしいというお申し出が結構多うございます。「家族にも保険加入の内容を知られたくない。」等のお客様のプライバシーに配慮した運営を実施しており、直ちに郵送を中止するような手続をしております。個人情報保護法に基づく開示・訂正請求についても、現行の取扱・体制を再検証し、今後もさらに高めてまいりたいと考えております。

最後に10ページでございます。生命保険業界における個人情報保護法への対応についてでございますが、生保業界においては、個人情報保護法の全面施行に向けて平成15年11月に生保協会内に個人情報保護法対応ＰＴを設置し、対応を進めております。現行実務について個人情報保護法遵守の観点から、各種課題の洗い出しを行った上で、ＰＴにおいて具体的な対応策を検討しています。また上記検討と並行して、現行の個人情報保護に関する協会の自主ガイドラインである生保指針を改訂する方向で検討しております。今後、お示しいただく金融庁のガイドラインも十分考慮し、さらに検討を進めた上で最終決定を行いたいと考えております。

弊社をはじめ各社共も実務対応が必要であることから、可能な限り速やかに決定を行い、業界として最善の努力を払って対応を行ってまいりたいと存じます。

以上、私の発表を終えさせていただきます。

○ 山下部会長

どうもありがとうございました。

それでは、今のご報告につきまして、また１～２問、とりあえず何かありましたら、お願いいたします。

では、原委員。

○ 原委員

同じことについて２つの質問でお願いしたいと思っているのですが、保険の場合は、健康情報が一番のポイントになるということで、それは入り口の場合も出口の場合もということなんですが、消費者から見るとやはり告知義務違反のトラブルは結構多いと。それで、医師の審査が必要な場合は医師から直接健康情報を得られるということなのですけれども、最近、医師の審査が要らないというタイプの保険がかなり出てきていて、その場合、懸念をしていますのが、例えば同じように病院にかかっていたとしても、医師の判断と、それから本人、かかっている本人の判断が食い違うような場合というのが、実際にその給付の場面になったときには、医師の判断の方が優先されるということで、給付が下りない、給付されないというこういうケース等を聞いたりしているんですけれども、その場合、契約した本人からすると、自分の情報なのに自分が正確に把握しているわけではないので、誤った形での自己判断をして○とか×とかをつけて出してしまったというようなことがあると思うんですけれども、こういうようなものというのは、私は何かすごくトラブルの温床というのでしょうか、なるような感じがしていて、このあたりの個人情報の扱い、本人のアクセス権について、どのように考えていらっしゃるのかというのが１つなんですね。

それでもう１つは、同じことの２つ目なのですけれども、先ほどＦＩＳＣのガイドラインの中に、これは本人の同意のところの第５条の第３項と第５項がこれに関わってくると思うのですけれども、説明のところで第５条の第３項に書かれていることが、医療機関から情報を得るということは、もう本人が既に同意をしているということとみなすというような説明書きになっているわけなのですが、果たしてそれでいいのか、どうか。本人がやはり自分の情報なわけなので、知りたいと思ったときには、知ることができるような仕組みにしておくべきではないか、このあたり、なかなか即答は難しいかもしれませんが、問題意識としてはそのようなことを思っておりますので、検討課題としていただけたらと思います。

○ 山下部会長

いかがでしょうか。

○ 加藤委員

一番目の問題は、個人情報保護の問題ではないですが、当社の場合では医師扱いが非常に多く、医師扱いであれば医師が告知を受けますので、本人の認識が不十分といったことに基づく告知義務違反は発生しにくいと思います。確かに医師扱いの場合でも重大なうそをつかれて、争点になることはあります。しかし基本的には告知義務違反が問われる場合は、やはり本人自身が告知されたことでございますので、自身は認識をされているはずです。

○ 原委員

かなりトラブル多いですよね。

○ 加藤委員

トラブルは、この程度のことは告知しなくても告知義務違反に問われないという認識をされたことによって生じるものが多いと思います。

○ 原委員

その場合は、もう完全に虚偽ですよね。だから、それは明らかに虚偽とわかるものは私も別に言っているわけではないのです。例えば、血圧の高いとか低いとか、このあたりの扱いです。

○ 加藤委員

医師の診査を受けておられれば、医師と会話をしながら告知を行いますので、本人が不十分なことによって後日告知義務違反が問われるというのは考えにくいと思います。

しかし、告知だけの場合は、本来的に本人だけで行いますから、やはり虚偽かどうかというのは当然問われ、告知義務違反の判定の問題が出てくるかと思いますが。

○ 原委員

訴訟もかなりありますし、それから各地の消費者センターなんかでも、このトラブルの扱いには大変苦慮している状況なのです。別に即答でなくても。

○ 加藤委員

わかりました。一度どういう状態か、この件は個人情報保護とはちょっと別の件かと思いますので、別途整理します。

それからもう１つは、医師の診査を受けられたということは、診査を受けられたこと自体をもって保険加入のために同意をなさったというふうに考えられます。同意しない方はお受けにならないわけですので、医師の診査を受けることについて顧客の同意を得ていると我々は考えております。

○原委員

聞きたかったのは、医師の審査をなしに、本人が自己申告で契約をなさった場合、給付のところでトラブルになったときに、医療機関から情報を取られるようなことについて、それから、この第５条の３項と５項でいいのかなというところが疑問だということです。問題意識ということで、提出させていただきました。

○ 加藤委員

ご質問は、契約時点にそのこともお示ししろということでございますか。

○ 原委員

本人が開示請求をするとか、そういう場合は。

○ 山下部会長

保険金の請求をして、請求書を出したところ、保険会社の方から、ではお医者さんの診断書も本人が取ってきて提出してくださいというケースとか、あるいは、保険会社がじかにお医者さんの方へ問い合わせをするといういろんなケースがあると思います。後者の場合、同意を得てから行くのではないかと思いますが、そのあたり、わかりますでしょうか。

○ 加藤委員

「契約のしおり」には提出すべき書類を含めてきちんと載っていると思います。ご質問はおそらくもっと明示的に示すべきではないかということなのだろうと思いますが、しおりにはたくさんのことが書いてございますので、その点について、実務的にどうなのかも含めてちょっと調べてみます。

○ 山下部会長

それでは、もう１問。

○ 高橋委員

まず、安全管理措置についてお伺いしたいんですが、先ほど加藤さんからご説明いただいたのは、主に日本生命のケースだと思われます。これを業界スタンダードと考えてよいのか、業界最高水準と考えてよいのか、その辺について教えていただきたいと思います。業界他社の状況というのは、なかなかおっしゃりにくいと思うんですが、協会で把握していらっしゃる範囲、それから今まで７社破綻していますけれども、破綻した会社の個人情報の管理の状況等御存じだと思いますので、その辺からでも教えていただけたらと思います。

それともう１点、すみません。生命保険会社は、最近販売窓口が他業態に広がっております。それで、個人情報の取得管理についてお伺いしたいんですけれども、専業営業職員のような募集人に関しては、いろいろご指導もやっていらっしゃると思うんですけれども、例えば銀行とか証券会社が窓口の場合に、そこを通過したときに、その業務委託契約をしていてその取得時に申し込みの内容というのは、医的審査を除いてはかなり担当者が見ておられるのではないかというふうに想像できます。それは保全手続に移ったときには、もう破棄するというふうなルールになっているのか、変額年金なんかで取材していた場合には、証券会社との契約であれば、その後も証券会社が顧客にいろんなアドバイスをするというようなケースもございましたので、そういう場合には当然情報は残っていると想像しますが、その辺のルールについて教えてください。

○ 加藤委員

他社のことはよくわかりませんが、ただ、各社とも生保指針に基づいてやっておりますし、少なくとも保険の健康情報が漏れたというようなことは今までにないので、かなりのレベルにあるのではないかと思っております。また、日本生命としても最高レベルで頑張りたいと思っているわけでございますが、私どもだけがとりわけて良いというわけではないと思っております。

それから、２つ目、代理店についても、いわゆる守秘義務契約を当然結んでおりますし、年１回検査を行っておりまして、その中には情報管理の項目も入っております。金融機関の代理店などは特にまた金融機関として管理をされておられますので、こういう個人情報に関してはかなりのレベルにはあると思います。

○ 高橋委員

お伺いしたかったのは、その情報が保険会社以外にとどまっているということをよしとしているのか、その辺のルール化があるかどうかです。申し込み窓口としての委託だけなのであれば、当然残ってないだろうと個人としては考えたいところなのですけれども、ルール化しているかどうか、教えてください。

○ 加藤委員

保全手続について申し上げると、全部、私どものコールセンターで行うこととしておりますので、保全等の書類が銀行、証券に残っているということはないと思います。

○ 山下部会長

では、加藤委員に対するご質問は、とりあえずここで打ち切りまして、３つ目のご報告に移ります。次は株式会社損害保険ジャパンの取締役専務執行役員でいらっしゃいます西川委員にご報告をお願いいたします。

○ 西川委員

損保ジャパンの西川でございます。今回、特別部会におきまして、損保業界の実情等について申し述べる機会をいただきありがとうございます。これから、損害保険会社における個人情報の取扱い等の現状について、お手元の資料に沿いながら、損保ジャパン個社としての取り組みをご説明し、業界の実情をご理解いただければと、このように思います。損保業界としての検討状況につきましては、最後にまとめて触れたいと思います。

まず表紙を開いていただきまして１ページをご覧ください。取得方法について述べております。個人情報保護法の観点からは、いつ、だれが、どうやって、だれから、どのような個人情報を取得しているのかということがポイントかと思います。

まず、いつということから言いますと、大きく保険引受時と保険金請求時に分けられます。当社のような、代理店による販売形態を主力にしている会社では、一般に保険引受時には、代理店が申込書等の書面に基づき、本人から契約関連情報を取得いたします。他方で、保険金請求時には、ここでは「当社」はとしておりますが、保険会社が保険金請求書等により本人から事故関連情報を取得いたします。より具体的にご理解いただくために、２ページから４ページに、これらは当社の例でございますが、代表的な保険であります自動車、火災、傷害保険について、保険契約申込書で取得する情報と、保険金請求書で取得する情報についてまとめてみましたので、ご覧いただきたいと思います。

簡単にご説明いたしますと、保険の引受時には申込人本人と保険の目的情報を取得いたします。一口に損害保険と言いましても保険の種類が多く、その種類によって対象となる危険が異なりますので、取得する情報も２ページから４ページのように異なっているわけであります。

保険金の請求時には保険金請求権者からどの契約に基づき、どのような事故について請求をしているのかということと、どの口座に保険金をお支払いするのかということを知らせていただきます。また、あわせまして保険の種類に応じて、損害の立証資料も別途頂戴いたします。

１ページに戻っていただきたいと思います。今ほど、生保さんからの発表がありましたので、生保さんとの比較で損保に特徴的な、代理店による保険販売について若干触れたいと思います。１ページの下の方をご覧いただきたいと思います。

損保代理店は、所属保険会社が１社か複数かで「専属／乗合」に分かれております。また、保険販売業務にのみ従事しているのか、他の事業を営んでいるかで「専業／兼業」に分かれます。左側に記載しました乗合代理店の場合ですが、複数の保険会社の商品を取り扱っていますので、顧客ニーズ等に応じて、どの保険会社の商品をお勧めするかを決めることになります。場合によっては、前年度の保険会社と異なる保険会社の商品をお勧めすることもあり得るわけであります。本年１月に報道されました事案はこのケースであります。個人情報保護法の趣旨から言えば、乗合代理店は顧客に対し複数の保険会社の商品をお勧めすることがあるということを事前にお伝えすることが必要になると思われます。このような対応を行っておれば、報道されたようなトラブルを避けることができたのではないかと、このように考えております。

右側は、兼業代理店についてのご説明です。兼業代理店の例といたしまして、自動車販売会社が損保代理店を兼業しているケースがございます。このケースでは、自動車販売会社は自動車を販売した顧客に対して自動車保険をご提案することになります。個人情報保護法の趣旨から言えば、兼業代理店は顧客に対し、自動車販売業務で得た顧客情報に基づき保険販売を行うこと、あるいは、その逆のパターンがあることを事前にお伝えすることが必要になると思われます。

他方で、ここには書いてございませんが、１つの保険会社に専属し、保険販売を専業とする代理店の場合、保険会社１社の商品を取り扱っているだけですので、顧客が戸惑うようなことは余り想定されないと思います。この場合は、保険会社が用意した利用目的等を代理店が顧客にご説明すれば足り得るものと考えております。

以上述べましたように、一括りに損保代理店といいましても、独立した個人情報取扱事業者と評価すべき側面と、保険会社が監督責任を負う委託先として評価すべき側面が混在しており、個人情報の取得、利用、第三者提供といった、いわば局面ごとに、代理店の実態に即した実務基準を決めていく必要がございます。

５ページをご覧いただきたいと思います。個人情報の利用の状況について述べたいと思います。

ここでは、損保ジャパンの利用と損保ジャパングループの利用に分けております。まず、当社の利用形態として保険引受、保険金支払や付帯サービスが基本としてございます。保険会社は、顧客の個人情報を保険引受の審査や契約の履行に利用しております。そのこと自体、保険の本来業務であります。付帯サービスの例といたしましては、自動車保険のロードサービスや海外旅行傷害保険のホットライン受付などがございます。当社の場合、損保のほか生保、職域ローン、投資信託、確定拠出年金を扱っております。

続きまして、当社グループでの利用について申し述べたいと思います。当社は損害保険会社でございますけれども、当社グループには生保、損保、確定拠出年金を取り扱う証券会社、クレジット会社などがございます。５ページの下にはグループ企業のうち金融業態の主なものを挙げておりますが、これらとの個人情報の共同利用を行うことが考えられます。しかし、金融・保険業界の場合、業態ごとに弊害防止措置が定められるなど、それぞれ別個に守るべき規制・ルールがあり、グループでの共同利用を行うに当たっては、原則として顧客の同意取り付けが必要と、このように考えております。現状、各社個別対応を行っているところです。

金融・保険商品におきましても、ワンストップ・ショッピングのニーズがあるところですので、当社といたしましても今後さまざまなサービスを検討・開発していく立場として、顧客の利便性向上という観点からも同一企業内の多目的利用や、グループ内共同利用については柔軟な対応をお願いしたいと考えております。

６ページをご覧ください。保険会社や代理店が行う保険販売におきましては、保険引受、保険金支払等のために利用するということが明らかな場合も多いと思いますが、１ページのところで申し上げましたとおり、個人情報の取得を申込書等の書面で行う関係上、利用目的の通知状況はどうかということになろうかと思います。現状、利用目的の通知は、保険の適正な引受や不正な保険金請求排除のための損保業界の情報交換制度について、ご契約時に申込書、ご契約のしおり、約款等で通知、あるいは口頭でご説明しているところですが、ご契約者への分かり易さ、周知という点では、今後とも徹底を図ってまいりたいと思っております。

この利用目的の通知でありますが、個人情報保護法対応ということで、新たに取組みが必要な課題と、このように認識しております。当社といたしましても、来年４月の個人情報保護法の全面施行までには遺漏のない対応をするべく、利用目的の通知文言の記載が必要な帳票等の洗い出しなどを現在行っているところです。

次に、第三者への提供について述べます。

第三者提供に当たりましては、当然のことながら本人からの同意取得が原則と、このように捉えております。第三者提供にはどのようなものがあるか、あるいはあるとして、どのように顧客から同意をいただくのか、現在検討を行っているところです。損保の場合、保険の引受、保険金支払、付帯サービス、再保険取引のために個人情報を提供することがございます。個人情報の第三者への提供に当たりましては、提供の目的に応じて必要な情報に限定することといたしております。

まず、ここで取り上げます損保の情報交換制度も、第三者提供の一類型とも言えると思います。基本的には、個人情報保護法にあります「共同利用」の要件を満たすような形で公表していく方向で業界で検討しているところです。

下の図をご覧いただきたいと思います。損保業界の情報交換制度のイメージを記載いたしました。損保業界の情報交換制度は図のように、第三者からの情報の取得という場面と、第三者への提供という場面がございます。

より具体的に知っていただくために、７ページに、これは自動車保険の例でございますが、損保業界の情報交換制度について大きく保険引受関係と保険金支払関係の２つに分けて記載いたしました。

自動車保険について見てまいりますと、事故が多発して保険料が割り増しになると、お客様の中には他の保険会社に過去１年間事故はありませんでしたと、このように虚偽の申告をして申込みをされるというようなケースが現在でもございます。また、保険金不正請求といった事例も後を絶たないのが事実でございます。このようなことを防止するためには、情報交換制度に加盟している会社間でチェックできる仕組みが不可欠ということになってまいります。

これ以外にも損保には情報交換制度がございますが、いずれも保険の適正な引受、不正な保険金請求排除のために必要不可欠な制度であり、その旨をお客様にもご了解いただけるように努めてまいりたいと、このように考えております。

６ページに戻っていただきたいと思います。第三者への提供に関しまして補足説明をいたします。「付帯サービスのために」と、このように書いてございますが、保険会社は保険のみならず付帯サービスを提供するに当たりまして、サービス会社に個人情報を提供することがございます。付帯サービスのための提供につきましては、単純な業務委託の場合も多いと、このように考えております。

そのほか、損保に特徴的な第三者提供の類型として、再保険取引がございます。再保険は保険会社が引き受けた保険のリスクの一部または全部を再保険会社に転嫁するためのものでございます。個人情報保護法に照らしてみますと、その再保険の取扱いが損保にとっての課題と、このように認識をいたしております。再保険分野では、再保険契約の締結、または再保険金回収時に、保険会社は再保険会社または再保険ブローカーに対して情報提供が必要でございます。再保険契約の性格自体がリスクヘッジが主目的でございますので、個人物件についての個人情報提供はほとんどないわけでございますが、特殊なものといたしましては、個人の高額な傷害保険の任意再保険の手配、または個人の高額な美術品等の任意再保険等を手配するとき、またその再保険金回収に当たって個人データを提供することがございます。この再保険会社への個人データの提供につきましては、保険本来の利用目的に含まれているというふうにするのか、別途本人からの同意取得が必要なのか、我が国の個人情報保護法では、米国のように法律で同意免除とされていないだけに、今後整理していきたいと思っております。なお、再保険会社への提供が必要なデータとしては、個人の名前、住所、保険の目的の情報等がございます。

続いて８ページをご覧ください。当社の安全管理措置について説明をしたいと思います。

保険会社は、これまで、個人情報保護法成立以前にも顧客のプライバシー保護に努めてまいりました。損保は、様々な事故に関しての保険を扱うと、こういう事業の特性上、大量のデータを取り扱っております。データの取扱いに関しましては、従来から慎重に取り扱ってきたところです。また、損保の場合、先ほど簡単にご説明いたしました代理店が顧客との間に介在することが、これまで特別部会で各業界の発表のあったところと比較して、特徴と言えるわけでございます。

８ページは事務上の措置についてご説明をしております。体制整備という点では、当社内では一般ルールとして顧客情報保護規程を制定しております。個人情報というよりも、法人を含む顧客情報を保護するということとしております。そこでは、本来の目的以外の利用を禁止いたしております。顧客情報の管理につきましては、社員への徹底にも努めているところです。管理態勢面につきましては、顧客情報管理責任者を定め、教育研修を行っております。業務面では、情報持ち出しの制限、重要書類の金庫保管、不要書類の溶解・焼却などの対応を行っております。日常でも業務終了後の終業時点検等を見直すなど、顧客情報の保護に注意を払っているところであります。

９ページをご覧いただきたいと思います。続きまして、システム上の措置について説明をいたします。

システム上の管理では、項目のみ挙げさせていただきましたが、安全性の高いネットワーク、利用者ＩＤ・パスワードによるアクセス管理、社外宛メールのモニタリング、ノートパソコンはハードディスク全体を暗号化、社内規程整備と利用者教育の徹底、代理店システムにおける認証の強化と、こういった対策をとっております。

それぞれの対策につきまして、若干ご説明を申し上げますと、安全性の高いネットワークにつきましては、社内ネットワークは安全性の高い専用線のネットワークを構築しております。インターネットなど外部ネットワークとの接続点は１カ所に絞り、そこにファイアーウォールやウイルスチェックなどの二重、三重の不正侵入防御策を講じております。

利用者ＩＤ・パスワードによるアクセス管理についてですが、社内システムの利用に当たりましては、利用者ＩＤの属性、すなわち所属・役職の別によりアクセスできるデータやサービスを制限いたしております。例えば保険金の支払承認業務は、当該部署の管理職しか権限がない等としております。この利用者ＩＤの属性変更は、人事異動や組織変更があった場合には速やかに変更し、権限のない者からのアクセスを防いでおります。また、パスワードにつきましても、３カ月ごとに強制的に変更を必要としておりまして、６回以上間違えるとＩＤを使えなくすると、このような管理を徹底いたしております。

社外宛メールのモニタリングについてですが、メールによる情報漏洩のリスクもございますので、この点につきましてはフィルタリングソフトを導入し、社外宛に不審なメールの送信がないかチェックをいたしております。

ノートパソコンについてでございますが、今年から社内端末としてノートパソコンの利用を開始することといたしております。ノートパソコンには利便性の反面、持ち運び時の盗難、紛失などのリスクがございますので、データ全体の暗号化によって万が一に備えております。また、電源を入れてから２回の認証を通らないとパソコンが使える状態にならないようにしております。

以上のほか、様々な対策を講じておりますが、他方で高い情報セキュリティーは、社員の情報管理意識の高さも相まって保たれるものでありますので、規程の整備や教育研修の徹底もあわせて図っているところです。

また、代理店に対しましても、社員同様、情報管理の重要性につきまして徹底を図っています。代理店システムにつきましては、ＩＤとパスワードによる管理はもちろんのこと、利用するパソコンに電子証明書を搭載することで、不正利用を防止する措置を強化しております。10ページに代理店システムのセキュリティー対策のイメージ図を載せましたので、ご参考までにご覧いただきたいと思います。

11ページをご覧ください。苦情受付・外部からの照会について述べたいと思います。

個人情報に関する外部からの問い合わせは、日常の契約照会や事故・支払照会がほとんどでございます。保険の場合、保険の契約内容と個人情報が不可分であります。個人情報保護法との関係では、こうした日常業務と、新たに法律で定められた開示請求との関係の整理や、それらの仕分けが課題だと、このように思っております。

開示請求との関連で、日常業務について少し説明をいたしますと、顧客から契約内容のご照会があった場合、現状、営業店や代理店が対応するのを基本としております。回答する場合には、本人確認を行っております。出先での対応のほか、本社のカスタマーセンターで受け付けるものもございます。事故や保険金支払関係のご照会の場合、当社では営業部門とは別の損害調査部門が担当いたしますが、事故という特質上、関係当事者が多く、様々な人から照会がございます。事故関係の情報につきましては、プライバシー保護の観点からも、ご本人と照会者との関係や、回答の必要性を確認し、慎重に対応いたしております。

個人情報保護法上の開示請求手続は、日常業務との仕分けが課題だとこのように申し上げましたが、苦情に関するルールと関連するところも多いと想定されます。いずれにしましても受付窓口などの手続整理が必要であり、対応を検討しているところです。

12ページをご覧ください。最後に損保業界の個人情報の保護に関する検討状況についてまとめて若干触れます。

損保協会では、個人情報の保護に関し、過去、ＦＩＳＣ指針を受けて業界指針を策定し、適宜改訂の上、各社の取組みの参考としております。現在の版は、別紙として添付させていただきました。添付の指針は、業界では「損保指針」と呼んでいるものです。当初、87年のＦＩＳＣ指針策定を受けまして、89年に策定をいたしました。その後のＦＩＳＣ指針の改訂に合わせまして、損保指針も2000年に改訂をいたしております。そういう点では、別紙は第２版となるわけであります。損保協会では昨年10月に個人情報保護法対応検討ＰＴを設置し、法対応について検討を進めてまいりましたが、この損保指針につきましても、見直しを進めております。今回の個人情報保護法や今後行政のガイドラインが出された場合には、その内容にも合致した改訂を検討しているところであります。

また、現行の損保実務も法律に照らして見直す必要がございます。各社共通のところにつきましては、業界でも先ほど述べましたＰＴの場で鋭意検討しているところです。しかしながら、実務の検討を進めている中で、法律の解釈でなお不明な点もありますので、関係当局にも確認を行いつつ、来年４月の法の全面施行に向け、問題のない対応としたいと考えております。

損保ジャパンの検討状況についてご説明をいたします。

一番最後に、「申込書等の帳票切替え作業などを検討中」と、このように書かせていただきました。損保の場合、帳票切替えの対応が重要でございますので、その点について特にここで述べさせていただきます。

損保が扱います商品は、１年契約がほとんどでございます。つまり多くの契約が１年で満期を迎えることになります。保険会社は、保険の付け漏れといいますか、付保漏れ防止のためなど、契約者の利便のために更改申込書を機械作成いたしております。当社の場合、各社もほぼ同様と思いますけれども、更改申込書を満期の１カ月ないし３カ月前には案内する事務処理といたしております。そのため、満期の２カ月ないし４カ月前には更改申込書を印刷し、代理店に送付することになりますが、逆算してまいりますと、個人情報保護法が全面施行される来年４月のものは、今年の12月ごろには印刷を開始しなければならない、こういうことになるわけでございます。帳票切替えには、印刷以前にも版下の作成、あるいは印刷業者とのやり取り、帳票の納品後も機械との調整と、このような事前準備が必要なことも考えますと、当社を含め各社とも来年４月に向けて、その半年前の今年の秋ごろには更改申込書に記載する具体的な文言も含めた実務が確定しなければいけないと、こういう状況でございます。こちらからのお願いで恐縮でございますけれども、いずれにしましても迅速な審議をお願いしたいと、このように考える次第であります。

以上で、私からのご説明を終わらせていただきます。

○ 山下部会長

ありがとうございました。それでは、ただいまのご説明につきましても、何かご質問がございましたら、どうぞ。

原委員、どうぞ。

○ 原委員

たびたびで申しわけございません。ちょっと再確認のようなことなのですが、代理店が扱っている情報の漏洩というか、利用によるトラブルというのが数カ月前ですか、報道に出てまいりましたけれども、代理店も、乗合とそれから兼業とそれから１社専属というのがありますが、非常に情報の漏洩というか利用という感じなんですけれども、日常化しているというか、常態化しているというふうな印象であの記事は拝見しました、損保協会とかそれから業界としては、着々と対応を進められていらっしゃるようなんですが、代理店に１社専属の場合は目配りが効くかと思うのですけれども、ほかの代理店については、どの程度監督とかそのようなことが及ぶのかというところでは、いかがなのでしょうか。

それとも、代理店は代理店でまた別に何か業界団体でもつくって対応していただいた方がいいという感じなのでしょうか。

○ 西川委員

先ほどもちょっと申し上げましたように、今またご質問の中にもございましたように、専属あるいは専業の代理店の場合は、事は簡単なわけでございますけれども、特に乗合の場合、乗合の中でも専業の代理店さんもあれば兼業の代理店もあるわけでございますが、今ご質問が出ました、あるいは報道されましたケースは、乗合でかつ兼業のケースでございます。ただ、あの場合は自動車販売店ではございましたけれども、特段、その兼業が問題になったということではなくて、乗合が問題になったケースでございます。

このケースは、従来、付けていた保険会社以外の保険会社の商品を説明しようというために、提案書を作るという作業を外部に委託したわけでございますけれども、たまたまその外部に委託した業者が、実は保険会社であったということでございまして、非常に紛らわしいわけでございます。委託をされました保険会社も委託内容に沿ったお勧め提案書を作っただけで、それ以降は一切その業務にはタッチしないというふうには聞いておりますので、それ以上のものではなかったわけでございますけれども、ただ、そのようなお客様に対して、より適したあるいはニーズに沿った商品を提供すると、そのためにその情報を利用しますよということを、きちっと断っておけば、ああいうような報道につながるようなことはなかったのではないかと、このように考えております。いずれにせよ代理店に対する指導という問題は必要であろうと、このように考えております。

また、兼業の場合ですと、これも説明の中でも申し上げましたように、例えばディーラー、自動車販売店の場合、自動車の販売を通じて得た情報を保険に活用されるケースと、それ以外のケースがあろうかと思いますので、やはり局面ごとにちょっといろいろ考えていかなければいけないのかなというように考えております。

○ 山下部会長

森崎委員。

○ 森崎委員

全体の問題でよろしゅうございますか。

○ 山下部会長

はい、どうぞ。

○ 森崎委員

今までいろいろ事業者団体、信用情報機関等からお話を伺ってまいりまして、管理体制につきましては、水も漏らさぬといいますか、アリのはい出るすきもないというか、かなり高度な対応策をとっておられるというふうに理解をしておりますけれども、しかし今、原さんがおっしゃったように情報の漏洩とか流出は後を絶たないということで、それは一体どうしてそういうふうになっているのか、その企業風土が荒れているのか、社会が悪いのか、はたまたやはり管理体制が甘いのかということなんですけれども、今まで各事業者団体なりそういう信用情報機関から話を伺ってみまして１つ思いますのは、これらの情報の管理につきましては、人が介在している。漏洩する場合も人が介在しているということになりますと、それぞれの企業、団体、組織等で、人事管理、この辺が一体どうなっているのか。やはりこの個人情報保護というものに合わせまして、人事管理のやり方を、ある程度旧来のやり方から変えていくという必要があるのではないかと思うんですけれども、そういう議論を企業ないし組織、もしくは業界団体等でおやりになったかどうか。おやりになったとすれば、成果その辺、ちょっとお聞かせいただきたいというふうに思います。

○ 山下部会長

とりあえず、今日は加藤委員と西川委員に対するご質問ということでいいですか。

○ 森崎委員

本来的は、金融機関よりも、ほかの事業団体の方に伺いたかったんですけれども、ちょっと時間がなかったものですから、今日はこれで。

○ 山下部会長

もし何かございましたら。

○ 加藤委員

個人情報保護の問題と、いわゆるモラルの管理の問題というのはちょっと分けて考えた方がいいと思います。モラルの管理というのは当然ながら人事面の問題も大きく、金融機関あるいは保険会社に勤めているというモラルをどう持たせるかということについては、会社として日々腐心をしているところであります。大量に個人情報が流出するということはありませんでしたが、やはり例えばうっかりと営業職員が顧客の家族に顧客の情報を言ってしまったということはあります。このようなことへの対応としては、日々教育研修等をやるしかありません。

ただ、個人情報保護の問題は、このような人事管理の対応だけではとてもカバーできませんので、できるだけ物理的に、例えばさっきご説明したようにリストを落としても使われないようなものにするとか、そういうことを先にやった上で、さらに教育研修で徹底するという二段構えで対応していく必要があるというように思っております。

○ 西川委員

なかなかお答えが難しいご質問というかご意見だったんですが、やはり対応としては３つ。１つはやはり制度としてきちっとやっていくという制度的な取組み、それからそういったものを裏打ちしていく、いわば各業界の方からもご説明ございましたようなシステム対応をきちっとしていく、３番目は何と言いましても、今、加藤さんからもお話しございましたように普段の教育研修をきちっとやっていくということに尽きるのかなということでございます。

加藤委員からもコンプライアンス委員会というご披露がございましたが、当社でも取締役会直結のコンプライアンス委員会というものを有しております。また、全国レベルの会合等が行われるたび、これは社員のみならず代理店も含めてでございますけれども、常に経営トップからコンプライアンスの重要性というものを口を酸っぱくして伝えているということでございます。このようなやはり教育研修というものを機会あるごとに徹底をし、またそれに反するようなことがあれば、扱いはなかなかデリケートにしなければいけないですけれども、その具体的な実例を逆に広く知らしめて、そのようなチェックを、あるいはそういうことの再発防止につなげていくということが重要であろうかということで、当社ではそのようなことを開始いたしております。

○ 山下部会長

森崎委員、とりあえず今のご説明でよろしゅうございましょうか。

それでは、今松委員。

○ 今松委員

これは生保業界、損保業界ともこのそれぞれの取扱い指針は、ＦＩＳＣの指針に基づいてつくっておられるということを伺いました。それで、今特に損保業界の場合には2000年に改正というのは、99年のものを参考にしているわけです。今、現実に両業界ともいろいろ新しい個人信用情報の法律等々に基づきながらやっておられるわけですけれども、そうすると今のＦＩＳＣの指針でいくと、確かに取扱い指針の拡張というところで、よりこれをさらに厳しくやるとかそういうところは可能であるわけですけれども、いわゆる業界の側からすればどうなんでしょうか。この際、やはりある程度ＦＩＳＣの指針というものをより新しい法律というか、今度法律に基づいた形で、もう１回必要なところについては、改訂するなりのしかるべくバージョンを変えるというそういうふうなことの要望というか、そのあたりは持っておられるのか。ほかの業界等ともあると思うんですけれども、それについてのお考えと、ＦＩＳＣの側でそういう場合の対応等と、ちょっと教えていただければと思いますが。

○ 山下部会長

加藤委員。

○ 加藤委員

今度の個人情報保護法に合わせて、今生保指針を改訂すべく現在検討しています。ＦＩＳＣ指針は大枠でございますので、業界特性に合わせて指針を作っていくことは、業界の仕事だというふうに私どもは考えております。

○ 山下部会長

西川委員。

○ 西川委員

今、生保さんのお考えと同じでございますけれども、やはり損保に合った内容に改訂が必要だということでＰＴで現在検討しているということでございます。

○ 山下部会長

ＦＩＳＣさんの方、何かございませんか。

○ 瀧参考人

一応私ども会員組織ですので、会員の要望に沿って今後の金融審の動きとか、金融庁の動き等を考えながら検討していきたいと思います。

○ 今松委員

ある程度議論が進んだ段階で、それはもう１回考えることもあり得ることもあるという、そういうことですか。

○ 瀧参考人

そういうこともあり得ると思います。

○ 山下部会長

高橋委員、手を挙げておられましたが。

○ 高橋委員

業界の情報交流について、損害保険業界の方にお伺いしたいと思います。

先ほど自動車保険に関しては、具体的なケースでご説明いただいたんですけれども、そのほかについてお伺いしたいと思います。ちょっと３つのケースでお伺いしたいんですが、１つ目はいきなり破綻の話から入って恐縮なんですけれども、今、損保業界さんは破綻処理の仕組みの変更案を第２部会の保険ワーキングにかけておられます。それでいきますと損保さんの場合には、破綻した保険会社が出た場合には、３カ月ぐらいをめどに他社に乗り換える制度を構築して、その代わりに100％補償する形です。その場合、破綻保険会社の個人情報というのは、ほかの会社、つまり全社に公正に公平に提供するような形が想定されているのか、ちょっと細かいことで恐縮ですがお伺いします。

それから２点目は、これは実際にトラブル事例を私は聞いているんですが、住宅金融公庫の特約火災保険のケースです。ローンを一括繰上返済をした場合に、損保全社の引受になっている特約火災保険契約がそのまま住公に残っていれば問題はないんですけれども、最近多様な保険が出ておりますので、ほかの保険会社の保険に入るというケースがあるようです。その場合に、銀行から勧誘されたというケースがありました。それともう１つは、知らない保険、今まで付き合いのない保険会社から勧誘に来たケースです。このケースは幹事会社に確認させていただいたらば、この保険の仕組みとしては、全社に公平に知らせる。各社が繰上返済をした人たちのところへ行っていいんですよということで、個人情報が共有されるようになっていると伺ったのですけれども、消費者の方がそれを知らないために、何で私が繰上返済をしたことを、ほかの保険会社が知っているんだろうというふうな相談が来ました。その辺の事情に関して教えていただきたいと思います。

３つ目のケースは、生命保険の場合には、モラルリスクの問題があって、殺人とかいろんなことを目的にして高額の契約を複数の会社にかなり集中した時期にやっていないかをチェックするために、情報交流をしていらっしゃると思うんですけれども、損保さんの場合には、逆に超過保険にならないためにといいますか、事故での損害補てん以上のものを払うことがない保険の方が多いと思いますので、それのための情報収集が必要になってくると思うんですけれども、それに関して不勉強で申し訳ないのですが、具体的な仕組みを業界として持っていらっしゃるのかどうかについて教えてください。

以上です。

○ 山下部会長

西川委員、お願いします。

○ 西川委員

１番目のご質問は、セーフティーネットの検討の絡みだと思いますが、損害保険の場合、一般的には今、申し上げましたように１年契約がメインでございますし、比較的他の保険会社に契約がスイッチしやすい、また保険金の支払が重要であろうという考え方から、このような案を業界として今出しているわけでございます。個人情報につきましては、破綻した保険会社の保険契約であっても代理店を介して通常契約しておりますから、その代理店に行って他の保険会社に契約を付けたいというような行動をとっていただければ、契約者としては、おおむね特段不自由なく保険入手ができるのかなと、このように考えております。

それから、住公につきましては、仕組み自体は、これは共同保険という仕組みでございまして、全社で契約を引き受けているということでございますので、共同保険という仕組み上、各元受け会社が情報を知っているという形であろうということでございます。

それから、損保の情報交換ということでありますけれども、損害保険会社の場合、各社ともまだ自動車保険が一番メインの種目であるわけなんですが、その自動車保険のうち、これも大半が個人の自動車保険でございます。個人の自動車保険の料率といいますのは、公平な負担という考え方から、その人の過去の事故の状況によって保険料が割り引かれます。これを等級制度と呼んでおりますけれども、過去の事故歴というようなものを情報として入手し、どのような保険料、すなわち何等級に該当するのかということを決めるということが必要であるというような事情から、情報交換をしています。したがって、自動車保険では、情報交換制度がかなり中心的な役割を果たしております。

超過保険というケースはあるのかというお話でございますけれども、火災・新種保険におきます重複あるいは事故歴の照会制度というものがございます。これは各社で受け付けました保険事故につきまして、重複契約がないかどうか、事故歴がないかどうか、こういったことを照会することによって保険犯罪を未然に防止して、不当・不正な請求に対処すると、こういう制度でございます。

○ 高橋委員

１点目で言いますと、いわゆる代理店が次の保険を世話してあげていいということになっておりますので、乗合のときには代理店契約している保険会社がどこかということになるんだと思います。たまたま破綻会社が出た場合には、破綻保険会社の個人情報保護に何らかの措置を考えておられないのか。考えていないというふうに判断させていただいてよろしいですか、今のところは。

○ 山下部会長

いかがでしょうか。

○ 西川委員

現実に損保業界では、破綻の例が過去あったわけでございますけれども、他の保険会社から見れば、破綻会社の契約情報というよりも、むしろ破綻会社と取引している代理店がどういうところなのかなと、むしろそちらの方に関心があるのではないかと。したがいまして、特に専属の代理店であれば、その代理店としては、今ご質問のように別の契約をお勧めしようとしても保険会社と代理店関係がないわけでありますから、新たに別の保険会社と委託契約を結ぶことになります。有力な代理店であれば、例えばある健全な保険会社がぜひ新たに代理店契約を結びたいと申し入れる、こういうようなことは一般的には考えられますけれども、さらに進んで、代理店の頭越しに顧客情報を取り扱うというのは、寡聞にして聞いてはおりません。

○ 山下部会長

要するに、代理店が別の会社と委託契約を結ぶときに、従来の顧客情報はどうなるのかというのが、高橋さんのご質問ですね。

○ 高橋委員

持って行ってよいというふうに判断してよろしいわけですね。すみません、時間がないのにあと２点だけ、お答えいただいた中で、住公の保険に関しては、幹事である損保ジャパンさんが知っているだけではなくて、ほかが知っていることになっているというのはあくまでも建前であって、破綻しないと、あるいは繰上返済しないと事実上は知らないわけですので、繰上返済したときには、個人情報を各社に全部公開すると。それは、一応消費者に全員了解をもらったことになっているということなんですか。

○ 西川委員

すみません。そこの詳細の説明については、手元に資料がございませんので、改めまして。

○ 高橋委員

また次回でも、はい。それと３点目に申し上げました超過保険のケースなんですけれども、先ほど自動車保険の例はよくわかるんですが、例えば海外旅行の傷害保険なんかの場合に、よくモラル的には契約者が幾つか加入していたとかカードに付帯されていたり、空港で入ったものもあった場合には、各社が案分して払うルールになっているので、全社が個人情報を出すということだと思うんですが、保険会社の方で情報をチェックするために個人情報を交流していると考えてよろしいですか。

○ 西川委員

はい、そういうふうに。

○ 高橋委員

そうですか。多分、そのことは契約者が知らないんじゃないかと思うんですけれども、それは何かに書いてあるんでしょうか。

○ 西川委員

申込書には包括的な記載をしています。ただ、本当にその包括的な文言でいいかどうかということについても、実は今検討しておりまして、最後にお願いみたいなことを申し上げましたのは、その申込書の文言等について、どのような文言が今回の法律の趣旨に照らして妥当なのかということも併せせて検討したいと思っておりますので、その意味で今年の秋ごろというふうに申し上げた次第です。

○ 山下部会長

まだご質問あるかと思いますが、時間が予定した時間がまいりましたので、本日の質疑はこれぐらいにしたいと思います。また、実務的な問題等につきまして、ご質問ありましたら事務局を経由してご請求いただければ、ご回答いただけるものと思っております。

それでは、次回以降の日程につきまして事務局よりお願いします。

○ 居戸企画課長

では、事務局からちょっとスケジュールについてお話をさせていただきたいと思います。当審議会、来年の個人情報保護法の全面施行へ向けて、今年の１月から審議を再開をしていただきまして、ご審議を進めていただいているところでございます。１月の再開が第１回目の会合で自由討議をお願いをして、いろいろ今後の進め方等についてご意見、ご議論をいただいたわけでございますが、そのときの今後の進め方についてのご意見として、これまで随分議論があったので、その議論、審議会、懇談会での議論をきちんと踏まえて対応すべきだというご議論をいただきました。しかし、その２年前にご議論いただいたときと比べて２つの点で変わっているので、そこについてはきちんと対応する必要がある。その２つというのは、１つが保護法が成立したということが１つ、もう１つが、２年前と金融取引等の実態が変化をしているということで、金融取引の実態を十分把握して議論を進めるべきだというような、まとめてみますとそういうご議論をいただいたというふうに認識をしておりまして、その後、保護法のご説明、あるいは保護法に基づき政府全体としての閣議決定した基本方針のご説明、ご議論をいただくとともに、各事業者の方からヒアリングをさせていただいて、進めてきたところでございます。

一方、政府全体といたしまして、来年の４月の個人情報保護法全面施行に向けまして、スケジュールの調整をしまして、先ほど損保の方からもお話がありましたように、来年の４月から事業者の方がどんなことを守ればいいんだということを明らかに、準備がきちんとできるように、秋口までにその事業者の方が遵守すべき事項を、例えばガイドライン等の形でできるだけ具体的に明らかにするということ。それから、もしその上で、さらに法制上の措置の必要性等については議論があって、それも年内に結論を得るというような政府全体のスケジュール感で政府一体となって、整合的に作業を進めることとして政府として進めておりますので、金融信用分野においても、そのスケジュールに沿って、我々金融庁としても検討を進めてまいりたいと思いますし、当特別部会でもご検討をお願いできればなというふうに思っております。

当審議会におきましては、この１月からやっていただいた実態把握面のご議論であるとか、あるいは今金融庁、あるいは各業界で進めていただいている保護法全面施行へ向けた取り組みの状況を踏まえて、さらにご議論を進めていただければというふうに思います。

次の具体的な審議会の日取り等につきましては、部会長とご相談をして、また改めてご連絡をさせていただければと思います。

○ 原委員

ごめんなさい。ちょっと簡単に。

○ 山下部会長

簡単にお願いします。

○ 原委員

簡単に２つだけですが、１つは、国会を通ったときの附帯決議で、医療とそれから情報通信と信用分野で、特別に検討しろということで、皆スタートしたのですが、ほかがガイドラインになるからといって、金融、信用はガイドラインということにはしていただきたくない。これは消費者団体、いろいろ聞いてまいりまして、やはり金融信用分野は、罰則規程を設けた法律ということにという要望が高いということと、それから実際に事故が起きたときの被害が甚大だということで、ぜひ検討していただきたい。それから、もう１点は、そのガイドラインなのですが、秋口にということですが、その検討にはここの委員は検討に参画できるということでしょうか、どうでしょうか。

○ 居戸企画課長

まだ、そのガイドライン、今いろいろ議論をしているところでございまして、どういう形、例えばお話ありました金融庁自体がつくった方がいいのか等々の問題も含め検討をしているところでございます。こういうガイドラインにしますとかいうことをご説明をした上で、それで足りないと思われる部分について、例えば追加的措置の検討、あるいは場合によっては法律的措置検討、こういう議論の展開になっていくと思いますので、そのガイドラインでどういうルールづくりをするかということについては、当然、必要に応じ部会長とご相談して、ご紹介させていただいてご議論をいただければというふうに思います。

○ 山下部会長

よろしいでしょうか。

それでは、本日も司会の不手際で時間を超過して申しわけございませんが、以上で終了したいと思います。

本日はどうもありがとうございました。