金融審議会金融分科会特別部会（第５回）議事要旨

○金融機関における個人情報の取扱いの実態について、シティバンクより意見聴取を行った。

○その後、シティバンクの説明に対する質疑応答に加え、今後の具体的なルール整備の在り方について自由討議が行われたが、その際の主な質疑応答、意見は以下の通り。

◆シティグループが想定しているグループの範囲の定義如何。

◆米国内においてシティグループ傘下には、銀行、証券、保険、消費者金融等様々な業態の企業が存在するが、コスト削減の観点から、データ処理は一つのセンターに委託している。当該事務については、誰がどのような情報にアクセスしているのかといった確認とハードウェア内のファイアーウォールをどのように設けていくかといった課題があり、これらについては、データセンターと各金融機関等との間で締結されるサービス契約の中で具体的な情報の取扱いを規定している。また、米国と日本では、商法上の考え方の違いがあるので一概にはいえないが、いわゆる持株会社の影響が及ぶ範囲がグループ企業の範囲の定義であると考える。

その他、コアとなる業務ではなく、ダイレクトメール発送や書類の印刷等あくまで付随業務に関してサポートサービスを他の組織に依頼している場合があるが、この場合は、必ずシティグループのプライバシー基準に従うことと当該委託先がプライバシー基準を守っていることを監査できるように要求している。

◆金融機関にとってリスク管理業務は非常に重要である。自らを守る目的で信用情報機構などと情報交換する場合がある。クレジットカード会社や消費者金融会社が利用者の代表格であろう。

◆シティバンクとはオンライン取引を主に行っているが、本日の説明にあったような年一回の通知等を受けた認識がない。アンケート調査等により消費者の認知度調査等は実施しているのか。

◆シティグループのプライバシー・プロミスを策定した２年前に、顧客へは通知している。また、取引状況などを知らせる月次報告書などでも通知している。顧客情報保護・管理に関する方針は年一回、年末の月次報告書のシティニュースに掲載している。これらの認知度調査は過去１度行ったことがある。

◆ダイナースクラブがシティグループの傘下に入ってから、当該クレジットカード利用者向けに物販などのダイレクトメールが大量に届くようになった。この原因は、ダイナースクラブ側から顧客情報がシティグループに提供されているためなのか。

また、ダイナースクラブとシティグループ本体の両者から類似のダイレクトメールが届くことがあるが、消費者の目から見ても非効率な部分があると思われる。

◆昨年ダイナースクラブを買収し、グループ企業の一員に加えて以降、マーケティング促進の観点からダイレクトメールを発送するようにしている。ダイナースカードの利用者へシティバンク等の商品・サービスを認知・利用してもらう目的からダイレクトメールの送付を依頼しているが、シティバンク側がダイナースクラブの発送するダイレクトメールの宛先を知ることはできないようにしている。

◆グループ内に保険会社も存在するが、医療情報については、特定の場合を除き社内外を問わず利用・共有を禁止するなど非常に厳しい管理を行っている。

◆本年７月１日に施行予定であるグラム・リーチ・ブライリー法の第５章プライバシーに関する条項の定めによると、情報が第三者に提供される前にオプトアウトの機会を（消費者に）与える必要があるとされているが、この第三者とは、グループ外の会社を指しており、その場合は、当然オプトアウトのプロセスを踏むこととなるが、一方、米国内では、グループ企業であれば情報共有は原則として自由に認められることとなっている。

◆ＥＵ各国とその他の国々で保護のレベルが必ずしも等しくない現況において、グローバルに事業を展開するシティグループは、保護のレベルとして、どの辺りに照準を定めているのか。

◆シティグループでは、オンライン取引等により国境を越えて顧客情報を取り扱う局面が増加する見込みであることを踏まえ、顧客情報を最も大切な資産の一つと位置づけ、合併当時米国において法律が存在していなかったにもかかわらず、監督官庁とも相談し、いち早くプライバシー・プロミスを策定した経緯がある。但し、シティグループにおいても、各国の法令・商慣習に合わせて少しずつ対応には差異がある。

◆プライバシー・プロミス導入後、情報の管理等のシステム化にどの程度コストがかかり、当該コストをどのように吸収しているのか。

◆顧客情報という重要な資産の保全のためにはある程度のコストはやむを得ないと考える。

◆米国では、グループ内の情報交流は当然といった方向性であるが、シティグループの説明の中でこれからの課題として挙げられていたように、どの範囲まで情報の共有を認めるのか、またはその公表の仕方等も含め、世界の金融市場における当該問題に関する実態や考え方を調査・整理してもらった上で、その結果を踏まえ判断したいと考える。

◆当部会においては、常に（今次通常国会に提出された）「個人情報の保護に関する法律案」を基に議論を進めてきたが、シティグループの説明にもあった「ハッカー対策」など個人データのセキュリティーについて適切な措置を講じることも重要な論点ではないか。

◆高度な技術の理解等非常に専門的な分野であり、当部会で議論するのはかなり難しいが、セキュリティー対策が重要な課題であることは間違いない。

◆米国内でも、州によってはグループ内の情報共有についてオプトアウトの権利が認められているところも存在するようである。グラム・リーチ・ブライリー法においては、グループ会社の定義として用いられる関係会社（affiliates）とそれ以外の会社（non-affiliated third parties）で個人情報の共有に対する規制の程度が区分されているが、業態の垣根を超えて金融グループの範囲が広がっている現状を踏まえると、果たしてそれでいいのかと異議を唱える者もいる。

◆米国の法令や運用を参考にすることは有用であると思われるが、国によって人々の行動様式や金融機関との取引の仕方も様々であることを勘案すると、欧米の制度をそのまま採り入れるのではなく、我が国の実態に即したルール整備を図ることが求められる。

◆グループ会社間の情報共有は顧客の利益になるという意見があるが、顧客の利益の定義が明確でないことに加え、ミクロの経営の立場からは、顧客はより利益を得られる企業群を利用し、そのために個人情報を提供することは当然の流れである一方、金融機関相互の競争の枠組みという観点からは、当該問題は、個人情報保護の在り方の検討にとどまらず、日本の金融分野における産業政策に大きな影響を及ぼす可能性があり、当部会における個人情報保護の在り方を巡る議論によってその方向性を定めるマターではないことから簡単に解決しないと考える。