金融審議会金融分科会特別部会（第12回）議事要旨

○ＥＵ指令や現行のＦＩＳＣ指針の規定振りにならえば、金融分野におけるガイドラインにおいても、病歴・人種・信教といったセンシティブ情報については、原則として収集・利用してはならないという取扱いにしてほしい。

○正当に取得された情報の管理の問題と、不正な情報の入手又は漏洩の問題とは区別すべきであり、前者に対してガイドラインは有効かもしれないが、他方、後者に対してガイドラインが有効であるか否か検討すべきである。

○ガイドラインを守っていれば、情報漏洩等の不祥事が発生した場合にも、監督権限を持つ行政当局からの責任追及を免れるのか。ガイドラインを守っていなかったら、監督当局から業務改善命令などの制裁を受けることになるのか。ガイドラインは、金融機関等にとってのセーフ・ハーバーとしての機能を果たすのか。

○今後、金融機関等が本人確認のため生体認証情報を利用することが考えられるが、暗証番号などと違ってリセットのきかない生体情報については、極めて厳格な管理が求められるべきである。

○金融庁が定めるガイドラインにおいて、「金融分野」とは、どのような範囲を意味するのか。金融機関等以外が金融分野の情報を取得する場合は含まれるのか。

○センシティブ情報については、原則取得しないものと定め、生命保険の引受など一定の業務に限って例外的に取得・利用できることとしても、他のサービスでは使わせないという取扱いが必要である。

○決済情報についても、センシティブ情報と同様の取扱いが必要ではないか。

○金融機関等からの情報漏洩を防止する措置としては、ガイドラインでは十分でなく、法律事項として直罰制の導入も一応念頭に置くべきである。

○個人情報保護法第34条に定められた勧告及び命令と、銀行法第26条に定められた命令との関係は整理できるのか。

○金融機関等からすれば、ガイドラインによって、セーフ・ハーバー・ルールを示してもらうことが重要である。

○最近、金融機関等がグループ化している流れにおいては、グループの中で個人情報をシェアするという必要性が高い。ガイドラインにおいて、個人情報保護法上の「第三者」の意義を明確化して、グループ企業にどのように適用されるのかについて検討すべきである。

○個人情報保護法が制定されたときの附帯決議において、金融・信用分野については、立法措置を検討すべきこととされているので、立法もありうるという考え方でガイドラインを検討すべきである。

○銀行が、今後、保険や証券仲介業など銀行業以外の業務を取り扱うことになるが、医療情報等の管理の責任の所在を明確化すべきである。

○銀行においては、従来から厳しい守秘義務を課してきており、現在策定中の厳格な自主規制ルールを各銀行に守らせれば、新たな立法措置は不要である。

○グループ企業化が進み、金融サービスのワンストップ化に対する利用者のニーズも増している中、グループ内における多目的な情報の共同利用が必要であるので、個人情報保護と共同利用による利便性とのバランスをとってほしい。

○個人情報保護法は代理人による開示請求を認めているが、実務上は、相続を巡って親族に開示してトラブルになることが多く、今後の対応に苦慮している。金融機関等において本人の意思を確認するための過剰な負担を被ることには問題があり、本人への直接開示等で対応する等、何らかの措置が必要ではないか。

○共同利用を行う者の範囲などは、本人にとって分かりやすく理解できる形で示されるべきである。

○いわゆるセンシティブ情報については、厳格な取扱いが求められるのは当然であるが、保険会社の健全性の確保やモラルリスクに対応するために、センシティブ情報を利用する必要性があるのも事実である。

○金融サービスのワンストップ化が進んでいるとしても、個人情報保護の観点から、ガイドラインにおける第三者提供及び共同利用に関する記述はきめ細かくしてほしい。

○法人格を超える場合の共同利用は慎重に取扱うべきでないか。

○決済や健康に関するセンシティブなデータについては、同じ法人格の中でも、その部門のみ、その担当者のみ使用を認めるといった厳格な取扱いとすべきである。

○苦情処理については、既存のネットワークを活用するのではなく、すべての金融分野について一元的な苦情処理機関を設けて対応すべきである。

○金融分野における個人情報の取扱いにおいては、オプトアウトではなく、オプトインを原則にすべきではないか。

○信用情報については、金融に関するガイドラインに盛り込むのか。

○立法措置により金融分野における個人情報保護に関して罰則を設けるとすれば、他の分野との関係でバランスを欠くことになるのではないか。