令和2年4月
個人情報保護委員会事務局
金融庁
金融機関における個人情報保護に関するQ&A
(PDF : 394KB)
目次
1 総論
1 総論
- Q1-1
個人情報保護法の体系と各業法の体系の関係はどのようなものか。
- A1-1
個人情報保護法の体系では、個人情報の保護に関する法律(以下「個人情報保護法」という。)、同法施行令及び同法施行規則のほか、個人情報の保護に関する法律についてのガイドライン(通則編)(以下「通則ガイドライン」という。)を基礎(注1)として、金融分野における個人情報保護に関するガイドライン(以下「金融分野ガイドライン」という。)及び金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針(以下「実務指針」という。)があり、適用対象は「個人情報取扱事業者」で、主に「個人データ」の管理・利用に関する規定が定められています。
一方、銀行法や保険業法等の一部の業法の体系では、業法の施行規則(内閣府令)において、 ①個人顧客情報の安全管理措置等、②返済能力情報の取扱い、③特別の非公開情報の取扱いが定められており、各業態の監督指針等において、通則ガイドライン、金融分野ガイドライン及び実務指針等の規定の遵守が求められています。
各業法の規定の適用対象となる各業態の金融機関(注2)がとるべき安全管理措置等の対象は、個人顧客に関する「個人データ」となります。
- (注1)金融分野ガイドライン及び実務指針は、通則ガイドラインを基礎とした上で、金融分野の個人情報の性質及び利用方法に鑑み、個人情報の取扱いに関して、金融分野における個人情報取扱事業者に特に厳格な措置が求められる事項等を規定しています。
したがって、金融分野ガイドラインにおいて特に定めのない部分については、通則ガイドライン、個人情報の保護に関するガイドライン(外国にある第三者への提供編)、同ガイドライン(第三者提供時の確認・記録義務編)及び同ガイドライン(匿名加工情報編)が適用されることとなります(金融分野ガイドライン第1条)。 - (注2)本Q&Aにおいて、「金融機関」とは、貸金業法における「貸金業者」等、金融分野における事業者を広く含みます。ただし、個人顧客情報の保護に関する規定の内容については、各業法によって異なるものもあります。
- (注1)金融分野ガイドライン及び実務指針は、通則ガイドラインを基礎とした上で、金融分野の個人情報の性質及び利用方法に鑑み、個人情報の取扱いに関して、金融分野における個人情報取扱事業者に特に厳格な措置が求められる事項等を規定しています。
2 個人情報・個人データ
- Q2-1
官報や民間の新聞等により公表されている情報であっても「個人情報」に当たるか。
- A2-1
「個人情報」とは、個人情報保護法第2条第1項において、「生存する個人に関する情報であって、
- ① 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
- ② 個人識別符号が含まれるもの
のいずれかに該当するもの」とされています。官報や民間の新聞等により公表されている情報であっても、上記要件に該当すれば、「個人情報」に該当するものと解されます。
- Q2-2
第三者からみて特定の個人を識別することができない情報であれば、それは「個人情報」に当たらないのか。例えば、住宅ローンの残高など、金額のみが記載され、その他氏名等が記載されていないものは「個人情報」に当たらないのか。
- A2-2
「個人情報」には、他の情報と容易に照合することができ、それにより特定の個人を識別することができるものが含まれますが(問2-1参照)、事業者において通常の業務における一般的な方法で、他の情報と容易に照合が可能であり、それにより特定の個人を識別することが可能であるならば、他の第三者から見て特定の個人を識別することができないとしても、当該情報は「個人情報」に該当するものと考えられます。
したがって、住宅ローンの残高だけが記載され、その他氏名等が記載されていないものは基本的に「個人情報」に該当しないと思われますが、上記のような場合に該当するならば、「個人情報」に該当することもありますので、ケースバイケースでの判断が必要と考えられます。
- Q2-3
「個人情報」と「個人データ」の違いは何か。
- A2-3
「個人情報」とは、生存する個人に関する情報であって、
- ① 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。)により特定の個人を識別することができるもの(他の情報と容易に照合でき、それにより特定の個人を識別することができることとなるものを含む。)
- ② 個人識別符号が含まれるもの
のいずれかに該当するものをいいます(個人情報保護法第2条第1項)。
一方、「個人データ」とは、こうした「個人情報」を容易に検索することができるように体系的にまとめた「個人情報データベース等」(問2-4参照)を構成する「個人情報」をいいます(個人情報保護法第2条第6項)。つまり、「個人情報」は、「個人情報データベース等」を構成した時点で「個人データ」でもある「個人情報」になり、一方、「個人情報データベース等」を構成していない「個人情報」は「個人データ」ではない「個人情報」になります。
「個人情報」が「個人情報データベース等」に入力され「個人データ」に該当した場合、「個人データ」ではない「個人情報」の場合よりも個人情報取扱事業者(通則ガイドライン2-5参照) の遵守すべき事項が多くなります(個人情報保護法第 19 条~第 26 条)。
なお、「個人データ」のうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全てに応じることのできる権限を有するもの(政令で定める一定要件を満たすものを除きます。)を「保有個人データ」といいますが(個人情報保護法第2条第7項、通則ガイドライン2-7)、「保有個人データ」については、個人情報取扱事業者の遵守すべき事項が「個人データ」の場合よりも更に追加されます(個人情報保護法第 27 条~第32 条)。
(参考)個人情報、個人データ、保有個人データの義務規定の差異
個人情報
個人データ
保有個人データ 第 15 条 利用目的の特定 ○ ○ ○ 第 16 条 利用目的による制限 ○ ○ ○ 第 17 条 適正な取得 ○ ○ ○ 第 18 条 取得に際しての利用目的の通知等 ○ ○ ○ 第 19 条 データ内容の正確性の確保等
○ ○ 第 20 条 安全管理措置
○ ○ 第 21 条 従業者の監督
○ ○ 第 22 条 委託先の監督
○ ○ 第 23 条 第三者提供の制限
○ ○ 第 24 条 外国にある第三者への提供の制限
○ ○ 第 25 条 第三者提供に係る記録の作成等
○ ○ 第 26 条 第三者提供を受ける際の確認等
○ ○ 第 27 条 保有個人データに関する事項の公表等
○ 第 28 条 開示
○ 第 29 条 訂正等
○ 第 30 条 利用停止等
○ 第 31 条 理由の説明
○ 第 32 条 開示等の請求等に応じる手続
○ - Q2-4
「個人情報データベース等」とは何か。
- A2-4
「個人情報データベース等」とは、個人情報を含む情報の集合物であって、
- ① 特定の個人情報をコンピュータを用いて検索できるように体系的に構成したもの、又は
- ② コンピュータを用いていない場合であっても、五十音順に索引を付して並べられた顧客カード等、個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるよう体系的に構成したものであって、目次、索引、符号等により一般的に容易に検索可能な状態に置かれているもの
をいいます(個人情報保護法第2条第4項、通則ガイドライン2-4)。
- Q2-5
個人情報が五十音順等に整理されておらず、コンピュータを用いたデータベースにランダムに入力されているが、サーチ機能等で容易に検索が可能な場合には、当該データベースは「個人情報データベース等」に該当するのか。
- A2-5
「個人情報データベース等」のうちコンピュータを用いたものとは、特定の個人情報をコンピュータを用いて検索できるように体系的に構成したものをいいます(個人情報保護法第2条第4 項第1号、通則ガイドライン2-4)。
検索可能であれば、常に「個人情報データベース等」に該当するわけではありません。例えば、通常のコンピュータであれば、氏名等の文字を手がかりにしてテキスト情報に含まれる個人情報を検索することができますが、それだけでは「個人情報データベース等」には該当しません。個人情報としてのそれぞれの属性(氏名、生年月日等)に着目して検索できるように体系的に構成されている必要があります。
なお、コンピュータへの入力がランダムであっても、例えば、表計算ソフトにおいて、氏名の順番はランダムであるものの、列ごとに氏名列、住所列、借入金列というように体系的に構成されており、そのソート機能等を用いて、それらの個人情報を検索できるように再構成することが容易である場合には、「コンピュータを用いて検索できるように体系的に構成したもの」に当たり、 「個人情報データベース等」に該当するものと考えられます。
- Q2-6
法人の代表者の情報は「個人情報」に当たるか。また、法人情報のデータベースの中に法人代表者の氏名等があった場合、当該情報は「個人データ」に当たるのか。
- A2-6
法人の代表者の情報は、個人情報保護法第2条第1項の定義に該当するため、「個人情報」に当たります。取引先企業の担当者名といった情報も、同法第2条第1項の定義に該当するため、「個人情報」に当たります。
また、法人の代表者の氏名等が(単に文字列検索が可能なのではなく、個人情報としての属性に着目して)検索可能な場合には、当該データベースは「個人情報」が検索できるように体系的に構成されているといえ、「個人情報データベース等」に該当するものと考えられます。したがって、当該法人の代表者の氏名等は、「個人データ」に該当すると考えられます。ただし、データベース等があくまで法人情報のみの検索が可能なように構成されているもので、(法人代表者の氏名等の)個人情報の検索が可能なように体系的に構成されていない場合には、当該データベース等は「個人情報データベース等」には該当せず、そこに含まれている個人情報も「個人データ」には該当しないこととなります。
- Q2-7
顧客から提出された書類と「個人データ」について、
- ① 契約書等の書類の形で本人から提出され、これからデータベースに登録しようとしてい る情報は「個人データ」に該当するか。
- ② データベースに登録した後の契約書等は「個人データ」に該当するか。
- ③ その後データベースから例えば紙にメモするなどして取り出された情報は、「個人データ」に該当するのか。それとも当該メモ自体が容易に検索可能な形で整理されていないのであれば、「個人データ」ではない「個人情報」として扱われるのか。
- ④ 紙のメモではなく口頭で第三者に伝えた場合はどうか。
- A2-7
- ① 「個人データ」とは、「個人情報データベース等を構成する個人情報」をいいます(個人情報保護法第2条第6項)。データベース化されていない個人情報は、たとえ通常データベース管理される性質のもので、かつ、これからデータベース化される予定であったとしても、「個人データ」には当たりません。
- ② また、記載されている情報がデータベース化され、「個人データ」となったとしても、契約書等の書類そのものは、「個人情報データベース等を構成する」とは言えないため、「個人データ」には該当しません。
もっとも、当該契約書等が、ファイリングされるなどして、それ自体「特定の個人情報を容易に検索することができるよう体系的に構成したものであって、目次、索引、符号等により一般的に容易に検索可能な状態に置かれている」と言える場合には、当該契約書等は「個人情報データベース等を構成する」と言え、「個人データ」に該当します。 - ③ また、「個人情報データベース等」から紙面に出力されたものやそのコピーは、それ自体が容易に検索可能な形で体系的に整理された一部でなくとも、「個人データ」の「取扱い」の結果であり、個人情報保護法上の様々な規制がかかります。
「個人情報データベース等」から紙にメモするなどして取り出された情報についても、同様に「個人データ」と解される可能性があります。
なお、その出力されたものやそのコピーが、委託先や第三者に提供された場合は、当該委託先や第三者にとっては、(その出力されたものやコピーが容易に検索可能な形で体系的に整理されない限り)当該情報は「個人データ」には該当しないと考えられます。ただし、委託元や第三者提供元にとっては、それらを委託・提供する行為は「個人データ」の「取扱い」であり、個人情報保護法上の様々な規制がかかります。 - ④ 「個人データ」を口頭で第三者に伝えるという行為も「個人データ」の「取扱い」にあたると解される可能性があります。ただし、例えば、金融機関において「個人情報データベース等」を参照しつつ顧客の氏名を店内で呼ぶ場合等、「個人データ」の内容及び取扱いの具体的内容について社会通念上妥当な範囲であれば、「個人データ」の「漏えい」には当たらないと解されます。
- Q3-1
金融分野ガイドライン第5条第1項第7号に規定する「保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用又は第三者提供する場合」とは、具体的にどのような場合を想定しているのか。
- A3-1
金融分野ガイドライン第5条第1項は、機微(センシティブ)情報を「法第2条第3項に定める要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要配慮個人情報に該当するものを除く。)に関する情報(本人、国の機関、地方公共団体、法第 76 条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの、又は、本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く。)」と規定し、その取得、利用又は第三者提供を原則として禁止していますが、同項各号に掲げる事項に該当する場合に限り、これらの行為を行うことができるものとしています。
金融分野ガイドライン第5条第1項第7号は、当該取得、利用又は第三者提供が、①各種法令や社会通念等に照らして「適切な業務運営」と判断されること、②「本人の同意」があること、③「業務遂行上必要な範囲」内であることを要件としています。
例えば、金融機関が保険金の支払いや借り手の与信判断をするために、被保険者や借り手の健康状態に関する情報を各種法令や社会通念等に照らし適切といえる方法で、かつ保険金の支払いや与信判断のために必要な範囲内で、被保険者や借り手から同意を得て取得することが考えられます。反対に、保険金の支払いや借り手の与信判断のために本籍地等に関する情報を取得することは、「業務遂行上必要な範囲」内であるとは認められないことから、原則として、取得等を行うことはできないものと考えられます。ただし、業務遂行上、本籍地の取得等の必要性が認められる場合は、例外として本籍地の取得等が認められることもあり得ます。
また、金融機関においては、機微(センシティブ)情報について、金融分野ガイドラインに加え、銀行法等の各業法の施行規則が適用されることに留意する必要があります。
(参考)機微(センシティブ)情報の対象範囲
- Q3-2
金融分野ガイドライン第5条第3項に規定する「機微(センシティブ)情報を、第1 項に掲げる場合に取得、利用又は第三者提供する場合には、(中略)個人情報の保護に関する法令等に従い適切に対応しなければならないことに留意する」とは、具体的にどのような点に留意する必要があるのか。
- A3-2
金融分野ガイドライン第5条第3項については、機微(センシティブ)情報を、同条第1項に掲げる場合に取得、利用又は第三者提供する場合には、個人情報の保護に関する法令等の規制が前提となることを確認的に規定しているものです。
すなわち、機微(センシティブ)情報は、要配慮個人情報とそれ以外の情報によって構成されていますが、個人情報保護法においては、例えば、個人データを構成する要配慮個人情報を取得又は第三者提供するに当たっては、同法第 17 条第2項又は第 23 条第1項に従い、一定の場合を除いて、あらかじめ本人の同意を得なければならないこととされています。また、機微(センシティブ)情報のうち要配慮個人情報を除く情報についても、当該情報(個人データを構成するものに限る。)を第三者提供するに当たっては、同法第 23 条第1項に従い、一定の場合を除いて、あらかじめ本人の同意を得なければならないこととされています。
このため、例えば、金融分野ガイドライン第5条第1項第5号及び第6号には、「本人の同意に基づき」との記載はありませんが、同第5号及び第6号の場合に機微(センシティブ)情報を第三者提供する場合等には、上記のとおり個人情報の保護に関する法令等に従い適切に対応する必要があります。
- (参考)
-
金融分野ガイドライン第5条第1項に規定する機微(センシティブ)情報については、「本人、国の機関、地方公共団体、法第 76 条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの、又は、本人を目視し、若しくは撮影することにより取得する外形上あきらかなものを除く。」と規定されており、いわゆる公知なものや外形から明らかなものは機微(センシティブ)情報に該当せず、第5条第1項各号の規定は適用されません。
この点、要配慮個人情報のうち、いわゆる公知なものや外形から明らかなものについては、上記のとおり第5条第1項各号の規定は適用されませんが、個人情報保護法第2条第3項で規定する要配慮個人情報であることに変わりはないことから、個人情報の保護に関する法令等の規制が適用されますので、例えば、第三者提供するに当たっては、同法第 23 条第1項に従い、 一定の場合を除いて、あらかじめ本人の同意を得なければならないほか、同法第 23 条第2項に従い、オプトアウト手続によって第三者提供することができないこととなります。
- Q3-3
金融分野ガイドライン第5条第4項に規定する「機微(センシティブ)情報を、第三者へ提供するに当たっては、法第 23 条第2項(オプトアウト)の規定を適用しないこととする」とは、機微(センシティブ)情報のうち要配慮個人情報を除く情報についても適用しないということか。
- A3-3
個人情報保護法第 23 条第2項において、個人データを構成する要配慮個人情報については、オプトアウト手続によって第三者提供することができないとされています。
機微(センシティブ)情報のうち要配慮個人情報を除く情報についても、情報の性質上特に慎重な取扱いが求められると考えられることから、要配慮個人情報と同様、オプトアウト手続によって第三者提供することができないこととするものです。
- Q4-1
安全管理措置の内容は個人情報保護法と業法のどちらでも義務化されているが、求められていることはどう違うのか。
- A4-1
業法の体系において、監督指針等に以下の規定が盛り込まれていることからも分かるように、基本的に個人情報保護法の体系及び業法の体系で求めている措置は同じです。ただし、措置の対象となっている情報の範囲などに若干の違いがあります。
- ○ 個人である顧客に関する情報については、業法施行規則等の規定に基づき、その安全管理及び従業者の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置として以下の措置が講じられているか。
- 金融分野ガイドライン第8条及び第9条の規定に基づく措置
- 実務指針I、2及び別添2の規定に基づく措置
- ○ 個人である顧客に関する情報の取扱いを委託する場合には、業法施行規則等の規定に基づき、その委託先の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置として以下の措置が講じられているか。
- 金融分野ガイドライン第 10 条の規定に基づく措置
- 実務指針3の規定に基づく措置
個人情報保護法では、安全管理措置等の対象は「個人データ」に限定されています。つまり、 「個人情報データベース等」を構成していない個人情報は安全管理措置等の対象ではなく、反対に、 「個人情報データベース等」に含まれていれば、例えば、銀行自身の従業員の情報や法人顧客の代表者の情報など、個人顧客の情報でないものも措置の対象となります。
一方、業法の体系においては、安全管理措置等の対象は「個人顧客情報」とされていますが、具体的には、個人顧客に関する「個人データ」が対象となります。また、従業員の情報や法人顧客の情報に含まれる個人情報は措置の対象外となります。
(注)なお、雇用管理における個人情報の取扱いについては、通則ガイドラインによることとなります。
金融機関は、通則ガイドライン、金融分野ガイドライン及び実務指針等に沿って個人情報保護法上「必要かつ適切な措置」を講じている場合には、業法の体系においても「必要かつ適切な措置」 を講じているものと解されます。
- ○ 個人である顧客に関する情報については、業法施行規則等の規定に基づき、その安全管理及び従業者の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置として以下の措置が講じられているか。
- Q4-2
なぜ個人情報保護法に加え、各業法で個人情報の安全管理が求められているのか。
- A4-2
個人情報保護法の体系(個人情報保護法-通則ガイドライン及び金融分野ガイドライン-実務指針等)は、個人の権利利益を保護することを目的としているもので、銀行法などの各業法の体系(法律-施行規則-監督指針等)は、金融機関の業務の公共性等に鑑み、その業務の健全かつ適切な運営を確保するという観点から、個人顧客情報の適正な管理を求めているものです。
個人情報保護法の体系に加え、各業法の体系においても個人顧客情報の安全管理措置等を求めていますが、具体的な措置の内容は、各業態の監督指針等において基本的に個人情報保護法の体系で求めている内容を準用しています。これには、個人情報保護法上の個人情報取扱事業者でもあり各業法の規制対象でもある金融機関が、二つの法規に服することによる混乱を回避するという意味があります。
- Q4-3
実務指針の遵守に当たっては、具体的な水準は事業者の判断に委ねられているという理解でよいか。
- A4-3
実務指針では、個人情報取扱事業者が安全管理に係る基本方針の整備、取扱規程等の整備、安全管理措置に係る実施体制の整備等を行うに当たり、事業者における「個人データ」の安全管理に必要かつ適切な内容が盛り込まれることを求めています。その具体的な対応方法については各事業者の自主的な取組みを求めています。
ただし、事業者の裁量は、あくまで個人情報保護法第 20 条が定める「個人データの安全管理のために必要かつ適切な措置」である限りにおいて認められることに留意する必要があります。
- Q4-4
実務指針1-2において整備することが求められている「個人データの安全管理に係る取扱規程」は、各事業者においては「細則」「マニュアル」等、名称や形式を問わないという理解でよいか。また、個々の規程の構成が実務指針と一致せずとも、当該事業者で定めるルール全体として実務指針に規定する措置に対応していれば、事業者全体の「個人データの安全管理に係る取扱規程」として問題ないか。
- A4-4
実務指針1-2で定める「個人データの安全管理に係る取扱規程」は、各管理段階ごとに措置内容等を明確化することを求めるものであり、その名称や形式の統一を求めるものではありません。したがって、個々の規程の構成を実務指針の記載と一致させる必要は必ずしもないほか、各管理段階ごとの取扱規程を、業務単位や商品単位ごとのように、実務に即して盛り込むことも可能です。ただし、その際には、事業者全体として、①実務指針6-1から6-6-1までに定められた事項が各管理段階ごとに全て盛り込まれていること、②事業者内の部署や商品ごとに定めた規程において盛り込まない事項がある場合には合理的な理由があること、が求められます。
- Q4-5
「個人データ」の「漏えい、滅失、毀損」とは、どのようなものを指すのか。具体的には、
- ① 「個人データ」を記録している電磁的記録媒体を破損したが、その内容と同じデータが他 に保管されている場合は、「個人データ」の「滅失」に当たるか。
- ② 社内において、権限のない者が「個人データ」にアクセスした場合、どの時点から「個人デ ータ」の「漏えい」となるのか。当該無権限者がアクセスした時点で「漏えい」となるのか、無権限者が外部の者にデータの内容を伝えたときにはじめて「漏えい」となるのか。
- ③ 保有しているはずの「個人データ」を紛失し、存在を確認できない場合、「個人データ」の「漏えい、滅失、毀損」に当たるのか。
- ④ 「個人データ」について暗号化処理された電磁的記録媒体を漏えいした場合も、「個人データ」の「漏えい」に当たるのか。
- ⑤ 「個人データ」について暗号化処理された電磁的記録媒体の復元キーを失念して、復元不能となった場合、「個人データ」の「毀損」に当たるのか。
- A4-5
「個人データ」の「漏えい」とは「個人データが外部に流出すること」、「滅失」とは「個人データの内容が失われること」、「毀損」とは「個人データの内容が意図しない形で変更されたり、内容を保ちつつも利用不能な状態となること」をいいます。
- ① 「個人データ」を記録している電磁的記録媒体を破損したとしても、その内容と同じデータが他に保管されている場合には、当該情報を個人情報取扱事業者が自らの手で復元することができ、当該情報の「内容」は失われていないと認められるため、「個人データ」の「滅失」には当たりません。 (注)携帯電話、ノートパソコン、PDA 等について、「漏えい、滅失、毀損」の事例が多く発生しておりますが、これらについても、電磁的記録媒体と同様です。
- ② 社内の無権限者が「個人データ」にアクセスした段階では、「個人データ」が当該会社の「外部に流出」したとは認められないため、「個人データ」の「漏えい」には当たりません。ただし、無権限者が「個人データ」にアクセスできる状況については、安全管理措置上、問題があります。他方、当該無権限者が会社の外部の者に「個人データ」の内容を伝えた場合、「外部に流出」したと認められるため、「個人データ」の「漏えい」に当たります。
- ③ 保有しているはずの「個人データ」を紛失した場合、「漏えい、滅失、毀損」が発生していない確証がある場合を除き、その懸念があると言えます。この場合も、「漏えい、滅失、毀損」に準じて監督当局等への報告等の措置を講じる必要があります(問4-6、問4-18 等参照)。
- ④ 「個人データ」の「漏えい」とは「個人データが外部に流出すること」であり、たとえ流出した媒体において暗号化処理がされていたとしても、「個人データ」の「漏えい」に当たります。また、暗号化処理ではなく、パスワードが設定されている場合も同様です。なお、暗号化処理やパスワード設定がされていることは、「漏えい」後に公表や本人への通知等を行うべきか否かを判断する際の判断要素の一つになると考えられます。
- ⑤ 「個人データ」の「毀損」とは、「個人データの内容が意図しない形で変更されたり、内容を保ちつつも利用不能な状態となること」をいいます。暗号化処理された電磁的記録媒体の復元キーを失念し、当該「個人データ」の内容を個人情報取扱事業者が自らの手で復元できない場合、当該「個人データ」は「内容を保ちつつも利用不能な状態」となったと認められるため、「個人データ」の「毀損」に当たります。
- Q4-6
個人情報等の漏えい事案等が発生した場合、金融機関は監督当局等に報告する義務があるのか。
- A4-6
金融機関において個人(顧客)情報の漏えい事案等が発生した場合の対応については、個人情報保護法の体系及び業法の体系において、以下の通り複数の義務(努力措置を含む。)が課されています(参考、表1及び表2参照)。
実際に業務を行う上では、情報の漏えい等が発生した場合には、それが法人顧客情報であれ従業員の情報であれ、基本的には監督当局等に報告することとしていれば、監督当局等への報告態勢に問題があると認められることはないと考えられます。
(注)個人情報保護法の体系において、金融分野の事業者については、個人情報等の漏えい事案等が発生した場合、個人データの漏えい等の事案が発生した場合等の対応について(平成 29 年個人情報保護委員会告示第1号)によらず、金融分野ガイドライン及び実務指針に基づき対応することとなります(金融機関自身の雇用管理情報、株主情報は除く。)。
(参考)
- 個人情報保護法の体系における安全管理措置(義務規定)
実務指針2-6-1において、漏えい事案等が発生した場合には、①監督当局等への報告、②本人への通知等、③二次被害の防止・類似事案の発生回避等の観点からの漏えい事案等の事実関係及び再発防止策等の早急な公表、を実施しなければならないとあります。対象となる情報は「個人データ」で、対象事業者は「金融分野における個人情報取扱事業者」です。 - 個人情報保護法の体系における努力措置(努力義務規定)
金融分野ガイドライン第 17 条第1項において、個人情報等の漏えい事案等への対応として、「金融分野における個人情報取扱事業者は、個人情報の漏えい事案等又は匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第 36 条第1項の規定により行った加工の方法に関する情報(以下「加工方法等情報」という。)の漏えい事案(以下「個人情報等の漏えい事案等」という。)の事故が発生した場合には、監督当局等に直ちに報告することとする。」という努力措置が規定されています。対象となる情報は「個人情報」及び「加工方法等情報」で、対象事業者は「金融分野における個人情報取扱事業者」です。- (注1)金融機関自身の雇用管理情報、株主情報の漏えい事案等への対応については、個人データの漏えい等の事案が発生した場合等の対応について(平成 29 年個人情報保護委員会告示第1号)によることとなります。ただし、報告の方法については、個人情報保護委員会に対して報告してください。
- (注2)金融機関自身の雇用管理情報、株主情報については、金融分野ガイドライン及び実務指針の対象外であるため、⑵の努力義務の対象とはなりません。ただし、これらの情報であっても、漏えい事案等が発生し、金融機関の信用を害するおそれがある場合には、任意に金融監督当局へ報告していただくことが望ましいと考えます。
- 業法の体系における安全管理措置(義務規定)
業法では、実務指針と同じ措置が義務付けられており、漏えい事案等への対応についても、 (1)と同じ対応が求められます。対象となる情報は個人顧客に関する「個人データ」で、対象事業者は、その業法の適用を受ける全ての金融機関です。 - 業法の体系における態勢整備の規定(監督上の着眼点)
監督指針等の中には、監督上の主な着眼点として、「顧客情報の漏洩等が発生した場合に、監督当局等への報告が迅速かつ適切に行われる態勢が整備されているか。」等の記述が設けられているものがあります。対象となる情報は「法人情報も含む顧客情報」で、対象事業者は、その業法の適用を受ける全ての金融機関です。 - 業法の体系における不祥事件届出(義務規定)
業法の中には、不祥事件が発生したことを知った場合に届出が義務付けられている場合があります。対象となる情報に特段の制約はなく、不祥事件と認められる場合には、どのような情報の漏えい等であっても該当することになります。
(表1)個人(顧客)情報漏えい時等の監督当局等への報告に関する規定 規定 対象となる情報 対象事業者 位置付け (1)個人情報保護法の体系における安全管理措置 個人データ 金融分野における個人情報取扱事業者 報告義務 (2)個人情報保護法の体系における努力措置 個人情報及び加工方法等情報 金融分野における個人情報取扱事業者 報告の努力義務 (3)業法の体系における安全管理措置 個人顧客に関する個人データ 業法の適用を受ける全ての金融機関 報告義務 (4)業法の体系における報告態勢の整備の規定 顧客情報 業法の適用を受ける全ての金融機関(注1) 報告態勢整備に係る監督上の着眼点 (5)業法の体系における不祥事件届出 制約なし 業法の適用を受ける全ての金融機関 届出義務(注2) - (注1)監督指針等の中には、報告態勢の整備の規定がないものもありますが、その場合、第一義的には、まず各金融機関においてその必要性をご判断いただくこととなります。なお、監督指針等の中には、個人情報のみを対象としたものもあります。
- (注2)情報漏えい等が不祥事件に当たる場合
(表2)対象となる情報の整理(報告の義務がかかるのは太字の部分)
個人 法人 個人データ 個人データ以外の個人情報及び 加工方法等情報 データベース等を構成するもの データベース等を構成しないもの 顧客 - (1)の報告義務
- (3)の報告義務
- (4)の態勢整備(注2)
- (2)の努力義務
- (4)の態勢整備(注2)
- (4)の態勢整備(注2)
- (4)の態勢整備(注2)
非顧客 - (1)の報告義務(注1)
- (2)の努力義務(注1)
- (注1)金融機関自身の雇用管理情報、株主情報の漏えい事案等への対応については、個人データの漏えい等の事案が発生した場合等の対応について(平成 29 年個人情報保護委員会告示第1号)によることとなります。ただし、報告の方法については、個人情報保護委員会に対して報告してください。
また、金融機関自身の雇用管理情報、株主情報については、金融分野ガイドライン及び実務指針の対象外であるため、⑴の報告義務、⑵の努力措置の対象とはなりません。ただし、これらの情報であっても、漏えい等が発生し、金融機関の信用を害するおそれがある場合には、任意に金融監督当局へ報告していただくことが望ましいと考えます。 - (注2)監督指針等の中には、報告態勢の整備の規定がないものもありますが、その場合であっても、第一義的には、まず各金融機関においてその必要性をご判断いただくこととなります。なお、監督指針等の中には、個人情報のみを対象としたものもあります。
- (注3)情報漏えいが不祥事件とみなされる場合、全ての区分において⑸の届出義務がかかり得ます。
- 個人情報保護法の体系における安全管理措置(義務規定)
- Q4-7
個人情報等の漏えい事案等が発生した場合において、監督当局等に報告を要する場合の報告先はどこか。
- A4-7
- 個人情報保護法第 44 条第1項及び同条第4項の規定により同法第 40 条第1項に定める個人 情報保護委員会の権限が金融庁長官に委任されている事業者のうち、
- その権限を金融庁長官が行使することとなる事業者(各業法における監督権限を金融庁長官が行使することとされている事業者)は、金融庁長官に宛てて、金融庁の担当課室に報告書を提出してください。
- その権限が個人情報保護法第 44 条第6項の規定により財務局長又は財務支局長に委任されている事業者(各業法における監督権限を財務局長又は財務支局長が行使することとされている事業者)は、当該事業者の主たる所在地を管轄する財務局長又は財務支局長に宛てて、各財務局又は財務支局の担当課に報告書を提出してください。
- 個人情報保護法第 77 条の規定によりその権限に属する事務を地方公共団体の長(都道府県知事等)が行使することとなる事業者(各業法における監督権限を地方公共団体の長が行うこととされている事業者)は、地方公共団体の長に宛てて、各地方公共団体の担当部署に報告書を提出してください。
- 個人情報保護法第 44 条第1項及び同条第4項に基づき同法第 40 条第1項に定める個人情報保護委員会の権限が金融庁長官に委任されていない事業者は、個人情報保護委員会に宛てて、個人情報保護委員会事務局に報告書を提出してください。
なお、提出された報告書等については、監督当局等の間で共有する場合があります。
(注)金融機関自身の雇用管理情報、株主情報の漏えい事案等への対応については、個人データの漏えい等の事案が発生した場合等の対応について(平成 29 年個人情報保護委員会告示第1号)によることとなります。ただし、報告の方法については、個人情報保護委員会に対して報告してください。
また、金融機関自身の雇用管理情報、株主情報については、金融分野ガイドライン及び実務指針の対象外であるため、報告義務、努力措置の対象とはなりません。ただし、これらの情報であっても、漏えい等が発生し、金融機関の信用を害するおそれがある場合には、任意に金融監督当局へ報告していただくことが望ましいと考えます。 - 個人情報保護法第 44 条第1項及び同条第4項の規定により同法第 40 条第1項に定める個人 情報保護委員会の権限が金融庁長官に委任されている事業者のうち、
- Q4-8
個人情報等の漏えい事案等は、業法上の「不祥事件」に該当するのか。
- A4-8
個人情報等の漏えい事案等が「不祥事件」に該当するか否かは、漏えい等の生じた経緯、漏えい等した情報の内容等から、各業法の規定に照らして個別に判断する必要があります。
なお、例えば、銀行法の体系では、「不祥事件」とは、銀行法施行規則第 35 条第7項に規定されている行為を行ったことをいい、これらに当てはまらない場合には、基本的に「不祥事件」には該当しません。
- Q4-9
個人情報保護法に基づく報告と業法に基づく報告という同じ内容の報告を重複して提出する必要はあるのか。
- A4-9
一つの報告書により、両法令の要請を満たすものとして取扱うことも可能です。
- Q4-10
監督当局等への報告(個人情報保護法第 40 条に基づく報告を除く。)に当たって、提出文書には、根拠条項をどのように書けばよいか。
- A4-10
「個人データ」にあっては、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針2-6-1の規定に基づき・・・」と、また、「個人情報(個人データ以外の個人情報)」及び「加工方法等情報」にあっては、「金融分野における個人情報保護に関するガイドライン第 17 条第1項の規定に基づき・・・」といったように書くことが考えられます。
また、業法上の報告について、主要行等においては、「銀行法施行規則第 13 条の6の5及び主要行等向けの総合的な監督指針3-3-3-3の規定に基づき」、また、保険会社においては、「保険業法施行規則第 53 条の8及び保険会社向けの総合的な監督指針2-3-5の規定に基づき」といったように書くことが考えられます。
もちろん、これら以外の表現を否定するものではありません。
(注)問4-9のとおり、一つの報告書により、個人情報保護法上の報告と業法上の報告という二つの法令の要請を満たすものとして取扱うことも可能です。この場合、当該報告書において、二つの法令上の根拠条文を並べて記載する必要があります。
- Q4-11
個人情報等の漏えい事案等が発生した場合の監督当局等への報告は、どこまで厳密に行う必要があるのか。例えば、FAXの誤送信、郵便物等の誤送付及びメールの誤送信などによる個人情報等の漏えい等で、当該情報の量や性質等に鑑みて、漏えい事案等としては軽微と思われるものまで、発生段階で必ず監督当局等へ報告する必要性があるのか。
- A4-11
「個人データ」については、実務指針2-6-1において、漏えい事案等が発生した場合には、監督当局等への報告を実施しなければならないとされており(義務規定)、「個人データ」の漏えい事案等が発生した場合は、金融機関は、当局への報告を行う必要があります。
一方、「個人情報」及び「加工方法等情報」については、金融分野ガイドライン第 17 条において、「監督当局等に直ちに報告することとする」(努力規定)と規定されています。
ただし、FAXの誤送信、郵便物等の誤送付及びメール誤送信などについては、個人情報取扱事業者が個別の事案ごとに、漏えい等した情報の量、機微(センシティブ)情報の有無及び二次被害や類似事案の発生の可能性などを検討し直ちに報告を行う必要性が低いと判断したものであれば、業務上の手続きの簡素化を図る観点から、四半期に一回程度にまとめて報告しても差し支えありません。
このほか、郵便局員による誤配など、個人情報取扱事業者の責めに帰さない事案については、原則として報告を要しません。ただし、「本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて小さい」とはいえない場合については、上記の諸事情を検討したうえで、都度直ちに又は四半期に一回程度にまとめてご報告していただく必要があります。
他方で、いかなる場合でも対外公表を行う場合は都度直ちにご報告していただく必要があります。
(参考)個人情報等の漏えい事案等に係る報告の様式は、法令等において特段指定をしておりませんが、一例として、本Q&A付属の(別紙様式1)及び(別紙様式2)の様式を示します(軽微と思われるものについては、(別紙様式2))。
- Q4-12
監督当局等への報告に当たって、どのような事項を記載すれば良いのか。
- A4-12
法令等において特段報告の様式を定めてはおりませんが、一例として(別紙様式1)の通り様式を示します。(別紙様式1)と同内容の情報を全て盛り込まないといけないというわけではありませんが、金融分野ガイドライン第 17 条第1項、実務指針2-6-1の趣旨に則り、必要十分な内容を監督当局等に報告する必要があります。
また、漏えい等事案のうち、軽微なものについては、(別紙様式2)を一例として示します(問4-11 参照)。
- Q4-13
顧客の同意をとって第三者に提供した「個人データ」を、提供を受けた先が漏えいした場合、報告する必要があるか。
- A4-13
委託先が「個人データ」を漏えいした場合は報告の必要がありますが、「個人データ」を顧客の同意をとって提供している場合には、当該提供を受けた先が漏えいしたとしても、提供者は報告の義務を負いません。これは、委託元は委託先に対して監督義務を負うのに対し(個人情報保護法第 22 条)、(顧客の同意を得た上での)情報提供先に対しては監督義務を負わないからです。
- Q4-14
金融分野とそれ以外の分野の事業を行っている場合において、金融分野以外の事業に関する個人情報等の漏えい事案等が発生した場合も、監督当局等に報告する必要があるのか。
- A4-14
金融分野ガイドライン及び実務指針は、金融分野における個人情報取扱事業者を対象としており、金融分野以外の事業に関する個人情報等の漏えい事案等が発生した場合に監督当局等に報告するか否かについては、第一義的には、各金融機関においてその必要性をご判断いただくことになります。
- Q4-15
金融分野に関する規制法が、金融庁と他省庁との共管になっている場合において、個人情報等の漏えい事案等が発生した場合は、所管しているいずれかの省庁に報告すれば、他の省庁への報告は必要ないのか。
- A4-15
金融分野に関する規制法が、金融庁と他省庁との共管になっている場合において、当該個人情報が金融分野の事業に関する「個人データ」に当たる場合又は「個人顧客情報(具体的には個人顧客に関する「個人データ」が対象。以下、同じ。)」に当たる場合は、少なくとも金融庁(財務局、地方公共団体)への報告は義務となります。また、当該個人情報が「個人データ」又は「個人顧客情報」にあたらない場合でも、金融分野の事業に関するものであれば、個人情報保護法の体系における努力措置規定に基づき、監督当局等(問4-7参照)へ報告することが求められます(努力義務)。共管省庁に対する報告の必要性については、当該規制法及び当該共管省庁の定めるところに従っていただくことになります。
- Q4-16
「個人データ」の漏えい事案等が発生した場合の公表は、どこまで厳密に行う必要があるのか。 例えば、インターネット上でファイル交換を行うソフトウェアの使用により、「個人情報」が流出した場合にも、必ず公表をしなくてはいけないのか。
- A4-16
実務指針においては、「二次被害の防止・類似事案の発生回避等の観点からの漏えい事案等の事実関係及び再発防止策等の早急な公表を実施しなければならない。」(義務規定)とされていますが、例えば、インターネット上でファイル交換を行うソフトウェアの使用により、「個人情報」が流出した場合、回収が不可能であり、当該事案の発生を公表することで当該個人情報が更に検索・共有され、被害が拡大することも予想されます。
そもそも実務指針において公表を義務付けている趣旨は、当該データの本人である個人の権利保護のためであって、公表によりかえって二次被害を誘引する場合など、個人の権利利益を保護するため公表しない方が望ましいと認められるような場合にまで事案の公表を求めているものではありません。
- Q4-17
個人情報等の漏えい事案等が発生した場合は、金融機関は本人に通知する必要があるのか。
- A4-17
「個人データ」については、実務指針2-6-1において、「漏えい事案等が発生した場合には、本人への通知等を実施しなければならない。」(義務規定)とされており、「個人データ」の漏えい事案等が発生した場合は、金融機関は、本人への通知等を行う必要があります。
一方、「個人情報(個人データ以外の個人情報)」及び「加工方法等情報」については、金融分野ガイドライン第 17 条第3項で、「個人情報等の漏えい事案等の事故が発生した場合には、当該事案等の対象となった本人に速やかに当該事案等の事実関係等の通知等を行うこととする。」(努力義務)とされており、「個人情報」及び「加工方法等情報」の漏えい事案等が発生した場合は、本人への通知等を求められます。
なお、「個人データ」の漏えい数が多数であり、本人への通知が困難である場合には、公表によって本人への通知に代替するケースもあるものと思われます。また、例えば、漏えい事案が発生した場合において、高度な暗号化処理等が施されている場合や即時に回収出来た場合等、本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて小さい場合等には、本人への通知を省略しうるケースもあるものと思われます。
- Q4-18
個人情報を記載した手形、小切手の紛失事案の公表を検討する際に、手形、小切手は転々流通するものであることから、記載された情報は公知のものであり、二次被害防止の必要性は無いものとして公表しなくても良いか。
- A4-18
「個人データ」については、実務指針2-6-1において、「漏えい事案等が発生した場合には、二次被害の防止・類似事案の発生回避等の観点からの漏えい事案等の事実関係及び再発防止策等の早急な公表を実施しなければならない。」(義務規定)とされており、金融機関は、原則として、漏えい事案等の事実関係及び再発防止策等を公表しなければなりません。
また、「個人情報(個人データ以外の個人情報)」及び「加工方法等情報」については、金融分野ガイドライン第 17 条第2項で、「個人情報等の漏えい事案等の事故が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、当該事案等の事実関係及び再発防止策等を早急に公表することとする。」(努力義務)とされています。
手形・小切手については、特定の個人情報を容易に検索することができるように体系的に整理・保管されていれば「個人データ」に該当しますが、そのように整理・保管される前に紛失した場合には、「個人情報」(個人データ以外の個人情報)と考えられます。
なお、公表することによりかえって二次被害等が発生・拡大するおそれがある場合や、漏えい等が生じた情報の量・性質等に鑑みて、漏えい事案等としては軽微であり、かつ二次被害の防止・類似事案の発生回避等の観点から必要でないことが十分に説明できる場合には、必ずしも公表する必要はありません。
二次被害防止の必要性等については、漏えい事案等の経緯、情報の量・性質等に鑑みて個別に判断する必要があり、記載されている情報が公知であることのみをもって、二次被害防止の必要性が無いと判断することは妥当でないと考えられます。
- Q5-1
防犯カメラに映った偽造キャッシュカードの実行犯の映像を本人の同意なく他の金融機関に提供することは、個人情報保護法上問題がないか。
- A5-1
防犯カメラに映った映像も、それによって特定の個人が識別される場合は、「個人情報」に該当します(個人情報保護法第2条第1項)。
その場合、原則として個人情報の利用目的を本人に通知又は公表しなければなりませんが、「取得の状況からみて利用目的が明らかであると認められる場合」には、その利用目的を公表等する必要がないとされており(個人情報保護法第 18 条第4項第4号)、一般に、防犯目的のためにビデオカメラを設置し撮影する場合は、「取得の状況からみて利用目的が明らか」であると認められるものと解されます。
ただし、特定の個人を識別できる防犯カメラの映像を他の金融機関に提供する場合については、 「取得の状況からみて利用目的が明らか」であり、利用目的の範囲内といえるかは、状況に応じ判断されることになります。
しかし、仮に当該情報提供が利用目的を超えた利用に当たるとしても、偽造キャッシュカードの実行犯の映像を他の金融機関に提供する場合は、個人情報保護法第 16 条第3項第2号(人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき)に該当するため、本人の同意を得ることなく当該映像を他の金融機関に提供することができるものと考えられます。
なお、防犯カメラに映った「個人情報」は、記録した日時等による検索は可能であったとしても、通常氏名等の個人情報によっては容易に検索できないため、「個人データ」には該当しないと考えられますが、仮に「個人データ」に該当し、個人情報保護法第 23 条の第三者提供の制限の規定の対象となる場合でも、個人情報保護法第 23 条第1項第2号(人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき)に該当するため結論は変わりません。
- Q5-2
「個人データ」に該当する顧客の取引内容を、本人の同意を得ずに、その内容を知る家族に伝えた場合、「個人データ」の漏えいとなるか。
- A5-2
個人情報取扱事業者は、一定の場合を除き、あらかじめ本人の同意を得ないで、「個人データ」を「第三者」に提供することを禁じられています(個人情報保護法第 23 条)。そして、本人の同意無く「第三者」に「個人データ」を伝えた場合、「第三者」が当該「個人データ」をあらかじめ知っていたか否かにかかわらず、「個人データ」の漏えいに該当します。
ここで、「第三者」とは「個人データ」を提供しようとする個人情報取扱事業者及び当該「個人データ」に係る本人のいずれにも該当しない者をいい、本人の家族であっても、本人の法定代理人である場合等を除き、「第三者」に該当します。よって、「個人データ」に該当する顧客の取引内容を本人の同意を得ずに、その内容を知る家族に伝えた場合、「個人データ」の漏えいとなります。ただし、明示的な同意がなくとも、例えば、本人が家族を連れて金融機関に融資の申込みをしに来た際に入手した情報を後日当該家族に伝える場合等、状況に照らし本人が実質的に同意していると判断できる場合は、「個人データ」の漏えいとなりません。
- (注1)個人情報保護法第 23 条は、本人の同意を得ないで「個人データ」を第三者に提供し得る一定の場合として、
- ① 法令に基づく場合(第1項第1号)、
- ② 人の生命、身体又は財産の保護のために必要がある場合で、本人の同意取得が困難な場合(第1項第2号)、
- ③ 本人の求めに応じて当該本人が識別される「個人データ(要配慮個人情報を除く。)」の第三者への提供を停止することとしており、第三者提供される「個人データ」の内容、提供方法等をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出た場合(第2項、いわゆる「オプトアウト」の場合)、
- ④ 「個人データ」の取扱いの委託や、合併等の事業承継に伴う場合(第5項第1号及び2号)、
- ⑤ 「個人データ」を特定の者との間で共同利用する場合で、その旨や共同利用される「個人データ」の項目、共同利用する者の範囲と利用目的等をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いている場合(第5項第3号、いわゆる「特定共同利用」の場合)、
- (注2)「個人データ」を口頭で「第三者」に本人の同意を得ないで伝えた場合、それが「個人データ」の漏えいとなるのか、「個人データでない個人情報」を伝達したにすぎないこととなるのかについては、状況により判断されることになります。仮に「個人データでない個人情報」を伝達したと解される場合、個人情報保護法第 23 条は適用されませんが、「個人データでない個人情報」の漏えいに当たる可能性があります。
- (注1)個人情報保護法第 23 条は、本人の同意を得ないで「個人データ」を第三者に提供し得る一定の場合として、
- Q5-3
金融分野ガイドライン第3条で、個人情報保護法第 16 条、第 23 条及び第 24 条に定める本人の同意を得る場合には、原則として、書面によらなければならないとされているが、「紙」を用いた同意以外に、例えば、どのような形式が「書面」に該当するのか。また、電話により同意を得た事実を任意様式に記録し保存する方式でも金融分野ガイドライン上「書面」による同意を得たと解することができるか。
- A5-3
金融分野における個人情報取扱事業者は、個人情報保護法第 16 条、第 23 条及び第 24 条に定める本人の同意を得る場合には、原則として、書面によることとされています(金融分野ガイドライン第3条)。
金融分野ガイドラインにおいて「書面」は「電磁的記録を含む。」とされており、また、個人情報保護法第2条第1号において「電磁的記録」は「電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。」とされています。一般に想起される「紙」のみを「書面」として定める趣旨ではなく、「同意に関し、本人の意思が明確に反映できる方法による確認が可能であり、かつ、事後的に検証可能な方法」であれば、「書面」と認められると解されます。
このため、インターネットの画面上で顧客に同意欄をクリックさせる方法、自動音声ガイドによるプッシュホン操作の電子記録、電話により同意を取得し、それを録音するなどの方法等も金融分野ガイドライン第3条に規定された「書面」の一つの例と考えられます
他方、電話により同意を得た事実を個人情報取扱事業者が任意様式に記録し保存する方法では、「本人の意思が明確に反映できる方法により確認が可能」とも、「事後的に検証可能」とも言えないため、金融分野ガイドライン第3条に規定された「書面」による同意には該当しないと考えられます。
ただし、上記の任意様式に記録する方法で保存したものについて、その後に本人からその内容について署名等で確認を得ている場合等は、「同意に関し、本人の意思が明確に反映できる方法による確認が可能であり、かつ、事後的に検証可能な方法」と言えるため、金融分野ガイドライン第3条に規定された「書面」による同意に該当すると考えられます。
- Q5-4
債権譲渡の実務においては、債権の譲渡人は譲受人に対し、債権者としての十分な管理回収を行わせしめ、譲渡人及び譲受人の経済的利益を保護するため、債権そのものに加えて債務者に関連する個人情報を移転することが不可欠であるが、こうした場合にも、個人情報保護法上、債務者本人から第三者に提供することについて明示的な同意を得ることが必要なのか。
- A5-4
債権譲渡に際しての債務者に係る「個人データ」の取扱いについては、以下のような整理が可能であると考えられます。
債権譲渡に付随して譲渡人から譲受人に対して当該債権の管理に必要な範囲において債務者及び保証人等に関する「個人データ」が提供される場合には、個人情報保護法第 23 条により求められる第三者提供に関する本人の同意を事実上推定できるため、改めて明示的に本人の同意を得る必要は個人情報保護法上ないものと解されます。
ただし、上記解釈は、債務者が民法第 466 条第2項に基づく譲渡禁止特約(注)を求めていないことを根拠としており、例えば、債権譲渡に伴い第三者提供される「個人データ」の本人が、譲渡禁止特約を結ぶことを要求できない立場にある場合等については、「同意の事実上の推定」が及ばない可能性があることに留意する必要があります。
また、「債権の管理」とは譲渡及び回収等をいいます。そのため、「個人データ」が当該債権の譲渡及び回収等に必要といえるか否かについて、譲渡人等の側で慎重な検討が必要です。仮に、同じ債務者等に関する「個人データ」であっても、当該債権の管理に必要であるという合理的な説明ができない場合は、「同意の推定」は及ばないものと考えられます。
なお、本人たる債務者又は保証人等が債権譲渡に伴う「個人データ」の第三者提供について明示的に拒否する意思を示し、これにより、当該債権の管理に支障をきたし、債権の譲渡人又は譲受人の財産等の保護のために必要な場合には、個人情報保護法第 23 条第1項第2号の定めに該当するため、本人たる債務者等の同意なく当該「個人データ」を債権の譲受人に提供することができるものと解されます。
ただし、当該債権の管理に支障をきたすか否かの判断は個別具体的な状況によるため、それが否定されれば、当該データの譲受人への提供は個人情報保護法第 23 条に違反したものとなることに留意が必要です。
このような債権譲渡について第三者提供の同意を事実上推定する考え方は、証券化の場合にも適用され得ると考えます。証券化の前提である債権の譲渡に関連して行われるデューデリジェンスや譲受人の選定等、当然必要な準備行為についても、(債権の管理に必要な範囲に含まれるものとして)同意の事実上の推定が及ぶものと解されます。
したがって、債権譲渡の準備行為のため、当該債権の債務者等に関する情報を、譲渡先候補者に対して開示することについても、当該「個人データ」の開示が、債権譲渡のために「当然必要な準備行為」であり、「債権の管理に必要な範囲に含まれる」と認められる場合には、債権の譲渡人等の側で合理的に説明できる限りにおいて同意の事実上の推定が及ぶものと解されます。
(注)民法第 466 条第1項では、「債権は、譲り渡すことができる。ただし、その性質がこれを許さないときは、この限りでない。」とされており、また、第2項では、「当事者が債権の譲渡を禁止し、又は制限する旨の意思表示(以下「譲渡制限の意思表示」という。)をしたときであっても、債権の譲渡は、その効力を妨げられない。」とされています。民法においては、このように債権の自由譲渡性が保証されており、譲渡できない性質を有する、債権を除き、債務者の意思にかかわらず譲渡することが可能となっています。
- Q5-5
生活保護の適正な実施のために行う調査の一環として、社会福祉事務所員から生活保護申請者の資産や収入状況等の個人情報の提供を要請された場合、当該要請に応じることは、個人情報保護法上問題がないか。
- A5-5
個人情報取扱事業者は、一定の場合を除き、あらかじめ本人の同意を得ないで、「個人データ」を第三者に提供することを禁じられています(個人情報保護法第 23 条)。
一方、生活保護の適正な実施のためには、生活保護申請世帯及び生活保護受給世帯の資産及び収入の状況把握が不可欠です。そのため、生活保護法(昭和 25 年法律第 144 号)第 29 条には、保護の決定若しくは実施又は同法第 77 条若しくは第 78 条の規定の施行のために必要があるときは、保護の実施機関及び福祉事務所長が、要保護者又は被保護者であった者及びその扶養義務者の資産、収入及び支出の状況等につき、銀行、信託会社、要保護者又は被保護者であった者及びそれらの者の扶養義務者の雇主その他の関係人に、報告を求めることができる旨が規定されています。
当該規定に基づく社会福祉事務所員による任意調査に対しては、法令の規定で個人情報の提供そのものが義務付けられているわけではありませんが、第三者(社会福祉事務所員)が情報の提供を受けることについて法令上の具体的な根拠があり、個人情報保護法第 23 条第1項第1号における「法令に基づく場合」に該当し、本人の同意なく第三者提供ができることと一般に解されていることから、当該任意調査に応じることは個人情報保護法上問題ないものと考えられます。
- Q5-6
未払賃金立替払制度(賃金の支払の確保等に関する法律第7条)の適正な実施のために行う調査の一環として、倒産した事業主の賃金支払い能力の有無を把握するために、労働基準監督署から、倒産会社及びその代表者、個人事業主等の関係者が保有する預金口座の残高状況や賃金未払期間における保有預金口座の取引状況等の個人情報の提供を要請された場合、当該要請に応じることは、個人情報保護法上問題がないか。
- A5-6
個人情報取扱事業者は、一定の場合を除き、あらかじめ本人の同意を得ないで、「個人データ」を第三者に提供することを禁じられています(個人情報保護法第 23 条)。
一方、未払賃金立替払制度(賃金の支払の確保等に関する法律(昭和 51 年法律第 34 号)第7 条)の適正な実施のためには、倒産した事業主の賃金支払い能力の有無を把握するために、倒産会社及びその代表者、個人事業主等の関係者が保有する預金口座の残高状況や賃金未払期間における保有預金口座の取引状況等を把握することが不可欠です。
個人情報保護法第 23 条第1項第4号では、国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるときについてはあらかじめ本人の同意を得ないで、第三者に提供することができるとしています。
倒産した会社及びその代表者、個人事業主等の関係者が保有する預金口座の残高状況等について労働基準監督署に情報提供を行うことについては、
- ① 国の機関である労働基準監督署長が協力を依頼するものであること、
- ② 賃金の支払の確保等に関する法律第7条に定める未払賃金立替払制度の事務を遂行するため に必要であること、
- ③ 本人の同意を得ることとした場合には、賃金が未払となっている労働者の救済を目的とする 未払賃金立替払事務の迅速かつ適正な遂行に支障を及ぼすおそれがあるものであること、
から、個人情報保護法第 23 条第1項第4号に定める場合に該当すると解され、個人情報保護法上問題ないものと考えられます。
- Q5-7
個人情報取扱事業者が、弁護士法第 23 条の2に基づいてなされる報告の請求を弁護士会から受けた場合、その保有する「個人データ」を弁護士会に対し提供することは、個人情報保護法上問題はないか。
- A5-7
個人情報取扱事業者は、一定の場合を除き、あらかじめ本人の同意を得ないで、「個人データ」を第三者に提供することを禁じられています(個人情報保護法第 23 条)。
一方、弁護士法(昭和 24 年法律第 205 号)第 23 条の2は、弁護士が、受任している事件について、所属弁護士会に対し、公務所又は公私の団体に照会して必要な事項の報告を求めることを申し出ることができ、当該報告請求の申出を受けた弁護士会は、当該申出が適当でないと認めるときは、その拒絶をすることができ、そうでない場合は、当該申出に基づいて、公務所又は公私の団体に照会して必要な事項の報告を求めることができる旨を規定しています。
当該規定に基づき、弁護士会が公務所等に対して照会を行った場合、一般的には、報告することによって得られる公共的利益が報告しないことによって守られる秘密、プライバシー、名誉等の利益を上回ると認められる場合において、公務所等に弁護士会に対する報告義務があると考えられることは、複数の判例も認めるところです。したがって、第三者(弁護士会)が情報の提供を受けることについて法令上の具体的な根拠があり、個人情報保護法第 23 条第1項第1号における「法令に基づく場合」に該当すると考えられることから、当該報告の請求に応じることは個人情報保護法上問題ないものと考えられます。
ただし、弁護士会の前歴照会に区長が応じて、公権力の違法な行使に当たるとされた判例(最高裁判所昭和 56 年 4 月 14 日最高裁第三小法廷判決)にも見られるように、具体的な報告内容によっては、プライバシー権の侵害等を理由に損害賠償請求が認容されるおそれがあることから、報告を行う際にあらかじめ本人からの同意を得ることが望ましいですし、仮に同意が得られない場合に報告に応じるか否かは、その照会の理由や当該個人情報の性質等に鑑み、個別の事案ごとに慎重に判断をする必要があると考えられます。