三菱銀行トップページ
(三菱UFJ銀行サイトより)

1.はじめに
2022年5月8日の読売新聞の報道によると、三菱UFJ銀行はサイバーエージェントと提携し、年度内に自社の個人・法人の顧客の金融資産などの個人データを利用した広告事業を年度内に開始するとのことです。記事によると三菱UFJ銀行はこの新しい広告事業を同銀行本体で実施するようですが、これは2021年の銀行法改正で可能になったスキームのようです。銀行の広告事業などには関心があったため、2021年の銀行法改正や個人情報保護法上の「本人の同意」について少し調べてみました。

・三菱UFJ銀、サイバーエージェントと提携し広告事業参入…同意得て匿名化の顧客情報活用|読売新聞

2.三菱UFJ銀行の広告のスキーム
まず、本記事によると、「三菱UFJ銀は約3400万人の預金口座や約120万社の取引データの活用を想定している。顧客の事前の同意を前提に、口座所有者の年齢や性別、住所に加え、預金額や運用資産・住宅ローンの有無といった金融データを匿名化した上で利用する。広告主は宣伝したい対象として、例えば「預金1000万円以上の女性」や「資産運用している40歳代男性」などに絞る。対象に合った個人や法人が、スマホやパソコンなどの端末でSNSやアプリ、検索サイトなどを利用すると、広告が表示される仕組み」とのことです。

三菱銀行の広告スキーム図
(三菱UFJ銀行の広告事業のスキーム図。読売新聞より)

3.2021年の銀行法改正
(1)2021年の銀行法改正の趣旨
令和3年の第204国会で5月19日に成立した「新型コロナウイルス感染症等の影響による社会経済情勢の変化に対応して金融の機能の強化及び安定の確保を図るための銀行法等の一部を改正する法律」は新型コロナの社会的影響を受けて、日本経済の回復・再生を力強く支える金融機能を確立するため、規制緩和や環境整備を推進するために、銀行に対してはデジタル化や地方創生への貢献を強化するための銀行法改正が行われています。

概要2
(2021年銀行法改正の概要。金融庁サイトより)

(2)銀行法改正の具体的内容
①銀行業高度化会社の他業業務の認可の要件の緩和
広告事業などの関係をみると、まず、2017年に制度が開始した銀行の子会社としての「銀行業高度化等会社」は、ITを活用した銀行業務の高度化などを認めるための制度ですが、従来「他業」とされていたFintechや地域商社業務などを金融庁の他業の認可を受けて実施するものでした。この認可には収入依存度規制などの厳格な規制が存在していました。これに対して2021年の改正銀行法は、銀行高度化等会社の業務に「地域の活性化、産業の生産性の向上その他の持続可能な社会の構築に資する業務」が新たに追加されました。この業務の個別列挙は行われず、各銀行の創意工夫で幅広い業務を行うことが可能となります。具体的には、デジタル、地域創生、持続可能な社会の構築などに関する業務が想定されています。この業務は、収入依存度規制はなくなり銀行の負担を減らして金融庁の認可が取得できることになっています。(改正銀行法16条の2第1項15号など。)

②特例銀行業高度化等業務を行う銀行業高度化等会社の新設
つぎに、銀行業高度化等会社の他業認可よりも基準が緩い「特例銀行業高度化等業務」のみを行う高度化等会社というカテゴリが新設されました。この高度化等会社の業務は個別列挙されていますが、具体的には、①Fintech、②地域商社、③登録型人材派遣、④自行アプリやシステムの販売、⑤データ分析・マーケティング・広告、⑥ATM保守点検、⑦障害者雇用促進の特例子会社、⑧成年後見業務などが想定されています。そしてこれらの他業の金融庁の認可については収入度依存度規制などの厳格な規制はなくなり、銀行の負担が緩和されています。(改正銀行法52条の23の2第6項など。)

③銀行本体の付随業務
さらに、金融システムの潜在的なリスク(優越的な地位の濫用等)に配慮しつつ、銀行本体の付随業務に銀行業に係る経営資源を主として活用して営む業務であって、デジタル化や地方創生などの持続可能な社会の構築に資するものが個別列挙され認められることになりました。具体的には、①自行アプリやシステムの販売、②データ分析・マーケティング・広告、③登録型人材派遣、④コンサルティングなどが個別列挙されます。そして従来、銀行本体の付随業務には「銀行業との機能的な親近性」などの要件が課されていましたが、個別列挙された業務にはその制約がなくなります。(改正銀行法10条2項21号など。)

4.改正銀行法10条2項21号および金融分野における個人情報保護に関するガイドライン
(1)改正銀行法10条2項21号
読売新聞の本記事を読むと、三菱UFJ銀行が行おうとしているデータ分析・マーケティング・広告事業は③の銀行本体における業務であると思われます。そこで、個人情報に関する顧客の本人の同意についてはどうなっているのかと改正銀行法10条2項21号をみると、ここには特に規定がありません。

銀行法

(業務の範囲)
第十条 銀行は、次に掲げる業務を営むことができる。
 預金又は定期積金等の受入れ
 資金の貸付け又は手形の割引
 為替取引
 銀行は、前項各号に掲げる業務のほか、次に掲げる業務その他の銀行業に付随する業務を営むことができる。
(略)
二十一 当該銀行の保有する人材、情報通信技術、設備その他の当該銀行の営む銀行業に係る経営資源を主として活用して営む業務であつて、地域の活性化、産業の生産性の向上その他の持続可能な社会の構築に資する業務として内閣府令で定めるもの

(2)主要行等向けの総合的な監督指針
つぎに、金融分野個人情報保護ガイドライン(金融分野における個人情報保護に関するガイドライン)14条(個人関連情報の第三者提供の制限等(法第31条関係))1項 はつぎのように規定しています。

金融分野個人情報保護ガイドライン

第14条1項

金融分野における個人情報取扱事業者は、個人関連情報取扱事業者から法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得するに当たり、同項第1号の本人の同意を得る(提供元の個人関連情報取扱事業者に同意取得を代行させる場合を含む。)際には、原則として、書面によることとし、当該書面における記載を通じて、

① 対象となる個人関連情報の項目
② 個人関連情報の提供を受けて個人データとして取得した後の利用目的

本人に認識させた上で同意を得ることとする。

すなわち、個人情報保護法31条と同様に金融分野個人情報保護ガイドライン14条1項も、銀行が顧客の顧客番号、PCやスマートフォン等の端末ID、Cookie、閲覧履歴などの個人関連情報を広告会社などに第三者提供する際には、本人の同意を得ることが必要であるとしています。

5.まとめ
したがって、仮に三菱UFJ銀行が広告事業を行うにあたり、顧客の属性や金融資産情報などを匿名加工情報にしたとしても、顧客番号、PCやスマートフォン等の端末ID、Cookie、閲覧履歴などの個人関連情報を第三者提供する限りはやはり本人の同意の取得が必要となります。

なお、この銀行法改正に関連して、例えば野村総合研究所は銀行の広告事業を支援するサービスを開始したそうです(野村総合研究所「野村総合研究所、銀行の広告事業への進出を支援する「バンクディスプレイ」サービスを開始」)。

概要3
(野村総合研究所「野村総合研究所、銀行の広告事業への進出を支援する「バンクディスプレイ」サービスを開始」より)

このスキームは銀行と広告主の間に野村総研が入り、銀行の個人データなどの第三者提供などを媒介するスキームであるようです。この野村総研のスキームにおいては、銀行は個人関連情報だけでなく、金融資産や属性データ、閲覧履歴、行動履歴などの個人データの第三者提供のための顧客の本人の同意をあらかじめ取得することが必要であると思われます(個人情報保護法27条1項)。

■参考文献
・荒井伴介・脇裕司・杉本陽・豊永康史「2021年銀行法等の一部を改正する法律の概要」『金融法務事情』2170号(2021年9月25日号)14頁
・家森信善「業務範囲規制の緩和を生かして顧客支援の充実を」『銀行実務』2021年8月号12頁
・松本亮孝・今拓久真・椎名沙彩・赤井啓人「金融分野における個人情報保護に関するガイドライン改正の概要」『『金融法務事情』2183号(2022年4月10日号)9頁

■関連する記事
・情報銀行ビジネス開始を発表した三菱UFJ信託銀行の個人情報保護法の理解が心配な件
・みずほ銀行のみずほマイレージクラブの改正を考える-J.Score・信用スコア・個人情報
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・コロナの緊急事態宣言をうけ、代表取締役が招集通知後に取締役会決議を経ずに株主総会の日時場所を変更したことが違法でないとされた裁判例-大阪地決令2.4.22
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見