
1.東京海上の代理店システムの個人情報漏洩事故が発覚
日経新聞の10月28日の報道によると、東京海上日動火災保険の保険代理店で顧客情報の漏洩が起きていたことがわかったとのことです。代理店同士をつなぐシステムで東京海上社員による設定ミスがあり、一部の代理店が本来アクセスする権限のない他の生損保の契約情報を閲覧できる状態になっていた、不正アクセスは過去5年で2000〜3000件とみられ、調査を進めているとのことです。一時最大で約10万件以上の顧客情報をアクセス権を持たない代理店が閲覧できる状態になっていた可能性があるということです。
東京海上の10月30日付のプレスリリースによると、同社は、勤務型代理店制度という、二つの代理店が共同してお客様対応を行う仕組みを設けており、一つの代理店を「統括代理店」、もう一方の代理店を「勤務型代理店」と称し、統括代理店が勤務型代理店を教育・指導・管理することとしているところ、今般の事案は、同社のミスによって参照範囲が適切に制限されていなかったため、勤務型代理店が統括代理店のお客様情報に不適切にアクセスできる状態となっていたことが判明したものとのことです。
そして漏洩した可能性のある情報については、「お名前、ご住所、お電話・FAX番号・メールアドレス、ご生年月日、性別、ご契約内容、証券番号、保険種類、保険金を受け取られる方のお名前、保険始期・満期、保険料、ご契約変更の有無、保険事故の有無など」となっています。
・保険代理店向けシステムの参照範囲設定誤りによる情報漏えいに関するお詫び|東京海上日動
2.保険業法・個人情報保護法
保険会社は保険業法により、その業務に関して取得した顧客に関する情報の適正な取扱いを確保するための体制整備が義務付けられています(保険業法100条の2、294条の3)。そして安全管理措置などについて必要かつ適切な措置を講じるための体制整備が義務付けられています(保険業法施行規則53条の8・227条の9)。
その上で、それらに違反した場合、保険会社は保険業法上の不祥事件(保険業法307条1項3号、保険業法施行規則85条5項3号)として内閣総理大臣(の委託を受けた金融庁長官)への不祥事件届出を行わなければならないとともに、金融庁の業務改善命令等の行政処分を受ける可能性があります(保険業法132条)。(経済法令研究会『保険コンプライアンスの実務』66頁。)
3.まとめ
今回の東京海上の代理店システムの設定ミスは安全管理措置の義務違反であると思われ、同社はすでに金融庁に不祥事件届出を行ったようであり、それを受けて金融庁から業務改善命令などの行政処分が出される可能性があります。
■参考文献
・経済法令研究会『保険コンプライアンスの実務』66頁
・錦野裕宗・稲田行祐『三訂版 保険業法の読み方』269頁

PR