1.はじめに
このブログ記事は法務系アドベントカレンダー2023( #legalAC)のエントリーです。tomoさんから頂いたバトンを、ヤマダ タツロウさんにお渡ししたいと思います。令和2年の個人情報保護法改正に関して生命保険会社・損害保険会社が注意すべき点について、とくに①外国にある第三者への提供規制、②保有個人データの利用停止等請求、について個人的に気になる点をまとめてみました。(なお本ブログ記事は筆者の個人的な見解です。)
2.外国にある第三者への提供規制
(1)制度の概要外国にある第三者への個人データの提供が許される要件は、①本人の同意があること、②日本と同等の個人情報保護の水準国(EU・英国)であること、③移転先の事業者が個情法4章2節の事業者の講ずべき措置に相当する措置を継続的に講じるために必要な基準に適合する体制(「基準適合体制」)を整備した事業者であること、の3類型に分かれます(個情法28条1項)。
(2)損害保険会社の実務
損害保険会社の実務上、外国にある第三者への個人データの提供は、①再保険契約に基づき外国の再保険会社に提供する場合、②外国法人に個人データの入力作業を委託する場合、③海外の遠隔地で海外旅行保険の保険契約者に保険事故が発生し緊急の対応を要する際に損害保険会社が委託をしている現地のクレームエージェントに情報提供を行う場合、④委託先が外国法人に対して損害保険会社から受託した業務の一部を再委託する場合、⑤外国にある第三者が提供するクラウドサービスをわが国の損害保険会社が利用する場合であって、クラウド事業者がクラウドサービス内の個人データの取扱いを行う場合などがあります。(浅井弘章「令和2年改正個人情報保護法が損害保険会社の業務に与える影響」『損害保険研究』83巻3号60頁。)
(3)本人の同意に基づいて外国にある第三者に提供する場合
本人の同意に基づいて外国にある第三者に個人データを提供する場合には、情報提供義務が新設されたため、本人同意を取得する際の申込書あるいは申込画面に法定の情報を提供・表示した上で、本人同意を取得することが必要です(個情法28条1項)。
わが国の損害保険会社が外国にある第三者の再保険会社に出再を行う場合において、わが国の損害保険会社による顧客からの保険引受および同意取得の時点では、最終的にどの再保険会社に再保険を行うかが未確定であり、当該顧客の個人データを移転する外国を特定できない場合がありえます。
このような場合には、損害保険会社は、①特定できない旨およびその理由、②提供先の第三者が所在する外国の名称に代わる本人に参考となるべき情報、を本人に提供する必要があります(施行規則17条3項)。
(4)基準適合体制を整備している外国にある第三者への提供
1.(2)の①から⑤の業務については、損害保険会社は実務上、基準適合体制(施行規則18条1項)を整備して個情法28条1項に対応していることが一般的であると思われます。
この点、施行規則18条1項は、①当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること(1号)、②当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ(法第三十一条第二項において読み替えて準用する場合にあっては、個人関連情報)の当該第三者への提供を停止すること(2号)の2点が要求されています。このうち①の「定期的に確認」については、年1回程度またはそれ以上の頻度での確認が求められています(個情法ガイドライン(外国第三者編)6-1)。
保険会社の実務では、外国にある第三者の委託先事業者に対して個人データの取扱いを委託する場合、当該委託先事業者との間で契約書等を締結することにより当該委託先事業者の基準適合体制を整備し、その上で年1回のアンケートへの回答を依頼していることが多いと思われます。当該年1回の頻度でのアンケート回答は、上記の「定期的に確認」に含まれると考えられます(個情法ガイドライン(外国第三者編)6-1)。
万が一、この年1回のアンケートなどにより契約書違反が発覚した場合には、損害保険会社は施行規則18条1項2号に従った対応ができるように、委託先との契約書等を改訂するとともに、自社の委託先管理の社内規程等を改訂することが必要であると思われます(浅井・前掲63頁)。
(5)生命保険会社の実務
例えば住友生命保険においては、Vitality健康プログラム(日々の運動や健康診断などの継続的な健康増進活動をポイント化し、ポイントに応じて保険料の変動や特典の提供を行うプログラム)の提供にあたり、南アフリカの金融サービス会社と業務提携しており、同社における商品開発などを目的として契約内容や健康状態などの個人データを保険契約者等の本人同意に基づいて南アフリカの同社に第三者提供しているとのことです。
令和2年改正後、住友生命は外国にある第三者への提供規制への対応として、その所在する国名、当該外国における個人情報保護に関する法制度、提携企業等が講じる個人情報保護措置等に関し同社ウェブサイト上のプライバシーポリシー等にて情報提供を行っているとのことです。
また、米国法のFATCA(アメリカ外国口座税務コンプライアンス法)は租税回避の防止を目的として米国人の米国納税者番号や契約内容等を米国内国歳入庁に提供することを求めているところ、日本の生命保険各社は、保険契約者等の本人同意に基づいて契約内容などの個人データを米国内国歳入庁に提供しています。このFATCA対応として日本の生命保険会社各社は、FATCAに係る同意取得書面等に米国の個人情報保護に関する制度や米国内国歳入庁における個人情報保護措置の内容に係る情報提供を行っています。(黒丸栞「令和2年個人情報保護法改正と生保会社における実務対応」『生命保険経営』91巻2号110頁)
3.保有個人データの利用停止等請求の改正
(1)改正の概要令和2年の個情法改正では事業者が保有個人データの利用停止等(利用の停止又は消去)を行わなければならない場合として、法18条、20条違反に加えて法19条(不適正利用の禁止)違反が追加されました(法35条1項)。
また、法35条5項は、本人は、①利用する必要がなくなった場合、②当該本人が識別される保有個人データに係る第26条1項本文に規定する事態(個人情報漏洩)が生じた場合、③その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合、には個人情報取扱事業者に対して当該保有個人データの利用停止等又は第三者への提供の停止を請求することができることとなりました。
一方、上記①から③に該当する場合であっても、利用停止等を行うことが「困難である場合」には、本人の権利利益を保護するために必要な代替措置を講じることによる対応が認められています(法35条6項但し書き)。
(2)損害保険会社の実務
この法35条6項但し書きが該当する場合としては、例えば重大な個人情報漏洩事故が発生した場合において、保険会社と当該本人(保険契約者)との保険契約が存続しているため、利用停止等が困難であるとして、以後個人情報漏洩の事態が生じることがないよう必要かつ適切な再発防止策を講じる場合などが該当すると考えられます(個情法ガイドライン(通則編)3-8-5-3)。
また、③の「本人の権利又は正当な利益が害されるおそれがある場合」については、「正当な」利益であることが要件であるところ、個情法ガイドライン(通則編)は、例えば「過去に利用規約に違反したことを理由としてサービスの強制退会処分を受けた者が、再度当該サービスを利用するために、当該サービスを提供する事業者に当該強制退会処分に係るユーザー情報の利用停止等を請求する場合」は「本人の権利又は正当な利益が害されるおそれがある場合」に該当しないとしています(個情法ガイドライン(通則編)3-8-5-1)。
そのため、例えば保険会社が告知義務違反等により保険契約を解除した場合において、その告知書などの個人データの利用停止等の請求がなされた場合は、保険会社はこれに応じる必要はないと考えられます(浅井・前掲78頁)。
(3)生命保険会社の実務
さらに、法35条1項の①「利用する必要がなくなった場合」については、(a)保険契約の解約や被保険者の死亡により保険契約が消滅した場合、(b)保険契約の加入の申込があったものの引受審査により不承諾となり告知などの個人データの消去請求がなされる場合、なども想定されます。
この点、(a)については、保険会社においては税務調査への対応や、各種証明の申出を受けた場合への対応などに備え、引き続き当該保有個人データを保有する必要性があります。そのため、保険会社としては、当該保有個人データの営業活動への利用については停止し、税務調査等への利用は継続するなどの対応ができないか検討するべきと考えられます。
また、(b)については、引受審査の判断のために告知により取得した医的情報等に関しては、不承諾(謝絶)となった場合にはすでに当初の利用目的を達成しているため消去請求に応じることが考えられます。一方で不承諾となった事実や氏名等、消去請求への対応の経緯などの情報については、事後的な対応に備えて保有を続けることついては消去に応じないことが妥当と考えられます。(黒丸・前掲94頁。)
法務系アドベントカレンダー2023 の次回はヤマダ タツロウさんです。よろしくお願いします!
■参考文献
・浅井弘章「令和2年改正個人情報保護法が損害保険会社の業務に与える影響」『損害保険研究』83巻3号55頁
・黒丸栞「令和2年個人情報保護法改正と生保会社における実務対応」『生命保険経営』91巻2号88頁
・宮本順「個人情報保護法の改正が生保業界に与える影響」『生命保険経営』88巻5号4頁
・岡村久道『個人情報保護法 第4版』333頁、373頁