1.損保4社で合計250万件の顧客の個人情報の漏えい
損害保険大手4社の保険契約者の個人情報が代理店を通じて他社に漏れていた問題で、漏洩した個人情報が4社で計約250万件に上ることを損保4社が金融庁に報告し公表しました。損害保険ジャパンが約99万1千件、東京海上日動火災保険が約96万件、三井住友海上火災保険が約33万6千件、あいおいニッセイ同和損害保険が約21万7千件だった。保険契約者の氏名、住所や電話番号、証券番号などが漏えいしていたとのことです。
情報漏れの経路は、主に二つであり、一つは、自動車ディーラーなどの保険代理店から他社に契約者情報がメールで共有されたケースで、全体の9割超にあたる約226万5千件に上った。関わったディーラーなどは延べ約1200社。
もう一つは、保険代理店に出向した損保社員が、他社の契約者情報を、出向元の損保に持ち出すケース。全体の1割弱に当たる約23万8千件で、情報を取られた代理店は延べ119店だったとのことです。損保各社は「個人情報の漏えいにあたるとの認識をしていなかった」等と釈明しているそうです(「損保4社、250万件漏洩 他社に氏名や電話番号 代理店通じ「共有」黙認」朝日新聞2024年8月31日付記事より)。
■損保各社のプレスリリース
・保険代理店との間で発生した保険契約情報の不適切な管理に関する対応状況|損保ジャパン
・情報漏えい事案にかかる金融庁への報告について|東京海上日動
・保険代理店ならびに当社出向者による情報漏えい事案の調査結果について|三井住友海上
・保険契約情報の不適切な管理に伴うお客さまへの通知文書の発送開始について|あいおいニッセイ同和損保
2.個人情報保護法から考える
上の一つ目のケースを考えると、保険代理店が他社保険代理店に保険契約者の個人情報をメールで「共有」することは、他者保険代理店がグループ会社などでない限りは個情法の「共有」(個情法27条5項3号)には該当せず、本人の同意のない違法な目的外利用(18条1項)、違法な第三者提供(27条1項)であると考えられます。また個人情報の提供を受けて受け取った側の保険代理店は、個人情報の適正取得の義務違反です(20条1項)。
また二つ目のケースは、保険代理店に出向した損保社員が、他社の契約者情報を、出向元の損保に持ち出すことは、当該保険代理店については安全管理措置違反(23条、24条)が成立し、また当該保険代理店に委託を行っている損保会社は委託先の監督違反(25条)が成立すると考えられます。さらにその個人情報を受け取った損保会社は個人情報の適正取得の義務違反となると考えられます(20条1項)。加えて、保険代理店から個人情報の持ち出しを行った損保社員は、個人情報等データベース不正提供罪が成立する余地があるのではないでしょうか(179条)。
3.保険業法・ガイドライン・監督指針から考える
(1)保険業法・保険業法施行規則
保険業法100条の2は、「保険会社は…顧客に関する情報の適正な取扱い…その他の健全かつ適切な運営を確保するための措置を講じなければならない」と規定しています。そしてこれを受けて保険業法施行規則53条の8は、「保険会社は、その取り扱う個人である顧客に関する情報の安全管理、従業者の監督及び当該情報の取扱いを委託する場合にはその委託先の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置を講じなければならない。」と規定しています。そのため、損保各社は保険業法100条の2および施行規則53条の8に抵触していることになります。
保険業法(2)金融分野個人情報保護ガイドライン
(業務運営に関する措置)
第100条の2
保険会社は、その業務に関し、この法律又は他の法律に別段の定めがあるものを除くほか、内閣府令で定めるところにより、その業務に係る重要な事項の顧客への説明、その業務に関して取得した顧客に関する情報の適正な取扱い、その業務を第三者に委託する場合における当該業務の的確な遂行その他の健全かつ適切な運営を確保するための措置を講じなければならない。
保険業法施行規則
第53条の8
保険会社は、その取り扱う個人である顧客に関する情報の安全管理、従業者の監督及び当該情報の取扱いを委託する場合にはその委託先の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置を講じなければならない。
また、金融庁の「金融分野における個人情報保護に関するガイドライン」の第10条は、損保会社を含む金融機関は、「その取扱いを委託された個人データの安全管理が図られるよう、法第25条に従い、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」(1項)と規定し、委託先を「定期的に監査を行う等により、定期的又は随時に当該委託契約に定める安全管理措置等の遵守状況を確認し、当該安全管理措置を見直さなければならない」(3項2号)等と規定しています。損保各社はこのガイドラインに抵触していることになります。
(3)保険監督指針
さらに、金融庁の「保険会社向けの総合的な監督指針」の「II -4-5 顧客等に関する情報管理態勢」は顧客の個人情報保護について規定しています。監督指針は、「顧客に関する情報は、保険契約取引の基礎をなすものであり、その適切な管理が確保されることが極めて重要である。」(II -4-5-1)とした上で、「経営陣は、顧客等に関する情報管理の適切性を確保する必要性及び重要性を認識し、適切性を確保するための組織体制の確立(部門間における適切な牽制の確保を含む。)、社内規程の策定等、内部管理態勢の整備を図っているか。」(II -4-5-2(1)①)、「顧客等に関する情報の取扱いについて、具体的な取扱基準を定めた上で、研修等により役職員に周知徹底しているか。特に、当該情報の他者への伝達については、コンプライアンス(顧客に対する守秘義務、説明責任)及びレピュテーションの観点から検討を行った上で取扱基準を定めているか。」(II -4-5-2(1)②)などの規定を置いています。損保各社は監督指針のこれらの規定にも抵触していることになります。
4.まとめ
このようにざっと見ただけでも、今回の個人情報漏えい事故においては損保各社および保険代理店は、個人情報保護法、保険業法、ガイドライン、監督指針などの各規定に違反・抵触していることになります。
損保各社は「個人情報の漏えいにあたるとの認識をしていなかった」等と釈明しているそうですが、「顧客に関する情報は、保険契約取引の基礎をなすものであり、その適切な管理が確保されることが極めて重要である。」(監督指針II -4-5-1)との精神はどこに行ってしまったのでしょうか。"損保各社や保険代理店の利益だけが重要である、保険契約者等の顧客のことはどうでもよい"とのコンプライアンスのかけらもない意識が透けて見えます。
先般の損保のビッグモーター事件を受けて、金融庁は保険代理店への規制を強化する方向で保険業法の見直しを検討している最中です。この点、金融庁は今回の事件を受けて、個人情報保護を強化する方向で保険業法等を見直していただきたいと考えます。また、個人情報保護委員会は2025年に向けて個人情報保護法の改正を検討中ですが、事業者への課徴金制度や団体訴訟制度の導入などは待ったなしの状況であると思われます。
■追記
生命保険業界でも同様の問題が報道されています。
・日本生命、契約者情報漏洩18万件 生命保険にも拡大|日経新聞
PR