なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:第一生命

Screenshot_20250118-201323
(日本生命のLINE公式アカウント)

1.LINEヤフーが日本生命に「結婚予兆セグメント」のプロファイリングの個人データを販売
2025年1月13日のニュースイッチに「保険の成約率10倍以上に…日本生命、顧客開拓にLINE活用」日刊工業新聞2025年1月10日という興味深い記事が掲載されていました。

この記事によると、日本生命保険はLINEのLINE公式アカウントで友達登録したユーザーのうち、結婚する予兆のある層にピンポイントで保険を提案したところ、成約率がLINEを使わない提案手法に比べなんと10倍以上になったとのことです。「LINEヤフーはショッピングサイトの購買履歴などから傾向をつかみ、ユーザー・消費者をさまざまなセグメントに分類する。日本生命は自社のLINE公式アカウントの友達のうち、LINEヤフーが「結婚予兆セグメント」に分類した層にアプローチ」して、従来の10倍以上の保険契約の成約を達成したとのことです。

概要図
また、本記事によると、日本生命は同様に「転職活動の検討セグメント」の個人データもLINEヤフーから第三者提供を受けて採用活動に利用しているとのことで、さらに第一生命保険やT&Dグループも日本生命と同様にLINE公式アカウントを利用して保険の営業等を行っているとのことです。

たしかに保険の営業成績が10倍以上に伸びるということは大変なことであり、LINEヤフーや日本生命などのパートナー企業にとっては非常に素晴らしい話ですが、「結婚予兆セグメント」、「転職活動の検討セグメント」等の生々しいプロファイリングの第三者提供の話が出てくるとLINEのユーザー・消費者としては少し怖い気もします。(アメリカの大手スーパー・ターゲット社が顧客の購買履歴から妊娠をプロファイリングし該当する女性にベビー用品を販売した事件や、2019年のリクナビ事件などを連想する人も少なくないのではないかと思われます。*なお、ITメディアニュースの記事によると、NTTドコモもプロファイリング結果の第三者提供ビジネスを行っているそうです。

このようなLINEヤフーや日本生命などのパートナー企業のビジネスは、個人情報保護法などの関係からどのように考えられるのでしょうか。

2.プロファイリングについて
EUのGDPR22条などがプロファイリングについて法規制を行っている一方で、日本の個人情報保護法は真正面からはプロファイリングの法規制を行っていません。(プロファイリングの法規制については現在、個人情報保護委員会などで個情法改正に関連して検討が行われています。)

しかし、個情法17条1項は、事業者は「個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。」と利用目的の特定について規定し、個情委の個人情報保護法ガイドライン(通則編)の3-1-1(利用目的の特定(法第17条第1項関係))の「(※1)」はつぎのように規定しています。

【個人情報保護法ガイドライン(通則編)3-1-1】
(※1)「利用目的の特定」の趣旨は、個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすることである。 本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したことにはならない。

例えば、本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない。

【本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例】
事例1)「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」
事例2)「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。」
個情法ガイドライン3-1-1
(個人情報保護法ガイドライン(通則編)3-1-1(※1))

このように、個情法17条1項をうけた個人情報保護法ガイドライン(通則編)3-1-1は、事業者がプロファイリングを行う場合には、その旨をプライバシーポリシー等の利用目的の部分に特定しておかないといけないと規定しています。

この点、LINEヤフーのプライバシーポリシーをみると、「4.d.当社サービスのお客様への最適化の具体例」の部分に、「たとえば、以下のような場合、当社は、お客様に最適化されたコンテンツを提供するためにパーソナルデータを利用します。・お客様の性別、ご購入履歴などから、おすすめ商品やニュース記事のご紹介など、お客様におすすめの情報をお届けする・配信した広告の効果を測定する」と規定されており、ユーザー本人の個人データからプロファイリングを行う旨が一応説明されています。そのため、LINEヤフーはプロファイリングに関しては個情法および同ガイドラインをクリアしているように思われます。

LINEヤフープラポリ4d
(LINEヤフー・プライバシーポリシー「4.d.当社サービスのお客様への最適化の具体例」)

3.プロファイリングした個人データの第三者提供について
つぎに、LINEヤフーがユーザーの個人データをプロファイリングして得た「結婚予兆セグメント」などの個人データを日本生命などのパートナー企業に第三者提供するためには、これは個人データの第三者提供ですので、ユーザー本人の同意かオプトアウトが必要となります(個情法27条1項、2項)。

そして、この点について個人情報保護法ガイドライン(通則編)3-6-1のなお書きは、「なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨を特定しなければならない(3-1-1(利用目的の特定)参照)。」と規定しています。

個情法ガイドライン3-6-1
(個人情報保護法ガイドライン(通則編)3-6-1のなお書き)

つまり、事業者は、個人データの第三者への提供に当たり、あらかじめ本人の同意を得ないで提供してはならないのであり、同意の取得に当たっては、その同意を実効あるものにするために、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならないのであって、あらかじめ個人情報を第三者に提供することを想定している場合には、利用目的において、その旨を特定しなければならないのです。

この点、LINEヤフーのプライバシーポリシーの「4.d.当社サービスのお客様への最適化の具体例」の下のほうの「また、一部の国または地域(*3)においては、お客様に最適化された広告などのおすすめのコンテンツを配信する目的でパーソナルデータを利用します。これには以下のような例が含まれます。」の部分には、「パートナーから取得したお客様に関する識別子(内部識別子、広告識別子など)、ハッシュ化した電話番号やメールアドレス、属性情報、購入履歴や視聴履歴を含むお客様に関する行動履歴などの情報を当社が保有するお客様に関する識別子(内部識別子、広告識別子など)、ハッシュ化した電話番号やメールアドレス、属性情報、広告接触履歴を含むサービス利用状況などのパーソナルデータと紐づけ、組み合わせるなどして、統計情報を作成し、当該統計情報をパートナーに対して提供する。」との記述があります。

LINEヤフープラポリ4dの下のほう
(LINEヤフーのプライバシーポリシーの「4.d.当社サービスのお客様への最適化の具体例」下部)

つまり属性情報、購入履歴や視聴履歴などの行動履歴、Cookie、広告接触履歴など様々なユーザーの個人データを集めて突合しプロファイリングを行い、「結婚予兆セグメント」などの「統計情報」を作成し、ユーザーの識別符号などとセットで当該統計情報をLINE公式アカウントのパートナー企業などに第三者提供していると説明されています。

そのため、LINEヤフーはプロファイリングの結果のパートナー企業等への第三者提供に関しては個情法および同ガイドラインをクリアしているように思われます。

(ただし、LINEヤフーのプライバシーポリシーにリンクが貼られた「属性によるサービスの最適化について」の「サービスの最適化において実施しないこと」の部分をみると、「健康状態や政治的信条、宗教など、お客様の機微な属性を推定・分類する行為」は実施しないとなっているのですが、「結婚予兆セグメント」、「転職活動の検討セグメント」等のプロファイリングはユーザー・消費者にとって「機微な属性」を推定・分類することのように思われ、疑問が残ります。)

4.まとめ
LINEヤフーがユーザーの様々な個人データを収集・突合してプロファイリングを行い、その結果をLINE公式アカウントなどのパートナー企業に第三者提供していることは、現行の個人情報保護法および同ガイドラインを一応はクリアしているように思われます。

しかし、LINEを利用している一般のユーザーは、自分がLINEを利用することによって自分の機微・センシティブな「結婚予兆セグメント」、「転職活動の検討セグメント」等がプロファイリングされ、しかもそのプロファイリング結果が第三者提供されているとはあまり自覚していないように思われます。

この点に関しては、LINEヤフーはプライバシーポリシー全体への同意取得で済ませるのではなく、セグメント等のプロファイリングを行うこと、そのプロファイリング結果をパートナー企業に第三者提供すること、等について個別の同意を取得する仕組みを用意するなど、より丁寧な対応がユーザーの「個人の人格尊重」(個情法3条)の観点からのぞましいように思われます。

■追記:プロファイリング結果の第三者提供
なお、『AIプロファイリングの法律問題』353頁以下(坂田晃祐・福岡真之介執筆部分)は、プロファイリング結果の第三者提供は、①本人はプロファイリング結果の内容を把握できないことが多いのであるから第三者提供時点でその影響を判断することができないリスクがあること、②本人はプロファイリング結果が第三者提供先でどのような利用目的で利用されるか予測できず、思わぬ不利益を受けるリスクがあること、③プロファイリング結果の内容によっては、本人が自己の欲しない他者に対し秘匿したいと考える事項が明らかになる場合、プライバシー権の侵害が発生するリスク(民法709条、憲法13条)が生じること、等から通常の個人データの第三者提供とは別に考える必要があると指摘しています。

そのため同書は、プロファイリング結果の第三者提供については、①第三者提供先の事業者の利用目的につき本人に情報提供または通知・公表を行うこと、②一定の範囲のプロファイリング結果(本人に軽微でない不利益を生じさせる可能性のあるプロファイリング結果)についてはオプトアウトによる第三者提供を禁止すべきこと、という通常の個人データとは異なる法規制を導入すべきであると提言しています。

この点、本ブログ記事で取り上げたLINEヤフーと日本生命などの事例の「結婚予兆セグメント」「転職活動の準備セグメント」などのプロファイリング結果は、上のリスクのなかの「③プロファイリング結果の内容によっては、本人が自己の欲しない他者に対し秘匿したいと考える事項が明らかになる場合、プライバシー権の侵害が発生するリスク(民法709条、憲法13条)」が発生する可能性が一定程度存在するものであると思われます。

そのため、LINEヤフーは包括的な同意でなく個別の同意を取得するだけでなく、どのようなプロファイリング結果を生成するのか、どのようなパートナー企業等にプロファイリング結果を第三者提供し、当該企業等の利用目的はどのようなものなのか等をユーザー本人にあらかじめ情報提供や通知・公表する必要があるように思われます。また、現行の個情法19条があいまいとは言え不適正利用の禁止を規定しているのですから、ユーザー本人に軽微でない不利益を発生させるおそれのあるプロファイリング結果については、そもそもプロファイリング自体を社内で禁止する等の対応も必要なように思われます。

■参考文献
・福岡真之介・杉浦健二・田中浩之・坂田晃祐ほか『AIプロファイリングの法律問題』42頁、353頁
・岡村久道『個人情報保護法 第4版』208頁

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

日生ポイントトップ画面
(日本生命保険サイトより)

1.日本生命保険のポイントに関する不祥事
日本生命保険が保険契約者のポイントを同社職員が横領・着服するなど、東洋経済のスクープを受けて炎上中のようです。

・日本生命で発覚「客のポイント使い込み」の唖然|東洋経済

2.保険募集の観点から
そもそも保険会社が保険契約者等に特別な利益を与えて保険募集等を行うことは法律上、原則禁止されています(特別利益の提供、保険業法300条1項5号)。

保険契約上の重要な事実の不説明(重要事項の不告知)や告知書に事実を告げないことをそそのかすこと(不告知教唆)などと並んで、特定の顧客に対してだけ利益を与えて保険の募集・勧誘を行うことは、保険会社の営業において発生しやすく、保険制度の公平性をゆがめかねない不正な事項であるからです。保険業法300条1項はこれらの保険募集上の禁止事項を列挙しています。

そのため、生命保険会社等がポイントを顧客に付与してよいかは比較的最近の法的論点であり、グレーゾーンです。

*詳しくはこのブログ記事をご参照ください。
・保険会社が保険契約者等にポイントを交付することは保険業法上許されるのか?/特別利益の提供

つまり、ポイント制度は特別利益の提供という、保険会社の不正が発生しやすい保険募集上の禁止事項に関係するデリケートな部分であり、保険業法の急所の一つともいえます。週刊誌にスクープされ、監督官庁の金融庁の担当部署は激怒中なのではないでしょうか。

私は日本生命の関係者ではないので分かりませんが、上のブログ記事でみたように、日生がこのポイント制度を積極的に推進していることから、おそらく日生は、この保険業法300条の問題をクリアするために、正面突破的な方法として、約款・事業方法書など保険業の骨格となる基礎書類上の許認可を金融庁から得た上で、ポイント制度を運営してるのではないかと推測されます(保険業法4条2項)。

しかしもしそうであるならば、日生は金融庁の許認可に明確に違反して業務を行っていることになるので、事態は非常に深刻だと思われます。

3.個人情報保護・情報セキュリティの観点から
また、生命保険業は顧客の金融情報を取扱う金融業界の一角である上に、顧客の健康状態・傷病の状態などのセンシィティブ情報(要配慮個人情報)を業務の性質上取り扱うので、情報管理や情報セキュリティは非常に高いレベルが要求されます。

にもかかわらず、業界1位の日生が情報管理・情報セキュリティの面でこれでは、生保業界全体の社会的信用の問題として非常にまずいものがあります。金融庁は業界全社に類似の事案の有無などに関して、保険募集上および情報システム上の調査を指示するのではないかと思われます。

*なお、日生の不祥事とは事案が異なりますが、第一生命等のウェブサイトも、情報セキュリティの観点から残念な事象がみられるようです。

■関連するブログ記事
・第一生命保険の「ご契約者専用サイト」の初期設定登録がセキュリティ的にひどい件

4.まとめ
このように、今回の不祥事について日生は、保険募集および情報管理・個人情報保護上の不祥事件として保険業法に基づく報告(不祥事件届出)を行い、金融庁・個人情報保護委員会が行政処分・行政指導を出す可能性があります(保険業法127条1項、同100条の2、同306条、個人情報保護法20条、保険業法施行規則85条5項、同53条の8、保険監督指針II-6、II -4-4-1-2(13))。

■参考文献
・錦野裕宗・稲田行祐『保険業法の読み方 三訂版』95頁、162頁、269頁
・中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第3版』165頁、316頁、340頁









このエントリーをはてなブックマークに追加 mixiチェック

250px-DN_Tower_2018
2020年12月22日のメディア各社の報道によると、営業職員の顧客の金銭の詐欺・横領などに関連し、第一生命保険の稲垣精二社長は謝罪の記者会見を行ったそうです。報道や同社サイト上で公表された報告書によると、新たに3件の営業職員による不祥事とともに、本社の保険事務部門(契約サービス部)の不祥事も1件発覚したとのことです。

・「元社員による金銭の不正取得」事案に関するご報告 (PDF)|第一生命保険

Ep01VNKUwAAzSUX
(第一生命保険サイトより)

報告書によると、山口県の特別調査役については、高い営業成績をもつ特別調査役が社内で”女帝”扱いされ、本来、指揮監督する立場にあったはずの西日本マーケット統括部が監督を行っていなかったなどの、組織的な、ガバナンス上の問題が多かったように感じられます。

多くの保険会社は、社内に法務部門・コンプライアンス部門があり、また業務監査部や検査部門が社内の不正のチェックを多重的に行っています。そのような法務・コンプラ部門や監査・検査部門も有効に機能していなかったのでしょうか。コンプライアンスだけでなくガバナンスが機能不全であったということは、取締役ら経営幹部の法的責任が厳しく問われる問題であると思われます。

たしか第一生命は、生保業界では最初に法務部門を設置した会社であり、法務・コンプライアンスを重視しようという社風があったような気がするのですが、それも株式会社化などの時代の流れとともに変容してしまったのでしょうか。

ところで、この報告書をみると、営業部門だけでなく本社の保険事務部門(契約サービス部)でも不祥事があったようで、これも深刻な問題です。年金保険の取扱について、契約サービス部の社員が不正を行って数千万円の金銭を横領したとのことですが、事務手続き上も、情報システム上も、そのような不正が簡単にできたとは考えにくく、大いに気になるところです。

報道などによると、数年前より、第一生命は保険契約の保全に関する業務の大半を情報システム会社(NTTデータ)に外部委託していたそうです。この外部委託により何らかの不正のつけいる隙が生まれていたのだとしたら、由々しきことです。保険の引受業務や資産運用業務、保険金の支払い業務と並んで、保険契約の保全業務も、保険会社のコア業務なのですから。

稲垣社長は代替わりしたばかりですが、今回の一連の不祥事の再発防止策の実施が一区切りしたら、引責辞任は待ったなしの状況と思われます。今回の不祥事を受け、企業ブランドは大きく傷つき、この一年、大手生保の中で第一生命だけ営業成績が大きく低迷している状況です。金融庁だけでなく、"物言う株主"を含め多くの株主が黙っていないものと思われます。

なお、生命保険業界にとっては、この1年は第一生命やかんぽ生命の不祥事が大きく報道される一年だったように思われます。しかし、顧客の金銭の詐欺・横領でここ数年、毎年のように不祥事を起こしているソニー生命保険については、マスコミがほとんど報道を行わなかったのは不思議なことに思われます。

・当社の社員や代理店・グループ企業等を名乗る者が金員を詐取する事案にご注意ください。|ソニー生命

■関連するブログ記事
・第一生命保険が保険契約の保全業務をNTTデータに外注したことを保険業法から考える
・ソニー生命の個人年金保険契約を装う詐欺事件に対して金融庁が立入検査
・かんぽ生命・日本郵便の不正な乗換契約・「乗換潜脱」を保険業法的に考える









このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ