個人情報保護(金融庁が業務停止命令発動の制度対応)

 

日経新聞12月7日号夕刊の記事です。金融庁は、センシティブ情報流出や保護対応が余りに不備な金融機関に対して一部或いは全面的な業務停止命令を発動できるように業法の施行令を開始する方針だそうです。金融審議会に諮って同意が得られれば、年内改正着手、来年4月から適用という迅速な段取りです。

これまでも顧客情報管理は充分に実施してきたし、個人情報保護法に関する自主規制によって一段と対応が充実するとして、金融業界は罰則規定を持つ個別法に反対してきました。今年6月時点では、金融庁も新たな罰則規程に必要を感じていないようでした。ところが。車上荒らしや保険代理店における紛失・盗難の表面化が相次ぎ、一方で金融界は具体的行動に消極的に見えます。この状態のまま、法の施行が行われ事案が発生すれば、金融庁としても厳しい立場になるでしょう。銀行法で言えば34条に基づき、適切な運営を怠っているとの理由で業務停止等の行政処分は可能です。ただ、余りに裁量的と判断されれば、行政訴訟を起こされる可能性もあるでしょう。昨今の金融機関における金融庁に対する不信・不満は相当高いものがありますから、外資系や一部中小金融機関などで、金融庁と戦うという決断をするところが出ても不思議ではありません。そう考えれば、個別法までは不要としても、施行令に明記することでより明確な法的根拠を確保しておきたいというのも尤もです。

実際、金融機関の動きは鈍いです。調査検討だけは熱心ですが。中には「収入に何の役にも立たんことに金使うなんて」とトップが平然とのたもう業界もあります。確かに、狼に追われる羊の群れで先頭を逃げるのは愚かです。後ろから2番目を走っても、最後尾が食べられている間、自分は安全です。懸命に逃げて体力を消耗することの方が危険です。しかし、これは狼が一頭の場合のセオリーです。上場企業の役員であれば、株主代表訴訟の対象になることも考えておく必要があるのですが。最近の経営トップはリスキーな環境に慣れすぎたのかも知れません。

今年の10月に米国ウェルス・ファーゴが印刷業務を委託している業者でサーバー4台盗まれたそうです。中には数千人分の顧客情報が入っていたということです。銀行は、該当する顧客に不審取引の有無を注意するよう呼びかけるとともに、無料の相談体制をとったそうです。米国の銀行やクレジットカード会社にとって顧客IDの盗難と詐取は大変な問題です。昨年には、1千万件前後のID盗難があり、その3分の2が不正取引に使われたそうです。被害総額は500億ドルを超えるという調査(FDC)もあります。金融機関の対応は情報交換を行い、共同で防止策を検討するという程度で、基本的に自助努力です。行政が規制強化によって、金融機関を縛りたがるわが国とは全く異なります。個人、企業ともに自己責任原則が徹底していることと、被害者がすぐに銀行を訴えますので、銀行もすべきことはしておかないと巨額な損害賠償が待っています。対してわが国では、個人もマスコミも、すぐに監督官庁を責めます。政治家も国会での自己PRに使います。こんな国で自己責任を前提とした規制緩和などありえないかも・・・などと考えてしまいます。ましてや金融サービス立国などとは程遠い話です。綺麗事のビジョン・タームを並べながら消えていった企業は枚挙に暇がありません。

金融機関は、公金取扱いを始めとして行政事務の肩代わりを随分としてきました。そのコストは大変なものでしょう。近年ではマネロン対応や個人情報保護対策など、ますますコンプラ・コストの上昇要因がたて続いています。金融再生健全化法で金融機関が対行政対応に使った費用は膨大なものです。それが来年からは重点強化プログラムとして地域金融機関にも及ぶ見とおしです。各協会は行政コストを調査して公表すべきです。その金額の是非は国民が判断することでしょう。

事後規制と称しながら、大蔵省時代を数段上回る事前・事中規制がまかり通っています。政治・社会のバックアップのない金融機関は行政のなすがままです。行政当局からすれば、わかっていながら、自発的に実行しようとしない金融機関を動かすには、強制力しかないということなのでしょう。まさにエリート官僚と現業一線職員との関係です。「決めてやり、脅してやらせて、だめなら罰をやる。結果がでないのはバカの壁」という論理です。個人情報保護対策も、結局はこのパターンのようです。

最後にITベンダー社員の皆さんへの注意です。このような行動パターンの取引先は結果責任を逃れようとします。つまり個人情報流出があると、ベンダーに責任を寄せてくるでしょう。いい加減な売り文句を使って、自分の会社を危険にさらさないようにすることです。特需などと安易に考えると、とんでもないことになります。