個人情報保護(全銀協の自主ルール)


全銀協は、12月21日に個人情報保護の自主ルールを公表しました。ニッキン1月1日号の記事です。      http://www.zenginkyo.or.jp/news/16/news161231.html

その前日に金融審議会特別部会で金融庁ガイドラインが了承されたのを受けての発表です。本来は秋までに金融庁のガイドラインを決定し、12月までに全銀協が自主ルールを策定するという段取りでした。それが大分手間取って年末ギリギリとなり、急いで手順を踏んだのでしょう。金融庁と全銀協は密接に情報交換しながらガイドライン、自主ルール作りをしてきましたので、金融庁発表から1日しかなくても、内容に矛盾の出ることはないと思います。ただ、金融庁ガイドラインはノンバンクを含む金融・信用分野全体をカバーしますので、銀行以外の業界にとっては、各自主ルール完成が日程的にきついことでしょう。といっても全銀協自主ルールは保険会社や消費者金融などの業界にも配慮したものになってはいるようです。ここまで予定が遅れたことに対して個々の金融機関からクレームが出ていましたが、各種法制との整合性や、千差万別の利用シチュエーションを出来る限り網羅しなくてはならないのですから、作成に携る方々は大変な苦労だったことでしょう。

自主ルール作成で注目されていた項目は、第三者定義と委託先管理、センシティブ情報取扱いの二点でした。発表されたルールは予想されたものより柔らかいといえますが、ダイレクト・マーケティングの中止事項は意外でありました。また、死者の情報は対象外ですが、相続等に関連して遺族等関係者が生存している情報にまたがる場合は対象となることも注意が必要でしょう。

@   ダイレクト・マーケティングの中止 直接面談以外のDMや電話などによるセールス活動に対して、顧客から情報利用停止を求められた場合は当該目的での利用・提供を中止しなくてはなりません。顧客DBにその旨フラグを立てる必要があります。CRM関連のDBや画面、業務手順を全て見直す必要があります。

A   第三者定義と委託先管理  人格が異なれば第三者です。銀行業務処理を外部に委託する場合は第三者に該当しませんが、銀行が委託先の安全管理処置に関する責任を持つことになります。免責となる管理範囲までは明示されていません。自行内と同様な管理を確認するのか、プライバシーマークなどの認定を受けていればそれで良しとするのか、契約書で縛りを入れておけば良いのかは、実例・判例しだいというところでしょうか。面白いのが共同利用という概念を取り入れたことです。グループ会社間や信用保証会社での利用を想定しています。利用目的と利用会社を明示して、通知あるいは公表を行なえば第三者に該当しないとしています。

B   センシティブ情報の取扱い 政治的見解、信教、労働組合活動、人種・民族、門地・本籍地、保険医療・性生活、犯罪歴を機微情報と定義しています。取引において必要となる場合の例外事項が具体的に列記されています。本人確認の為の生体認証情報については、本人の同意を前提としています。また、与信事業においては、利用目的の本人同意を得る必要があると機微情報同等の扱いを求めていることも注目されます。同意の手段として、文書・録音・HP上の同意クリック・eメールを例示しています。

昨年6月に経済産業省がガイドライン案を発表して以来、約半年後に金融庁・全銀協のガイドラインが出てきました。多くの金融機関はガイドラインが出ないからという理由で具体的な施策決定・実行を遅らせてきました。結局は経産省ガイドラインと大差ないものとなりました。確かに具体的な判断基準などが随分と網羅されましたが、個人情報保護法の趣旨に従って準備してきていれば、今回の金融分野ガイドラインを使って簡単に総仕上げができたでしょう。そのように準備してきた金融機関は少ないように思います。今からの3ヶ月弱で手当てを急ぐことになります。

ところが、新年度経営計画作成、リレバン・健全化計画総括、金融改革プログラム対応計画策定などなど企画グループにとっては大きな宿題が目白押しです。コンプラ担当セクションが中心となって付け焼刃的な個人情報保護体制を作ることになります。IT部門もこれまで検討してきた結果を受けて、技術的対応として各種ツールの導入を始めることでしょう。実際にPCツールをインストールしたら既存ソフトが作動しなくなるような笑えない事態も頻発するでしょう。そして、4月の法施行となり、どこかの金融機関で流出事案が露見します。その時の一罰百戒的な行政処分を見て、経営陣が慌てふためくという構図が見えます。要は、受身的な経営姿勢に原因があります。それでは顧客情報を活用した効果的・効率的な事業運営などは不可能です。従業者も危なくて仕事をしていられないでしょう。

金融改革プログラムではリスク管理の充実や投資家保護の目的で数多くの新ルール作成が予定されています。これら銀行経営の変化要因に対して、行政、協会、他行が決定・実行するのを待っていたのでは、周回遅れも良いところです。このような企業(産業)文化から脱しない限りは、自主経営とはほど遠い植民地経営になります。