「個人情報関係」カテゴリーアーカイブ

第2回:個人情報保護法と金融関連サービス

前回は、2019年12月13日に公表された個人情報保護委員会の「個⼈情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「改正大綱」)の概略を紹介しました。すでに、改正大綱に基づき、改正法案が3月10日に国会に提出されています。改正法案の内容については、次回から触れますが、今回はデジタル化に取り組む金融機関の金融関連サービスに個人情報保護法がどのような影響があるのかをお伝えします。

―金融機関と個人情報

金融関連サービス、特にリテール部門において、個人データを含めた取引データを有効活用できるかどうかは、今後の収益の拡大において大変重要なポイントです。なぜなら、内部留保が進む法人との取引では資金需要が限られるうえ、低金利下で貸付けによる収益も薄く、個人データを活用したリテール取引における金融収益の拡大が期待されるからです。

現在のリテール取引は、カード取引(デビットカードやクレジットカードの発行と利用)と、ローン取引(住宅ローンや教育ローン、オートローンやリフォームローンなど)が中心です。日本において個人情報を活用する取引ですぐに思い浮かべるのはクレジットカード取引ですが、諸外国を見ると非金融機関(特に、スタートアップ企業)の金融サービスで個人のデータを有効活用しているのは、ローン取引です。

クレジットカードやデビットカードなどのカード取引は、いったんカードを発行すると継続的に収益が見込めますが、95%以上の利用がマンスリークリア方式であるため、利用者からの手数料収入が期待できません。そのためカード取引では加盟店手数料が主要な収益源になりますが、手数料の引き下げ圧力が強く、将来的には有力な収益源とはいえないのが実状です。かたやローン取引は利用者から比較的高額の利息収入が見込めます。したがって、ローン取引では預金取引客をはじめカード等の利用・送金情報など利用予定客の動きを糸口としてできる限り顧客の行動情報を把握し、タイミングよく教育・自動車・免許・トラベル・留学・住宅・リフォームなどのローンの提案をすることが重要です。

そのために、個人情報をうまく掴み分析することが必要なのです。

―立ちはだかっていた個人情報利用の制約

しかし、金融機関がグループのクレジット会社などから、顧客の購入履歴などの情報提供を受けることは、クレジット会社にとっては個人情報の第三者提供になるため、顧客から同意を取得する必要があります。たとえ、金融グループに所属する企業相互で、「共同利用」の体制を構築し、個人情報の相互利用を可能にしたとしても、グループ内の個人情報だけでは利用できる範囲が限られてしまいます。

また、利用範囲を広げるためにグループ外の事業者からの個人情報、例えば、「ハウスメーカーから注文住宅に関する情報」「工務店からリフォームの見積・注文に関する情報」「カーディーラーから自動車の注文情報」「学校から入学者などの情報」などを得ようとしても、個別に第三者提供の同意を得る必要がありますし、そもそも金融機関が、そのような業務をおこなうことができるのかという問題もありました。共同利用にしても、グループ内の他企業に取引情報などを提供する場合では、金融機関は預金者等の顧客の取引情報などの守秘義務があるとされていますので、金融機関サイドからは顧客の同意のない限り第三者提供ができないという制約が存在していました。

―業務範囲規制の緩和とデータオープン化

欧米各国をはじめ東南アジア諸国などでも、金融機関はFintech企業との提携だけでなく、プラットフォーム事業者・シェアリング事業者などとも提携して、提供する決済・送金サービスに付帯する形で顧客の購買情報・行動情報を収集し、新しい金融サービスの提供に結び付けて収益化しています。

そこで、わが国でも銀行法を「報通信技術の進展に伴う金融取引の多様化に対応するための資金決済に関する法律の一部を改正する法律」(2020年6月までに施行予定)で改正し、金融機関が地域企業の経営改善に貢献したり利用者のニーズに応えたりできるよう、銀行業務などに“顧客に関する情報について同意を得て第三者に提供する業務等”が追加されました。すでに施行されている2016年銀行法改正により、銀行法で列挙されていない業務であっても、「銀行業高度化等会社」として、出資することも可能となっています(例えば銀行が子会社としてフィンテック会社や地域商社を立ち上げることが可能になりました)。

このような銀行法の改正に加え、今回の個人情報保護法の改正により伝統的な金融機関においても個人情報を含むデータの利活用を積極的に活用する環境が整いつつあるといえます。

こうして、地域企業と提携して銀行のローンにつながる行動情報や購買情報などの第三者提供を受けることができるようになれば、リテール取引の活性化と効率化が図れるようになります。また、金融機関に対する顧客の信頼と顧客個人の納得を前提としたうえで、金融機関と提携した事業者が個人データを利用できる仕組みを構築することも可能となります。これにより金融機関のデータオープン化が進み、情報銀行やオープンAPIへの取り組みが進展し、顧客利便性の高い金融サービスが実現できると考えられます。

―「PPC ビジネスサポートデスク」を開設

では、新技術を用いた新たなビジネスモデルを開始しようとする場合、個人情報保護法上、どのような形での個人情報の活用が可能であり、どこに留意すればよいのでしょうか。 個人情報の活用にセンシティブな反応を示すことの多い日本国民を相手にするビジネスでは、気になるところです。

そこで、個人情報保護委員会(PPC)は、事業者における個人情報の保護及び適正かつ効果的な活用についての啓発の一環として、4月1日から「PPC ビジネスサポートデスク」を開設しました。サポートデスクでは、個社が検討中の新ビジネスモデルでの、または、業界・複数事業者が共通に抱える中での、個⼈情報・匿名加⼯情報等の適正かつ効果的な活⽤に関する相談などを対象にしています。

「PPC ビジネスサポートデスク」に電話で相談内容を伝え、相談時間の予約を行ったうえ、対面相談を受けることができます。

PPC 個人情報保護委員会 https://www.ppc.go.jp/personalinfo/business_support/

※本内容の引用・転載を禁止します。

第1回:個人情報保護法の見直しと改正のポイント

2019年12月13日、個人情報保護委員会が「個⼈情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「改正大綱」)を公表しました。この改正大綱は、意見募集(パブリックコメント)手続が採られ、今年1月14日に締め切られています。提出された意見を受けて、最終的な個人情報保護法の改正法案が取りまとめられ、今年の通常国会に提出されました。

ジンテック通信では「個人情報保護法の見直しにより事業者にどのような影響があるのか」を、改正内容を踏まえて数回にわたり紹介していきます。

―なぜ、見直しが行われるのでしょう

個人情報保護法は、平成15(2003)年に制定され、平成27(2015)年に改正されました。改正個人情報保護法には附則が設けられ、改正法制定以降の社会・経済情勢の変化を踏まえ、政府に対し3年を目途として、法律の見直しを求めています(附則12条3項)。そこで、政府は昨年1月から個人情報保護法の見直しの検討を開始し、2019年12月13日に個人情報保護委員会が「制度改正大綱」を取りまとめ、公表しました。

その内容は、https://www.ppc.go.jp/files/pdf/seidokaiseitaiko.pdf にあります。

―附則とは法律ですか

ちなみに附則とは、法律の本則を定める部分とは別に、法令の施行期日や経過措置、関係法令の改廃等に関する事項など定めたものをいいます。附則は、本則とは法律で別に定められます。もちろん附則も法令の一種なので拘束力があり、政府は附則の規定に従って見直し作業を行っているのです。このように、見直しについての附則がある法律の例として貸金業法があります。

―見直しを行う観点は何か

今回は、5つの観点で見直しが実施されています。

第一点目は、情報を提供する個人の自らの情報の取扱いに対する関心や、関与への期待が高まっており、「個人の 権利利益を保護」するために必要十分な措置を整備することに配意しながら制度を見直す必要があるという点です。第二点目は、最近の個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度を目指すことが重要であるという点です。第三点目は、デジタル化された個人情報を用いる多様な利活用がグローバルに展開されており、国際的な制度調和や連携に配意しながら制度を見直す必要がある点です。第四点目は、海外事業者によるサービスの利用や国境を越えて個人情報を扱うビジネスの増大により、個人が直面するリスクも変化しており、これに対応する必要がある点です。最後に、AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、本人があらかじめ自身の個人情報の取扱いを網羅的に把握することが困難になりつつあり、事業者が個人情報を取り扱う際に本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくことが重要であるという点です。

―どんな見直しの内容になるのか

今回の改正大綱では、前記の5点を踏まえ、個人情報の取扱の基本ルールを見直すとともに、個人情報取扱事業者の責務の内容を見直しています。また、現在の個人情報保護の関連法律には、国の行政機関に関する「行政機関の保有する個人情報の保護に関する法律」や独立行政法人に対する「独立行政法人等の保有する個人情報の保護に関する法律」があり、地方公共団体には、個人情報保護法が適用されるほか、地方公共団体ごとに定められた「個人情報保護条例」(いわゆる「2000個問題」※注)があります。そこで、このような複雑な状態を解消し、個人情報に関する法律の一元化を行おうとしています。

※注:2000個問題  個人情報保護法の関連法律・条例が「民間事業者」+「国の行政機関」+「独立行政法人」 +「自治体(都道府県47、市区町村1750、広域連合等115)」で異なり、特に約1000ある地方自治体等で設けられている個人情報保護条例の条文のばらつきが大きいことを指しています。条例では、「個人情報」の定義が違うことに加え、「個人識別符号」「要配慮個人情報」「匿名加工情報」「非識別加工情報」の有無、学術研究利用の適用除外条項の有無などの違いがあり、安全管理の水準もばらつきが指摘されています。したがって、条文の解釈が各自治体によって異なり、データオープン政策や企業の情報の利活用にも大きな支障になりかねないといった問題が指摘されています。

―今回の改正のポイントは

改正大綱によれば、主に以下の点が大きなポイントでしょう。

➀情報主体の「保有個人データ」の利用停止・消去の請求、第三者提供の停止の請求に係る要件を緩和すること。

②本人の開示等の請求対象となる「保有個人データ」に6か月以内に消去される短期保存データを含めること。

③第三者への提供時・第三者からの受領時の記録を開示請求の対象とすること。また、開示方法を本人が指示できるようにすること。

④オプトアウト規定で第三者提供できる個人データの範囲を従来よりも限定すること。

⑤一定数以上の個人データ漏えい、要配慮個人情報の漏えい等につき、速やかに個人情報保護委員会へ報告することを義務付けること。

⑥「仮名化情報(仮称)」という概念を新しく導入すること。 このような見直しは、個人情報を取り扱うすべての事業者の現状の取扱方法の見直しにつながります。特に個人情報の利用に情報主体が大きく関与することになり、その取扱いを透明度の高いものにする必要があるといえます。

―今後の動き

改正個人情報保護法案は、3月10日に閣議決定され、国会に提出されました。本連載では、法案の内容にしたがって順次内容を紹介し、金融サービスにおける個人情報の取扱手続の見直しの必要性や金融サービスにおける個人データの利活用、オープンバンキング、情報銀行への取り組みにおける留意点などを継続していく予定です。

※本内容の引用・転載を禁止します。