第6回:利用停止等や第三者提供の停止の請求

今回の個人情報保護法の改正で、金融機関が最も留意すべきと思われるのが、今回のテーマです。従来から、個人情報保護法に基づき、企業の持つ顧客情報の開示請求をしたうえ、利用停止や消去などを求めることが可能でした。しかし、実際に利用停止等ができるのは、個人情報取扱事業者において個人情報の取り扱いに違反行為があった場合に限られていました。今回の改正により、個人が権利行使できる事由が大きく拡大されましたので、対応上の留意点や今後の取り組むべき課題について解説します。

―現行の利用停止等や第三者提供の停止の請求

現行の個人情報保護法では、保有個人データが法16条の規定に違反して取り扱われているとき、又は、17条の規定に違反して取得されたものであるときに、その保有個人データの利用の停止や消去(以下「利用停止等」という。)を請求することができるとされています(法30条1項)。つまり、個人は、個人情報取扱事業者が「特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱っている」(法16条1項違反)、「事業承継等に伴い、法令に規定する場合を除き、事前に同意を得ないで特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱っている」(法16条2項違反)、もしくは、「偽りその他不正の手段により個人情報を取得している」(法17条1項違反)、「同意を得ないで個人情報を収集した」(法17条2項違反)場合に、その個人情報取扱事業者の保有する個人データの利用停止等を請求できます。

また、保有個人データの第三者への提供を停止することは、法23条第1項又は第24条の規定に違反して第三者に提供されているとき、すなわち、本人の同意なく、保有個人データを第三者に提供している場合に限られていました。

したがって、これらの法令違反以外の理由、例えば「取引が終了したから、消去してほしい」と申し出ても、利用停止等の請求は認められませんでした。

―新たに、利用停止等の請求理由が拡大された

2020年改正法では、利用停止等の請求事由について、新設された法16条の2が追加され、「違法または不当な行為を助長し、又は誘発するおそれがある方法での利用の禁止」に対する違反が追加されました(改正法30条1項)。また、新たに利用停止等及び第三者提供の停止の共通の請求事由として、「保有個人データを利用する必要がなくなった場合」と「法22条の2第1項本文に規定する事態が生じた場合」、「その他本人の権利、又は正当な利益が害される恐れが生じた場合」が追加されました。(改正法30条5項)

つまり、個人情報取扱事業者が違反行為をしているとはいえなくても、「違法または不当な行為を助長し、又は誘発するおそれがある方法で利用している場合」にも、利用の停止と消去の請求ができるようになりました。また、個人情報取扱事業者が「利用する必要性が終了した」、「個人情報の漏洩、滅失、棄損、その他個人データの安全の確保に係る事態であって、個人情報保護委員会の定める個人の権利利益を侵害するおそれが大きい事態が生じた」、「その他本人の権利、又は正当な利益が害されるおそれが生じた」場合には、利用停止と消去、第三者提供の停止の請求ができることになりました。これらの事由追加により、利用停止や消去、第三者提供の停止の要請は、従来より格段に増加するものと考えられます。

なお、上記の請求が具体的にどのようなケースにおいて認められるのかは、今後個人情報保護委員会の定める個人情報ガイドラインや、金融分野、信用分野、債権管理回収業分野ごとに定めてある個人情報保護ガイドラインにおいて明記されることが期待されます。

―現時点での問題点

ところで、新たに認められた請求事由のうち、最も気になるのが、取引終了時の利用停止・削除請求です。金融機関は、取引を開始して以降、顧客に関する様々な情報を取引に付随して取得し、必要に応じて保有しています。個人の属性情報だけでなく、取引時確認で得た本人特定情報(画像情報含む)、審査時に用いた収入や資産等に関する情報、取引の開始により発生した取引事実と決済履歴、信用情報機関から得た情報などがあります。また、金融機関のAML/CFT対策に伴う送金先等を含むモニタリング情報なども含まれます。

これらの情報は、現在進行中の他の取引や将来の当該人との再取引、取引実績等に基づく今後の取引の勧誘や審査モデル等の情報として蓄積され、活用が予定されています。しかし、個人が金融機関との預金取引、ローンカード・クレジットカードの解約、保険契約の満了や解約などに伴い取引が終了したこと(以下「取引終了」という)を理由として、情報の利用停止や消去を要求すると、金融機関等の業務に多大な影響が生じます。金融機関は、各種業法や犯罪収益移転防止法等の規定や内部管理目的などで、取引継続中はもちろん、取引終了後であっても顧客との取引に付随する情報を記録し、一定期間保存しなければならないとされており、また、個人への適正与信や適合性原則に基づく取引の判断などにも望ましくない事態が生じかねません。したがって、取引終了に伴い、顧客から自己の情報の利用停止や情報を消去することの要請を受けても、「法令等に基づく本人確認等や金融商品やサービスの利用資格等の確認のため」「契約や法律等に基づく権利の行使や義務の履行のため」などの利用が継続できるものと考えられます。

また、取引終了に伴う第三者提供の停止の請求についても、多重債務防止や過剰貸付の目的で、外部信用情報機関に顧客との取引内容や返済状況などの情報項目の提供が一定期間継続されなければならないことが、信用情報機関との契約により求められています。

したがって、顧客の利用停止等の要請があっても、応じることができない利用目的が存在することなどを、「個人情報の保護に関する法律に基づく公表事項」において丁寧に説明しておく必要があります。

しかしながら、金融機関が独自に設定した利用目的、例えば、「市場調査やデータ分析等による金融商品やサービスの研究や開発のため」「ダイレクトメールの発送等、金融商品やサービスに関する各種ご提案やご案内のため」といった利用目的での利用は、取引終了に伴い、要請されれば、利用を停止する必要があると考えられます。

―必要な情報は、匿名加工情報を利用する

では、個人の取引終了に伴い、金融機関の保有する情報のうち、金融機関独自の目的で利用する特定の情報項目の削除請求が行われるときはどうすればよいのでしょうか。たとえば、ダイレクトメールの発送や電話勧誘等の利用を停止する請求があり、氏名や住所、電話番号などの情報の削除要請が考えられます。

この場合、他目的で氏名等の情報を利用することを考慮すると、削除請求に応じられないのは明らかです。そこで、情報の削除ではなく、利用目的に応じて、ダイレクトメールや電話勧誘用のデータを抽出するときに当該申し出顧客を抽出除外対象とするなどのシステム対応することが考えられます。このように、利用停止や消去の要請を受けることを考慮し、利用目的ごとに保有個人データの抽出制限を可能とするなど、代替措置を考える必要があります。

 なお、保有個人データを信用判定やスコア分析などのほか、各種リスクの把握および管理のために使う場合が考えられます。このような利用の停止や消去要請に対応しがたい情報の利用停止・消去等の請求に対して、今回の改正法で新設された「仮名加工情報」に加工して、内部での利用を検討することが考えられます。「仮名加工情報」については、開示請求の対象外であり、利用停止等の対応は不要です。また、公表済みの利用目的にかかわらず、利用目的の変更ができます。したがって、開示請求や利用停止等の請求になじまない顧客情報は、仮名加工情報に加工することで、「市場調査やデータ分析等による金融商品やサービスの研究や開発のため」だけでなく、新たな利用目的に変更して、取引終了後も利用を継続することが考えられます。

本内容の引用・転載を禁止します。