1.はじめに
本連載では、ここまでいくつかの書評記事を挟みながら、5回にわたって個人情報保護法ガイドラインの解説を行ってきた。今後は、本年5月30日の改正個人情報保護法施行に向け、個人情報保護法に関する様々な実務的テーマについての解説を行うとともに、さらに広く個人情報・プライバシーと関係する記事を発信していく。
その第1弾となる今回は、「金融分野における個人情報保護に関するガイドライン(案)」(以下「本ガイドライン」という。)の解説を行う。
まずは、本ガイドラインが設けられた背景・趣旨を押さえておこう。
金融機関においては、その社会的信用の高さや、取得・利用・管理する個人情報の中に重要性の高いものが少なくないこと、そしてこれらの情報が正確であって改竄、漏えい等がないことが金融という社会インフラの維持において重要であること等から、他の分野における個人情報取扱事業者よりもいっそう、個人情報の保護が重要となってくる。個人情報保護委員会による「個人情報の保護に関する基本方針」においても、金融分野においては医療や情報通信と並んで特に厳格な保護措置が必要とされている*1。
そこで、金融庁が所管する分野について個人情報保護のための格別の措置が講じられるために必要な措置(個人情報保護法〔以下「法」という〕6条参照)および当該分野の事業者の個人情報の適正な取扱いの確保に関して行う活動を支援するため(法8条参照)、本ガイドラインが設けられることになった(本ガイドライン1条1項)。
もちろん、これまで金融分野に関する指針が存在しなかったわけではなく、同名のガイドラインが存在していた。それが現行の「金融分野における個人情報保護に関するガイドライン」(平成21年11月20日金融庁告示第63号、最終改正:平成27年7月2日金融庁告示第66号〔以下「現行ガイドライン」という〕)であるが、これと本ガイドラインを比較すると、個人情報保護法ガイドライン総則編(以下「総則編」という。)と共通する部分を「以下の事項の他は通則ガイドラインの例による」として総則編に委ねているほかは、現行ガイドラインから実質的な改正がない部分も多い(本ガイドライン1条第2段も参照)。
その中で、比較的大きな実質改正といえる機微(センシティブ)情報(以下「機微情報」という)について詳説した上で、それ以外の改正点を概観したい。
2.機微情報(本ガイドライン5条)
(1)定義
まずは、類似する概念である要配慮個人情報との関係が整理された。要配慮個人情報(法2条3項)は、「諸外国で機微情報(……)または特別範疇データ(……)と呼ばれているものに該当する」*2といわれているところ、要配慮個人情報については法において最低限の規律を定め、個別のガイドライン等で特別の措置を講じることとされていた*3。そこで金融分野においては、現行ガイドラインが「機微情報」として、すでに要配慮個人情報の大部分をカバーしており、また、その「機微情報」には要配慮個人情報ではない情報も含まれている。つまり、改正個人情報保護法の要配慮個人情報制度と似ているが異なった機微情報制度を設けている現行ガイドラインは、個人情報保護法改正に伴い、要配慮個人情報との関係を整理するための改正が必要とされたのである。
そこで、本ガイドラインにおいては、機微情報を「要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要配慮個人情報に該当するものを除く)に関する情報」と定義し(本ガイドライン5条1項)、①要配慮個人情報はすべて機微情報にあたることを明示した上で、②現行ガイドラインで列挙されている情報のうち要配慮個人情報にすでに包含されるものを削除し、包含されないもののみを本ガイドライン上に列挙する形式とした。
本ガイドラインと現行ガイドラインの機微情報の規定ぶりを対比すると、以下のようになる。
新「機微情報」 (本ガイドライン5条) |
旧「機微情報」 (現行ガイドライン6条) |
|
要配慮個人情報 |
人種 |
人種および民族 |
信条 |
政治的見解、信教(宗教、思想および信条をいう) |
|
社会的身分 |
― |
|
病歴 |
(保健医療) |
|
犯罪の経歴 |
犯罪歴 |
|
犯罪により害を被った事実 |
― |
|
心身の障害 |
(保健医療) |
|
健康診断等の結果 |
(保健医療) |
|
指導・診療・調剤 |
(保健医療) |
|
刑事手続 |
(犯罪歴) |
|
少年保護手続 |
(犯罪歴) |
|
労働組合への加盟 |
労働組合への加盟 |
|
門地 |
門地 |
|
本籍地 |
本籍地 |
|
保健医療(要配慮個人情報に該当するものを除く) |
保健医療 |
|
性生活 |
性生活 |
なお、本ガイドライン5条1項括弧書きの定義からの除外については、後述(3)で検討する。
(2)規制
これらの機微情報に対しては、現行ガイドラインと同様に取得・利用および第三者提供に関する規制がかかっている。すなわち、後述の例外事由に該当する場合を除いては、「取得、利用又は第三者提供を行わないこととする」(本ガイドライン5条1項柱書)とされているのである。
要配慮個人情報については、個人情報の取得について原則として本人同意を要求する規制がなされるほか(法17条2項)、第三者提供においてオプトアウト、つまり、本人の事前の同意なく第三者提供を行い、事後的に本人が第三者提供中止を求めた場合にはじめて中止するという手法が利用できない(法23条2項)とされている。これに対し、機微情報については、「取得、利用又は第三者提供」のすべてが規制されていること、および当該規制の対象は個人データである機微情報に限らず、機微情報すべて(いわゆる散在情報を含む)が規制の対象であることなど、規制範囲が広範であることに留意が必要である。
(3)例外
このように、要配慮個人情報についても、機微情報についても、金融機関の行為が制約されているわけであるが、もちろん、金融機関が一切要配慮個人情報/機微情報を取得・利用・提供できないというわけにはいかない。
たとえば、いわゆるマル優(少額貯蓄非課税制度)の対象者である障害者が、銀行等に非課税貯蓄申込書等を提出してマル優の利用を求める場合に、銀行は身体障害者手帳等の提出を求め、本人が本当にマル優(少額貯蓄非課税制度)の対象者である障害者であるかを確認する必要がある。銀行が「心身の機能の障害があること」(個人情報保護法施行令〔以下「令」という〕2条1号*4、個人情報保護委員会規則〔以下「施行規則」という)〕5条)という要配慮個人情報(同時に機微情報でもある)を一切取得することができないとすると、その手続に支障をきたすだろう。そこで、法における要配慮個人情報制度と同様に、機微情報制度においても一定の例外事由が定められている。
ア 機微情報規制と要配慮個人情報の取得規制における例外事由の比較
ここで興味深いのは、本ガイドラインが定める機微情報規制(取得・利用・第三者提供規制)の例外事由と法が定める要配慮個人情報規制(取得規制)の例外事由が異なっていることである。
機微情報 (本ガイドライン5条1項各号) |
要配慮個人情報 (法17条2項各号) |
法令等に基づく場合 (本ガイドライン5条1項1号) |
法令に基づく場合 (法17条2項1号) |
人の生命、身体または財産の保護のために必要がある場合 (本ガイドライン5条1項2号) |
人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき (法17条2項2号) |
公衆衛生の向上または児童の健全な育成の推進のため特に必要がある場合 (本ガイドライン5条1項3号) |
公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき (法17条2項3号) |
国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合 (本ガイドライン5条1項4号) |
国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき (法17条2項4号) |
源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体もしくは労働組合への所属もしくは加盟に関する従業員等の機微(センシティブ)情報を取得、利用または第三者提供する場合 (本ガイドライン5条1項5号) |
|
相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用または第三者提供する場合 (本ガイドライン5条1項6号) |
|
保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用または第三者提供する場合 (本ガイドライン5条1項7号) |
|
機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合 (本ガイドライン5条1項8号) |
|
本人、国の機関、地方公共団体、法第 76 条第1項各号もしくは施行規則第6条各号に掲げる者により公開されているもの (本ガイドライン5条1項柱書括弧書) |
当該要配慮個人情報が、本人、国の機関、地方公共団体、法76条1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合 (法17条2項5号) |
本人を目視し、もしくは撮影することにより取得するその外形上明らかなもの (本ガイドライン5条1項柱書括弧書) |
本人を目視し、または撮影することにより、その外形上明らかな要配慮個人情報 を取得する場合 (法17条2項6号、令7条1号) |
|
法23条第5項各号に掲げる場合において、個人データである要配慮個人情報 の提供を受けるとき (法17条2項6号、令7条2号) |
なお、法23条2項の規制(オプトアウトの禁止)については、例外が定められていない。
イ 本人同意の位置づけ
まず、重要なのは、本ガイドラインによれば本人同意は必ずしも機微情報の取得・利用・第三者提供を正当化しないということである。
すなわち、従来より機微情報は、本人同意さえあれば自由に取得・利用・第三者提供できるのではなく、「保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用又は第三者提供する場合」(本ガイドライン5条1項7号)というように、同意プラスα(上記の例でいえば、「保険業その他金融分野の事業の適切な業務運営を確保する必要性」)があってはじめて取得・利用・第三者提供できるとされてきたのである。これは、本人同意さえあればよいとする法17条2項の要配慮個人情報の取得規制よりも重いといえる。
そしてだからこそ――法17条2項2〜4号および本ガイドライン5条1項2号から4号を比べるとわかるとおり――法17条2項において「本人の同意を得ることが困難であるとき」との要件が求められているのである。すなわち、法17条2項では本人の同意を得さえすればよいからこそ、本人同意を不要とすべき例外事由としては単に人の生命、身体または財産の保護のために必要がある場合だけでは足りず、本人同意の困難性を要求するのである。
ところが、本ガイドラインにおいては、そもそも上記のとおり単なる本人同意のみでは取得・利用・第三者提供が正当化されないので、本人同意の困難性が要件とされていない。機微情報と要配慮個人情報とでこのような違いがあることに注意が必要である。
ウ 一定の公開情報・外形上明らかな情報の位置づけ
さらに、法17条2項5号・規則6条や法17条2項6号・令7条1号の例外に該当する場合は、本ガイドライン5条1項柱書括弧書きで定義から除外されていることにも留意が必要である。すなわち「本人、国の機関、地方公共団体、法第76条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの、又は、本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く」とされており、このような情報はそもそも機微情報にあたらないとされているのである*5。
エ 委託、合併、共同利用の場合
要配慮個人情報については、「法第23条第5項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。(法17条2項6号、政令7条2号)」には取得規制は適用されない。すなわち、委託、合併、共同利用に該当し、法23条5項により本人の同意なく行うことのできる提供行為による場合、当該提供行為による取得について要配慮個人情報の取得規制は適用されない。
では、機微情報についてはどうか。機微情報を委託、合併、共同利用により第三者に提供する場合に、①そのような提供を行う場合、②そのような提供の相手方として機微情報を取得する場合、③そのような提供により取得した機微情報を利用する場合について、機微情報に関する規制が適用されるか否かは、機微情報制度に関する本ガイドライン5条からは明らかではない。
①については、そもそも委託、合併、共同利用の場合は提供を受ける者が第三者に該当しないとされている(法23条5項各号)から、「第三者提供」には該当しないと考えてよく、機微情報についても同様の解釈になると考えられる*6。
これに対し、②③については、過去のQ&Aにおいて「個人情報の保護に関する法律第23条第4項各号のいずれかに該当する場合には『第三者提供』に該当しないため、提供すること自体は本ガイドライン第6条〔注:改正案では5条〕には抵触しませんが、例えば特定共同利用により得た機微情報を当該事業者が『利用』する場合には、本ガイドライン第6条〔注:改正案では5条〕が適用されます」*7としたものがあり、これが維持されるのであれば、②についても③についても、本ガイドラインによる規制の適用があると考えられる。②については、第三者提供の規制が適用されない以上、提供を受ける者による取得にも規制は適用されないとの解釈がありうるが、上記のとおり、法17条2項6号、令7条2号が、明文で、法23条5項により提供が行われる場合の提供を受ける者による取得を例外として定めたことを考えると、明文の定めのない本ガイドラインにおいては取得規制が適用されると解釈される法的リスクが発生する。
オ 機微情報制度独自の例外
本ガイドライン独自の機微情報に関する例外としては、2種類に分けられる。
まずは本人同意を前提としない例外であり、源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体もしくは労働組合への所属もしくは加盟に関する従業員等の機微(センシティブ)情報を取得、利用または第三者提供する場合(本ガイドライン5条1項5号)*8および相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用または第三者提供する場合(本ガイドライン5条1項6号)である。
次が、本人同意を前提とした例外であり、保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用または第三者提供する場合(本ガイドライン5条1項7号)および機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合(本ガイドライン5条1項8号)が挙げられる。これはまさに上記の「本人同意プラスα」が求められている場合といえる*9。
3.その他の改正点
認定個人情報保護団体の義務について、法53条4項は「認定個人情報保護団体は、前項の規定により個人情報保護指針が公表されたときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとらなければならない」と規定し、個人情報保護指針を遵守させるための措置をとることを義務として規定している。旧法43条2項は努力義務(「とるよう努めなければならない」)としていたことから、これは重要な変化といえる。
金融分野においては、多くの事業者が全国銀行個人情報保護協議会等、各業種ごとの認定個人情報保護団体に加盟していることから、金融分野においても一定の影響があると思われる。本ガイドライン1条4項でも「特に、認定個人情報保護団体においては、法改正により、認定個人情報保護団体が対象事業者に対し個人情報保護指針を遵守させるために必要な措置をとらなければならないこととされたことを踏まえることも重要である」と、この点が明記された。
本ガイドライン8条および個人情報保護指針は安全管理措置について規定しているところ、現行ガイドラインと比べ、その内容にほとんど変更はない。そこで、いわゆる中小規模事業者に対する特例は金融分野については適用されないものと理解される。
その他、外国第三者提供や第三者提供時の確認・記録、そして匿名加工情報については、本ガイドラインにおいて言及はない。そこで、一般のガイドラインに委ねられると理解される(本ガイドライン1条1項参照)。
4.まとめ
金融機関は従来から通常の個人情報取扱事業者と異なる特別な規制が適用されてきたが、改正法施行後も、本ガイドライン等による特別な規制に注意が必要である。特に、機微情報については従来よりもその範囲が広がり(要配慮個人情報がすべて機微情報に含まれるようになり)、また、規制内容が通常の個人情報取扱事業者に対する要配慮個人情報の規制よりも上乗せされている部分があること等に留意が必要だろう。今後も、パブリックコメント結果等、金融機関に関する個人情報保護についての最新情報を提供していきたい。
なお、次回は個人情報の漏えいという事態が生じた場合について、最新のガイドライン案を解説していく。ご期待頂きたい。
*1:ただし、「個人情報の保護に関する基本方針」は平成28年10月28日付で変更されており、変更後の基本方針は改正個人情報保護法が全面施行される平成29年5月30日から施行される。
*2:宇賀克也『個人情報保護法の逐条解説〔第5版〕』(有斐閣・2016)44〜45頁。
*3:宇賀・前掲注(2)45頁。
*4:身体障害、知的障害、精神障害(発達障害を含む)その他の個人情報保護委員会規則で定める心身の機能の障害があること。
*5:なお、難しい問題としては、「公知の情報については、機微情報に当たらない」(平成16年12月28日「金融分野における個人情報保護に関するガイドライン」(案)に対する意見募集の結果についてQ&A143)といった、機微情報に関する過去のQ&Aの回答が現在も維持されているか否かという点がある。すなわち、本ガイドラインでは、公開情報全般ではなく、公開主体を限定して公開情報を機微情報から除外しているのに対し、過去のQ&Aを前提とすると、公開主体を問わず公開情報全般が機微情報から除外されることになる。この点についてはパブコメ回答を待つしかないだろう。
*6:平成16年12月28日「金融分野における個人情報保護に関するガイドライン」(案)に対する意見募集の結果についてQ&A170参照。
*7:平成16年12月28日「金融分野における個人情報保護に関するガイドライン」(案)に対する意見募集の結果についてQ&A149参照。
*8:平成16年12月28日「金融分野における個人情報保護に関するガイドライン」(案)に対する意見募集の結果についてQ&A132「第5号については、源泉徴収事務以外にも、団体信託等、団体に関する事務として請け負った事務の遂行上、機微情報を取得等する場合も該当するものと考えられます。」参照。
*9:なお、機微情報の管理には本ガイドライン別添2において上乗せされた規制がされているところ、本ガイドライン7−1−1−1、7−1−2−1、7−1−3−1、7−1−5−1で機微情報に該当する生体認証情報の保護についての上乗せ規制がされている。