|
損害保険会社に係る個人情報保護指針 2006年12月1日 有限責任中間法人 外国損害保険協会
損害保険会社に係る個人情報保護指針について 損害保険会社に係る個人情報保護指針 第1条(目的) 第2条(個人情報保護宣言の策定・公表) 第3条(利用目的) 第4条(個人情報の取得等) 第5条(第三者提供) 第6条(センシティブ情報の特例) 第7条(安全管理措置) 第8条(損害保険代理店に対する指導・監督) 第9条(本人からの求めに応じる手続) 第10条(苦情処理) 第11条(本協会の役割)
損害保険会社に係る個人情報保護指針について 1.「損害保険会社に係る個人情報保護指針」の目的 「損害保険会社に係る個人情報保護指針」(以下「個人情報保護指針」という。)は、「個人情報の保護に関する法律」(以下「保護法」という。)の規定の趣旨に沿って、損害保険会社がその事業の遂行に際して個人情報を取り扱う際に開示すべき利用目的、講ずべき安全管理のための措置その他の事項につき、具体的な基準を定めることにより、損害保険会社の個人情報の適正な取り扱いを確保することを目的とするものである。
2.「個人情報保護指針」の内容 「個人情報保護指針」の基礎とするところは、いうまでもなく「保護法」であるが、「個人情報保護指針」では、金融庁による「金融分野における個人情報保護に関するガイドライン(2004年12月6日告示)」(以下「金融庁ガイドライン」という。)を踏まえて制定した。これら法令等について、できるだけ具体的措置などの内容を示すことでより正しい理解が得られるように、「個人情報保護指針」の各条文についての「参考事項等」を条文の後に別途独立して記載している。 さらに、「個人情報保護指針」で定める損害保険会社における安全管理措置の具体的内容については、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針(2005年1月6日告示)」(以下「金融庁実務指針」という。)の公表を受け、安全管理措置の重要性に照らし、この「個人情報保護指針」においても、「損害保険会社における個人情報保護に関する安全管理措置等についての実務指針」(以下「損保安全管理実務指針」という。)として別途定めることとした。 また、有限責任中間法人外国損害保険協会(以下「本協会」という。)が「保護法」で定める認定個人情報保護団体となり、「保護法」第 43 条に基づき認定個人情報保護団体である本協会が作成し、公表する「個人情報保護指針」として位置付けることとし、本協会が当該認定を受けた日より施行するものとする。
3.「個人情報保護指針」の遵守と見直しの必要性等 保険制度の健全な発展と消費者サービスの一層の向上を図るために、損害保険会社においても、個人情報の保護については従来にも増して積極的に対応していくことが求められている。損害保険会社においては、この「個人情報保護指針」の内容を遵守し、その実効性を確保するために、社内体制の整備等を行うことが求められている。 なお、「保護法」の全面施行に伴い、今後とも、国内外における個人情報保護の意識の高揚、個人情報の利用の多様化とこれに伴う保護の必要性、「保護法」等関係法令の見直し等の動向、損害保険業界を取り巻く社会・環境の変化等を踏まえて、損害保険会社における個人情報の保護が着実に図られるよう、この「個人情報保護指針」を必要に応じて見直すものとする。 損害保険会社に係る個人情報保護指針
第1条(目的) この指針は、「個人情報の保護に関する法律」(以下「保護法」という。)の規定の趣旨に沿って、損害保険会社がその事業の遂行に際して個人情報を取り扱う際に開示すべき利用目的、講ずべき安全管理のための措置その他の事項につき、具体的な基準を定めることにより、損害保険会社の個人情報の適正な取り扱いを確保することを目的とする。 2.この指針は、本協会に加盟する損害保険会社並びに保護法第41条第1項の同意を行う損害保険会社及び損害保険業に関する団体(以下「損害保険会社等」という。)がその事業の遂行に際して個人情報を取り扱う場合(雇用管理などの内部事務に伴い個人情報を取り扱う場合を除く。)につき適用する。 3.この指針において使用する用語は、別に定義する場合を除き、保護法において使用する用語の例による。
第2条(個人情報保護宣言の策定・公表) 損害保険会社等は、保護法その他の関連法令等及びこの指針を踏まえ、自社の個人情報保護に関する考え方や方針に関する宣言(個人情報保護宣言)を策定し、公表するものとする。 2.損害保険会社等は、その公表する個人情報保護宣言を実効性あるものとすべく、社内体制の整備等に努めるものとする。
第3条(利用目的) 損害保険会社等は、利用目的を定めるときは、自社が個人情報を利用する範囲を本人が合理的に予想できる程度に特定するものとする。 2.損害保険会社等は、利用目的を公表するとともに、損害保険業の遂行に際して取得する個人情報の利用目的を明示するときは、保険契約申込書その他の書面に記載するものとする。 3.損害保険会社等は、利用目的を変更するときは、保護法第15条第2項に掲げる要件を満たすとともに、変更後の利用目的を公表するものとする。 4.損害保険会社等は、利用目的の達成に必要な範囲を超えて個人情報を取り扱わないものとする。やむを得ずかかる取り扱いを行うときは、保護法第16条第3項各号に掲げる場合を除き、あらかじめ本人の同意(原則として書面による。)を得るものとする。
第4条(個人情報の取得等) 損害保険会社等は、業務上必要な範囲内で、かつ、適法で公正な手段により個人情報を取得するものとする。 2.損害保険会社等は、個人情報を本人以外の者から取得するときは、本人の利益を不当に侵害しないようにするものとする。 3.損害保険会社等は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めるものとする。
第5条(第三者提供) 損害保険会社等は、個人データを第三者に提供するときは、保護法第23条第1項各号及び第2項に掲げる場合を除き、次に掲げる事項を示した上で、本人の同意(原則として書面による。)を得るものとする。 (1)個人データを提供する第三者 (2)提供を受けた第三者における利用目的 (3)第三者に提供される情報の内容 2.損害保険会社等は、保険契約の締結又は保険金の請求に際して行われる不正行為を排除するために損害保険会社等の間において契約等情報の登録又は交換を行うときは、保護法第23条第4項第3号に規定する事項を公表するものとし、かつ、本人の同意(原則として書面による。)を得るよう努めるものとする。 3.損害保険会社等は、グループ会社又は特定の会社との間で個人データを共同して利用するときは、保護法第23条第4項第3号に規定する事項を公表するものとする。
第6条(センシティブ情報の特例) 損害保険会社等は、金融庁ガイドライン第6条に基づき、保健医療などのセンシティブ情報を、次に掲げる場合を除くほか、取得、利用、又は第三者提供をしないこととする。 (1)保険業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で取得、利用、又は第三者提供する場合 (2)相続手続を伴う保険金支払事務等の遂行に必要な限りにおいて、取得、利用又は第三者提供する場合 (3)保険料収納事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の情報を取得、利用又は第三者提供する場合 (4)前各号のほか、金融庁ガイドライン第6条第1項各号に掲げる場合 2.損害保険会社等は、前項第1号に該当する場合において、本人以外の者からセンシティブ情報を取得するにあたっては、当該本人以外の者が保護法第23条に定める要件を満たしていることを確認するか、本人から同意を得るものとする。
第7条(安全管理措置) 損害保険会社等は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、個人データの取得・利用・保管等の各段階に応じた「組織的安全管理措置」、「人的安全管理措置」及び「技術的安全管理措置」を含む、必要かつ適切な措置を講じなければならない。 2.本条における「組織的安全管理措置」とは、個人データの安全管理措置について従業者の責任と権限を明確に定め、安全管理に係る基本方針・取扱規程等を整備・運用し、その実施状況の点検・監査を行うこと等の、個人情報取扱事業者の実施体制整備及び実施措置をいう。 3.本条における「人的安全管理措置」とは、従業者との個人データの非開示契約等の締結及び従業者に対する教育・訓練等を実施し、個人データの安全管理が図られるよう従業者を監督することをいう。 4.本条における「技術的安全管理措置」とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、情報システムの監視等、個人データの安全管理に関する技術的な措置をいう。 5.損害保険会社等は、個人データの安全管理に係る基本方針・取扱規程等の整備として、以下の「組織的安全管理措置」を講じなければならない。 (組織的安全管理措置) (1)規程等の整備 @個人データの安全管理に係る基本方針の整備 A個人データの安全管理に係る取扱規程の整備 B個人データの取扱状況の点検・監査に係る規程の整備 C外部委託に係る規程の整備 (2)各管理段階における安全管理に係る取扱規程 @取得・入力段階における取扱規程 A利用・加工段階における取扱規程 B保管・保存段階における取扱規程 C移送・通信段階における取扱規程 D消去・廃棄段階における取扱規程 E漏えい事案等への対応の段階における取扱規程 6.損害保険会社等は、個人データの安全管理に係る実施体制の整備として、以下の「組織的安全管理措置」、「人的安全管理措置」、及び「技術的安全管理措置」を講じなければならない。 (組織的安全管理措置) @個人データの管理責任者等の設置 A就業規則等における安全管理措置の整備 B個人データの安全管理に係る取扱規程に従った運用 C個人データの取扱状況を確認できる手段の整備 D個人データの取扱状況の点検・監査体制の整備と実施 E漏えい事案等に対応する体制の整備 (人的安全管理措置) @従業者との個人データの非開示契約等の締結 A従業者の役割・責任の明確化 B従業者への安全管理措置の周知徹底、教育及び訓練 C従業者による個人データの管理手続きの遵守状況の確認 (技術的安全管理措置) @個人データの利用者の識別及び認証 A個人データの管理区分の設定及びアクセス制御 B個人データへのアクセス権限の管理 C個人データの漏えい・き損等防止策 D個人データへのアクセスの記録及び分析 E個人データを取り扱う情報システムの稼働状況の記録及び分析 F個人データを取り扱う情報システムの監視及び監査 7.損害保険会社等は、個人データの取り扱いの全部又は一部を委託するときは、委託先の選定の基準を定め、あらかじめ委託先の情報管理体制を確認し、委託後の業務遂行状況を監視し、事故発生時の責任関係を明確にするなど、委託先に対する必要かつ適切な監督を行わなければならない。 8.損害保険会社等は、その事業の遂行に際して取り扱う個人データの漏えい事案等の事故が生じたときは、本人への通知及び当局への報告を行うとともに、二次被害の防止、類似事案の発生回避等の観点から、事実関係等を公表しなければならない。
第8条(損害保険代理店に対する指導・監督) 損害保険会社は、その損害保険業に係る個人情報を損害保険代理店が取得し、又は利用する際にこの指針に準じた取り扱いがなされるよう、当該代理店に対して安全管理の確保を含む必要かつ適切な監督を行うものとする。 2.損害保険会社は、損害保険代理店がその利用目的を通知、公表又は明示するときは、損害保険会社の利用目的との誤認が生じないよう、当該代理店に対して必要かつ適切な監督を行わなければならない。
第9条(本人からの求めに応じる手続) 損害保険会社等は、保護法第24条第1項各号に掲げる事項を公表するものとする。 2.損害保険会社等は、保険契約者等から自らの保険契約の内容又は保険事故の処理状況等に係る照会を受けたときは、保護法第25条に定める手続によることを要しない。ただし、当該保険契約者等が同条第1項の規定によることを明示するときは、この限りでない。 3.損害保険会社等は、本人から保護法第24条第2項、第25条第1項、第26条第1項又は第27条第1項若しくは第2項の規定による求めを受けたときは、各条項に定める適用除外要件に該当する場合を除き、各条項に沿った適切な対応を行うものとする。 4.損害保険会社等は、保護法第28条の通知をするときは、本人に対して、判断の根拠及び根拠となる事実を示すなど、その理由の説明を付すものとする。
第10条(苦情処理) 損害保険会社等は、個人情報の取り扱いに関する苦情を適切かつ迅速に処理するものとする。 2.損害保険会社等は、前項の目的を達成するため、前条第1項の規定により苦情の申出先を公表するほか、苦情処理手順を策定するなど必要な社内体制を整備するものとする。
第11条(本協会の役割) 本協会は、保護法第37条第1項の認定を受けて、同項各号の業務を行うものとする。 2.本協会は、損害保険会社等がこの指針を遵守していないと認めるときは、当該損害保険会社等に対して必要な指導又は勧告を行うものとする。 3.本協会は、社会情勢や国民意識の変化、損害保険業を巡る環境の変化等に応じて、この指針を見直すものとする。
参考事項等 「損害保険会社に係る個人情報保護指針」の各条について、理解を深めるために参考となる事項等を記載しています。
「第1条(目的)」関連 <参考事項> 1.指針が定める「具体的な基準」 この指針は、政府の「個人情報の保護に関する基本方針」(2004 年4月2日閣議決定。以下「政府方針」という。)が「各省庁においては、事業者団体等に対し情報の提供、助言等の支援をするとともに、事業者団体等の求めに応じて相談に応じることにより、認定個人情報保護団体の認定を促進するものとする。」としていることを踏まえ、本協会が認定個人情報保護団体となり、保護法第43条第1項に規定する個人情報保護指針として作成するものである。 2.指針が適用される対象事業者(損害保険会社等) この指針が適用される対象事業者は、本協会加盟の損害保険会社とする。なお、非加盟の損害保険会社等は、本協会が認定個人情報保護団体として行う業務の対象となることに同意するときは、対象事業者となることができる(保護法第41条第1項)。 3.指針が適用される事業の範囲(その事業の遂行に際して) 損害保険会社は、損害保険業のほかに付随業務(保険業法第98条)や法定他業(保険業法第99条)を営んでいる。この指針は、特に定めがない限り、損害保険会社が営む全ての業務(雇用管理などの内部事務を除く。)に適用される。なお、雇用管理などの内部事務については、各社が厚生労働省「雇用管理に関する個人情報の適正な取扱を確保するために事業者が講ずべき措置に関する指針」等を踏まえて個別に対応するものとする。
<参考条文> ◆保護法第44条(個人情報保護指針) 1.認定個人情報保護団体は、対象事業者の個人情報の適正な取扱いの確保のために、利用目的の特定、安全管理のための措置、本人の求めに応じる手続その他の事項に関し、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成し、公表するよう努めなければならない。 2.認定個人情報保護団体は、前項の規定により個人情報保護指針を公表したときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとるよう努めなければならない。 ◆保護法第41条(対象事業者) 1.認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者又は認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者としなければならない。 2.認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。 ◆金融庁ガイドライン第1条(目的) 1.このガイドラインは、「個人情報の保護に関する法律」(以下「法」という。)、「個人情報の保護に関する法律施行令」(以下「施行令」という。)及び「個人情報の保護に関する基本方針」(以下「基本方針」という。)を踏まえ、金融庁が所管する分野及び法第36条第1項により指定を受けた分野(以下「金融分野」という。)における個人情報取扱事業者が個人情報の適正な取扱いの確保に関して行う活動を支援するため、金融分野における個人情報の性質及び利用方法にかんがみ、事業者が講ずべき措置の適切かつ有効な実施を図るための指針として定めるものである。 2.金融分野における各認定個人情報保護団体、個人情報取扱事業者等においては、本ガイドライン等を踏まえ、各事業の実態等に応じて個人情報の適正な取扱いを確保するためのさらなる措置を自主的なルールとして定め、対象とする事業者等に遵守させること、及び自らが遵守することが重要である。なお、金融分野における個人情報取扱事業者は、個人情報の漏えい、不正流出等を防止等するため、個人情報の適正な管理に関し関係法令等を踏まえて対応する必要がある。 3.金融分野において個人情報データベース等を事業の用に供している者のうち、法第2 条第3項第5号の規定により「個人情報取扱事業者」から除かれる者においても、本ガイドラインの遵守に努めるものとする。 (注)この他、本ガイドラインにおいて、金融分野の個人情報の性質及び利用方法に基づき、個人情報の取扱いに関して、金融分野の個人情報取扱事業者等が特に厳格な措置が求められる事項(努力措置)を「こととする」「適切である」「望ましい」の表現により規定している。 ◆金融庁ガイドライン第2条(定義等) 1.「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。また、個人情報取扱事業者が取扱う「死者に関する情報」は、同時に、遺族等の生存する個人に関する情報となることがあることに留意する。 2.「個人情報データベース等」とは、個人情報を含む情報の集合物であって、特定の個人情報をコンピューターを用いて検索できるように体系的に構成したもの、又はコンピューターを用いていない場合であっても、五十音順に索引を付して並べられた顧客カード等、個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるよう体系的に構成したものであって、目次、索引、符号等により一般的に容易に検索可能な状態に置かれているものをいう。 3.施行令第2条に定める「個人情報の数」については、「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数」で判断されることとされており、他者が管理している個人情報データベース等であっても、それを事業の用に供する場合には、当該個人情報データベース等を構成する特定の個人の数を「個人の数」に算入することとなる。 4.「個人データ」とは、個人情報データベース等を構成する個人情報をいう。なお、個人情報データベース等から記録媒体へダウンロードされたもの及び紙面に出力されたもの(又はそのコピー)も含まれる。 5.「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止のすべてに応じることのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるもの、又は6ヶ月以内に消去(更新することは除く。)することとなるもの以外のものをいう。「存否が明らかになることにより公益その他の利益が害されるもの」とは、次の各号のいずれかに該当するものをいう。 @存否が明らかになることで、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの A存否が明らかになることで、違法又は不当な行為を助長し、又は誘発するおそれがあるもの (例)いわゆる総会屋等による不当要求被害を防止するため、個人情報取扱事業者が当該団体等の個人データを保有している場合 B存否が明らかになることで、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの C存否が明らかになることで、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの (例)警察からの捜査関係事項照会の受理、回答の過程で容疑者等の個人データを保有している場合 6.「個人信用情報機関」とは、個人の返済能力に関する情報の収集及び与信事業を行う個人情報取扱事業者に対する当該情報の提供を業とするものをいう。 7.前各項に定めるほか、本ガイドラインにおける用語は、他に特段の定めのない限り、法及び施行令の定義に従う。
「第2条(個人情報保護宣言の策定・公表)」関連 <参考事項> 1.個人情報保護宣言 政府方針が「いわゆるプライバシー・ポリシーの策定、公表により、個人情報を目的外に利用しないことや苦情処理に適切に取り組むこと等を宣言するとともに、事業者が関係法令等を遵守し、利用目的の通知・公表、開示等の個人情報の取り扱いに関する諸手続について、あらかじめ、対外的に分かりやすく説明することが、事業活動に対する社会の信頼を確保するために重要である」としていることを踏まえ、この指針が適用されるすべての損害保険会社等が個人情報保護宣言を策定するとともに、ホームページへの掲載などの適切な方法により公表することとする。 2.個人情報保護宣言の記載事項 損害保険会社等が策定すべき個人情報保護宣言には、次のような項目を規定するものとする。 (1)自社の個人情報保護に関する考え方 例:個人情報保護の重要性に鑑み、損害保険業に対する社会の信頼をより向上させるため、個人情報の保護に関する法律その他の関連法令等を遵守し、個人情報の適正な取り扱いを確保する。 (2)自社の個人情報保護に関する取組方針 @利用目的、同意を得て行う第三者提供及び共同利用の概要 A個人データに係る安全管理措置の概要 B保有個人データに関する事項 C開示等の求めに応じる手続 D問い合わせ及び苦情の受付窓口 E取組方針及び取組内容の継続的改善の宣言 3.社内体制の整備等 政府方針が「事業運営において個人情報の保護を適切に位置づける観点から、外部からの不正アクセスの防御対策のほか、個人情報保護管理者の設置、内部関係者のアクセス管理や持ち出し防止策等、個人情報の安全管理について、事業者の内部における責任体制を確保するための仕組みを整備することが重要である。」としていることを踏まえ、すべての損害保険会社等は、社内体制の整備等に努めることとする。 損害保険会社等が個人情報保護の確保・推進のために講ずべき措置として、例えば次のようなものがある。 (1)社内責任体制の整備 例:全社的な取組方針・推進体制を企画・立案・実施・検証する部署又は組織(個人情報保護委員会など)の設置 例:個人情報保護管理者の設置 (2)社内規程等の整備 例:個人情報の取扱要領等を定める社内規程・マニュアル類の整備 (3)安全管理措置の整備(指針第7条参照)
<参考条文> ◆金融庁ガイドライン第23条(個人情報保護宣言の策定) 金融分野における個人情報取扱事業者は、個人情報に対する取組み方針を、あらかじめ分かりやすく説明することの重要性にかんがみ、事業者の個人情報保護に関する考え方及び方針に関する宣言(いわゆるプライバシーポリシー、プライバシーステートメント等。以下、「個人情報保護宣言」という。)を策定し、例えば、以下の内容をインターネットのホームページへの掲載、又は事務所の窓口等での掲示・備付けにより、公表することとする。 @関係法令等の遵守、個人情報を目的外に利用しないこと及び苦情処理に適切に取組むこと等、個人情報保護への取組み方針の宣言 A法第18条における個人情報の利用目的の通知・公表等の手続についての分かりやすい説明 B法第24条における開示等の手続等、個人情報の取扱いに関する諸手続についての分かりやすい説明 C個人情報の取扱いに関する質問及び苦情処理の窓口
「第3条(利用目的)」関連 <参考事項> 1.利用目的の特定 損害保険業の遂行に際して取得する個人情報の利用目的は、各社が次のような要素を勘案して特定するものとする。 (1)保険契約申込時に取得する個人情報の利用目的 @申込に係る保険契約の引受の審査 A保険契約の履行及び付帯サービスの提供 B自社が取り扱う当該契約以外の商品・サービス等の案内・提供(グループ会社・提携会社等が提供するものを含む)(注) 例:当社が取り扱う損害保険、生命保険、投資信託、401k 例:グループ(提携)会社である○○会社が取り扱う△△商品(サービス) (2)保険金請求時に取得する個人情報の利用目的 @請求に係る保険事故の調査(関係先への照会等を含む) A請求に係る保険金の支払 (注)提供する商品・サービスは、提供される商品・サービスを本人が合理的に予想できるよう特定するものとし、説明書面では概要とし、詳細はホームページに掲載することも認められる。 2.利用目的の公表・書面記載 損害保険会社等は、その事業の遂行に係る全ての利用目的をホームページへの掲載等の適切な継続性のある方法により公表する。 利用目的を変更する場合における変更後の利用目的についても同様とする。また、そのうち損害保険業の遂行に際して取得する個人情報の利用目的を明示する場合は、更に保険契約申込書その他の書面に記載する(インターネットによる申込等の場合は、ウエブ上での利用目的の掲載を含む)。 保険募集に際して、事前にアンケート等により見込客情報を取得する場合がある。この場合も、保険募集の一環として行われる限り、例えば「アンケートにより取得した個人情報を利用して保険商品を案内する」といった利用目的をアンケートに記載するものとする。 なお、新規業務の開始、既存業務の見直し等に伴い、新たな利用目的が加わり、又は、従来の利用目的を変更する必要が生じることがあるので、利用目的のフォローを行う社内責任体制を整備する必要がある。 3.目的外利用の禁止 損害保険会社等は、目的外利用を行わないものとする(保護法第16条第1項)。この適用除外となる同条第3項に掲げる場合(本人の事前同意なく利用目的の達成に必要な範囲を超えて取り扱う場合)とは、例えば次のような場合である。 (1)法令に基づく場合(保護法第 16 条第3項第1号) 例:損害保険会社等が所得税法第 225 条第1項等の規定に基づく税務署長への支払調書等提出 例:弁護士法第23条の2に基づく弁護士による報告請求 例:刑事訴訟法第197条第2項に基づく警察からの捜査関係事項照会 例:刑事訴訟法第218条に基づく令状による差押え・捜索・検証 例:地方税法第72条の63に基づく事業税に係る質問検査 例:商法第274条の3による親会社の監査役の子会社に対する調査への対応 例:株式会社の監査等に関する商法の特例に関する法律第2条及び証券取引法第193条の2の規定に基づく財務諸表監査への対応 4.本人同意の取得 本人同意の取得は、原則として「書面」によるが、「書面」には電子的方式、磁気的方式、その他人の知覚によっては認識することができない方式で作られる記録を含むという趣旨(以下同様)である。 5.事業承継時の取り扱い 損害保険会社等が合併その他の事由により他の損害保険会社等から事業を承継し、それに伴い個人情報を取得した場合、承継会社は、被承継会社が設定した利用目的の達成に必要な範囲内で当該個人情報を取り扱う必要がある(保護法第16条第2項)。
<参考条文> ◆保護法第15条(利用目的の特定) 1.個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。 2.個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。 ◆金融庁ガイドライン第3条(利用目的の特定) 1.金融分野における個人情報取扱事業者は、法第15条に従い、個人情報の取扱いに当たっては、個人情報がどのような事業の用に供され、どのような目的で利用されるかを本人が合理的に予想できるようできる限り特定しなければならない。 具体的には、「自社の所要の目的で用いる」といった抽象的な利用目的は、「できる限り特定したもの」とはならない。利用目的は、提供する金融商品、サービスを示したうえで特定することが望ましく、以下の例が考えられる。 ・当社の預金の受入れ ・当社の与信判断・与信後の管理 ・当社の保険の引き受け、保険金・給付金の支払い ・当社又は関連会社、提携会社の金融商品・サービスの販売・勧誘 ・当社又は関連会社、提携会社の保険の募集 ・当社内部における市場調査及び金融商品・サービスの開発・研究 ・特定の金融商品・サービスの購入に際しての資格の確認 2.金融分野における個人情報取扱事業者は、特定の個人情報の利用目的が、法令等に基づき限定されている場合には、その旨を明示することとする。 3.金融分野における個人情報取扱事業者が、与信事業に際して、個人情報を取得する場合においては、利用目的について本人の同意を得ることとし、契約書等における利用目的は他の契約条項等と明確に分離して記載することとする。この場合、事業者は取引上の優越的な地位を不当に利用し、与信の条件として、与信事業において取得した個人情報を与信業務以外の金融商品のダイレクトメールの発送に利用することを利用目的として同意させる等の行為を行うべきではなく、本人は当該ダイレクトメールの発送に係る利用目的を拒否することができる。 4.金融分野における個人情報取扱事業者が、与信事業に際して、個人情報を個人信用情報機関に提供する場合には、その旨を利用目的に明示する。更に、明示した利用目的について本人の同意を得ることとする。 ◆保護法第16条(利用目的による制限) 1.個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。 2.個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人 情報を取り扱ってはならない。 3.前2項の規定は、次に掲げる場合については、適用しない。 一 法令に基づく場合 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。四国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 ◆金融庁ガイドライン第4条(同意の形式) 金融分野における個人情報取扱事業者は、法第16条及び第23条に定める本人の同意を得る場合には、原則として、書面(電子的方式、磁気的方式、その他人の知覚によっては認識することのできない方式で作られる記録を含む。以下、同様とする。)によることとする。なお、事業者があらかじめ作成された同意書面を用いる場合には、文字の大きさ及び文章の表現を変えること等により、個人情報の取扱いに関する条項が他と明確に区別され、本人に理解されることが望ましい。または、あらかじめ作成された同意書面に確認欄を設け本人がチェックを行うこと等、本人の意思が明確に反映できる方法により確認を行うことが望ましい。 ◆金融庁ガイドライン第5条(利用目的による制限) 1.金融分野における個人情報取扱事業者は、法第16条に従い、あらかじめ本人の同意を得ないで、法第15条の規定に従い特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。 2.金融分野における個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。 3.前二項の規定は、次に掲げる場合については、適用しない。 @法令に基づく場合(例) ・所得税法第234条第1項等に基づいて税務当局が行う質問検査及び国税犯則取締法第1条等に基づいて収税官吏、徴税吏員の行う犯則事件の任意調査に応じる場合 ・刑事訴訟法第197条に基づく捜査関係照会に応じる場合 ・組織的な犯罪の処罰及び犯罪収益の規則等に関する法律第54条第1項に基づき疑わしい取引を届け出る場合 A人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 (例)・いわゆる総会屋及び暴力団等の違法行為に関する情報を収集する場合 B公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 (例)・病気の予防、治療に関する研究等を目的とする情報交換を行う場合 C国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 (例)・税務当局が適正な課税実現の観点から、個々の質問検査権の規定によらずに行う任意調査に応じる場合 ◆保護法第18条(取得に際しての利用目的の通知等) 1.個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。 2.個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。 3.個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。 4.前3項の規定は、次に掲げる場合については、適用しない。 一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体又は財産その他の権利利益を害するおそれがある場合 二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合 三 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。 四 取得の状況からみて利用目的が明らかであると認められる場合
「第4条(個人情報の取得等)」関連 <参考事項> 1.個人情報取得の原則 損害保険会社等は、個人情報を取得するときは、 @取得する個人情報を「業務上必要な範囲内」に留めるとともに、 A取得手段を適法かつ公正なものとする必要がある。 保護法は、取得手段につき「不正なもの」を排除する(保護法第17条)。 なお、例えば、本人確認のために運転免許証や住民票の提出を受けた場合、本人特定事項(氏名・住所・生年月日)以外の情報まで取得することになるが、本人が任意で提出する限り、かかる取得まで禁止する趣旨ではない(但し、センシティブ情報の取得、利用又は第三者提供については第6条を、安全管理措置については金融庁実務指針を参照)。 2.第三者からの取得 一般に、個人情報取扱事業者(転得者)が第三者(原取得者)から個人情報を取得する場合、転得者が原取得者による不正取得に加担するときのみならず、不正取得された個人情報であることを認識しつつ取得するときも、保護法第17条違反とされる可能性がある。 損害保険会社等は、上記のほか、更に「本人の利益を不当に侵害しない」ものとする。具体的には、本人の利益を侵害する可能性のある個人情報を取得するときは、取得情報を業務上必要な範囲に留めること、上記のとおり第三者(原取得者)による不正取得に加担してはならないこと、不正取得された個人情報であることを認識しつつ取得してはならないことにおいて、他の情報以上に慎重な取り扱いを行う必要がある。「本人の利益を不当に侵害しない」場合として、例えば、満期返戻金等を支払うために居所不明の契約者の住民票を第三者から取り付ける場合が該当する。 3.取得情報の保守 損害保険会社等は、可能な限り、個人データを正確かつ最新の内容に保つこととする(保護法第19条)。
<参考条文> ◆保護法第17条(適正な取得) 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。 ◆保護法第19条(データ内容の正確性の確保) 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。 ◆金融庁ガイドライン第7条(適正な取得) 金融分野における個人情報取扱事業者は、法第17条に従い、偽りその他不正の手段により個人情報を取得してはならない。事業者は、第三者から個人情報を取得するに際しては、本人の利益の不当な侵害を行ってはならず、情報の不正取得等の不当な行為を行っている第三者から、当該情報が漏えいされた情報であること等を知った上で個人情報を取得 すべきではない。 ◆金融庁ガイドライン第8条(取得に際しての利用目的の通知等) 1.法第18条第1項においては、個人情報取扱事業者は、個人情報を取得した場合、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表しなければならないとされている。 「通知」の方法については、金融分野における個人情報取扱事業者は、原則として、書面によることとする。 「公表」の方法については、金融分野における個人情報取扱事業者は、自らの金融商品の販売方法等の事業の態様に応じ、インターネット上のホームページ等での公表、事務所の窓口等への書面の掲示・備付け等適切な方法によらなければならない。 2.法第18条第2項においては、個人情報取扱事業者は、同条第1項の規定にかかわらず、本人との間で、契約を締結することに伴って契約書その他の書面に記載された個人情報を取得する場合は、あらかじめ利用目的を明示することとされている。金融分野における個人情報取扱事業者は、与信事業においては、利用目的を明示する書面に確認欄を設けること等により、利用目的について本人の同意を得ることが望ましい。 なお、与信事業において、申込時に利用目的について本人の同意を得る場合、当該申込時に利用目的の同意を得た個人情報については法18条第1項に基づく「通知又は公表」を要しないが、それ以降に取得する情報については、あらかじめ利用目的を公表していない限り、利用目的の通知又は公表が必要である。 3.法第18条第4項第4号においては、「取得の状況から見て利用目的が明らかであると認められる場合」には、通知、公表又は明示は適用除外とされている。「取得の状況から見て利用目的が明らかであると認められる場合」としては、例えば、電話等での資料請求に対して、請求者が提供した住所、氏名に関する情報を請求された資料の送付のみに利用する場合が考えられる。 ◆金融庁ガイドライン第9条(データ内容の正確性の確保) 金融分野における個人情報取扱事業者は、法第19条に従い、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。 このため、事業者は、預金者又は保険契約者等の個人データの保存期間については契約終了後一定期間内とする等、保有する個人データの利用目的に応じ保存期間を定め、当該期間経過後の保有する個人データを消去することとする。 ただし、法令等に基づく保存期間の定めがある場合には、この限りでない。
「第5条(第三者提供)」関連 <参考事項> 1.第三者提供の原則 保護法は、個人情報取扱事業者が個人データを第三者に提供するときは、本人の事前同意を取り付ける(保護法第23条第1項本文)ことを義務づけているが、この指針では、金融庁ガイドライン第 13 条第1項の(注)を踏まえ、 @個人データを提供する第三者、 A提供を受けた第三者における利用目的、 B第三者に提供される情報の内容、 を示した上で同意を取り付けることとしている。 損害保険業における第三者提供としては、次のような事例が考えられ、いずれも本人の同意を得るものとする。 (1) 医療機関等の関係先に業務上必要な照会を行う際に、当該関係先に対して本人特定に必要な個人データ(例:氏名)を提供する場合 (2) 再保険契約の締結や再保険金の受領等のために、出再先等に必要な個人データを提供する場合 「再保険」に関しては、再保険会社は本人から直接同意を取得できない立場にあるため、元受保険会社が再保険に関して、情報がどのように利用されるか本人が理解できるような記載を行い、包括的な同意を得るものとする。なお、同意取付義務が免除される保護法第23条第1項各号に掲げる場合とは、この指針第3条に係る参考事項に記載するものと同じである。 2.契約等情報交換制度 損害保険業界では、保険契約の締結又は保険金の請求に際して行われる不正行為を排除するために、引き受けた保険契約に関する情報や受け付けた保険事故に関する情報を登録し、又は交換する制度を運営している。登録制度は、所定の保険契約に関する事項を(財)日本損害保険協会に登録し、参加会社・団体の照会を受けて当該協会が重複契約等の有無及び内容を回答するものである。交換制度は、保険契約者の申告内容の正否を確認すること等を目的として、損害保険会社等間で保険契約又は保険事故に関する情報を交換するものである。これら制度については、保護法第23条第4項第3号に規定する事項を公表する(必須)とともに、原則として、あらかじめ登録又は交換の目的を示した上で、本人の同意(原則として書面による)を得ることとなる。 契約等情報交換制度について、保護法第23条第4項第3号による特定共同利用要件によれば本人の同意取得不要であるが、損害保険業界としては同意を得るよう努める(努力義務)こととする。
3.グループ内共同利用 保護法上、共同利用を行う場合の要件として、あらかじめ「本人に通知」するか「本人が容易に知り得る状態に置いている」ことが挙げられている(保護法第23条第4項第3号)。グループ内共同利用を「本人が容易に知り得る状態に置く」ためには、ホームページへの掲載等、継続性のある方法により公表することとする。
<参考条文> ◆保護法第23条(第三者提供の制限) 1.個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 一 法令に基づく場合 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 2.個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。 一 第三者への提供を利用目的とすること。 二 第三者に提供される個人データの項目 三 第三者への提供の手段又は方法 四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。 3.個人情報取扱事業者は、前項第2号又は第3号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。 4.次に掲げる場合において、当該個人データの提供を受ける者は、前 3 項の規定の適用については、第三者に該当しないものとする。 一 個人情報取扱事業者が利用目的の達成に必要な範囲において個人データの取扱いの全部又は一部を委託する場合 二 合併その他の事由による事業の承継に伴って個人データが提供される場合 三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。 5.個人情報取扱事業者は、前項第 3 号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。 ◆金融庁ガイドライン第13条(第三者提供の制限) 1.金融分野における個人情報取扱事業者は、法第23条に従い、次に掲げる場合を除くほか、あらかじめ本人に同意を得ることなく、個人データを第三者に提供してはならない。@法令に基づく場合 A人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 B公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 C国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 (注)上記@〜Cの具体例は、第5条第3項と同じ。 なお、第三者への提供の同意を得る際には、原則として書面によることとし、当該書面における記載を通じて、 @個人データを提供する第三者 A提供を受けた第三者における利用目的 B第三者に提供される情報の内容 を本人に認識させたうえで同意を得ることとする。 2.「第三者」について 「第三者」とは、個人データを提供しようとする個人情報取扱事業者及び当該個人データに係る本人のいずれにも該当しないものをいい、自然人、法人その他の団体を問わない。 3.個人信用情報機関に対する提供について 個人信用情報機関に対して個人データが提供される場合には、個人信用情報機関を通じて当該機関の会員企業にも情報が提供されることとなるため、個人信用情報機関に個人データを提供する金融分野における個人情報取扱事業者が本人の同意を得ることとする。 本人から同意を得るに当たっては、本人が、個人データが個人信用情報機関を通じて当該機関の会員企業にも提供されることを明確に認識したうえで、同意に関する判断を行うことができるようにすることとする。このため、事業者は同意を得る書面に、第1項に定める事項の他、個人データが当該機関の会員企業にも提供される旨の記載及び当該機関の会員企業として個人データを利用する者の表示を行うこととする。 「当該機関の会員企業として個人データを利用する者」の表示は、「当該機関の会員企業として個人データを利用する者」の外延を本人に客観的かつ明確に示すものであることが必要であり、会員企業の名称を記載する方法、若しくは当該機関の規約等及び会員企業名を常時公表しているホームページ(苦情処理の窓口の連絡先等、第23条の内容 を記載したもの)のアドレスを記載する方法などにより、本人が同意の可否を判断するに足りる具体性をもって示すことをいう。また、本人に表示する個人信用情報機関の規約等においては、機関の加入資格及び会員企業の外延が明確に示されるとともに、個人データの適正管理、情報の目的外利用防止等の観点から、安全管理体制の整備、守秘義務の遵守、違反に対する制裁措置等を明確に記載することが適切である。 なお、金融分野における個人情報取扱事業者は、個人信用情報機関から得た資金需要者の返済能力に関する情報については、当該者の返済能力の調査以外の目的に使用することのないよう、慎重に取扱うこととする。 4.法第23条第2項について 法第23条第2項においては、個人情報取扱事業者が、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、同項各号に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、当該個人データを第三者に提供することができるとされている。この際の、「本人が容易に知り得る状態」とは、本人が知ろうと思えば、時間的にも、その手段においても、容易に知ることができる状態をいい、金融分野における個人情報取扱事業者は、自らの金融商品の販売方法等の事業の態様に応じた適切な方法により、継続的な公表を行う必要があり、例えば、事務所の窓口等での常時掲示・備付け、インターネットのホームページへの常時掲載などが考えられる。 5.与信事業における法第23条第2項の適用について 金融分野における個人情報取扱事業者は、与信事業に係る個人の返済能力に関する情報を個人信用情報機関へ提供するにあたっては、法第23条第2項を用いないこととし、本条第3項に従い本人の同意を得ることとする。 6.法第23条第4項について 法第23条第4項に従い、次に掲げる場合において、当該個人データの提供を受ける者は、第三者に該当しない。 @個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱の全部又は一部を委託する場合 A合併その他の事由による事業の承継に伴って個人データが提供される場合 B個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき 7.法第23条第4項第3号について 金融分野における個人情報取扱事業者は、法第23条第4項第3号に定める「通知」は、原則として書面によることとする。事業者による「共同して利用する者の範囲」の通知等については、共同利用者を個別列挙することが望ましい。また、共同利用者の外延を示すことにより本人に通知等する場合には、本人が容易に理解できるよう「共同して利用する者」を具体的に特定する必要がある。外延を示す具体例としては、 ・当社及び有価証券報告書等に記載されている、当社の子会社 ・当社及び有価証券報告書等に記載されている、連結対象会社及び持分法適用会社 といった方法が適切である。 同号に定める「個人データの管理について責任を有する者」(以下「管理責任者」という。)は、共同利用する者において、第一次的に苦情を受け付け、その処理を行うとともに、開示、訂正等、利用停止等の決定を行い、安全管理に責任を有する者をいう。なお、同号は、管理責任者以外の共同利用を行う者における安全管理責任等を免除する趣旨ではないことに留意する。
「第6条(センシティブ情報の特例)」関連 <参考事項> 1.センシティブ情報の範囲 本人の権利利益を保護すべき度合いの高いセンシティブ情報の範囲は、金融庁ガイドラインに基づくものとする。センシティブ情報は、他の情報以上に慎重な取り扱いが要請される一方で、損害保険実務においては、勤務先情報や所属団体情報として労働組合・政治団体・宗教団体等の名称を、保険引受の可否を判断するために保健医療情報を、それぞれ保険契約申込書等に記入していただくなど、業務利用の必要性がある。 2.センシティブ情報の取得 損害保険会社等は、金融庁ガイドライン第6条第1項各号に掲げる場合を除き、取得、利用又は、第三者提供を行わないものとする。例えば、本人確認のために運転免許証や住民票の提出を受けた場合、本人特定事項以外(例えば本籍地)があるときは、当該情報を塗りつぶして保管する等、取得に際して適切な対応を行うものとする。保険業の適切な業務運営を確保する必要があるときには、本人の同意があることを前提に、かつ、業務上必要な範囲で取得、利用、又は第三者提供する以外は取扱わないものとする。 損害保険会社等は、この指針第6条第1項第1号に該当する場合において、センシティブ情報を第三者から取得するときは、 @原取得者が本人との間で第三者提供の要件を満たしていることを確認するか、 A(原取得者とは別に)本人の同意を得る、のいずれかを行うこととする。保険業の適切な業務運営を確保する必要がある場合には、反社会的勢力に関する情報の収集および交換を行う場合(例えば、いわゆる総会屋及び暴力団の違法行為に関する情報の収集および 交換)が含まれる。 この指針第6条第1項第2号には、例えば次のような場合がある。 例:死亡保険金受取人の確認のため、戸籍謄本に記載の本籍地情報を取得、利用又は第三者提供する場合 この指針第6条第1項第3号には、例えば次のような場合がある。 例:契約者情報や勤務先情報として、政治・宗教等の団体名を取得、利用又は第三者提供する場合
<参考条文> ◆金融庁ガイドライン第6条(機微(センシティブ)情報について) 1.金融分野における個人情報取扱事業者は、政治的見解、信教(宗教、思想及び信条をいう。)、労働組合への加盟、人種及び民族、門地及び本籍地、保健医療及び性生活、並びに犯罪歴に関する情報(以下「機微(センシティブ)情報」という。)については、次に掲げる場合を除くほか、取得、利用又は第三者提供を行わないこととする。 @法令等に基づく場合 A人の生命、身体又は財産の保護のために必要がある場合 B公衆衛生の向上又は児童の健全な育成の推進のため特に必要がある場合 C国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合 D源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の機微(センシティブ)情報を取得、利用又は第三者提供する場合 E相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者提供する場合 F保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用又は第三者提供する場合 G機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合 2.金融分野における個人情報取扱事業者は、機微(センシティブ)情報を、前項各号に定める事由により取得、利用又は第三者提供する場合には、各号の事由を逸脱した取得、利用又は第三者提供を行うことのないよう、特に慎重に取扱うこととする。
「第7条(安全管理措置)」関連 <参考事項> 1.損害保険会社等が講ずべき安全管理措置 損害保険会社等が、その取り扱う個人データに係る安全管理措置として講ずべき具体的内容については、金融庁実務指針を踏まえ、別途定める損保安全管理実務指針によるものとする。 2.委託先(損保代理店以外)の監督 金融庁事務ガイドライン(保険会社関係)「1−6−6 保険会社の事務の外部委託」に 掲げる事項のうち、委託先の監督に係るもので主なものは、次のとおりである。 (1)委託先の選定の基準 保険会社の経営の合理性の観点からみて十分なレベルのサービスの提供を行い得るか、契約に沿ったサービス提供や損害等負担が確保できる財務・経営内容か、保険会社のレピュテーション等の観点から問題ないか等の観点から、委託先の選定を行っているか。 (2)委託先の情報管理体制の確認 委託先における目的外使用の禁止も含めて顧客情報管理が整備されており、委託先に守秘義務が課されているか。 (3)委託業務の遂行状況の監視 契約内容は、委託事務の内容等に応じ、例えば、保険会社が委託事務及びそれに関する委託先の経営状況に関して委託先より受ける報告の内容について明確に示されるなど十分な内容となっているか。 委託事務に関する責任者の設置、モニタリング、検証態勢(委託契約において保険会社が委託先に対して事務処理の適切性に係る検証を行うことができる旨の規定を盛り込む等の対応を含む)等の社内管理態勢が整備されているか。 保険会社において、外部委託事務についても監査の対象となっているか。 (4)事故発生時の責任体制の明確化 契約内容は、委託事務の内容等に応じ、例えば、委託契約に沿ってサービスが提供されない場合における委託先の責務及び委託 に関連して発生するおそれのある損害の負担の関係(必要に応じて担保提供等の損害負担の履行確保等の対応を含む)について明確に示されるなど十分な内容となっているか。 委託事務の履行状況等に関し委託先から保険会社への定期的レポートに加え、必要に応じ適切な情報が迅速に得られる態勢となっているか。 3.漏えい事案等の事故への対応 損害保険会社等は、個人情報の漏えい事案等の事故の発生に備えて、この指針第7条第1項第1号に掲げる社内責任体制を整備するほか、実際に事故が生じたときは、本人への連絡及び関係当局への報告を行うとともに、二次被害の防止、類似事案の発生回避等の観点から、事実関係等を公表するものとする。ただし、公表することにより模倣行為を誘発したり、プライバシーを侵害する等の懸念があり、公表が適当でないと判断される場合は、この限りではない。
<参考条文> ◆保護法第20条(安全管理措置) 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要か つ適切な措置を講じなければならない。 ◆保護法第21条(従業者の監督) 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。 ◆保護法第22条(委託先の監督) 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 ◆金融庁ガイドライン第9条(データ内容の正確性の確保) 金融分野における個人情報取扱事業者は、法第19条に従い、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。 このため、事業者は、預金者又は保険契約者等の個人データの保存期間については契約終了後一定期間内とする等、保有個人データの利用目的に応じ保存期間を定め、当該期間経過後の保有個人データを消去することとする。ただし、法令等に基づく保存期間の定めがある場合には、この限りでない ◆金融庁ガイドライン第 10 条(安全管理措置) 1.金融分野における個人情報取扱事業者は、その取扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、安全管理に係る基本方針・取扱規程等の整備及び安全管理措置に係る実施体制の整備等の必要かつ適切な措置を講じなければならない。必要かつ適切な措置は、個人データの取得・利用・保管等の各段階に応じた「組織的安全管理措置」、「人的安全管理措置」及び「技術的安全管理措置」を含むものでなければならない。 2.本条における「組織的安全管理措置」とは、個人データの安全管理措置について従業者(法第21条参照)の責任と権限を明確に定め、安全管理に関する規程等を整備・運用し、その実施状況の点検・監査を行うこと等の、個人情報取扱事業者の体制整備及び実施措置をいう。 3.本条における「人的安全管理措置」とは、従業者との個人データの非開示契約等の締結及び従業者に対する教育・訓練等を実施し、個人データの安全管理が図られるよう従業者を監督することをいう。 4.本条における「技術的安全管理措置」とは、個人データ及びそれを取扱う情報システムへのアクセス制御、情報システムの監視等、個人データの安全管理に関する技術的な措置をいう。 5.金融分野における個人情報取扱事業者は、個人データの安全管理に係る基本方針・取扱規程等の整備として、以下の「組織的安全管理措置」を講じなければならない。 (組織的安全管理措置) (1)規程等の整備 @個人データの安全管理に係る基本方針の整備 A個人データの安全管理に係る取扱規程の整備 B個人データの取扱状況の点検・監査に係る規程の整備 C外部委託に係る規程の整備 (2)各管理段階における安全管理に係る取扱規程 @取得・入力段階における取扱規程 A利用・加工段階における取扱規程 B保管・保存段階における取扱規程 C移送・送信段階における取扱規程 D消去・廃棄段階における取扱規程 E漏えい事案等への対応の段階における取扱規程 6.金融分野における個人情報取扱事業者は、個人データの安全管理に係る実施体制の整備として、以下の「組織的安全管理措置」、「人的安全管理措置」及び「技術的安全管理措置」を講じなければならない。 (組織的安全管理措置) @個人データの管理責任者等の設置 A就業規則等における安全管理措置の整備 B個人データの安全管理に係る取扱規程に従った運用 C個人データの取扱状況を確認できる手段の整備 D個人データの取扱状況の点検・監査体制の整備と実施 E漏えい事案等に対応する体制の整備 (人的安全管理措置) @従業者との個人データの非開示契約等の締結 A従業者の役割・責任等の明確化 B従業者への安全管理措置の周知徹底、教育及び訓練 C従業者による個人データ管理手続きの遵守状況の確認 (技術的安全管理措置) @個人データの利用者の識別及び認証 A個人データの管理区分の設定及びアクセス制御 B個人データへのアクセス権限の管理 C個人データの漏えい・き損等防止策 D個人データへのアクセスの記録及び分析 E個人データを取扱う情報システムの稼働状況の記録及び分析 F個人データを取扱う情報システムの監視及び監査 ◆金融庁ガイドライン第11条(従業者の監督) 1.金融分野における個人情報取扱事業者は、法第21条に従い、個人データの安全管理が図られるよう、適切な内部管理体制を構築し、その従業者に対する必要かつ適切な監督を行わなければならない。 2.本条における「従業者」とは、個人情報取扱事業者の組織内にあって直接又は間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、事業者との間の雇用関係にない者(取締役、執行役、理事、監査役、監事、派遣社員等)も 含まれる。 3.金融分野における個人情報取扱事業者は、以下の体制整備等により、従業者に対し「必要かつ適切な監督」を行わなければならない。 @従業者が、在職中及びその職を退いた後において、その業務に関して知り得た個人データを第三者に知らせ、又は利用目的外に使用しないことを内容とする契約等を採用時等に締結すること。 A個人データの適正な取扱いのための取扱規程の策定を通じた従業者の役割・責任の明確化及び従業者への安全管理義務の周知徹底、教育及び訓練を行うこと。 B従業者による個人データの持出し等を防ぐため、社内での安全管理措置に定めた事項の遵守状況等の確認及び従業者の個人データ保護に対する点検・監査制度を整備するこ ◆金融庁ガイドライン第12条(委託先の監督) 1.金融分野における個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、法第22条に従い、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 2.「委託」とは、契約の形態や種類を問わず、金融分野における個人情報取扱事業者が他の者に個人データの取扱いの全部又は一部を行わせることを内容とする契約の一切を含む。3.金融分野における個人情報取扱事業者は、個人データを適正に取扱っていると認められる者を選定し委託するとともに、取扱いを委託した個人データの安全管理措置が図られるよう、個人データの安全管理のための措置を委託先においても確保することが必要である。なお、二段階以上の委託が行われた場合には、委託先の事業者が再委託先等の事業者に対して十分な監督を行っているかについても監督を行わなければならない。 具体的には、金融分野における個人情報取扱事業者は、 @個人データの安全管理のため、委託先における組織体制の整備及び安全管理に係る基本方針・取扱規程の策定等などの内容を委託先選定の基準に定め、当該基準に従って委託先を選定するとともに、当該基準を定期的に見直すこと。 A委託者の監督・監査・報告徴収に関する権限、委託先における個人データの漏えい・盗用・改竄及び目的外利用の禁止、再委託に関する条件及び漏えい等が発生した場合の委託先の責任を内容とする安全管理措置を委託契約に盛り込むとともに、定期的又は随時に当該委託契約に定める安全管理措置の遵守状況を確認し、安全管理措置の見直しを行うこと。 等が必要である。 ◆金融庁ガイドライン第22条(漏えい事案等への対応) 1.金融分野における個人情報取扱事業者は、個人情報の漏えい事案等の事故が発生した場合には、監督当局に直ちに報告することとする。 2.金融分野における個人情報取扱事業者は、個人情報の漏えい事案等の事故が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、漏えい事案等の事実関係及び再発防止策等を早急に公表することとする。 3.金融分野における個人情報取扱事業者は、個人情報の漏えい事案等の事故が発生した場合には、漏えい事案等の対象となった本人に速やかに漏えい事案等の事実関係等の通知を行うこととする。 ◆金融庁実務指針 2−6−1金融分野における個人情報取扱事業者は、1−2B(注:各管理段階において個人データの安全管理上必要とされる手続き)又は6−6−1(注:漏えい事案等への対応の段階における取扱規程において掲げる事項として自社内外への報告に関する手続き)に基づき、自社内外への報告体制を整備するとともに、漏えい事案等が発生した場合には、次に掲げる事項を実施しなければならない。 @監督当局等への報告 A本人への通知等 B二次被害の防止・類似事案の発生回避等の観点からの漏えい事案等の事実関係及び再発防止策等の早急な公表
「第8条(損害保険代理店に対する指導・監督)」関連 <参考事項> 1.損保代理店の取得・利用・安全管理措置 損害保険契約に係る個人情報の取得(保険契約の締結等)又は利用(所属保険会社が取り扱う当該契約以外の商品及びサービスの案内及び提供等)は、殆どの場合、損保代理店を介して行われるため、損保代理店の管理下にある個人情報に係る安全管理措置を含め、この指針第3条、第4条及び第7条の規定は、損保代理店が損害保険契約に係る個人情報を取り扱う場合について準用される必要がある。なお、この指針第3条、第4条及び第7条を満たしたうえで、それを超える安全管理措置については、当該代理店の営業規模やシステム化の状況、取り扱う個人情報の量等を勘案して、損保会社が講ずべきものと異なる部分が生じ得る。 2.損保代理店の利用目的 複数の損害保険会社に所属する乗合代理店は、1の損害保険会社が引き受けた損害保険契約に係る個人情報を、他の損害保険会社が取り扱う損害保険契約等をお勧めするために利用することがあり、また、損害保険代理業以外の業務を営む兼業代理店は、損害保険契約に係る個人情報を、その営む他の業務に係る商品及びサービスをお勧めするために利用することがある。乗合代理店又は兼業代理店は、個人情報取扱事業者に該当する場合であって、上述のような利用実態があるときは、自らの利用目的を通知し、公表し、又は明示する必要がある。この場合においては、損害保険会社は、損害保険会社の利用目的と損保代理店の利用目的との間で誤認が生じないよう、必要かつ適切な監督を行う必要がある。
<参照条文> ◆金融庁ガイドライン第1条(目的) 3金融分野において個人情報データベース等を事業の用に供している者のうち、法第2条第3項第5号の規定により「個人情報取扱事業者」から除かれる者においても、本ガイドラインの遵守に努めるものとする。
「第9条(本人からの求めに応じる手続)」関連 <参考事項> 1.保有個人データに関する事項の公表 保護法は、個人情報取扱事業者が保有個人データに関する事項を「本人の知り得る状態に置く」ことを義務づけている(保護法第24条第1項)。損害保険会社等は、当該事項の周知方法として、ホームページでの掲載など適切な継続性のある方法による公表とする。 保護法第2条第5項に基づく政令第3条各号に掲げる場合及び政令第4条に定める期間以内に消去することとなるもの(「保有個人データ」に該当しない場合)とは、例えば次のような場合である。 @本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの 例:癌などの罹患の事実など、本人に重大な精神的苦痛を与え、心身状況に悪影響を与える恐れがあるもの A違法又は不当な行為を助長し、又は誘発するおそれがあるもの B国の安全が害されるおそれ等があるもの C犯罪の予防、鎮圧又は捜査等に支障がおよぶおそれがあるもの 例:警察からの照会記録 D6か月以内に消去することとなるもの 2.契約内容・事故処理状況に係る照会の特例 保険契約者等の関係者から契約内容や事故処理状況の照会を受けたときは、保護法上の開示請求手続とは別に、従来どおり対応することとする。ただし、当該関係者から保護法上の開示請求手続による旨の意思表示があったときは、その意思に沿った対応を行う。 3.保護法上の開示等請求 保護法上の開示等請求を受けたときは、法定要件に沿った適切な対応を行う。 本人から求められた措置の全部若しくは一部をとらない旨を通知する場合又は本人から求められた措置と異なる措置をとる場合は、本人に対し、判断の根拠及び根拠となる事実を示すなど、その理由の説明を付して通知する。 4.開示等拒否理由 保護法第25条第1項各号に掲げる場合(保有個人データの全部又は一部を開示しないことができる場合)とは、例えば次のような場合である。 (1)本人の権利利益を侵害する場合(第1号) 例:病名等を開示することにより本人の心身状況を悪化させるおそれがある場合 例:契約者等との守秘義務違反とされる場合(守秘義務違反とされるかは個別当事者毎にみる) (2)個人情報取扱事業者の業務に支障を及ぼす場合(第2号) 例:保険引受判断に係る情報を開示することにより保険引受業務の適正な実施に著しい支障を及ぼすおそれがある場合 例:データの検索に著しく困難を要する場合 例:成約見込など、顧客に関する営業上の評価情報であって、本人に開示した場合、顧客との信頼関係に著しい支障を及ぼすおそれがある場合例:債務者区分等、債務者に対する評価情報であって、本人に開示した場合、債務者との信頼関係に著しい支障を及ぼすおそれがある場合 (3)他の法令に違反する場合(第3号) 例:組織犯罪処罰法に基づく届出に係る情報を開示する場合5.開示等請求手続 損害保険会社等各社が、保護法の規定に沿って、その実情に応じた開示等請求手続(手数料を含む)を設定する。 5.開示請求手続き 損害保険会社等各社が、保護法の規定に沿ってその実情に応じた開示請求手続(手数料を含む)を設定する。
<参考条文> ◆保護法第24条(保有個人データに関する事項の公表等) 1.個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。 一 当該個人情報取扱事業者の氏名又は名称 二 すべての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。) 三 次項、次条第1項、第26条第1項又は第27条第1項若しくは第2項の規定による求めに応じる手続(第30条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。) 四 前3号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 2.個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。 一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合 二 第18条第4項第1号から第3号までに該当する場合 ◆政令第5条(保有個人データの適正な取扱いの確保に関し必要な事項) 法第24条第1項第4号の政令で定めるものは、次の掲げるものとする。 一 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 二 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先 ◆保護法第25条(開示) 1.個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。 一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合 二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場 合 三 他の法令に違反することとなる場合 ◆政令第6条(個人情報取扱事業者が保有個人データを開示する方法) 法第25条第1項の政令で定める方法は、書面の交付による方法(開示の求めを行った者が同意した方法があるときは、当該方法)とする。 ◆保護法第26条(訂正等) 1.個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。 ◆保護法第27条(利用停止等) 1.個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第16 条の規定に違反して取り扱われているという理由又は第17条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 2.個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第23条第1項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 3.金融分野における個人情報取扱事業者は、法第27条第1項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は同条第2項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への 提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨(本人から求められた措置と異なる措置を行う場合にはその措置内容を含む)を通知しなければならない。 ◆保護法第28条(理由の説明) 個人情報取扱事業者は、第24条第3項、第25条第2項、第26条第2項又は前条第3項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対 し、その理由を説明するよう努めなければならない。 ◆保護法第29条(開示等の求めに応じる手続) 1.個人情報取扱事業者は、第24条第2項、第25条第1項、第26条第1項又は 第27条第1項若しくは第2項の規定による求め(以下この条において「開示等の求め」という。)に関し、政令で定めるところにより、その求めを受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。 2.個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。 3.開示等の求めは、政令で定めるところにより、代理人によってすることができる。 4.個人情報取扱事業者は、前三項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。 ◆保護法第 30 条(手数料) 1.個人情報取扱事業者は、第24条第2項の規定による利用目的の通知又は第25条第1項の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。 2.個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。 ◆金融庁ガイドライン第14条(保有個人データに関する事項の公表等) 金融分野における個人情報取扱事業者は、法第24条に従い、保有個人データに関し、利用目的、開示等の手続等同条第1項に定める事項を本人の知り得る状態に置かなければならない。 「本人の知り得る状態」とは、本人が知ろうと思えば知ることができる状態をいい、事業者の金融商品の販売方法等の事業の態様に応じて適切な方法による必要があり、継続的な公表として、例えば、第23条に定める「個人情報保護宣言」と一体としてインターネットのホームページでの常時掲載を行うこと、又は事務所の窓口等での常時掲示・備付け を行うことが考えられる。なお、利用目的に第三者提供が含まれる場合には、法第24条第1項第2号に定める「すべての保有個人データの利用目的」の内容として、その旨を記載する必要がある。 ◆金融庁ガイドライン第15条(開示) 金融分野における個人情報取扱事業者は、法第25条に従い、本人から、当該本人が識別される保有個人データの開示を求められたときは、本人に対し、遅滞なく、保有個人データを開示しなければならない。ただし、同条第1項第1号、第2号及び第3号に従い、次の各号のいずれかに該当する場合には、その全部又は一部を開示しないことができる。 @本人又は第三者の生命、身体、財産その他の権利利益を害する場合 A当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼす場合 B他の法令に違反することとなる場合 上記Aは、例えば、与信審査内容等の個人情報取扱事業者が付加した情報の開示請求を受けた場合又は保有個人データを開示することにより評価・試験等の適正な実施が妨げられる場合が考えられるが、開示すべき個人データの量が多いことのみではこれに該当しない。 金融分野における個人情報取扱事業者が法第25条第1項各号の規定に基づき、求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知し、また、その決定の理由について、根拠とした法の条文及び判断の基準となる事実を示して遅滞なく説明を行うこととする。 ◆金融庁ガイドライン第16条(訂正等) 金融分野における個人情報取扱事業者は、法第26条に従い、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下、「訂正等」という。)を求められた場合には、利用目的の達成に必要な範囲内において、遅滞なく事実の確認等の必要な調査を行い、その結果に基 づき、当該保有個人データの内容の訂正等を行わなければならない。 訂正等を行った場合、又は訂正等を行わないこととした場合は、本人に対し、遅滞なくその旨(訂正等を行った場合は、その内容を含む)を通知しなければならない。 なお、個人情報取扱事業者が訂正等を行わない場合は、訂正等を行わない根拠及びその根拠となる事実を示し、その理由を説明することとする。 ◆金融庁ガイドライン第17条(利用停止等) 1.金融分野における個人情報取扱事業者は、法第27条第1項に従い、本人から、当該本人が識別される保有個人データが法第16条の規定に違反して取扱われているという理由又は法第17条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代 わるべき措置をとるときは、この限りでない。 2.金融分野における個人情報取扱事業者は、法第27条第2項に従い、本人から、当該本人が識別される保有個人データが法第23条第1項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 3.金融分野における個人情報取扱事業者は、法第27条第1項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は同条第2項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨(本人から求められた措置と異なる措置を行う場合にはその措置内容を含む)を通知しなければならない。 ◆金融庁ガイドライン第18条(理由の説明) 金融分野における個人情報取扱事業者は、法第24条第3項、法第25条第2項、 法第26条第2項又は法第27条第3項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、措置をとらない又は異なる措置をとることとした判断の根拠及び根拠となる事実を示し、その理由を説明することとする。 ◆金融庁ガイドライン第19条(開示等の求めに応じる手続) 1.金融分野における個人情報取扱事業者は、法第29条に従い、開示等の求めを受け付ける方法を定めた場合には、第23条に定める「個人情報保護宣言」と一体としてインターネットのホームページでの常時掲載や事務所の窓口等での掲示・備付けを行うこととする。 2.法第29条第3項、施行令第7条第3号に基づき、開示等の求めをする者が本人又は施行令第8条に規定する代理人であることの確認の方法を定めるに当たっては、十分かつ適切な確認手続とするよう留意することとする。 なお、施行令第8条第2号の代理人による開示等の求めに対して、事業者が本人にのみ直接開示等することは妨げられない。 ◆金融庁ガイドライン第21条(手数料) 金融分野における個人情報取扱事業者は、法第30条に従い、手数料を徴収する場合には、同様の内容の開示等手続の平均的実費の予測に基づき、合理的な手数料額を算定する等の方法により、実費を勘案して合理的であると認められる範囲において手数料の額を定める。
「第10条(苦情処理)」関連 <参考事項> 苦情処理 損害保険会社等は、保護法第31条に定める努力義務ではなく、この指針に基づく義務として苦情処理の適切かつ迅速な遂行を行 うものとする。
<参考条文> ◆保護法第31条(個人情報取扱事業者による苦情の処理) 1.個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。 2.個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。 ◆金融庁ガイドライン第21条(個人情報取扱事業者による苦情の処理) 1.金融分野における個人情報取扱事業者は、保護法第31条に従い、個人情報の取扱いに関する苦情を受けたときは、その内容について調査し、合理的な期間内に、適切かつ迅速な処理に努めなければならない。 2.金融分野における個人情報取扱事業者は、苦情処理手順の策定、苦情受付窓口の設置、苦情処理に当たる従業者への十分な教育・研修など、苦情処理を適切かつ迅速に行うために必要な体制の整備に努めなければならない。
「第11条(本協会の役割)」関連 <参考事項> 本協会の役割 本協会は、認定個人情報保護団体となり、苦情処理、情報提供その他の法定業務を行う。
本協会の権限 本協会は、この指針の遵守を確保するため、損害保険会社等がこの指針を遵守していないと認めるときは、必要な指導又は勧告を行うものとする。
指針の見直し 本協会は、個人情報保護に係る社会環境の変化に応じ、また、損害保険会社等における漏えい事案等の事故につき情報収集、原因分析等を行い、必要に応じて指針を見直すこととする。
<参考条文> ◆保護法第37条(認定) 1.個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理者の定めのあるものを含む。次条第3号ロにおいて同じ。)は、主務大臣の認定を受けることができる。 一 業務の対象となる個人情報取扱事業者(以下「対象事業者」という。)の個人情報の取扱いに関する第42条の規定による苦情の処理 二 個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供 三 前2号に掲げるもののほか、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務 ◆保護法第41条(対象事業者) 1.認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者又は認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者としなければならない。 2.認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。 ◆保護法第42条(苦情の処理) 1.認定個人情報保護団体は、本人等から対象事業者の個人情報の取扱いに関する苦情について解決の申し出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。 2.認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。 3.対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないのに、これを拒んではならない。 ◆保護法第44条(目的外利用の禁止) 認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用してはならない。
以上
|