金融分野での個人情報保護ガイドラインと実務指針について

喜入 博 金融庁情報化統括責任者(CIO)補佐官

調査室．昨年から金融庁．調査室の担当官が話すべきなのだが．各省庁で，民間から専門家を採用したり，外部委託してそこのリーダが CIO補佐官として活動している．

アメリカでは2年前に完了：業務見直し，裏付けるIT整備．日本の中央省庁の見直し．EA を日本の政府の中に導入しよう．総務省行政管理局ー＞業務最適化計画(EA とはいわない)を策定・推進．
業務自身をコンサル会社などに委託．金融庁二年前に3人採用，今年3人増員．最初は非常勤だったが，週に2ないし3日いっていた．BPR の支援ということ職員として採用されている．ガイドラインを作るというのは，内部ではなくて，行政そのものなのだが，本日その話をさせていただく．

個人情報の制定に当たって，手元の資料3頁．どのようなことをやってきたのか．方向性．金融審議会.
2001年くらいに検討してきた．平成15年に個人情報保護法が施行．翌年基本方針が閣議決定．医療，金融，特に個人情報に関して管理の充実させるといおうことd重点分野となった．2004 年から，いろいろと審議会を作って対応してきた．12/20 すべて終わった．対応自身が遅くなり，本格的な施行が 4/1 だったので，対応時間が無い間で迷惑をかけたかもしれないが，このような経緯でやってきた．

有用性を対応していかなければならない．国際的な対応，措置．金融関係においても頭に入れて対応してきた．個人情報保護全体で考えてみると，金融分野の個人情報．いろいろな業態：預金系，生保，損保，証券会社．大規模から家族だけでやっているようなところもある．このようなガイドライン，実務シーンで要求するのか，業態の中の規模を考えながら検討してきた．本格的には去年の4月から．ガイドラインの後，実務指針．ガイドラインに基づいて，情報管理という観点，20, 21,22 条．
大きな問題．一つは生体情報の取扱．多くの金融機関では，キャッシュカード：暗証番号で本人確認を行っている．生体：静脈，指紋を扱うということが去年の夏ぐらいから商品も発売されるようになった．それにたいして，どのように対応するのか．
柳田邦夫先生がかいた偽造キャッシュカードの問題．個人名は無いが，口座番号，銀行，支店など，中には暗証番号がはいっているものもあった．個人情報保護法の観点からどのようにまもっていくのか．

金融分科会の特別分科会で検討することになった．15回の会合．ベンダー，協会では数社，研究者には12人ほどに個別に会って，現状，今後の動向，海外の動向などを調査した．生態情報のアメリカの扱いなどを調査して，15回の会合にあたった．16，17回あたりからは偽造カードの話．金融庁の個人情報保護のガイドライン，実務指針の乖離の調整．11，12月あたりでやった．実務指針の方が先に決まり．．．
特別部会は個人情報に特化した部会．構成員は民間団体，先生，消費者代表，弁護士など．意見を反映してガイドライン，実務指針を策定した．

もどって2頁．ガイドラインの策定．金融関係は三層になっている．ガイドライン，実務指針，業務団体等のガイドライン．医療，金融，信用，情報通信に関しては格別の措置．これを検討するということ．
2001/10/05 以前は，個人情報保護法が見えてきた段階で考えてきた．それよりあとは，基本方針が見えてきた段階で再開した．各業態のガイドラインは13回14回のあたりで説明をもらって，意見等の交換をおkなった．

個人情報保護法の構成の説明．第一章：総則，第四章：個人情報取扱事業者の債務等，のあたりを中心にして検討した．金融分野のガイドラインの項目説明．特に10条11条12条が情報システムに関連してくる部分．保護法では 20, 21, 22 条で関連する部分．

監督に関して，委託先の協力関係で成り立っている．などを策定．このあたりを詳しくしたのが実務指針．パブコメを受け付けた．10月一杯．官庁は基本的には一ヶ月意見を募集するとなっている．大体4週間．このガイドラインも 401 の意見をいただいた．

個人情報保護法があり，ガイドラインがある．そのため，法律に定められているものははずすことができない．法律で定められていないことに関する意見が 25 件．
実務指針についてもパブコメ．一ヶ月取れなかったので，3週間．89件の意見．

法とガイドライン，ガイドラインと指針の関係．など(資料7頁)
5000 件というのが一つのラインになっているが，それ以下の場合，合併の場合，機微な情報をどう扱うか，本人確認の際に免許証などは本籍がある．これは機微な情報にあたる．どうすればよいかということに対して，金融庁のホームページで回答を公開されているので参照いただきたい．ガイドラインと実務指針の対応．指針は条ではなく，項であらわしている．(資料8頁) 機微(センシティブ)情報は別に定めた．

ガイドラインの目的：金融分野における個人情報取扱事業者が，個人情報の適正な取扱の確保に関して行う活動を支援．

法の解釈指針＋格別な措置．
・個人の生活にかかわる情報が半ば強制的に集められる．取得されて利用される特性が論点の一つ目．
・情報自身の価値が高い．漏洩した場合の影響が大きい．
・グループの情報共有が行われていることへの対応．
・顧客の継続的な資産・負債の管理に利用されている．

これらの状況を整理して，ガイドライン，実務指針で定めていく必要があるという考え方．実務指針では，さらにセンシティブ情報．信用情報機関の会員管理の特別措置．センシティブ情報の定義説明．
違反があった場合の措置を定めるかどうかも論点になった．実効性と透明性の確保．法制上の措置をして刑罰を科すということになれば，根拠が明確で，透明性がなければならない．
刑罰の適切な執行の問題や，刑罰よりも行政措置が実効的であるなどの意見．管理が良くなかった側だけでなく，情報を盗んだ側について考え，窃取されたほうの対応．ということで，行政措置をやれば十分だろうということで，法制措置はしなかった．店頭業務，営業業務は個人情報を取得して廃棄するまでのライフサイクルにたいした措置を明文化したほうがよいだろう，管理の措置．

どこまでやったらいいのかというガイドを示した．ガイドラインのところに書いてあるが，必ずしなければいけない義務規定と，望ましいという方向性を示したかき振りがある．「しなければならない」は義務規定．「こととする」「望ましい」は方針．後ろの二つは同じ．「しなければならない」という具体的な方策は決めていない．金融機関でそれなりの対応をしていただいて，ガイドライン，実務指針の内容が満たされるのであれば，方法は問わない．

中には，自分のお店しかないという証券会社もある．店頭に掲示すればよいのか？というのもある．方法は定めず，適切な方法でやってください，という書きっぷりになっている．
管理の方法も生体情報管理もカードの中で持つ方法，サーバの中で持つ方法などあるが，どちらが良いということはなく，根拠と理由がはっきりしていれば良い．

安全管理措置(13頁)の内容が14頁の資料で具体的に書いてある．
18頁から委託先の管理事項．委託先に委託してシステムを作る．委託先の監督にかかる事項を非常に重視した．正確な統計はないが，役半数近くが痛く割きや，再委託先から流れていることが多いと言われている．そのため，かなり細かく決めてある部分．
管理段階(19 頁) １−５に加えて6の漏洩時の対応．神の現物を廃棄する，PC を廃棄する，いろいろな状態に応じて事項を定めた．例えば，情報の取得入力では，丸の部分が対応する部分．誤植ではない．「縦の枠」「に関する．．．」と読む．組織的な部分と技術的な部分に分けて整理．

基本方針
個人情報の保護と有用性
各業態の自主的な実施
国際化

経営者の関わりが重要であるということで，管理責任者の明確化．金融機関がどのように管理しているかを一斉点検した．7/22 に公表．25, 26 頁はその結果．多くの機関で個人情報の漏洩などが起きていることがわかった．細かいことは 7/22 の報道発表資料として HP で出ているので見てください．
個人情報については以上であるが，個別には違いはあるが，紙情報に関しては全体的な管理が成されてきたが，PC などについてはまだ対応が必要に思われる．

金融庁の他および今後の計画
1.偽造キャッシュカードの問題．金融庁でも海外の状況を調べ，この2月から偽造キャッシュカードに関するスタディグループを作って対応してきた．金融機関の都銀の第一次オンラインの開発からやってきたが，偽造キャッシュカードのメンバーにも入って，いろいろな先生方を含めてやってきた．最終報告は
6/24 に公表された．ダウンロード可能．偽造から盗難カードに発展して，盗難と偽造の両方についてまとめた．紛失カードについてはまとめていない．紛失と盗難の切りわけが出来ない．金融関係におけるネットワーク取引，きやっ寝具の問題は今後も引き続きフォローしていくことになっている．この秋からインターネット取引をどうするのか，店頭における問題などについて再開する予定．

2.決済手段の手形小切手の世界．電子的な債権として活用させる必要があるだろうということで，既にIT戦略パッケージの中で，今年度の中で方向を決めなければならないとしている．経産省が最初で金融庁がうけて， 7/6 に座長メモという形で公表した．現物で目に見える中で展開されてきたものが見えな
い中で債権が動くということに十分に対応していかなければならない．法務省でも検討しているが，今年度中に方針が出てくるだろう．法的根拠，技術的な問題などの検討．

3.業務システムの見直し．金融庁の有価証券報告書のシステム．公開すべきであるとして，新しい財務諸表の記述原語として XBRL を採用することにした．世界的な流れである XBRL を採用．

4.IT 関係が金融関連でどのように利用されているのか．7 月にアンケートが実施し，報告された(9/30)．ホームページで．日本の金融機関がどう対応されているのかなど，生の声が出ている．コメントについても掲載している．自営や委託など，業態の違いもわかる．

5.金融分野のセキュリティ対策の充実．第一弾として，12月くらいに金融分野における情報セキュリティのシンポジウムを開催する．金融庁の中の会議室で行う．金融庁のホームページにでると思うので，それを見てほしい．

お話した多くのものは金融庁のホームページからダウンロード可能．メールマガジン(アップデート情報)もあるので利用していただきたい．いろんな業態がある中で，国民の金融，財産に関して守っていかな替えればならないというのが金融庁に課せられた役割．

Q.各金融機関で個人情報を一緒に扱う可能性があるというが，現状はどうなっているのか？
A.金融業界の中ではいろいろな業態でいろいろやられている．管理の主体を明確にしなければならない．ある情報を管理主体をはっきりして，第三者に与える場合には事前に了解を得なければならない．グループといえども第三者なので，事前に了解を得なければならないということになっている．

Q.東京三菱，UFJ の合併など．想定していない状況．
A.合併以前に集めた情報は，そのときの範囲で使う分には事前通知はいらないが，合併したために，別な目的で使用する場合には事前の了解が必要．

以上