法務FinTechと個人情報保護法

 FinTechに纏わる法律について、続いては、個人情報保護法に関して述べる。

 一言に個人情報保護法と言っても実際のところ何の法律であるか、専門家でない限りピンと来ない方々が多いのではなかろうか。読んで字の如しと済ませてしまってはならないと思っていても、いざどうすれば良いか皆目見当もつかない。
 はたまた自身の特定情報を手堅く守ってくれるもの。ひいては自分達は隠す癖に、こちらの情報は明け透けに見て取り監視する為のものだろう、、、。 聞こえてくる声は様々であろう。小生、真の素顔を知る者の一人ではあるが、そこは割愛する。

 そもそもFinTechというものの本質に於いては、既存の金融サービスだけでは不十分且つ成し得なかった各々に応じたサービスをビッグデータ収集及び分析を通して提供する事。金融、非金融共々サービスが融合し、新たな価値創造のもとにサービスが提供される。これら事業活動の前提に個人情報を取得する事が必要不可欠になってくる。
 FinTechの名の下に集まる企業には、個人情報保護法を始め、それに関連するガイドラインに留意せねばならない。FinTechスタートアップ企業に影響する2017年5月30日全面施行された改正個人情報保護法がそれである。

 ここからは規制の概要及び法源、枠組みについて記していく。2003年制定個人情報保護法は、個人情報の適正な取り扱いについて規定しており、民間企業に於いては、個人情報取扱事業者(2条5項)と定義し、順守義務を定めている。

 FinTechに於いては、金融機関であれば金融庁の”金融分野に於ける個人情報保護に関するガイドライン”、非金融機関では経済産業省の”個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン”その他各省庁の実務指針、Q&Aに留意せねばならなかった。
 また、無線LANなどの電気通信役務提供に拠る電気通信業を営む際は、総務省の”電気通信事業に於ける個人情報保護に関するガイドライン”などが適用されてきた。
 2015年改正、2017年5月30日全面施行の改正個人情報保護法により、FinTech企業に対応が要される事となった。各省庁ガイドラインの内、個人情報に関するものは、新設された個人情報保護委員会の定めるガイドラインに原則一元化、その上で信用等を含む金融関連、情報通信関連及び医療関連など、一部の分野について別途規律を設けているが、それは後述していく。

 個人情報保護法上の義務としては、個人情報取扱事業者(個人情報データベース等を事業の用に供する者)(2条5項)に課される。ここでいうデータベース等というのは、特定個人情報をコンピュータなどを使用し検索出来る様構成されたもの(2条4項)を指し、検索可能なデータを事業用途に使用していなければ規制対象外である。具体的に記しておく。

  • メールソフトアドレス帳、仕事に供ずる携帯電話の電話帳
  • ソフトウェアなどでリスト化された従業員や顧客台帳
  • 五十音整理され、目次を付し、ファイリングされた登録カード
  • 住所、氏名、企業毎に分類される市販人名録

 個人データ(2条1項)には個々の個人情報(住所、氏名、生年月日)(2条1項)として定義される。個人情報取扱業者が情報開示、訂正、消去など権限を有し、6ヶ月以上情報保有する個人データは、保有個人データ(2条7項)となる。
 尚、改正個人情報保護法に於いては、個人情報符号(身体的特徴、マイナンバー等)が個人情報として定義、明確化(2条1項2号、2項)されているが、これも後述する。

【個人情報保護上の概念および対応に対する義務】

 個人情報取扱業者が個人情報を取得する際、原則予め本人に利用目的を明示せねばならない(18条2項)。契約書、web画面などに利用目的明記する方法がある(2016年(平成28年)11月”個人情報の保護に関する法律についてのガイドライン(通則編)” 3-2-4)。ここでいう契約書には、約款又は利用条件などの書面及び電磁的記録を含むが、実際にこの利用目的を利用者が見られる様留意せねばならない。
 個人情報取扱業者は、法令に基づく様な場合の例外を除き、又、予め本人同意を得ず、個人データを第三者提供してはならない(23条1項)。
 只し、他の企業が個人情報取得、利用する際でも本人同意不要となる一定の手続きがある。以下に纏める。

  • オプトアウト(同条2項):本人求めに応じ、当該本人が識別される個人データの第三者提供停止をするとしている場合で、一定事項につき予め本人通知し、又、容易に知る事が出来る状態にある場合
  • 利用目的達成に要する範囲内の委託(同条5項1号、22条にて委託先監督が要求)
  • 他の企業と共同利用(同条5項3号):共同利用者の範囲・利用目的について予め本人通知し、又容易に知る事が出来る状態にある場合

 ここからは2017改正個人情報保護法の主な改正点について述べる。個人情報取扱業者に対する監督権限が各分野に於ける主務大臣より個人情報保護委員会の新設に拠り一元化され、事業者に対し、必要に応じ、報告徴収立入検査を行え、指導、助言、勧告、命令を行えるとされる。
 個人情報保護委員会と金融庁は、改正法に合わせ”金融分野に於ける個人情報保護に関するガイドライン”及び”金融分野に於ける個人情報保護に関するガイドラインの安全管理措置等についての事務指針”を策定するなどし、是迄各省庁が其々個別制定していた個人情報保護に関するガイドラインを原則委員会制定ガイドライン一元化の下、金融機関関連、情報通信関連等、FinTechに関わるものを含む分野に於いて当該ガイドラインを元に当該分野に於いて必要となる別途規律を新設した。
 個人情報の定義も明確化された。以下2点。

  • 利用、活用に資するグレーゾーンを解消すべく、個人情報定義として個人識別符号(身体的特徴、マイナンバーなど)が含まれるものが対象となる(2条1項2号、2項)。
  • 要配慮個人情報(人種、信条、病歴等、本人に対する不当差別偏見が生ずる可能性がある情報)の取得に於いては、原則本人同意を得ることが義務化(17条2項)。元々個人情報取得自体、同意不要であったが、この”要配慮” 個人情報につき取得自体に同意が必要となったものである。

 個人情報有用性確保整備として、所謂ビッグデータ利用、活用促進の為に、特定個人識別出来ぬ様個人情報を加工したものであり、当該情報を復元不可能にしたもの”匿名加工情報”(2条7項、36条)に関する規定が新設。匿名加工情報に於いては、個人情報に比してやや緩く、そもそも利用目的以外の利用が可能となった。
 又、第三者提供の際、提供情報項目、提供方法明示、公表(37条)に拠り、本人同意無しに提供可能であるとされる。
 只し、匿名加工情報作成者、受領者共々、他の情報との照合などの識別行為禁止(36条5項、38条)、情報漏洩などを防止する為に個人情報保護委員会規則に定める基準に則り、加工方法等、情報安全管理措置の努力義務を要する故(改正法36条6項、39条)、是等負担を認識対応の上、匿名加工情報の利用、活用を要する。

 個人データの第三者提供に際し、確認記録作成などが義務化され、a)第三者より個人データ提供を受ける際、提供者氏名、データ取得経緯確認の上、内容記録作成、一定期間保存が義務付けられ、b)第三者に提供する際も提供年月日、提供先氏名など記録・作成・保存が義務付けられている(25条、26条)。
 個人情報データベースを不正利益獲得目的で第三者提供、又は盗用行為を、個人情報データベース提供罪とし処罰対象にしているが、是等は所謂”名簿屋”対策である。

 外国の基準に対してはどうであろうか。外国所在の第三者の個人データ提供制限、個人情報保護法国外適用、委員会に拠る外国執行当局への情報提供に係る規定が新設(24条)。
尚、EU諸国を始めとするEEA(欧州経済領域)内との個人情報及びデータの遣り取りの際は、GDPR(一般データ保護規則。2016年5月24日成立、2018年5月25日適用)が適用される可能性があるが、我が国に於いては、IPアドレスなど個人情報に該当しないものもGDPRでは該当する。
 例を挙げるに、我が国のインターネット通販サイトにEEA領域内よりオーダーが入り、個人データ取得してしまえばGDPR適用といった具合である。欧州経済領域内に拠点を構えていない場合の策としては、EU代理を選任するなどに留意を要すればよい。

 最後に改正前、取扱う個人情報総数5,000以下の企業が規制対象外であったのに対し、改正後は除外規定廃止、個人情報データベースを事業の用に供する企業であれば、個人情報取扱業者に該当、安全管理措置を取らねばならない(2条5項)。
只、スタートアップ時点に於ける従業員総数100人以下の企業に於いては、委員会ガイドライン策定に当たり、相応の配慮が成されてはいるものの、個人情報総数5,000を超えるか否か、委託を受けての個人データ取り扱い企業は規制緩和措置対象外である故、要注意である。
 繰り返しになるが、前述したオプトアウト利用厳格化について、予め本人通知し、本人が容易に知る事が出来る状態に置く措置の限定であり、個人情報取扱業者は所要事項の委員会届出が義務付けられ、其に伴い、委員会は其の内容を公表するとされた(23条)。