2021-04-27 第204回国会 参議院 内閣委員会、総務委員会連合審査会 第1号
顧客情報管理ソフトウエア大手のセールスフォース・ドットコムが手掛けるクラウドサービスを利用する地方自治体での不正アクセス被害が次々に明らかになりました。このセールスフォース・ドットコムのクラウドサービスを利用する自治体は九自治体、約十一万人に及ぶそうです。つまり、十一万人の住民が個人情報漏えいの危険にさらされていたということになります。
顧客情報管理ソフトウエア大手のセールスフォース・ドットコムが手掛けるクラウドサービスを利用する地方自治体での不正アクセス被害が次々に明らかになりました。このセールスフォース・ドットコムのクラウドサービスを利用する自治体は九自治体、約十一万人に及ぶそうです。つまり、十一万人の住民が個人情報漏えいの危険にさらされていたということになります。
今御指摘の、銀行が顧客情報を利活用する場合の同意の取り方でございますけれども、個人情報の保護に関する法律についてのガイドラインというものがございまして、その中で、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によるというふうにまずされているところでございます。
例えば、何でもすぐに安く買える外来種のアマゾンに始まり、日本のインターネット市場は、米系のGAFA、そして世界的には中国企業のBATHが急激に台頭をしてきており、世界中の消費者が、顧客情報をですね、データを中国系とアメリカが握って、それらを更に活用して圧倒的に優位な営業を掛けているというのが実態でございます。
今後も引き続き金融審議会において、資本市場におけるグローバルなプラクティスとの整合性の確保、それから証券サービスに関する公正な競争の促進や投資家保護、顧客情報の適切な保護などの観点を踏まえて、丁寧に議論を進めてまいりたいと考えております。
具体的には、顧客情報や設計情報を他の企業と共有するネットワークシステムの構築や、生産管理システムを導入して工場の生産プロセスを効率化する取組も支援対象としております。こうした幅広い設備投資に御活用いただけるよう、しっかりと制度の周知をしてまいりたいと思います。 また、今回の新型コロナの対応で浮き彫りになった課題の一つが、大企業を含めた企業のデジタル化の遅れでございます。
○大門実紀史君 どこからこの顧客情報、ID、パスワードは流出したのかということなんですけど、今日の時点では一つの可能性として申し上げておくということにしておきますけれども、私が業界関係者のヒアリング通じて最も懸念しているのが、電子決済等代行業者からの、業者そのものか、その関係者なのか、そこで働いている人なのか別として、分かりませんが、電子決済等代行業者、まあ電代業者といいますが、からの流出が最も可能性
金融サービス仲介業者が兼業を行うということは可能である、顧客に関する情報をその同意を得て第三者に提供することも可能であることは、これは衆議院の答弁から確認ができているわけでありますが、この場合、極端な話、顧客情報の提供だけで収益を上げるような業者が出てくる可能性がないとも限りません。
したがって、御指摘のように、顧客情報を第三者に提供する事業の併営を行い、その事業の規模が仲介業務の規模より大きい金融サービス仲介業者が現れるということも否定はできないところでございます。
まさに委員御指摘のとおり、仲介業者の営業形態が対面であるのかオンラインであるのかによりまして、お客様に対する商品、サービス内容の説明方法、あるいは顧客情報の取扱いに関する本人同意の取得方法などに違いが生じてくるというふうに考えております。
利用者の個人情報だけでなくて顧客情報なども盗み取られる可能性もあると言われておりまして、こうしたサイバー攻撃を防ぐためには、通信経路の暗号化であるとか、さらには、ウイルス対策ソフト、これを最新版に更新するなどの事前の準備、これが不可欠でございます。
個人情報であります顧客情報の第三者提供については、金融機関に対しましては、一般的な事業会社に課される個人情報保護法令に加え、金融分野ガイドラインや業法、監督指針等においても遵守すべきルールが定められております。こうしたルールのもと、顧客が、自身の情報が第三者に提供されることをしっかりと理解した上で同意の判断をできるよう、金融機関において適切な対応が図られるべきというふうに考えております。
これに対しまして、今般創設されます金融サービス仲介業者につきましては、複数分野における仲介を横断的に行うものであるということを踏まえまして、既存の仲介業者に対する規制を参考に、顧客情報の適正な取扱いを義務づけるということを予定しております。 こうした規制を踏まえて、顧客情報の適正な取扱いが十分確保されるよう、しっかりと監督をしてまいりたいというふうに考えております。
○日吉委員 続きまして、顧客情報提供業務ということで、本来の業務ではなくて、顧客情報の収集そのものが本業のようになってしまうとそれは本末転倒かなというふうに思いますけれども、この立法の趣旨を逸脱することがないように、この顧客情報提供業務、これをどのようにモニタリングをしていくのかについて教えてください。
さらには、ネット検索に対応できる機能を整備することで新規顧客の開拓につながったケースや、顧客情報管理ツールや売上管理ツールの導入によりまして、来店客の属性に合わせた新たな料理メニュー開発ができ、売上げ向上につながったケースも出始めているところでございます。
これは、やはり新電力を含めて、単に既存の電力会社だけでなく、それぞれが災害のときには協力し合うという体制が必要だと思いますが、その際に、先ほど大臣が言及されました中間報告、中間論点のところでも、もう少しこれ具体的に、やはり災害のときに顧客情報も含めた情報共有がしっかりできるということを、ある程度これ法的根拠がないと、元々の電気事業法の方で禁じられていることをなかなか事業者はやるのは難しいと思いますので
やっちゃった場合、まさに信頼関係は失われたということで、これを盾に取っていきなり顧客情報をシャットダウンするというようなことを実際にやってきたわけですね。そういうことに使われているのがこの信頼関係を失った場合ということで、何でも使えるというようなことがあるわけですね。 これ、もう答弁は同じだと思いますので、これも含めて、こういうことを含めて、実はこれ、ほかの大手損保もみんなあるんですよ。
委員会におきましては、暗号資産を用いた取引に対する規制の在り方、暗号資産に関する問題事案の発生防止策、金融機関による顧客情報の提供業務の課題等について質疑が行われましたが、その詳細は会議録によって御承知願います。 質疑を終了し、討論に入りましたところ、日本共産党を代表して大門実紀史委員より本法律案に反対する旨の意見が述べられました。
十四 金融機関の顧客情報を第三者に提供する業務については、個人情報の有用性に配慮しつつ、センシティブ情報を含む個人情報の保護が図られるよう万全を期すとともに、十分な検査・監督体制の整備に努めること。
いわんや、銀行業の高度化のために、銀行が持っている顧客情報、これを他業に転売することを業としていいというこれは条文ですから、今までの、かつてのユニバーサルバンクのときの議論のように、銀行の持っている情報を子会社の証券会社に利用させるとか、そういう次元の話じゃないことが今行われようとしているんです。
金融庁としては、顧客情報が安易に利用されることのないようにいろいろ気配りもされたんでしょう。その一方、使わせろという圧力はかなり強かったものと思います。 そこで、この第十条の二十という条文ができているんですが、そこでお伺いしたいんですが、大臣、情報を第三者に提供する業務をやっていいと書いてあるんですが、やっていいのは二通りの場合だけと書いてあるんですね。
また、銀行法を始めとします各金融関連業法の法律、それから監督指針、業界の自主ルールにおきましても、顧客情報の漏えい防止のためなどの体制整備といったさまざまな措置が設けられているということで、上乗せの厳しい規制がされております。
さらに、付加価値顧客情報といった場合は、それこそ、それぞれのところでプロファイリングされていて、自分で知らない自分の情報というのも当然入ってくることになると思います。 次に行きますけれども、では、提供先の第三者、これは制限はあるんですか、ないんでしょうか。例えば、消費者金融業者、パチンコ、カジノ運営業者、こういうところに提供できるのか、できないのか。
付加価値顧客情報、金融機関で分析したものも大丈夫だということですから、金融機関がプロファイリングして、例えば、この方はこれぐらいのハイリスク・ハイリターンの投資商品を好むだとか、恐らく、証券会社にしろ銀行にしろ、そういうのをいろいろ情報を持っていると思いますが、そういうものも含めて提供できるという理解でいいわけですね。
照会により求められた顧客情報を本人の同意なく回答することが民法上の不法行為を構成することは通常考えにくい、こういう記載があったのではないか。そして、あったとするなら、このガイドラインは今も有効なのか。有効でなければ、どのように経済産業省としては認識、現在の認識はどういう認識でおられるのか、それをお伺いしたいと思います。
当時、その参考資料でございますQアンドAでございますが、捜査機関等からの照会により求められた顧客情報について、本人の同意なく回答することが民法上の不法行為を構成することは通常考えにくいとの見解を示していたと承知をいたしております。 ただし、平成二十九年五月の改正個人情報保護法の施行によりまして、同法の所管が個人情報保護委員会に移管がされまして、当該ガイドラインは廃止されました。
その際に、代理店委託契約書に、保険業法が求めております重要な事項の顧客への説明ですとか顧客情報の適正な取扱いなどの内容も盛り込まれているものと承知しております。
○大門実紀史君 この法的根拠という資料の下の方ですけど、これ保険業法百条の二だと思うんですけれど、要するに、お客さんに対してちゃんと説明、保険の内容とか説明するということと顧客情報をきちっと扱いなさいというのは、これは保険会社が顧客本位という対応をしてほしいということで、保険会社が代理店に業務委託する際に担保するといいますか、委託契約書に入れるというのは、これは当たり前のことだというふうに思います。
昔ながらの紙でやるという今の政府の統計というのは、もう戦前から同じような手法だと東大の渡辺教授は指摘していますけれども、民間はどんどん、顧客情報とか購買履歴とか従業員の賃金とか、デジタルデータで持っているんですね。それをそっくりそのままもらうという仕組みも考えるべきだ。これは、実際、スイスの連邦統計局ではそういうことをやっているそうです。
これによって、例えば、仕入れから販売、在庫管理、顧客情報管理を一気通貫で見れるようなITツールですとか、あるいは、最近ちょっとはやり出していますロボティック・プロセス・オートメーションという、数字を流し込めば表計算のスプレッドシートをそのまま作るとかパワーポイントの資料ができるとか、こういったツールの導入につながっていくのではないかというふうに思っています。
○政府参考人(栗田照久君) 今御指摘がございましたように、保険業法におきましては、保険会社は、業務に係る重要な事項のお客様への説明、顧客情報の適切な取扱いが求められておりまして、その業務を第三者に委託する場合においても、業務の的確な遂行その他健全かつ適切な運営を確保するための措置を講じなければならないというふうにされております。