澤田直彦
監修弁護士:澤田直彦
弁護士法人 直法律事務所
代表弁護士
IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を運営し、各種法律相談を承っております。
本記事では、
「情報銀行のメリット・デメリット【データの安全性とプライバシーのバランス】」
について、詳しく解説します。
当事務所では、LINEでのお問い合わせも受け付けております。お気軽にご相談ください。
登録はこちらから
情報銀行とは
定義
パーソナルデータの種類や量は膨大です。これをすべて個人が把握、管理していくことは難しいものです。
そこで、個人の代わりにパーソナルデータを安全かつ簡単に企業とやり取りする仕組みができました。
これが、「情報銀行」です。
総務省/経済産業省の「情報信託機能の認定スキームの在り方に関する検討会」により取りまとめられた「情報信託機能の認定に係る指針ver1.0※1」では、「個人とのデータ活用に関する契約等に基づき、PDS※2等のシステムを活用して個人のデータを管理するとともに、個人の指示又はあらかじめ指定した条件に基づき個人に代わり妥当性を判断の上、データを第三者(他の事業者)に提供する事業」と定義されています。
※2:PDSとは、Personal Data Storeの略であり、他者の保有するデータの集約を含め、個人が自らの意思で自身に関する情報を集約させ管理するシステムで、第三者への提供にかかる制御機能(移管を含む)を有するものです。
この定義の「個人のデータ」には、行動履歴、購買履歴、金融、ヘルスケアデータなどの重要なデータが含まれます。
役割
情報銀行の大きな役割は、パーソナルデータを適切に活用することで、国内産業を活性化させることです。
AIやIoTの進歩や、スマートフォン・5Gの普及にあわせ、情報の価値はますます高まっており、安全性を担保した上でパーソナルデータを活用することは産業の活性化につながります。
情報銀行の運営事業者は、セキュリティ体制を構築し、預託者の意思に則りパーソナルデータを利用し、パーソナルデータの取り扱いで損害が発生した場合は損害賠償責任を負い、利益を預託者に還元する、などの役割を果たすことが求められます。
現在、総務省・経済産業省は、情報信託機能の認定に係る指針を公表し、これに基づき日本IT団体連名が、情報銀行の認定を行っています(後述)。
情報信託機能の認定に係る指針
総務省と経済産業省は、国民がより安心して情報銀行ビジネスモデルを活用できるように、2018年6月に前述の「情報信託機能の認定に係る指針ver1.0」を策定し、情報セキュリティやプライバシー保護対策等に関する認定基準に適合した情報銀行事業者を認定する認定制度を確立しました。
この認定は、あくまで任意のものであり、情報銀行事業を行うために必須のものではありません。
認定の有効期間は2年で、2年経過ごとに更新審査を行います。認定基準への適合を維持できていれば、認定を更新することができます。
認定を行う日本IT団体連盟のホームページによれば、令和5年2月1日時点で、
通常認定を受けている会社は
●株式会社DataSign
の1社
「情報銀行」サービス開始に先立って立案した計画、運営・実行体制が認定基準に適合しているサービスであると認定(P認定)された会社は、
●三井住友信託銀行株式会社
●中部電力株式会社
●株式会社MILIZE
の3社です。
ここでは、上記指針で、総務省と経済産業省が実現しようとしている情報銀行について、簡単に説明したいと思います。
「情報信託機能の認定に係る指針」は、平成30年6月にVer1.0が策定され、令和元年10月、令和3年8月、令和4年6月と改定がなされ、現在はVer.2.2になっています。
1.0は、認定制度を有効に機能させるために作られ、総務省における実証事業、各企業における事業の検討等による事業の具体化や指針に基づく認定の開始等を踏まえ2.0が、制度運用の過程において顕在化した課題である健康・医療分野の情報の取扱いや提供先第三者の選定等について記載の見直しをしたのが2.1です。
最新の2.2は、令和2年及び同3年に行われた個人情報保護法の改正への対応に関する議論を踏まえた改定を行うと共に、指針の体裁を全体的に整理するものとして公表されました。
情報銀行についての論点は多くあります。
平成29年から官民合同で標記の検討会を開催する情報信託機能の認定スキームの在り方に関する検討会が開催され、現在までに23回開催されました。
主な検討項目は次の通りです。
- 情報信託機能による個人情報の提供に関する法的整理
- 情報信託機能を担う者に必要となる体制面等の要件、セキュリティ対策等
- 認定団体の運用スキーム
この検討会は、事前に指定の申込を行うことで、傍聴することが可能です(第23回は音声のみ)。
以下では、検討会で出た質問、論点についていくつか挙げました。 非常に多くの議論が行き交う検討会ですので、興味がある方はぜひ議事録をご覧ください。
→「認定基準」は、一定の水準を満たす「情報銀行」を民間団体等が認定する目的で定められた。当該認定によって消費者が安心してサービスを利用するための判断基準を示すことができるため、レベル分けはしない。
●健康・医療分野の個人情報のうち、要配慮個人情報に該当しないものは何か。
→健康診断、診療等の事業及びそれに関する業務とは関係ない方法により知り得た個人情報をいい、例えば歩行測定(歩数、歩幅など)、体重、体脂肪、体温、血圧、脈拍、筋肉量、呼吸数、視力等は要配慮個人情報に該当しない。
●情報銀行と契約を行う者が制限行為能力者である場合において、どのような手続を要するか、という論点がある。
情報銀行は将来的には、例えば未成年者向けのインターフェイスを提供するなど、判断力が不十分な者の判断を補完する役割を担うことも想定されている。情報銀行は、通常、①個人情報の第三者提供等に関し個人の同意を取得し、②個人との契約をした上で、当該個人についての情報銀行業務を行うことになる。
この①同意を行う者と②契約を行う者は、基本的に、同一の人物であることを想定している。しかし、子の手続を親が行う等の場合もあり得えるため、注意が必要な場合がある。これに対し、基本方針は次の通りとした。
①の同意については、個人情報保護法上の「本人の同意」として同意を得るべき者(※)が行うものとする
※個人情報保護法における「本人の同意」
個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある(「個人情報の保護に関する法律についてのガイドライン(通則編)」より。)
②の契約については、未成年・成年被後見人等であれば親権者・法定代理人等の確認が必要
●要配慮プロファイリングから推知、生成されたある種のリスク情報も、センシティブな性質があるため、取扱いについて検討されました。
→要配慮プロファイリングとの関係について、指針2.2では、要配慮個人情報であるプロファイルを取得、推知することのないように注意することが必要と明記。医療分野の要配慮個人情報についての取扱いである要配慮個人情報を推知するプロファイリングについても同様に検討する。
メリット、デメリット
情報銀行を運営する事業者として活動するには、一般社団法人 日本IT団体連盟の認定を受けることが望ましいとされています。総務省・経済産業省の「情報信託機能の認定に係る指針ver2.2」は、認定基準として「事業者の適格性」「情報セキュリティ・プライバシー」「ガバナンス体制」「事業内容」の4つの基準が示されています。
4基準にはさらに細かく項目分けがされており、非常に厳格な基準です。
一般社団法人 日本IT団体連盟は、この指針に基づき具体的な認定基準(「情報銀行」認定申請ガイドブック)を策定し、認定審査を行っています。
情報銀行の認定を取得した方が企業にとって得なのか、個人にとってどのようなメリットがあるのかについて説明します。
企業側のメリット
情報銀行によって適切に管理されているパーソナルデータにアクセスできるようになれば、質の高いマーケティングが実現できるようになります。これが、企業が情報銀行を利用する一番のメリットといえるでしょう。
かつてはテレビCMが最も効果的な広告宣伝と言われていましたが、2019年にはインターネット広告費がテレビCMの広告費を追い抜くなど、デジタルマーケティングが勢いを増しています。中でも、パーソナルデータをもとに顧客一人一人に適切なアプローチをする手法が、SNSの発展も相まってすごいスピードで広がっています。
そのため今後、企業がより多くの顧客に対して適切なコミュニケーションを図り、競争力を高めようとするならば、パーソナルデータの活用は不可欠であり、情報銀行の利用は非常に重要であるといえます。
また、認定取得により裁量型の運用が是認されやすくなり、また、(特に無名な企業の場合)認定取得により顧客に安心感を与え、PR効果がある等のプラス面もあるかと思います。
個人側のメリット
個人が認定を受けた情報銀行にパーソナルデータを預ける最大のメリットは、なんといっても「安心・安全」という点です。
情報銀行の運営事業者は、認定を受けるに当たり、厳しい基準をクリアした高度なセキュリティ環境を保持しています。
それにより、情報銀行に預託されたパーソナルータは安全に管理されることが担保されます。様々な事業者のサービスを利用するにあたり、個人がパーソナルデータを個別に管理するのではなく、情報銀行がパーソナルデータを集中管理し事業者に提供する形となりますので、煩雑さは減ります。
個人がそれぞれの企業に対してパーソナルデータを預けると、そのデータは各企業の管理下に置かれます。そうすると、登録した本人は、どの会社にどのような情報を預けたのか分からなくなることが予想されます。しかし、情報銀行を利用することで、そのような心配は無用になります。
どこにどのようなパーソナルデータを提供したのかを個人が明示的に選択・決定・コントロールでき、パーソナルデータを活用したい企業に個別に情報を預けるよりも安心・安全になります。
他にも、パーソナルデータを提供することで、ポイントなどのインセンティブを受けられるなど、副次的なメリットが得られることもあります。
企業のデメリット、リスク
一方で、
- セキュリティ構築・認定取得のコスト
- 認定条件や認定団体との契約に適合することによる業務形態の制限その他の負担
- 情報銀行として顧客の個人情報でお金儲けをしているイメージを顧客等に与えるリスク
- 周囲の耳目を集めて炎上しやすくなるリスク
等のマイナス面もあります。
また、「情報信託機能の認定に係る指針ver2.2」によれば、情報銀行とデータ提供を受ける提供先第三者とは、個人情報の提供先第三者との間での提供契約を締結することが必要です。
この契約には、必要に応じて提供先第三者に対して調査ができること、損害賠償責任、提供データをどのように取り扱うか、利用条件について規定することが義務づけられており、これに合意しなければなりません(提供先第三者が認定事業者である場合を除く)。
個人のデメリット、リスク
厳しい条件をクリアした情報銀行であっても、インシデントが発生するリスクはゼロではありません。
個人でパーソナルデータを管理するよりも高い安全性を担保しやすくはあっても、ゼロリスクにはなり得ないことは理解しておく必要があります。
業法との関係性
個人情報保護法の体系では、個人情報保護法、個人情報保護法施行令、個人情報保護法施行規則、通則ガイドライン中心として、金融分野ガイドラインと金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針が策定されています。これらの、適用対象は前述の通り、個人情報取扱事業者で、主に「個人データ」の取扱う場合です。
一方、銀行法や保険業法等の一部の業法の体系では、各業法の施行規則(内閣府令)において、
- 個人顧客情報の安全管理措置等
- 個人顧客情報の漏えい等報告等
- 返済能力情報の取扱い
- 特別の非公開情報の取扱い等
が定められていて、各業態の監督指針等において、個人顧客情報につき、通則ガイドライン、金融分野ガイドライン及び実務指針等の規定に基づく適切な取扱いが求められています。
各業法の規定の適用対象となる各業態の金融機関がとるべき
- 個人顧客情報の安全管理措置等
- 個人顧客情報の漏えい等の報告等
の対象は、個人顧客に関する個人データであることに注意が必要です。
条文を見比べてみると、個人情報保護法は、第6条で次の通り規定しています。
政府は、個人情報の性質及び利用方法に鑑み、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるとともに、国際機関その他の国際的な枠組みへの協力を通じて、各国政府と共同して国際的に整合のとれた個人情報に係る制度を構築するために必要な措置を講ずるものとする。
一方で、銀行法は、第12条の2第2項で次の通り規定しています。
前項及び第十三条の四並びに他の法律に定めるもののほか、銀行は、内閣府令で定めるところにより、その業務に係る重要な事項の顧客への説明、その業務に関して取得した顧客に関する情報の適正な取扱い、その業務を第三者に委託する場合における当該業務の的確な遂行その他の健全かつ適切な運営を確保するための措置を講じなければならない。
また、銀行やそのグループ会社が情報銀行業務を行う場合は、銀行法の業務範囲規制等に気を付けなければいけません。
他分野の事業を圧迫することを避けるため、本来の銀行の健全性を害さないために、兼業について厳しい規制があります。
しかし、近年、業務範囲規制が緩和され、銀行が行うことができる付随業務として「情報利活用業務」や「銀行が保有する人材、情報通信技術、設備その他の当該銀行の営む銀行業に係る経営資源を主として活用して営む業務であって、地域の活性化、産業の生産性の向上その他の持続可能な社会の構築に資する業務として内閣府令で定めるもの」が追加され、内閣府令で「他の事業者等の業務に関する広告、宣伝、調査、情報の分析又は情報の提供を行う業務」などが定められました。
しかし、この内閣府令で定められた業務は、新たに経営資源を取得する場合に、需要の状況によりその相当部分が活用されないときにおいても、当該銀行の業務の健全かつ適切な遂行に支障を及ぼすおそれがないものに限るとされるなど、制限があります。
このように、情報銀行業務を行うときに一定の制約を受けることとなるため、慎重に検討を行わなければならないことに注意が必要です。
従って、銀行・信託銀行が情報銀行業務を行う場合、銀行法等による制約があるため、競合会社と比べると不利となる場合があるといえるでしょう。
検討には、前述の金融分野ガイドラインを確認することが必須です。
【関連記事】
弁護士が解説!【カメラ画像情報を利活用するときの注意点】
位置情報を活用するときの注意点!【個人情報・プライバシー保護】
直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。
その他、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。
アカウントをお持ちの方は、当事務所のFacebookページもぜひご覧ください。記事掲載等のお知らせをアップしております。