相次ぐ情報漏えいと行政処分

近年、保険業界ではサイバー攻撃の高度化や出向者の管理体制の不備等に起因する情報漏えい事案が相次ぎ、当局による行政処分が立て続けに発出されています。

例えば2025年1月には、大手自動車販売会社の保険代理店であるトヨタモビリティ東京（株）および（株）グッドスピードに対し、保険業法に基づく業務改善命令が発出されています​（参照；【保険業法改正の羅針盤④】相次ぐ行政処分から学ぶ代理店に求められる保険募集管理態勢）

また2025年3月には、損害保険大手4社に対して保険代理店と保険会社間の情報やり取りにおける個人情報保護法に抵触するおそれと不正競争防止法に抵触するおそれを理由とする業務改善命令が発出されており、保険会社・代理店双方の情報管理態勢の不備が厳しく指摘されています​。

https://www.fsa.go.jp/news/r6/hoken/20250324/20250324.html

上記のような一連の問題を受けて、損保協会は2025年3月28日、募集コンプライアンスガイド(2025年3月版　情報管理版)を公表しました。本ガイドは、「損害保険業界として情報管理を強化する取組みの一環として、「個人情報の管理」を改めて取りまとめるとともに、これまで本ガイドに解説等がなかった、「保険募集人の健全かつ適切な業務運営」「情報セキュリティ管理」を新設しています。また、代理店・募集人の皆さまにご確認いただけるよう、参考資料として各種雛形を掲載」（https://www.sonpo-dairiten.jp/complianceguide-joho_20250328.html）するものです。

 

１　本ガイドのポイント

本ガイドは、３０ページで情報管理に関する重要事項をコンパクトにまとめています。

いくつか、整理のために補助線的な解説をしたいと思います。

①顧客等に関する情報管理体制

本ガイド1p

 

顧客等に関する情報管理体制について、個人情報、法人関係情報があること、それぞれ関係法令の関係性について図で整理がされています。さらに、営業秘密についても説明されており、「例えば、代理店においては、契約取扱規程集や引受指針等が該当する可能性があります。」（本ガイド2p）とされているなど、個人情報だけでなく、秘密情報を幅広く管理する必要性が整理されています。

 

②代理店業務における情報管理の留意点 

個人情報保護に当たって、まず代理店が守るべき関係法令等として、個人情報保護法の遵守が必要であるほか、以下のものを遵守する必要があると紹介しています。特に代理店委託契約書における記載事項は、法令やガイドラインよりも厳格な内容となっているケースもあるため、代理店において確認することが必要です。

・「金融分野における個人情報保護に関するガイドライン」
・「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」
・「保険会社向けの総合的な監督指針」
・「代理店委託契約書」

また、個人情報の共同利用についても解説があります。

特に重要なのは、「代理店が保険会社から取扱いを委託されている個人データに関しては、共同利用を行うことができません。万が一、利用する場合には、所属保険会社に事前に確認してください。」（本ガイド13p）とされている点です。

安易に情報共有ができないことは改めて確認されてしかるべきでしょう。

 

③代理店の属性に応じた留意点 （乗合代理店～お客さま情報を取得する際の利用目的の説明～）

保険料の見積もり比較について重要な説明がなされています。

「乗合代理店においては、取り扱う保険契約が満期を迎える際に、保険料の比較見積もりのために引受保険会社とは異なる他の保険会社にお客さまのご契約内容等を提供し見積書の作成を行う場合（保険会社から提供される代理店システムを利用して代理店が保険料試算をする場合を含む）があります。このお客さま情報の取扱いは代理店から保険会社への「委託」であり、個人情報保護法上の情報漏えいには該当しません。しかしながら、お客さまの意向に反し他社保険契約を見積もることは望ましいとはいえません。したがって、保険料見積もりに際しては、見積もり提示よりも前にお客さまが代理店に提供したご自身の情報が既契約の引受保険会社以外の保険会社に提供されることを丁寧に説明し、お客さまの理解を得ることが顧客保護の観点で必要となります。 」（本ガイド20p）

ここでいう「委託」は個人情報保護法上の委託であるとされています。個人情報保護法上の「委託」とは、「契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせること」をいい、その例として「個人データの入力（本人からの取得を含む。）、編集、分析、出力等の処理を行うことを委託すること等」があります（個人情報保護法ガイドライン通則編3−4−4）。

保険料の見積もりについて、お客様の同意がない他社保険契約の見積もりであっても、代理店から保険会社への「委託」であって漏えいに当たらないが、「意向に反して見積もることは望ましくない」という顧客保護の観点から、事前に丁寧な説明をすることが求められています。個人情報保護法の正確な理解が求められる場面です。これを踏まえて、個人情報の利用目的の説明として、見積もりの取得前に以下の5点を求めています。

本ガイド21p

 

④業務利用ソフト（アプリ等）のセキュリティ対策

この項目では、SNSの利用に関する事項が重要です。原則としてSNSの利用が禁止されています。

代理店の業務においてＳＮＳは原則利用しないでください。万が一、ＳＮＳを業務利用する場合には所属保険会社に確認のうえ、私用アカウントとは切り離し、電話番号等を使い分けるとともに、不適切な内容の投稿はしないでください。 メッセージの送信等を行う場合は、お客さまの承諾有無を踏まえるとともに、誤送信に留意し、また、用済みとなったメッセージ履歴はこまめに削除してください。アカウントの乗っ取り等のスミッシングによる被害に留意する必要があります。 本ガイド30p

 

２　各種規程のひな形

上記のとおり、代理店の規程類が営業秘密と例示されたからでしょうか。

個人情報取り扱い等に関する規程類のひな形が掲載されています。これは個人情報保護法の金融分野ガイドライン等に準拠していますので、このまま採用することができるレベルになっています。

社内での運用体制を確認し、これらのひな形に準拠することで情報管理体制は一応の体裁を整えることができます。

あとは実際に担当者を置き、具体的な運用を回せるように各代理店の「態勢整備」が求められます。

たとえば、漏えい事案等への対応の段階における取扱規程に関しては、個人情報保護委員会への報告（こちらは保険代理店としては各財務局への報告）の検討、不祥事件としての取扱いの検討などの条項を追加することなどになろうかと思いますが、社内で実際に回してみて必要となる具体的なフローをより詳細に確認する必要がありそうです。