個人情報保護委員会は、令和7年4月30日、東京海上日動火災保険株式会社、損害保険ジャパン株式会社、三井住友海上火災保険株式会社及びあいおいニッセイ同和損害保険株式会社に対し、個人情報の保護に関する法律第147条に基づく指導を行い、保険代理店に対し、注意喚起を行いました。

今回は、「保険代理店における個人情報の取扱いに関する個人情報保護法上の留意点について（注意喚起）」（https://www.ppc.go.jp/files/pdf/250430_alert_insurance_agencies.pdf）（以下「注意喚起」）を、同日出された「損害保険会社及び保険代理店に対する個人情報の保護に関する法律に基づく行政上の対応について」（https://www.ppc.go.jp/files/pdf/250430_02_houdou.pdf）（以下、「行政上の対応」）と併せて読みたいと思います。

「注意喚起」は、2つの事案（代理店事案と出向者事案）について、個人情報保護法上の留意点を伝えるものです。

１　代理店事案について

複数の損害保険会社の保険商品を取り扱う一部の損害保険代理店（以下「保険代理店」といいます。）が、損害保険会社から保険契約の締結等の業務を委託されることに伴って取扱いを委託されていた、保険契約者の個人データ（契約者氏名、証券番号、保険料等）を、本人の同意なく他の損害保険会社に提供していました。

この事案について、以下の2点が留意事項とされました。
①個人データの取扱いの委託
②第三者提供の制限

①個人データの取扱いの委託について

保険代理店が、損害保険会社から保険契約の締結等の業務を委託されることに伴い、保険契約者の個人データの取扱いの委託を受けてこれを取り扱っている場合、委託の範囲内でのみ、当該個人データを取り扱うことができます。本事案では、保険代理店が、保険契約者の個人データを、当該保険契約と関係のない他の損害保険会社に提供しているところ、このような提供は、特段の事情がない限り、委託の範囲を超えた個人データの取扱いになるものと考えられます。

（「注意喚起」https://www.ppc.go.jp/files/pdf/250430_alert_insurance_agencies.pdf　1ｐ）

この部分は、損害保険会社からの委託の範囲を超えている、というように読むものと思われます。行政上の対応によると、損害保険会社側に対して以下の指摘がなされています。

本件では、保険代理店により、保険契約者の個人データが、契約する損害保険会社ごとに分けることなく、複数の損害保険社に対し一斉にメール送信を行う等の方法で、長年にわたり、本人同意のない第三者提供が行われ続け、損害保険会社は、本件発覚に至るまで、かかる第三者提供を止めることはなかった。委託元である損害保険会社は、このような保険代理店による個人データの提供を放置するのではなく、本来であれば、委託の内容等の見直し、定期的な監査等を実施し、保険契約者に関する個人データが適切に取り扱われるよう、保険代理店に対して監督を実施するべきであった。

（「行政上の対応」https://www.ppc.go.jp/files/pdf/250430_02_houdou.pdf　8p）

今後は、行政上の対応によると、保険会社への再発防止として以下の指示が出ていますから、保険代理店に対して損害保険会社からの監督（保険契約者の個人データを、当該保険契約と関係のない他の損害保険会社に提供しないよう監督すること）が実施されることが予定されているので、それに対応するよう注意を呼び掛けるものでしょう。

・保険代理店等に個人データの取扱いの全部又は一部を委託する場合、その取扱いを委託された個人データの安全管理が図られるよう、個人情報保護法第25条及びガイドラインに従い、委託を受けた者に対する必要かつ適切な監督を行うこと。

（「行政上の対応」11p）

②第三者提供の制限について

保険代理店が、損害保険会社から取扱いの委託を受けている保険契約者に関する個人データを、当該保険契約者が契約していない他の損害保険会社に提供する場合、他の損害保険会社は、当該個人データについては委託関係がありませんので、「第三者」に該当します。そして、本事案において、保険代理店は、あらかじめ本人の同意を得ることなく、保険契約者に関する個人データを他の損害保険会社に対し提供していました。したがって、このような個人データの提供は、個人情報保護法第27条第１項の規定違反となります。

（「注意喚起」https://www.ppc.go.jp/files/pdf/250430_alert_insurance_agencies.pdf　2ｐ）

個人情報保護法第27条第１項は、「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」と規定しています。今回は、保険契約者の同意を得ないでほかの保険会社に提供したことが個人情報保護法第 27条第１項の規定違反となります。

本件は非常に理解が難しいので、関係性の図示を試みると下記のようになります。

保険契約者は、保険代理店を通じて保険契約を申し込むとき、上記のとおり、保険代理店は、代理店委託契約に基づいて保険会社に代わり個人データを取得しています。法的な評価としては、「保険会社が個人データを取得している」ことになります。

法的に、X保険会社は、取得した個人データを取扱いの委託にともない、「保険代理店に提供している」という評価になります。

本件では、保険代理店が本人が契約していないYに個人データをメールで送信しているので、Xからの委託の範囲を超えたことによる契約違反、本人の同意を得ていないことによる個人情報保護法違反、ということになります。

執筆者プロフィール

中村　譲

株式会社Hokanグループ　弁護士/パブリック・アフェアーズ室長
兼コンプライアンス室長
2008年慶應義塾大学法科大学院卒業、2009年弁護士登録（東京弁護士会）。都内法律事務所・損害保険会社・銀行を経て、法務責任者として株式会社hokanに入社。平成26年保険業法改正時には、保険会社内で改正対応業務に従事した経験を持つ。
これまでに「金融機関の法務対策6000講(共著)」「ペット保険の法的課題(慶應大学保険学会)」『「誠実義務」が求める保険実務におけるDXの方向性（週刊金融財政事情2024．9.17）』を執筆し、日経新聞（2024.9.4朝刊金融経済面)にもコメントが掲載される。

関連記事

• 2025年5月28日令和7年4月30日の個人情報保護委員会からの保険代理店向け注意喚起を読む①
• 2025年5月21日【速報】令和7年5月12日公表「保険会社向けの総合的な監督指針」（案）を読む⑥
• 2025年5月15日【速報】令和7年5月12日公表「保険会社向けの総合的な監督指針」（案）を読む⑤
• 2025年5月14日【速報】令和7年5月12日公表「保険会社向けの総合的な監督指針」（案）を読む④