「損害保険業の構造的課題と競争のあり方に関する有識者会議」報告書案と個人情報漏洩事案について

個人情報保護 金融規制

6月7日にビッグモーター事案、カルテル事案を受けた「損害保険業の構造的課題と競争のあり方に関する有識者会議」報告書案が公表され、また、5月23日に大手損保4社の乗合代理店における個人情報漏洩が公表されていましたので、それらについてコメントします(網羅的に紹介するものではありません)。金融庁の手法は個人情報保護委員会にとっても示唆的なのではないかと思います。

 

ビッグモーター事案について

  • 保険募集においては、代理店が大きな役割を有してきた。保険募集取締法、平成7年保険業法の保険募集に係る規律は、虚偽告知禁止等の消極的なものが中心であり、かつ、その監督は、主として代理店に募集を委託する保険会社に委ねられていた。
  • しかしながら、代理店の大規模化、乗合代理店の増加により、代理店の交渉力が増し、実効的な監督が困難になった。また、乗合代理店が行う募集においては、代理店と顧客の利益相反が問題となった。このような状況を受けて、平成26年保険業法改正及びそれに伴う下位法令の改正においては、基本的義務として顧客の意向把握義務、情報提供義務が導入され、代理店に独自の体制整備義務が課され、乗合代理店の比較推奨について推奨理由の説明義務が課された。
  • そのような状況で生じたのがビッグモーター事案である。そこでは保険会社による監督が機能しておらず、平成26年改正で導入された体制整備義務、推奨理由の説明義務も機能していなかった。また、保険会社からの「代理店手数料ポイント制度」や兼業代理店(ビッグモーターで言えば自動車修理業務と代理店業務)における利益相反により、顧客にとって有害なインセンティブを生じさせていた。
  • 報告書の提言事項は多岐にわたるが、その一つとして、金融当局によるモニタリングの強化と並んで、第三者評価制度を設けることが提言されている。これらは、平成26年改正で導入された義務について、保険会社による監督と並び、それを補う実効性確保のためのチャネルを用意するものといえる。

 

カルテル事案について

  • カルテル事案はより複雑である。報告書は、市場構造、共同保険のビジネス慣行と並んで、顧客株式の政策保有や便宜供与(なお、前者も一種の便宜供与だと思われる。)の実績がシェアに影響しており、競争意欲が減退していたこと、企業内代理店の不明確な立場を挙げている。企業内代理店については、さらに、顧客グループに属しているため保険会社による監督が困難であること、その結果保険代理店としての実務能力が低いままであること、そのように実務能力が低いにもかかわらずグループ企業への販売により存続できてしまうことが指摘されている。
  • カルテル事案は、このように、顧客企業が真面目にリスクマネジメントを行っておらず、その結果、自社に必要な保険の調達(付保)を行う気がなく、保険を比較検討し選択する(競争させるとはそういうことである)気がないことに起因している面があると思われる。報告書が「企業のリスクマネジメント意識の向上」に言及しているのは、このような文脈で理解されるべきだと思われる。

 

個人情報漏洩事案について

  • 「今般、当社委託先の自動車ディーラー代理店等において、当該代理店の本社から各店舗宛に、当社お客さま情報を含む満期契約リストや申込書不備リストを電子メールで送付する際、他の損害保険会社の担当者を「写し」に設定していたことが判明しました。また、他の損害保険会社のお客さま情報が含まれたメールを当社が受信していたことも判明しました」(三井住友海上プレスリリース)。
  • 個人情報の取扱いの委託を行う場合、受託者には独自利用が禁止され、分別管理が求められるが、実際上、代理店(特に乗合代理店や兼業代理店)がこれらを履行できているのか、そもそも委託という整理が彼らが行おうとしている情報利用の実態に即しているかについて、疑義がある。製販分離が進むのであれば、個人情報保護法上も第三者提供と位置づけたほうが実態に即していることになるのではないかと思われる。
    • なお、保険監督上は、保険会社と代理店が委託関係であるという整理自体は維持されるようであるが、個人情報保護法上は、委託は第三者提供の同意原則の解除事由であり、委託と認定されることは保護水準が切り下げられることを意味する。したがって、監督の実効性(それにより受託者を委託者と一体とみなすことができ、「第三者」提供規制の免除が正当化されるとされる。)が期待できないようなケースでは、委託に当たらないと整理すべきではないと思われる。
    • なお、MHMや個情委出向者のNBL連載でも指摘されているところであるが、個人情報保護法27条5項1号は「個人データの取扱いの全部又は一部を委託することに伴って」個人データが提供される場合を対象としており、何らかの事務の委託がされていれば同号が適用され、そうでなければ同号が適用されないというものではない。保険代理店においても、募集の委託がされているからといって、 それに伴う代理店の個人情報利用まで委託によるものと評価される/されるべきことになるわけではないことに留意すべきである。
  • (2024/7/15追記)以上とは別に、株式会社トータル保険サービスにおいて、「損害保険ジャパンからの出向者が、代理店の顧客である法人の契約内容などの情報、およそ2700件を、出向元の損保ジャパンに漏えいしていた」「今月10日、損保ジャパン側から報告を受けて、事案が発覚したということで、会社では対象の顧客には順次連絡をとるとしています」とのことである(損保ジャパンから代理店出向の社員 顧客情報約2700件を漏えい | NHK | 東京都)。この件では代理店が独立の(=Controller相当の)事業者と位置付けられているようにも見える。保険会社(情報を「盗まれた」他社)と代理店の関係を委託と解した場合、保険会社→代理店→損保ジャパンという2段階の委託がなされていたことになるが(損保ジャパンから代理店への出向の法律構成にもよるが、ここではトータル保険が損保ジャパンに業務委託を行い、損保ジャパンの従業員が損保ジャパンの従業員として同社の受託業務に従事していたと仮定している)、このような整理は実態に即しておらず、上記の位置付けのほうが適切なのではないか。