...

資料7 - 経済産業省

by user

on
Category: Documents
16

views

Report

Comments

Transcript

資料7 - 経済産業省
資料7
各個人信用情報機 関等の 回答一覧表
1.安全管理について
① 安全管理措置、とり
わけ技術的・物理的な措
置の具体的な項目につい
て、どのように対処して
いるのか。
テラネット
全情連
技術的・物理的な措置の具体的な対処は以下の
とおり行っています。
【技術的安全管理】
指紋及びID・パスワードによる認証制限
各担当者のパソコンへのUSBキー・ID・パスワー
ド設定及び起動時認証
各パソコン内のデータの暗号化
各担当者のパソコンから外部記録媒体への書き
込み制限
個人情報データベースにアクセスした記録のセ
キュリティ技術管理者による監視
など
【物理的安全管理】
業務フロアの入退館について生体認証装置の導
入
業務フロアの各担当者デスクへの監視カメラの
配置(3台、記録保存50日間)
個人情報データベースにアクセスできる端末の
制限
信用情報取扱管理者による不正アクセス有無の
日次チェック(記録保存1年)
ノート型パソコンへの盗難防止用ワイヤーによる
施錠
個人情報記載の紙帳票についてレベルに合せた
施錠管理
記録媒体等の無断持込の禁止
など
その他「金融分野における個人情報保護に関す
るガイドラインの安全管理措置等についての実務
指針」及び「経済産業分野のうち信用分野におけ
る個人情報保護ガイドライン」に従った対応を
行っています。
情報センターでは、「個人情報の保護に関する法
律」及び金融庁の「金融分野における個人情報
保護に関するガイドラインの安全管理措置等に
ついての実務指針」にもとづき、個人信用情報に
係る安全管理措置を実施しています。物理的、技
術的な措置の項目としては以下のとおりです。
全銀協
1.技術的安全管理措置
(1)個人信用データへのアクセス制御等
・センターと会員間のコンピュータの接続回線を
専用回線またはグループセキュリティサービスを
利用したINS回線とすることにより第三者の不正
アクセスを防止。
・個人信用データへのアクセスには、ID・パスワー
ドによる本人認証を実施(パスワードの最低文字
物理的安全管理措置
数、有効期限等の技術的措置が実装)。
・建物への入退館管理
・業務権限に応じてアクセス権を設定し、権限外
・事務室への入退室管理
アクセスを技術的に制御。
・コンピュータサーバー室への入退室管理
(2)業務上作成される個人情報へのアクセス制
・施錠管理
御等
・入退室記録の取得保存及び点検等
・業務上使用するパソコンについては起動時に
・監視カメラによる事務室内監視
ID・パスワードによる本人認証を実施。
・データファイル自体にパスワードを設け、担当業
技術的安全管理措置
務以外の個人情報には一切アクセスできないよ
・個人データ取扱者の識別及び認証
・個人データの管理区分の設定及びアクセス制 うに設定。
(3)アクセスの記録・分析
御
・個人信用データへのアクセス記録を全て取得。
・個人データへのアクセス権限の管理
・個人データ管理者は、日々、個人信用データへ
・個人データの漏えい、き損の防止策
のアクセスの前提となる本人開示申込書等の件
・個人データへのアクセス記録及び分析
・個人データを取り扱う情報システムの稼動状況 数とアクセス件数の一致を確認。
(4)暗号化
の記録及び分析
・個人データを取り扱う情報システムの監視及び ・個人信用データを登録・照会する際に使用する
記録媒体(磁気テープ等)については暗号化対応
監査 等
済み。
また、具体的な実施状況としては、例として以
下の対応を行っています。
[入退館室制限、識別・認証]
会社入口に顔認証装置を設置し、顔情報の登
録された職員のみ入ることができます。また、事
務室、マシン室、開示室ごとに入室制限をしてい
ます。
事務室及びマシン室への入室は入退室用非接
触型ICカード認証装置を設置し、入退室の都度、
認証を行います。入退室の記録は、顔面認証は
300日間、ICカードは1年間保存しています。
また、各担当者のパソコン毎に指紋認証装置を
設置し、起動時に認証しています。7分間操作が
ないと再度認証が必要な状態になります。
[アクセス制限、アクセス権限管理、システム管
理]
個人情報データベースにアクセスできる機器
や権限を担当者毎に制限しています。個人情報
へのアクセスは、部門長の判断により必要最小
限に付与すべき業務メニューの制限を行っていま
す。アクセス権限は半年毎に見直しています。
個人情報データベースへのアクセス記録を保
存し分析しています。不当なアクセスを行ってい
ないかどうかを確認し、疑問点がある場合はヒア
リングを行います。
不正アクセスの状況やシステムのジョブ処理
状況等を記録、監視しており、その運用について
は内部監査でチェックしています。
CCB
本年3月に個人情報を取扱う本社および関西営
業所にてISMS・BS7799を取得し、マネジメン
トシステムに則り運用・管理体制およびシステム
改革を実施。また、経営陣を含めた情報セキュリ
ティ委員会を設置し、継続的改善に取り組んでい
る。
1)技術的・物理的安全管理措置
<技術的安全管理措置>
・ 社内から個人信用情報データベースへのアク
セス可能な担当者の限定およびID・パスワード、I
Cカードによる識別および認証
・ 個人信用情報データベースへの全てのアクセ
スログを取得し、受付件数と処理件数などを照合
確認
・ 社内のパソコンはネットワーク監視ツールに
よって外部媒体へのデータ保存等の禁止行為お
よび不正操作を監視
・ 許可されていないパソコンからのネットワーク
へのアクセス拒否
・ 業務用パソコン内への電子ファイルの保存禁
止
・ 電子メールの利用監視
・ インターネットの利用制限
・ 会員会社との通信方式には、独自の通信プロ
トコルを採用すると共にファイヤーウォール等を
設置し、不正なウィルス・プログラムへの防御対
策を実施
2.物理的安全管理措置
・ 会員会社からの個人信用情報データベースへ
(1)入退室管理
のアクセスは独自の認証方式により照会端末・
・センター施設への入退室には、ICカード・パス 手段・場所・人を識別及び認証
ワードによる本人認証を実施。
・ 会員会社との媒体授受は、データを暗号化
・防犯ビデオ、監視カメラ等を設置。
し、媒体の所在を確認できる専用の輸送方式を
・センター施設内を幾つかのセキュリティ区画に 採用 等
分割し、個人信用情報を大量に蓄積・保管する区 <物理的安全管理措置>
画(コンピュータ設置区画、記録媒体等保管区
・ 会員会社から登録された個人信用情報は、各
画)への入退室には、センター施設への入退室と 種安全対策基準を満たしたデータセンターにて厳
は別に、ICカード・パスワードによる本人認証を実 重管理
施。
・ 本社および営業所は業務エリアごとに全ての
・センター施設、センター施設内のセキュリティ区 出入口にICカード認証装置による入退管理を実
画への入退室記録を全て取得。
施し入退出ログを取得
(2)機器・記録媒体等の管理
・ 個人信用情報データベースへアクセス可能な
・持運び可能な記録媒体等(FD、DVD、USBメモ 端末機はセキュリティルーム内に設置
リ等)の持込、持出しを原則禁止。
・ 個人信用情報を取扱うセキュリティルームへの
・個人信用データが格納されているコンピュータ 入室可能な担当者を限定し、監視カメラを設置
データベース、記録媒体等はセンター施設内に ・ 社内の業務用サーバーはICカード認証装置に
設けられたセキュリティ区画内で厳重管理。
よる入退管理にて入室可能な担当者が限定され
た専用ルームに設置
・ 専用ルーム内は監視カメラを設置
・ 業務用端末は全てパスワード付きスクリーンセ
イバーの設定
・ 全てのキャビネットの常時施錠を実施
・ 社内への私物およびカメラ・カメラ付携帯等の
持込制限 等
[不正アクセス防止]
ファイヤーウォールの導入、IPアドレスのフィ
ルタリング等、不正アクセス監視及び不正侵入防
止機能を施しており、また、ウイルス対策ソフトを
導入済です。
1
CIC
・ 次のような措置を講じております。
a.認証・識別
IDおよび指紋による個人認証(個人信用情報に
アクセスできる社内端末)
ID、パスワード、IPアドレス等による端末認証お
よび発信者電話番号(会員端末)
b.入退室管理
本社・支店: 管理エリアへの入室制限、入退室記
録の取得、監視カメラ(42台)等
システムセンター: セキュリティレベルに応じた入
退室制限、入退室記録の取得(電子的にログを
記録し3年間保管)、監視カメラ(23台)による管理
c.アクセス制限
アクセス資格設定基準を定め権限を付与すべき
業務・従業者の特定
d.アクセス権限の管理
監査部門による審査を経て付与。異動時および
毎年4月の見直し(申請−審査−承認)
e.アクセスの記録・分析
支店長・室長(計12名)による点検(毎日)、監査部
門による検査(2回/年)
f.不正アクセスの防止
ID、パスワード、接続先電話番号による認証、
ネットワークのトラフィック管理、IPアドレスのフィ
ルタリング、ウィルス対策等を実施
g.盗難防止
個人データ記載文書の施錠保管、本社・全支店
への休日夜間機械警備、システムセンターにお
ける24時間巡回警備、個人データ登録媒体の暗
号化、管理エリアへのカメラ付携帯電話の持ち込
み禁止等
テラネット
全情連
全銀協
[盗難防止]
事務フロアに監視カメラを設置し、モニ
ターを総務部門で常時映出しています。映
像は1年間保存し、各部門の個人情報管理
責任者がいつでも閲覧可能な状態になって
います。内部通報に基づいて個人情報保護
監査室が確認する権限を付与しています。
社外へのメールの制限、外部記憶媒体への
保存機能停止をシステム上実施し、システ
ム管理者が常時監視を行っています。
職員に対し、携帯電話、カメラ等の撮影
及び通信機器の持ち込みを禁止していま
す。
個人情報を保管するキャビネット等の鍵
は個人情報管理者が管理しています。
CCB
∼ご参考∼
<組織的安全管理措置>
・個人データの管理責任者等の設置
個人情報保護の最高責任者(CPO)は常
務取締役
また、各部門長がセキュリティ責任者として
部門内の安全管理を推進
・就業規則等における安全管理措置の整備
社員として遵守するべき事項を明記し、違
反者に対しては厳しい処分規定
・個人データの安全管理に係る取扱規程に
従った運用
各種規程・マニュアルを整備し、各種管理
台帳にて遵守状況の確認を実施
・個人データの取扱状況を確認出来る手段
の整備
各部にて保有するデータ(個人情報含む)
を情報資産としてまとめ、保管方法・場所・
期間などを記述
・個人データの取扱状況の点検及び監査体
制の整備と実施
業務監査室による点検、および外部監査
を定期的に実施し、重層的な監査体制にて
安全管理を確認
・漏えい事案等に対応する体制の整備
危機管理マニュアルを整備し、万が一の事
態にも迅速に対応出来る体制整備 等
<人的安全管理措置>
・従業者との個人データの非開示契約等の
締結
社員は、在職中はもちろん退職後において
も業務上知りえた情報を漏洩することがない
よう毎年1回「誓約書」へ署名するとともに、
退職時においても「誓約書」への署名を義務
付け。
・従業者への安全管理措置の周知徹底、教
育及び訓練
全社員が個人情報取扱主任者の資格を取
得し、個人情報保護について常に正しい知
識を身に付けるために継続的な教育を実施
等
2
CIC
② 個人情報の取扱いに
係る委託先の監督につい
て具体的にどのように対
処しているか。
テラネット
全情連
全銀協
CCB
CIC
【委託先】 ①㈱日本情報センター(JIC) ②全国
信用情報センター連合会加盟情報機関
「個人信用情報の取扱いに係る安全管理措置に
関する覚書」を両者とも締結し、「テラネット業務
管理者」の届出をもらっています。
【委託先の監督】
①に関してはシステム運用業務に係る実施報告
を月次で徴収し確認。また、平成17年3月の外部
監査時にJICにおけるテラネット委託業務監査も
実施。今後年1回程度の全体的な管理・監督を実
施予定。
②に関しては「開示業務等取扱実施規準」を定
め、「開示業務等取扱実施規準に基づく初期確
認事項」を平成17年3月に徴求済み。今後定期的
に開示業務に係る安全管理措置に関する報告書
を徴求予定。
情報センターでは、「金融分野における個人情報
保護に関するガイドラインの安全管理措置等に
ついての実務指針」にもとづき、システム運用等
の委託先に対して新たに安全管理措置に関する
覚書を締結し、覚書内容の履行状況を確認する
ための報告書の徴求や立ち入り調査に関する条
項を定めています。
定期的には年1回及び外部監査の都度、委託先
からの報告の徴求を行い遵守状況を確認しま
す。
1.委託先選定時の対策
・選定基準を規定化しており、委託先の情報管理
体制や従業者の監督状況、企業規模、受託実績
等を調査し、個人信用情報の保護、管理に耐え
得る十分な安全管理対策が講じられているかど
うかを検証のうえ総合的に判断。
委託先管理規程に基づき個人情報保護体制およ
び受注実績などを考慮し委託先を選定。
主要委託先には、年間計画に基づき定期的に立
入監査を実施し、運用・管理状況について確認を
行っている。選定基準はガイドライン、ISMS基準
に準拠。
・ 個人情報の委託先には監査(立入権)を明記し
た契約書を締結
・ 委託先管理レベルの設定
<管理レベル>
レベル4・・・個人信用情報等のデータベースの運
用・管理を委託する委託先
レベル3・・・発送業務等で個人情報に接する機
会がある委託先
レベル2・・・受託業務の遂行上、社内に出入りす
る委託先
レベル1・・・個人情報を取扱わない委託先
・ 主要委託先(レベル4)における個人情報保護
法ガイドラインの遵守状況を外部監査機関にて
確認
・ 委託先所管部の監督・監査状況を業務監査に
て確認
・ 委託先については、定期的に実態調査・評価を
行い、評価基準に満たない企業に対しては改善・
是正の要求や契約打ち切り等の措置をとること
にしております。
なお、この評価は当社の監査部門が業務委託先
を実査訪問して行います。
・ 委託先のうち、当社施設内で作業を行う者につ
いては個人情報保護に関する誓約書の徴収を
行っています。
[委託している業務]
業務システムの開発・保守、ホストマシンの運用・
保守、システムセンタービル管理、バックアップセ
ンターの運用・保守、情報媒体の保管・廃棄
2.委託契約締結時の対策
・委託先との間で、再委託、漏えい時の対応等に
係る「個人情報保護に関する契約書」を締結。
3.委託契約後の対策
・安全管理に係る基本方針、個人データ取扱規
程、点検・監査規程、再委託先の監督状況、漏え
い時等の連絡体制の整備状況等を書面により確
認。
・安全管理遵守状況等について、定期的な打合
せの実施により確認。
・安全管理に係るチェックシートを作成しその実
施状況等を確認するとともに、必要に応じて現地
調査を実施。
3
CCB
CIC
③ 外部監査において具
体的にどのような指摘が
あり、どのように対処し
ているか。
平成17年3月に外部監査を実施し、指摘のあっ
た主な事例を以下に示します。また、指摘のあっ
たすべての項目について、本年度中に対応完了
する予定となっています。
【指摘事項例①】 事務室への入退管理について
社員IDカードにより入退室の管理を行っている。
今後生体認証により入退管理対策を検討するこ
とが望ましい。
【対処内容】平成17年6月に指紋認証による入退
管理を導入済み。同時に入退館規程、生体認証
情報取扱規程及び関連台帳を作成。
テラネット
本年4月1日からの個人情報保護法の全面施行 1.監査実施機関等
を踏まえ、事前に法令等への準拠性を確認し、必 ・本年度から、金融庁ガイドラインが規定する要
要な改善対応をとることを目的として、本年2月 件への準拠性の確認・評価を目的として、監査法
から3月末までに33の情報センターすべてが監 人による外部監査を実施。
査法人による外部監査を受けました。監査基準
2.具体的監査項目、監査期間
の内容は以下の通りです。
1.金融分野における個人情報保護に関するガイ ・当センターにおける組織的・人的・技術的な安
ドラインの安全管理措置等についての実務指針 全管理にかかる事項全般を対象とし、ほぼ1年か
けて実施。
への準拠性
2.上記実務指針の則った個人信用情報の機密 ・監査報告書は、来年3月頃を目処に受領予定。
性
3.外部委託方法及び外部委託に係る契約の適 3.今後の予定
【指摘事項例②】事務室の監視について
・運用面の改善事項については速やかに是正措
切性
事務室作業について監視カメラが設置されてい 4.物理的アクセスコントロールの適切性
置を検討のうえ実施に移し、システム面の改善事
ない。今後検討することが望ましい。
項については次期システム(平成18年10月中稼
【対処内容】 平成17年6月に事務室内に監視カ 監査法人からは監査結果として、「33の情報セン 動予定)において取込む予定。
メラ3台を設置済み。
ターの監査結果において、個人情報(個人信用
情報を含む)の安全管理措置に関して重大な指
【指摘事項例③】業務継続計画について
摘事項は検出されなかった。」「33の情報セン
運用を担当するJICとの間で、障害時の緊急対 ターは、全体的に規定等への準拠性は極めて高
応マニュアルの内容を強化し、実際の業務が滞 い運用が実施されているといえる。」との評価を
らないためのプランをあらかじめ定めておく必要 得ています。なお、安全管理措置のレベルをより
がある。
一層高めるために、それぞれの情報センターに
【対処内容】 「業務継続計画書」を改定し作成済 おける各指摘事項について改善計画を策定し、
み。
優先順位をつけて順次対応(完了済、予定含む)
しています。ただし検討の結果、対応せずリスク
許容とするものもあります。
具体的な指摘事項としては、一例として、マシン
室におけるサーバーについて固定されたラックへ
の収納と施錠及び耐震対策を講じることが望まし
い、個人情報に関する資料を郵送する際に郵便
局への持ち込みは複数人で行うことが望ましい、
デスクトップパソコンについても机にチェーンで固
定することが望ましい、すべてのパソコンに電磁
波防止部材の装着が望ましい、生体認証装置の
認証精度の点検を定期的に行うべきである、印
刷スプールデータはプリンタに出力された時点で
抹消するべきである、モニタリング業務は複数名
で行うべきである、などがありました。
また、33の情報センターの委託先会社(システム
開発及びシステム運用委託)においても、各情報
センターと同様に本年3月に監査法人による外部
監査を受けました。
なお、7センターが情報セキュリティマネジメントシ
ステム(ISMS)認証を、3センターがプライバシー
マーク認証をすでに取得し、他のセンターにおい
てもプライバシーマーク認証を申請中であるほ
か、委託先であるシステム運用会社においても情
報セキュリティマネジメントシステム(ISMS)認
証、プライバシーマーク認証を取得済です。
全情連
・ 監査機関:KPMGビジネスアシュランス株式会
社
・ 実施期間:2005年9月5日∼16日
・ 監査範囲:東京本社、関西営業所、主要委託
先
・ 指摘事項:特に重要と認識しているものは以下
の通り
① 回線上の暗号化(次期システム構築時に予
定)
② 入会審査時の安全管理チェック項目の一部不
足(改善済) 等
※入会後の更新審査についても同様な指摘あり
※ 今後もガイドラインにおける外部監査は継続
的に実施。また、ISMS・BS7799の更新審査と
併せると半年サイクルで外部機関の監査を受
審。
・ 10月下旬から12月末の予定で個人情報の保
護に関する法令・ガイドラインの遵守についての
外部監査を実施中であり、これまでのところ特段
大きな問題点は指摘されておりません。
④ 個人信用情報機関に
登録されている情報の保
存期間については、どの
ような考え方に基づき現
在の保存期間を設定して
いるのか。また、保存期
間の伸長を考えている
か。
適正与信に資する登録期間と個人情報保護に資
する登録期間を考慮し、登録期間の設定を行っ
ています。期間の伸長については具体的な予定
はありません。
(照会記録情報の保存期間は、会員へ回答する
期間として30日間、消費者開示に供する期間と
して3ヶ月となっています)
・ 現状の保有期間
登録情報/登録期間
当社が加盟する個人信用情報機関を利用した日
および契約または申込みの内容等/当該利用
日から6ヶ月間
契約金額、契約日、完済予定年月等の本契約の
内容およびその返済状況(延滞の事実を含む)/
契約期間中および契約終了後5年間
※登録期間内で保有している情報は消費者およ
び会員会社に回答(同一内容)
※消費者の同意を取得したうえで保有しており、
保有期間経過時点で情報削除
・ 申込者の支払能力の調査や買いまわり防止に
必要な範囲で登録するという考えの下に保有期
間を定めております。現時点においては期間の
伸長を検討しておりません。
会員業者が資金需要者等の返済能力の調査を
する際に必要と考えられる登録期間であって最
小限の登録期間(契約継続中及び完済後5年
間。延滞情報については延滞継続中及び延滞解
消後その事実について1年間。その他の債務整
理情報等については発生日から5年間。照会記
録については照会日から3ヶ月間。)としていま
す。登録期間の伸長については現在のところ考
えていません。
なお、照会の事実(照会日、照会件数、商品種別
等)については会員業者に対し過去30日間分回
答します。
全銀協
・照会記録情報は、照会日から1年を超えない期
間登録しており、会員に対しては借回りの防止を
目的として3か月間提供。
・他方、被登録者本人に対しては不正照会を
チェックしてもらうことを目的に1年間開示。
4
テラネット
2.会員管理について
① 入会審査の具体的な
基準及び方法はどのよう
なものか、また拒絶した
事例及び実績はどのよう
なものか。
全情連
全銀協
CCB
CIC
1.入会審査の基準及び審査手続、方法
・会員資格は、以下のとおり。
(1)一般会員
全銀協に正会員として加盟している銀行
(2)特別会員
①上記(1)以外の銀行または法令によって銀行
と同視される金融機関
②政府関係金融機関またはこれに準じるもの
③信用保証協会法に基づいて設立された信用
保証協会
④個人に関する与信業務を営む法人で、一般
会員または特別会員のうち①もしくは②に該当す
るものの推薦をうけたもの
・ 審査方法 : 訪問審査 ⇒ 社内審査 ⇒ 運
営委員会の承認 ⇒ 取締役会の承認
※ 訪問審査:代表者(又はコンプライアンス部門
責任者等)と面談を行い、法令遵守意識などを確
認。
・ 関係法令および業界自主ルール並びに当社業
務運営規則・細則に定める事項を遵守し、個人情
報の適正な利用・管理ができる企業であるかどう
かという観点で基準を設け審査を行っておりま
す。
【加盟資格要件】
(1) 法人格を有し、国内に事業所があり、実施事
業の体制が明確かつ適正であること
(2) クレジット取引を業務としていること
(3) 割賦販売法、個人情報保護法および同法に
基づく経済産業分野のうち信用分野における個
人情報保護ガイドライン等の関係ガイドライン、そ
の他関係する法令および通達が遵守できること
(4) 「自主ルール」を遵守し、「コンプライアンス・プ
ログラム」を策定していること
(5) 業界自主規制の徹底を図るため、原則として
社団法人日本クレジット産業協会および認定団
体クレジット個人情報保護推進協議会に入会して
いること
(6) クレジット業界の認定制度である「個人情報取
扱主任者」を設置していること
(7) CICと競合する個人信用情報に関する業務
を、営利目的で行っていないこと
(8) CICの業務運営規則および業務運営細則等
が履行できること
会員管理に関する回答内容につきましては、貸
金業者は「貸金業の規制等に関する法律」で登
録制となっており、また、個人でも貸金業務が営
めるなど、事業開始が比較的容易であることにご
留意ください。
【基準】
入会資格要件は「入会及び会員資格に関する規
準」に定めています。
(以下、個人情報保護に関する記述抜粋)
第1条② 個人情報の保護に関する法律を遵守
し、以下の各号をすべて充たす者
ア、 個人情報の安全管理に係る基本方針・取扱
規程等が整備されていること
イ、 個人情報安全管理上の信用度が高いこと
ウ、 経営が健全であること
【方法】
「書類審査⇒訪問審査⇒取締役会の承認」の
流れに基きます。
例えば、新規入会申請があった場合、100%事前
に訪問し、会社の実態、店舗の状況を確認しま
す。また、入会資格要件に関する一定の書類(目
的外利用を行わない旨の誓約書、業法の登録済
通知書、個人情報の安全管理等に関する申告
書、会社及び業務に係る書類等)を徴求して内容
の確認を行います。入会審査クリアに必要な要
件を指示し、その体制構築を確認の上で審査を
行います。
【拒絶した事例及び実績】
新規申込がある段階から十分な時間を割き不適
格な企業は排除しているため、取締役会内で行
われる審査会で却下されることはほとんどありま
せん。過去において入会審査会にて却下・保留さ
れた案件は2件であり、理由はいずれも新規クレ
ジット業務参入のため業務態様の明確化を待つ
まで保留にしたものです。
情報センターにおいては、当連合会が策定した
「入会並びに会員資格に関する基準」において、
入会申込者が貸金業規制法第3条に基づき登録
を受けた貸金業者であること、個人情報保護法
及び各種法令等に基づき、①個人情報の安全管
理上の基本方針及び取扱準則として十分な内容
を有する成文規定をもって個人情報の安全管理
に関する基本方針、遵守事項、点検確認等の実
施手続き、外部委託等を定めていること、②個人
情報の安全管理確保の実施体制として個人情報
保護法令等に基づく安全管理措置が講じられて
いること、③資本力、株主構成、過去の履歴、ま
たは、公的機関からの認証等を総合的に判断し
て、個人情報安全管理上の信頼度が十分に高い
と認められること、④経営の健全性が確保されて
いると認められること、を入会資格要件として定
めこれらの要件に照らして入会審査を行っていま
す。
また、現地調査、経営者ヒアリング等を行ってい
ます。
なお、各情報センターは原則として入会申込者の
すべての店舗の立ち入り審査を行います。
入会を拒絶した主な理由は以下のとおりです。
・事業内容や事業状況に関する理由
-事業継続にたる財務根拠が無いため
-兼業業務との切り分け不十分、指導後も改
善が無かったため
-業務実態が不明確なため
-業態が違うため
-営業計画内容が不明なため
-営業実績が確認できなかったため
-貸付の実態が把握できなかったため
・知識及び能力に関する理由
-貸金業知識が不足であると判断したため
-業務経歴不足であると判断したため
-業務設備が整っておらず、業務熱意が感じ
られないため
・安全管理や利用目的に関する理由
-入退室管理が不十分なため
-金融以外の業種に利用する目的であると
判明したため
-従業者を対象とする融資目的であるため
・予め提出される書面の内容を検証し、次課長級
で構成される全銀協の検討部会及び頭取・社長
級で構成される全銀協の理事会で上記会員資格
の要件充足の有無を審査。
2.拒絶例
・これまでに入会申請の正式受付後に入会を
断ったケースはない。
・ただし、上記のとおり銀行等の推薦を受ける必
要があることから入会を打診する段階で断念す
るケースが数件あり。
・ 基 準(会員規程抜粋)
・与信事業を営む法人で、かつ国内に事業所を
有すること。
・貸金業の規制に関する法律、割賦販売法、銀
行法、信用金庫法、労働金庫法、中小企業等協
同組合法、農業協同組合法等、法令による許認
可ある事業者、またはそれに準ずる事業者であ
ること。
・出資の受入、預り金及び金利等の取締りに関す
る法律の定める利率を適用した営業をしているこ
と。
・社会的信用を有し、与信をするに際し節度と良
識を持っている事業者であることを、第32条で定
める運営委員会によって認められ、その承認を
得ること。
・個人信用情報保護に関する社内規程またはコ
ンプライアンスプログラム等を作成しこれを徹底
するための個人情報管理責任者を設置する等十
分な個人信用情報保護体制にあること。
・ 拒否事例 : 会員資格(第4条会員資格)を満
たしていない
・ 拒否件数 : 4社(H17年度上期)
・ 審査方法等につきましては、申込受付を支店で
行い、受付支店にて1次審査をいたします。その
後、本社担当部門にて2次審査を行い、業務運営
に関する社長の諮問機関である業務委員会に審
議を付し、最終的に常務会において決定すること
としております。
(1) 訪問調査*(1次審査)
(2) 書類審査および必要により実地調査(2次審
査)
(3) 業務委員会における審議
(4) 常務会における審議
*訪問調査・・・入会希望企業全てに対して実施
【拒絶した事例・実績】
平成15年度1件
[理由]住居の賃貸借契約への利用のあることが
判明したため
平成16年度0件
平成17年度2件
[理由]加盟店等の取引先を含め業務内容が不
明確であったため
調査業務を兼業していたことが判明したため
33情報センターにおける平成16年度の入
会申込は219件、入会拒否は30件(約13.
7%)です。
5
② 不正検知モニタリン
グの具体的な方法や適用
基準はどのようなもの
か、また不正利用の事例
はどのようなものか。
テラネット
全情連
全銀協
CCB
CIC
【具体的な方法】
定期的(月次)、随時にデータを抽出して人為
チェック、疑義があれば会員への調査(レポート・
現地調査等)を行います。
照会業務を例としてチェック項目を挙げると以下
の通りです。
①土日祝日(営業日以外)、営業時間外の深夜
等に照会が多くないか
②件数の増減
③媒体別照会件数の月毎の比率
④目的別照会件数の月毎の比率
⑤照会件数に占める該当無し件数の比率
⑥照会と登録件数のバランス 等
検知され調査した結果、不正利用が確認された
例は現在のところありません。
日次及び月次で事前に条件設定を行い、コン
ピュータシステムの検知結果に基づき詳細調査
を行います。また、随時検知の仕組みも整備して
います。
条件設定検知により不自然な照会を行っている
会員を抽出し、i-LINK(会員業者の照会報告実績
内容の確認ツール)で当該会員の照会内容や報
告内容を詳細に調査します。
例えば、照会件数に比して貸付件数が著しく少
ない会員があり、照会内容を詳細に分析した結
果、同じ苗字の人物を複数照会している傾向が
多く見られ、さらに現地調査を行った結果、日常
的に家族(本人の配偶者等)を照会(目的外利
用)をしていたことが判明しました事例がありまし
た。
なお、不正の疑いを検知したものの、その後の
調査によって確認資料がなく不正とは確認できな
い場合も多くあり、例えば、不正利用発見の重要
な手がかりとなる一つの資料として、契約に至っ
た場合はもちろん、契約に至らなかった場合で
も、適切な照会を行った証跡として、「借入申込
書」を貸金業者が一定期間保管するよう義務付
けることも有用な方法と考えられます。(加盟会
員は、資金需要者等からの借入申込みがあっ
て、はじめて個人信用情報を照会できることか
ら、「借入申込書」の有無は重要な確認資料で
す。)
1.不正検知のモニタリング方法
・本人開示等により登録情報、照会記録情報に
疑義が見つかった場合、登録情報の調査を実
施。
・会員の登録・照会業務等の外部委託を事前届
出制とすることにより不適切な外部委託を抑制。
・会員に対して、照会案件と同意書等との突合等
を義務付け。
・ 対応部署 : 業務部 会員管理チーム
・ モニタリング単位 : 会員、店舗、端末
・ 検知方法 : 照会ログをもとに急増、急減、休
日、新規照会率、登録率等をチェックした後、該
当会員の店舗および設置端末等について人的追
加調査を実施。
<照会モニタリング運用フロー>
① 照会ログをシステムチェック
② 一定基準値以上のものを抽出
③ 業務担当者による追加調査
④ 会員会社へ調査依頼
・事 例 : 照会モニタリングにおける不適切利
用の検知事例
・照会目的区分相違(新規申込を途上照会で利
用していた 等)
・事前に申請された照会利用日・時間と異なる
・ 不正利用対策としては、検知の観点だけでは
なく予防も重要であると考えており、全体として次
のような対応を行っております。
a.会員事業所の定期的な訪問による営業実態
についての確認
b.照会端末機設置場所の定期的な確認
c.照会がなされた者と登録された者の突合せ
d.照会件数の急増理由の調査(毎月)*
e.開示による本人からの申し出による調査
f.他の会員からの報告に基づく調査
g.会員自身によるモニタリングを支援するため
の利用明細資料の提供(毎月)
* 照会件数の急増理由調査については、会員
の窓口(部署・支店等)単位にて実施している
・ モニタリングによる調査で会員が回答した内容
についての妥当性の判断等は本社の管理部門
が行うことにしております。
【モニタリングフロー】
○照会件数の急増
(1) 本社モニタリング担当部門にて照会実績を基
に急増会員(窓口単位)を抽出
(2) 抽出されたリストに基づき当社営業担当から
会員に対して調査を依頼
(3) 会員の調査結果を本社モニタリング担当部門
に報告
(4) 本社モニタリング部門にて妥当性の判断
(5) 個別事案の管理(モニタリング管理システムに
より処理結果を一元管理)
2.不正利用等の事例
・目的外利用が発覚したケースが数例あり。
・ なお、不正利用の事例としては、過去に会員企
業の従業者が、知人からの依頼で特定個人の
データを漏洩したものがありました。
③ 全件登録・全件照会
など個人信用情報機関を
利用するに当たっての会
員が遵守すべきルールは
どのようなものがある
か。また、そのルールが
会員の中でしっかり実施
されているかをどのよう
な方法で検証するのか。
全件登録は信用情報交換契約書により会員に
義務付けています。ただし、弊社の登録条件に任
意登録と定めてあるもの(個品の一括払いなど)
については全件登録の対象ではありません。
実施状況は、会員が保有する取引内容別(カー
ド・個品等)の登録状況をモニタリング(照会件数
とのバランスチェック)することにより確認するよう
務めております。
情報センターと加盟会員との間で締結する「信
用情報交換契約書」において、全店舗入会、全件
登録、リアルタイム更新(日次更新)、名寄せ実
施、情報精査対応、信用情報取扱主任者の設
置、その他各種届出事項を義務づけています。
入会申請時の自己申告書類との整合性等の事
前チェック、登録情報内容に係わる他の会員から
の指摘による調査、開示時の本人指摘による調
査、情報センターが定期的に行う情報精査等の
方法により、ルールの遵守、実施状況をチェック
しています。
・全件登録を義務付け。
・情報の登録件数、照会件数等を同一業態の会
員間で比較し、疑問点がある場合には随時会員
に調査・報告を求める。
・ 会員規程第6・7条にて全件照会・全件登録に
ついて規定
<会員規程抜粋>
・第7条(照会)
会員は、適正な与信を行うため、別途定める照会
・情報の正確性・最新性の維持を義務付け。
基準に従い、CCBに照会しなければならない。
・延滞等のネガティブな情報が登録された場合に ・第6条(登録)
は、情報の正確性を確認いただくために、被登録 会員は、会員相互における適正な与信に資する
者本人に対し登録通知状を送付しており、疑義 ため、会員が自ら収集した個人信用情報を別途
のある情報が見つかった場合は苦情申立により 定める登録基準に従い、CCBに登録しなければ
登録情報の調査を実施。
ならない。
6
・ 業務運営規則において”全件照会・全件登録”
についての義務を定めております(照会は一部少
額の取引を除く全ての申込案件、登録は申込・契
約がなされた全ての取引が対象)。
・ 遵守状況については次のような内容の調査を
行っております。
a.照会件数が前月より急減(20%∼40%)した
場合はその理由
b.毎年、各会員より年間の取り扱い件数につい
て報告を受けており、それらの数値と比較し、乖
離している場合にはその理由
c.照会件数と新規登録件数の比較を時系列的
・ 会員会社から報告された照会及び登録の計画 に行い、乖離している場合はその理由
値と実績件数の乖離幅のチェック
d.消費者の申出に基づき、照会・登録が履行さ
・ 照会実績件数と登録実績件数の乖離幅の確認 れてないと判断される場合はその理由
・ 乖離幅の大きい会員については確認または指 ・ このほか、登録の実効性を高める観点から、契
導を実施
約期間中に顧客の支払能力を再確認する必要
がある場合(例えば、クレジットカードの更新時な
ど)に、成約情報の登録がされていなければ、照
会がなされても回答しない仕組みも設けておりま
す。
テラネット
全情連
全銀協
④ 入会資格のうち個人
情報に関する部分につい
ての更新審査について
は、どのように考える
か。具体的には、個人情
報保護法施行を踏まえた
入会資格見直しを行った
のかを実施時期も含めて
御教示いただきたい。ま
た、個人情報保護法の施
行前に入会している既存
会員には、法施行後の新
しい会員資格での審査を
行っているのか。(行っ
ている場合、どのような
審査を行ったのか。行っ
ていない場合、新しい会
員資格で審査を受けた新
規会員の数と既存の会員
の数の数字を示していた
だきたい。)
個人情報保護法の施行を踏まえ平成17年3月に 本年4月1日の個人情報保護法の全面施行に合 ・一般会員および特別会員①∼③に該当する法
「入会並びに会員資格に関する規準」を改訂して わせて33情報センター統一の「入会並びに会員 人は、免許制または法律に基づき設立された法
います。
資格基準」を見直し、個人情報保護法に基づく安 人であることから会員資格の充足確認は実施し
新規会員は入会時個人情報保護に関する新規 全管理措置の実施に関する項目を追加しまし
ていない。
の書類を徴求しております。また、一定期間経過 た。
後の会員説明会等において保護法施行後の整 入会審査時に貸金業登録の有無、個人情報保 ・特別会員④については、事業年度終了後4か月
備状況を確認できる書類の徴求を行う予定です。 護法に基づく安全管理措置の実施状況等を
以内に事業の概況(業務状況、株主構成、決算
チェックします。入会後は貸金業登録の有無につ 状況等)を記載した報告書の提出を義務化し、会
平成17年12月7日現在 利用会員121社中、新資 いては各地貸金業協会との連絡連携によりチェッ 員資格の充足の有無を確認。
格審査会員3社、既存会員118社です。
クします。個人情報保護法に基づく安全管理措置
※4月以降の新資格審査会員は26社有り、うち3 の実施状況については、個人情報保護法施行前 ・全て新基準により更新審査を実施。
社が利用開始済み
に入会した既存会員についてはモニタリング等に
※基準改訂に伴い追加した書式は「入会申込に より不正利用の事実が発覚した場合に立ち入り
あたっての申告書」(①実施業務に関して関連す 検査等を行い、安全管理措置実施状況をチェック
る業法②加入している事業者団体③個人情報の します。
保護に関する法律の遵守状況(1.個人情報の安
全管理に係る基本方針、取扱規程の整備、2.個
人情報の安全管理に係る実施体制の整備状況、
3.安全管理の責任体制)と「モニタリング実施の
同意書」です。
⑤ 罰則の内容、適用基
準、執行体制、適用実績
及びその適用事例はどの
ようになっているのか。
罰則の内容及び適用規準は、「信用情報交換契
約書」及び「信用情報交換契約罰則規準」に定め
ています。
【罰則の内容、適用基準】
「始末書の徴求」「文書による注意」「信用情報
提供の停止」「除名(契約解除)」
【執行体制】
原則として取締役会にて審議を行い承認決定し
ます。
【適用実績】
平成15年度の罰則適用実績は2社(始末書、文
書注意)、平成16年度及び平成17年度上期はあ
りません。内容は保証与信による保証の諾否を
相手先担当者に伝達する際にテラネット情報の
有無を伝え消費者に伝達されたもので、いずれも
センター報告(消費者からの問合せ)によるもの
です。
また、不正利用までは至らなくとも、取扱い上の
注意が必要な場合は、随時、会員への指導を
行っています。
罰則の内容及び適用基準は、33情報センター統
一の「信用情報交換契約書」及び「信用情報交換
罰則基準」に定めています。目的外利用や情報
漏えい等、信用情報交換契約書違反が発覚した
場合は「罰則基準」に基づき罰則を適用します。
罰則の内容は、「始末書の徴求」「文書による注
意」「信用情報提供の停止」「除名(契約解除)」と
なっています。
執行体制としては、各センターにおいて所管の委
員会で罰則適用に関する検討を行い、取締役会
で罰則適用の判断を行っています。33情報セン
ターにおける罰則適用実績は、平成16年度で1
30件でした。
主な適用理由は、目的外照会、情報漏えい、同
意取得義務違反、誤情報登録によるものとなって
います。
事例として、営業目的の事前照会及び本人以外
の同居親族に対する照会が判明し、7日間の信
用情報提供の停止処分とした事例がありました。
CCB
・ 罰則内容 : 会員規程35条(勧告、利用停
1.罰則等の内容、適用基準及び執行体制
A.処分・・・規則等に違反したときに審査協議会 止、退会、公表)
(会員および事務局の担当部長クラスならびに弁 ・ 執行体制 : 勧告・利用停止までは経営会議
(常勤役員)による審議
護士で構成)の決議により決定
ア.注意・・・審査協議会の名において書面に 退会・公表は、運営委員会の審議を経て取締役
会にて最終審議を行う
より注意を与え、是正を求めるもの
イ.過怠金・・・1万円(6か月以内再違反の場 ・ 適用基準 : 会員規程違反、登録・照会基準
合は1万円超10万円未満)。他の処分との併課 違反 等々
・ 罰則実績 : 利用停止3件/H17年12月現
可。
B.罰則・・・前記処分後も内部管理体制整備を行 在
わないときまたは規則等に著しく違反したときに ・ 罰則事例 : カード解約や債務の完済を条件
とする融資、CCB情報を断り理由とするなど与信
理事会の決議により決定
ア.戒告・・・理事会の名において書面により戒 業務における不適切利用
め、是正を求めるもの
イ.勧告・・・理事会の名において是正措置を
命じ、これに従わない場合に適用する罰則を予
告するもの
ウ.罰金・・・10万円以上100万円以下(6か月
以内再違反の場合は10万円以上200万円以
下)。ただし、違反行為により経済的利益を得て
いる場合は当該金額の3倍を上回らない金額を
加算可。他の罰則との併課可。
エ.情報の全部または一部の利用停止・・・違
反内容が重大な場合または勧告に従わない場合
に1週間以上1か月以内の利用停止を行うもの
(6か月以内再違反の場合は1週間以上2か月以
内)。
オ.除名・・・違反内容が極めて重大な場合ま
たは前記利用停止後も勧告に従わない場合に会
員資格を剥奪するもの。
C.会員名および罰則内容の公表・・・罰則との併
課可。
2.罰則等の適用実績及び適用事例
・目的外利用、個人信用情報の紛失、内部管理
体制違反等により注意処分を課した案件が5件あ
り。
7
CIC
既存会員には、自社の事業年度終了後、概況 ・ 加盟審査後においても、資格要件を具備してい
報告(会社概要、個人情報保護、管理体制、端末 るかどうかについては、次のような方法で確認す
設置状況、照会件数、登録件数 等)を義務付
ることとしております。
け、当該報告に基づき更新審査を実施。
a.事業概況報告書の徴収(年1回)
・ 主な審査項目
b.事業所の定期訪問、照会端末設置場所の確
与信業務を継続的に行っているか
認
個人情報の保護体制と安全管理対策
c.当社開示・相談窓口で受けた苦情等の状況
CCB照会端末機の設置店舗および設置場所 d.個人情報取扱主任者配置の状況
確認
・ 個人情報保護に関係した資格要件について
・ 会員規程、入会資格基準の見直し
は、次のような見直し行っており、見直しに併せ
2004年4月 : 個人情報保護法施行を踏まえ て、既存会員においても確実な対応がなされるよ
会員規程を改訂
う必要な措置を講じて来ております。
・「個人情報」の定義の新設
a.安全管理規程の整備・個人情報取扱主任者
・情報漏えい時の報告義務 等
の設置(平成8年10月に追加)
2005年4月 : 個人情報保護法施行を踏まえ −規程の徴収、認定資格を得た主任者の届出に
会員規程の改訂
より確認
・同意文言
b.業界自主ルールの遵守(平成13年10月に追
・安全管理項目 等
加)
2005年9月 : 外部監査の指摘を踏まえ安全 −モニタリング等により確認。本要件については
管理項目の一部追加
本年12月の改訂で、原則として認定団体クレ
※次回の更新審査にて追加分を確認予定
ジット個人情報保護推進協議会に加盟することを
追加。
c.個人情報保護法の遵守(平成17年4月に追
加)
−遵守事項の要点等をまとめた啓発用ビデオお
よびガイドブックを作成・配布すること等による周
知・徹底
・ なお、上記の会員資格見直し後の新規加盟会
員数は123社です。
各事項の詳細は以下のとおりです。
a.罰則の内容
・ 勧告
・ 料金割引停止
・ 利用停止
・ 契約解除
・ 社名公表
なお、罰則適用とは別に、違反等があった場合に
は直ちに「業務指導」を行うとともに、罰則適用の
前に「改善指導」を行う場合があります。
また、クレジット個人情報保護推進協議会から加
盟会員による自主ルール違反について通告を受
けた場合においても、罰則適用の手続を経て、加
盟契約解除等の措置を講ずることとしておりま
す。
b.適用基準
罰則の適用およびその内容については、社長の
諮問機関である情報管理委員会において、違反
の程度・期間、被害の状況、社会的な影響等を
総合的に判断したうえで決定し、社長に答申され
ます。
c.執行体制
本社管理部門
5名
情報管理委員会(社外委員) 10名
d.適用実績
・ 平成15年度:
目的外利用による利用停止(罰則) 1件
情報管理の不備等による改善指導 1件
・ 平成16年度:
情報管理の不備(再出)による勧告(罰則) 1件
情報管理の不備等による改善指導 3件
・ 平成17年度:
個人情報の紛失による改善指導 1件
e.事例
・ 会員企業の従業者が信用情報を第三者(調査
会社)に提供していた。
・ 顧客情報が業務委託先から紛失する等の流出
事故がくり返し起きた。
⑥ 消費者からの開示請
求や苦情に基づく不正利
用発見の手順、実績、事
例はどのようなものか。
テラネット
全情連
全銀協
CCB
CIC
開示の異議申立により情報を訂正・削除した実
績は、平成15年5件、平成16年9件、平成17年上
期3件です。
(H15名義悪用4件・情報訂正1件、H16名義悪用4
件・情報訂正2件、情報削除3件、H17情報訂正2
件・情報削除1件)
同意なき照会等の異議申立事例はありません。
開示により会員の誘導体制に疑義(店頭開示等)
がある場合は、会員にヒアリング及び指導を行っ
ております。
消費者から問い合わせにより疑義がある場合も
会員にヒアリング及び指導を行っております。
情報センターでは、本人に照会記録を開示して
おり、身に覚えの無い会員からの照会があるなど
の場合は、本人による異議申立の手続きに基づ
き、センターで調査を行います。
不正照会の調査に当たっては、照会記録等の
客観的事実に基づき、個人信用情報を照会し
た会員に事実関係の報告を求め、証跡たる資料
(借入申込書等)の確認、照会した従業者本
人に対するヒアリング、店舗への立入調査等を行
うなどして違反行為の有無を確認します。
事例としては、名簿を利用した営業目的の不正
照会が判明したケースなどがあります。
1.不正検知のモニタリング方法
・本人開示等により登録情報、照会記録情報に
疑義が見つかった場合、登録情報の調査を実
施。
・会員の登録・照会業務等の外部委託を事前届
出制とすることにより不適切な外部委託を抑制。
・会員に対して、照会案件と同意書等との突合等
を義務付け。
・ 対応部署 : 消費者部
・ 発見手順 : 消費者開示から苦情受付 ⇒
会員確認
・ 確認依頼件数 : 39件/H17年度上期実績
・ 確認内容 : 消費者が認識している契約内
容・残高と登録情報が異なる
各事項の詳細は以下のとおりです。
a.不正発見の手順
(1) 消費者本人による開示、苦情等の受付
(2) 加盟会員に対する調査の依頼
(3) 調査結果の内容判断
(4) 不適切である場合は、罰則等の適用
b.実績
平成15年度 1件
c.事例
・ 消費者本人より「損害保険会社の調査会社より
CIC回答書を提示された」との申し出があり、調
査したところ、会員の元従業者が調査会社に渡し
たことが判明した。
2.不正利用等の事例
・目的外利用が発覚したケースが数例あり。
個人情報の取扱いに関する当社に対する苦情
は平成17年度上期3件です。
①情報の反映タイミング(会員は情報削除したと
いっているのに開示では情報が残っていた)(保
護法26条訂正等)②申込書に名前を書いたらテ
ラネットに情報を連絡された(保護法23条第三者
提供の制限)③同意の無い照会(保護法施行前
における家族照会)です。③については会員より
顛末書を徴収しております。
8
テラネット
3.課題と展望
① 個人信用情報機関自
身における安全管理・会
員管理の現状の取り組み
について、どのように評
価し、どのような課題が
あると考えるか。また、
今後の対応はどう考える
か。
現状の安全管理・会員管理については、ガイドラ
イン等一定の基準を満たすことにおいてはクリア
されていると考えます。今後は、会員及び個人信
用情報機関両者とも個人情報取扱事業者である
ことから、個々のコンプライアンス原則の水準を
相互に高めていくことが望まれると考えます。
また、個人信用情報の取扱いに関する利用
会員側の実態把握を行うことについては、個人信
用情報機関側ですべてを掌握することは事実上
困難であり、何らかの方法で相互の協力関係を
高めていくことが課題でもあると考えられます。
全情連
全銀協
本年4月に個人情報保護法が全面施行され、 ・個人信用情報の保護という点では、当センター
監督官庁からガイドライン等が示されたことにより は、昭和48年の業務開始当初から本人同意の取
個人情報保護のレベルが明確になったことから、 得、目的外利用の禁止、本人開示、登録通知状
情報センターがこれに準拠、適合することによっ の送付、苦情処理手順の整備を実施する等、従
て、これまでの自主基準による保護措置よりも、 来から高いレベルでの個人情報保護に取り組ん
より社会的信頼を得られることにつながるものと できたところ。
期待しているところです。
安全管理や会員管理には、大量の個人信用情 ・平成17年4月には、個人情報保護法の全面施
報を管理する情報センターとしては、今後も最大 行、銀行法施行規則等の改正(安全管理措置、
限の取り組みを図っていくこととしており、また、 目的外利用禁止等)、金融庁ガイドライン・同安
それらの評価は外部監査等により客観的に評価 全管理措置等に関する実務指針の施行等の整
されるべきものと考えています。
備が図られたところであり、これら関係法令に即
今般、これら外部監査の結果として、金融分野 した規則等の見直しを実施するとともに、当セン
ガイドラインに対する重大な指摘事項はなかった ターの運営主体である全国銀行協会が銀行界の
ことから、一定の保護のレベルが確保されている 認定個人情報保護団体として設立・認定された
と考えていますが、今後も指摘事項に対する必 「全国銀行個人情報保護協議会」の会員となるな
要な改善策を着実に実施していくことに加え、個 ど、今後とも個人情報保護に向けた不断の努力
人信用情報が不正不当に利用されないよう、安 を行っていく所存。
全管理、会員管理、システム管理等をより一層徹
底していくことが重要であると考えています。
・個人信用情報の利用という点では、多重債務防
また、本年10月24日付けで当連合会が、33 止・適正与信に資するシステム・運用を構築する
情報センター、㈱テラネット及びシステム運用委 ことが命題であり、個人信用情報の正確性・最新
託先である関係2社を対象事業者として金融庁よ 性の精緻化、データ量・内容の拡充等様々な方
り認定個人情報保護団体の認定を受けました。 法を通じて、今後ともより良いシステム・運用の構
当連合会が認定個人情報保護団体として個人情 築に向けて不断の努力が必要。
報保護法に基づく認定業務を着実に行っていくこ ・また、情報交流の意義に関する消費者の理解
とで、これら対象事業者における個人情報保護 促進活動を今後とも継続していく。
の実を一層挙げることに努めていきたいと考えて
います。
② 将来の個人信用情報 コンプライアンス原則のもとで、利用者(会員)が 個人信用情報を金銭消費貸借契約等の与信判
の利用のあり方としてど 有用とする情報を必要な範囲で利用できるインフ 断のみでなく、広義の信用供与目的(機関の会員
となりえる当該信用供与者の法的根拠が明確で
のようなものが望ましい ラが整備されることが望ましいと考えます。
ある者であって後払いとなるサービスを提供する
と考えるか。また、その
業者、例えば携帯電話会社による携帯電話サー
際の課題は何か。
ビス契約の審査と不払い情報の共有等)に利用
することも社会的ニーズや有用性を踏まえた上で
利用の有り方として可能性があるものと考えてい
ます。
③ 個人信用情報の利用
が多重債務防止に実効を
挙げるようにするための
課題は何か。
原則的には利用者(会員)の与信判断に委ねら
れる事項ではありますが、必要情報の集積は多
重債務防止に一定の効果を果たすものと推察さ
れます。
貸金業規制法の趣旨にもとづき、過剰貸付、多
重債務防止を一層図る上では、信用情報機関に
対する信用情報の与信申込みに係る全件照会
及び契約締結後の管理照会の実行を徹底する
必要があると考えています。
また、平成10年の当時大蔵省通産省共催の
「個人信用情報保護・利用の在り方に関する懇談
会」の報告書にあるとおり、信用供与者が与信申
込者に係る信用情報をもれなく利用できるような
仕組みを構築する必要があり、当連合会として
は、昭和62年3月から実施している全銀協個人
信用情報センター及び㈱シーアイシーとの間の
事故情報交流ネットワーク「CRIN」に加えて、平
成12年12月からは㈱テラネットと33情報セン
ターとの間で残高有り件数情報の相互交流を実
施しており、「CRIN」はもとより、テラネット交流に
おいても、これらの利用会員からは適正与信に
一定の効果を挙げている旨評価されているところ
ですので、今後、一層、加盟会員の増加と利用の
促進を図ることで、多重債務防止に資することが
できるものと考えています。
CCB
CIC
1)安全管理・会員管理に対する今後の対応
・ CCBにおける安全管理
組織的安全管理・人的安全管理・物理的安全管
理・技術的安全管理の継続的改善
システムアウトソーシングするCCBとしての委託
先管理の強化・改善
外部監査機関の積極的活用による継続的改善
・ 会員管理
目的外利用、不適切利用を検知するモニタリング
システムの継続的改善
会員教育、端末管理、更新審査に係る内容の充
実
情報管理の向上を目的とした会員指導
2)CCBの今後の展望と課題
・CCBは「消費者の信用力」を高めるクレジットヒ
ストリーの構築に向けて、設立された「全業種横
断型個人信用情報機関」です。
・ ITの進展等を踏まえた適切な対応を不断に
図っていく必要があると認識しております。喫緊
の課題としては、MT等媒体の輸送時における紛
失リスクを回避するためデータの伝送化があり、
早急に実現したいと考えております。
・ また、社員全員が安全管理・個人情報保護を
常に意識し、PDCAサイクルに基づく継続的な業
務改善が図られる社風を築いていきたいと考え
ております。
・ 会員管理については、会員と当社との間でより
一層のコミュニケーションの強化が必要と考えて
おります。
∼ 具体的には ∼
① 全業種、全業態の与信業者に門戸を開放し
ていること
② 消費者のクレジットヒストリーの蓄積による消
費者の信用力を証明すること
③ クレジットヒストリー蓄積のために全件照会・
全件登録を義務付けていること
・ クレジットヒストリーの蓄積は、消費者にとって、
肩書きや地位等によらない自ら築いた
信用力として適正な与信を受けることが可能にな
る。
・ 結果としてクレジットヒストリーの蓄積が「豊か ・ 欧米ではスコアリングモデルに活用され、一定
で健全な消費者信用社会」の形成の一助となる。 の評価を得ております。また、ネット取引における
・ そのため消費者の皆様にクレジットヒストリーの 本人認証での活用も研究がなされております。
重要性、個人信用情報機関の役割、仕組み、情 消費者の利益につながり、クレジットの健全な発
報の内容や安全管理について充分ご理解頂ける 展に貢献するのであれば、消費者の理解を前提
ようCCBとして取組んで行く。
にこれらの分野での利用も今後、検討に値するも
・ 一方、クレジット社会における個人信用情報機 のと考えます。
関の社会的な位置づけや重要性等についての消 ・ 中小零細企業に対する与信の判断に資するた
費者啓蒙を個社で取組むには限界もあり、官民 めの信用情報を整備することも検討してゆきたい
協力して制度整備に取組む必要がある。
と考えております。
・ クレジット事業者の再編や新規参入が進んでお
り、これに対応して適正な与信と多重債務者の防
止を実現するためには信用情報の完全性をより
一層高めることが重要であると考えます。このよ
うな観点からも信用情報機関の利用の在り方に
ついて、本委員会で是非ご審議をいただきたい。
・ 併せて信用情報の正確性・最新性の向上につ
いても重要な課題であると考えております。
・ また、ショッピング取引における商品の品目・内
容についての情報の整備も有効であると考えて
おります。
9
テラネット
全情連
全銀協
CCB
CIC
④ 個人信用情報機関を 個人信用情報機関としてはお答えする立場にあ 消費者信用業界全体の問題であり、情報セン
ターが個別に意見を申し述べるべきものではない
利用する会員業界のある りません。
と考えますのでご理解くださいますようお願い申
べき姿としてはどのよう
し上げます。
なものが望ましいと考え
るか。また、その際の課
題は何か。
・ 公正な競争の下で各会員企業が安全管理の
徹底や不正利用の防止等を一層向上させ、個人
信用情報機関を含め信用情報を利用する業界が
全体として消費者の安心と信頼を得ていく努力が
必要と考えています。
⑤ 制度整備に関して、 個人情報を不正に利用した者への制裁を明確 個人信用情報は、情報として売買される金銭的
政府に対しての要望はあ に定め、個人情報の流通に関してより安全な環 価値を有するがゆえに、狙われやすい個人情報
であると言えます。したがって、情報センターがよ
るか。ある場合はどのよ 境を整備することが望まれます。
り一層社会的信頼を得るためにも、当連合会が
うなものか。
従来から主張しているとおり、現行の個人情報保
護法で手当てできていないもの、すなわち、個人
信用情報機関やその会員の従業者が目的外利
用や漏えい等を行った場合の、その者に対する
刑事罰、及び、外部から個人信用情報を窃用し
ようとする悪意の第三者に対する刑事罰を設け
ていただくことを要望します。
・ 個人情報保護法で残された課題である業種横
断的な情報漏えい罪を早期に制定していただき
たい。
・ 健全な市場を形成し、公正な取引が行われる
ような条件の整備を図っていただくことが政府の
役割であると考えます。この場合、健全な市場の
成長とともに新しい多様な商品・サービスの提供
が行われ、消費者の利益につながるような合理
的な制度の整備に留意していただきたい。
10
Fly UP