みずほ銀行が子会社のオリコ関係の貸金について反社会的勢力排除ができていなかったことが、不祥事として報道されている。
反社排除ができていなかったのは、みずほ銀行が貸主、オリコが融資審査担当および保証会社として、貸し付けたローンだった。
ここでみずほ銀行の調査報告書 http://www.mizuhobank.co.jp/release/2013/pdf/news131028.pdf を見ると、興味深いことがわかる。
排除すべき反社会的勢力かどうか(主に暴力団員かどうか)は、正確には、警察に照会することではじめてわかることである。みずほ銀行は契約の事後チェックとしておこなったところ108万件中の228件が該当することがわかった。みずほ銀行は、今後の反社排除のため、みずほ銀行において取引拒絶すべき先と把握している顧客リストをオリコに提供していこうと検討した。
しかし、それが個人情報保護法上、収集した個人情報の第三者提供に該当するのではないかと疑問を持った。
ちょうどその直前、平成23年1月17日にオリコとみずほ銀行が経済産業省を訪れ、みずほ銀行からオリコへの顧客情報の提供、共同利用の可否を問い合わせていた。おりからみずほ銀行はオリコをグループ会社化したことから、両社は、顧客情報の共有化等の態勢整備や顧客情報の共同利用によるマーケティング、オリコの顧客へのみずほ 銀行の商品販売を計画していたからである。
その際の経済産業省の回答は、オリコは個人情報保護法のみならず経済産業省が公表する「経済産業分野のうち信用分野における個人情報保護ガイドライン」の適用を受けるところ、同ガイドラインでは、書面による同意なく共同利用を行うことはできないとの回答がなされていた。
そのため、みずほ銀行は、オリコへの反社情報の提供を断念するに到った。
というものである。
さて、一見、みずほ銀行は、経済産業省に問い合わせてそれに従ったのだから、問題がないように思える。しかし、この場合、オリコとみずほ銀行の詰めも甘かったうえに、経済産業省の回答が間違っていたとまでは言わないもののかなり不親切だったというべきだろう。
民事介入暴力対策に精通した弁護士には、あたりまえとも言うべき基礎知識として、反社会的勢力の情報の収集・取得・利用には個人情報保護法の適用はない。
個人情報保護法
(取得に際しての利用目的の通知等) 第十八条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
(第三者提供の制限) 第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
みずほ銀行やオリコが暴力団員などの反社情報を取得・利用するのは、自分の会社の財産や従業員の生命・身体・財産を害されることをおそれるからである。反社情報の利用目的はそれに尽きるのであるから、これは当然に個人情報保護法の適用外の個人情報のはずである。
個人情報保護法は経済産業省が所管官庁として平成15年に制定され、その後、所管官庁ごとにガイドラインが整備されている。一方、反社会的勢力排除が企業に要請されるようになったのは、平成19年6月19日に内閣府が発表した「企業が反社会的勢力による被害を防止するための指針について」(犯罪対策閣僚会議幹事会申合せ)http://www.moj.go.jp/keiji1/keiji_keiji42.html以降であり、それ以降各省庁で反社排除に向けたガイドラインが整備されていった。
この平成19年反社指針には解説が付されている。「 企業が反社会的勢力による被害を防止するための指針に関する解説」 http://www.mlit.go.jp/common/000990052.pdf であり、その(11)において、「個人情報保護法に則した反社会的勢力の情報の保有と共有」のあり方が解説されており、そこでは、反社情報は、取得・利用・提供・保有のいずれも場合も、個人情報保護法の適用除外であると記載している。
平成23年1月17日にオリコとみずほ銀行が経済産業省を訪れた際は、マーケティングのための共同利用のための問い合わせであったと思われる。しかし、反社顧客の排除はオリコにとっては当然のコンプライアンス上の要求であった以上、反社情報のチェックも、マーケティングの一環をなしているといってよいであろう。
経済産業省の担当官は、個人情報保護法の本文だけを挙げて「顧客情報の第三者提供は書面で同意がない限りできない」と原則だけを教示するのでなく、反社でない顧客情報は原則に従うが、反社指針ができた以上反社情報の共有は問題ないし、むしろ積極的に情報を提供し共有すべきであると指示すべきであったと思われる。
さて、経済産業省の担当官は、内閣府によってまとめられ全省庁よくわかっているはずのこの反社指針を知っていたのであろうか。私の推測は、経済産業省の担当官は反社指針のこの解説の記述を知らなかったのではないかと思う。担当官が知っていれば、最新のトピックとして教示くらいしていると思われるのである。
ではみずほ銀行の法務部門はこの反社指針解説を知っていたのだろうか。知らなかったのだろう。知っていれば、経済産業省への聞き方はまったく変わっていたはずである。
みずほ銀行の顧問弁護士はどうだったのだろうと思って調査報告書を読んでみたが、みずほ銀行の法務部門は、顧問弁護士になぜかこの点についてはなにも確認していないように読める。
さらに、みずほ銀行は、みずからの所管官庁であるはずの金融庁にも問い合わせをしていない。金融庁は、金融分野における個人情報保護に関するガイドラインhttp://www.fsa.go.jp/common/law/kj-hogo/01.pdfを公表しており、そこで、暴力団員やクレーマーに関する情報は個人情報保護法の適用除外であると記載している。みずほ銀行が採るべきはこちらのガイドラインである。また、金融庁検査においても金融機関の反社排除の状況については重要な検査項目とされている。
このように見ていくと、みずほ銀行のエラーは、「個人情報保護法の所管官庁だから」「オリコの所管官庁だから」という理由でちょうど経済産業省に問い合わせていた経済産業省の担当官に言われたまま、オリコへの情報提供はできないと思い込んだこと、反社情報の場合でもそうなのかというところを詰めず、それ以上詰めなかったというところに、どうやら初歩的なエラーがあったということになる。
この調査報告書を読んで、私の脳裏にパッと浮かんだのが、NOVA破綻にからんだ経済産業省の対応であった。それはまた別の機会に書いてみたい。