米国の連邦議会行政監査局(GAO)が個人情報再販業者に対する機密情報安全性監督の強化策を勧告

　
　米国連邦議会行政監査局(United States Government Accountability Office:GAO)は、2006年6月26日に開催された連邦議会上院の「銀行、住宅・都市問題委員会（Committee on Banking ,Housing and Urban Affaires ,U.S. Senate）」において、連邦や州の監督機関が行うGLBA等個人情報保護に関する重要な法律の運用に関し、最近急成長しつつある個人情報の再販事業者(Information Resellers)(筆者注1)が行うべき安全対策に関して、有効な監督機能を果たしていないとする勧告報告を行った。
GAOの活動や権限について、本ブログでも数回取り上げたことがあるが、GAOの連邦議会への発言力すなわち上院・下院議員への影響力は極めて強く、また取扱う問題の範囲が広く米国の行政機関への横断的な影響度は大といえる。
　特にGAO報告の特徴は、関係企業、監督機関、消費者等からの情報収集が徹底されており、その説得力は他の連邦監督機関が無視し得ないものといえる。以下、紹介するとおり、法律の守備範囲と監督業界間の縦割りの弊害は米国でも現実の問題であり、この分析手法はわが国でも参考とすべき点といえよう。
　わが国では個人情報保護法の全面施行後約1年を経過した2006年7月に、金融庁は金融機関における顧客情報の管理体制に係る一斉点検の結果(筆者注2)を、また内閣府は事業者の取組実態調査結果を公表している(筆者注3)。米国における金融機関の再販事業者の利用原因の１つが、「愛国者法（PATRIOT ACT）」におけるマネロン阻止やなりすまし詐欺の防止に関する法的遵守の要請である。
わが国ではマネロン阻止強化の観点から9月22日に本人確認法施行令等が改正され、2007年1月4日以降10万円超の現金によるATM振込が原則不可となる。また、名義人へのなりすましチェックも強化されるなど、状況が類似しており、他山の石とすべきであろう(筆者注4)。
　なお、本ブログは2006年9月のアップデート版である。

１．GAO勧告の内容
連邦議会は次の３点について具体的に検討すべきである。
(1)個人情報の再販事業者が保有する機微個人情報(sensitive personal information)の安全性対策について情報提供を求める。
(2)現行の金融機関の個人情報保護法であるGramm-Leach-Bliley Act(GLBA)や公正信用報告法(the Fair Credit Reporting Act：FCRA))の遵守監督機関である連邦取引委員会(FTC)について、法執行機関として有効な制裁手段といえる民事制裁権（civil penalty authority）（筆者注5）を付与するよう見直しを行う。
(3)保険会社の連邦監督機関である全米保険監督官協会（the National Association of Insurance Commissioners：NAIC）においてもGLBAの遵守監督を行う。

２．GAOの調査・研究の背景
米国における個人情報再販事業者は、(1)公的な機関が保有する記録（生年月日、資産記録等）(Public records)、(2)一般に公表されている情報（電話帳等）（Public available information）、(3)個人信用情報報告書のキー情報であるcredit header data(筆者注6)や加入者リスト（subscription lists）を情報源としてこれらデータの統合を行う。その結果、成果物として「本人確認報告」、「保険金請求記録報告」、「潜在的顧客情報」、「信用情報報告」が作成され、最終的に金融機関等に提供されるのである。
米国のこれら企業は米国国民のほとんどすべてといえる膨大な消費者の個人情報を収集し、その結果、この数年明らかになっているとおり、ChoicePoint,LexisNexis等大規模な漏洩事件が生じている。

３．ＧAOが取組んだ調査内容
(1)GAOは銀行、クレジットカード会社、証券会社や保険会社が次のような理由から再販事業者からの個人情報を入手、利用していると見る。
A. 利用者の法適合性
B.愛国者法等の法令遵守
C.なりすましなど詐欺の予防
D.自社の商品の市場性

(2)GAOは、公正信用報告法(FCRA)およびグラム・リーチ・ブライリー法(GLBA)の適用により再販事業者への情報提供は制限されていると解している。すなわち、FCRAは与信や保険契約時における法適合性判断のための第一次的情報の収集や使用時に適用され、またGLBAは同法に規定する金融機関によって取得される個人情報について適用される。
これら２法には情報保護・セキュリティに関する規定があるにもかかわらず、消費者（再販事業者からの購入利用者のこと）は再販事業者からあらゆる機微情報の入手が可能と言う拡大解釈の恩典をうけている。

(3)すなわち、FTCはこれら２つの法律のプライバシーやセキュリティに関して再販事業者が行うべき遵守に関して第一義的な監督責任を持つ連邦機関である。1972年以降、FTCは全米規模の３大信用情報機関（Equifax、Experian、TransUnion）を含め、FCRA違反を理由として再販事業者に対し、20件以上の正規の法執行行為を行っている。しかしながら、FTCは GLBAに基づくプライバシー保護に関する規定（これらの規定は、法律に基づき大量の漏洩事件　違反行為に対して有効な法執行を担保することになる）に基づく民事制裁権を持たない。

(4)米国のプライバシー保護法などの遵守状況を概観すると、銀行や証券会社の連邦規制監督機関は遵守ガイダンスを発刊するとともに検査を行い、その他公式・非公式の法執行行為を行っている。最近時にNAICの協力により行われた調査では、保険会社においてGLBAの不遵守の事例がみられたが、州の監督機関はNAICとともにこれらの問題に対応する明確な計画を有していなかった（筆者注7）。

(筆者注1) GAO報告によると、再販事業者名として本ブログで紹介したほかに、eFund(預金取扱機関に対し預金取引の履歴情報を提供)、Thompson West and Regulatory DataCorp(企業に対し詐欺やその他のリスクの軽減情報を提供)、ISO(保険会社に対し保険契約履歴情報その多詐欺要望商品を販売：http://www.iso.com/)等が紹介されている。

(筆者注2)http://www.fsa.go.jp/news/newsj/17/f-20050722-4.pdf

(筆者注3)内閣府は、調査結果の詳細を2006年7月28日開催の「国民生活審議会個人情報保護部会」の資料として配布されている（内閣府のHPで同資料を探すに、無駄な時間がかかってしまった。特に従来から気になっている点であるが、わが国の電子政府の中核である内閣府のサイトには「検索」機能がない）。資料が全部で158頁と大部（要旨では企業の検討材料として不十分）のためか、５分冊となっており、企業にとって個人情報漏洩防止に関心の高い漏洩原因の分析は第３分冊の中にある。第３分冊のURLは以下の通り。
http://www5.cao.go.jp/seikatsu/shingikai/kojin/20th/20060728kojin3-2-3.pdf

(筆者注4)本人確認法（正確には「金融機関等による顧客等の本人確認等に関する法律」）の施行令、施行規則の改正に伴う解説URLは以下の通り。
http://www.fsa.go.jp/policy/honninkakunin/index.html

（筆者注5）GAOの資料にあるcivil penaltyとは正確には行政機関により行政手続を通じて行われるAdministrative civil penaltyであると思う。米国における法律・規則違反等の違反行為に課される罰金（Fine）であり、広義の意味ではこのほかに民事裁判手続を通じて裁判所によって算定・不可されるCivil judiciary penaltyとがある。なお、内閣府大臣官房独占禁止法基本問題検討室が担当している「独占禁止法基本問題懇談会」の取組は、最近時、EUをはじめ海外でも研究・審議が進んでいる分野との整合性を意識したものといえよう。
「独占禁止法における違反抑制制度の在り方等に関する論点整理」参照。
http://www8.cao.go.jp/chosei/dokkin/
わが国の経済界もその動きに神経質になっており、経団連経済法規委員会は2006年8月1日付けで『「独占禁止法基本問題」に関するコメント』を公表している。
http://www.keidanren.or.jp/japanese/policy/2006/057.html

(筆者注6)credit header dataとは、「姓名（姓名の変更を含む）、住所（旧住所を含む）、電話番号（知られている場合、非表示の番号も含む）、生年月日（通常生年月までに限定）、社会保障番号」をいう。この情報は、個人信用情報の生成過程で発生するが、FTCはそれが顧客の取引履歴の一部でないとして、FCRAでは規制されていない。この問題は1997年1月30日の人権保護団体である「Privacy Rights Clearinghouse」でも取り上げられており、米国では従来から問題視されていたといえる。
http://www.privacyrights.org/ar/fedres.htm

（筆者注7）米国の保険監督上、「保険」は1944年以前において商業（commerce）とみなされず、連邦法の規制対象外であった。しかし、連邦最高裁判所が連邦議会に実質的に州際の保険事業についての立法権を認め、成立した法律がMcCarran-Ferguson Act(15 U.S.C. §1011)である。しかし、同法はいくつかの州の保険業規制を定めているが、Sherman Act、Clayton Actおよび連邦取引委員会法(FTCA)では州法によって規制がなされない範囲で、連邦法が適用されるというかたちがとられている。http://www.law.cornell.edu/wex/index.php/

〔参照URL〕
http://www.gao.gov/new.items/d06674.pdf

Copyrights (c)2006-2008 福田平冶　All rights Reserved