2009年5月8日金曜日

米国の連邦議会行政監査局(GAO)が個人情報再販業者に対する機密情報安全性監督の強化策を勧告

〔再登録にあたり〕
 本ブログは2006年9月23日(水)にgoogleの“blogger”にアップしたものである。Googleブログではどういうわけか一定期間後のグログ原稿の編集は不可となる。このため法改正等による内容の更新・見直しと併せ、新たにリンクを張るなど読みやすさにも配意して改訂を行った。


 米国連邦議会行政監査局(United States Government Accountability Office;GAO)は、2006年6月26日に開催された連邦議会上院「銀行、住宅・都市問題委員会(Committee on Banking ,Housing and Urban Affaires ,U.S. Senate)」において、連邦や州の金融監督機関が行う“Gramm-Leach-Bliley Act;GLBA”等個人情報保護に関する重要な法律の運用に関し、最近急成長しつつある個人情報の再販事業者(Information Resellers)(筆者注1)が行うべき安全対策に関して、有効な監督機能を果たしていないとする勧告報告を行った。
 GAOの活動や権限について、本ブログでも数回取り上げたことがあるが、GAOの連邦議会への発言力すなわち上院・下院議員への影響力は極めて強く、また取扱う問題の範囲が広く米国の行政機関への横断的な影響度は大といえる。
 特にGAO報告の特徴は、関係企業、監督機関、消費者等からの情報収集が徹底されており、その説得力は他の連邦監督機関が無視し得ないものといえる。以下、紹介するとおり、法律の守備範囲と監督業界間の縦割りの弊害は米国でも現実の問題であり、この分析手法はわが国でも参考とすべき点といえよう。
 なお、わが国では個人情報保護法の全面施行後約1年を経過した2006年7月に、金融庁は金融機関における顧客情報の管理体制に係る一斉点検の結果(筆者注2)を、また内閣府は事業者の取組実態調査結果を公表している(筆者注3)。米国における金融機関の再販事業者の利用原因の1つが、「愛国者法(USA PATRIOT ACT)」(筆者注4)におけるマネロン阻止やなりすまし詐欺の防止に関する法令遵守の要請である。
 わが国ではマネロン阻止強化の観点から2007年9月22日に「本人確認法」施行令等が改正され、2007年1月4日以降10万円超の現金によるATM振込が原則不可となった。また、2008年3月1日以降、「犯罪による収益の移転防止に関する法律(平成19年法律第22号)」(「犯罪収益移転防止法」)に基づき、金融機関に対し本人確認が義務づけられるとともに、「本人確認法」は廃止された(本人確認の内容は変更されていない)。これと関連し名義人へのなりすましチェックも強化されるなど、状況が類似しており、「他山の石」とすべきであろう。(筆者注5)


1.GAO勧告の内容
連邦議会は次の3点について具体的に検討すべきである。
(1)個人情報の再販事業者が保有する機微個人情報(sensitive personal information)の安全対策について情報提供を求める。
(2)現行の金融機関の個人情報保護法である“Gramm-Leach-Bliley Act;GLBA”(15 USC 6801)「公正信用報告法(the Fair Credit Reporting Act:FCRA)」の遵守監督機関である連邦取引委員会(FTC)について、法執行機関として有効な制裁手段といえる民事制裁権(civil penalty authority)(筆者注6)を付与するよう見直しを行う。
(3)保険会社を監督する州の監督官の全米規模の組織体である全米保険監督官協会(the National Association of Insurance Commissioners;NAIC)においてもGLBAの遵守監督を行う。

2.GAOの調査・研究の背景
 米国における個人情報再販事業者は、(1)公的な機関が保有する記録(生年月日、資産記録等)(Public records)、(2)一般に公表されている情報(電話帳等)(Public available information)、(3)個人信用情報報告書のキー情報であるcredit header data(筆者注7)や加入者リスト(subscription lists)を情報源としてこれらデータの統合を行う。その結果、成果物として「本人確認報告」、「保険金請求記録報告」、「潜在的顧客情報」、「信用情報報告」が作成され、最終的に金融機関等に提供されるのである。
米国のこれら企業は米国国民のほとんどすべてといえる膨大な消費者の個人情報を収集し、その結果、この数年明らかになっているとおり、ChoicePointLexisNexis等大規模な漏洩事件が生じている。

3.GAOが取組んだ調査内容
(1)GAOは銀行、クレジットカード会社、証券会社や保険会社が次のような理由から再販事業者からの個人情報を入手、利用していると見る。
A. 利用者の法適合性
B.愛国者法等の法令遵守
C.なりすましなど詐欺の予防
D.自社の商品の市場性

(2)GAOは、「公正信用報告法(FCRA)」および「グラム・リーチ・ブライリー法(GLBA)」の適用により再販事業者への情報提供は制限されていると解している。すなわち、FCRAは与信や保険契約時における法適合性判断のための第一次的情報の収集や使用時に適用され、またGLBAは同法に規定する金融機関によって取得される個人情報について適用される。
 これら2法には情報保護・セキュリティに関する規定があるにもかかわらず、消費者(再販事業者からの購入利用者のこと)は再販事業者からあらゆる機微情報の入手が可能という拡大解釈の恩典をうけている。

(3)すなわち、連邦取引委員会(FTC)はこれら2つの法律のプライバシーやセキュリティに関して再販事業者が行うべき遵守に関して第一義的な監督責任を持つ連邦機関である。1972年以降、FTCは全米規模の3大信用情報機関(EquifaxExperianTransUnion)を含め、FCRA違反を理由として再販事業者に対し、20件以上の正規の法執行行為を行っている。しかしながら、FTCは GLBAに基づくプライバシー保護に関する規定(これらの規定は、法律に基づき大量の漏洩事件 違反行為に対して有効な法執行を担保することになる)に基づく民事制裁権を持たない。

(4)米国のプライバシー保護法等の遵守状況を概観すると、銀行や証券会社の連邦規制監督機関は遵守ガイダンスを発布するとともに検査を行い、その他公式・非公式の法執行行為を行っている。最近時にNAICの協力により行われた調査では、保険会社においてGLBAの不遵守の事例がみられたが、州の監督機関はNAICとともにこれらの問題に対応する明確な計画を有していなかった。(筆者注8)

(筆者注1) GAO報告によると、再販事業者名として本ブログで紹介したほかに、eFund(預金取扱機関に対し預金取引の履歴情報を提供)、Thompson West and Regulatory DataCorp(企業に対し詐欺やその他のリスクの軽減情報を提供)、ISO(保険会社に対し保険契約履歴情報その多詐欺要望商品を販売:http://www.iso.com/)等が紹介されている。

(筆者注2)http://www.fsa.go.jp/news/newsj/17/f-20050722-4.pdf

(筆者注3)内閣府は、調査結果の詳細を2006年7月28日開催の「国民生活審議会個人情報保護部会」の資料として配布している(内閣府のHPで同資料を探すのに、無駄な時間がかかってしまった。特に従来から気になっている点であるが、わが国の電子政府の中核である内閣府のサイトには「検索」機能がない)。資料が全部で158頁と大部(要旨では企業の検討材料として不十分)のためか、5分冊となっており、企業にとって個人情報漏洩防止に関心の高い漏洩原因の分析は第3分冊の中にある。第3分冊のURLは以下の通り。
http://www5.cao.go.jp/seikatsu/shingikai/kojin/20th/20060728kojin3-2-3.pdf

(筆者注4) 正式名は“UNITING AND STRENGTHENING AMERICA BY
PROVIDING APPROPRIATE TOOLS REQUIRED TO INTERCEPT AND OBSTRUCT TERRORISM (USA PATRIOT ACT) ACT OF 2001”
( Pub. L. No. 107-56, 115 Stat. 272 (2001)) である。直訳すると「テロ行為阻止のための適切な手段の提供よる米国民の団結強化に関する法律」(なぜ「愛国者法」というかが理解できよう)となるが、2001年9月11日の連続テロ事件を背景に成立した法律である。しかし、テロ阻止を理由とする犯罪捜査や盗聴を一定の場合認めるなど人権制限法としての性格が強く、合衆国憲法修正やその他の法律等との関係で人権擁護団体等から多くの問題が指摘されている。具体例として本ブログでも取り上げてきた米国EPIC(Electronic Privacy Information Center;EPIC)は“The USA PATRIOT Act”と題する専門的解説コーナーを設けており、そこで同法の歴史的経緯、法的分析・問題点、最新の関連法の改正動向等を取り上げて解説している。

(筆者注5)本人確認法(正確には「金融機関等による顧客等の本人確認等及び預金口座等の不正な利用の防止に関する法律(平成14年法律第32号)」の施行令、施行規則の改正に伴う解説および「犯罪収益移転防止法」に基づく本人確認の内容が金融庁のサイトで確認できる。

(筆者注6)GAOの資料にある“civil penalty”とは正確には行政機関により行政手続を通じて行われる“Administrative civil penalty”であると思う。米国における法律・規則違反等の違反行為に課される罰金(Fine)であり、広義の意味ではこのほかに民事裁判手続を通じて裁判所によって算定・賦課されるCivil judiciary penaltyとがある。なお、内閣府大臣官房独占禁止法基本問題検討室が担当している「独占禁止法基本問題懇談会」の取組は、最近時、EUをはじめ海外でも民事制裁に関する研究・審議が進んでいる分野との整合性を意識したものといえよう。
「独占禁止法における違反抑制制度の在り方等に関する論点整理」参照。
http://www8.cao.go.jp/chosei/dokkin/
わが国の経済界もその動きに神経質になっており、経団連経済法規委員会は本年8月1日付けで『「独占禁止法基本問題」に関するコメント』を公表している。
http://www.keidanren.or.jp/japanese/policy/2006/057.html

(筆者注7)“credit header data”とは、「姓名(姓名の変更を含む)、住所(旧住所を含む)、電話番号(知られている場合、非表示の番号も含む)、生年月日(通常生年月までに限定)、社会保障番号」をいう。この情報は、個人信用情報の生成過程で発生するが、FTCはそれが顧客の取引履歴の一部でないとして、FCRAでは規制されていない。この問題は1997年1月30日に人権擁護団体である「Privacy Rights Clearinghouse」でも取り上げられており、米国では従来から問題視されていたといえる。
http://www.privacyrights.org/ar/fedres.htm

(筆者注8)米国の保険監督上、「保険」は1944年以前において商業(commerce)とみなされず、連邦法の規制対象外であった。しかし、連邦最高裁判所が連邦議会に実質的に州際の保険事業についての立法権を認め、成立した法律が”McCarran-Ferguson Act(15 U.S.C. §1011)”である。しかし、同法はいくつかの州の保険業規制を定めているが、Sherman Act、Clayton Actおよび連邦取引委員会法(FTCA)では州法によって規制がなされない範囲で、連邦法が適用されるというかたちがとられている。http://www.law.cornell.edu/wex/index.php/

〔参照URL〕
http://www.gao.gov/new.items/d06674.pdf

Copyright (c)2006-2009 福田平冶 All Rights Reserved.

0 件のコメント: