規範名称

法的性質及び適用範囲

考察ポイント

「安全規範」

●  法的性質：推奨性国家標準

●  適用範囲：各種組織の個人情報処理活動を規範化すること、並びに主管監督管理部門、第三者評価機構等の個人情報処理活動に対する監督、管理、評価に適用される。

●  法的性質からいえば、この2つの規範は、いずれも推奨性標準に該当し、強制的な拘束力を有しない。しかし、この両者は、法執行機構が法執行を行う際の参考根拠であるため、法執行機構はこの2つの規範に依拠し、係る企業に対しての検査、事情聴取等を行い、且つ是正を求める可能性がある。

●  「安全規範」の適用範囲は「金融情報規範」よりも広く、全業種に適用される。「金融情報安全規範」は金融業種のみに適用され、具体的には、認可を受けた金融機関（例えば、商業銀行、金融リース会社、証券会社等）及び個人金融情報の取り扱いに関連する機構（認可を受けた金融機関に対し技術サービスを提供するサプライヤー、データ分析会社等が含まれる可能性がある）。

「金融情報規範」

●  法的性質：推奨性業界標準

●  適用範囲：金融商品とサービスを提供する金融業機構に適用され、且つ安全評価機構が安全検査・評価作業を行う際に参考にすることができる。

規範名称

保護対象

考察ポイント

「安全規範」

●  保護対象は個人情報であり、即ち、電磁的又はその他方式により記録される、単独で又はその他の情報と結びつくことにより、特定の自然人の身元を識別し、又は特定の自然人の活動を反映する各種情報を指す。具体的には、本人確認情報、個人財産情報、個人フィジカルヘルス情報、個人生体識別情報、個人の教育・職務経歴情報等が含まれる。

●  個人金融情報は個人情報に隷属し、個人情報の下の小項目に該当する。「安全規範」は全種類の個人情報を保護するが、「金融情報規範」は個人金融情報のみを保護する。

「金融情報規範」

●  保護対象は個人金融情報であり、金融業機構が金融商品及びサービスを提供し、又はその他のルートから取得し、加工及び保存する個人情報を指す。具体的には、口座情報、判別情報1、金融取引情報、本人確認情報、財産情報、貸付情報及びその他特定の個人の一部状況を反映する情報に分けることができる。

規範名称

保護対象

考察ポイント

「安全規範」

●  個人情報は、機微情報と非機微情報の2種類に分けられる。

●  機微情報とは、一旦漏えいされ、不法に提供され、濫用された場合、人身及び財産の安全に危害をもたらすおそれがあり、個人の名誉、心身、健康に対し損害又は不利な待遇等を極めて受けやすい個人情報を指す。例えば、個人財産情報（銀行口座、判別情報、預金情報、信用貸借記録、信用情報等）、個人フィジカルヘルス情報（入院診療記録、検査報告、既往歴等）、個人生体識別情報（指紋、顔認識の特徴等）、本人確認情報（本人確認書、社会保険カード、居住証等）である。

●  「安全規範」と「金融情報規範」のいずれも、情報の機微度に応じて、情報を分類している。情報の種類ごとに、保護措置に対する要求も異なる。機微度が高ければ高いほど、その保護要求は厳しくなる。

●  「安全規範」では、個人情報を機微なものと機微でないものという2種類に大きく分類している。「金融情報規範」は、金融業界で接触する情報の特性に基づき、細かく分類を行うことで、金融業機構が自らの保有する情報について一層種類別に保護しやすくなっている。

「金融情報規範」

●  個人金融情報の機微度の高い順から、C3、C2、C1という3種類に分けられる。

●  C3類情報は主にユーザー認証情報である。当該種類の情報がひとたび授権なく閲覧され、又は授権なく変更された場合、個人金融情報主体2の情報安全及び財産安全に重大な危害をもたらすことになる。例えば、銀行カードのパスワード、オンライン決済時の取引パスワード、証券/保険口座のログインパスワード/照会パスワード/取引パスワード等である。

●  C2類情報は、主に特定の個人金融情報主体の身元及び金融状況を識別できる個人金融情報、並びに金融商品とサービスに用いられる重要情報である。当該種類の情報が授権なく閲覧され、又は授権なくして変更された場合、個人金融情報主体の情報安全及び財産安全に一定の危害がもたらされることになる。例えば、支払口座番号、口座残高、融資情報、入出金明細等である。

●  C1類情報は、主に機構内部の情報資産であり、金融業機構の内部で使用する個人金融情報を指す。当該種類の情報が授権なく閲覧され、又は授権なくして変更された場合、個人金融情報主体の情報の安全性及び財産の安全に一定の影響が及ぶおそれがある。例えば、口座開設時間、口座開設機構、C2類とC3類に含まれないその他の個人金融情報である。

比較対象

機微情報

非機微情報

収集

●  情報を収集し、使用する目的、方式及び範囲等を告知し、且つ係る個人から明示的な同意を得なければならない。

●  明示的な同意とは、自ら書面、口頭等の方式により、紙媒体もしくは電磁的方式による声明を行い、又は自ら肯定を表す動作をすることによって、その個人情報に対する特定の取り扱いについて、明確に授権する行為を行うことをいう。例えば、「同意する」ボタンを自主的にクリックしたり、内容を自主的に記入する等である。

●  情報を収集し、使用する目的、方式及び範囲を告知し、且つ係る個人から授権・同意を得なければならない。

●  授権・同意には、左記にいう明示的な同意も黙示の同意（即ち、消極的不作為の方式により授権を行うことを指す。例えば、顔認識エリアにいる個人が、顔情報収集行為を行うことを告知された後、同エリアから離れなければ、默示の同意がなされたとみなされる）も含まれる。

伝送及び保存

●  暗号化等の安全措置を講じなければならない。

●  特に要求はない（但し、個人の非機微情報の漏えいリスクを防ぐためにも、暗号化等の保護措置を講じておくのがよい）。

共有

●  係る個人から明示的な同意を得るとともに、係る個人に対して、共有される予定の個人の機微情報の類型、データ受取人の身元情報及びそのデータ安全保障能力等を明確に告知しなければならない。

●  係る個人から授権・同意を得なければならないほか、特に要求はない。

比較対象

C1

C2、C3

収集

●  個人金融情報を収集するにあたり、種類を問わず、情報を収集し、使用する目的、方式及び範囲等を明示し、且つ係る個人から明示的な同意を得ていなければならず、黙示的な授権という方式により個人金融情報を収集してはならない。

伝送

●  原則上、情報を伝送する過程における守秘性、安全性及び安定性を確保しなければならない。

●  パブリックネットワークによりC2、C3類情報を伝送する際には、暗号化されたルート又はデータ暗号化の方式により伝送しなければならないことを強調している。

保存

●  明確な要求はない（但し、個人金融情報が漏えいリスクを防ぐためにも、暗号化したうえで保存するようにするのがよい）。

●  C3類個人金融情報については、データ保存の守秘性を確保するために、暗号化措置を講じなければならないことを強調している。

共有

●  C1類情報の共有は禁じられていない。

●  C3類情報及びC2類における判別補助情報（例えば、動的コード、ショートメッセージ認証コード、秘密の質問の回答等）の共有は禁じられる。