「個人情報保護法」の公布、施行に伴い、さまざまな業界において個人情報保護への関心が日増しに高まっている。高度に情報化された金融業界では、ビッグデータ技術の普及により、日常の業務を通じて大量の顧客の個人情報が保有され、処理されている。個人情報保護をどのように遂行するかという点で、金融機関も多くの困難や課題に直面している。先頃、中国銀行保険監督管理委員会は「銀行保険機構消費者権益保護管理弁法（意見募集稿）」（以下「意見募集稿」という）を公表し、銀行保険機構による個人情報保護について、「消費者個人情報保護メカニズムの構築、内部管理制度及び等級別の認可審査の授権及び内部コントロール措置の整備、消費者個人情報に対する全プロセス等級別及び分類別管制の実施を行うべきであること」を含めた一層明確な要求が示され、また、個別に一章を設け、金融消費者の情報セキュリティーに係る権利をどのように保護すべきかについて定めた。「意見募集稿」はまだ法的効力を持つ正式文書ではないが、監督管理部門による個人情報保護作業に対する監督管理上の考え方を把握するうえでは、有用な参考資料となり得る。そこで、現在の金融機関における個人情報保護の現状について、現行の法律規定及び「意見募集稿」を踏まえ、金融機関が自ら収集した個人情報、又はその他の者から提供された個人情報を取扱う際に関係してくるコンプライアンス遵守ポイントを考察及び分析し、若干の実践上のアドバイスを提供する。

一、個人金融情報保護に関する立法及び規制

金融消費者の個人情報保護の強化は、以前から金融監督管理部門が相対的に関心を払っていた問題であった。個人情報保護法が施行されるまでの20年近い期間において、金融機関の個人情報保護に関する基本規則や概括的な規定は、関連法律、法規、部門規章、規範性文書及び国家基準などに散見されていた。不完全な統計によると、少なくとも以下の文書が含まれている。

発効年月	公布機関	法令、文書名
2000年4月	国務院	「個人預金口座実名制規定」
2003年9月	中国人民銀行	「人民元銀行決済口座管理弁法」
2007年1月	全国人民代表大会常務委員会	「中華人民共和国資金洗浄防止法」
2007年8月	中国人民銀行等の4つの部門又は委員会	「金融機関顧客身元識別と顧客身元資料及び取引記録保存管理弁法」
2011年5月	中国人民銀行	「銀行業金融機関による個人金融情報保護業務の貫徹に関する通知」（「17号文」）
2012年3月	中国人民銀行	「金融機関による顧客の個人金融情報保護業務のさらなる貫徹に関する通知」
2013年3月	国務院	「信用調査業管理条例」
2017年6月	全国人民代表大会常務委員会	「中華人民共和国サイバーセキュリティ法」
2017年6月	最高人民法院、最高人民検察院	「公民個人情報侵害刑事事件の取扱いに適用する法律に係る若干の問題に関する解釈」
2018年5月	中国銀行保険監督管理委員会	「銀行業金融機関のデータ管理ガイドライン」
2019年2月	国家互聯網信息弁公室	「金融情報サービス管理規定」
2019年9月	中国人民銀行	「モバイル金融端末アプリセキュリティ管理規範」
2020年2月	中国人民銀行	「個人金融情報保護技術規範」（JR/T 0171—2020）（「技術規範」）
2020年7月	中国銀行保険監督管理委員会	「商業銀行オンライン融資管理暫定弁法」
2020年9月	中国人民銀行	「金融データセキュリティ  データセキュリティ等級別ガイドライン」（JR/T 0197-2020）（「等級別ガイドライン」）
2020年11月	中国人民銀行	「中国人民銀行金融消費者権益保護実施弁法」
2020年11月	中国人民銀行	「金融持株会社監督管理試行弁法」
2020年1月	全国人民代表大会	「中華人民共和国民法典」
2021年9月	全国人民代表大会常務委員会	「中華人民共和国データセキュリティ法」
2021年9月	国務院	「重要情報インフラ安全保護条例」

初期の関連法令、規範性文書では、金融分野における「個人情報」の概念は、「顧客身元資料」「口座情報」「顧客情報」等として散発的に表現されていた。2011年に至ってから、中国人民銀行が公表した「17号文」において初めて「個人金融情報」という概念が使われた。その意味は、銀行業金融機関が業務を行う過程で、又は中国人民銀行の信用システム、決済システム及びその他のシステムへのアクセスを通じて取得、加工及び保存する個人情報であり、個人身元情報、個人財産情報、個人口座情報、個人信用情報、個人金融取引情報、派生情報及び個人との業務関係を構築する過程で取得、保存するその他の個人情報を含むものである。2020年、中国人民銀行は「技術規範」を発表し、個人金融情報をさらに口座情報、識別情報、金融取引情報、個人身元情報、財産情報、貸借情報及びその他特定個人の一定の状況を反映する情報へと分類した。

個人情報保護法が公布されるまでは、個人金融情報の保護するものとして一連の部門規章、規範性文書が監督管理の根拠としてあったのだが、それら同士の間では完全かつ明確な法体系は形成されていなかった。個人情報保護法は、個人情報保護分野の基本法として、個人情報処理の全ライフサイクルの基本保護原則及び個人情報の第三者への提供、越境移転等に関する保護ルールを確立するものであり、従来の個人金融情報の関連規定における空白や抜け穴をある程度埋めるものとなった。同時に、金融監督管理部門は、個人情報保護法をベースとして、金融業界の独自の特徴に応じて、より詳細且つ運用しやすい監督管理方法と業界規則を引き続き策定していくことができる。

金融業界は「規制の強い」業界であり、他の業界と比べると、コンプライアンス違反のリスクについて一層敏感であり、コンプライアンス遵守の要求レベルも一層高くなる。銀保監会、中国人民銀行及びその分支機構がこの数年で発行した行政処罰決定書を見る限りでは、金融機関における個人情報保護違反には主に「消費者金融情報の収集と利用の目的、方法及び範囲を明示しなかった」[1]、「顧客の身元資料又は取引記録を規定通りに保管しなかった」[2]、「個人情報の収集は必要最小限との原則に従わなかった」[3]、「同意なく個人情報にアクセスした」[4]、「不利益な個人情報を提供する際に、事前に情報主体に告知しなかった」[5]、「授権又は同意なく、その他の業務処理のために個人情報を収集、利用した」[6]、「等級別の授権を核心とする消費者金融情報の使用管理体制を構築していない」[7]、「顧客からの授権なく第三者に個人情報を提供した」[8]などの方面で顕在化しており、処罰の対象は、各種銀行（国有銀行、地方商業銀行、外資系銀行などを含む）、保険会社、証券会社、信託会社等多岐にわたり、処罰方法は一般的に、関係機関と関係実務者に対する「ダブルペナルティ」方式を採用している。

 二、金融機関の個人情報保護に関するコンプライアンス遵守ポイント

 1．情報の収集は、「告知-同意」及び「必要最小限」の原則に従うこと

まず、個人情報保護法では、個人情報を取扱ううえで遵守すべき「告知-同意」の原則を確立しており、即ち、個人情報を収集し使用するには明確な目的を有しなければならず、且つ収集前にその取扱い目的、方法、範囲等の事項を本人に告知するようにし、同意の取得が免除される6つの状況を除き、本人から事前に同意を取り付けておかなければならない。本人が同意しない場合は、個人情報の取扱いがかかる製品又はサービスの提供に必須である場合を除き、個人情報取扱者はこれを理由に係る製品又はサービスの提供を拒否してはならない。「意見募集稿」第42条では、この情報収集規則を改めて強調しており、且つ銀行保険機構は「形を変えて実質的に強制したり、不法に買い取る等の不正な方法をもって消費者の個人情報を収集してはならない」としている。

次に、個人の金融情報の収集においては、必ず「必要最小限」の原則に従わなければならず、即ち、個人が金融商品を獲得したり、又は金融サービスを受けたりするために必要な範囲に限定される。現在、金融分野で広くみられる個人情報の過剰な収集は、「派生情報」に関係しているものであることが多い。「派生情報」とは、元の個人情報を取扱い、分析した後で形成された個人のある特定の状況を反映することのできる情報を指し、例えば、個人の消費習慣、リスク選好、投資意欲等であり、金融商品の販売や金融サービスの革新のために使用しやすいよう、これらの情報を通じて顧客プロファイルを形成するのである。「意見募集稿」第43条は、銀行保険機構が書式約款を使用して個人情報の授権を取得することを認めているが、「個人情報の収集、利用及び対外的な提供の範囲と具体的な状況を書式約款中で明確にし、消費者と重大な利害関係がある内容については、契約書の中の目立つ位置に明示する」よう明確に求めている。実務運用上は、金融機関は、定型契約で「概括的な授権」、「隠れ条項」等を設定することで、個人金融情報を過剰に収集し使用することを避けなければならない。また、顧客にとりわけ知らせる必要のある重大な利害関係に係る内容については、太字、下線、フォントの色を変更するなどの方法をもって、顧客に対し十分な注意喚起をするか、又は合理的な閲覧時間を設定し（10秒に設定する等）、重要条項等を顧客に強制的に閲覧してもらうようにするとよい。

2．機微な個人情報の特別保護規則

個人情報保護法第28条では、「機微な個人情報」は「万が一漏洩し、又は不法使用されることにより、容易に自然人の人格の尊厳を侵害し、又は人身・財産安全を脅かすことになり得る個人情報」と定義され、且つその中には「金融口座」が含まれている。「金融口座」以外にも、金融商品及び金融サービスを提供する過程では、顧客の身元を識別、認証するために取得した指紋、顔認識情報、並びに顧客の親族情報に係わり得る14歳未満の未成年者の個人情報等は全て機微な個人情報に該当する。また、学界では、「技術規範」に記載されている「鑑別情報」も機微な個人情報に該当すべきだという見解もあり、それは、かかる情報が漏洩し、または不法使用されてしまうと、個人財産が失われる確率が極めて高く、機微な個人情報の特性を満たすからである。個人情報保護法では、機微な個人情報についての列挙は全てを網羅し尽しているわけではなく、金融機関はどの情報が機微な個人情報に該当するのかを判断するにあたり、「技術規範」において個人金融情報を機微度の度合いに応じて分けられた次の3つの類別を参照することができる。C３は最も機微度の高い情報であり、ひとたび授権なく照会又は変更がなされると、個人金融情報主体の情報セキュリティが深刻に脅かされる恐れがあり、銀行カードの暗証番号、個人の生体認証情報等を含み、C２は二番目に機微度の高い情報であり、支払元口座番号、口座残高等を含み、C１は最も機微度の低い情報であり、口座開設時間、開設機関などを含む。なお、「等級別ガイドライン」では、金融データセキュリティが破壊された後の影響先及び影響度合いに応じて、データのセキュリティを高低5つの級別に分けており、そのうち、4級データ、3級データ、2級データはそれぞれ技術規範のC３、C２、C１に対応している。「技術規範」と「等級別ガイドライン」は推奨性業界基準であり、それ自体に法的強制力はないが、監督管理部門による法執行及び企業によるコンプライアンス遵守の観点から、一定の参考価値がある。

個人情報保護法第29条では、「機微な個人情報を取扱う場合、個人から個別の同意を得なければならない。法律、行政法規で、機微な個人情報を取扱うには書面による同意を取得しなければならないと規定している場合、その規定に従わなければならない」とされている。「個別の同意」の理解については、2021年11月に公布された「ネットワークデータセキュリティ管理条例（意見募集稿）」では、「個別の同意とは、データ取扱者が特定のデータを取扱う際に、個人情報の項目ごとに個人の同意を得ることを意味し、個人情報の複数の項目又は複数の取扱い行為に対しての一括型の同意は含まない」と明確に規定している。これは、金融機関も従来の「一括型授権」モデルを変更し、「機微な個人情報」を「一般の個人情報」として一括にするのではなく、個人の同意を得なければならないことを意味している。機械的に何度も個人から個別の同意を得ることは、金融機関にとってもコンプライアンスコストの増加につながり、使用者の体験にも影響を与える恐れがあることを考えると、「個別の同意」という原則については、実務上は条文の字面の意味にとらわれることなく、その立法趣旨を把握した上で、コンプライアンス遵守且つ弾力的な方法を探るべきであり、原則として、個人が事情を十分に理解し、自由意志に基づいて機微な個人情報の取扱いに同意するかどうかを自ら決定することができるようになればよいと考えられる。例えば、機微な個人情報を含む完全な授権リストを顧客に提供し、顧客が1回でもチェックすればよし、としたならば、顧客が一部特定の機微な個人情報の取扱いを拒否する権利を奪うことにはなり得るが、機微な個人情報の諸項目と各種取扱い方法の前に、顧客が選択できるチェックボックスを設置すれば、個別の同意の要求を満たすことになり、コンプライアンスのコストを節約することもできる。

3．個人情報主体が有する照合、複製、修正、補足及び削除に係る権利の保障

個人情報保護法第四章では、個人が個人情報の取扱いにおいて有する権利が規定されており、主には、個人情報に対する照合、複製、修正、補足及び削除等に係る権利である。司法の実践においては、銀行から誤った個人の信用情報を送付されたことにより、個人の信用が損なわれたことに起因する民事紛争事例が多く発生している。金融機関は、個人の金融情報の取扱者として、情報の主体が係る権利を行使できるよう、申請を受理するプロセス、取扱期限、取扱結果の通知方法等に関する情報の公開などを含む、明確かつ実行可能な申請ルートを事前に提供し、且つ情報主体の要求には可能な限り効率的かつ便利な方法で対処するのがよい。例えば、顧客がその個人情報の照合を求めた場合、照合結果を紙媒体又は電子媒体で提供するとよく、受領方法については、顧客が自由に選択できるよう現場での受領、郵送又は電子メールによる送付などとしておく。また、削除権も個人情報主体にとってやや重要な権利であり、顧客がサービスを停止し、又は口座を解約した場合、法律法規で別段の定め（例えば、法律法規で個人情報の一定期間内の保存を義務付ける等）がない限り、金融機関は係る個人の金融情報を削除し、又は匿名化処理しなければならない。

4．外部と提携する際に履行するべき監督責任について

金融機関は自らの業務展開又はリスク管理の必要上、外部からデータを導入したり、外部に向けてデータを提供したりするニーズがあるはずである。このような場合、個人情報保護法の関連規定によると、金融機関が提供者となる場合、提供先の関連情報を個人に通知し、且つ個別の同意を得なければならず、金融機関が受領者となる場合、約定された取扱い目的、方法及び範囲内で個人情報を取扱うように注意しなければならず、もしも目的や方法を変更する場合、改めて個人の同意を得る必要がある。しかし、実務上は、金融機関はたとえ自ら提供する個人金融情報がコンプライアンス上の要求を満たすことを保証できたとしても、外部提携先から提供される個人の金融情報が正当かつ適法的な手段で取得されたものであることを保証するのは難しいことが多く、このことも個人の金融情報の保護を一層難しくさせている。

これに対し、「意見募集稿」の第44条、45条では、金融機関が外部と提携する際に遵守すべき規定を明確にしており、例えば、消費者の授権・同意に基づき提携先と個人情報を取扱うこと、提携先との協議書の中で、データ保護責任、秘密保持義務、監督、罰則、契約終了及び突発的な状況下での緊急対処条項を約定しておくこと、自己が提携するインターネットプラットフォーム企業が消費者の個人情報を有効に保護し、消費者の授権・同意なく異なるプラットフォーム間で消費者の個人情報を渡さないよう督促し、規範化することなどである。また、金融機関がアウトソーシングサービス機関を選定する際には同社に対し、金融情報保護に関する資格審査及びリスク評価を行い、慎重な監督義務を尽くすことに留意すべきである。

5．越境移転は規制要求を満たさなければならないこと

2011年1月、中国人民銀行が発布した17号文では、中国国内で収集した個人の金融情報の保存、取扱い及び分析は中国国内で行わなければならず、法律法規及び中国人民銀行に別段の定めがない限り、銀行業金融機関は国内の個人の金融情報を国外に提供してはならないと規定している。

2011年5月、中国人民銀行上海支店は、さらに「銀行業金融機関による個人の金融情報保護作業の貫徹に係る問題に関する通知」（以下、「110号文」という）を発布し、個人情報の越境は、①業務遂行に必要であること、②顧客の書面による授権又は同意を得ること、③国内の銀行金融機関が国外の本店、親会社又は支店、子会社に国内の個人の金融情報を提供すること、という三つの条件を満たした場合、コンプライアンス違反とはならないが、国外の受領者である本店等は当該越境情報について、秘密を保持しなければならないと規定している。

個人情報保護法第38条では、個人情報の越境移転は、A.国家インターネット情報部門の安全評価を通過すること、B.専門機関を通じて個人情報保護認証を行うこと、C.国外受領者との間に国家インターネット情報部門が制定した標準契約を締結すること、D.その他法律、行政法規又は国家インターネット情報部門が定める条件、という4つの条件のいずれかを満たさなければならないとしている。また、「サイバーセキュリティ法」第31条の規定によると、重要情報インフラ施設の事業者（CIIO）が収集及び生成する個人情報と重要データは国内に保存しなければならないが、業務上のニーズに応じて確かに国外に提供する必要がある場合、原則として安全評価を通過しなければならないとされている。重要情報インフラ施設の事業者の認定については、国家インターネット情報部門が電気通信主管部門、公安部門と連携して「重要情報インフラ施設識別ガイドライン」を策定し、国家業界主管又は監督管理部門が当該ガイドラインに基づき認定を行う必要があるのだが、現在当該ガイドライはまだ公布されていない。従って、筆者の認識では、今後ガイドライン及び関連部門の認定により、一部の金融機関がCIIOに該当する場合、その個人金融情報の越境移転には、安全評価を受けるしかないと考えられる。

三、個人金融情報保護メカニズムの構築に関する若干の提案

 「意見募集稿」の公布から、国は金融機関の個人情報保護に対する監督管理を絶えず強化している真っ只中であり、金融機関自身としても、個人金融情報のコンプライアンス体制を計画的に順次に構築していくはずだということがわかる。現段階では、以下の方面から着手していくのがよい。

1）「必要最小限」の原則に基づき、「個人情報の取り扱いに関する同意書」、「プライバシーポリシー」等の標準文書を作成・改善しておき、その使用対象は金融消費者だけに限らず、金融機関が商品とサービス以外に他のルートから入手し、加工し及び保存する情報の主体も含まれ、例えば、消費者又は提携先から提供された個人情報、金融機関の従業員の個人情報等はいずれも保護される範囲内に含まれる。

2）「意見募集稿」の係る要求を参考にし、内部的には、個人情報のアクセス、操作権限を設定し、授権審査認可プロセスを規範化し、研修等の方法を通じて従業者の個人情報の保護意識を強化し、権限を越える不法な使用行為を厳しく禁ずる。外部的には、外部提携先及びアウトソーシング先の係る資格を厳しく審査し、契約を通じてそれぞれの情報保護義務を明確に定め、必要な監督措置を実施する。

3）個人情報保護法の規定に基づき、個人情報に係る権利の対応メカニズムを構築し、申請や苦情の手続、受付部署、処理期限等を明確にしておく。同時に、情報セキュリティー事故が発生した際に、監督管理部門への報告義務及び情報主体への通知義務が遅滞なく履行されるよう、情報セキュリティー緊急対策案を用意しておく。

ここでの重要なポイントは、個人ではなく法人を主な顧客とする金融機関にとっては、法人向け金融業務とインターバンク業務においても、同じように個人情報問題に関わってくるということである。例えば、企業への融資で保証人（自然人）の信用度を審査する場合、銀行は必然的に当該保証人の個人情報を収集することになる。金融機関が提携者のデューデリジェンスを行う場合、相手方の法定代表者、董事、自然人株主等の個人情報も入手することになる。法人顧客に金融サービスを提供する場合は、顧客から提供された授権代表者、担当者等の個人情報も取得することになる。これらの個人情報については、金融機関としても「個人情報保護法」等の関連規定を踏まえた保護措置を講じ、且つ金融監督管理部門の関係規定を遵守しなければならない。それぞれの金融機関においては、各自の状況を踏まえながら、必要な対応を早期に行っておくことが推奨される。

（作者： 里兆法律事務所 裴德宝 沈思明）

 

[1] 常銀罰字〔2021〕第3号、済銀部罰字〔2022〕第1号、（隴）銀罰字〔2021〕第1号。

[2] 銀罰字〔2021〕1号、上海銀罰字〔2022〕18号、済銀罰字〔2021〕第14号。

[3] 杭銀処罰字〔2018〕23号、津銀罰〔2021〕4号。

[4] （合銀）罰字〔2020〕6号、銀管罰〔2021〕3号、長銀罰字〔2021〕第1号、江銀罰〔2022〕1号、聊銀罰字〔2021〕3号。

[5] 銀管罰〔2021〕2号、銀管罰〔2022〕19号。

[6] 長銀罰字〔2022〕第3号。

[7] 常銀罰字〔2021〕第4号、（合銀）罰字〔2022〕6号、海東銀罰決字〔2022〕第1号。

[8] 銀保監罰決字〔2021〕5号、西銀罰字［2017］第24号。