なか2656の法務ブログ

保険会社の社員が、法律などをできるだけわかりやすく書いたブログです


テーマ:
1.はじめに
Fintech(フィンテック)とは、新規技術(ビジネスモデルを含む)を利用した金融サービス関連事業ですが、2014年頃からわが国の金融・保険業界のひとつの大きなトピックスとなっています。

例えば、日本生命保険は、被保険者にウェアラブル端末を付けて健康状態のデータを日々取得し、保険料を変動させる保険商品を持つオーストラリアのMLC社を買収しました。また、第一生命保険は、被保険者の医療ビッグデータを分析し、保険の引受基準の緩和を目指しているとのことです(「週刊エコノミスト」2016年7月5日号28頁)。

2.医療ビッグデータに関して第一生命保険が日立と提携
このようななか、2016年9月6日付で、「第一生命と日立が「医療ビッグデータ」活用の共同研究を開始」とのプレスリリースが発表されました。

・第一生命と日立が「医療ビッグデータ」活用の共同研究を開始|第一生命保険・日立製作所


(第一生命保険サイトより)

このプレスリリースにはつぎの3点の目的が記載されています。

1.お引き受け範囲の拡大
・ 将来の疾病罹患を予測するだけでなく、その重症度や予後まで予測することで、お客さま一人ひとりのリスクをより詳細に把握し、今まで持病や病歴などを理由に保険へご加入いただけなかったお客さまにもご加入いただける仕組みを検討。

2.商品・サービスなどの開発への応用
長期にわたって蓄積したデータから、介護や高額な医療費を必要とする疾患につながりやすい因子を解析し、疾病予防や健康増進に資する情報提供や新たな商品・サービスなどの開発を検討

3.最先端解析技術の活用研究
・ 医療ビッグデータの高度な解析に向けて、AI などの最新統計技術を研究


しかし、この第一生命保険および日立の提携業務は、保険業法の定める他業禁止の面から疑問であり、また、個人情報保護法における本人の同意した「利用目的の範囲」内の個人情報の取扱いなのか疑問です。そこで先日、第一生命保険に質問の電話をしてみました。

3.第一生命保険のプライバシーポリシー
第一生命保険のコールセンターの職員の回答は、一言でいってしまうと、「当社の「個人情報の取扱いについて」(=プライバシーポリシー)において、お客様の個人情報を保険に関する業務に利用するとあらかじめ規定しているので法的に問題ない」というものでした。

たしかに第一生命保険のウェブサイトのプライバシーポリシーにはつぎのような記載があります。

1.個人情報の利用目的
 当社は、個人情報を以下の利用目的の達成に必要な範囲にのみ利用し、それ以外の目的には利用しません。
(1)各種保険契約のお引き受け・ご継続・維持管理、保険金・給付金等のお支払い
(2)関連会社・提携会社を含む各種商品・サービスのご案内・提供、ご契約の維持管理
(3)当社業務に関する情報提供・運営管理、商品・サービスの充実
(4)その他保険に関連・付随する業務


たしかに、この「(4)その他保険に関連・付随する業務」というバスケット条項があるので、先方の主張にも一理あるように思えます。

4.保険業法から
しかし生命保険会社は一般の事業会社とは異なり、保険契約者等を守るために保険業法により厳しく規制されている業態の会社です。

生命保険会社は保険業法上、固有業務、付随業務、法定他業の3種類の業務しか行うことしかできません(保険業法97条、98条、99条)。そしてそれ以外の業務は禁止されています(同100条)。

固有業務とは、生命保険の引受を行い資産運用を行う業務です(97条)。法定他業とは、公社債のディーリング、保険金信託業務等です(99条)。

そして保険業法98条1項は、「保険会社は、第九十七条の規定により行う業務のほか、当該業務に付随する次に掲げる業務その他の業務を行うことができる。」と規定します。

そして同1項各号で他の保険会社等の業務の代理・代行(1号)、債務の保証(2号)などを列挙していますが、それ以外の業務であっても、①法97条および98条1項各号に準じる業務か、②業務の規模が過大でないか、③保険業との機能的親近性・リスクの同質性が認められるか、④余剰能力の活用に資するか、の観点から総合的に判断し、「その他の付随業務」の範疇と判断できれば付随業務として行うことができるとされています。

そしてこの要件のなかで、とくに「③保険業との機能的親近性・リスクの同質性」が重要であるとされています。(中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第3版』350頁、錦野裕宗・稲田行祐『保険業法の読み方 改訂版』46頁)。

そこで第一生命保険と日立の業務提携の目的をみると、「1.お引き受け範囲の拡大」については固有業務に関するものなので問題ないと思われます。

一方、「2.商品・サービスなどの開発への応用」においては、医療ビッグデータを分析し、「疾病予防や健康増進に資する情報提供や新たな商品・サービスなどの開発を検討。」とあります。第一生命の保有する医療ビッグデータを分析して保険新商品を開発することは保険業そのもので問題ないでしょう(保険業法4条2項、123条、125条参照)。

しかし、「疾病予防や健康増進に資する情報提供や新たな商品」の研究は病院などの医療機関や医学系の研究機関・製薬会社・ヘルスケア会社等が行うことであり、保険業と機能的親近性・リスクの同質性があるとは思えません。つまりこれは付随業務とはいえず、他業の禁止(保険業法100条)に抵触していると思われます。

また、「3.最先端解析技術の活用研究」の、「AI などの最新統計技術を研究」は、IBMや東芝、NECなどのIT企業が行うべき事業であり、保険業と機能的親近性・リスクの同質性は皆無です。これは完全に他業の禁止(保険業法100条)に違反しています。

したがって、保険業法上、「1.お引き受け範囲の拡大」は許容されるものの、「2.商品・サービスなどの開発への応用」および「3.最先端解析技術の活用研究」は違法であり保険会社の業務として許されないこととなります。

5.個人情報保護法から
上でみたように保険会社の業務には保険業法の規制があるので、第一生命保険のプライバシーポリシーに「(4)その他保険に関連・付随する業務」とのバスケット条項があるとしても制約があります。

個人情報保護法(平成27年改正前の現行のもの)はつぎのような規定を置いています。

個人情報保護法

(利用目的の特定)
第15条
 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2  個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(利用目的による制限)
第16条
 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
(略)


個人情報保護法15条1項が規定するように、事業者は取得する個人情報の利用目的をできる限り特定しなければなりません。そして、同16条1項が規定するように、事業者は、「あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない」のです。

第一生命保険および日立の掲げる「2.商品・サービスなどの開発への応用」および「3.最先端解析技術の活用研究」は保険業法上、第一生命保険の業務の範囲外であり、個人情報15条1項の特定された「利用目的」に含まれているとはいえません。

もし第一生命保険がそれを承知で今回の共同研究を推進するのなら、それは「前条の規定により特定された利用目的の達成に必要な範囲」に含まれず、第一生命保険の医療ビッグデータに含まれる被保険者全員から同意を得る必要があります(16条1項)。

なおこの個人情報保護法16条1項の「あらかじめ本人の同意を得ないで」に関して、「パーソナルデータに関する検討会」座長の宇賀克也教授は、「個人情報を取得する時点で本人の同意があったが、その後、本人から利用目的の一部について同意を取り消す旨の意思表示があった場合には、その後の個人情報の取扱いは、同意が存続している範囲でのみ可能となるのは当然である」としています(宇賀克也『個人情報保護法の逐条解説 第5版』125頁)。

そのため、第一生命保険のように、ウェブサイト等で当社のプライバシーを公表しているのだから、顧客から自分の医療ビッグデータを2.や3.の目的で使わないでほしいとの申出を受けてもそれを受理しない実務対応は個人情報保護法上も正しくありません。

なお個人情報保護法違反であるということは、保険業法施行規則53条の8、保険会社向けの総合的な監督指針Ⅱ-4-5に抵触しているということであり、これも保険業法違反となります。

法令違反などがあった場合、金融庁は保険会社に対して、報告を求め(保険業法128条)、立入検査を行い(129条)、業務改善命令(131条)などを発出する権限を持っています。

そもそも生命保険契約の被保険者の傷病などの医療データは、個人情報のなかでも原則取得禁止のセンシティブ情報です。保険会社は、金融庁の「金融分野における個人情報保護に関するガイドライン」6条1項7号に根拠条文があるので例外的にセンシティブ情報の取得や管理が許されていることを忘れるべきではありません。

生命保険会社の役職員には社内に当たり前に存在する医療データというセンシティブ情報は、顧客からすれば本当はできるだけ誰にも知られたくないデリケートな個人情報なのです。それを保険会社側の営利上の都合で安易にもてあそぶべきではないでしょう。

6.まとめ
このように第一生命保険および日立の医療ビッグデータに関する取り組みは、保険業法および個人情報保護法に照らして違法といえます。

「ビッグデータ」や「Fintech」などの単語が国策としてもてはやされる昨今ですが、しかし法令遵守や、顧客の意思の尊重はその大前提であると思われます。

個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。」と規定する個人情報保護法3条は、平成27年の法改正でも変更されていません。

■関連するブログ記事
・フィンテック(FinTech)と生命保険・損害保険・保険業界/個人情報保護法・保険業法の観点から

■参考文献
・中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第3版』350頁
・錦野裕宗・稲田行祐『保険業法の読み方 改訂版』46頁
・宇賀克也『個人情報保護法の逐条解説 第5版』125頁
・有吉尚哉・本柳祐介・水島淳・谷澤進『FinTechビジネスと法 25講』140頁
・柏木亮二『フィンテック』164頁
・「週刊エコノミスト」2016年7月5日号28頁

保険業務のコンプライアンス(第3版)



保険業法の読み方 改訂版: 実務上の主要論点 一問一答



個人情報保護法の逐条解説 第5版 -- 個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法



FinTechビジネスと法 25講―黎明期の今とこれから―





法律・法学 ブログランキングへ
にほんブログ村 政治ブログ 法律・法学・司法へ
にほんブログ村
AD
いいね!した人

AD

Ameba人気のブログ

Amebaトピックス

      ランキング

      • 総合
      • 新登場
      • 急上昇
      • トレンド

      ブログをはじめる

      たくさんの芸能人・有名人が
      書いているAmebaブログを
      無料で簡単にはじめることができます。

      公式トップブロガーへ応募

      多くの方にご紹介したいブログを
      執筆する方を「公式トップブロガー」
      として認定しております。

      芸能人・有名人ブログを開設

      Amebaブログでは、芸能人・有名人ブログを
      ご希望される著名人の方/事務所様を
      随時募集しております。