クレジットカードに関連する法律3

3.個人情報保護法

(1)法律の概要

高度情報化社会に対応した個人情報の保護を目的に、2005年に個人情報保護法が完全施行になりました。クレジットカードは、申し込み段階で個人情報の提供を受けて、個人信用情動機関に照会し、さらにクレジットカードが発行されてからは、そのカードが情報媒体としてオーソリゼーションで利用されますから、個人情報も含めて情報あるいはデータの存在なしには考えられないビジネスです。

まず法律の概要をかいつまんで説明してから、クレジットカードとの関連についてみていくことにします。この法律は名称からも明らかなように、個人情報の保護が目的になっています。では個人情報とは何かというと、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」(第二条)とされています。しかし保護の対象は、個人情報そのものではなく「個人の権利利益」(第一条)と法律には書かれています。権利利益というのは漠然とした概念ですが、第三章の基本理念では「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない」としていますから、個人情報保護のベースは個人のプライバシー保護が重要な要素になっているようです。この目的・理念の実現のために法律では、国及び地方公共団体の責務などを明らかにし、個人情報を取り扱う事業者の遵守すべき義務などを定めています。国及び地方公共団体の責務というのは、個人情報の適正な取り扱いに関し、基本理念及び政府による基本方針の作成、その他の個人情報の保護に関する施策の基本となる事項を定めることをいいます。具体的には各分野ごとに主務大臣が置かれます。事業者の義務は、この法律で重要なポジションを占めます。
まず、①利用目的の特定(第一五条)、②利用目的による制限(第一六条)、⑨適正な取得(第一七条)、④取得に際しての利用目的の通知等(第一八条)といった1980年のOECD八原則に準じた内容が定められます。つまり情報主体である個人の情報を収集し利用する際は、その情報主体にそのことを知らしめ同意を得るといった、自己情報コントロール権について規定しているわけです。次に、①データ内容の正確性の確保(第一九条)、②安全管理措置(第二〇条)、③従業者の監督(第二一条)、④委託先の監督(第二二条)、⑤第三者提供の制限(第二三条)といった情報管理について定め、さらに個人から請求があった場合の開示、間違っていた場合の訂正、利用停止、理由の説明などが規定されています。

(2)行政ルールとしての個人情報保護法

この法律は、バブル経済崩壊後の一貫した構造改革・規制緩和政策の視点でみると、ちょっと違和感があります。その原因は業界ごとに主務大臣を置いて、行政に大きな権限を与えている点です。例えば第三二条では、個人情報取扱事業者に対し個人情報の取り扱いに関して報告させることができ、第三三条では、同じように助言ができるとしています。さらに何か問題があれば勧告や命令することも主務大臣はできます。これらに反すると罰則の規定もあります。消費者取引に関しては、消費者契約法が2000年に制定されて、これまでの行政による事前規制のスタイルから、裁判規範に委ねた民事ルールへの転換が図られています。個人情報保護が消費者取引に関連しないという位置づけであれば別ですが、この法律は典型的な行政ルールのスタイルです。ですから守るべきは個人の「権利利益」としていますが、何がそれに当たるのかというところがわかりづらいのです。似たような言葉を法律に探すと、消費者関連の法律ではつい最近まで「消費者の利益」を保護することを目的規定においていました。これは消費者保護基本法の目的規定に書き込まれていた言葉です。それが2004年に消費者保護基本法が改正され「消費者基本法」になって、そこでは「消費者の権利」という言葉が新たに書き込まれました。個人情報保護法はこの改正を意識したもののように思われます。

(3)カード会社と個人情報・カード情報

個人情報・カード情報

その漠然としたものに関して、クレジットカードはさらに不思議な状態になっています。カード会社は信用調査の場面では、消費者から申込書を受け付けます。申込書には個人を識別するのに十分な情報として、氏名、生年月日、住所、勤務先などが書き込まれるようになっています。個人情報保護法は、5000人を超えるデータを保有する事業者を個人情報取扱事業者と定めていますから、当然のことながらカード会社は個人情報保護法の適用を受けます。同じように個人信用情報機関へ問い合わせで入手する情報も個人情報です。この場合は自社以外の複数の会社が登録した情報が入手できますから、自社で受け付ける申込書以上に慎重な対応が必要です。カード会社の申込書には、「個人信用情報機関への登録と利用の同意」という項目がありますが、まさにこの手続きに従って対応しているわけです。ここまでは紛れもなく個人情報です。しかしカード会社にはちょっとやっかいな情報がもう一つあります。それはカード情報と分類される個人情報です。クレジットカードはカード会社が消費者に貸与するものですが、そのカードには日に見える範囲でカード番号と有効期限、さらに名前が刻印されています。磁気ストライプやICチップの中にも基本的には同じ情報が入っています。カード会社であれば、これらの情報をもとに特定の個人を検索することは可能です。法律の定義にあった個人情報は「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」ものも、個人情報というからです。しかし第三者がそれらをもとに特定の個人を割り出すことは不可能です。したがってカード会社以外の者にとって、カード情報は個人情報ということにはなりません。

そこでまた法律の話に戻るのですが、第八条で主務大臣は「事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため」に指針の策定をすることとしているため、クレジットカードを所管する経済産業省、金融庁はそれぞれガイドラインを出しています。このガイドラインが同じ定義になっていないために、いたずらに混乱を招いているのです。経済産業省ガイドラインの個人情報の定義では、「氏名」だけでも独立して個人情報の扱いになります。金融庁は、法律の定義をそのまま引用して定義として解説しているので、「当該情報に合まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」を個人情報としています。もちろんどちらの場合も、カード会社の内部ではそのカード情報で特定の個人を識別しているわけですから、カード会社にとっては個人情報です。ところがこれらが流出すると、まったくバグとしかいいようがない事態が発生します。

(4)アメリカ発カード情報流出事件

2005年にアメリカの情報処理会社から大量のカード情報が流出して、世間を騒がせたことがありました。このようなときに、どのような取り扱いをしたらいいか判断できない状態が生じてしまったのです。経済産業大臣や金融庁長官が業界向けに通達を出したのですが、そこに書かれていることは大きく分けると、もしその流出したカード情報を使った不正使用が生じてもカードホルダーには負担のないようにする、今後の対応として情報流出が起こらないように十分な対応をするということです。どちらも当たり前のことなのですが、これがもし個人情報の流出であれば、個人情報保護法に基づいて報告の徴収、助言あるいは勧告が行われてしかるべきでした。ところが出されたのは、通達という名前の法律に基づかない行政指導です。豪さらに亨見るとカード梢用が淀川したことによって、個人情報保調法がいう個人の梯利利益の侵害があったとすれば、法律に従った対処がされるべきです。ところが口座振替という最終決済が行われる前に、カード会社は請求を送付してカードホルダーに確認をしています。その際、利用していない請求があった場合は、当然カードホルダーは会社にその請求の差し止めを申し立てます。結果的に消費者被害というのは存在しません。やはりカード情報は個人情報とはいえないのです。

また日本のカード会社は、カード情報がスキミングされた場合などは、番号を差し替えて新しいカードをカードホルダーに届けています。通達でもそのような指導がありましたが、アメリカでは一切このようなことはしないといいます。請求書のチェックという管理をしっかりしておけば、先ほど述べたようにそれほど意味のないことだからです。カード情報の流出に伴う不正使用で一番困るのはカード会社です。「あの会社のクレジットカードは危険だ」といった風評によって、もしかしたら大量の解約が出るかもしれません。当然カード会社としてはしっかり流出対策をしなければなりませんが、その場合でもどこまで対策を講じるかは、あくまでもカード会社の自己責任に委ねられるべきです。このようなリスクは、まさに経営責任によって対応される問題なのです。いたずらにマスコミが騒ぎ立てた2005年のカード情報流出事件は、将来のための教訓にしなければなりません。

メニュー

 クレジットカードの仕組み

 クレジットカードに関連する法律1

 クレジットカードに関連する法律2

 クレジットカードに関連する法律3

 クレジットカードに関連する法律4

 クレジットカードをめぐる課題

 TOPページ

ETC