2022年4月、令和2年改正個人情報保護法が施行されました。
これは2020年6月12日に公布されたもので、従前における個人情報保護関連3法(個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法)を統合・一本化するという観点で、これまでで最も大きな改正となりました。具体的には、個人情報の定義等における民間・国・地方での統一はもとより、個人の権利利益の保護やAI・ビッグデータ時代への対応など、様々な変更が盛り込まれる内容となりました。
今回はその中でも、事業者が対応すべき「保有個人データ(後述)の開示等の請求等に係る手続き」にフォーカスしてお伝えします。「開示請求」と「開示等の請求」および「開示等の請求等」の違いや、保有個人データの考え方、具体的な手続きフローとオンライン化に向けた施策例や留意点等について、今回の改正個人情報保護法の概要をご紹介しながら解説していきます。
個人情報保護法の改正概要
画像:個人情報保護委員会ホームページ「改正個人情報保護法 特集」をもとにTRUSTDOCKが作成
個人情報保護委員会ホームページで公開されている丹野美絵子氏(個人情報保護委員会 委員長)へのインタビューによると、令和2年改正個人情報保護法(以下、本改正法)は、「5つの視点(①個人の権利利益の保護 ②技術革新の成果による保護と活用の強化 ③国際的な制度調和・連携 ④越境データの流通増大に伴うリスクへの対応 ⑤AI・ビッグデータ時代への対応)」をもとに、「個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡る制度」を目指して改正されたとしています。
ここで大事なことは、攻めと守りの両面で改正法がデザインされたということです。データやデジタル技術を積極的に利活用するという「攻めの部分」と、個人の権利保護の強化とそれに伴う事業者の責務の追加等といった「守りの部分」が、それぞれ法改正のポイントとして挙げられています。
主な改正項目8点
画像:個人情報保護委員会ホームページ「改正個人情報保護法 特集」をもとにTRUSTDOCKが作成
主な改正項目は、上に挙げた8点です。それぞれのあらましを簡単にご紹介しますが、「保有個人データの開示方法」と「個人データの利用の停止・消去等の請求」は開示等の請求等に関わる内容となるので、特に要確認となります。
漏えい等報告・本人通知の義務化
個人情報の漏えい等(漏えい、減失または毀損)が発生した場合、改正前は個人情報保護委員会に報告して本人に通知するよう“努めること”とされていました。つまり努力義務だったわけです。
一方で改正後は、個人の権利利益を害する恐れが大きい漏えい等の事態については、個人情報保護委員会への報告と本人への通知が義務化されることになりました。
ここでいう「個人の権利利益を害する恐れが大きい漏えい等」とは、具体的には以下の4パターンがあると想定されており、発生時においては当該事態を知った時点から概ね3~5日以内に個人情報保護委員会への報告を行うことが求められると、ガイドラインで定められています。
- 要配慮個人情報が含まれる事態
- 財産的被害が生じるおそれがある事態
- 不正の目的をもって行われた漏えい等が発生した事態
- 1,000人を超える漏えい等が発生した事態
また本人へ通知する場合においても、当該事態の状況に応じて速やかに、 概要・個人データの項目・原因などを本人にとって分かりやすい方法で行うことも必要だとしています。
※該当するガイドライン箇所はこちら(個人情報保護委員会)
外国にある第三者への提供
外国にある第三者へ個人データを提供する場合、改正前は「本人の同意」と「基準に適合する体制を整備した事業者であること」、そしてEUや英国のような「日本と同等の水準国」であることが要件として定められていました。
これに対して改正後は、前者2つにおいて要件が追加されることになりました。具体的には、まず本人からの同意を取得する際において、以下の情報提供が義務付けられました。
- 移転先の所在国の名称
- 当該外国における個人情報の保護に関する制度
- 移転先が講ずる個人情報保護のための措置
また基準に適合する体制を整備した事業者であることの確認については、データ移転元が必要な措置をとることと、本人の求めに応じて必要な措置等に関する情報を提供することの2点が義務化されました。移転元が必要な措置とは、具体的には「移転先における適正な取扱状況などの定期的な確認」と「移転先における適正な取扱に問題が生じた場合の対応」が挙げられます。
※該当するガイドライン箇所はこちら(個人情報保護委員会)
保有個人データの開示方法
保有個人データの開示について、改正前は、6ヶ月以内に消去する保有個人データや第三者提供記録は対象外で、かつ書面による交付が原則でした。これに対して改正後は、保有個人データは保存期間に関わらず対象となり、第三者提供記録も対象になりました。また開示方法については、従来からの書面での交付はもちろん、電磁的記録(CD-ROM等の媒体の郵送や電子メールによる送信、Webサイトでのダウンロード等)の提供も含めて、本人が指示できるものとなりました。
つまり、保有個人データの開示対象が拡大するとともに、開示方法について個人の選択肢の幅が広がることになりました。
※該当するガイドライン箇所はこちら(個人情報保護委員会)
個人データの利用の停止・消去等の請求
改正前において個人データの利用停止・消去は、目的外利用や不正取得の場合に限定されており、また第三者提供の停止は第三者提供義務違反の場合に限定されていました。
これに対して改正後は、以下のような一部の個人情報保護法違反の場合、および個人の権利または正当な権利が害されるおそれのある場合にも拡充して、請求権が設定されることになりました。
- 利用する必要がなくなった場合
- 個人情報保護委員会への報告義務のある、重大な漏えい事件が発生した場合
- 本人の権利または正当な利益が害されるおそれがある場合
たとえばメールマガジンを送付するために事業者が個人データを保持していたとして、本人からの要請でメールの配信停止手続きを行った後、本人から削除の請求がなされたとしたら、それは「利用する必要がなくなった場合」に当てはまるので、事業者は対応の必要があることになります。
※該当するガイドライン箇所はこちら(個人情報保護委員会)
公表等事項の充実
保有個人データに関する事項の公表等について、改正前は事業者の名称と利用目的、開示請求等の手続き、苦情の申出先等が公表事項として規定されていました。これに加えて改正後は、安全管理のために講じた措置についても、公表等の義務化がなされました。
安全管理のために講じた措置とは、たとえば以下の内容がガイドラインでは例示されています。
- 個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定
- 取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について個人データの取扱規程を策定
- 個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施する 等
ただしその際に、公表等により支障を及ぼす恐れのあるものは除外することも明示されました。これについては、たとえば個人データが記録された機器等の廃棄方法や盗難防止のための管理方法、個人データ管理区域の入退室管理方法、アクセス制御の範囲、アクセス者の認証手法等が考えられます。
※該当するガイドライン箇所はこちら(個人情報保護委員会)
不適正利用の禁止
ここからは、本改正法によって新たに追加となった内容となります。
まず、個人情報取扱事業者は違法又は不当な行為を助長・誘発するおそれがある方法で個人情報を利用してはならないことが明確化されました。ここでいう「不当」とは、直ちに違法とはいえないものの、個人情報保護法の目的から見て社会通念上適当でないことを指します。ガイドラインでは、以下のような例が列挙されています。
- 採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合
- 違法な行為を営むことが疑われる事業者(例:貸金業登録を行っていない貸金業者等)からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合 等
※該当するガイドライン箇所はこちら(個人情報保護委員会)
個人関連情報
個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義されています。
具体的には、例えばインターネットの閲覧履歴や位置情報、Cookie(クッキー)などの情報が個人関連情報として含まれ得ます。イメージしやすいように、以下の図を使ってみていきます。ここでは、個人情報を保有しているB社と、ネット上の様々な情報を管理するDMP(Data Management Platform)事業者であるA社の2社間によるデータの授受ケースを想定しています。
画像出典:個人情報保護委員会「令和2年改正個人情報保護法概要リーフレット(令和4年2月)」※可読性向上のため一部箇所をTRUSTDOCKで加工
まずDMP側であるA社は、個人データを取得しない形でブラウザの閲覧履歴などのユーザー行動情報を取得して、B社からのCookie・ID等の情報に紐付けます。その紐付けた状態で、A社からB社へと行動情報を渡すとしましょう。するとB社は、Cookie・ID等の情報をキーにして行動情報と個人情報を突合することで、個人データではないはずの行動データが、個人データになるというわけです。
このような事態を想定して本改正では、個人関連情報を第三者に提供することで個人データとして取得されることが想定されるときは、提供元となるA社に第三者提供に関して本人同意が得られていることの確認を義務付けています。
※該当するガイドライン箇所はこちら(個人情報保護委員会)
仮名加工情報
画像出典:個人情報保護委員会「令和2年改正個人情報保護法概要リーフレット(令和4年2月)」
仮名加工情報とは、他の情報と照合しない限り、特定の個人を識別できないように個人情報を加工して得られる個人に関する情報のことを指します。仮名加工情報の加工基準は以下の3点で、加工することで一定の安全性が確保されることから、「利用目的の変更の制限」「漏えい等の報告・本人への通知」「開示・利用停止等の請求対応」の義務適用が除外されることになります。
- 特定の個人を識別することができる記述等の全部または一部の削除・置換
- 個人情報に含まれる個人識別符号の全部を削除・置換
- 不正に利用されることにより財産的被害が生じるおそれのある記述等の削除・置換
ちなみに、これに似た言葉として「匿名加工情報」があります。匿名加工情報とは、2015年の改正個人情報保護法で新たに導入された概念で、特定の個人を識別することができず、加工元の個人情報を復元することができないように加工された個人に関する情報のことです。つまり、仮名加工情報は、プライバシー侵害への影響を最小限にしつつ、匿名加工情報よりもデータの有用性を保ち、詳細な分析等利活用を促進できるものだと言えるでしょう。
ただし、仮名加工情報を、他の情報と照合して作成元の個人情報に係る本人を識別することは禁止されているので、注意が必要です。
※該当するガイドライン箇所はこちら(個人情報保護委員会)
個人情報保護にまつわる3つの概念
個人情報保護法には、「個人情報」と「個人データ」、そして「保有個人データ」という3つのレイヤーの概念が存在します。これらを混同していると思わぬ形でセキュリティインシデント等の発生につながりかねないので、正確に意味するところを理解する必要があります。
個人情報
個人情報保護法では、個人情報のことを以下で定義しています。
生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項及び第二十八条第1項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
引用:個人情報保護法 第2条 第1項
要するに、「特定の生きた個人を識別できる情報」もしくは「個人識別符号を含むもの」であるとしています。例えば本人の氏名については、それだけで特定の個人を識別できる場合は個人情報になりますし、逆に「次郎」だけのように複数の個人が対象候補として考えられる場合は、特定できているとは言い難いので個人情報とは言いません。ただし、「次郎」だけであっても、その情報に勤務先や住所、電話番号などの情報が加わると、それらの組み合わせによって個人を特定しうることになるので個人情報になります。
個人データ
個人データとは、個人情報保護法上では「個人情報データベース等を構成する個人情報」と定義されています。要するに、個人情報をデジタルデータ化し、コンピューター上でデータベース管理するなどして、すぐに検索等ができるような状態になっているものを示します。
たとえば名刺情報の場合、交換した紙の名刺そのものは個人情報になります。一方で名刺管理ツールでデータ化したら、そのデジタルデータが個人データになります。もし紙の名刺を落としてしまい第三者に渡ってしまったとしたら、それは個人情報漏洩になりますし、名刺データを管理をしているデータベースがハッキングされてデータが流出した場合は、厳密には個人データ漏洩になります。
保有個人データ
個人情報保護法では、保有個人データのことを以下で定義しています。
個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。
引用:個人情報保護法 第2条 第7項
つまり保有個人データとは、本人からの開示や内容の修正、追加、削除、第三者への提供停止などを求められたら、その要求に応じなければならない個人データのことを示します。ただし、存否が明らかになることにより公益その他の利益が害される保有個人データについては、開示等の請求等の対象から除外されます。また委託で扱っている個人データについても、受託元がこうした権限を有していないものとなるので、保有個人データには該当しないことになります。
存否が明らかになることにより公益その他の利益が害される保有個人データの例
ここまでの内容を整理すると、以下の図のとおり、個人情報の中に個人データが内包され、また個人データの中に保有個人データが内包される関係が成り立つことがわかります。
開示等の請求等の概要
開示等の請求等にかかる規制は、個人情報の中でも「保有個人データ」に関する権利義務となります。
保有個人データに関する権利義務の全体像
保有個人データに関する権利義務としては、以下の5点が挙げられます。
- 保有個人データに関する事項の公表等(法 32条1項)
- 利用目的の通知の求め(法 32条2項・3項)
- 開示請求(法 33条)
- 訂正等の請求(法 34条)
- 利用停止等の請求(法 35条)
この中で法33条〜35条の内容(開示請求・ 訂正等の請求・利用停止等の請求)について、個人情報保護法ガイドラインでは「開示等の請求」と総称しています。またこれらに加えて、法32条2項・3項(利用目的の通知の求め)も含めたものが、「開示等の請求等」ということになります。
画像:岡村久道(2022)「個人情報保護法[第4版]」(商事法務)を参照の上で再作成
法33条で定義されている「開示請求」権とは、個人情報を取り扱う事業者が、個人情報を適正に取り扱っているか、本人が事業者に対して開示を求めることができるというものです。具体的には、利用目的の達成に必要な範囲を超えて個人情報を保有していないかだったり、保有個人情報の正確性を確保できているか、などを確認することができます。
法34条で定義されている「訂正等の請求」権とは、上記の開示請求によって開示された保有個人データの内容が事実でないと思われたときに訂正を求めることができる制度です。
法35条で定義されている「利用停止等の請求」権とは、開示された保有個人データの内容について、事業者が適法に取得していなかったり利用目的の範囲を超えて保有・利用・第三者提供をしていたりする場合に、その事業者による利用等の停止、保有個人データの削除、および第三者提供の停止を求めることができる制度です。
ここまでご覧いただくとお分かりの通り、開示請求は上述した訂正等の請求および利用停止等の請求を実効的にするための前提となる権利となるので、特に重要性の高いものだと言えます。
さらに、その開示請求を実効的にするためには、保有個人データに関する事項の公表等が十分に行われる必要があり、それを定めたものが法32条(保有個人データに関する事項の公表等、利用目的の通知の求め)となります。
年々増え続ける開示等の請求
総務省が発表した調査結果によると、パーソナルデータの提供に対する不安はアジア地域で高く、特に日本では「とても不安に感じる」割合が高いことが示されました。
画像:総務省「平成29年版情報通信白書」(原資料:総務省「安心・安全なデータ流通・利活用に関する調査研究」(平成29年))
この調査結果は、本人確認の専門事業者であるTRUSTDOCKとMMD研究所が共同で実施した調査結果にも如実に現れています。同調査で、オンライン本人確認を指すeKYCに対する懸念を尋ねたところ、「写真などのデータの保管や活用が不安・心配」「顔写真を送りたくない」等、顔写真データを含む個人情報の取扱いに対する不安が多くを占めました。
eKYC未利用者が持つeKYCに関する懸念や不便なイメージ(「オンライン本人確認(eKYC)に関する利用動向調査」より)
このような背景もあって、開示等の請求は年々増加しています。たとえば行政機関や独立行政法人向けの開示請求の件数は以下のとおり継続的に増加しており、令和元年度では約18万件にのぼっています。
画像出典:総務省行政管理局「令和元年度における行政機関及び独立行政法人等の情報公開法の施行の状況について(概要)」
また信用機関では、1ヶ月当たり2万件以上の開示請求があり、そのうち6割がオンラインによる開示請求となっています。
| 件数 | 割合 | |
| 開示受付数 |
21,978件 |
100% |
| うち来社開示 | 0件 | 0% |
| うち郵送開示 | 8,027件 | 36.5% |
| うちインターネット開示 | 13,951件 | 63.5% |
画像:CIC「信用情報統計データ」をもとにTRUSTDOCKが作成(2022年05月21日~2022年06月20日の合計値)※記事公開時点の最新版
開示等の請求手続きの流れ
次に、具体的な開示等の請求手続きの流れについてご紹介します。まずは、請求に応じるかどうかを判断するまでの流れが以下となります。
- 本人(もしくは代理人)による事前の請求(法37条1項)を事業者が受付(本人確認を含む)
- 手数料の徴収(法38条1項)※任意
- 対象となる保有個人データの特定に足りる事項の提示を本人に求める(法37条2項)※任意
- 請求等に応じるかどうかを判断
1. 本人による事前の請求の受付と本人確認の実施
開示等の請求等を受け付ける方法は、法37条で定めるところによって個人情報取扱事業者が定めることができ、本人はその方法に従って請求する必要があります。受付方法として定めることができるのは、開示等の請求等の申出先と、提出すべき書面の様式やその他の開示等の請求等の方法、本人または代理人であることの確認方法、そして手数料の徴収方法です。
特に3つ目の「本人確認」については、本人や代理人になりすました第三者に誤って開示を行わないように必ず実施する必要がありますが、一方で情報の過剰取得や本人の過重負担とならない配慮も必要だと言えます。
本人確認の手法については、確認の手段によって以下のように変わります。
- 来所の場合:運転免許証、健康保険の被保険者証、個人番号カード(マイナンバーカード)表面、旅券(パスポート)、在留カード、特別永住者証明、年金手帳、印鑑証明書と実印
- オンラインの場合:あらかじめ本人が個人情報取扱事業者に対して登録済みのIDとパスワード、公的個人認証による電子署名
- 電話の場合:あらかじめ本人が個人情報取扱事業者に対して登録済みの登録情報(生年月日等)、コールバック
- 送付(郵送、FAX等)の場合:運転免許証や健康保険の被保険者証等の公的証明書のコピーの送付を顧客等から受け、当該公的証明書のコピーに記載された顧客等の住所に宛てて文書を書留郵便により送付
引用:個人情報の保護に関する法律についてのガイドライン(通則編)3-8-7
また、上記は本人が直接確認をする場合の手法ですが、代理人による来所や送付等の場合は、これらに加えて代理権を与える旨の委任状も必要となります。この委任状について、親権者が未成年者の法定代理人であることを示す場合は、本人および代理人が共に記載され、その続柄が示された戸籍謄抄本、住民票の写しが想定されます。
なお、本人がオンラインで確認する場合に、TRUSTDOCKでは上記手法の他にeKYCを活用したオンライン本人確認も提供しています。
- 本人が個人情報取扱事業者に対して事前に登録しているIDとパスワードの活用
- 公的個人認証による電子署名の活用
2. 手数料の徴収
利用目的の通知を求められたとき、または開示請求を受けたとき、個人情報取扱事業者は任意で手数料を徴収することができます。 手数料の徴収は、嫌がらせのためだけの請求等への対抗策にもなりえますので、設定を検討するのが良いでしょう。
ただし、その金額は「合理的な金額」である必要があります。合理的な金額とは、個人情報保護委員会のFAQ索引で以下のように記述されています。
手数料の額は、実費を予測して平均的単価を算出して定めることが望ましいと考えられます。
この点、業種や保有個人データの種類を勘案する必要があるため、統一的な相場を示すことは困難です。例えば、郵便で開示の請求に応じる場合、配達証明付の書留料金を勘案するなど適切な金額をご検討ください。
引用:個人情報保護委員会ホームページ「開示等の手数料はいくらにすべきですか。」
つまり、たとえば1請求10万円のような法外な値段は合理的とは言えず、あくまで実費相当の金額を設定する必要があると言えます。
3. 対象となる保有個人データの特定に足りる事項の提示を本人に求める
個人情報取扱事業者は、開示の範囲となる保有個人データを特定するために必要な情報の提示を、任意で本人に求めることができます。たとえば、複数の事業所や部門、年度等によって保有個人データが区分されている場合、本人が特定した範囲内(事業所、部門、年度等)での開示等が可能となります。
ただしこれを実施する場合、該当の区分を本人が認識できるような措置が必要となります。またこの措置は、本人に対して開示等請求の範囲を一部に限定する義務を貸すものではなく、また個人情報取扱事業者にとっても、本人に対して開示等請求の範囲を一部に限定する権利を有するものでもありません。あくまで本人の希望に従うことが原則となります。
4. 請求等に応じるかどうかを判断
ここまでのフローを経て個人情報取扱事業者は、本人からの請求が要件を具備しているかチェックし、請求等に応じるかどうかを判断することになります。
開示等の請求等に応じる場合
判断の結果、開示等の請求等に応じるとなった場合は、請求等に即した措置をとることになります。開示請求の場合は該当の保有個人データについての請求内容を通知し、また訂正等の請求と利用停止等の請求については、その措置をとったことを本人に通知します。
「開示の方法」については原則として、本人が開示請求時に指定した方法で対応する必要があります。ただし、「ファイル形式」や「提供の方法」については、個人情報取扱事業者が定めることができます。これについては、個人情報保護委員会のFAQ索引で以下のように記述されています。
個人情報取扱事業者は、電磁的記録のファイル形式(PDF形式、Word形式等)や、電磁的記録の提供方法(電磁的記録を記録媒体に保存してこれを郵送する、電磁的記録を電子メールに添付して送信する、ウェブサイト上で電磁的記録をダウンロードさせる等)を定めることができ、本人がファイル形式等を指定した場合であっても、これに応じる必要はありません。(略)もっとも、本人の利便性向上の観点から、できる限り本人の要望に沿った形で対応することが望ましいと考えられます。
(令和3年9月追加)
引用:個人情報保護委員会ホームページ「電磁的記録の提供による方法で保有個人データを開示する場合において、本人が指定したファイル形式や提供方法による開示が技術的に困難な場合には、どう対応すべきですか。」
なお、開示請求において本人及び個人情報取扱事業者が決めることができる内容についてまとめたものが以下となります。
開示等の請求に円滑に対応し、かつ、嫌がらせを目的とした開示等の請求等を防ぐためにも、開示請求の受付方法や開示の具体的方法を予め定めておくとともに、電磁的データを含む開示方法にも対応しておくことが重要だと言えます。
開示等の請求等に応じない場合
判断の結果、本人からの請求が要件を具備していないなどで、開示等の請求等に応じないケースもあるでしょう。その場合は、法33条3項等に準じてその旨を本人に通知し、必要に応じてその理由も説明(法36条)することになります。
これに対して本人は、事前の請求の到達日から2週間経過後(請求拒否なら経過前)に、開示等の請求に係る訴えまたは仮処分の提起が可能となります(法39条1項・3項)。そして、請求容認判決等の場合は、それに応じた措置を講じることになります。
一連の手続きのフルデジタル化に向けて
近年の個人情報への関心が高まる中、先述したデータで示されている通り、開示等の請求等の手続きは拡大する傾向にあります。本人の権利を尊重し、円滑に開示等の請求等の手続きに対応するためには、本人確認を含め、一連の手続きを全てデジタル化することが望ましいと考えられます。
「オンライン開示請求CRM」の概要と仕組み
そのような中で、たとえばeKYCをはじめ各種本人確認に関わるソリューションを提供するTRUSTDOCKでは、「オンライン開示請求CRM」という専用ツールを開発・提供しています。こちらは、同社が本法改正に先駆けて、2021年9月より自社のオンライン開示請求の運用をスタートさせたものをベースに、Salesforceと連携させて開発されたものとなります。
ユーザーはWEBブラウザ経由で以下のフォーム画面より開示等請求の手続きを選択し、必要な情報を入力した上でeKYCへと進むことになります。
オンライン開示請求CRMで「個人情報を開示」を選択した場合の情報入力ページおよび処理ページの例。本人確認事項も含めて入力してもらう仕様となっている
ここではスマホの画面が表示されていますが、スマホを持っていないユーザーはパソコンやタブレットから登録できます。また、いずれの電子デバイスも持っていないユーザーであっても、郵送による本人確認にも対応している点が、オンライン開示請求CRMの一つの特徴と言えます。
オンライン開示請求CRMを通じてeKYC等の本人確認処理が問題なく承認された場合は、事業者サイドの個人情報データベース等との名寄せ処理等が行われ、合致した場合に希望手続き処理が行われる流れとなります。上の入力画面は下フロー図の1番に該当し、本人確認処理が2番、承認・否認の分岐が3・4番で、最後の完了メール(希望手続きのユーザー対応)が5番になるという見方になります。
オンライン開示等請求の処理フロー図例(実装ケースにより異なります)
手続きのビフォー・アフター
冒頭でご説明した通り、改正前は書面による開示等の請求等の申請と開示作業が原則となっていたので、申請者にとっては申請へのハードルが高いものとなっていました。具体的には、申請用紙に記入し、申請用紙を窓口等で提出し、その上で事業者は郵送等の方法で申請者に開示するというプロセスになります。
一方で改正後にはデジタル対応が明確化されたので、上述のオンライン開示請求CRMのようなWeb申請フォーム経由で申請ができるようになりました。これにより、煩雑な紙での申請プロセスが丸々となくなり、従来よりも圧倒的に早く開示資料の送付まで進むことができるようになったわけです。
これにより、ユーザーにとっては請求等の申請のハードルが大幅に低減し、また事業者にとっては請求等の申請への対応コストの低減に繋がることが期待されます。
全国銀行協会も開示請求等の手続きをオンライン化
国内銀行の決済インフラの運営などを行う一般社団法人全国銀行協会では、このオンライン開示請求CRMを活用し、同協会が運営する全国銀行個人信用情報センターが行う個人信用情報の本人開示をオンライン化しています。
全国銀行個人信用情報センターとは、消費者信用の円滑化等を図るために、全国銀行協会が設置・運営している個人信用情報機関のこと。銀行は、ローンやクレジットカード等に関する個人信用情報を登録し、会員である銀行が与信取引上の判断のための参考資料として、このKSCを利用しています。つまり同協会の顧客は銀行ということになり、各会員銀行の顧客から寄せられる開示等の請求について、全国銀行協会が対応するという形になります。
▶︎一般社団法人全国銀行協会、TRUSTDOCKのeKYCを活用して、個人信用情報に係る本人開示請求手続のオンライン化を実現
利用者の権利を守り、かつ権利の濫用等を防ぐ形での導入に向けて
GDPRでは、個人データは他の用途に利用しやすい電子的な形式で本人に提供され、本人が個人データを移行することのできる権利(20条:データポータビリティの権利)を有することを定めています。またGDPRでは、基本原則の中でも、特に個人情報の処理に関する透明性の確保を重視しています。これは、自分の個人データが誰によってどのように処理されているかを認識できなければ、そもそも権利行使することができないからです。
今後、日本においてもEUとの間の十分性認定等を踏まえ、事業者側でGDPRレベルの対応を行う取組が増えていくと考えられますし、一般消費側でも自身の情報は自身でコントロールするべきであり、自身の情報に積極的にアクセスしていく意識も広がっていくことが想定されます。
その際に有効な施策の一つとなるのが、今回ご紹介した開示等の請求等のオンライン化です。利用者の権利を守るための適切な対応と、嫌がらせ等による権利の濫用等を防ぐための対策の両輪を、法令等を踏まえた上で適切に講じることが重要となります。
TRUSTDOCKでは、“本人確認のプロ”として、金融機関をはじめとする特定事業者はもちろん、それに限らない様々な企業のKYC関連業務をワンストップで支援するAPIソリューションおよびデジタル身分証を提供しています。また、本人確認業務に関して関係省庁や関連団体との連携も深めており、金融庁には業務内容の確認を、経済産業省とはRegTechについての意見交換を、さらに総務省のIoTサービス創 出支援事業においては本人確認業務の委託先として採択され、警察庁には犯収法準拠のeKYCの紹介等をといった取り組みも行っています。
開示等の請求等のオンライン化や設計方法等について検討されている場合は、ぜひお気軽にお問い合わせください。
また、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目等を、計12個のポイントにまとめていますので、こちらもぜひご活用ください。
なお、eKYCの詳細については以下の記事でも詳しく説明しているので、併せてご覧ください。
▶︎ eKYCとは?オンライン本人確認を徹底解説!メリット、事例、選定ポイント、最新トレンド等
▶︎改正個人情報保護法のオンライン開示請求に柔軟に対応できる「TRUSTDOCK CRMサービス」
(文・長岡武司)
