金融機関における個人情報漏えいの事例と個人情報保護に関するガイドラインを解説

金融機関で個人情報が発生する原因には、情報管理の不備やサイバー攻撃の増加があります。顧客の個人情報を扱う金融機関はサイバー攻撃の標的になりやすく、ハッカーによる不正アクセスやマルウェアの感染といった脅威にさらされています。また、内部の従業員による故意または過失による情報漏えいも、金融機関における個人情報漏えいの大きな課題です。

例えば、過去には大手銀行での不正アクセスによる個人情報漏えいが報告されており、その影響で多くの顧客が被害を受けたケースがあります。

金融機関はこうしたリスクを理解し、情報漏えいを未然に防ぐための施策を講じることが重要です。対策としては、最新の技術を活用し、システムの脆弱性を常にチェックするセキュリティ対策の強化が求められます。また、従業員の情報の取り扱いに関する意識を高め、漏えいリスクを減少させるための訓練を定期的に実施することも効果的です。

■情報漏えいがもたらす具体的な影響

顧客の個人情報が外部に流出することで、金融機関に対する信頼が損なわれ、顧客が他の機関に移行するリスクが高まります。さらに、情報漏えいが発覚した場合、金融機関は法律に基づき、関係当局への報告や被害を受けた顧客への通知、場合によっては補償が必要です。このような対応に伴い、多大なコストが発生し、企業の財務状況にも悪影響を及ぼすことがあります。

このように、金融機関にとって個人情報漏えいは多方面にわたって重大な影響を及ぼすため、徹底した情報漏えい対策が不可欠です。

2. 金融機関での個人情報漏えい事例

■三菱UFJ銀行

2024年6月14日、証券取引等監視委員会は「株式会社三菱ＵＦＪ銀行に対する検査結果に基づく勧告について」を発表しました。

証券取引等監視委員会の調査によると、銀行と証券会社の間で不適切な顧客情報の共有がされていたそうです。2024年6月24日には、金融庁より三菱UFJモルガン・スタンレー証券、モルガン・スタンレーMUFG証券及び三菱UFJ銀行に対して金融庁から行政処分が行われています。

【参考】

株式会社三菱ＵＦＪ銀行に対する検査結果に基づく勧告について「証券取引等監視委員会」

三菱UFJモルガン・スタンレー証券、モルガン・スタンレーMUFG証券及び三菱UFJ銀行に対する行政処分等について「金融庁」

■北海道銀行

2023年12月27日、北海道銀行は個人情報漏えいが発生したことを発表しました。

情報漏えいの原因は、個人情報が記載されたファイルを謝って電子メールに添付して送信したことです。ただし、直ちに相手先へデータ削除を依頼したため、二次流出の恐れはないと報告しています。

【参考】

個人情報漏えいに関するお詫びとご報告「北海道銀行」

■プルデンシャル生命保険

2024年4月9日、プルデンシャル生命保険は元社員による個人情報漏えいが発生したことを発表しました。

このケースでは、元社員が個人情報の持出しについて退職時に誓約書へ署名していたにもかかわらず、業務引継ぎの際に顧客管理リストを印刷したうえで自宅に保管、転職先企業で開示及び使用しています。

個人情報漏えい発生後には、以下の対策を実施しています。

支社管理職および営業社員への教育の再徹底
顧客情報の持出しを防ぐための技術的な安全管理措置の強化
退職予定者による顧客情報アクセスの制限
印刷制限等の措置の強化

【参考】

当社元社員によるお客さまの個人情報の漏えいに関するお詫びとお知らせ「プルデンシャル生命保険株式会社」

■東京海上日動火災保険

2024年5月23日、東京海上日動火災保険株式会社は保険代理店および保険会社間のメール連絡に伴う情報漏えいを公表しました。

このケースでは、保険代理店の管理部門からメールが自動車販売店等の拠点へ送信された際に、乗合損保の担当者に個人情報が漏えいしています。漏えいした情報は、契約者名や証券番号、保険種類、保険始期・満期、保険料、ご契約変更の有無などです。

原因としては、個人情報保護法に関する知識の周知や情報漏えいに関するリスクの認識不足が挙げられています。

【参考】

保険代理店および保険会社間のメール連絡に伴う情報漏えいに関するお詫び「東京海上日動火災保険株式会社」

3. 金融機関における情報漏えい防止策

金融機関における情報漏えい防止策は以下の3つです。

社内体制の整備
情報セキュリティ教育
最新の情報セキュリティ技術の導入

それぞれの対策について詳しく解説します。

■社内体制の整備

金融機関における1つ目の情報漏えい防止策は、社内体制の整備です。

情報管理の責任者を決め、情報の管理や取り扱いに関する方針を明確にすることで、情報漏えいのリスクを軽減できます。また、情報アクセスの権限を厳格に管理し、必要な情報にのみアクセスできる体制を整えることも重要です。さらに、情報漏えいが発生した場合の対応策を事前に決めておくことで、万が一の事態にも迅速に対応し、被害を最小限に抑えることができます。最後に、社内の情報セキュリティ体制を定期的に見直し、改善を図ることで、個人情報漏えいのリスクを大幅に低減することが可能です。

■情報セキュリティ教育

金融機関における2つ目の情報漏えい防止策は、情報セキュリティ教育です。

金融機関では多くの従業員が日々情報を扱っており、彼らの意識とスキルが情報漏えいのリスクを大きく左右します。そのため、全従業員に対して定期的な情報セキュリティ教育を実施し、情報漏えいのリスクとその影響についての理解を深めることが重要です。

情報セキュリティ教育では、具体的な事例を用いたケーススタディや情報の取り扱いに関する具体的な手順の確認を実施します。また、最新のセキュリティ技術や脅威についての情報を共有し、従業員が常に最新の知識を持つようにすることも重要です。さらに、疑わしいメールや行動に対する適切な対応方法を学ぶことで、日常業務でのセキュリティ意識を高めることができます。

■最新の情報セキュリティ技術の導入

金融機関における3つ目の情報漏えい防止策は、最新の情報セキュリティ技術の導入です。

金融機関に対するサイバー攻撃の手法は、技術の進化とともに複雑化しています。これに対抗するためには、最先端の技術を取り入れ、セキュリティ対策を強化し続けることが重要です。

具体的な情報セキュリティ技術としては、AI（人工知能）を活用した不正検知システムが挙げられます。通常の業務パターンから逸脱する行動をリアルタイムで検出することで、即座に対応することが可能です。

また、情報を分散して管理することで改ざんを防ぐブロックチェーン技術を導入することで、情報の追跡性が向上し、不正アクセスの防止につながります。さらに、多要素認証（MFA）の導入も効果的です。ログイン時にパスワードだけでなく指紋や顔認証など複数の確認方法を用いることで、セキュリティを強化します。

4. 「金融分野における個人情報保護に関するガイドライン」の概要

「金融分野における個人情報保護に関するガイドライン」は、金融機関が顧客の個人情報を適切に扱うための指針を提供しています。本ガイドラインは金融分野における個人情報の不正な利用や漏えいを防ぐために制定されており、金融機関が信頼を維持し、顧客のプライバシーを守るために重要な役割を果たしています。

金融機関は顧客の氏名、住所、口座情報などを日常的に取り扱っており、これらの情報が漏えいすると詐欺や不正利用のリスクが高まるため、ガイドラインに従って厳重に管理する必要があるわけです。

【参考】

金融分野における個人情報保護に関するガイドライン「個人情報保護委員会」

■ガイドラインの目的と背景

本ガイドラインは、金融機関が個人情報を適切に取り扱い、具体的な対応を講じるための指針を提供することを目的としています。金融機関で個人情報の不適切な利用や情報漏えいが発生すると、顧客の信頼を損なうだけでなく、顧客のプライバシーが侵害される可能性があるからです。

本ガイドラインは個人情報保護法や関連法などの法的な枠組みに基づいており、金融機関が守るべき基本的なルールや手続き、情報管理の方法が具体的に示されています。

■個人情報保護法との関連性

本ガイドラインは、個人情報保護法に基づき、金融庁と個人情報保護委員会が定めた指針です。個人情報保護法では、個人のプライバシーを守ることを目的として、事業者による個人情報の適切な取り扱いルールが定められています。個人情報保護法は基本的なルールを定めるものであり、ガイドラインはそのルールを具体的に実行するための方法を示しているわけです。

金融機関は個人情報保護法に基づいて、個人情報の収集や利用、保存、提供の各段階で適切な措置を講じることが求められます。また、ガイドラインでは個人情報の漏えいを防ぐためのリスク管理や従業員教育についても解説されており、顧客の情報を安全に管理するための基盤を構築することが可能です。

【関連記事】

個人情報保護法とは？具体例や改正内容、違反した場合の罰則について解説

5. 金融分野で適用される個人情報保護のルール

■機微情報

機微情報とは、個人の人種や信条、社会的身分、病歴、犯罪の経歴など、個人のプライバシーに深く関わる情報を指します。金融分野では、法令等に基づく場合や人の生命、身体又は財産の保護のために必要がある場合など、金融分野における個人情報保護に関するガイドライン5条1項に定める場合を除き、取得、利用又は第三者提供を行わないこととされています。

機微情報は、厳格なアクセス制限を設けることで、不正な利用や漏えいを防ぐことが求められます。具体的な対策としては、情報の暗号化やアクセスログの管理が効果的です。

【関連記事】

機微情報とは？定義と種類を解説

■安全管理措置

金融分野における個人情報保護に関するガイドラインでは、個人データの漏えい防止及び安全管理のため、金融分野における個人情報取扱事業者が講じるべき以下の安全管理措置が定められています。

組織的安全管理措置
人的安全管理措置
物理的安全管理措置
技術的安全管理措置

安全管理措置のポイントとして、まず第一に情報の暗号化が挙げられます。暗号化とは、情報を特定のコードに変換し、第三者が簡単に理解できないようにする方法です。万が一データが外部に漏れた場合でも、内容を解読されるリスクを大幅に減らすことができます。

次に、顧客の個人情報を扱う金融機関においては、アクセス権限の管理が非常に重要です。情報にアクセスできる人を制限し、必要最低限の権限を与えることで、情報の不正利用を防ぐことができます。

また、定期的なセキュリティチェックも欠かせません。システムの脆弱性を早期に発見し、改善することで、情報漏えいのリスクを未然に防ぐことができます。

■委託先の監督

金融機関が個人情報を第三者に委託する際、その委託先が適切に情報を扱うよう監督することが求められます。（ガイドライン10条3項）具体的には、委託先が情報の安全管理措置を実施しているかを確認し、必要に応じて改善を指導することが重要です。

また、委託先の選定時には、過去の実績や評判、セキュリティ対策の有無をしっかりと確認する必要があります。業務委託契約書には個人情報の取り扱いに関する具体的な条件を明記し、違反時のペナルティも設定しておきましょう。

委託先が再委託を行う場合には、委託元による委託先に対する監督と同様に、委託先が再委託先に対して適切に監督を行っているかを十分に確認することが望ましいとされています。再委託先が再々委託を行う場合も同様です。

【関連記事】

委託先の監督とは？監督する責任の有無や法的リスクを解説

■報告義務

金融機関で情報の漏えいが発生した場合、及び発生した恐れがある場合には、個人情報保護委員会や各業法に基づく監督当局に報告する義務と本人に対する通知を行う義務があります。

個人情報の漏えいが発生した場合には、直ちに責任者へ報告することが重要です。次に、情報漏えいの影響範囲を特定し、どのような情報が漏えいしたのかを明確にします。その後、個人情報保護委員会や監督当局への報告が必要です。報告内容には、漏えいの概要や影響を受けた個人の数、再発防止策を含めることが求められます。さらに、影響を受けた個人に対しても通知を行い、必要なサポートを提供します。

【関連記事】

個人情報漏えい時の報告義務とは？本人への通知が必要な場合や具体例、手続きを解説

6. まとめ

今回は、金融機関における個人情報漏えいの事例と個人情報保護に関するガイドラインについて解説しました。

金融機関での個人情報漏えいが起こる原因は、技術的な不備や人為的なミスなど多岐にわたります。実際に金融機関で個人情報漏えいが発生した事例を分析し、ガイドラインに基づいた適切な対策を講じることで、個人情報の漏えいを防ぐことが可能です。

本記事で解説した事例や情報漏えい防止策を参考に、今後の対策を考えてみましょう。

アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。