【問題 16】
貸金業者向けの総合的な監督指針において、顧客等に関する情報管理態勢について、監督当局が、貸金業者の監督に当たって留意するものとされている事項に関する次の①~④の記述のうち、その内容が適切でないものを 1 つだけ選び、解答欄にその番号をマークしなさい。
① クレジットカード情報等について、利用目的その他の事情を勘案した適切な保存期間を設定し、保存場所を限定し、保存期間経過後適切かつ速やかに廃棄しているか。業務上必要とする場合を除き、クレジットカード情報等をコンピューター画面に表示する際には、カード番号を全て表示させない等の適切な措置を講じているか。独立した内部監査部門において、クレジットカード情報等を保護するためのルール及びシステムが有効に機能しているかについて、定期的又は随時に内部監査を行っているか。
② 法人関係情報を利用したインサイダー取引等の不公正な取引の防止に係る着眼点として、法人関係情報を入手し得る立場にある役職員が当該法人関係情報に関連する有価証券の売買その他の取引等を行った際には報告を義務付ける等、不公正な取引を防止するための適切な措置を講じているか。
③ 個人データの第三者提供に関して、特に、その業務の性質や方法に応じて、第三者提供の同意の取得にあたって、優越的地位の濫用や個人である資金需要者等との利益相反等の弊害が生じるおそれがないよう留意しているか。例えば、個人である資金需要者等が、第三者提供先や第三者提供先における利用目的、提供される情報の内容について、過剰な範囲の同意を強いられる等していないか。
④ 顧客等に関する情報管理態勢に係る着眼点として、顧客等に関する情報へのアクセス管理の権限等を複数の役職員に分散させることなく特定の役職員に集中させ、幅広い権限等を有する当該特定の役職員の責任において適切な管理を行わせる等、顧客等に関する情報を利用した不正行為を防止するための適切な措置を図っているか。
【正解】 ④
①(〇)クレジットカード情報等について、利用目的その他の事情を勘案した適切な保存期間を設定し、保存場所を限定し、保存期間経過後適切かつ速やかに廃棄しているか。業務上必要とする場合を除き、クレジットカード情報等をコンピューター画面に表示する際には、カード番号を全て表示させない等の適切な措置を講じているか。独立した内部監査部門において、クレジットカード情報等を保護するためのルール及びシステムが有効に機能しているかについて、定期的又は随時に内部監査を行っているか(監督指針Ⅱ-2-2(1)②)。
②(〇)法人関係情報を利用したインサイダー取引等の不公正な取引の防止に係る着眼点
a. 役職員によるインサイダー取引等の不公正な取引の防止に向け、職業倫理の強化、関係法令や社内規則の周知徹底等、法令等遵守意識の強化に向けた取り組みを行っているか。
b. 法人関係情報を入手し得る立場にある役職員が当該法人関係情報に関連する有価証券の売買その他の取引等を行った際には報告を義務付ける等、不公正な取引を防止するための適切な措置を講じているか。
③(〇)個人データの第三者提供に関して、金融分野ガイドライン第11条等を遵守するための措置が講じられているか。特に、その業務の性質や方法に応じて、以下の点にも留意しつつ、個人である資金需要者等から適切な同意の取得が図られているか。
イ.金融分野ガイドライン第3条を踏まえ、個人である資金需要者等からPC・スマートフォン等の非対面による方法で第三者提供の同意を取得する場合、同意文言や文字の大きさ、画面仕様その他同意の取得方法を工夫することにより、第三者提供先、当該提供先に提供される情報の内容及び当該提供先における利用目的について、個人である資金需要者等が明確に認識できるような仕様としているか。
ロ.過去に個人である資金需要者等から第三者提供の同意を取得している場合であっても、第三者提供先や情報の内容が異なる場合、又はあらかじめ特定された第三者提供先における利用目的の達成に必要な範囲を超えた提供となる場合には、改めて個人である資金需要者等の同意を取得しているか。
ハ.第三者提供先が複数に及ぶ場合や、第三者提供先により情報の利用目的が異なる場合、個人である資金需要者等において個人データの提供先が複数に及ぶことや各提供先における利用目的が認識できるよう、同意の対象となる第三者提供先の範囲や同意の取得方法、時機等を適切に検討しているか。
二.第三者提供の同意の取得にあたって、優越的地位の濫用や個人である資金需要者等との利益相反等の弊害が生じるおそれがないよう留意しているか。例えば、個人である資金需要者等が、第三者提供先や第三者提供先における利用目的、提供される情報の内容について、過剰な範囲の同意を強いられる等していないか。
④(×)顧客等に関する情報へのアクセス管理の徹底(アクセス権限を付与された本人以外が使用することの防止等)、内部関係者による顧客等に関する情報の持出しの防止に係る対策、外部からの不正アクセスからの防御等情報管理システムの堅牢化、営業所等の統廃合等を行う際の顧客等に関する情報の漏えい等の防止などの対策を含め、顧客等に関する情報の管理状況を適時・適切に検証できる態勢となっているか。
また、特定役職員に集中する権限等の分散や、幅広い権限等を有する役職員への管理・けん制の強化を図る等、顧客等に関する情報を利用した不正行為を防止するための適切な措置を図っているか。