損害保険会社に係る個人情報保護指針

第1条(目的)

この指針は、「個人情報の保護に関する法律」(以下「保護法」という。)の規定の趣旨に沿って、損害保険会社がその事業の遂行に際して個人情報を取り扱う際に開示すべき利用目的、講ずべき安全管理のための措置その他の事項につき、具体的な基準を定めることにより、損害保険会社の個人情報の適正な取り扱いを確保することを目的とする。

2.この指針は、本協会に加盟する損害保険会社並びに保護法第41条第1項の同意を行う損害保険会社及び損害保険業に関する団体(以下「損害保険会社等」という。)がその事業の遂行に際して個人情報を取り扱う場合(雇用管理などの内部事務に伴い個人情報を取り扱う場合を除く。)につき適用する。

3.この指針において使用する用語は、別に定義する場合を除き、保護法において使用する用語の例による。

 

第2条(個人情報保護宣言の策定・公表)

損害保険会社等は、保護法その他の関連法令等及びこの指針を踏まえ、自社の個人情報保護に関する考え方や方針に関する宣言(個人情報保護宣言)を策定し、公表するものとする。

2.損害保険会社等は、その公表する個人情報保護宣言を実効性あるものとすべく、社内体制の整備等に努めるものとする。

 

第3条(利用目的)

損害保険会社等は、利用目的を定めるときは、自社が個人情報を利用する範囲を本人が合理的に予想できる程度に特定するものとする。

2.損害保険会社等は、利用目的を公表するとともに、損害保険業の遂行に際して取得する個人情報の利用目的を明示するときは、保険契約申込書その他の書面に記載するものとする。

3.損害保険会社等は、利用目的を変更するときは、保護法第15条第2項に掲げる要件を満たすとともに、変更後の利用目的を公表するものとする。

4.損害保険会社等は、利用目的の達成に必要な範囲を超えて個人情報を取り扱わないものとする。やむを得ずかかる取り扱いを行うときは、保護法第16条第3項各号に掲げる場合を除き、あらかじめ本人の同意(原則として書面による。)を得るものとする。

 

第4条(個人情報の取得等)

損害保険会社等は、業務上必要な範囲内で、かつ、適法で公正な手段により個人情報を取得するものとする。

2.損害保険会社等は、個人情報を本人以外の者から取得するときは、本人の利益を不当に侵害しないようにするものとする。

3.損害保険会社等は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めるものとする。

 

第5条(第三者提供)

損害保険会社等は、個人データを第三者に提供するときは、保護法第23条第1項各号及び第2項に掲げる場合を除き、次に掲げる事項を示した上で、本人の同意(原則として書面による。)を得るものとする。

(1)個人データを提供する第三者

(2)提供を受けた第三者における利用目的

(3)第三者に提供される情報の内容

2.損害保険会社等は、保険契約の締結又は保険金の請求に際して行われる不正行為を排除するために損害保険会社等の間において契約等情報の登録又は交換を行うときは、保護法第23条第4項第3号に規定する事項を公表するものとし、かつ、本人の同意(原則として書面による。)を得るよう努めるものとする。

3.損害保険会社等は、グループ会社又は特定の会社との間で個人データを共同して利用するときは、保護法第23条第4項第3号に規定する事項を公表するものとする。

 

第6条(センシティブ情報の特例)

損害保険会社等は、金融庁ガイドライン第6条に基づき、保健医療などのセンシティブ情報を、次に掲げる場合を除くほか、取得、利用、又は第三者提供をしないこととする。

(1)保険業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で取得、利用、又は第三者提供する場合

(2)相続手続を伴う保険金支払事務等の遂行に必要な限りにおいて、取得、利用又は第三者提供する場合

(3)保険料収納事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の情報を取得、利用又は第三者提供する場合

(4)前各号のほか、金融庁ガイドライン第6条第1項各号に掲げる場合

2.損害保険会社等は、前項第1号に該当する場合において、本人以外の者からセンシティブ情報を取得するにあたっては、当該本人以外の者が保護法第23条に定める要件を満たしていることを確認するか、本人から同意を得るものとする。

 

第7条(安全管理措置)

損害保険会社等は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、個人データの取得・利用・保管等の各段階に応じた「組織的安全管理措置」、「人的安全管理措置」及び「技術的安全管理措置」を含む、必要かつ適切な措置を講じなければならない。

2.本条における「組織的安全管理措置」とは、個人データの安全管理措置について従業者の責任と権限を明確に定め、安全管理に係る基本方針・取扱規程等を整備・運用し、その実施状況の点検・監査を行うこと等の、個人情報取扱事業者の実施体制整備及び実施措置をいう。

3.本条における「人的安全管理措置」とは、従業者との個人データの非開示契約等の締結及び従業者に対する教育・訓練等を実施し、個人データの安全管理が図られるよう従業者を監督することをいう。

4.本条における「技術的安全管理措置」とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、情報システムの監視等、個人データの安全管理に関する技術的な措置をいう。

5.損害保険会社等は、個人データの安全管理に係る基本方針・取扱規程等の整備として、以下の「組織的安全管理措置」を講じなければならない。

(組織的安全管理措置)

(1)規程等の整備

①個人データの安全管理に係る基本方針の整備

②個人データの安全管理に係る取扱規程の整備

③個人データの取扱状況の点検・監査に係る規程の整備

④外部委託に係る規程の整備

(2)各管理段階における安全管理に係る取扱規程

①取得・入力段階における取扱規程

②利用・加工段階における取扱規程

③保管・保存段階における取扱規程

④移送・通信段階における取扱規程

⑤消去・廃棄段階における取扱規程

⑥漏えい事案等への対応の段階における取扱規程

6.損害保険会社等は、個人データの安全管理に係る実施体制の整備として、以下の「組織的安全管理措置」、「人的安全管理措置」、及び「技術的安全管理措置」を講じなければならない。

(組織的安全管理措置)

①個人データの管理責任者等の設置

②就業規則等における安全管理措置の整備

③個人データの安全管理に係る取扱規程に従った運用

④個人データの取扱状況を確認できる手段の整備

⑤個人データの取扱状況の点検・監査体制の整備と実施

⑥漏えい事案等に対応する体制の整備

(人的安全管理措置)

①従業者との個人データの非開示契約等の締結

②従業者の役割・責任の明確化

③従業者への安全管理措置の周知徹底、教育及び訓練

④従業者による個人データの管理手続きの遵守状況の確認

(技術的安全管理措置)

①個人データの利用者の識別及び認証

②個人データの管理区分の設定及びアクセス制御

③個人データへのアクセス権限の管理

④個人データの漏えい・き損等防止策

⑤個人データへのアクセスの記録及び分析

⑥個人データを取り扱う情報システムの稼働状況の記録及び分析

⑦個人データを取り扱う情報システムの監視及び監査

7.損害保険会社等は、個人データの取り扱いの全部又は一部を委託するときは、委託先の選定の基準を定め、あらかじめ委託先の情報管理体制を確認し、委託後の業務遂行状況を監視し、事故発生時の責任関係を明確にするなど、委託先に対する必要かつ適切な監督を行わなければならない。

8.損害保険会社等は、その事業の遂行に際して取り扱う個人データの漏えい事案等の事故が生じたときは、本人への通知及び当局への報告を行うとともに、二次被害の防止、類似事案の発生回避等の観点から、事実関係等を公表しなければならない。

 

第8条(損害保険代理店に対する指導・監督)

損害保険会社は、その損害保険業に係る個人情報を損害保険代理店が取得し、又は利用する際にこの指針に準じた取り扱いがなされるよう、当該代理店に対して安全管理の確保を含む必要かつ適切な監督を行うものとする。

2.損害保険会社は、損害保険代理店がその利用目的を通知、公表又は明示するときは、損害保険会社の利用目的との誤認が生じないよう、当該代理店に対して必要かつ適切な監督を行わなければならない。

 

第9条(本人からの求めに応じる手続)

損害保険会社等は、保護法第24条第1項各号に掲げる事項を公表するものとする。

2.損害保険会社等は、保険契約者等から自らの保険契約の内容又は保険事故の処理状況等に係る照会を受けたときは、保護法第25条に定める手続きを要しない。ただし、当該保険契約者等が同条第1項の規定によることを明示するときは、この限りでない。

3.損害保険会社等は、本人から保護法第24条第2項、第25条第1項、第26条第1項又は第27条第1項若しくは第2項の規定による求めを受けたときは、各条項に定める適用除外条件に該当する場合を除き、各条項に沿った適切な対応を行うものとする。

4.損害保険会社等は、保護法第28条の通知をするときは、本人に対して、判断の根拠及び根拠となる事実を示すなど、その理由の説明を付すものとする。

 

第10条(苦情処理)

損害保険会社等は、個人情報の取り扱いに関する苦情を適切かつ迅速に処理するものとする。

2.損害保険会社等は、前項の目的を達成するため、前条第1項の規定により苦情の申出先を公表するほか、苦情処理手順を策定するなど必要な社内体制を整備するものとする。

 

第11条(本協会の役割)

本協会は、保護法第37条第1項の認定を受けて、同項各号の業務を行うものとする。

2.本協会は、損害保険会社等がこの指針を遵守していないと認めるときは、当該損害保険会社等に対して必要な指導又は勧告を行うものとする。

3.本協会は、社会情勢や国民意識の変化、損害保険業を巡る環境の変化等に応じて、この指針を見直すものとする。