2024.09.05 乗合代理店・出向者による顧客情報漏えい損保大手4社が調査結果を公表
東京海上日動、三井住友海上、あいおいニッセイ同和損保、損保ジャパンの4社は、乗合代理店と保険会社間のメール連絡に伴う情報漏えい(乗合代理店事案)および乗合代理店への出向者による情報漏えい(出向者事案)について、その調査結果、再発防止策などを8月30日に金融庁に報告し、その内容を謝罪コメントとともにそれぞれ公表した。
【東京海上日動】
乗合代理店事案は、乗合代理店の本社管理部門から各拠点宛に顧客情報(契約満期一覧や事務不備リスト等)が送信された際、宛先に各保険会社の担当者が含まれていたことにより顧客情報が他保険会社に漏えいしたもの。東京海上日動でも、同社顧客情報を乗合代理店に送信する際、宛先に他保険会社の担当者を設定していたことにより漏えいを発生させたケースがあった。調査の結果、384代理店から約86万件が漏えいした。発生時期は最も古いもので2012年から。漏えい内容は契約者名、証券番号、保険種類、保険期間、保険料等。漏えいがあった背景には、乗合代理店の本社管理部門から各拠点に対して、保険契約の更新や事務不備等の対応を指示する際、保険会社側にも指示を共有するためメールを送信していたことがあり、同社としても、受信した情報を確認し、担当拠点の支援や指導を行っていた。
また、出向者事案は、東京海上日動からの出向者が、出向先代理店が取り扱う他保険会社の顧客情報等を出向元の部署等に送付し漏えいを発生させていたもの。調査の結果、35代理店から、約10万件(個人8万件、法人2万件)の漏えいが発生した。発生時期は最も古いもので2013年から。漏えいがあった目的・背景としては、▽出向先における拠点や募集人ごとの挙績を把握し、「重点的に支援する拠点や募集人を特定する」という出向元部署の要望に応えること▽出向者自身の出向先での活動を報告(成約に関与した契約の報告等)して評価を得ること▽他保険会社の契約について、同社への切替を意図する出向元部署の依頼に応じる、あるいは依頼はなかったものの営業推進に貢献すること―だったとされた。
両事案とも同社が受け取った他保険会社の顧客情報をグループ会社以外の第三者へ漏えいさせた事実は確認されていないとのこと。
乗合代理店事案については、情報漏えいを確認した全顧客に対して、書面で連絡する。連絡が困難な顧客については、公表をもって書面での連絡に代えるとしている。出向者事案については、情報漏えいした他保険会社の顧客については、同社より出向先および引受保険会社に依頼し、出向先もしくは引受保険会社より連絡する予定。
事案が発生した真因については、①営業数字やマーケットシェアを過度に意識した営業推進②業界内での情報共有・取得へのリスク感度の低さ③法令や社会規範に対する認識の甘さ・意識の低さ④態勢面の課題・問題点―を挙げ、具体的な再発防止策を公表しており、乗合代理店事案の再発防止策としては、大型の兼業乗合代理店と保険会社との関係性の改善、出向者事案の再発防止策としては、出向制度の見直しを挙げている。
【三井住友海上】
三井住友海上は、同社乗合代理店で情報漏えいが発生した事案は、保険代理店数298店、漏えいした顧客数33万6179件と報告。漏えい内容に要配慮情報〈医療情報や事故情報等〉や個人資産に関する情報〈口座情報やクレジットカード情報等〉は含まれていないとしている。同事案は漏えい先が乗合損保会社に限られており、現時点で顧客情報が悪用された事実は確認されていない。また、漏えい先の乗合損保会社を特定しているので、二次被害を防止するため、漏えい先に対して当該顧客情報を不正に利用しないよう申し入れているという。
事案が発生した原因については、顧客情報の管理に関して▽保険代理店の保険業務支援を目的として、乗合損保会社の契約が混在する顧客情報を限られた乗合損保会社の社員間だけで共有する行為は問題ないと誤認▽乗合損保会社の契約が混在する顧客情報の共有は、保険代理店のプライバシーポリシーに記載された利用目的の範囲内であると誤認―といった認識の誤りが判明したとしている。これを踏まえ、同社および代理店における顧客情報管理に関する教育をあらためて見直した上で、同様の事態が二度と発生しないよう再発防止に徹底して取り組むとしている。
今後の対応については、連絡先が判明している顧客については、同社から順次お詫び状を送付する。
また、保険代理店への同社出向者による他社顧客情報の漏えいについては、漏えいが発生した代理店数5店、漏えいした顧客数は128件と報告。漏えいした情報は、主に出向先の保険代理店のマーケット全体像を把握すること等を目的に、三井住友海上が情報の提供を受けたもので、当該顧客情報を同社が悪用した事実は確認されていないとしている。
同事案発生の主な原因として、出向者ならびに出向元である同社社員に対する情報管理等の教育・指導が不十分だったと考えており、教育の枠組みを再構築し、情報管理等の法令順守の徹底を促す等の取り組みを強化するとしている。
【あいおいニッセイ同和損保】
あいおいニッセイ同和損保は、乗合代理店事案について、対象代理店151社から顧客情報20万4783件、同社社員による事案で対象代理店2社から10件の顧客情報が漏えいしたと報告。主な原因は、①乗合代理店において、当該契約を取り扱う損保会社以外の他の乗合保険会社へ契約情報を伝達することは保険代理店のプライバシーポリシーの適用範囲内であり、個人情報保護法における問題がないと誤認②損保会社と保険代理店との役割分担が曖昧になっており、幹事会社である損保会社が自社分だけでなく、他損保会社の契約も含めた拠点全体の保険契約管理に携わるケースなどがあり、契約情報が各保険会社に帰属するという意識が薄れていた―としている。今後は、全社員および同社委託先代理店に個人情報保護法に関する実務に即した研修によって教育を行い、適切な顧客情報の取り扱いを徹底する。また、リスク感度向上に努めるとともに、現場実態の把握を適宜行い、各種施策の改善につなげるとしている。
乗合代理店に出向中の同社社員による漏えい事案については、代理店内の他の損保会社の顧客情報を代理店の了解なく同社に漏えいした事案が代理店5社で顧客情報1万2339件あったと報告。情報漏えいの主な原因は、出向者の派遣にあたり、出向者および出向者を管理する同社社員に対して、情報管理・機密保持に関する教育・指導が不十分で、出向者が業務上知り得た顧客情報に関する同社への共有可否について、出向者・出向者を所管する部署ともに適切な判断ができていなかったとしている。
両事案とも顧客情報が乗合保険会社以外の第三者へ送付された事実、および顧客情報が不正使用された事実は確認されておらず、漏えいした顧客情報にはセンシティブ(機微)情報が含まれていないことを確認している。
情報漏えいが確認された顧客に対して30日から順次通知文書の発送を開始し、9月中に発送完了を予定している。
【損保ジャパン】
損保ジャパンでは、乗合代理店が損保ジャパンの保険契約情報を他社に漏えいした事案では、代理店366店から契約者約86万50000人の個人情報が漏えいしたと報告。情報の主な使用目的は、▽乗合代理店が自社内の新規保険契約の契約状況や保険キャンペーン進捗を共有するため▽乗合代理店が全保険会社分の満期管理を一括して対応するため▽乗合代理店が全保険会社分の不備契約を一括して管理するため▽その他(品質関連指標の推進や管理等)―だったとしている。
また、乗合代理店への同社出向者が他保険会社の保険契約情報を同社に不適切に提供した事案については、代理店74店から約12万6000件の契約情報が流出した。情報の主な使用目的は、▽乗合代理店内における損保ジャパンのシェアや他保険会社の動向を把握するため▽乗合代理店に対する同社の営業方針や社内体制を検討するため▽乗合代理店内における他保険会社契約の同社への切り替えや追加提案を推進するため▽その他(出向業務状況の報告、満期管理等)。
いずれもセンシティブ情報の漏えい・提供、および保険契約情報の二次漏えいは確認されていないとしている。
本事案が発生した真因は、①社員・乗合代理店に対する個人情報保護法の教育不足②代理店出向制度、出向者に対する人事評価の運用、出向に関する社員教育の不足③リスク管理・内部管理態勢の不備④同社に根付いてきたカルチャー、旧態依然とした業界慣行―だとし、現在実行中の業務改善計画にあわせて再発防止策を実施していくとしている。