「金融分野における個人情報保護に関するガイドライン」についてです。
これが適用されると、一般論としては、一般事業者(普通の事業会社等)よりも事実上の規制が厳しくなるわけです。
しかし、実際には、このガイドラインが誰に適用されるかが曖昧です。
「金融分野における個人情報保護に関するガイドライン」が適用されるのは、「金融庁が所管する分野(以下「金融分野」という。)」であると考えられます(同ガイドライン1ページ)。
そして、Q&Aでは、ガイドラインの適用対象そのもののQではありませんが、以下の記述があります(Q&A問I-1)注2)。
しかし、「金融庁が所管する分野」とは何か、「金融分野の事業者」とは何かっていうのは、実は答えが明確でないと思うのです。
これは別に常識的に見て「金融系」と考えられる事業者がこのガイドラインの対象というわけではありません。
「金融庁が所管する分野」というのは金融庁の所掌事務から決まっているはずです。金融庁設置法4条ですかね。
しかしこれを見ても、別に明確にはなっていません。
まずもって、自社が金融ガイドラインの適用かどうか、よく見てもわからないというのは、行政のガイドラインとして不適切ですので、事業者から見てわかりやすく記載する必要があります。ガイドライン本文でもQ&Aでも良いと思います。
そして、もう少し技術的な話をすると、金融庁設置法の所掌事務を見たところで、あいまいな部分が残ります。
というのも、例えば、金融機関の関連会社はどこまで含むのか、などです。各監督指針などでは子会社規制・関連会社規制等もありますが、子会社・関連会社についてはその範囲とイコールで良いのか。例えば、金融機関の直接の子会社ではないものの、全体として見たときに企業グループと考えられる範囲というのもあります。そういう場合はどうなのか。金商法のようにグループ規制として明確な定義を置くのかどうか。
あとは金融機関の委託先であれば、金融ガイドラインの適用と通常考えられますが、金融機関とかなり結びつきが強くて、その会社の売上は金融機関からの売上が7割ぐらいだけれども、独自事業もやっていて、その独自事業は金融機関からの委託ではないものの、大局的視点から見たときには金融機関の業務との結びつきがあるとも考えられるもの、などもあります。ちょっと具体例がなかなか言えませんが、結局、金融機関の直接の子会社・関連会社ではないものの、よく取引している会社というのは結構あって、その人たちが独自事業をやりつつも、でも独自事業といっても金融機関の仕事をいっぱいしている関係で、やっぱりよく見てみると金融機関との結びつきも感じるようなものが、そこそこ実態としてはあるように思うのです。
その場合、金融ガイドラインの適用と考えるのかどうか。また、弁護士としては、そういうものも金融ガイドラインの適用と考えてアドバイスしますが、しかしそうすると今度は、金融ガイドラインやQ&Aの記述は、狭義の金融機関そのものを念頭に置いているため、いわゆる一般の事業会社の業務に当てはめるとどういう規制・解釈になるのか謎な部分も残ります。
これ、結構難しい問題で、少なくとも、今の状態だと、金融ガイドラインの適用範囲が不明確ですので、よりはっきりと明確化すべきだと思います。
あと金融Q&Aって、Q一覧がないので、不親切だと思います。監督指針とか検査マニュアルとかも、結構読みにくい章立て構成だし、金融庁の文書ももう少し読みやすくなるとうれしいです。
<追記>
このブログを書いた後に金融庁に電話照会したところ、「金融庁所管法で規制されている会社なのかどうか」又は「金融庁所管法で規制されている業務なのかどうかによる」という口頭回答がありました。
これを踏まえると、子会社・関連会社であっても、結局金融庁所管法で規制されている範囲内かどうかによる。そして金融機関の委託先については、委託業務は基本的に適用対象と考える、という感じでしょうね。資本関係は薄くても、業態をとらえれば関連会社に該当するような企業もありますが、それは基本的には金融庁所管法で規制されている範囲内ではないと思われ、適用対象外と考えるという感じですかね。