個人情報漏洩

東京海上や三井住友海上など大手損保や保険会社の代理店 出向者による個人情報漏洩のまとめ

東京海上や三井住友海上など大手損保や保険会社の出向者による個人情報漏洩のまとめ

今回記事では、東京海上や三井住友海上、あいおいニッセイなど大手損保会社や生命保険会社の出向者による個人情報漏洩の事例について紹介していきます。

旧ビッグモーターの不正請求や企業向け保険の事前調整など、悪い意味でスポットを浴びている損保・保険業界に関して、最近明るみになってきた出向者による個人情報漏洩の問題について紹介します。

目次

東京海上日動火災、損害保険ジャパン、三井住友海上火災保険、あいおいニッセイ同和損害保険などが個人情報漏洩を公表

2024年8月30日、大手損害保険会社4社(東京海上日動火災、損害保険ジャパン、三井住友海上火災保険、あいおいニッセイ同和損害保険)は、契約者の個人情報の漏洩状況を公表しました。

漏洩の内容は、保険代理店に出向していた社員が出向元の損保に保険情報を流していたケースや損保各社が自動車保険を取り扱うディーラーから情報を受け取っていたケースなどがあります。

ここからは各社の個人情報漏洩の概要について紹介します。

東京海上日動火災保険

2024年8月30日に東京海上日動火災保険は「情報漏洩事案にかかる金融庁への報告について」を公表しました。その中で、情報漏洩の事案概要としては、乗合代理店事案(乗合代理店の本社管理部門から、各拠点宛に同社を含む乗合保険会社の顧客情報が送信された際、宛先に各保険会社の担当者が含まれていたことにより同社の顧客情報が他保険会社に漏えいした事案)と出向者事案とがありますが、下記では、出向者事案について紹介します。

東京海上日動火災保険の代理店 出向者から自社へ個人情報を漏洩

内容としては、同社からの出向者が、出向先代理店が取り扱う他保険会社の顧客情報等を出向元の同社の部署等に送付し、個人情報漏洩を発生させていた事案です。

全社員を対象としたアンケート調査や出向者および出向元部署を対象にしたフォレンジック調査、アンケート調査で疑義が判明した事案に関するインタビュー調査を実施した結果は下記の通りです。

  • 対象の代理店出向先数:35代理店
  • 漏洩件数:約10万件(個人:8万件、法人:2万件)
  • 発生時期:最も古いもので2011年から開始
  • 漏洩内容:他保険会社の契約者名、証券番号、保険種類、保険期間、保険料等(※ 法人情報については、契約情報のほか出向先の顧客リスト等も確認)
  • 目的・背景:①出向先における拠点や募集人毎の挙績を把握し、「重点的に支援する拠点や募集人を特定する」という出向元部署の要望に応えること。②出向者自身の出向先での活動を報告(成約に関与した契約の報告等)し、評価を得ること。③他保険会社の契約について、同社への切替を意図する出向元部署の依頼に応じる、あるいは依頼はなかったものの営業推進に貢献すること。

要因

今回事案の要因として、東京海上日動火災保険は下記の内容を公表しています。

営業数字やマーケットシェアを過度に意識した営業推進

「営業数字やマーケットシェアはお客様支持のバロメーター」として営業推進してきたことにより、営
業数字を増やし、マーケットシェアを高め、競合他社に勝つこと自体が目的化。結果として、営業数字につながる行動を自己正当化する、またはマーケットシェア等を把握することが目的化してしまい、他社情報の取得方法・手段の適法性・妥当性に意識が及んでいなかった。

業界内での情報共有・取得へのリスク感度の低さ

共同保険や乗合等の業界制度によって他保険会社との接点や情報共有が多いという業界の実情から、他社情報に対するリスク感度が低く、情報の共有や取得することについて違和感をもてない体質があった。また、出向者事案では、出向先の社員として日常的に他社情報に触れ、他保険会社とやり取りを行う機会も多い中、他社情報の共有・取得へのリスク感度が低くなっていた。

法令や社会規範に対する認識の甘さ・意識の低さ

保険代理店経由で入手する情報の取扱いに対するリスク感度が低く、基本的な情報管理に関する
知識・意識が希薄だったとともに、前任者からの引継ぎを重視した前例踏襲的な業務遂行が一定期間
にわたり継続されてきたことで、違和感を覚えづらくなっていた。また個人情報保護法や不正競争
防止法等の法令・社内ルールを定めていたものの、周知が十分でなく、業務実態に即した社員教育も
十分に実施できていなかった。

態勢面の課題・問題点

業務の実態や内在するリスクについて、第二線、第三線が十分に把握できていなかった。第二線では、乗合代理店特有の情報共有におけるリスク、出向制度やその実態におけるリスクに対して認識が不十分。また、第三線のリスク評価において、「代理店による情報漏えい」「他社情報の不正取得」をリスクシナリオとしてアセスメントを行っていましたが、本事案の発生を把握できなかった。

出向者事案にかかる個別要因

出向者や出向元の部署において、本来あるべき役割の理解が不十分であり、出向者に対して情報提
供に関する安易な期待を抱いている面があった。その背景として、乗合代理店への出向は、先方か
らの要請や競合他社対抗の観点から判断しているものが大半であり、営業的な見返りや成果を考慮す
る実態となっていた。また、異なる環境に単身出向に赴く社員の心情を踏まえれば、出向元が出向者の人事評価を行う仕組みになっている中で出向者は自身の働きが正当に評価されるか不安を抱えていること、出向先のみならず出向元にも貢献したいという思いが強くなることについて然るべき対策を講じていなかった。

再発防止策

上記の要因を踏まえた再発防止策は下記の通りです。

業数字やマーケットシェアを過度に意識した営業推進

・KPI や評価軸の見直しと周知徹底。(2024 年 3 月実施済み)

業界内での情報共有・取得へのリスク感度の低さ

・代理店との情報の取り扱いルールの明確化と周知徹底。(2024年9月実施予定)
・比較推奨販売・品質基準のあり方の検討を通じた、お客様起点のビジネスモデルの検討・構築。
・他保険会社の社員との接触を原則禁止するルールや接触機会を極小化するプロセスの徹底・継続を通じた、同業他社を内輪と捉える意識からの脱却。

法令や社会規範に対する認識の甘さ・意識の低さ

・ビジネスの実態に即した事例集やQ&Aの整備。(2024年度下期実施予定)
・情報取扱いに関する原則の明示、浸透に向けた全社員向けの教育実施。(2024年度下期実施予定)
・個人情報保護法に関する基本的な知識の再徹底に向けた複数回の研修実施と、実務を踏まえた個人情報の取得・取扱いルールの明確化。

態勢面の課題・問題点

・業務の中で感じる違和感の抽出、関係部署への課題提起フローの構築。(2024年5月実施済み)
・社外の第三者視点を入れた日常業務プロセスの総点検によるコンダクトリスクの洗い出し。(2024年
度下期実施予定)
・営業部店監査における代理店ヒアリング項目への情報セキュリティ管理等の追加と、内部監査にお
ける出向者アンケート・ヒアリングを通じた出向者の課題、リスクの確認。(2024年度下期実施予定)

出向者事案にかかる主な再発防止策

出向制度の見直し

・「お客様起点の事業運営の推進に資さない目的」の出向や「保険の提案窓口や保険募集実務等の
役割」を担う出向はなくす等の出向先選定要件の見直し。(2024年6月実施済み)
・出向者を派遣できる企業の明確化等、更なる出向要件の見直し。(2024 年度下期決定予定)
・出向者の人事評価について、出向目的を踏まえた目標設定や出向先評価を重視する運用の実施。
(2024年度下期実施予定)

損害保険ジャパン

損害保険ジャパンは2024年8月30日、「保険代理店との間で発生した保険契約情報の不適切な管理に関する対応状況」を公表しました。

乗合代理店が同社の保険契約情報を他社に漏えいした事案と同社出向者が他保険会社の保険契約情報を同社に不適切に提供した事案とを公表しておりますが、下記では出向者の個人情報漏洩事案について紹介します。

損害保険ジャパンの代理店 出向者が自社へ個人情報を漏洩

同社の出向者が個人情報の漏洩に関与した内容は下記の通りです。

  • 代理店数:74店
  • 契約者数/契約数:約126千件
  • 主な使用目的:①乗合代理店内における当社シェアや他保険会社の動向を把握するため、②乗合代理店に対する当社の営業方針や社内体制を検討するため、③乗合代理店内における他保険会社契約の当社への切り替えや追加提案を推進するため、④その他(出向業務状況の報告、満期管理等)

要因

今回の事案の要因として、損害保険ジャパンは下記のように公表しています。

社員・乗合代理店に対する個人情報保護法の教育不足

類型1の事案(乗合代理店の事案)が発生した乗合代理店および担当する営業部門の社員の多くが、本事案が個人情報の漏えいに該当するという認識をしていなかった。また、一部では乗合代理店のプライバシーポリシーへの掲載により、同社および他保険会社に対する保険契約情報の提供に関する顧客の同意が不要であると誤認しているケースも確認。これらの実態から、類型1の事案が長期間・広範な規模で行われていた背景には、社員および乗合代理店に対する業務の実態に応じた個人情報保護法の教育不足があったものと捉えている。

代理店出向制度、出向者に対する人事評価の運用、出向に関する社員教育の不足

保険会社社員の代理店出向には、代理店業務品質の向上や人材育成、新たな顧客ニーズの発見による商品開発への貢献など、顧客本位の業務運営に資する一面もある。

しかし、同社の代理店出向制度は、品質向上等の中長期的な目線に立つことだけでなく、マーケットシェア・トップライン拡大等の短期的な目線に立っていた。

また、出向者の人事評価についても、本来は出向先からの評価、代理店の業務品質の向上など出向目的の達成状況を勘案して行われるべきものであるが、同社においては、出向元である同社への貢献度を人事評価に織り込んでいた実態があった。

加えて、社員に対して、出向先で取り扱う情報の適切な管理等に関する教育が不足しており、一部では営業部門が出向者に対して、他保険会社情報の共有を要請していた事例も確認。これらの実態から、類型2の事案(出向者による事案)については、代理店出向制度、出向者に対する人事評価の運用、出向に関する社員教育の不足による影響が大きかったものと捉えている。

リスク管理・内部管理態勢の不備

同社業務が個人情報保護法等の法令に抵触するリスク等を把握・管理するけん制部門であるリスク管理部門およびコンプライアンス部門においては、このような営業目的に偏った代理店出向制度がもたらすリスク、代理店・社員・出向者に対する個人情報保護法に関する教育の不足で生じうるリスクに対する評価を十分に行っておらず、けん制部門として求められるガバナンス機能の発揮に不備があった。

また、内部監査部門においても、営業部門およびけん制部門を含む本社部門に対する監査等で本事案の発生につながりうる事象を検知できておらず、営業部門および本社部門に対して代理店出向制度の運用の妥当性に対する検証等の指摘ができていなかった。

同社に根付いてきたカルチャー、旧態依然とした業界慣行

上記(1)~(3)の真因の背景として、保険料の調整行為に係る対応および自動車保険金の不正請求の対応(以下、「2事案」)に関する業務改善命令、社外調査委員会による指摘事項と同様に、「コンプライアンスよりも自身や自社の都合を優先」、「トップライン・マーケットシェアへの偏重」、「営業部門とコンプライアンス部門の不均衡」、「リスク認識の甘さ」といった同社に根付いてきたカルチャー、旧態依然とした業界慣行の影響が、少なからずあったものと捉えている。

再発防止策

代理店出向制度、出向者に対する人事評価の運用、出向に関する社員教育の不足については以下の様な再発防止策を講じる旨公表しています。

出向基準の見直し

・現在の代理店に対する出向制度を全面的に見直し、損保協会で策定する予定のガイドラインに基づき新たな出向基準を設定。

出向者の人事評価の見直し

・出向者の目標について「代理店内で当社契約を優先的に伸ばすこと」のような内容の設定は行わず、人事評価を行う際にも、同社への貢献度に関わらず出向先の職務遂行状況に基づいた人事評価を行うよう、運用を見直す

出向統括部門の新設

・出向を統括する部門を新たに設置し、出向者との定期的な面談等を行い、コンプライアンス遵守の徹底をはかる。

出向先の情報の取扱いに関するルールの徹底

・当該業務を通じて得た他の保険会社の競争関係情報を同社に伝達しないこと等のルールを出向者向けの研修等で周知するとともに徹底。

出向者管理態勢の構築

・出向前研修において、独占禁止法および不正競争防止法等の留意点などの教育を行い、上記のルールが遵守されるよう注意喚起を促進。
・年1回の出向元の営業店との面談と出向報告書の提出を義務づけ、その役割やミッション等に問題がないことをチェックする。

損保ジャパン出向者による千葉銀行での1万超の情報漏洩事案

千葉銀行は2024年7月26日、複数の損害保険会社から取り扱いの委託を受けている火災保険などの契約者情報が損害保険ジャパンに漏洩していたと発表しました。

千葉銀行に出向している損保ジャパンの社員が情報を持ち出したとしており、期間は、2002年4月から24年4月までに、契約者の氏名や保険料などが最大で約1万1千先の情報が漏洩した恐れがあるとしています。

また、横浜銀行や山陰合同銀行の保険代理店でも同様の漏洩事案が明らかになっています。

保険代理店の情報漏洩、全国で 背景に過剰なシェア意識

三井住友海上火災保険

三井住友海上火災保険は2024年8月30日、「保険代理店ならびに当社出向者による情報漏えい事案の調査結果について」を公表しました。

三井住友海上火災保険も乗合損保の顧客情報漏洩事案と保険代理店への同社出向者による顧客情報漏洩事案について公表しています。下記では保険代理店への同社出向者による顧客情報漏洩事案について紹介します。

三井住友海上火災保険の代理店 出向者が自社へ個人情報を漏洩

保険代理店に出向している同社社員が、出向先の保険代理店で取り扱う他の保険会社の顧客情報等を、同社へ漏えいしていた事案が判明しました。漏えいが発生した保険代理店数は5店、漏えいした顧客の数は128件となります。

漏えい等が発生した情報としては、顧客の保険契約に係る「保険会社名」「契約者名」「証券番号」「満期日」「車名」「車台番号」「登録番号」など、です。

要因および再発防止策

原因および再発防止策については、「本事案発生の主な原因として、出向者ならびに出向元である当社社員に対する情報管理等の教育・指導が不十分であったと考えております。教育の枠組みを再構築し、情報管理等の法令遵守の徹底を促す等の取組を強化してまいります。」と公表しています。

あいおいニッセイ同和損害保険

あいおいニッセイ同和損害保険は、2024年8月30日に「保険契約情報の不適切な管理に伴うお客さまへの通知文書の発送開始について」を公表しました。

あいおいニッセイ同和損害保険も乗合代理店による個人情報漏洩の事案と出向中の社員による個人情報漏洩の事案について公表してます。下記では出向中の社員による個人情報漏洩の事案について紹介します。

あいおいニッセイ同和損害保険の代理店 出向者が自社へ個人情報を漏洩

保険代理店に出向中の同社社員による漏洩事案については下記のように公表しています。

  • 対象代理店数:5社
  • 漏洩件数:12,339件

漏洩した個人情報は、証券番号、契約者氏名、満期日、引受保険会社など、です。

要因

上記事案の要因については、下記のように公表しています。

・出向者の派遣にあたり、出向者および出向者を管理する同社社員に対して、情報管理・機密保持に関する教育・指導が不十分であり、出向者が業務上知り得た顧客情報に関する同社への共有可否について、出向者・出向者を所管する部署ともに適切な判断ができていなかった。

今後の対応について

今後の対応については下記のように公表しています。

出向者に対し、本社より個人情報保護法をはじめとする各種法令遵守に関する研修を行っており、今後より一層内容を充実させた研修内容に改定していく。

また、出向者を所管する部署の所属長に対しても、出向者が派遣される前に、顧客情報の取り扱いをはじめとする各種法令についての注意事項を案内するなどの対応を実施し、適切なお客さま情報の取り扱いを徹底する。

SOMPOひまわり生命保険が十六銀行 出向者から自社へ個人情報を漏洩

2024年7月30日、SOMPOホールディングスの完全子会社、SOMPOひまわり生命保険から十六銀行に出向している社員が、競合する生保の契約者情報を損害保険ジャパンに漏洩していた疑いがあることが判明しました。

「ひまわり生命」の出向者が競合生保の情報を漏洩

金融庁の対応

金融庁は2024年5月の大手損害保険会社の相次ぐ情報漏洩の事案を受けて、同年6月25日に「損害保険業の構造的課題と競争のあり方に関する有識者会議」報告書を公表しました。

その中では、損害保険会社から代理店等への出向は、代理店等の業務品質の向上や顧客ニーズの発掘による商品開発への貢献等、顧客本位の業務運営に資する一面がある一方で、顧客の適切な商品選択を阻害するなどの弊害があると指摘しました。

そして、2024 年7月22日付で、損害保険会社からの出向者による個人情報漏えい事案について、複数の損害保険会社が保険業法および個人情報保護法に基づき、金融庁から報告徴求命令を出しました。

上記を受けて、大手損害保険会社4社は同年8月30日に漏洩状況を金融庁に報告しました。

また、金融庁は保険契約者の個人情報漏洩問題において、生命保険会社の調査にも乗り出しました。生保各社に出向先の自社社員を通じた情報漏洩が起きた事案がないかを調べ、報告するよう求める方向です。損害保険業界で大規模な情報漏洩が明らかになっており、対象を生保にも広げ、組織的な関与の有無などを精査するとの報道が出ています。

まとめ

大手損害保険会社の個人情報漏洩事案は生保業界まで広がり、まだまだ収まる様相が見えていない状況です。損害保険会社の銀行等に対する持ち合い株式の解消などの議論も出ており、今度の動向には目を離せません。

TOPへ