2025年4月30日、個人情報保護委員会は、東京海上日動火災保険、損害保険ジャパン、三井住友海上火災保険、あいおいニッセイ同和損害保険の4社(以下、大手損保4社)に対し、個人情報保護法に基づく指導を行いました。
これは、保険代理店との間で本人の同意なく個人データが第三者に提供・取得されていたという重大な個人情報保護違反によるものです。
目次
発覚のきっかけと調査の経緯
発端は2024年4月、東京海上日動の社員が、ある保険代理店から受信したメールに他社の保険契約者の個人情報が含まれていることに気づいたことでした。
その後、他の損保会社でも同様の調査が進められ、出向者による個人情報の不正な社内送付も明らかになりました。
金融庁はこれを受け、保険業法と個人情報保護法に基づき各社から報告を求め、2025年3月には業務改善命令を発出。個人情報保護委員会も、個人情報保護法第147条に基づく指導を行うに至りました。
2つの問題類型:代理店事案と出向者事案
調査の結果、以下の2つの問題類型が明らかになりました。
代理店事案
乗合代理店(複数社の保険商品を扱う代理店)が、本人の同意を得ずに他社の保険契約者情報を含むファイルを複数の損保会社に同報メールで送信。これにより、大手損保各社は他社契約者の個人情報を不正に取得していたとされます。
影響を受けた契約者数は以下のとおりです
| 会社名 | 影響人数(代理店事案) |
|---|---|
| 東京海上日動 | 約100万人 |
| 損保ジャパン | 約80万人 |
| 三井住友海上 | 約32万人 |
| あいおいニッセイ同和 | 約22万人 |
出向者事案
損保会社から代理店へ出向した社員が、無断かつ本人同意なく、他社契約の個人情報を出向元へ送信していたケースです。これもまた個人情報保護法に抵触します。
法令違反の内容
本件では、以下の法令違反が確認されています:
-
個人情報保護法第27条(第三者提供の制限)違反:保険代理店が本人同意なく情報を提供。
-
同第20条(不正取得の禁止)違反:損保会社が不適正な手段で情報を取得。
-
同第23条(安全管理措置)・第25条(委託先の監督)違反:組織的・人的管理の不備。
なぜ長期間、見過ごされたのか?
問題が長年是正されなかった背景には、以下の構造的な要因があります。
-
保険契約獲得優先の営業慣行:営業現場での「常態化」。
-
情報管理に対する組織全体の問題意識の欠如。
-
個人情報保護に関する教育・監査体制の不備。
-
出向者の評価制度によるプレッシャー:情報提供が成果評価に影響する可能性。
今後の対応
個人情報保護委員会は、大手損保4社に対し以下の措置を指導しました(報告期限:2025年5月30日)。
-
定期的な監査と教育による取扱状況の可視化・是正
-
安全管理措置の強化
-
保険代理店に対する監督体制の見直し
また、保険代理店に対しても、個人情報の取扱いに関する注意喚起を行うとしています。
情報システム部門への示唆
この事案から、以下のような教訓が得られます:
-
委託先・業務提携先との情報管理体制の整備と監査は必須です。
-
「慣行」や「従来の引き継ぎ」によるルール逸脱を放置しないこと。
-
出向者・委託先の行動も自社の情報ガバナンスの一部として捉える視点が求められます。
特に、大規模な業務委託や複数の取引先を持つ企業においては、データの流通経路と責任範囲を可視化し、教育・監査を通じてガバナンスを強化することが急務です。
一部参照
https://www.ppc.go.jp/files/pdf/250430_02_houdou.pdf
関連記事
LINE ヤフーの個人情報漏えい問題に対する改善状況と今後の対応方針 -個人情報保護委員会が最新の取りまとめを公表
個人情報保護委員会、イセトーへのサイバー攻撃による約307万人の個人情報漏洩について行政指導を発表
GitHub Actionの tj-actions/changed-files の脆弱性がサプライチェーン攻撃に悪用される可能性(CVE-2025-30066)
GitHub Actionの「tj-actions/changed-files」が侵害される脆弱性(CVE-2025-30066)
東京海上や三井住友海上など大手損保や保険会社の代理店 出向者による個人情報漏洩のまとめ
東急リバブル 元従業員が転職先へデータを不正持ち出し 一部へダイレクトメールを送付
クボタ クボタクレジットの業務委託先のイセトーのランサムウェア 被害により約6万人の個人情報漏洩|ランサムウェア 事例
髙野総合会計事務所がランサムウェア 被害に関する第三報を発表
伊藤園の北米グループ会社へランサムウェアと不正アクセス
