証券会社が自社の顧客情報をグループ会社に共有しようとする場合に必要な法令上の手続とは

IT・情報セキュリティ
平山 達大弁護士 渥美坂井法律事務所・外国法共同事業

 証券会社が自社の顧客情報をグループ会社の銀行に共有しようとする場合に必要な法令上の手続について教えてください。

 証券会社が自社の顧客情報を銀行等のグループ会社の銀行に対して共有しようとする場合、顧客の属性や情報により、個人情報保護法や金融商品取引法令に基づく情報共有に関する規制を遵守する必要があります。

 この点に関して、下記のとおり法令等が改正されました。

  • 令和4年4月1日 個人情報保護法の改正法施行
  • 同年4月22日 金融商品取引法令における情報共有規制(いわゆるファイアーウォール規制)を改正するための、金融商品取引業等に関する内閣府令及び金融サービス仲介業に関する内閣府令の一部を改正する内閣府令が公布(同年6月22日施行)

解説

目次

  1. 証券会社がグループ会社の銀行に「個人情報のうち注文の動向に関する情報ではないもの」を共有する場合
    1. 第三者提供にかかる手続き
    2. 共同利用として行う場合
  2. 証券会社がグループ会社の銀行に「個人情報のうち注文の動向に関する情報(たとえば有価証券の売買等の情報)」を共有する場合およびその情報が、個人が特定できないように匿名加工されている場合
    1. 非公開情報の共有には本人の事前同意が必須
    2. 匿名加工している情報でも金融商品取引業等に関する内閣府令上は同意が必要
  3. 証券会社がグループ会社の銀行に「上場会社ではない法人の非公表の財務情報」を共有する場合
  4. 証券会社がグループ会社の銀行に「上場会社の財務情報」を共有する場合
    1. 新オプトアウト制度の対象となる法人
    2. 新オプトアウト制度を利用するための具体的な手続
  5. 証券会社がグループ会社の銀行に「外国法人の非公表財務情報」を共有する場合

 本記事では、上記の改正内容を踏まえ、証券会社が自社の顧客情報をグループ会社の銀行に共有しようとする場合、法令上行う必要がある手続についてご紹介します。

証券会社がグループ会社の銀行に「個人情報のうち注文の動向に関する情報ではないもの」を共有する場合

 証券会社が保有する自社の顧客情報など、個人に関する情報をグループ会社の銀行に提供する場合、その情報が金融商品取引業等に関する内閣府令(以下「金商業等府令」といいます)(平成19年内閣府令第52号)1条12号に規定される「非公開情報」に該当するかが問題となります。

 「非公開情報」とは、「発行者である会社の運営、業務若しくは財産に関する公表されていない重要な情報であって顧客の投資判断(…)に影響を及ぼすと認められるもの又は自己若しくはその親法人等若しくは子法人等の役員(…)若しくは使用人が職務上知り得た顧客の有価証券の売買その他の取引等に係る注文の動向その他の特別の情報」です。

 本件で共有しようとする情報は、「注文の動向」の情報ではないので「非公開情報」に該当しません。すなわち、金融商品取引法令上は顧客の同意を取得する必要はありません。

 他方で、証券会社はグループ会社と個人情報を共有しようとしていることから、個人情報保護法を遵守する必要があり、個人情報の第三者提供にかかる手続もしくは共同利用にかかる手続を行う必要があります。

 具体的には、次の通りです。

第三者提供にかかる手続き

 原則として、あらかじめ本人の同意を取得する必要があります(個人情報保護法27条1項)。

 例外的に、「本人の求めに応じて当該本人が識別される個人データ 1 の第三者への提供を停止する」、つまりオプトアウト方式で第三者提供する場合、個人情報保護委員会規則で定めるところにより、あらかじめ下記の事項を本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たとき、本人の事前同意を取得することなく個人データ(要配慮個人情報 2 を除く)を第三者に提供することができます。

(ⅰ) 第三者への提供を利用目的とすること

(ⅱ)第三者に提供される個人データの項目

(ⅲ)第三者への提供の方法

(ⅳ)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

(ⅴ) 本人の求めを受け付ける方法

共同利用として行う場合

 共同利用の場合は個人データの第三者提供時に本人の同意は不要ですが、個人情報保護法27条5項3号に定める「通知」が求められます。

 あらかじめ、下記の事項を本人に通知し、または本人が容易に知り得る状態に置いていることが共同利用には必要です。

(ⅰ) 共同利用をする旨

(ⅱ)共同して利用される個人データの項目

(ⅲ)共同して利用する者の範囲

(ⅳ)利用する者の利用目的

(ⅴ) 当該個人データの管理について責任を有する者 3 の氏名または名称および住所

(ⅵ)法人の場合は、その代表者の氏名


 この通知は、原則として書面によることとされていますが、書面には電磁的記録が含まれます(金融分野における個人情報保護に関するガイドライン12条4項、3条)。

 金融分野における個人情報取扱事業者による「共同して利用する者の範囲」の通知等については、共同して利用する者を個別に列挙することが望ましいです。

 また、共同して利用する者の外延を示すことによって本人に通知等する場合には、本人が容易に理解できるよう共同して利用する者を具体的に特定しなければならないとされています。

 外延を示す具体例としては、
・当社および有価証券報告書等に記載されている当社の子会社
・当社および有価証券報告書等に記載されている当社の連結対象会社および持分法適用会社

 といった方法が考えられます。

証券会社がグループ会社の銀行に「個人情報のうち注文の動向に関する情報(たとえば有価証券の売買等の情報)」を共有する場合およびその情報が、個人が特定できないように匿名加工されている場合

非公開情報の共有には本人の事前同意が必須

 まず、個人情報の提供については、1と同様に個人情報保護法の第三者提供にかかる手続、共同利用にかかる手続を遵守する必要があります。

 加えて、有価証券の売買等注文の動向に関する情報は「非公開情報」に該当するため、金融商品取引法令における情報共有に関する手続を遵守する必要があります。

 本件で重要な点として、金商業等府令に基づく個人の非公開情報の共有については、同意を取得せずに共有できるオプトアウト制度が設けられていません。

 そのため、本件のような「非公開情報」を共有するにあたっては、金商業等府令に基づき、本人の同意をあらかじめ取得することが必須となります。

匿名加工している情報でも金融商品取引業等に関する内閣府令上は同意が必要

 個人が特定できないよう一定の措置を講じ、匿名加工しているような場合、個人情報の第三者提供にかかる手続または共同利用にかかる手続は適用されません。

 そのため、個人情報保護法の観点からは、情報共有にあたって個人の同意は不要とされます。

 しかし、金商業等府令は、匿名加工している場合であっても、共有しようとする情報が顧客の注文の動向に関する情報であれば、金商業等府令に基づくにおける情報共有に関する規制が適用されます。

 そのため、匿名加工している情報でも「非公開情報」である情報を共有するにあたっては、金商業等府令に基づき個人顧客の同意 4 を得る必要があるものと考えられます。

証券会社がグループ会社の銀行に「上場会社ではない法人の非公表の財務情報」を共有する場合

 企業の財務情報は個人に関する情報ではないことから、個人情報保護法は適用されません。

 しかし、法人の非公表の財務情報は、「発行者である会社の運営、業務若しくは財産に関する公表されていない重要な情報であって顧客の投資判断(…)に影響を及ぼすと認められるもの」と考えられることから、金商業等府令の「非公開情報」に該当します。すなわち、2と同様、金商業等府令に基づく情報共有手続を遵守する必要があります。

 金商業等府令上、法人の情報については、一定の場合に同意取得が不要になる制度(金商業等府令上のオプトアウト制度、金商業等府令153条2項等)が設けられています。

 具体的には、あらかじめ当該法人顧客に下記の情報を通知したうえで、当該法人顧客が共有を望まない場合は情報提供の停止を求める機会を提供する必要があります 5

(ⅰ) 非公開情報を共有する旨

(ⅱ)親子法人等との間で授受を行う非公開情報の範囲

(ⅲ)非公開情報の授受を行う親子法人等の範囲

(ⅳ)非公開情報等の授受の方法

(ⅴ) 提供先における非公開情報等の管理の方法

(ⅵ)提供先における非公開情報等の利用目的

(ⅶ)親子法人等との間での非公開情報等の授受を停止した場合における当該非公開情報等の管理方法


証券会社がグループ会社の銀行に「上場会社の財務情報」を共有する場合

 基本的には3と同様の手続が必要ですが、令和4年6月からは、より簡易な制度(新オプトアウト制度)が追加されます(令和4年4月22日に内閣府令が公布、令和4年6月22日に施行されました。改正後金融商品取引業等府令153条1項7号ヌ等)。

 新オプトアウト制度の具体的内容は、以下の通りです。

新オプトアウト制度の対象となる法人

 改正後金融商品取引業等府令では、新オプトアウト制度の対象となる法人は下記の通りとされています。

(ⅰ)上場会社等およびその子会社等

(ⅱ)金融商品取引所にその発行する株式を上場しようとする株式会社(上場基準に適合するために必要な助言を受けることを内容とする契約または金融商品取引法193条の2の規定に準じて公認会計士もしくは監査法人の監査を受けることを内容とする契約を締結しているものに限る)およびその子会社等

(ⅲ)有価証券報告書を提出している者およびその子会社等

(ⅳ)適格機関投資家(金融商品取引法2条に規定する定義に関する内閣府令10条1項23号(イにかかる部分に限る)6 および24号 7 に掲げる者を除く)およびその子会社等


 なお、顧客の意向や負担を踏まえた適切な対応とすることが必要とされているものの、「頂点企業の上場会社については同意取得をし、その子会社等は新オプトアウト制度の対象とすること」も否定されていません(令和4年4月22日金融庁パブリックコメント結果(以下「パブコメ結果」といいます)18番)ので、個別の事情を踏まえた対応も可能と考えられます。

新オプトアウト制度を利用するための具体的な手続

 上記対象となる法人(以下「対象法人」といいます)にかかる非公開情報等を当該対象法人の事前の同意なく、証券会社や登録金融機関である銀行が、その親子会社と共有するためには下記の点を満たしている必要があります(個別に守秘義務契約等を締結している場合には、当該契約上の義務を別途履行する必要があります)。

  • 上記対象法人の求めに応じて非公開情報等の共有を停止することとしている
  • その旨等の必要な情報について、あらかじめ、当該対象法人が容易に知り得る状態に置いている
  • 共有停止にかかる求めがない

 これらの各要件については、次のように考えられます。

 「あらかじめ」知り得る状態に置いているといえる状態にするためには、個人情報保護に法の第三者提供におけるオプトアウトに近い考え方が取られており、金商業者等監督指針Ⅳ−3−1−4(2)③、パブコメ結果10番では下記の考えが示されています。

 個々の上場企業等が、そのオプトアウトに応じて非公開情報の提供が停止されることとなっている旨等の必要な情報 8 について、あらかじめ容易に知り得る状態に置かれた時点を基準として、親子法人等との間で当該上場企業等に係る非公開情報の授受を開始するまでの間に、当該上場企業等がオプトアウトするか否かを判断するために必要な期間を確保していることが必要となる。

 ここにいう「必要な期間」について、金融庁は、パブリックコメント結果9番において、「オプトアウトするか否かを判断するために必要な期間は、個別事例ごとに実態に即して適切に判断されるべきものと考えられますが、例えば1か月程度とすることも考えられます。」との考えを示しており、実務上もこの点は参考になるものと考えられます。

 また、「上場企業等が容易に知り得る状態」とは、金商業者等監督指針において、「上場企業等が知ろうと思えば、時間的にも、その手段においても、容易にこれを知ることができる状態をいい、例えば、…店舗での常時掲示及びホームページへの常時掲載を行っている場合等がこれに該当する」と記載されています。

 さらに、上記のパブリックコメント結果13番において、「「店舗での常時掲示及びホームページへの常時掲載を行っている場合等」との記載は、「店頭での常時掲示」と「ホームページへの常時掲載」を必ず同時に行うことを求める趣旨ではなく、「上場企業等が容易に知り得る状態」にある限りにおいてホームページへの常時掲載のみとすることも妨げられず、上場企業等が知ろうと思えば、時間的にも、その手段においても、容易にこれを知ることができる状態」と合理的に判断される他の方法も認められるものとされています。

証券会社がグループ会社の銀行に「外国法人の非公表財務情報」を共有する場合

 外国法人の非公表財務情報は、法人の情報であり、個人情報に該当しないため、個人情報保護法の適用はありません。また、日本法人と異なり、外国法人にかかる情報は、金商業等府令における「非公開情報」から除外されており、法令上は同意取得を要請する明文の規定はありません。

 そのため、証券会社からグループ会社の銀行への共有において、顧客である外国法人の同意は不要とされます。

 もっとも、契約等に基づく守秘義務や金融商品取引法36条2項、金商業府令70条の3、70条の4に基づき、「顧客の利益が不当に害されることのないよう」「金融商品関連業務に関する情報を適正に管理」する必要があります。

 令和4年6月22日以降の監督指針で明記される「顧客等に関する情報へのアクセス及びその利用は業務遂行上の必要性のある役職員に限定されるべきという原則」(Need to Know 原則)といった要請等(金商業者等監督指針Ⅲ−2−4(1))に留意する必要があります。


  1. 「個人情報データベース等を構成する個人情報」をいいます(個人情報保護法16条3項)。 ↩︎

  2. 「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」をいいます(個人情報保護法2条3項)。 ↩︎

  3. 「個人データの管理について責任を有する者」以外の、共同して利用する者における安全管理責任等を免除する趣旨ではないことに留意する必要があるものとされます。 ↩︎

  4. 従前、金商業等府令に基づく情報共有にかかる同意を電子メールのような電磁的方法により取得するためには、事前に書面または電磁的方法により、その承諾を得る必要があるとされていました(改正前金商業等府令155条)が、令和4年6月22日以降は、この承諾は不要となります。 ↩︎

  5. 金融商品取引業者等向けの総合的な監督指針(以下「金商業者等監督指針」といいます)」(令和4年6月)Ⅳ−3−1−4 ↩︎

  6. 保有する有価証券の残高が10億円以上である法人として金融庁長官に届出を行った法人 ↩︎

  7. 適格機関投資家の要件を満たすものとして、金融庁長官に届出を行った個人 ↩︎

  8. あらかじめ親子法人等との間で授受を行う非公開情報の範囲、非公開情報の授受を行う親子法人等の範囲、非公開情報の授受の方法、提供先における非公開情報の管理の方法、提供先における非公開情報の利用目的、オプトアウトする場合に必要な手続および連絡先、ならびに親子法人等との間での非公開情報の授受を停止した場合における当該非公開情報の管理方法 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する