保険代理店が扱う個人情報は誰のものか

１．代理店が取得する個人情報にかかる規制

保険代理店は、保険会社から募集等の業務を委託されている関係にあるが、そもそも保険代理店が取得した個人情報は保険代理店のものなのか、保険会社のものなのか、個人情報に関する規制についてどのように理解すればよいのかを簡単にまとめる。

顧客は保険代理店に様々な個人情報を提供する。
見積もり依頼や資料請求の際に個人情報を提供し、保険に加入する際に、申込書に個人情報を記入して提供する。

申込書に記載された個人情報に関して言えば、
保険代理店は、申込書を保険会社に提供するので、保険代理店が取得した個人情報を、第三者である保険代理店に提供していると考えるのが素直な考え方である。

つまり、保険代理店の個人情報でもあり、提供を受けた保険会社の個人情報でもある。（個人情報に所有権という考え方はないが、提供した後も提供元は個人情報を管理する）

個人情報保護法上は、個人データを取得した事業者が、第三者に個人データを提供する場合、本人の同意がなければ原則として違法となる（第三者提供、法27条）。

しかし、個人情報保護法上、事業者が個人データの取扱いを委託することに伴い提供する場合には、第三者提供の規制には当たらず、本人の同意なく提供が可能となる（法27条5項1号）。

（第三者提供の制限）
第二十七条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一　法令に基づく場合
二〜七　（略）
２〜４　（略）
５　次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一　個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二〜三　（略）
６　（略）

ちなみに、ここでいう委託は、保険会社から保険代理店への委託である。

保険代理店が保険会社に提供するのに、逆ではないかとも思われるかもしれないが、ここでいう取扱いの委託でいう、「取扱い」には、本人から取得することも含まれる（通則GL3-4-4）。

（※1）「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力（本人からの取得を含む。）、編集、分析、出力等の処理を行うことを委託すること等が想定される。

通則GL3-4-4

少しややこしいが、保険会社は保険代理店に対し、保険契約に関する個人情報の取得等の取扱いを委託しており、その関係で保険代理店及び保険会社間で個人データの移動ができると整理されている。

この場合、保険会社が委託元、保険代理店が委託先となり、保険代理店は保険会社に監督される立場になる。

（この点は個人情報に関わらず、そのような関係ではあるが）委託契約に基づく監督であるため、個人情報保護法で求められる対応より高度の措置を求められる等、保険代理店の規模によっては過度とも思われる規制がされる場合もありえる。

なお、保険申込書等に記載される情報が保険会社の個人情報であっても、保険代理店としては、個人情報取扱義務者としての個人情報保護法上の義務が課される。

注意点は、保険会社の個人情報を、代理店が、自社のプライバシーポリシー等で記載した独自の利用目的で利用はできないということである。

乗合代理店などで、保険会社の個人情報を利用して、顧客に他の保険会社の商品を案内することは、目的外利用となり、顧客の同意がなければできない（ただ、実際は顧客本人の同意を取得することは容易であると思われる）。

個人情報は取得時に明示した利用目的の範囲内でしか利用できないのが原則である。

２．分別管理（まぜるな危険）

保険代理店が持つ個人情報には、
・保険代理店が取得した固有の個人情報（見積もりの前提となる相談時等において提供された情報等）
・保険会社の個人情報
がそれぞれ存在することになる。

保険会社からは、これらの情報について分別管理（区別して管理すること）が求められている。

これは、保険会社としての監督上の措置ともいえるが、そもそも個人データの「委託」に関する「混ぜるな危険」の法理の問題でもある。

「混ぜるな危険」の法理とは、委託先（保険代理店）が、委託元（保険会社）から提供された個人データ（保険会社の個人情報）を取扱う場合に、代理店固有の個人情報と区別せずに混ぜて取り扱うことは、禁止されているというものである。

ここでいう「混ぜる」とは、委託先が本人ごとに１対１突合行為を意味すると解され、図でいうところの

を一つの情報として管理してしまい、それを区別せずに利用することになれば個人情報保護法違反となることである。

壹岐宛に●●病でも入れる別の保険会社の商品の案内をしたり（●●病という個人情報は、保険会社の個人情報であり、その保険会社の商品案内等にしか利用できない）である。

代理店は、代理店の利用目的にイベント案内等があれば、壹岐をゴルフコンペに誘うことができる（個人的にはこんな細かいことは気にせず誘ってほしい）。

代理店などでは、顧客情報管理システムなどで一つのデータベースにどの情報もすべて含まれるケースもあると思われるが、本来であればそれぞれ別のデータベースとすることが望ましい。しかし、乗合代理店で多くの保険会社の委託を受ける場合、全て個別のデータベースを用いるのは管理がかなり複雑になる。

一つのデータベースで管理するとしても、代理店の情報か保険会社の情報かは明確に区別する必要があり、それぞれの利用目的の範囲内でしか利用できないことは注意が必要である。