【連載】FATF第4次対日相互審査結果を踏まえたAML/CFTの高度化とAI等テクノロジーの活用② AML/CFTにおける共同化と個人情報保護法

【連載】FATF第4次対日相互審査結果を踏まえたAML/CFTの高度化とAI等テクノロジーの活用② AML/CFTにおける共同化と個人情報保護法

印刷用ページ

AML/CFTの高度化を進めるにあたって共同化が重要な方策となるが、データの共同化等による個人情報保護法との関係や、疑わしい取引の届出に関する情報の共有と内報(Tipping Off)禁止との関係などについて整理する必要がある。 この点、現行の個人情報保護法の委託構成や第三者提供構成との関係で正当化しうるか、また今後のガイドラインによる解釈の明確化や立法化等の必要性について検討する。

  1. 共同化と個人情報保護法の関係
    (1)資金決済WGでの検討
    (2)委託構成(「混ぜるな危険」ルールとの関係)
    (3)第三者提供構成
  2. 疑わしい取引の届出に関する情報の共有と内報(Tipping Off)禁止
  3. 今後の立法化や解釈の明確化の必要性

共同化と個人情報保護法の関係

(1)資金決済WGでの検討

金融審議会の資金決済ワーキング・グループ(以下「資金決済WG」という。)の報告書9頁においては、下記(2)の委託構成を前提に、①各金融機関から共同機関に個人データを提供し、これを分別管理し、各金融機関の取引等の分析結果については委託元にのみ通知し、共有しないケース、および②これに加え、利用者の個人情報を機械学習の学習用データセットとして利用し、当該金融機関のために生成した学習済みパラメータを共有し、他の金融機関からの委託を受けて行う分析にも活用するケースが検討されている。
上記の共同化に関しては具体的な法律構成が重要と解される。個人情報保護法(以下「個情法」という。)27条5項3号の「共同利用」の構成もあるが、「共同して利用する者の範囲」を原則として事後的に変更できないといった課題もあり(「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月(令和3年10月一部改正。以下「GL通則編」という。)3-6-3)、以下においては①委託構成と②第三者提供構成)に分けて検討する。

(2)委託構成(「混ぜるな危険」ルールとの関係)

委託先(共同機関)は、各銀行から提供を受けた個人データにつき、委託された業務の範囲内である限り、AI等を用いた分析への利用やパラメータ作成が可能であるし、また、自社(共同機関)の分析技術の改善のために利用することもできる(個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A(平成29年2月16日(令和3年9月10日更新)」(以下「Q&A」という。)7-39)。しかしながら、いわゆる「混ぜるな危険」ルールとの関係で、これらを分別管理する必要があり、異なる委託元の情報を混ぜて、分析結果を共有することは認められない(Q&A7-37)。

他方で、学習済みパラメータについては、学習用データに共通する特徴量を抽出したデータにすぎず、特定の個人との対応関係が排斥されている限り「個人情報」に該当しないため、共有が可能である(Q&A1-8、7-43)(もっとも、統計情報やパラメータを例にとっても、いかなる加工措置を講ずる必要があるかについて、統一的な判断基準があるものではなく、粒度や技術の発展による特定可能性によっては、共有化の有効性の解釈に差異が生じるため、留意が必要と解される)。
また、仮に委託先で独自に情報を収集している場合、これと本人ごとに突合して処理することは、本人の同意がない限りできず、委託構成を維持し、委託先において本人の同意を得るか、第三者提供と構成し、本人の同意を得る必要がある(Q&A7-41)。

(3)第三者提供構成

個々の金融機関が共同機関に第三者提供する構成をとる場合、原則として本人の同意が必要となる。取引開始時や情報取得時に同意を取得することも想定されるが、「本人の同意を得る」の意義については、「事業の性質および個人情報の取扱い状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法」が必要とされており(GL通則編2-16)、大量のデータを扱う関係上、実務上容易ではない。
また、個情法における「同意」については、提供先の第三者の個別の明示は必要ではなく、包括的な同意も可能と解されるなど(Q&A7-8)、EUのGDPR(General Data Protection Regulation)の同意に比すると柔軟であるが、形式的同意はレピュテーション・リスクもあるし、過去データの利用の問題などもある。
そこで、同意を例外的に必要としない場合に該当するか検討する。

a 法令に基づく場合(個情法27条1項1号)

個情法27条1項1号の「法令に基づく」とは、法令上、第三者提供が義務付けられている場合に限らず、第三者提供の根拠が規定される場合も含まれる(宇賀克也「個人情報保護法逐条解説(第6版)」165頁)。
他の法令において、個人情報の第三者提供について具体的根拠が示されてはいるが、提供自体は義務付けられていない場合には、当該法令の趣旨に照らし、第三者提供の必要性と合理性を確認した上で対応することが、個情法の趣旨に沿うと解される(Q&A7-14)。
取引モニタリング等については、法律等に直接の根拠規定があるものではないが、犯罪収益移転防止法(以下「犯収法」という。)における取引時確認(4条)や疑わしい取引の届出(8条)、外為法における本人確認(18条)等の義務の履行に不可欠なものであり、金融庁の「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」(以下「マネロンガイドライン」という。)にも「対応が求められる事項」として記載されている。「法令」については、法律、法律に基づく命令、条令等が含まれると解されているところ(前掲宇賀・165頁)、間接的にせよ、上記の法令上の義務の履行に関連する。また、直接の根拠がマネロンガイドラインであるにせよ、現在、このようなソフトローの役割が大きく、特にAML/CFTの分野についてはリスクベース・アプローチの観点から上乗せが必要であるし、マネロンガイドラインは法令等に定められた監督権限に基づき、「対応が求められる事項」を明確にしており、FATFが求める「Law又はEnforceable Means」(法令その他の執行可能な手段)の後者に該当すると解される。

また、前記の第三者提供の具体的根拠が規定されているかについては、マネロンガイドラインにおいてはグループベースでの情報共有が定められており、またグループ外であっても、FATF審査結果を踏まえると、フィルタリングや取引モニタリング等の実効化のためには個人データの共有が必要と解される。
不正な口座の開設および当該口座の不正利用を未然に防ぐ公益的な目的のために、「Eデータとの照合結果」を送信する行為につき、犯収法4条の取引時確認義務の確認事務の一環として行う行為であり、個情法27条1項1号の「法令に基づく場合」に該当するとした規制のサンドボックス制度の認定を取得した事例があることなども踏まえると、取引モニタリング等に関連して共同機関等に個人データを提供する場合も、同様の公益的目的や合理性等が認められ、「法令に基づく場合」に該当すると解する余地が否定されるものではないと解される。もっとも、後記のとおり、立法化ないし解釈の明確化が求められる(FATF “PRIVATE SECTOR INFORMATION SHARING”パラ7、12等においても、民間事業者同士におけるマネー・ローンダリング(以下「マネロン」という。)対策のための情報共有(グループを超えた疑わしい取引等の共有を含む)の必要性のほか、情報共有に関する法規制の適切なガイダンスの提供による明確化の必要性について言及されている)。

b 生命、身体、財産の保護のために必要がある場合(個情法27条1項2号)

個情法27条1項2号については、本人の権利履歴と、公益ないし事業者の合理的必要性の比較衡量に基づき、個別具体的に判断する必要があると解されている。
GL通則編3-1-5(2)では、個情法18条3項2号の例示として、事業者間において、暴力団等の反社会的勢力情報、振り込め詐欺に利用された口座に関する情報等について共有する場合のほか、不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために他の事業者に提供する場合が挙げられているところであり、(フィルタリングに関係する)政府機関等からの制裁対象者リスト等については、反社情報と同様、該当すると解しうるが、取引モニタリングシステム等の学習用データ等については、このような解釈は困難である。