前回は,三菱UFJフィナンシャル・グループを題材に,企業買収/M&Aおよびその後の企業統合(PMI)の観点から,個人情報管理の位置付けについて考察した。金融業界では,その後も,この問題に深く関わる新たな動きがいくつか出てきている。今回は,クレジット会社の観点から述べてみたい。

個人情報保護対策に関わる金融のファイアーウォール規制論議

 政府の金融審議会では現在,「貯蓄から投資へ」の流れを推進し,日本の国際競争力を強化することを目的とした「金融・資本市場競争力強化プラン」を年内に取りまとめるための論議が行なわれている。その中で焦点となっている項目の1つに,銀行・証券間のファイアーウォール規制がある(金融庁「第44回金融審議会金融分科会第一部会資料」参照)。

 現行のファイアーウォール規制は,利益相反の防止や優越的地位の濫用の防止等の観点から設けられたものであり,金融グループとしての業務展開に当たり,顧客に関する非公開情報の授受等を原則的に禁止している。顧客の観点から見ると,グループ内で情報を共有することに対しては確かに懸念の声がある。例えば,同じグループでありながら個々の企業によって個人情報保護対策のレベルに差があれば,ワンストップで安心して利用できなくなる。情報共有によるベネフィットと情報管理上のリスクのバランスをどう取るか。この課題の検討なくして,ファイアーウォール規制の議論は先に進まないのである。

 さらに,銀行,証券に加えて,コンシューマーファイナンス事業を統合するとなれば,経済産業省が所管する信用分野も関わることになり,法律上の関係が複雑化する。会社法や金融商品取引法の内部統制について統括責任を持つのは親会社だが,個人情報取扱事業者としての責任は,個々の企業にある。親会社の情報システム部門には,グループ企業の個人情報管理システムに対してどうガバナンスを効かせるかというIT統制の難題が降りかかってくる。このことを忘れてはならない。

勧告発動から半年で激変したクレジット業界の個人情報管理環境

 そうした折の10月2日,シティグループによる日興コーディアルの完全子会社化が発表された(「シティ,株式交換にて日興コーディアルグループ全株式を追加取得へ」参照)。2007年5月に会社法で解禁された「三角合併」の日本発第1号として話題になっているが,ファイアーウォール規制や個人情報保護対策の観点からも重要な意味を持っている。

 シティグループは,ダイナースクラブカードの親会社であり,日本でも,CFJ,シティカードジャパンなど,コンシューマーファイナンス事業会社を傘下に有している。グローバルな総合金融グループとして,銀行,証券,クレジットカードなど,適用法令や業務プロセスが異なる事業のリスクを統合的に管理する経験・ノウハウでは,日本のメガバンクと言えども遠く及ばない。個人情報保護対策についても,異なる企業文化を融合させながら,個人情報保護組織の一体化とIT・ビジネス両面のガバナンス強化を推進するという難題に早くから取り組んできている。その経験を日興コーディアルとの統合でどう生かせるかが注目される。

 第86回で取り上げたように,経済産業省から初の個人情報保護法に基づく勧告を受けたクレジット会社は,ソニーファイナンスインターナショナルと旧UFJニコス(現三菱UFJ二コス)だ。前者が属するソニーグループからは,10月11日にソニーフィナンシャルホールディングスが新規上場し,今年最大の株式公開案件として注目を浴びている。後者の三菱UFJ二コスは,前回取り上げたように,三菱UFJフィナンシャル・グループの成長戦略を担う中核企業として注目を集めている。これら総合金融グループを目指す日本企業が目標とする相手が,シティグループである点は言うまでもないだろう。

 今年3月末に経済産業省が両社へ個人情報保護法に基づく勧告を出してから,半年が過ぎたばかりだ。だが,日本のクレジット会社を取り巻く環境は大きく変化した。ファイアーウォール規制の動向如何では業界の垣根が変わる可能性があり,閉じた業界や組織を前提とした個人情報保護対策では,経営のスピードについていけなくなっている。

 次回は,クレジット業界と流通業界の連携の観点から,個人情報保護対策について考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/