監督指針の改定案シリーズの6回目です。本日は、顧客等に関する情報管理態勢について、ご説明します。いわゆる情報セキュリティに関する事項です。監督指針は文章が長く、法令を読み慣れた人にしか理解できない書き方なので、本日は4つの変更点につき、理解しやすい文言に置き替えて、ご説明します。
一つ目は、顧客等に関する情報へのアクセス及びその利用は業務遂行上の必要性のある役職員に限定されるべきという原則が、新たに導入されたことです。これはNeed to Know 原則と言い、顧客情報へのアクセスは、必要性のある役職員に限定すべしということです。代理店に置き替えて考えると、例えば、募集人同士で顧客を共有していない代理店や、顧客対応を行わない事務担当スタッフ、他社からの出向者には、アクセス制限を再検討する必要があります。退職者が出たら、即時アクセス権を変更する仕組みも、必須になります。
二つ目は、経営者が、顧客情報管理の適切性を確保する必要性及び重要性を認識すること、顧客情報を適切に管理するための組織体制を確立して、社内規程を策定し、保険会社出向者がいる場合は当該社との連携等、内部管理態勢の整備を図ることです。
三つ目は、他社へ顧客情報を送信または伝達する場合に、個人情報保護法、保護法ガイドライン、金融分野ガイドライン、実務指針の規定等に従い手続きが行われるよう、社内で検討した上で、取扱基準を定めることです。
代理店では、顧客情報を社外へメール送信、口頭や書面にて伝達する場合は、法令や規定に従って手続きするよう、顧客情報の取扱基準を新たに定めねばなりません。保険会社のコンプライアンス・ハンドブックを自社ルール定めている代理店は、変更内容につき、社内研修を行うことで足ります。それ以外の代理店は、自社ルールブックに追記が必要となり、その内容につき社内へ周知することが必要です。
最後は、「顧客等に関する情報へのアクセス管理の徹底」です。顧客情報に対するアクセス権限は、Need To Know 原則に従って付与すると変更し、役員と従業員に対して新たに周知、徹底する必要があります。アクセス権限を持たない役員や従業員が、当該顧客情報を使用することを防止する対策も必要となります。
保険会社が作成した情報セキュリティに関する研修や各種確認テストを全員漏れなく受講することに加え、社内会議等の議題に顧客情報管理というテーマを定期的に盛り込んで、ディスカッションを行って知識や理解度を高めることは、有効な対策になるでしょう。
業務品質が高く、高い代理店手数料ポイントを得たいなら、法令やルールを守る取組みでは不十分で、より高いレベルに取組む活動が必要です。本日は、変更点に絞ってご説明しました。各社により規模や特性が異なるので、個社ごとの対策のご説明は割愛します。お読みいただき、ありがとうございました。
コメント