個人情報とカード情報
カード会社が消費者から受け付けた申込書には、個人を識別する情報として、氏名、生年月日、住所、勤務先などが書かれている。
個人情報保護法は、何千という個人データを保有する事業者を個人情報取扱事業者と定めているので、もちろんカード会社は個人情報保護法の適用を受けることとなる。
同様に、個人信用情報機関へ問い合わせて得る情報も個人情報である。ただこの場合は自社以外の会社が登録した情報が入手できるため、自社で受け付ける申込書以上に慎重な対応が必要となる。
カード会社の申込書には、「個人信用情報機関への登録と利用の同意」といった項目があり、この手続きに従って対応しているのである。
ここまで述べた内容は紛れもない個人情報だが、カード会社には少々厄介な情報がもう一つあり、それが「カード情報」と分類される個人情報である。
クレジットカードはカード会社が消費者に貸与するものだが、目に見える範囲でカード番号と有効期限、さらに氏名(ローマ字)が刻印されている。
カード会社であれば、その情報をもとに個人を検索することは可能である。法律の定義にあった個人情報は「ほかの情報と容易に照合することができ、それにより特定の個人を識別することができる」ものもまた個人情報というからだ。
ただ、第三者がそれらをもとに特定の個人を割り出すことはできないため、カード会社以外の人物にとって、カード情報は個人情報ということにはならないのである。
法律で主務大臣は「事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため」に指針を定めるとしているため、クレジットカードを所管する経済産業省、金融庁はそれぞれでガイドラインを出している。ただこのガイドラインが同じ定義となっていないため、混乱を招いている現状がある。
経済産業省ガイドラインの個人情報の定義は「氏名」だけでも個人情報の取り扱いとなる。一方金融庁のほうでは「当該情報に含まれる氏名、生年月日その他の記述により特定の個人を識別できるもの」を個人情報としている。
もちろんどちらの場合もカード会社の内部ではそのカード情報で特定の個人を識別しているため、カード会社にとっては個人情報である。ただしこれらが流出するとバグとしか言いようののない事態になってしまうため、当然カード会社はしっかりと流出対策をしなければならない。どこまで対策を講じるかもまたそのカード会社の自己責任にゆだねられるべきであり、経営責任によって対応されるべき問題である。