東京海上日動、東京海上日動あんしん生命、保険代理店向けシステムの参照範囲設定誤りによる一部の代理店への情報漏えいが発覚

東京海上日動および東京海上日動あんしん生命は、保険の募集・管理で利用するために保険代理店向けに提供しているシステム（以下「代理店システム」）において、適切な参照範囲の設定を行っていなかったことにより、同社の一部の代理店が本来はアクセスしてはならない他保険会社や同社の顧客情報にアクセスできる状態となっていたことが判明し、10月30日に謝罪の言葉とともに事案概要等を発表した。
1．事案の背景
同社は、勤務型代理店制度という、二つの代理店が共同して顧客対応を行う仕組みを設けている。一つの代理店を「統括代理店」、もう一方の代理店を「勤務型代理店」と称し、統括代理店が勤務型代理店を教育・指導・管理することとしている。
この統括代理店と勤務型代理店は共同して顧客対応を行うことから、代理店システム上において取り扱いのある生命保険および損害保険の顧客情報を共有している。一方、勤務型代理店が関与することのない、統括代理店が取り扱う顧客情報について、勤務型代理店がアクセスできないよう、代理店システム上制限をかけることとしていた。
2．事案の概要
今般の事案は、同社による事務ミスによって参照範囲が適切に制限されていなかったため、勤務型代理店が以下の顧客情報にアクセスできる状態となっていたことが代理店から同社への参照制限に関する照会により判明したものである。
＜アクセス可能となっていた顧客情報＞
名前、住所、電話・FAX番号・メールアドレス、生年月日、性別、契約内容、証券番号、保険種類、保険金を受け取られる人の名前、保険始期・満期、保険料、契約変更の有無、保険事故の有無など
＜参照範囲が適切に制限されていなかったことにより発生した事象＞
①勤務型代理店が取り扱ってない契約も含め、統括代理店が取り扱う他保険会社（※1）の顧客情報にアクセスできる状態となっていたもの
（※1）保険会社共同ゲートウェイというデータ通信サービスを通じ、データ提供を行っている他保険会社の保険契約等の情報を代理店にて一元管理することが可能となっている（同社が他保険会社の顧客情報を見ることができるものではない）。
②同社からの代理店委託のない勤務型代理店が、代理店システム上で同社から送信される統括代理店宛ての通知や契約事務のペンディング状況等に関する配信（※2）を通じて、統括代理店扱いの同社の顧客情報にアクセスできる状態となっていたもの。
(※2)同社からの代理店委託がない勤務型代理店においても、東京海上日動あんしん生命保険（以下、あんしん生命）の委託があれば同社の代理店システムを活用している。
③あんしん生命の委託のない勤務型代理店においても、②と同様に、あんしん生命の顧客情報にアクセスできる状態となっていたもの。
3．対象代理店
それぞれの事象における対象代理店は以下のとおりである。
①他保険会社の顧客情報
統括代理店214店
②同社の顧客情報
統括代理店11店
③あんしん生命の顧客情報
統括代理店165店
※①と③は一部重複している統括代理店がある。
4．対応について
判明した参照制限の設定誤りについては是正対応を完了しており、現在は不適切なアクセスができない状態となっている。また、アクセス履歴が確認できたものから、勤務型代理店へのヒアリング等の確認を進めており、現時点で情報の不正使用は確認されてない。引き続き、残存するアクセス履歴の調査を継続し、勤務型代理店による情報への不適切なアクセスが確認されたお客様に対しては、順次個別に知らせていく。
本件を真摯に受け止め、今後かかることのないよう、参照範囲の設定誤りが発生しない体制構築およびチェック体制の徹底強化により、再発防止を図っていく。
＜問い合わせ窓口＞
0120-856-125
受付時間：月曜～金曜 9:00～17:00（土日・祝日、12月28日（木）～2024年1月 4日（木）を除く）
※上記窓口の開設期間は2024年3月29日(金)までを予定
なお、日新火災が代理店業務を委託する一部の保険代理店において、同社と代理店委託関係のない保険代理店が顧客情報にアクセスできる状態にあったことが判明しており、上記と同じ窓口で問い合わせを受け付けている。