東京海上日動、金融庁に業務改善計画書を提出

東京海上日動は、2025年3月24日付で金融庁より発令された業務改善命令に基づき、5月9日、同庁へ業務改善計画書を提出した。
なお、 東京海上ホールディングスの小宮取締役社長は、東京海上日動が業務改善命令を受けたことを厳粛に受け止め、再発防止に向けた決意を込めて役員報酬の一部を自主返上する。
東京海上日動は、業務改善命令を厳粛に受け止め、このような事態を二度と起こすことがないよう、外部の目線も活用しながら深度ある真因分析を行い、情報漏えい事案への対処に留まらない業務改善計画を策定した。業務改善計画の概要は別紙の通りであるが、計画の策定にあたっての経営としての受け止めおよび真因分析等は、以下の通りである。
なお、2025年4月30日に個人情報保護委員会から同一の事案について指導※を受けているが、同委員会に対しても、同様の再発防止策を報告する予定である。
1．経営としての受け止め
この度発生させてしまった情報漏えい事案は、顧客情報を取扱う金融機関として最も大切にすべき「お客様や社会からの信頼」を根本から失う行為であり、経営として重く受け止め、深く反省している。
同社は、2024年2月29日に金融庁に提出した保険料調整事案に係る業務改善計画を踏まえ、会社をつくりかえる覚悟で、健全な組織風土の醸成や経営管理態勢の再構築を行い、再発防止に向けた各種取り組みを進めるとともに、社員が日頃感じている違和感や日常的な業務に内在する潜在的なリスクの洗い出し、それに基づく会社の制度や仕組みの抜本的な見直しを行ってきた。情報漏えい事案は、そうした一連の取り組みの中で、同社社員の気づきを端緒とし発覚したものである。
一方で、情報漏えい事案の重大性に鑑み、更なる真因分析を通じて、同社に根付いた組織風土を今一度見つめ直し、コンプライアンスを大前提とした健全な組織風土への変革を不退転の覚悟で断行していかなければならない。本件を決して情報漏えい事案への対処に留めることなく、同社および業界のビジネスモデルに潜むリスクの萌芽を早期に摘む仕組みを整備し健全な競争環境を構築していく。
お客様や社会から失った信頼を回復し、「お客様や社会の“いつも”を支え、“いざ”をお守りする」というパーパスを実現するために、抜本的な経営管理態勢の強化、コンプライアンス・お客様起点を重視する健全な組織風土の醸成に取り組むとともに、これまで長期にわたり変えることができなかった不適切な業界慣行を同社が先頭に立って打破し、真に社会から信頼され、必要とされる業界に変えていくために、全社一丸となって本業務改善計画を実行していく。
2．真因分析について
同社は、先の保険料調整事案に対し、各種調査や分析の結果明らかとなった真因に基づき、再発防止に向けた取り組みを進めてきたが、今般の情報漏えい事案を踏まえ、社員に対する外部専門家によるヒアリング調査や、関係役員による会議および外部専門家を交えた各種委員会等における真因に係る論議を繰り返し行い、改めて深度ある真因分析を実施した。いずれも保険料調整事案と通底するものであり、以下の通り、再確認・再整理している。
同社が多数の情報漏えい事案を発生させた直接的な原因は、経営が個人情報保護法や不正競争防止法等、保険業法以外の法令等を遵守するための具体的なルールや行動規範、顧客情報を取扱う上でのリスクを社員に十分に示せておらず、また金融機関の社員として求められる倫理観を十分に浸透させることもできていなかったことであると認識している。その背景には、そもそも経営として情報の取扱いに関するリスク認識が不足しており、経営が適切にリスクを把握するための経営管理態勢の機能が十分な実効性を伴っていなかったことがあり、この実態が情報漏えい事案を長期にわたり広範に発生させてしまった要因であると考えている。加えて、これらのリスク認識の不足を招いた根底には、営業活動のベースとなる「同社や業界の常識」と、「社会の常識やお客様からの期待」との間の「ずれ」を生じさせる組織風土があり、これまでの業界の慣行およびそれをベースとした同社の組織風土の改革を断行しなければ、情報漏えい事案の根本的な解決にはならないとの結論に至った。
（1）具体的なルールや行動規範の不足
同社が情報漏えい事案を発生させた直接的な原因として、法令等遵守が保険業法の領域に偏っており、個人情報保護法や不正競争防止法等、保険業法以外の領域に対するルールや行動規範の策定、金融機関の社員として備えるべき倫理観の教育が不足していたと認識している。
加えて、情報セキュリティ対策においては、社外への情報流出リスクに偏っており、出向者や代理店等の社外から情報を入手する際のリスク認識が不足し、具体的なルールや行動規範を示すことができていなかった。同社を取り巻く環境が急速に変化する中で、具体的なルールや行動規範をビジネスの実態に即して適時に示すとともに、社員教育を通じてそれらを浸透させていくことが急務であると考えている。
（2）経営管理態勢の不備
同社は、各部門が、その分掌業務に関するコンプライアンスの企画・立案・実施を行い、コンプライアンス・リスクの主管部門が統轄するという分散型のリスク管理態勢を取ることで、各種リスク対応の高度化を図ってきた。情報セキュリティリスクにおいても同様の態勢としていたが、第1線の対応領域が拡大する中、各部門が分掌業務におけるリスクを主体的に把握・管理すべきところ、その機能が十分に発揮されていなかった。
また、コンプライアンス・リスクの主管部門においても、第1線の実態や施策について把握した上で必要な支援・牽制を行う必要があるが、それらも十分に行えておらず、同社のビジネスモデルに内在するリスクを網羅的に把握し、適切な対策を講じるという観点で課題があったものと考えている。
（3）営業数字優先の組織風土
同社がお客様に提供したいと考えている「保険本来の価値」よりも、政策株式の保有状況、本業協力度合い等によって幹事保険会社やシェアが決定されるケースも存在しており、同社も「保険本来の価値」だけではなく、そのような領域で競争を行ってきたことは事実である。また、国内の損害保険業界のビジネスモデルの大宗は、代理店を通じて保険商品・サービスを提供するものであり、シェア拡大に向けて大規模代理店からの評価に重点を置く営業活動を行ってきた。コンプライアンス遵守が営業活動の前提であることを社内に周知していたが、上述の通り、具体的なルールや行動規範の策定が不足していたため、日々の業務において営業数字が優先される組織風土を変えることが出来なかった。
さらに、情報漏えい事案においては、出向制度上の課題も露呈した。同社の出向制度は、実態として、営業的な観点での見返りや成果を求めるものとなっていたことに加え、出向者の人事評価を出向元の営業部店が行っていたこと等により、出向元への営業的な貢献を重視する実態が助長されていた。これらは、営業数字を伸ばすことがお客様本位の結果であるというような、「同社・業界の常識」を前提とした業務運営を行っていたと言わざるを得ないと認識している。
3．外部専門家のレビューについて
同社業務や同社の置かれた状況を深く理解している外部専門家を選定し、スピード感と実効性をもったレビューを委託することとした。同社における真因分析や再発防止策に関する様々な議論への参加をはじめ、役員・社員へのヒアリング、再発防止策の状況確認等を通じて、真因分析および再発防止策について、十分であるとの評価を受けている。
加えて、業務改善計画の進捗状況についても、再発防止策が社内に適切に浸透しているか、効果が継続的に発現しているか等の観点で、定期的に評価を受けることとしている。
4．「本当に信頼されるお客様起点の会社」になるために
同社は、2024年度からスタートした中期経営計画において、キーコンセプトを「Re-New」とし、法令等遵守はもちろんのこと、「本当に信頼されるお客様起点の会社」へと生まれ変わり、保険本来の価値をお客様に提案・提供できるよう、営業目標や評価制度の在り方を見直すなど、様々な取り組みを進めてきた。
今回、同社は一連の取り組みを通じて改めて明確化した“会社としての基本姿勢”、具体的には「法令等の遵守が大前提であり、同社のあらゆる業務を行う上で営業数字よりも優先する」、「お客様や社会に胸を張って迷いなく説明することができない行為は同社として一切行わない」を徹底する仕組みを構築し、会社・組織・個人それぞれの立場での全社一丸となった取り組みを通じて、改めて「本当に信頼されるお客様起点の会社」へつくりかえていく。
このような事態を二度と起こすことなく、真に社会から必要とされる存在になれるよう、また社会課題の解決や経済成長に貢献し続けられる存在になれるよう、同社のみならず業界をつくりかえる決意をもって取り組んでいく。