家計簿アプリなどのPFMサービス事業者が法的に気を付けるポイントはあるの？

家計簿アプリが大人気

毎月の収入や支出などを把握することができる「家計簿アプリ」が人気です。最近では、家計簿だけではなく、銀行や証券会社、保険会社などに分散している資産や負債をワンストップで管理できるなどの資産管理機能がついているものもあります。

このようなサービスを、PFM（Personal Financial Management）といい、日本でも「Zaim」、「マネーフォワード」、「Dr.Wallet」などのサービスがあります。

では、このような家計簿アプリなどのPFM事業者が気を付けるべき法的ポイントは、どこにあるのでしょうか？

家計簿アプリなどのPFMサービスでは、ユーザーの銀行や証券会社、保険会社、クレジットカードの利用状況に加えて、年金や電子マネーの明細情報を自動的に取得することができるアカウントアグリゲーションという機能があります。

これは、ユーザーが、自己の金融機関のログイン情報をPFMサービス事業者に預けることで実現できるものです。つまりユーザーの同意のもと行われ、事業者は当該ログイン情報をもとに、金融機関等のシステムにログインし、必要な明細情報を取得することを意味します。

ここで、法的に問題になるものとしては、不正アクセスの問題です。

この不正アクセス問題については、ユーザー、金融機関の両方の側面から見ておくことが必要です。もちろん、PFM事業者は、ユーザーの同意を得て、ユーザーの明細情報を取得するので、ユーザーとの関係では問題になりません。

問題は金融機関との関係です。情報取得先の金融機関は、利用規約において、IDやパスワードなどを第三者へ譲渡、貸与できないとなっていることが通常です。

PFM事業者のアカウントアグリゲーションでは、金融機関から第三者にIDやパスワードなどを譲渡や貸与されているとも言えるため、この点において利用規約違反であり、民事上の不法行為が成立するとも考えられます。

この点についてアカウントアグリゲーションを行っているのがPFM事業者であれば、問題がありそうです。そこで、既存のPFM事業者は、アカウントアグリゲーションについて、以下のような整理をする必要があります。

このようにするためには、PFM事業者は、自社サービスの利用規約において、アカウントアグリゲーションの主体は、ユーザーであると明確に規定しておく必要があるのです。

PFM事業者のサービスの多くは、アカウント作成に、メールアドレスとパスワードのみが必要であり、氏名・住所などの記載は不要とされています。

しかし、上記のように、アカウントアグリゲーションのために、ユーザーは金融機関のログイン情報を事業者に提供しますし、事業者は金融機関から集積された情報などの「お金に関する情報」を扱うことになります。

事業者は、この情報をしっかり守るということが大切になります。

従来５０００人以下の個人情報をしか持っていない事業者は、個人情報保護法の対象外であったのが、２０１５年９月に個人情報保護法が改正され、個人情報５０００人以下の事業者も、個人情報の適用となりました。

これにより今後は、PFM事業者は、これまで以上に情報セキュリティについて、十分な配慮をする必要があるのです。

上記のように事業者には、ユーザーのお金に関する情報が集まります。これをビッグデータ分析をすることにより、マーケティング活動にも利用できるかもしれません。なお、このような情報を利用するためには、利用規約等で、その旨を規定しておく必要があります。

以上のように、事業者としては、お金の情報というセンシティブな情報を扱う分、注意が必要です。