情報銀行におけるサービスは、「自身のデータに対する個々人の所有権（right of ownership）」の尊重という考え方に端を発していることから、最も重要なことは、情報提供者からの同意取得である。その際、留意すべきことは、この同意が、「本質的同意」でなければならないことである。この「本質的同意」とは、具体的には同意取得時に情報提供者が情報銀行サービスに関する規約を読むことが可能な環境を確保すると共に、「本人が内容を理解して同意している」という状態を確保することが必要である。

「本人が内容を理解して同意している」という状態を確保するための形式的な面では、（消費者の利便性の観点からは、スマートフォンによる規約の同意が簡便であるが）単にチェックボックスをクリックしたのみの同意より、署名や捺印による同意の方が正式なものとなる。

また、実質的な同意の面では、規約内容については、窓口担当者から対面で口頭による説明を行う、規約内容に関する分かりやすい説明資料を提供するといった、情報銀行側の工夫が必要である。

情報銀行が情報提供者に保証すべき権利や、消費者保護体制としては、前述の「政府による認定制度の創設」においても言及されている、個人のコントローラビリティと、損害賠償が挙げられる。

個人のコントローラビリティとしては、「情報信託機能の認定に係る指針ver1.0」においても示されているように、具体的には、情報銀行に委任した個人情報の第三者提供・利用の停止、第三者提供に係る条件の指定及び変更、個人情報の提供履歴の閲覧、提供した個人情報の開示等が挙げられる。ここでは、特に情報銀行に委任した個人情報の第三者提供・利用の停止、第三者提供に係る条件の指定及び変更について解説する。

情報銀行に委任した個人情報の第三者提供・利用の停止については、基本的に、本人の同意を取得した上で提供先第三者に渡した情報は、情報銀行及び提供先第三者の双方について、遡って撤回する（消去させる）義務は発生しない。但し、情報提供者の個人情報提供に対する心理的な障壁を緩和するために、情報銀行となる企業が、競争領域として、遡って撤回させる（消去させる）ことをサービスとして規約上に盛り込むことは可能である。

情報銀行に委任した個人情報の第三者提供に係る条件の指定及び変更については、同意と撤回は原則として表裏である点について、留意が必要である。具体的には、「金融関連企業」に情報提供を行うことを同意したものを撤回する場合は、「金融関連企業」全体について撤回されることとなり、情報提供者が、「金融関連企業」のうち、個別の銀行や保険会社等を指定して、その対象のみ提供先から除外するというオペレーションにはならない。ただし、これについても、各情報銀行が、競争領域として、サービスでそれを可能にする場合にはその限りでない。

また、消費者保護体制については、情報銀行または提供先第三者のうち、漏洩にあたって帰責事由がある主体が、その責任の重さに応じて損害賠償を負担することが原則である。

但し、上述のように、『情報信託機能の認定に係る指針ver1.0』において、認定を取得する情報銀行については、その帰責事由の有無に関わらず、情報銀行が損害賠償主体になることが求められている（これにより、情報提供者は確実に損害賠償を受け取ることができ、情報銀行から提供先第三者に対して肩代わりした損害賠償分を請求するという構図になる）。

情報提供者に対するインセンティブには、現金や兌換可能ポイントといった金銭的インセンティブのほか、情報提供やクーポン、優待、イベント等への招待等、サービスによるインセンティブの提供が考えられる。特に、サービスインセンティブについては、情報銀行を経由せず、第三者提供先から、直接、情報提供者に対してインセンティブの提供が行われる場合も想定される。

特に情報銀行のサービスの黎明期においては、金銭的インセンティブについて、個人情報の活用により提供先第三者にもたらされる便益と、情報提供者が個人情報を提供してもよいというインセンティブに繋がる金額がミスマッチであることが多いため、サービスインセンティブとの併用や、情報銀行サービスを提供する企業の現業におけるサービスを活用したインセンティブ提供をメインとするビジネスモデルが多くなっている。

情報銀行のサービスの黎明期においては、情報提供者の個人情報の提供に対する不安感が大きいため、情報銀行サービスの設計、同意取得や規約の在り方等については、情報提供元の現業へのレピュテーションリスク等に対する十分な配慮が必要となる。

具体的には、情報銀行が、情報提供者からの同意取得の際に、情報提供者本人の判断・同意を前提として情報提供元がデータを情報銀行に預けるものであることを明示する、また情報管理の責任は一義的に情報銀行に帰することを明示するといった工夫が考えられる。

情報漏洩時の損害賠償のあり方については、基本的には情報提供者に対する情報銀行の責任と同じとなる。

但し、情報提供元（企業）に対する損害賠償は、現業への影響等を踏まえると、情報提供者（個人）に対するものより、一般的に高額になることが予想されるため、情報銀行は、サイバーセキュリティ保険等をはじめとした、損害賠償の発生時に備えるための対応が必要となると考えられる。

ータ提供にあたっては、データのコンプライアンスチェック、真偽の精査、データクリーニングといった「質」の確保や、その先の活用を見越したデータセットの加工・作成、分析業務の代行等がサービスとして想定される。

また、データの提供方法としては、データを自社内で一定のセキュリティ環境下で管理することが困難な第三者提供先からは、データそのものを受け取るのではなく、情報銀行から、セキュリティ環境下で閲覧・活用できるシステムを提供してほしいといったニーズも見受けられる。

情報銀行が提供先第三者に情報を流通させるにあたっては、提供先第三者のデータ利用目的や、ガバナンス及びセキュリティ体制等の観点から、情報提供者の意に照らして、安全にデータ提供を行うことができる対象かどうか、審査する必要と責任がある。

上述のように、特に認定を取得する場合には、情報銀行が負うべき損害賠償責任は相対的に重くなるため、審査基準については、データ活用ビジネスの裾野の広がりと、ビジネスリスクの双方から検討を行う必要がある。

また、情報提供時の審査のみならず、情報提供後に、提供先第三者に対してどのような報告義務や監査対応義務を課すかについても、あらかじめ定めておく必要がある。