メディアにおける個人情報の保護: 週間法務　Legal Rhythm

2017年12月
Sun	Mon	Tue	Wed	Thu	Fri	Sat
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31

Ⅰ．一般企業における個人情報リスク
１）企業を取り巻く社会情勢（再論）
・ユビキタス社会（サイバースペース）、ＩＴ(Information Technology)社会の誕生
・情報の収集、分析、利用、加工、管理が容易
　　　　　　　　 ↓
　　・各支店、各部署、担当者が保有している情報の把握、管理が困難
・（匿名による）表現の爆発、クレーマー、内部告発（ネット告発）の出現
・個人情報（プライバシー）、営業秘密等の流出の危険性増大
　　exセンシティブ情報（機微情報）も含まれている
　　　　　　　　↓
・情報管理の徹底が必要　「蟻の穴から堤も崩れる」（韓非子）
・クライシス・コミュニケーション（危機管理）も必要　　ex.雪印、船場吉兆

　２）各種の情報リスクとその対策
個人情報管理規則
　　→　法令遵守体制、システム構築責任の問題としても捉えられるべき。
３）内部統制システム構築義務が争点となった裁判例
(1) 大和銀行事件～内部統制システム構築義務に関する初の司法判断
(2) ヤクルト事件～取締役による長期間に亘るデリバティブ取引とリスク管理
(3) ダスキン事件～平時のリスク管理と有事のリスク管理
４）内部統制構築義務の法整備
　2006年（平成18年）5月1日に施行された会社法においては、大会社に対し内部統制構築義務が認められ（362条4項6号、同条5項、会社法施行規則100条1項）、2007年6月7日に成立した金融商品取引法においては内部統制の報告書の作成、および監査人による監査証明が義務づけられることとなった（金融商品取引法24条の3、193条の2第2項）。

Ⅱ．個人情報の保護
１）個人情報を巡る状況
　事後的規制ではなく、情報漏洩を防ぐための予防策が重要。
２）重点３分野　　①医療（病院）、②信用情報（金融）、③情報通信分野
　医療機関の場合、私立病院は個人情報保護法、国立がんセンターなどの国立病院は行政機関個人情報保護法、国立大学病院は独立行政法人等個人情報保護法、自治体では個人情報保護条例が適用される。
Cf.医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン（平成18年4月21日厚生労働省）
　マス・メディアにおいても、個人情報、プライバシーに関わることが多いため、厳格な管理、対応が必要と解される。
３）最近の個人情報漏洩事件一覧
　　　Security NEXT 　http://www.security-next.com/cat_cat25.html

Ⅲ．個人情報保護法の概要
１）立法経緯、趣旨
　ＯＥＣＤ８原則、ＥＵディレクティブ（第三国への個人データの移転原則）
国、地方公共団体、個人情報取扱事業者の義務等を定める「行政法」
個人情報保護法が平成17年４月に全面施行。
２）定義（2条）
・「個人情報」
生存する個人に関する情報（識別可能情報）
・「個人情報データベース等」
個人情報を含む情報の集合物（検索が可能なもの。マニュアル処理情報を含む）
・「個人情報取扱事業者」
個人情報データベース等を事業の用に供している者（国、地方公共団体等のほか、取り扱う個人情報が少ない等の一定の者を除く）
・「個人データ」
個人情報データベース等を構成する個人情報
・「保有個人データ」
個人情報取扱事業者が開示、訂正等の権限を有する個人データ
３）「保有個人データ」（法2条5項）
４）個人情報取扱事業者の義務等　
　 a)　利用目的の特定、利用目的による制限（15条、16条）
個人情報を取り扱うに当たり、その利用目的をできる限り特定
特定された利用目的の達成に必要な範囲を超えた個人情報の取扱いの原則禁止
　 b)　適正な取得、取得に際しての利用目的の通知等（17条、18条）
偽りその他不正の手段による個人情報の取得の禁止
個人情報を取得した際の利用目的の通知又は公表
本人から直接個人情報を取得する場合の利用目的の明示
　 c)　データ内容の正確性の確保（19条）
利用目的の達成に必要な範囲内で個人データの正確性、最新性を確保
　 d)　安全管理措置、従業者・委託先の監督（20条～22条）
個人データの安全管理のために必要かつ適切な措置、従業者・委託先に対する必要かつ適切な監督
　 e)　第三者提供の制限（23条）
本人の同意を得ない個人データの第三者提供の原則禁止
本人の求めに応じて第三者提供を停止することとしており、その旨その他一定の事項を通知等しているときは、第三者提供が可能
委託の場合、合併等の場合、特定の者との共同利用の場合（共同利用する旨その他一定の事項を通知等している場合）は第三者提供とみなさない
　 f)　公表等、開示、訂正等、利用停止等（24条～27条）
保有個人データの利用目的、開示等に必要な手続等についての公表等
保有個人データの本人からの求めに応じ、開示、訂正等、利用停止等
　 g)　苦情の処理（31条）
個人情報の取扱いに関する苦情の適切かつ迅速な処理
５）若干の検討
　ａ）加害者の責任法理
　個人情報取扱事業者が「行政法」たる個人情報保護法に違反しても、同法に基づきストレートに被害者に対する民事上の責任が発生するわけではない。
これまでの事例は個人情報の漏洩事件につき、プライバシー侵害の法理、名誉、信用毀損の法理、営業秘密の漏洩（不正競争防止法）、一般不法行為、債務不履行、使用者責任、従業員の守秘義務違反、取締役の善管注意義務違反、忠実義務違反等の法理により、その責任が問われてきた。
　ｂ）個人情報保護法・同内部管理規程の位置づけ
　　個人情報保護法・同規程の違反　→　民事上の違法性を肯定する要素
　　個人情報保護法・同規程の遵守　→　民事上の違法性を否定する事情
　ｃ）内部管理規程を検討する視点
　同内部管理規程においては、合理性を有するものであり、また実際に履践可能なものであり、かつ遵守されていることが重要。
また、コンプライアンスの観点からは、「これは決して組織ぐるみではない。不心得者が、実践されていた明確な手続ルールを逸脱した」ことを事後的に証明することができるかどうかも重要。

Ⅳ．個人情報・プライバシーに関する裁判例
　①早稲田大学講演会名簿事件（最高裁平成15年9月12日、メ百選46）
　「個人情報についても、本人が、自己が欲しない他者にはみだりにこれを開示させたくないと考えることは自然なことであり、そのことへの期待は保護されるべきものであるから、本件個人情報は、上告人らのプライバシーに係る情報として法的保護の対象となる」なお、差し戻し後の東京高裁（平成16年3月23日）は、一人につき、5,000円の慰謝料を認定。
　②ＮＴＴ電話帳事件（東京地裁平成10年1月21日、判タ1008号187頁）
　　幼い娘と二人暮らしであった女性が、転居に伴って電話帳への氏名、電話番号、住所を記載しないよう求めていたにもかかわらず、電話帳に掲載されてしまった事例。原告が嫌がらせ電話などで悩んでいた経験を有していたこと等も勘案し、10万円の慰謝料を認定（重過失事案）。
　③診療所名等アップロード事件（神戸地裁平成11年6月23日、判時1700号99頁）
　　パソコン通信の電子掲示板（ＢＢＳ）に、無断で氏名、職業、診療所の住所、電話番号を掲載されてしまったため、悪戯電話が頻繁にかかるようになり、精神的損害を被った事例。裁判所は、20万円の慰謝料と治療費を認めた（故意事案）。
　④宇治市住民基本台帳事件（大阪高裁平成13年12月25日ジュリスト1224号8頁）
　本件において，被控訴人らのプライバシーの権利が侵害された程度・結果は，それほど大きいものとは認められないこと，控訴人が本件データの回収等に努め，また市民に対する説明を行い，今後の防止策を講じたことを含め，本件に現れた一切の事情を考慮すると，被控訴人らの慰謝料としては，１人当たり１万円と認めるのが相当である（過失事案）。
　⑤Yahoo BB 事件（大阪地裁平成18年5月19日、判時1948号122頁）
　業務委託先から派遣され、データベースのメンテナンスを行っていた者がリモートメンテナンスサーバーにログオンした上で、本件顧客データベースにアクセスし、顧客情報を外部に転送し、それが恐喝の実行犯に渡ったという事件につき、裁判所は、退職後に悪用されないようにユーザー名の削除又はパスワードの変更をすべきであったとして、１人当たり、6000円の賠償を認めた（過失事例）。
なお、不正に入手した個人情報を元に金銭を脅し取ろうとした元派遣社員に対して、懲役3年、執行猶予5年の有罪判決。
　⑥エステティックサロン事件（東京地裁平成19年2月8日、判時1964号113頁）
　同社がウェブサーバの設定を誤り、サーバ上に保存されていたアンケートが第三者によって閲覧できる状況となったもので、約５万人分のアンケートが流出し、さらにファイル交換ソフト上などでデータが流通し、被害が拡大したもの。漏洩したデータには住所、氏名、メールアドレスの他、アンケートへの回答など身体的特徴といったセンシティブ情報が含まれており、その後、いたずら電話やダイレクトメール、ウイルスの送付といった二次被害が発生したという。原告１４名のうち、１３名に１人あたり３万5000円、１名に対し２万2000円の賠償義務を認めた（センシティブ情報、過失事案）。

Ⅴ．メディアにおける個人情報の保護
　１　個人情報との関わり
　２　個人情報保護検討部会ヒアリング意見
1999年10月6日、朝日新聞社、共同通信社、時事通信社、中日新聞東京本社、日本経済新聞社、毎日新聞社、読売新聞社
http://www.kantei.go.jp/jp/it/privacy/pdfs/dai6append4.pdf
・個人情報保護のあり方について
　情報の収集・利用・伝達は、国民の自由として保障されてきたものだ。ＯＥＣＤ８原則のような個人情報保護の一般原則を分野ごとに異なる民間の事情を度外視して全分野に適用するという柔軟性を欠いた法的規制をすると、一方では国民の自由を制限することにつながりかねない。
　事業活動だけでなく非営利的市民活動を含む広範な活動は必然的に個人情報を扱うため、意図すると否とを問わず、規制の対象となる可能性がある。
　ことに、表現の自由は、いわゆる知る権利を含むものであり、報道の自由にかかわる権利だ。この権利は、国民の基本的人権のなかでもとりわけ重要な権利であり、かつ民主主義社会を根底から支える基礎であることを忘れてはならない。
　また個人情報保護を目的とした規制により、知る権利や報道の自由にかかわる権利が損なわれることがあってはならない。
　以上のような基本的立場からすると、民間の個人情報保護についてなんらかの規制をする場合は、民間の事業活動の自由などを制限することにならないよう配慮し、また、これらの自由や権利を制限することにつながる場合は、個人の基本的人権を保護するためやむを得ないと認められる合理的な範囲に限定されるべきだと考える。
　また個人情報保護は、本来的にはファイル管理の制限の問題であって、「個人情報」の収集などに対する無制限な規制であってはならない。適正な情報の自由な流通を阻害しない配慮が必要だ。
・民間の個人情報保護法と報道機関
① 報道機関は、民主主義社会において、社会に生起する諸問題について、取材し、事実を伝え、さまざまな考え方を紹介し、判断材料を提供して国民の知る権利に応える責務を負っている。
　取材活動によって事実に迫り、情報を収集し、事実を報道するなかで、報道機関は多くの個人情報を入手し、報道に使用することになるが、ＯＥＣＤ原則などをそのまま報道機関にあてはめた場合、取材や報道の自由が損なわれる事態が生じかねない。
　また、取材の過程で入手する情報には必然的に個人情報が含まれるが、この個人情報の収集について、「直接収集」や「本人同意」、「センシティブ情報の収集禁止」の原則を適用したのでは、取材は困難になる。情報の利用について本人同意の原則をそのままあてはめたのでは、報道はできない。取材で入手した情報について本人開示を認めることも、判例などで認められてきた取材源の秘匿や、取材の秘密を守るという長年にわたって業界慣行として定着している報道機関にとっての基本原則からも困難だ。
② 個別法による規制策をとっている米国では、報道機関に対する法規制がないのはもちろんだが、ＥＵ指令もまた、第９条で、表現の自由との調和をはかる必要がある場合は、ジャーナリズム目的、芸術・文学上の表現目的のためのデータ処理について、個人情報処理の一般原則などの規定の適用除外を定めなければならない、としている。
　イギリスの「１９９８年データ保護法」に見られるように、ＥＵ諸国はＥＵ指令に基づき、適用除外規定を定めている。_
③ したがって、報道・出版その他の表現の自由に関連する個人情報の処理ついては、基本法の精神を尊重した自主ガイドラインによるものとし、知る権利を含む表現の自由を損なうことがないよう、分野別の法的規制の対象外とすべきだ。

週間法務 Legal Rhythm

メディアにおける個人情報の保護

週間法務　Legal Rhythm