1.はじめに
・平成17年4月1日、個人情報保護法が全面施行。
2.個人情報を取り巻く状況
1)企業を取り巻く情報リスク
IT社会、ユビキタス社会(サイバースペース)の誕生
情報の収集、分析、利用、加工、管理が容易、ボーダレス化
↓
・各部署、各個人が保有している情報の把握、管理が困難
・個人情報(プライバシー)、営業秘密等の流出の危険性増大
2)個人情報漏洩時のリスク
3)個人情報の利用
不安・不信感を招く一方、マーケティングや法的手続の行使にとっては不可欠。
3.具体的紛争事例
1)個人情報漏洩に関する訴訟
a. Yahoo! BB事件
平成16年2月27日、Yahoo! BBから、住所、氏名、電話番号、申し込み時のメールアドレス、Yahoo!メールアドレス、Yahoo! JAPAN ID、申し込み日の7項目の個人情報451万7,039件が漏洩したことが判明。Yahoo! BBは、全会員に500円相当の金券を送ることを決定(平成16年7月10日、不正に入手した個人情報を元に金銭を脅し取ろうとした元派遣社員に対して、懲役3年、執行猶予5年の有罪判決、過失事例)。
なお、会員らにより、10万円(但、一部請求)の慰謝料を求める民事訴訟が大阪地裁に係属中。
b. 早稲田大学講演会名簿事件
(最高裁平成15年9月12日、判時1837号3頁)
「個人情報についても、本人が、自己が欲しない他者にはみだりにこれを開示させたくないと考えることは自然なことであり、そのことへの期待は保護されるべきものであるから、本件個人情報は、上告人らのプライバシーに係る情報として法的保護の対象となる」(「プライバシー法理の進展」)
なお、差し戻し後の東京高裁(平成16年3月23日)は、一人につき、5,000円の慰謝料を認定。
c. NTT電話帳事件
(東京地裁平成10年1月21日、判タ1008号187頁)
幼い娘と二人暮らしであった女性が、転居に伴って電話帳への氏名、電話番号、住所を記載しないよう求めていたにもかかわらず、電話帳に掲載されてしまった事例。原告が嫌がらせ電話などで悩んでいた経験を有していたこと等も勘案し、10万円の慰謝料を認定(重過失事例)。
d. 診療所名等アップロード事件
(神戸地裁平成11年6月23日、判時1700号99頁)
パソコン通信の電子掲示板(BBS)に、無断で氏名、職業、診療所の住所、電話番号を掲載されてしまったため、悪戯電話が頻繁にかかるようになり、精神的損害を被った事例。神戸地裁は、20万円の慰謝料と治療費を認めた(故意事例)。
e. 元取締役情報漏洩事件
(東京地裁平成11年2月15日、判時1675号107頁)
生命保険会社の元常務取締役が週刊誌の取材に対し、社外秘にあたる情報及び資料を提供し、会社が守秘義務違反等による名誉、信用毀損に基づく損害賠償請求を行った事案につき、裁判所は、守秘義務違反を認定し、約2億5500万円の損害賠償請求を認めた(「相当因果関係の連鎖」、故意事例)。
2)若干の検討
a)損害賠償額
上記裁判例からすると、行為態様や被害状況などを各事案ごとに検討していると言える(その意味でも、無過失あるいは軽過失を裏付ける事実は重要)。
ただ、実際には、慰謝料の金額そのものよりも、弁護士費用や訴訟遂行コスト(opportunity cost)の方が大きく、さらに信用(goodwill)毀損などがより重要問題。
b) 加害者の責任法理
個人情報取扱事業者が「行政法」たる個人情報保護法に違反しても、同法に基づきストレートに被害者に対する民事上の責任が発生するわけではない。
これまでの事例は個人情報の漏洩事件につき、プライバシー侵害の法理、名誉、信用毀損の法理、営業秘密の漏洩(不正競争防止法)、一般不法行為、債務不履行、使用者責任、従業員の守秘義務違反、取締役の善管注意義務違反、忠実義務違反等の法理により、その責任が問われてきた。
c)個人情報保護法・同内部管理規程の位置づけ
個人情報保護法・同規程の違反 → 上記違法性を肯定する要素
個人情報保護法・同規程の遵守 → 上記違法性を否定する事情
同内部管理規程においては、合理性を有するものであり、また実際に履践可能なものであり、かつ遵守されていることが重要。
5.個人情報保護法の内容
1)個人情報保護法の概要
首相官邸ホームページより
第1章 総則
1 目的(1条)
高度情報通信社会の進展に伴い個人情報の利用が著しく拡大
→ 個人情報の有用性に配慮しつつ、個人の権利利益を保護
2 定義(2条)
A)「個人情報」
…生存する個人に関する情報(識別可能情報)
「個人情報データベース等」…個人情報を含む情報の集合物(検索が可能なもの。一定のマニュアル処理情報を含む)
「個人情報取扱事業者」…個人情報データベース等を事業の用に供している者(国、地方公共団体等のほか、取り扱う個人情報が少ない等の一定の者を除く)
B)「個人データ」
…個人情報データベース等を構成する個人情報
C)「保有個人データ」
…個人情報取扱事業者が開示、訂正等の権限を有する個人データ
3 基本理念(3条)
個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、その適正な取扱いが図られなければならない。
2)若干の解説
a) 個人情報概念の絞り込み
「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)をいう」
(法2条1項)
○「保有個人データ」(法2条5項)とは
〔情報に関する概念図〕
(注1)「保有個人データ」とは(法2条5項、施行令3条)
(積極要件)個人情報取扱事業者が、開示等を行うことができる権限を有すること
(消極要件)
(1)当該個人データの存否が明らかになることにより
ア 本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
イ 違法又は不当な行為を助長し、又は誘発するおそれがあるもの
ウ 国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
エ 犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの 以外
(2)6ヶ月以内に消去することとなるもの以外
○「個人に関する情報」にどこまでの情報が含まれるのか。
・個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
(2004年10月22日)
「個人に関する情報」とは、個人の身体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ」「個人情報データベース等に該当する事例」事例4)人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
・金融分野における個人情報保護に関するガイドライン(2004年12月6日)
・債権管理回収業分野における個人情報の保護に関するガイドライン(2005年1月)
「個人に関する情報」とは、「事実、判断又は評価等、当該個人と関係するすべての情報」
○ 「特定の個人を識別することができるもの」の要件でどこまで絞ることができるか。
b)保有個人データの開示請求に対する対応
開示請求の例外規定(法25条1項但書)
ア 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
イ 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
ウ 他の法令に違反することとなる場合
