ウェブ連載版『最新判例にみるインターネット上の名誉毀損の理論と実務』第37回
2.個人情報保護法に関する裁判例
(1)はじめに
個人情報保護法に関しては、施行後、裁判例が積み重なっている。個人情報保護法について裁判例上争われている形態は様々であるが、特に、①ある行為が個人情報保護法違反であってプライバシー侵害となるとして不法行為に基づく損害賠償請求がなされた場合に、相手方が個人情報保護法に違反していないと主張する場合と、②本人が個人情報取扱事業者に対し開示請求等を行ったものの任意に開示されないので、裁判上の請求をする場合の2つの場合がよく見られる。
そのすべてを網羅はできないものの、例えば、インターネットサービスにおける詐欺・不正等があった(と本人が考えた)場合のインターネットサービス業者に対する情報開示請求に関する判断等インターネットとの関係が深いものを中心に一部をまとめたい。なお、改正法との関係ですでに議論の実益が失われた、「開示請求権の有無」(旧法25条、改正法28条)等については、ほぼ議論を省略している。
(2)定義等
ア はじめに
個人情報保護法の定義等に関して争われているものとしては、まず、ある情報が「個人情報」「個人データ」「保有個人データ」に該当するかである。その意義は連載第31回で解説しているが、開示請求の対象となるのは保有個人データであるから、個人情報ですらないものは開示の対象にはならないことになる。また、第三者提供規制(法23条)の対象は「個人データ」であることから、いわゆる第三者提供の文脈で、定義が問題となることがある。
イ 個人情報該当性
東京地判平成28年3月28日D1-Law29017887では、対象者がDという偽名で行為者にメールを送付したところ、行為者がこれを転送したことが個人情報保護法違反(23条違反)ではないか問題とされた。裁判所は「上記「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものをいうところ、一般人において、「D」が控訴人であると識別することができるとは認められないことは上記(1)のとおりであるから、本件メールの記載内容が「個人情報」に当たるとはいえない。」とした。
実際には、個人情報には特定の個人を識別できる情報に留まらず、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」ので、これを主張・立証できれば異なる結論になり得たかもしれないが、対象者はこれを主張・立証しなかったようである(注10)。
後述の東京地判平成27年2月23日ウェストロー2015WLJPCA02238001は、IPアドレスは個人情報ではないとしているが、同様の指摘があてはまる(注11)。
なお、氏名等の個人識別情報だけではなく個人識別情報を含んでいれば、全体が個人情報になる(注12)。
ウ 個人データ該当性
東京地判平成22年10月20日ウェストロー2010WLJPCA10208006は、労働者である対象者が、労組Aを通じて東京都労働委員会に対し不当労働行為救済申立てをしたが、その際に提出した申立書について、使用者である行為者が労組Bに提供したことが個人情報保護法違反と主張された。裁判所は、個人情報取扱事業者であることや本件申立書等が個人データに該当するとの主張及び立証はないとして、個人情報保護法違反を否定した(プライバシー侵害も否定)。
この当時は、旧法のいわゆる5000人基準(5000人を超える個人データを取扱っていなければ個人情報取扱事業者とされない)が適用されていたが、現行法では行為者は個人情報取扱事業者とみなされるだろう。
そして、申立書には、対象者の氏名が記載されているので、明らかに「個人情報」である。もっとも、第三者提供規制(法23条)の対象が「個人データ」であり、いわゆる散在情報(データベース化されていない情報)は個人データではないところ、本件では、データベース化されていない、単なる対象者についての個人情報が記載された書類である申立書には第三者提供規制はかからないと判断された。
インターネット上の個人情報の関係では、東京地判平成26年9月8日ウェストロー2014WLJPCA09088002、判例秘書L06930574が興味深い。この事案は、オークションサイトの履歴情報の開示を求めたところ、「履歴情報は、異なるサーバーに、不統一の形式で保存されており、これを抽出するためのプログラムはないため、情報を抽出するためには、新たにプログラムを作成して抽出作業をする必要があり、それには約2か月の期間を要することが認められる。」として、個人情報データベースには該当しないので、個人データではないと判断した(注13)。
エ 保有個人データ該当性
なお、保有個人データに該当するためには、「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のもの」である必要があるところ、行政機関に関するものだが東京地判平成24年7月19日ウェストロー2012WLJPCA07198002がここでいう「権限」の有無の判断にも参考になるだろう。
オ 検索・閲覧と個人情報の取得等
なお、適正な取得(法17条1項)との関係で、対象者の個人情報を「取得」したかどうか問題となることがある。
東京地判平成20年12月19日ウェストロー2008WLJPCA12198015は、行為者が、仮処分の相手方である対象者の名前でインターネットを検索し、その結果を仮処分において提出したというものである。対象者はこれを個人情報保護法17条等の違反としたが、裁判所は個人情報取扱事業者に該当しないだけではなく、「インターネットで、原告の名前を検索しただけのことであって、これがプライバシーの侵害であるとか、個人情報保護法に違反するということも、到底できない。」とした。
確かに、個人情報保護委員会も、「単にこれを閲覧するにすぎず、転記等を行わない場合」(通則編3-2-1)にこれは個人情報の取得ではないとしており(注14)、その限りでは、本件では、単に検索結果を閲覧しただけではなくそれをメモして、仮処分で提出している。そうすると、少なくとも単なる閲覧のみの事案ではないように思われる(注15)。そこで、5000人基準による個人情報取扱事業者に該当しないことを理由とするのが説得的だったように思われる。
(3)利用目的に関する問題
いわゆる目的外利用については、まず、ある会社のA事業のために提供された個人情報がB事業のために用いられたことが目的外利用ではないかと争われることがある。プライバシーポリシーの内容を良く読めば、目的の範囲内だと結論付けるものが多い(注16)。
もっとも、特殊な事例で目的外と認定された場合がある。例えば、東京地判平成27年10月28日ウェストロー2015WLJPCA10288014、D1-Law29014066では、リース会社である行為者が、対象者から複合機の入れ替えを依頼された事案において、行為者が複合機製造販売業者に対象者の複合機と電話機についての情報を伝えたことが、法16条1項違反ではないかが問題となった。裁判所は、行為者の保有していた対象者の複合機・電話機の情報は第三者への提供を目的としていないが、同意があれば目的外利用ができるとした上で、複合機については口頭の同意があるが、電話機についてはないとして目的外利用の可能性があったと認めた。もっとも、「形式的に個人情報保護法16条1項に抵触するとしても,それ自体が不法行為としての違法性を備えるとまでいうことはできない。」として損害賠償請求を棄却した。
さらに、福岡高判平成27年1月29日判時2251号57頁、D1-Law28230769(注17)は病院である行為者に勤務する対象者が、労働者としてではなく患者として行為者に赴き、検査を受けた際に得た対象者がHIV陽性であるという情報(治療を目的として取得した情報)を労働管理のために利用したという事案で、行為者は、対象者が勤務する際の感染拡大防止のために一定の措置を講じる必要があり、法16条2項2号「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」であるから適法と主張した。裁判所は、「同意を得ない目的外利用が許容される要件として、本人の同意を得ることが困難であることを必要としている」として、同意を得ようともせずにこれを無断で目的外利用したことを違法とした(注18)。
改正前の条文についてのものだが、東京地判平成21年7月22日ウェストロー2009WLJPCA07228008は、利用目的の一方的変更が、旧法15条2項の「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」の利用目的変更かが問題となった。元々の利用目的が「当社が、本規約に基づく与信業務(途上与信を含む)及び債権管理業務等のため、個人情報を収集し利用すること。」であったのが、「クレジットカード会社である被告がその正当な事業活動について、営業の案内をする」と拡大されたところ、元の利用規約でも、対象者は行為者が「クレジットカード会社である被告がその正当な事業活動について、営業の案内をする」ことに同意すると規定されていたことから、その後の会員規約において、会員が、個人情報の利用について、被告の正当な事業活動やクレジットカード関連事業について、営業の案内をする等に同意する旨規定されたとしても、このような会員規約の変更は、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲内のものというべきであるとされた。
改正法15条2項は「相当の」を削除し、より広く変更を認めるところ、本件のように同意をすでに得ていた範囲で利用目的を拡大することは適法であろう(注19)。
(4)安全管理に関する問題
安全管理については、例えば、法20条の安全管理義務について東京地判平成22年4月27日ウェストロー2010WLJPCA04278013が「個人情報取扱業者は、その個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために適切な措置を講じる義務がある(個人情報の保護に関する法律20条)から、個人情報が流失した場合には、事業者は、流失した個人情報の内容及び性質、流失の態様、流失の範囲、二次被害の危険性の程度等を考慮して流失した情報の主体(被害者)に対し、速やかに流失事故の発生及び二次被害の可能性等を通知するなどして、二次被害の発生を防止する措置をとる義務を負う」としていることが注目される。
また、労働紛争の傍論であるが大阪地判平成21年10月23日労判1000号50頁は、「個人情報の保護に関する法律21条は、個人情報取扱事業者に対し、従業者に対する監督を義務づけているが、これは離職後に個人情報を流出させることをも防止する措置を採る義務を課している趣旨と解される。」としている。
なお、第三者提供を適法に行ったことを前提に、提供先にある個人データについて提供元が安全管理義務を負わないとした東京地判平成21年12月25日ウェストロー2009WLJPCA12258005も参照。
【次ページ】第三者提供・開示等請求