東北大学法学研究科 金谷吉成 <kanaya@law.tohoku.ac.jp> 2012年5月16日 2012年度法情報学講義 第6回 個人情報保護 2012年5月16日（水） 東北大学法学研究科　金谷吉成 <kanaya@law.tohoku.ac.jp> 2012年度法情報学講義 2012年5月16日 2012年度法情報学講義

2012年5月16日 増える個人情報漏えい事件 （参考）Security NEXT（ニュースガイア） http://www.security-next.com/category/cat191/cat25 1990年代後半以降 個人情報保護意識の高まり 情報のデジタル化・ネットワーク化 プライバシー意識の高まりとも相関 2012年5月16日 2012年度法情報学講義 2012年度法情報学講義

個人情報とプライバシー情報 個人情報≠プライバシー情報 個人情報とプライバシー情報は密接な関連性を有するが、別の概念である 個人情報は私生活上の情報かどうかに関係なく、事実かどうかにも関係ない。また、すでに人々が知っている情報であっても個人情報に当たり、公開を望むかどうかや公開によって個人が受ける心理的な負担の有無とも関係ない 例）電話帳掲載情報は個人情報だが、必ずしもプライバシー情報とはいえない 個人情報は、個人を特定しうる情報全般が対象となるため、一般にプライバシー情報の範囲より広い 2012年5月16日 2012年度法情報学講義

伝統的なプライバシー権 プライバシー権 「一人にしておかれる権利（right to be let alone）」（ウォーレン＆ブランダイス、1890） イエロージャーナリズム等により私事を書き立てられない自由 アメリカでは、その後判例や各州の立法によって次第にプライバシーの権利が認められるようになる プライバシーの権利侵害の類型（プロッサー、1960） 他人の干渉を受けずにおくっている隔離された私生活への侵入 他人に知られたくない事実の公表 一般の人に誤った印象を与えるような事実の公表 営利目的での氏名や肖像などの不正利用 プライバシー権の概念は、この段階ですでに多義的 2012年5月16日 2012年度法情報学講義

プライバシー概念の拡大 自己情報コントロール権 どんな自己情報が集められているかを知り、不当に使われないよう関与する権利 政府や大企業にコンピュータが導入され大量の個人情報が取り扱われるようになった1960年代頃に現れた考え方 コンピュータ上の個人情報は、大量蓄積、検索、並び替え、他のデータとの結合等が容易 ひとつひとつは些末な情報であっても、大量の情報をマッピングすることで、詳細な個人のプロフィールを作ることが可能 2012年5月16日 2012年度法情報学講義

欧州諸国の個人情報保護 OECD（経済開発機構）のプライバシー8原則（1980年9月23日） 各国のデータ保護レベルの調和・統一を図る 個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令（EU個人データ保護指令）（1995年10月24日） 広く個人情報一般を対象とする 電子計算機処理に限定していない 個人情報保護が十分でない国との情報流通を禁止 日本など構成国以外にも大きな影響 2012年5月16日 2012年度法情報学講義

OECD（経済協力開発機構）プライバシー8原則（1980年9月23日） a 収集制限の原則 個人データの収集には制限を設けるべきである。データの収集は適法かつ公正な手段によって、できる限りデータ主体に通知または同意を得て行うべきである。 b データの正確性の原則 個人データは、その利用目的に沿ったものであるべきである。利用目的に必要な範囲で正確・完全・最新なものに保たなければならない。 c 目的明確化の原則 収集目的は収集時より遅くない時期において明確化されなければならない。利用は、当初の収集目的と両立する明確に規定されたものに制限すべきである。 d 利用制限の原則 個人データは明確化された目的以外に利用されるべきではない。 e 安全保護の原則 個人データは、紛失・破壊・使用・修正・開示等の危険に対し、合理的な安全保護措置により保護されなければならない。 f 公開の原則 個人データにかかる開発、実施、方針は、一般的に公開しなければならない。また、個人データの存在、種類およびその主要な利用目的とともにデータ管理者を明示する手段を容易に利用できなければならない。 g 個人参加の原則 自己に関するデータの所在を確認できるべきである。自己に関するデータについて異議申立てができ、異議が認められた場合には、そのデータを消去、修正、完全化、または補正させることができなければならない。 h 責任の原則 データ管理者は、上記諸原則を実施するための措置に従う責任を有すべきである。 2012年5月16日 2012年度法情報学講義

日本のプライバシー権 憲法13条【個人の尊重・幸福追求権・公共の福祉】 伝統的なプライバシー権（一人にしておかれる権利） 自己情報コントロール権についても、多くの学説において、憲法上の基本権としての保護を認めている しかし、コントロールされるべき権利については学説がわかれている 「個人の心身の基本に関する情報（いわゆるセンシティブ情報）、すなわち、思想・信条、精神・身体に関する基本情報、重大な社会的差別の原因となる情報」だけを想定（芦部信喜『憲法学II 人権総論』（有斐閣，1994）） 情報の種類にかかわらず広く保護を認めるべき ただし、憲法上の基本権は私人による人権侵害には直接適用されないため、司法上の救済（契約無効や不法行為）が主張できる場合に限り、プライバシー権は保護される 2012年5月16日 2012年度法情報学講義

個人情報保護法成立に向けて あいまいなプライバシー概念 情報化の進展 知られたくない情報は、社会状況や本人のおかれている環境によっても異なる 個人情報が思わぬ使われ方をしてしまう懸念 個人情報保護法は、プライバシー権を具現化 するというよりは、このような懸念に対処する ため、個人に関する情報の取扱いを政策的に 規制することで、予想される弊害を予防、解消 しようとするアプローチと捉えられる 2012年5月16日 2012年度法情報学講義

プライバシー侵害として不法行為責任に基づく損害賠償請求が認められる場合もある 情報漏えい等に関する係争例 プライバシー侵害として不法行為責任に基づく損害賠償請求が認められる場合もある 企業や行政機関が保有している個人情報が、人に知られたくない情報といえるのか？ 住所氏名等の基本情報は、センシティブな情報にあたらないのではないか？ 判例では、プライバシー侵害が 広く認められる傾向にあるといえる 2012年5月16日 2012年度法情報学講義

宇治市住民票データ流出事件 大阪高判平成13年12月25日判自265号11頁 京都府宇治市の住民基本台帳データが流出 宇治市がデータ処理を委託していた事業者の再々委託先のアルバイトが、データを名簿業者に販売したため、インターネット上に流出 裁判所の判断 情報漏えいに関する使用者責任（民法715条）に基づく損害賠償請求を認め、原告一人当たり慰謝料10,000円、弁護士費用5,000円の支払いを命じた 委託事業者との契約において再委託が禁止されていたにもかかわらず再契約を安易に承認 再委託先との間で別途の業務委託契約や秘密保持の取決めを行わなかった 作業が終了しなかったという事情だけで安易に社外での作業を承諾し管理上特段の措置を執らなかった 2012年5月16日 2012年度法情報学講義

Yahoo!BB事件 2004年1月、Yahoo!BBの個人情報が漏えい 流出規模は450万件を超え、過去最大 業務委託先の派遣社員が、業務終了後に業務に使っていたアカウント等を使用して外部からデータベースにアクセスし、顧客情報を流出させた この情報を取得してYahoo!BBを恐喝した者が現れ問題となった 漏えいした個人情報は、住所、氏名、電話番号、申込時のメールアドレス、Yahoo!メールアドレス、Yahoo!JAPAN ID、申込日 クレジットカードやパスワードなどの信用情報は含まれない 大阪地判平成18年5月19日判時1948号122頁、 大阪高判平成19年6月2日判例集未搭載 プロバイダの不法行為責任を認め、一人当たり慰謝料5,000円、弁護士費用1,000円の支払いを命じた 2012年5月16日 2012年度法情報学講義

TBCアンケート情報流出事件 エステティックサロンTBCがインターネット上で行ったアンケートの回答が漏えい Webアンケートを行っていたが、サーバのメンテナンスの際に、アンケートの回答が記録されたファイルをアクセス制限のない状態で保存してしまった このため、ファイルの存在するURLを入力すれば、誰でもファイルを閲覧できる状態だった 東京地判平成19年2月8日判時1964号113頁 東京高判平成19年8月28日判タ1264号299頁 情報の性質からも精神的苦痛が大きいとして、TBCの使用者責任（民法715条）を認め、慰謝料30,000円、弁護士費用5,000円の支払いを命じた 2012年5月16日 2012年度法情報学講義

PlayStation Network情報流出事件 ソニー・コンピュータエンタテインメント（SCE）運営のネットワークサービス 2011年4月18日から20日にかけて、カリフォルニア州のデータセンターに不正アクセス ハッカー集団による、高度な技術を持った巧妙な攻撃 ユーザ情報が最大7,700万件漏えい 氏名、国と住所、e-mailアドレス、誕生日、性別、ログインパスワード、オンラインID クレジットカード情報や過去の買い物履歴などについても漏えいの可能性 情報漏えい件数としては過去最大規模 2012年5月16日 2012年度法情報学講義

個人情報保護法成立前 政府の保有する個人情報 民間の保有する個人情報 「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」（1988年制定） 民間の保有する個人情報 各省庁・業界団体のガイドラインや地方自治体の条例に委ねられてきた（主に自主規制） プライバシーマーク認定制度（1998年以降） 積極的に個人情報保護に取り組もうとする事業者を対象。そうでない事業者には効力がない 2012年5月16日 2012年度法情報学講義

個人情報保護法成立の背景 インターネットの普及（1990年代後半～） 住民基本台帳法の改正（1999年8月） 公開と同時に瞬時に大規模に広まる可能性 ひとたび被害が起こればその回復は困難 住民基本台帳法の改正（1999年8月） 住基ネットの議論の中で、デジタル化・ネットワーク化によるプライバシー侵害が懸念された EU個人データ保護指令（1995年） 国際的に個人情報の強い保護が求められた 2012年5月16日 2012年度法情報学講義

政府の取り組み 1999年11月 2000年10月 2003年5月 高度情報通信社会推進本部個人情報保護検討部会 「個人情報保護基本法制に関する大綱」（IT戦略本部・個人情報保護法制化専門委員会） 「個人情報の保護に関する法律（個人情報保護法）」成立 　（目的） 第一条　この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。 2012年5月16日 2012年度法情報学講義

個人情報の保護（消費者庁） http://www.caa.go.jp/seikatsu/kojin/ 2012年5月16日 2012年度法情報学講義

個人情報保護法の構成 個人情報保護法 国、独立行政法人等、地方公共団体等 官民を通じた個人情報の取扱いに関する基本理念などを定めた部分（第1～3章） 民間の事業者における個人情報の取扱いのルールを定めた部分（第4～6章） ①の基本法部分は、官民双方を対象とする ②の部分は、民間部門のみを対象とする 国、独立行政法人等、地方公共団体等 行政機関の保有する個人情報の保護に関する法律 独立行政法人等の保有する個人情報の保護に関する法律 各地方公共団体において制定される個人情報保護条例 2012年5月16日 2012年度法情報学講義

個人情報の3区分 個人情報（2条1項） 個人データ（2条4項） 保有個人データ（2条5項） 生存する個人に関する情報 個人情報 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの 個人データ（2条4項） 個人情報が検索可能なように整理されているデータ コンピュータで管理されたデータベース情報 50音順に並べられた名簿 保有個人データ（2条5項） 個人データのうち、開示や内容の訂正などができる権限を持つデータ 6か月以内に消去することとなるもの、その存在が明らかになることにより公益その他の利益が害されるものを除く 個人情報 個人データ 保有個人データ プライバシー権の保護 対象となる個人情報 2012年5月16日 2012年度法情報学講義

個人情報を取扱う事業者すべてが対象でなはない 個人情報取扱事業者（2条3項） 個人情報を取扱う事業者すべてが対象でなはない 過去6か月間継続して5,000件以下の個人データしかもっていなければ、個人情報保護取扱事業者から除外される しかし、ある程度の期間ビジネスをしているような企業であれば、5,000件を超える個人データを持っていることが多い 私立病院、私立学校、NPOなど 2012年5月16日 2012年度法情報学講義

個人情報取扱事業者の義務① 目的明確化の原則 利用制限の原則 収集制限の原則 データの正確性の原則 利用目的をできる限り特定しなければならない（15条） 利用目的の達成に必要な範囲を超えて取り扱ってはならない（16条） 利用制限の原則 本人の同意を得ずに第三者に提供してはならない（23条） 収集制限の原則 偽りその他不正の手段により取得してはならない（17条） データの正確性の原則 正確かつ最新の内容に保つよう努めなければならない（19条） 2012年5月16日 2012年度法情報学講義

個人情報取扱事業者の義務② 安全保護の原則 公開の原則 個人参加の原則 責任の原則 安全管理のために必要な措置を講じなければならない（20条） 従業者・委託先に対する必要な監督を行わなければならない（21，22条） 公開の原則 取得したときは利用目的を通知又は公表しなければならない（18条） 利用目的等を本人の知り得る状態に置かなければならない（24条） 個人参加の原則 本人の求めに応じて保有個人データを開示しなければならない（25条） 本人の求めに応じて訂正等を行わなければならない（26条） 本人の求めに応じて利用停止等を行わなければならない（27条） 責任の原則 苦情の適切かつ迅速な処理に努めなければならない（31条） 2012年5月16日 2012年度法情報学講義

主務大臣が報告の徴収（32条）、助言（33条）、勧告および命令（34条）を行いうる 義務に違反した場合 主務大臣が報告の徴収（32条）、助言（33条）、勧告および命令（34条）を行いうる 主務大臣の命令に従わない場合（56条）や報告に虚偽・懈怠があった場合（57条）については処罰規定がある 命令違反 ⇒ 6か月以下の懲役または30万円以下の罰金 報告違反 ⇒ 30万円以下の罰金 法人等の業務に際して従業員が行った場合は、法人に対しても罰金刑が課せられる（58条） 2012年5月16日 2012年度法情報学講義

個人情報保護法への「過剰反応」 個人情報保護法の趣旨に対する誤解やプライバシー意識の高まりを受けて、必要とされる個人情報が提供されない現象 内閣府「個人情報保護に関するいわゆる『過剰反応』への対応に係る調査報告書」（平成20年3月） 特に、法令遵守についての意識が高い企業は、個人情報保護にかなり神経質になっている 一方で、個人情報保護法施行後も、個人情報を利用した悪質な行為や、個人情報の漏えいは後を絶たない 個人情報保護法の事業者規制は、個人情報を不適切に扱っている事業者に対して、必ずしも有効に機能していないのではないかという意見もある 2012年5月16日 2012年度法情報学講義

個人情報保護法の壁 弁護士による証拠の収集 弁護士は、当事者から事件処理の依頼を受けたなら、まずは当事者から証拠を出してもらう 本人以外に事実関係を証明してくれる人や資料を探す 専門家からレクチャーを受ける 弁護士会を通じて、公務所または公私の団体に照会して必要な事項の報告を求めることができる（弁護士法23条の2） 個人情報保護法がネックになってきている 2012年5月16日 2012年度法情報学講義

Cookieと個人情報保護 Cookieとは Cookieは個人情報にあたるか Webサイトの提供者が、Webブラウザを通じて利用者のPCに利用者情報や訪問回数などを一時的に保存させる仕組み Webサイトへの自動ログインや個々の利用者のニーズに対応したサービスの提供に利用される Cookieは個人情報にあたるか Cookieの情報だけで個人を特定することはできないので、個人情報保護法の適用外となる しかし、内容や取得方法によっては、収集自体がプライバシー侵害になる場合や、個人情報保護法上の問題となる場合もありうる 2012年5月16日 2012年度法情報学講義

無線ICタグ① RFID: Radio Frequency Identification 工場や流通過程での製品管理 食品などのトレーサビリティ 万引き防止 製品リサイクルの効率化 買物の精算自動化など 本人に無断で個人情報が収集・利用されることが懸念されている 無線ICタグ自体には個人情報が含まれていなくても、所有者の情報と結びつけて個人情報を収集することも考えられる 2012年5月16日 2012年度法情報学講義

無線ICタグ② 無線ICタグ悪用の例 買物をしても、電車やバス、タクシーに乗っても、映画館に入っても、常に自分が誰であるのかを勝手に確認されてしまう 初めて訪れた店なのに、自分の名前、嗜好、服や靴のサイズ、自宅の住所などを相手が知っていて気持ちが悪い どこかで自分が興味を示した商品やサービスに関して、ダイレクトメールが大量に送られてきたり、セールス電話がかかってきたりする 自分の持物をかばんの中に入れていても、リーダーを持った人に知られてしまう 電車の中でカバーを掛けて本を読んでいても、何を読んでいるのか知られてしまう 社員証や身分証明書にタグが埋め込まれて、常にどこで何をしているのか監視される 自分がいつも持っているモノにタグが付けられているため、知らないうちに行動を追跡されている 出典：小向太郎「プライバシーに配慮したRFID利用の実現」＠IT（2007年2月26日） http://www.atmarkit.co.jp/frfid/special/privacy/privacy01.html 2012年5月16日 2012年度法情報学講義

ID情報の課題 ID情報は、適正に使われれば個々の利用者のニーズにあった高度なサービスを提供する基盤となりうる 電子マネー（SuicaやEdy等） 携帯電話の有料情報サービス ID情報の利用において、プライバシーや個人情報保護の問題を生じないために、予防的な取組みをすべきであるとの見解もあるが、厳格に利用を制限すると、新たな技術やサービスの芽を摘んでしまう可能性もある どのような運用で導入するかは、リスクと有用性とのバランスで検討されるべきである 2012年5月16日 2012年度法情報学講義

Googleマップ http://maps.google.co.jp/ 公共の場にいる者を撮影することは許されるのか？ 公権力によって行われる撮影は、国民に対する強制処分に該当する可能性があるため、正当理由のある場合以外は許されない 京都府学連事件（最大判昭44・12・24）、自動速度監視装置事件（最判昭61・2・14）、テレビカメラによる犯罪監視事件（東京高判昭63・4・1）、Nシステム事件（東京地判平13・2・6）等 私人が撮影を行う場合には、本人が撮影またはその公開を望まないと推測されるような特段の事情がある場合以外は原則として許容される傾向 2012年5月16日 2012年度法情報学講義

Googleストリートビュー② Googleストリートビューの問題点 各国の対応 「自分の家が写っていて気持ち悪い」等の懸念 カメラの高さが人間の目の高さよりも高いため、一般住宅の塀越しに部屋の中まで見えてしまうことも 各国の対応 アメリカでは、自宅内の写真を撮られた人がプライバシーを侵害されたとして提訴 カナダでは「プライバシー保護法」に抵触するおそれがあるとして公開停止 イギリス、フランス等でもプライバシー保護に対して根強い反対意見がある 2012年5月16日 2012年度法情報学講義

しかし、個人情報保護法の該当性やプライバシーおよび肖像権の問題は依然として残っている Googleストリートビュー③ Googleの対応 撮影車両のカメラ位置を下げて再撮影 人物の顔部分や表札、車のナンバープレート等にぼかしを入れる しかし、個人情報保護法の該当性やプライバシーおよび肖像権の問題は依然として残っている 総務省「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」 2012年5月16日 2012年度法情報学講義

Googleストリートビュー④ 平成23年新司法試験 「論文式試験・公法系科目・第1問」 2012年10月25日 Googleストリートビュー④ 平成23年新司法試験 「論文式試験・公法系科目・第1問」 試験問題（平成23年新司法試験試験問題） http://www.moj.go.jp/jinji/shihoushiken/jinji08_00047.html 論文式試験出題の趣旨（平成23年新司法試験の結果について） http://www.moj.go.jp/content/000079571.pdf インターネット道路周辺映像提供サービス Googleストリートビュー http://maps.google.co.jp/ 表現の自由？営業の自由？プライバシー？ 仮想法令としての「特定地図検索システムによる情報の提供に伴う国民の被害の防止及び回復に関する法律」 2012年5月16日 2012年度法情報学講義 2012年10月25日

Google撮影車と実際のサービス画像 2012年5月16日 2012年度法情報学講義

2012年5月16日 2012年度法情報学講義

新たな技術の出現に伴い、新しい問題も生じてくる 保護と利用のバランス 新たな技術の出現に伴い、新しい問題も生じてくる 保護と利用のバランスを考慮しながら個別にプライバシーや個人情報保護の問題を考えていく必要がある 「追跡されない権利」 情報収集の対象となる利用者本人に対する周知 利用者の選択権の確保 2012年5月16日 2012年度法情報学講義

おしまい この資料は、2012年度法情報学講義のページからダウンロードすることができます。 http://www.law.tohoku.ac.jp/~kanaya/infolaw2012/ 2012年5月16日 2012年度法情報学講義