平成19年8月28日に東京ビューティーセンター(TBC)情報漏えい事件の高裁判決が出ました(注1)。従来の個人情報漏えい事件と比較して,賠償認容額としては相対的に高めとなっています。そこで,具体的にどのような事情が考慮されたのか等について,検討を加えてみたいと思います。
事案の概要としては,被告が経営するエステティックサロンの東京ビューティーセンター(以下,TBC)がインターネット上にWebサイトを開設し(注2),そこでアンケート等を通じて原告らから提供された個人情報を保管管理していた。その個人情報が,インターネット上において第三者が閲覧できる状態になってしまい,実際に第三者がその情報にアクセスして個人情報が流出したというものです。第三者が閲覧できる状態というのは,インターネット上の一般利用者が特定のURLを入力するだけで自由にアクセス,閲覧できる状態(すなわちアクセス制限のかかっていない状態)になっていたということです。
この情報漏えいに対し,原告14名(注3)はプライバシーを侵害されたとして,不法行為に基づき原告1人あたり慰謝料100万円および弁護士費用15万円の合計115万円,並びにこれに対する訴状送達の日から年5分の利息で計算した遅延損害金の支払いを求めていました。
東京地裁平成19年2月8日判決は,原告14名のうち13名に金3万5000円プラス遅延損害金,残り1名については2万2000円プラス遅延損害金の支払いを命じました。この地裁判決に対し,原告と被告の双方が控訴し,平成19年8月28日の高裁判決となったわけです。高裁判決では,損害賠償として認容された金額は地裁判決と同じということになりました。
ただし,地裁判決と高裁判決では,損害認容額は同じですが認定理由が若干異なる部分もあります。地裁判決の認定を踏襲(とうしゅう)している部分もあるため,まず,地裁判決から検討します。
基本的な個人情報も法的保護の対象となる
TBCの事案で流出した個人情報には,氏名,年齢,職業,住所,電話番号及びメールアドレスなどの基本的な情報以外に,登録フォームと照らし合わせることによって,原告らが申し込んだエステティックサービスの「コース内容」「質問の回答」が推測できるような情報が含まれていました。
これらがプライバシー情報に該当するか否かの判断について,地裁判決は以下のように認定しています。
| 氏名,住所,電話番号及びメールアドレスは,社会生活上個人を識別するとともに,その者に対してアクセスするために必要とされる情報であり,一定範囲の者に知られ,情報伝達のための手段として利用されることが予定されているものであるが,他方で,そのような情報であっても,それを利用して私生活の領域にアクセスすることが容易になることなどから,自己が欲しない他者にはみだりにそれを開示されたくないと考えるのは自然のことであり,そのような情報がみだりに開示されないことに対する期待は一定の限度で保護されるべきものである。また,職業,年齢,性別についても,みだりに開示されないことの期待は同様に保護されるべきものといえる。 |
この「みだりに開示されないことに対する期待」という基準は,早稲田大学講演会名簿提出事件の最高裁平成15年09月12日判決(注4)における,法的保護の対象となるか否かの判断枠組みとほぼ同じ考え方に立っています。
早稲田大学の事件は,大学がその主催する講演会に参加を申し込んだ学生の氏名,住所等の情報を警察に開示した,その行為が不法行為になるのかが争われた事案です。最高裁はその前提として,大学主催の講演会に参加を申し込んだ学生の氏名,住所等の情報は法的保護の対象となるかについて以下のように判断しています(赤による文字強調は筆者による)。
| 本件個人情報は,早稲田大学が重要な外国国賓講演会への出席希望者をあらかじめ把握するため,学生に提供を求めたものであるところ,学籍番号,氏名,住所及び電話番号は,早稲田大学が個人識別等を行うための単純な情報であって,その限りにおいては,秘匿されるべき必要性が必ずしも高いものではない。また,本件講演会に参加を申し込んだ学生であることも同断である。しかし,このような個人情報についても,本人が,自己が欲しない他者にはみだりにこれを開示されたくないと考えることは自然なことであり,そのことへの期待は保護されるべきものであるから,本件個人情報は,上告人らのプライバシーに係る情報として法的保護の対象となるというべきである。 |
早稲田大学の事件でも,学籍番号,氏名,住所及び電話番号といった個人情報が問題となっています。これらはTBC事件で問題となっている漏えい情報よりも,より基本的な情報であると言えるでしょう。このような情報ですら「本人が開示を欲しない」情報とされています。この最高裁判決を前提とするならば,TBC事件の漏えい情報についても,法的保護の対象となることは当然ということになるでしょう。
なおTBC事件は,個人情報保護法の施行前の事件ですが,上記の情報により個人が識別可能ですから,個人情報保護法上の「個人情報」にも該当する情報ということになります。
TBC事件では,これらの基本的な個人情報のほかに「facial」「body」等の単語が閲覧可能な状態になっていました。判決はこのような単語から原告らがエステティックサービスに関心を有し,氏名等の個人情報を提供したことが容易に認識できたこと,これらの情報の提供は「純粋に私生活上の領域に属する事柄であって,一般にも知られていない事柄」でもあることから,氏名等の情報とあわせてプライバシーに係る情報として法的保護の対象となると判断しています。
「純粋に私生活上の領域に属する事柄」という情報は,古典的なプライバシーに該当する情報と理解してよいでしょう。したがって,本件で流出した情報については,氏名,住所といった基本的な個人情報よりも法的保護の度合いが高い,裁判所がそう判断していることになります。後述しますが,この判断は損害額の認定にも影響を与えることになります。
次回は,本件における注意義務違反の点と損害認定について検討します。
(注1)判決文については,地裁,高裁判決とも,TBCプライバシー被害弁護団のサイトに掲載されています
(注2)事件当時の社名はコミー株式会社,平成18年8月23日にTBCグループ株式会社に商号変更
(注3)3回に分けて提訴がなされており,第1事件が10名,第2事件が3名,第3事件が1名,合計14名が原告になっています
(注4)早稲田大学講演会名簿提出事件についての最高裁平成15年09月12日判決
→「知っておきたいIT法律入門」の記事一覧へ |
■北岡 弘章 (きたおか ひろあき)【略歴】 弁護士・弁理士。同志社大学法学部卒業,1997年弁護士登録,2004年弁理士登録。大阪弁護士会所属。企業法務,特にIT・知的財産権といった情報法に関連する業務を行う。最近では個人情報保護,プライバシーマーク取得のためのコンサルティング,営業秘密管理に関連する相談業務や,産学連携,技術系ベンチャーの支援も行っている。 2001~2002年,堺市情報システムセキュリティ懇話会委員,2006年より大阪デジタルコンテンツビジネス創出協議会アドバイザー,情報ネットワーク法学会情報法研究部会「個人情報保護法研究会」所属。 【著書】 「漏洩事件Q&Aに学ぶ 個人情報保護と対策 改訂版」(日経BP社),「人事部のための個人情報保護法」共著(労務行政研究所),「SEのための法律入門」(日経BP社)など。 【ホームページ】 事務所のホームページ(http://www.i-law.jp/)の他に,ブログの「情報法考現学」(http://blog.i-law.jp/)も執筆中。 |
