レポート『個人情報保護に関する考察』
by 相馬 卓朗
I.はじめに
あやしげなダイレクトメールが届く。知らない会社から商品購入の勧誘の電話がかかってくる。このように、最近、住所・電話番号などの個人情報が、我々が知らないうちに洩
れ伝わり、流通しているのではないかと思わせる出来事が多くなっている。
例えば、「さくら銀行(東京都千代田区)の顧客データが流出し、東京都内の名簿業者に持ち込まれ」たという事件が起こっている(朝日新聞平成10年1月5日夕刊)。「同行が顧客検索システムの開発を委託した都内のソフト開発会社から流出した」(朝日新聞平成10年1月5日夕刊)もので、名簿業者によれば、「約二万人分のデータが持ち込まれた」(朝日新聞平成10年1月5日夕刊)という。当該「流出データには、顧客の氏名や住所、支店名、生年月日、勤務先などが載っている」という(朝日新聞平成10年1月5日夕刊)。
また「大手人材派遣会社「テンプスタッフ」(本社・東京都渋谷区、篠原欣子社長)に登録している全国の女性九万人分の個人情報が、「容姿ランク付き」として神奈川県の個人がインターネット上に開設したホームページで三週間にわたり販売されていた」(朝日新聞平成10年1月29日朝刊)という事件も起こっている。「システム関係を任せていた外注業者の社員が名簿を持ち出した」(朝日新聞平成10年1月29日朝刊)ものであり、「流された個人情報は、二十〜四十代の女性の氏名、住所、電話番号、生年月日と「A、B、C」と付けられたランク」であった(朝日新聞平成10年1月29日朝刊)。これに対しては「登録者六人が同社を相手取り、総額六百万円の損害賠償を請求する訴え」(朝日新聞平成10年6月30日朝刊)も提起されている。
また、「大手百貨店・高島屋(本社・大阪市)の顧客データ五十数万人分が社員によって持ち出され、東京都内の名簿買い取り業者に売却されていた」(朝日新聞平成10年2月6日朝刊)という事件も明らかになっている。「「タカシマヤ友の会」に加入し、同店の買い物カードを持っていた全国の会員に関する情報で、氏名、住所、生年月日、電話番号と
、どんな積み立てのコースを選んでいるか」(朝日新聞平成10年2月6日朝刊)が漏れていた。
近時、こうした状況に対する不安感が各方面で指摘されてきており、以下、かような個人情報流出に対する法的規制について検討する。
II.個人情報の重要性
A.プライバシーの保護
かような個人情報の流出は、プライバシーの権利(憲法13条)を侵害し、消費など我々の日常生活における行動を意識的・無意識的に制御し、不安感をあおり、生産的な社会主体としての地位を脅かすものであって、人格的生存を不可能たらしめるものである。かような点で、個人情報は容易に他人に知られるべきではない。
B.現代の企業活動における個人情報
他方で、例えばある商品を売ろうとする場合、「大衆を画一的な市場とみなし、製品情報を無差別かつ一方的に送りつける従来式のマーケティングはもはや限界がきている。消費者の成熟の一方で、商品の機能や品質の差別化が難しくなっているためで、これからは顧客一人一人に限りなく接近し、直接的な関係を培っていかなければならないと言われる。
具体的にはDMや電話によって、何らかの個人情報を獲得。これをデータベース化して顧客を選別・特定し、個別・直接に対応する。販売に結びついたら、その情報をフィードバックして、より顧客志向の商品開発に結びつけることの繰り返し」( 『月刊ヴューズ1997年7月号』(講談社)26頁)である。加えて現時の不況時においては、できるだけコストを低減したいというのが実情であろう。その点で、当該商品に興味を示すであろう個人の情報を収集し、その顧客のみをターゲットとしてダイレクトメール等で的を絞って販売戦略を展開するということは、効率かつ不可欠の方法であるともいえるのである。実際に、BMWジャパンは、「DM商法で急成長した代表格」(「月刊ヴューズ1997年7月号」(講談社)27頁)なのである。
かように、官公庁・企業など個人情報を収集・利用する側からすれば、かような収集・利用も不可欠とされる事情もあるのである。従って法的対処を考える際には、両理念の調和を考慮しなければならない。
III.侵害の形態
A.官公庁からの流出
住民基本台帳法(住基法)第11条は、住民基本台帳の原則公開を定めいる。これにより、見たい住民票の相手を特定している場合でもなければ、適当な利用目的を添えて○○町1丁目から3丁目に住む500人、などと請求すると、住民票に基づき住所、氏名、成年月日、性格が世帯単位で記載された住民リストを、有料だが簡単に閲覧できてしまう。利用目的に関しても、市の情報公開条例に基づく請求により住民リストの閲覧希望者から提出された閲覧請求書の一部公開を求めた結果、DM目的やアンケート調査の名目で閲覧されているという(「月刊ヴューズ1997年7月号」(講談社)20頁参照)。
B.企業から
「ダイレクト・マーケティングに必要な顧客データベースを自社で構築し、独自の見込み客作りを進めていける」(「月刊ヴューズ1997年7月号」(講談社)27頁)のであれば、「個人情報の利用範囲が、顧客側の予想から大きくは逸脱しない」(「月刊ヴューズ1997年7月号」(講談社)27頁)ことから比較的問題は少ない。
しかし冒頭で述べたさくら銀行、テンプスタッフ、高島屋の事件など、企業からの流出のほかに、企業は自社で収集した情報を、当初の目的を離れて二次利用する場合もある。
例えば、会員制のビデオレンタル店のフランチャイズ・チェーン(FC)を全国展開している企業は、収集した個人情報は・ブラインド・レンタル・という形で二次利用している。延べ100万人分の個人情報が詰まっているというデータベースには、日夜、ビデオレンタル履歴など最新の情報などが積み重ねられ、そこから割り出せる会員の趣味や嗜好データを活用し、関連会社を通して、契約企業の商品やサービス情報を送るDM代行業を展開しているのである。
顧客名簿そのものは流さず、あくまでも自社の管理下で他社のDM利用に提供するという、このようなやり方を、専門用語で・ブラインド・レンタル・という。(「月刊ヴューズ1997年7月号」(講談社)24、25頁参照)
さらに、収集した情報は人事採用などにも用いられうる。「企業は「就職希望者を選別するために、あらゆる種類のデータ・ベースを跋渉する」(ジェフリー・ロスフェダー(大貫昇訳)『狙われる個人情報』(ジャパンタイムス、1993年)269頁)。そして、労災補償を受けたことや、犯罪歴があることなどにより雇用を拒否されることもありうるのである(ジェフリー・ロスフェダー(大貫昇訳)『狙われる個人情報』(ジャパンタイムス、1993年)264、271頁参照)。
これは、面接試験において、プライバシーの見地から質問できない事項が増えていることにも由来する。そのため個人情報に大きく依存する結果、「求職者に対する面接試験で、彼なり、彼女なりが文化的、倫理的、人道的見地から会社の営業方針や社風にとけ込めるかどうか、それを客観的に判断する」(ジェフリー・ロスフェダー(大貫昇訳)『狙われる個人情報』(ジャパンタイムス、1993年)277頁)という人事部長たちの能力が低下しているのである。C.病院から
最近では、病院でも諸々の情報がコンピュータ処理されている。支払記録などのほか、カルテをコンピュータ管理している病院も多くなっており、オンラインに繋がっていれば、当該情報が盗まれる可能性も十分にある。
かような医療記録の中に潜む情報は、あらゆる決定に重大な影響を及ぼしうる。「とくに精神医学ファイルについては、その記録が外部に漏れた場合、患者本人に及ぼす影響が極めて大きい」(ジェフリー・ロスフェダー(大貫昇訳)『狙われる個人情報』(ジャパンタイムス、1993年)307頁)。D.ネット上
かような種々の形で集積された個人情報ファイルは、当初の目的を越えて、他の企業に譲渡されるなど、二次利用されている。この状況は、近時のコンピュータネットワークの発達によりますます加速している。
「すなわち、デジタル情報であるためコピーや加工が容易であり、電子ネットワーク経由で個人情報の収集・蓄積・利用が容易であるという特質を有しているし(http://www.iijnet.or.jp/fmmc/501.html)、ネットワーク上に個々に
散在するサーバに蓄えられた個人情報のクラスタ(断片)を統合することによって、特定の個人に関するデータを集積させることが極めて容易になるからである。さらに、一部のウェブで、Cookie(クッキー)などを使って収集した個人情報を売買しているという事実も指摘されている」(岡村久道「電子ネットワークと個人情報保護」(ベータ版1998)http://www.law.co.jp/okamura/jyouhou/kojinjyouhou.htm)。E.名簿業者
企業が二次的利用として個人情報を譲渡する。その流通する情報を集積して利用に供するのが名簿業者である。
F.その他
その他諸々の流出・利用の形態があると思われる。懸賞プレゼントなどへの応募のはがきを、廃棄を委託された業者が横流しして流出する場合もあるという。
IV.法的規制上の問題点
A.企業秘密としての位置付け
個人情報ファイルは、企業の側がその開示を望まない場合には、企業秘密としても位置づけられ得る。以下、産業スパイに対する対処を参考にして検討する。
B.不正競争防止法の差止請求・損害賠償請求
1. 同法2条4項は、保護される「営業秘密」とは、「秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上または営業上の情報であって、公然と知られていないものをいう」と定義している。個人情報はこれに該当しないとも解しうるが、該当しないとしても、民法709条責任を問うに際して、不正競争防止法が列挙する違法行為類型を個人情報保護に類推することが可能である(松本恒雄「ダイレクト・メールとプライバシー」、『情報公開・個人情報保護』ジュリスト増刊(1994年)235、236頁)。
2. 同法2条1項4号は、「窃取、詐欺、強迫その他の不正の手段により営業秘密を取得する行為」(不正取得行為)を違法とする。したがって、「本人の意思に反して入手したり、本人をだまして提供させたり、個人情報を保管する行政機関の許可なく複写したり、虚偽の使用目的を告げて入手したりした場合は違法になる」(松本恒雄「ダイレクト・メールとプライバシー」、『情報公開・個人情報保護』ジュリスト増刊(1994年)235、236頁)。
3. 同法2条1項5号は、「その営業秘密について不正取得行為が介在したことを知って、若しくは重大な過失により知らないで営業秘密を取得」する行為を違法とする。「ここから、他の事業者や情報図書舘、情報ブローカといった第三者からの入手の場合、情報提供者が不正に入手した情報であり、そのことを取得者が知っていたとき、および知らないことに重大な過失があったときは、そのような情報の提供を受ける行為が違法となる」(松本恒雄「ダイレクト・メールとプライバシー」、『情報公開・個人情報保護』ジュリスト増刊(1994年)235、236頁)。
4. 同法2条1項8号は、「その営業秘密について不正開示行為(営業秘密を保有する事業者からその営業秘密を示された場合において、不正の競業その他の不正の利益を得る目的で、又はその保有者に損害を加える目的で、その営業秘密を開示する行為又は秘密を守る法律上の義務に違反してその営業秘密を開示する行為)であること若しくはその営業秘密について不正開示行為が介在したことを知って、若しくは重大な過失により知らないで営業秘密を取得」する行為を違法とする。ここから、「守秘義務のある内部情報の流出であることが明白な場合にも、違法な入手となる」(松本恒雄「ダイレクト・メールとプライバシー」、『情報公開・個人情報保護』ジュリスト増刊(1994年)235、236頁)。
C.刑法・特別法上の秘密漏示罪による保護
私的秘密一般に関しては、刑法134条(秘密漏示罪)の外、国家公務員法§109・地方公務員法§60・独占禁止法§200などで保護が図られている。しかし、それらは、「特に企業秘密を保護の対象としたものではなく、行為の主体もしくは侵害の態様が限定されている」(中山研一、神山敏雄、斎藤豊治編著『経済刑法入門』(成文堂、1992年)78頁)。よって「第三者が企業秘密を漏示する場合などには対処し得ない」(神山敏雄『日本の経済犯罪』(日本評論社、1996年)188頁)。
D.刑法犯としての処理
1.窃盗罪(§235)
企業秘密を有形的に盗み出した場合は問題なく窃盗罪が認められる(使用窃盗の事例につき、東京地判昭和55年2月14日判例時報1012号35頁)が、オンライン上で、無形的に盗み出した場合にはどうであろうか。まず、個人情報などの秘密が「財物」といえるか否かが問題となるが、「財物」の意義につき、管理可能なものであれば含まれるとする見地からすれば、肯定される余地はある。しかし、オンライン上で当該情報を盗み出した場合にも容易に占有侵奪を認めるのでは、規範が著しく広がってしまう。すなわち、証拠を残さないために元の情報をコピーする形態が大半であろうと思われる点で、秘密を保持していた企業側の占有には全く変更がないのである。安易に規範を広げて解釈するのは、罪刑法定主義の見地からも問題があるといわざるを得ない。
2.背任罪(§247)
現在はコンピューターのセキュリティー技術も向上しており、外部の第三者が企業秘密にアクセスしてそれを無形的に盗み出すことは、そう容易ではないと思われる。逆に企業内部の人間が私利を図るために、秘密を外部に漏らす場合が大半であろう。かような場合には背任罪で追及できる場合もありうる。かつ、背任罪は全体財産に対する罪であるため、窃盗罪が成立しない場合にも適用の余地がある。この点で個人情報の流出の歯止めにもなりうると思われる。
3.手段の違法
第三者が個人情報を取得する際において不正があっ
た場合には、手段の違法を問いうる。さくら銀行の顧客データが流出した事件で、データを買い取った名簿業者が、当該データを買い取るようさくら銀行に求め、金を脅し取ろうとして恐喝未遂の罪に問われた事件がある(東京地判5月13日)。E.問題点
上記の対処方法は、企業など漏らす側が情報の流出を望まないことを前提とするが、個人情報の場合、この点で純粋な産業秘密と決定的に異なる。すなわち、企業自身、個人情報を交換し、流布させているという事情もあることはすでに述べたとおりである。BMWジャパンは、「今も時々、航空会社との間でバーターをしたりする」(「月刊ヴューズ1997年7月号」(講談社)27頁)という。DM・名簿業者などで一種の個人情報の市場が形成されており、個人情報の提供は一つの商売として成立しているのである。したがって上記の対処方法のみでは効果的な個人情報の保護に対して限界があることになる。
しかし、上記の対処方法における最大の問題点は、これらの方法は保護法益主体を企業として情報の流出に歯止めをかけるにすぎず、実際にプライバシーを侵害される情報の主体を直接に保護するものではないということである。
この点、流出した情報主体自身の救済については、民法709条で対処しうることになるが、コンピュータ・ネットワークの発達した現在において、一たん漏れ出て流布してしまった情報については、それを原状に回復することは不可能であろう。
かように検討してくるならば、個人情報保護について必要とされるのは、個人情報に限定してその収集・提供に制限を設け、流出を予防する方策であると思われる。
以下、特別法規制につき検討する。
V.対 策
A.特別法規制の現状
個人情報保護に関する「世界の立法化の方式は、一つの法律でパブリック・セクター(公的部門)もプライベート・セクター(民間部門)も対象とするオムニバス方式と、それぞれ別々にまた問題に応じて個別に対処するセグメント方式とに分けることができる。前者は、ヨーロッパの主要な諸国の方式であり、後者はアメリカ合衆国のそれである」(神山敏雄、堀部政男、阪本昌成、松本恒雄編著『顧客リスト取引をめぐる法的諸問題』(成文堂、1995年)152頁)。
「日本では、1988年12月に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が制定されて、国レベルでは、パブリック・セクターについて法的保護措置が講じられたので、セグメント方式が採用される結果になった。そして、プライベート・セクターについてはいくつかの分野でガイドラインによる保護方式がとられるようになった」(神山敏雄、堀部政男、阪本昌成、松本恒雄編著『顧客リスト取引をめぐる法的諸問題』(成文堂、1995年)152頁)が、「個人情報保護全般にわたる法的保護措置は将来の課題にとどまっている」(神山敏雄、堀部政男、阪本昌成、松本恒雄編著『顧客リスト取引をめぐる法的諸問題』(成文堂、1995年)152頁)。
しかし、個人情報に関する問題は、プライバシー侵害に直結する非常にデリケートな問題である。当該情報の収集に関しては慎重を期するべきであり、安易な流布も厳しく制限されるべきである。しかし、かようなセクターごとの立法では、基準が個々に異なり、プライバシーの保護に十分ではないのではないか。
むしろオムニバス方式を用い、パブリック・セクター、プライベート・セクターを包括する立法により規制すべきである。現実に「地方自治体レベルにおいては、最近、オムニバス方式をとるところが徐々に増えてきて」(神山敏雄、堀部政男、阪本昌成、松本恒雄編著『顧客リスト取引をめぐる法的諸問題』(成文堂、1995年)152頁)おり、いまだ数の上では少ないものの、「このような方式をとるのは最近の傾向である」(神山敏雄、堀部政男、阪本昌成、松本恒雄編著『顧客リスト取引をめぐる法的諸問題』(成文堂、1995年)152頁)という。おそらく事務手続上の便宜からであろうが、注目されてしかるべきである。加えて、パブリック・セクターにおける「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」についても、不明確な文言が多く、行政機関が個人情報を不正に利用しうるブラックボックスが多数残されているといった指摘もあり(山本健治編著『プライバシー侵害』(柘植書房、1988年)70頁以下参照)、他機関から独立した監視機関が運用にあたるのが、公平・適正の観点から望ましいと考える。
求められるべくは民間部門をも包括的に規制する立法である。この点、通商産業省が「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」(平成9年3月4日通商産業省告示第98号)を改訂・公表しており、以下これについて検討する。
B.「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」(平成9年3月4日通 商産業省告示第98号)
C.検 討
1.個人情報の定義
ガイドラインは、個人情報につき、「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号、画像若しくは音声により当該個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)をいう 」(2条1項1号)とする。
この点につき問題となるのは、現代の企業活動における個人情報の重要性との兼ね合いである。すなわち、住所、氏名、年齢、電話番号などは「郵便や商品が確実に配達されるように公開されているもので、いわば標識(符丁)のようなものであって、他人に知られること自体による不利益は考えられないから、これを収集、公開することは、問題がない」(神山敏雄、堀部政男、阪本昌成、松本恒雄編著『顧客リスト取引をめぐる法的諸問題』(成文堂、1995年)223頁)とも考えられ、かように解することが企業活動の円滑化を図るとも考えうる。特に電話番号に関しては、NTTが「ナンバーディスプレイ」を導入している。
このシステムにおいては、導入に先立って配布された、番号の非通知に関する申込はがきにおいて「通話ごと(毎)非通知」「回線(まる)ごと非通知」(括弧内筆者)という巧妙な言い回しを用いていきなり原則通知の状態が実現されてしまっている。さらに最近の「ナンバーリクエスト」によって、番号の公開・流通の度合いは強められている。
しかし、標識的な情報であっても開示を望まない者もおり、他面、公開を欲しない私生活上の事実(センシティブ情報、7条)も個々人により異なり、広く開示を望む場合もあるであろう。「個人の価値観・生活観が多様化している今日においては、センシティブな情報とそうでない情報という分類は容易ではない」(松本恒雄「ダイレクト・メールとプライバシー」、『情報公開・個人情報保護』ジュリスト増刊(1994年)235頁)。従ってプライバシーを「自己に関する情報をコントロ−ルする権利」(情報プライバシー)として構成し(芦部信喜『憲法』(岩波書店、新版、1997年)117頁以下参照)、個々人の意思に委ねて同意の有無によって処理を分けるのが妥当であろう。この点、センティブ情報を収集・利用・提供することを原則的に禁止しつつも情報主体同意ある場合の例外を定めた第7条、標識的な情報の収集に際して同意書面による通知を要求し明記すべき事項を定めた第8条は評価しうる。2.MPS
第12条は、収集した情報の目的外の利用の場合につき、利用の旨を書面により情報主体に通知し、事前の了解の下に行うべきことを規定している。これは、MPS(Mail Preference Service)、すなわち「自社のために収集した個人情報を第三者向けに転用する事業を行う場合、最初にその旨を告知して、消費者の意思を遵守する取り決めを規定したもの」(「月刊ヴューズ1997年7月号」(講談社)28頁)を具体化したものであり、評価しうる。
3.プライバシーマーク制度(http://www.jipdec.or.jp/security/MarkSystem.html)
通商産業省の個人情報保護ガイドラインに準拠して個人情報の取扱いを適切に行っている民間事業者に対して、“プライバシーマーク”の使用を認めるプライバシーマーク制度が、財団法人日本情報処理開発協会(JIPDEC)により平成10年4月1日より運用されている。当該制度により情報主体である個人は、プライバシーマークによって民間事業者の個人情報の取扱いが適切であることを容易に判断することが可能となり、個人情報保護への認識を高める点で評価しうる。
D.第三者機関
かように検討してくると、当該ガイドラインは企業活動における個人情報の必要性を充たしつつ個人情報の保護を図りうるものとなっているといえる。しかし、運用いかんによっては逆にプライバシーが侵害される場合もありうる。そこでやはり公平中立な独立機関によって運用されるべきである(前述)。
この点に関しては、個人情報保護に関する先進国であるスウェーデンのデータ検査院(The Data Inspection Board …DIB)が参考になる。これはスウェーデンにおける個人情報保護法である「データ法制定と同時に設置された中央政府の一機関」(川端亮二『データ プライバシー』(ぎょうせい、平成元年)229頁)であって、「個人データ・ファイルを保有する人に対してライセンス又は許可を与えること、この分野における行動を監視すること、一般の人々からの苦情を受け付け、処理すること」(川端亮二『データ プライバシー』(ぎょうせい、平成元年)229頁)を任務とする。「諸外国の同等の機関と比べて、DIBの独立性は強い」(川端亮二『データ プライバシー』(ぎょうせい、平成元年)229頁)ものとなっている。E.その他
その他の問題点としては、当該ガイドラインがガイドラインの段階に止まっていることである。当該ガイドラインは前回平成元年のものを修正したものであるが、コンピュータ・ネットワークの発達や他国の立法状況からしても、法制化されていない日本はかなり遅れているといわざるをえない。
法制化される段では、罰則や損害賠償規定を設けることも必要である。なお、賠償を請求する際には、当該個人情報を「最終的に取り扱った管理責任者を相手方とすればよい」(川端亮二『データ プライバシー』(ぎょうせい、平成元年)237頁)として立証責任を軽減し、「代わりに、相手方とされた人には、彼より前に関わりのあった管理責任者に対して、順次、償還請求ができる権利」(川端亮二『データ プライバシー』(ぎょうせい、平成元年)237頁)を付与せしめるべきであろう。
VI.おわりに
個人情報の保護に関しては、企業の側の事情をも考慮することが要求されるが、そのことは現状のような不況を打破することにもつながりうる。他面、「プライヴァシーのない世界では、閉じこめられて生きているように人々は感じ、生産意欲が阻害される」(ジェフリー・ロスフェダー(大貫昇訳)『狙われる個人情報』(ジャパンタイムス、1993年)365頁)ともいえ、個人情報を適切に保護することもまた景気に大きな影響を与え、生産的な社会の形成において重大な要因となりうるのである。
もっとも大事なことは、やはり両理念の調和である。
以 上
Copyright (C) 1998, Takuro SOMA, All rights reserved.
Up loaded (on the Web) on Dec/07/1998