個人情報保護法とプライバシーの侵害の関係
プライバシーとして保護される情報には、氏名・住所等の典型的な個人情報が含まれます。例えば、大学主催の講演会に参加した学生の学籍番号・住所・氏名・電話番号はプライバシーに係る情報として法的保護の対象となり、学生に無断でこれを警察に開示した大学の行為は不法行為を構成するとした判例があります(最高裁判所2003年9月12日判決)。
プライバシー権については、個人情報保護法では明文で規定されていませんが、個人情報がプライバシーとして保護されるとすると、プライバシーの侵害という不法行為と個人情報保護法との関係はどう考えればいいのでしょうか。
この記事の目次
個人情報保護法違反と不法行為の関係
個人情報保護法違反と不法行為の関係については、一般には「峻別説」といわれる見解が取られており、個人情報取扱事業者の個人情報の取扱いが個人情報保護法に形式的に違反していても、個人情報保護委員会による行政上の措置が講じられるとしても、不法行為等を根拠とした損害賠償等の請求が認められるとは限りません。逆に、個人情報の第三者提供のような、個人情報保護法に形式的に違反しない行為が、プライバシーの侵害の不法行為とされることもあり得ます。
個人情報保護法違反により不法行為を認めた場合
自動車事故にあって病院で診察を受け、交付された処方箋に基づいて、被告が経営する薬局で薬剤を購入したところ、原告の生年月日・受診した医療機関名・処方された薬剤名等が記載された診療報酬明細書を、被告が原告に無断で自動車損害賠償責任保険の保険者に交付しました。これに対し、原告が不法行為に基づく損害賠償の支払を求めた事例があります。
裁判所はまず、被告が薬局の経営等を目的とする会社であり、個人情報保護法上の個人情報取扱事業者であるとした上で、「保険会社から被害者への金銭の支払を円滑に行うため、薬局において、保険会社からの照会に回答し、診療情報を提供することは、通常行われている事務である。そうすると、原告は、本件診療報酬明細書に記載された情報を本件保険会社に開示することについて、黙示に同意していたというべきである」と主張する被告に対し、個人情報保護法第23条1項「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」をあげて、
個人情報保護法上の個人情報取扱事業者は、法令に基づく場合等の例外を除き、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないところ(同法23条1項)、原告に処方された薬剤名等が記載された本件診療報酬明細書を被告が本件保険会社に交付するについて、原告が同意していたと認めるに足りる証拠はない。
東京地方裁判所2013年1月24日判決
そうすると、被告の行為は、個人情報保護法に反する違法なものであるから、被告は、原告に対し、不法行為に基づく損害賠償義務を負うものと認められる。
としました。「プライバシーの侵害」とは明示されていませんが、個人情報保護違反が不法行為になることを認めた裁判例とみなしていいでしょう。
個人情報保護法違反がプライバシーの侵害にならない場合
事務所においてコピーとFAXの複合機をリース契約で使用していた原告が、被告クレディセゾンが原告に無断で原告の個人情報である複合機のリース料金や電話機のリース料金の情報を被告リコーに提供し、被告リコーは当該情報を被告クレディセゾンに提供させ利用したと主張して、両社の共同不法行為による損害賠償請求権に基づき、被告らに損害金の各支払を求めた事例があります。
リコーの社員Aが事務所にセールスに行き、リース中の複合機に不満があるとのことだったので、自社の複合機を勧めました。その際、原告にリース料金を聞くと毎月1万2000円とのことだったので、Aは確認のために複合機に添付されたシールに記載された契約番号をメモし、これに基づいてクレディセゾンに電話し、原告が説明した1万2000円という金額は複合機のリース料ではなく、原告が同じくクレディセゾンからリースしている電話機のリース料であり、複合機の月額リース料は1万4000円であることを知りました。
Aはこの情報により、複合機種を月額1万2800円のリース料金で提案し、現状より高額になるという原告の指摘に対し、クレディセゾンに電話して複合機の月額リース料は1万4000円であると確認したことを告げました。
原告は、クレディセゾンが原告と同社の契約内容をリコーに漏洩したとして激高し、両社に謝罪を求め、誠意が見られないとして、損害金の各支払を求めて提訴しました。
個人情報保護法とプライバシー
裁判所は、個人情報保護法第16条1項「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない」をあげて、
被告クレディセゾンが原告事務所における複合機の契約に関する情報を被告リコーに提供した行為、個人情報保護法にいう個人情報取扱事業者が、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ったという行為であり、同法16条1項に違反するのであり、被告リコーは被告クレディセゾンによる違法行為の共犯者であるというものであると考えられる。
東京地方裁判所2015年10月28日判決
としつつ、更新契約の提案を求めた時点において、複合機の契約更新のために行われる本件情報提供等を予想し、その目的に必要な限りにおいて、個人情報たる複合機の契約内容の情報が開示されることに同意していたと認められる。また、複合機以外の電話機の情報が提供されている点については、情報提供に同意していたとまでは認められないが、
電話機の月額リース料についての情報提供が形式的に個人情報保護法16条1項に抵触するとしても,それ自体が不法行為としての違法性を備えるとまでいうことはできない。
同上
として、原告の請求を棄却しました。個人情報保護法に違反するとしても、プライバシーの侵害として不法行為にあたるとは限らないという裁判例です。
個人情報保護法違反にはあたらないがプライバシーの侵害になる場合
インターネット上の匿名掲示板に使用する携帯電話の電話番号を書き込まれ、プライバシー権を侵害されたとして、原告が経由プロバイダに、発信者情報の開示を求めた事例があります。
爆サイ.comの「関東版」、「〇〇市雑談」のカテゴリ内のスレッドに、原告の使用する携帯電話の電話番号を6回繰り返して記載されたことに対し、プライバシーの侵害の損害賠償請求手続をとるとして開示を求めた原告に対し、経由プロバイダは、「本件投稿では数字が原告の携帯電話の電話番号であることも明示されておらず、一般の閲覧者は原告が使用する携帯電話の電話番号であることを容易に認識し得ない」し、「携帯電話の電話番号は、個人情報の保護に関する法律2条1項の個人情報にも当たらないから、プライバシー権の侵害が明白であるとはいえない」として、開示を拒否しました。
携帯電話番号と個人情報
裁判所は、「みなさん相当きらいなんですねこうやまのこと」「甲山さいてー大嫌い」「淫乱コウヤマDQN」「なんでもありの会社…パワハラセクハラそんなの日常的しかもブルドックちゃんの犬のコウヤマ」「頭が馬鹿なくせに利口ぶる…馬鹿女」などと原告の氏名の一部を表示して原告を誹謗中傷する内容の投稿が相当数行われており、勤務先とともに、実名の一部が明らかにされ、
本件投稿は、「090」という数字で始まり、ハイフンを意味する長音記号で区切られて4桁目以降の番号が記載されており、この数字が女性の番号であることを示唆するコメントが付されていたことに加え、本件投稿に続いて、本件投稿の数字が携帯電話の電話番号であることを理解した投稿が現に行われたことからすれば、一般の閲覧者は、本件投稿を女性の使用する携帯電話の電話番号を記載したものと理解することが認められる。
東京地方裁判所2015年11月6日判決
とし、「本件投稿により、原告の携帯電話に誹謗中傷やいたずら目的等の着信が相次いだり、その電話番号を悪用されたりするおそれが生じるといわざるを得ず、ひいては、原告の社会生活に支障を来すおそれも否定できない」として、発信者の情報開示を命じました。
そして、個人情報保護法に関しては、
同法は、同法2条1項所定の個人情報に当たらない私生活上の事実がみだりに公表されない利益が法的利益として保護を受けることを否定する趣旨のものではないから、被告の主張は採用することができない。
同上
として、本件投稿が原告のプライバシー権を侵害するとする原告の主張を認めました。携帯電話番号は、それだけでは個人情報とはいえませんが、プライバシーとして保護されるとする裁判例です。
個人情報保護法違反とプライバシーの侵害が認められた場合
当事務所の別記事でもご紹介した、病院勤務の看護師が、大学病院における血液検査の結果、HIV陽性と診断され、これを大学病院所属で本件病院の非常勤医師から知らされた勤務先病院の医師及び職員が本人の同意なく、他の職員らに伝達して情報を共有したのはプライバシーの侵害の不法行為であるとして、損害賠償を求めた事例があります。
裁判所は、個人情報保護法第23条1項「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」については、本件の情報共有は勤務先病院の非常勤医師から病院内部の医師、看護師及び事務長に情報提供されたものであり、同一事業者内における情報提供というべきであるから、第三者に対する情報提供には該当しない、としました。
一方、第16条1項については、
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならず(第15条1項)、あらかじめ本人の同意を得ないでこの特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない(第16条1項)。
福岡地方裁判所久留米支部2014年8月8日判決
そして、被告個人情報保護規定によれば、個人情報の利用は、原則として収集目的の範囲内で、業務の遂行上必要な限りにおいて行う(第9条1項)とされ、また、個人情報は、通常の業務で想定される目的(別表)及び通常の業務以外として掲記されている場合について使用し(第10条)、収集目的の範囲を超えて個人情報の利用を行う場合は、個人情報管理責任者への届出と患者若しくは患者の代理人の同意を必要とする(第11条1項)とされている。さらに、上記規定においては、患者・利用者・関係者から個人情報を取得する目的は、これらの者に対する医療・介護の提供、医療保険事務、入退院等の病棟管理等、教育研究等に必要な事項などで利用することを目的とする(第7条1号)とされている。
とし、看護師長が看護部長及び事務長に本件情報を伝達したことは、院内感染の防止を目的に、原告の就労に関する方針を話し合うためであったとしました。
個人情報の目的外使用
一方、裁判所は、
本件情報が本人である原告から取得されたのは、原告が患者として本件病院を受診したことによるものであり、雇用管理や事業の運営を目的としていたものではないから、その利用目的は上記規定にいう患者等に対する医療・介護の提供などに限られるというべきである。公表されている利用目的であれば、その取得の経緯にかかわらず個人情報を利用することができる旨の被告の主張は、個人情報の本人が予測していなかった目的でこれを利用することになりかねず、失当である
同上
として、第16条1項が禁ずる目的外利用に当たるとし、同時に、本件情報共有が行われた当時において、HIV感染者に対する偏見・差別がなお存在していたことが認められ、HIV感染症に罹患しているという情報は、他人に知られたくない個人情報であるといえる。したがって、本件情報を本人の同意を得ないまま法に違反して取り扱ったことにより、プライバシーの侵害の不法行為が成立するとしました。
なお、「本件マニュアルは、厳重な情報管理のため、情報を共有する者を必要最小限にとどめることとしているところ、本件では、それより更に限定された6名で本件情報を共有したにすぎない」と被告は主張したのですが、判決文では、「本件情報の共有者の数が違法性の程度に影響することはあるとしても、たとえ一人に対してでも上記のような個人情報が目的外に利用されることはプライバシーの侵害として違法というべきである」とされています。
個人情報保護法の正しい理解といえるでしょう。
まとめ
個人情報取扱事業者の「事業」には、会社や店の経営などの営利目的の事業だけではなく、病院や学校、またボランティア、環境保全などの非営利事業も含まれます。反復して何らかの事業を行っており、事業継続に際して個人情報を取得する事業者に個人情報保護法が適用されるのです。個人情報保護法を正しく理解することが必要です。個人情報、プライバシーの侵害について問題が生じたかもしれないという場合には、経験豊かな弁護士に相談し、アドバイスを得るとよいでしょう。
カテゴリー: IT・ベンチャーの企業法務