個人資訊保護法與侵犯隱私的關係
被視為隱私的保護資訊包括典型的個人資訊,如姓名、地址等。例如,學生參加大學主辦的講座時,其學號、地址、姓名、電話號碼等資訊被視為與隱私相關的資訊,受到法律保護。如果大學未經學生同意就將這些資訊揭露給警方,該行為將被視為非法行為。這是日本最高法院在2003年9月12日(西元2003年)的判例。
雖然在日本的《個人資訊保護法》中並未明確規定隱私權,但如果個人資訊被視為隱私並受到保護,那麼本所應如何看待隱私權侵犯這種非法行為與《個人資訊保護法》之間的關係呢?
https://monolith-law.jp/reputation/privacy-invasion[ja]
個人資訊保護法違反與侵權行為的關係
一般來說,個人資訊保護法違反與侵權行為的關係,被認為是「嚴格區分」的觀點。即使個人資訊處理業者的個人資訊處理行為形式上違反了個人資訊保護法,即使個人資訊保護委員會採取了行政措施,也不一定能認定為基於侵權行為等的損害賠償等請求。相反地,像是提供個人資訊給第三方這種形式上並未違反個人資訊保護法的行為,有可能被認定為侵犯隱私的侵權行為。
因違反個人資訊保護法而認定的非法行為
有一個案例,原告在車禍後在醫院接受診療,並根據醫院的處方箋,在被告經營的藥房購買藥品。然而,被告未經原告同意,將記載有原告的出生日期、接受診療的醫療機構名稱、處方藥品名稱等資訊的診療費用明細單交給了汽車損害賠償責任保險的保險公司。對此,原告要求被告支付基於非法行為的損害賠償。
法院首先認定被告是一家以經營藥房等為目的的公司,並且是日本《個人資訊保護法》(Act on the Protection of Personal Information)的個人資訊處理業者。被告主張,為了讓保險公司順利支付給受害者,藥房通常會回答保險公司的查詢並提供診療資訊。因此,原告應被認為默示同意將診療費用明細單上的資訊揭露給保險公司。然而,法院引用《個人資訊保護法》第23條第1項「除非獲得本人的事先同意或法律另有規定,個人資訊處理業者不得向第三方提供個人資料」,
根據《個人資訊保護法》的規定,除非法律另有規定或獲得本人的事先同意,個人資訊處理業者不得向第三方提供個人資料(該法第23條第1項)。對於被告將記載有原告處方藥品名稱等資訊的診療費用明細單交給保險公司的行為,並無足夠的證據認定原告已經同意。因此,被告的行為違反了《個人資訊保護法》,應認定為非法行為,被告應對原告承擔基於非法行為的損害賠償責任。
東京地方法院2013年1月24日(2013年)判決
雖然並未明確提到「侵犯隱私」,但這應被視為一個認定個人資訊保護法違反為非法行為的判例。
https://monolith-law.jp/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]
個人資訊保護法違反並非必然侵犯隱私權
原告在辦公室中以租賃合約使用複印機和傳真機,被告信用賽欧無授權地將原告的個人資訊,即複印機和電話機的租賃費用資訊提供給被告理光,被告理光則將該資訊提供給被告信用賽欧並利用之。原告主張兩家公司的共同非法行為,並根據損害賠償請求權,要求被告支付損害賠償。
理光的員工A去辦公室推銷,了解到原告對正在租賃的複印機不滿,於是推薦了自家的複印機。當時,原告表示每月的租賃費用為12,000日元,於是A記下了複印機上的合約號碼以確認,並根據此號碼向信用賽欧打電話,得知原告所說的12,000日元並非複印機的租賃費,而是原告從信用賽欧租賃的電話機的租賃費,複印機的月租費實際上為14,000日元。
A根據這些資訊,提議以每月12,800日元的租賃費提供複印機。對於原告指出這比現狀更高的反饋,A告知他已經打電話給信用賽欧確認複印機的月租費為14,000日元。
原告憤怒地認為信用賽欧洩露了他與該公司的合約內容給理光,要求兩家公司道歉,並因為看不到誠意,所以提出訴訟,要求支付損害賠償。
個人資訊保護法與隱私權
法院引用了個人資訊保護法第16條第1項「個人資訊處理業者不得在未獲得本人同意的情況下,超出前條規定的特定使用目的所必需的範圍處理個人資訊」,並表示
被告信用賽欧提供原告辦公室複印機合約相關資訊給被告理光的行為,是個人資訊保護法所說的個人資訊處理業者超出特定使用目的所必需的範圍處理個人資訊的行為,違反了該法第16條第1項,被告理光是被告信用賽欧的非法行為的共犯。
東京地方法院2015年10月28日(西元2015年)判決
然而,法院認為在被要求提出更新合約的時候,原告已經預期到為了更新複印機合約而進行的資訊提供等行為,並在必要的範圍內同意了複印機合約內容這種個人資訊的揭露。至於除了複印機以外的電話機的資訊被提供的情況,雖然不能認定原告已經同意了資訊提供,但是
即使電話機的月租費的資訊提供在形式上違反了個人資訊保護法第16條第1項,也不能說它具備了非法行為的違法性。
同上
因此,法院駁回了原告的請求。這是一個即使違反了個人資訊保護法,也不一定構成侵犯隱私權的非法行為的判例。
雖不違反個人資訊保護法,但侵犯隱私權的情況
曾有案例,原告在網路匿名討論區使用的手機號碼被公開,認為其隱私權被侵犯,因此向網路服務提供商要求揭露發信者資訊。
在爆サイ.com的「關東版」、「〇〇市雜談」的分類中,原告使用的手機號碼被重複六次公開。原告為了進行隱私權侵害的損害賠償訴訟,要求揭露發信者資訊。然而,網路服務提供商回應說,「該帖子並未明確表示數字是原告的手機號碼,一般閱覽者無法輕易認出該號碼是原告使用的手機號碼」,並且「手機號碼並不符合日本《個人資訊保護法》第2條第1項的個人資訊定義,因此不能明確說明隱私權被侵犯」,因此拒絕揭露。
手機號碼與個人資訊
法院認為,該討論區有大量帖子使用原告姓氏的一部分,對原告進行誹謗,例如「你們真的很討厭甲方山」「甲方山最討厭」「淫蕩的甲方山DQN」「什麼都可以的公司…權力騷擾性騷擾都是日常,還有布爾多克的狗甲方山」「頭腦笨但裝聰明…笨女人」等,並公開了原告的工作地點和真實姓名的一部分。
該帖子以「090」開頭,並用長音符號分隔第四位數字以後的號碼,並附有暗示該號碼為女性號碼的評論。此外,該帖子後續有其他帖子明確表示理解該數字為手機號碼。因此,一般閱覽者可以認定該帖子公開了女性使用的手機號碼。
東京地方裁判所2015年11月6日判決(2015年)
法院認為,「由於該帖子,原告的手機接到大量誹謗或惡作劇的來電,甚至可能被濫用該號碼,這可能對原告的社會生活造成困擾」,因此命令揭露發信者的資訊。
至於個人資訊保護法,法院認為:
該法並非旨在否定非法定個人資訊的私生活事實被隨意公開的法律利益受到保護,因此不能接受被告的主張。
同上
法院認同原告的主張,認為該帖子侵犯了原告的隱私權。雖然手機號碼本身並非個人資訊,但這是一個認為應受到隱私權保護的判例。
https://monolith-law.jp/reputation/provider-liability-limitation-law[ja]
若被認定違反「日本個人資訊保護法」及侵犯隱私權
本所在事務所的其他文章中也介紹過,有一個案例是一位在醫院工作的護士,在大學醫院進行血液檢查後被診斷為HIV陽性,這個訊息是由大學醫院的兼職醫生告知她的工作醫院的醫生和員工,而這些醫生和員工在未經她同意的情況下,將這個訊息傳達給其他員工並共享訊息,這被認為是侵犯隱私權的非法行為,因此她提出了損害賠償的訴訟。
https://monolith-law.jp/reputation/disease-information-and-privacy-infringement[ja]
法院認為,根據「日本個人資訊保護法」第23條第1項「除非符合以下情況,否則個人資訊處理業者在未經本人同意的情況下,不得將個人資料提供給第三方」,本案中的訊息共享是由工作醫院的兼職醫生向醫院內部的醫生、護士和事務長提供訊息,應該被視為在同一業者內部提供訊息,因此不屬於向第三方提供訊息。
另一方面,對於第16條第1項的解釋,
個人資訊處理業者在處理個人資訊時,必須盡可能明確其使用目的(第15條第1項),並且在未經本人同意的情況下,不得超出這個明確的使用目的的範圍處理個人資訊(第16條第1項)。根據被告的個人資訊保護規定,個人資訊的使用應在收集目的的範圍內,並在業務執行上必要的範圍內進行(第9條第1項),並且,個人資訊應在通常業務的目的(附表)和在通常業務以外的情況下使用(第10條),如果超出收集目的的範圍使用個人資訊,則需要向個人資訊管理負責人報告並獲得病人或病人代理人的同意(第11條第1項)。此外,上述規定中,從病人、使用者、相關人士處獲得個人資訊的目的,應該是為了提供醫療、護理、醫療保險業務、住院和出院等病房管理、教育研究等必要事項(第7條第1項)。
福岡地方法院久留米支部2014年8月8日(西元2014年)判決
法院認為,護士長將此訊息傳達給護理部長和事務長,是為了防止院內感染,並討論原告的工作方針。
個人資訊的目的外使用
另一方面,法院認為,
本案中的訊息是由原告本人作為病人在本案醫院就診時獲得的,並非為了雇用管理或業務運營的目的,因此,其使用目的應該被限制在上述規定中的醫療、護理提供等範圍內。被告主張,只要是公開的使用目的,無論獲取的過程如何,都可以使用個人資訊,這可能導致個人資訊被用於本人未預期的目的,這是不適當的。
同上
法院認為,這屬於第16條第1項所禁止的目的外使用,同時,法院也認定,在本案訊息共享發生的當時,對HIV感染者的偏見和歧視仍然存在,而被診斷為HIV感染症的訊息是他人不希望被知道的個人資訊。因此,未經本人同意就違法處理本案訊息,構成了侵犯隱私權的非法行為。
此外,被告主張「本案的手冊規定,為了嚴格的訊息管理,應將共享訊息的人數限制在最小必要範圍內,而本案中,只有更少的6人共享了本案訊息」,但在判決書中,「即使共享者的數量可能影響違法行為的程度,但即使只對一個人,上述的個人資訊被用於目的外,也應該被認為是侵犯隱私權的違法行為」。這可以說是對「日本個人資訊保護法」的正確理解。
總結
「個人資訊處理業者」的「業務」不僅包括公司或商店的營利目的業務,還包括醫院、學校,以及志願者、環保等非營利業務。只要是反覆進行某種業務,並在業務持續過程中獲取個人資訊的業者,都適用於日本《個人資訊保護法》。正確理解《個人資訊保護法》是必要的。如果可能出現侵犯個人資訊、隱私的問題,建議您向經驗豐富的律師諮詢,獲取專業建議。