2012年度法情報学講義 第6回 個人情報保護 2012年5月16日(水) 東北大学法学研究科 金谷吉成 <[email protected]> 2012年度法情報学講義 1 2012年5月16日 増える個人情報漏えい事件 (参考)Security NEXT(ニュースガイア) http://www.security-next.com/category/cat191/cat25 – 1990年代後半以降 – 個人情報保護意識の高まり – 情報のデジタル化・ネットワーク化 – プライバシー意識の高まりとも相関 2012年5月16日 2 2012年度法情報学講義 個人情報とプライバシー情報 個人情報≠プライバシー情報 – 個人情報とプライバシー情報は密接な関連性を有す るが、別の概念である – 個人情報は私生活上の情報かどうかに関係なく、事実 かどうかにも関係ない。また、すでに人々が知っている 情報であっても個人情報に当たり、公開を望むかどう かや公開によって個人が受ける心理的な負担の有無 とも関係ない 例)電話帳掲載情報は個人情報だが、必ずしもプライバシー 情報とはいえない – 個人情報は、個人を特定しうる情報全般が対象となる ため、一般にプライバシー情報の範囲より広い 2012年5月16日 3 2012年度法情報学講義 伝統的なプライバシー権 プライバシー権 – 「一人にしておかれる権利(right to be let alone)」 (ウォーレン&ブランダイス、1890) イエロージャーナリズム等により私事を書き立てられない自由 – アメリカでは、その後判例や各州の立法によって次第に プライバシーの権利が認められるようになる – プライバシーの権利侵害の類型(プロッサー、1960) 1. 2. 3. 4. 他人の干渉を受けずにおくっている隔離された私生活への侵入 他人に知られたくない事実の公表 一般の人に誤った印象を与えるような事実の公表 営利目的での氏名や肖像などの不正利用 – プライバシー権の概念は、この段階ですでに多義的 2012年5月16日 4 2012年度法情報学講義 プライバシー概念の拡大 自己情報コントロール権 – どんな自己情報が集められているかを知り、 不当に使われないよう関与する権利 – 政府や大企業にコンピュータが導入され大量 の個人情報が取り扱われるようになった1960 年代頃に現れた考え方 コンピュータ上の個人情報は、大量蓄積、検索、並 び替え、他のデータとの結合等が容易 ひとつひとつは些末な情報であっても、大量の情報 をマッピングすることで、詳細な個人のプロフィール を作ることが可能 2012年5月16日 5 2012年度法情報学講義 欧州諸国の個人情報保護 OECD(経済開発機構)のプライバシー8原則(1980 年9月23日) – 各国のデータ保護レベルの調和・統一を図る 個人データ処理に係る個人の保護及び当該デー タの自由な移動に関する欧州議会及び理事会の 指令(EU個人データ保護指令)(1995年10月24日) – 広く個人情報一般を対象とする – 電子計算機処理に限定していない – 個人情報保護が十分でない国との情報流通を禁止 日本など構成国以外にも大きな影響 2012年5月16日 6 2012年度法情報学講義 OECD(経済協力開発機構)プライバシー8原則(1980年9月23日) a 収集制限の原則 個人データの収集には制限を設けるべきである。データの収集は適法かつ 公正な手段によって、できる限りデータ主体に通知または同意を得て行う べきである。 b データの正確性 の原則 個人データは、その利用目的に沿ったものであるべきである。利用目的に 必要な範囲で正確・完全・最新なものに保たなければならない。 c 目的明確化の原 則 収集目的は収集時より遅くない時期において明確化されなければならない。 利用は、当初の収集目的と両立する明確に規定されたものに制限すべき である。 d 利用制限の原則 個人データは明確化された目的以外に利用されるべきではない。 e 安全保護の原則 個人データは、紛失・破壊・使用・修正・開示等の危険に対し、合理的な安 全保護措置により保護されなければならない。 f 公開の原則 個人データにかかる開発、実施、方針は、一般的に公開しなければならな い。また、個人データの存在、種類およびその主要な利用目的とともにデー タ管理者を明示する手段を容易に利用できなければならない。 g 個人参加の原則 自己に関するデータの所在を確認できるべきである。自己に関するデータ について異議申立てができ、異議が認められた場合には、そのデータを消 去、修正、完全化、または補正させることができなければならない。 h 責任の原則 データ管理者は、上記諸原則を実施するための措置に従う責任を有すべき である。 2012年5月16日 7 2012年度法情報学講義 日本のプライバシー権 憲法13条【個人の尊重・幸福追求権・公共の福祉】 – 伝統的なプライバシー権(一人にしておかれる権利) – 自己情報コントロール権についても、多くの学説におい て、憲法上の基本権としての保護を認めている – しかし、コントロールされるべき権利については学説が わかれている 「個人の心身の基本に関する情報(いわゆるセンシティブ情報)、 すなわち、思想・信条、精神・身体に関する基本情報、重大な 社会的差別の原因となる情報」だけを想定(芦部信喜『憲法学 II 人権総論』(有斐閣,1994)) 情報の種類にかかわらず広く保護を認めるべき ただし、憲法上の基本権は私人による人権侵害には直接 適用されないため、司法上の救済(契約無効や不法行為) が主張できる場合に限り、プライバシー権は保護される 2012年5月16日 8 2012年度法情報学講義 個人情報保護法成立に向けて あいまいなプライバシー概念 – 知られたくない情報は、社会状況や本人のお かれている環境によっても異なる 情報化の進展 – 個人情報が思わぬ使われ方をしてしまう懸念 個人情報保護法は、プライバシー権を具現化 するというよりは、このような懸念に対処する ため、個人に関する情報の取扱いを政策的に 規制することで、予想される弊害を予防、解消 しようとするアプローチと捉えられる 2012年5月16日 9 2012年度法情報学講義 情報漏えい等に関する係争例 プライバシー侵害として不法行為責任に基 づく損害賠償請求が認められる場合もある – 企業や行政機関が保有している個人情報が、 人に知られたくない情報といえるのか? – 住所氏名等の基本情報は、センシティブな情 報にあたらないのではないか? 判例では、プライバシー侵害が 広く認められる傾向にあるといえる 2012年5月16日 10 2012年度法情報学講義 宇治市住民票データ流出事件 大阪高判平成13年12月25日判自265号11頁 – 京都府宇治市の住民基本台帳データが流出 – 宇治市がデータ処理を委託していた事業者の再々委 託先のアルバイトが、データを名簿業者に販売したた め、インターネット上に流出 – 裁判所の判断 情報漏えいに関する使用者責任(民法715条)に基づく損害賠 償請求を認め、原告一人当たり慰謝料10,000円、弁護士費用 5,000円の支払いを命じた 委託事業者との契約において再委託が禁止されていたにも かかわらず再契約を安易に承認 再委託先との間で別途の業務委託契約や秘密保持の取決め を行わなかった 作業が終了しなかったという事情だけで安易に社外での作業 を承諾し管理上特段の措置を執らなかった 2012年5月16日 11 2012年度法情報学講義 Yahoo!BB事件 2004年1月、Yahoo!BBの個人情報が漏えい – 流出規模は450万件を超え、過去最大 – 業務委託先の派遣社員が、業務終了後に業務に使っ ていたアカウント等を使用して外部からデータベース にアクセスし、顧客情報を流出させた – この情報を取得してYahoo!BBを恐喝した者が現れ問 題となった – 漏えいした個人情報は、住所、氏名、電話番号、申込 時のメールアドレス、Yahoo!メールアドレス、 Yahoo!JAPAN ID、申込日 クレジットカードやパスワードなどの信用情報は含まれない – 大阪地判平成18年5月19日判時1948号122頁、 大阪高判平成19年6月2日判例集未搭載 プロバイダの不法行為責任を認め、一人当たり慰謝料5,000 円、弁護士費用1,000円の支払いを命じた 2012年5月16日 12 2012年度法情報学講義 TBCアンケート情報流出事件 エステティックサロンTBCがインターネット上で 行ったアンケートの回答が漏えい – Webアンケートを行っていたが、サーバのメンテナンス の際に、アンケートの回答が記録されたファイルをアク セス制限のない状態で保存してしまった – このため、ファイルの存在するURLを入力すれば、誰 でもファイルを閲覧できる状態だった – 東京地判平成19年2月8日判時1964号113頁 東京高判平成19年8月28日判タ1264号299頁 情報の性質からも精神的苦痛が大きいとして、TBCの使用者 責任(民法715条)を認め、慰謝料30,000円、弁護士費用5,000 円の支払いを命じた 2012年5月16日 13 2012年度法情報学講義 PlayStation Network情報流出事件 ソニー・コンピュータエンタテインメント(SCE) 運営のネットワークサービス – 2011年4月18日から20日にかけて、カリフォルニア 州のデータセンターに不正アクセス ハッカー集団による、高度な技術を持った巧妙な攻撃 – ユーザ情報が最大7,700万件漏えい 氏名、国と住所、e-mailアドレス、誕生日、性別、ログイ ンパスワード、オンラインID クレジットカード情報や過去の買い物履歴などについて も漏えいの可能性 – 情報漏えい件数としては過去最大規模 2012年5月16日 14 2012年度法情報学講義 個人情報保護法成立前 政府の保有する個人情報 – 「行政機関の保有する電子計算機処理に係る 個人情報の保護に関する法律」(1988年制定) 民間の保有する個人情報 – 各省庁・業界団体のガイドラインや地方自治体 の条例に委ねられてきた(主に自主規制) – プライバシーマーク認定制度(1998年以降) 積極的に個人情報保護に取り組もうとする事業者 を対象。そうでない事業者には効力がない 2012年5月16日 15 2012年度法情報学講義 個人情報保護法成立の背景 インターネットの普及(1990年代後半~) – 公開と同時に瞬時に大規模に広まる可能性 – ひとたび被害が起こればその回復は困難 住民基本台帳法の改正(1999年8月) – 住基ネットの議論の中で、デジタル化・ネット ワーク化によるプライバシー侵害が懸念された EU個人データ保護指令(1995年) – 国際的に個人情報の強い保護が求められた 2012年5月16日 16 2012年度法情報学講義 政府の取り組み 1999年11月 2000年10月 2003年5月 高度情報通信社会推進本部個人 情報保護検討部会 「個人情報保護基本法制に関する 大綱」(IT戦略本部・個人情報保 護法制化専門委員会) 「個人情報の保護に関する法律 (個人情報保護法)」成立 (目的) 第一条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに かんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個 人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにす るとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性 に配慮しつつ、個人の権利利益を保護することを目的とする。 2012年5月16日 17 2012年度法情報学講義 2012年5月16日 18 個人情報の保護(消費者庁) http://www.caa.go.jp/seikatsu/kojin/ 2012年度法情報学講義 個人情報保護法の構成 個人情報保護法 ① 官民を通じた個人情報の取扱いに関する基本理念な どを定めた部分(第1~3章) ② 民間の事業者における個人情報の取扱いのルール を定めた部分(第4~6章) – ①の基本法部分は、官民双方を対象とする – ②の部分は、民間部門のみを対象とする 国、独立行政法人等、地方公共団体等 – 行政機関の保有する個人情報の保護に関する法律 – 独立行政法人等の保有する個人情報の保護に関す る法律 – 各地方公共団体において制定される個人情報保護 条例 2012年5月16日 19 2012年度法情報学講義 個人情報の3区分 個人情報(2条1項) 個人情報 – 生存する個人に関する情報 – 当該情報に含まれる氏名、生 年月日その他の記述等により 特定の個人を識別することが できるもの 個人データ 保有個人データ 個人データ(2条4項) – 個人情報が検索可能なように 整理されているデータ – コンピュータで管理されたデー タベース情報 – 50音順に並べられた名簿 保有個人データ(2条5項) – 個人データのうち、開示や内 容の訂正などができる権限を 持つデータ – 6か月以内に消去することとな るもの、その存在が明らかに なることにより公益その他の 利益が害されるものを除く 2012年5月16日 プライバシー権の保護 対象となる個人情報 20 2012年度法情報学講義 個人情報取扱事業者(2条3項) 個人情報を取扱う事業者すべてが対象で なはない – 過去6か月間継続して5,000件以下の個人デー タしかもっていなければ、個人情報保護取扱 事業者から除外される – しかし、ある程度の期間ビジネスをしているよ うな企業であれば、5,000件を超える個人デー タを持っていることが多い 私立病院、私立学校、NPOなど 2012年5月16日 21 2012年度法情報学講義 個人情報取扱事業者の義務① 目的明確化の原則 – 利用目的をできる限り特定しなければならない(15条) – 利用目的の達成に必要な範囲を超えて取り扱っては ならない(16条) 利用制限の原則 – 本人の同意を得ずに第三者に提供してはならない(23 条) 収集制限の原則 – 偽りその他不正の手段により取得してはならない(17 条) データの正確性の原則 – 正確かつ最新の内容に保つよう努めなければならな い(19条) 2012年5月16日 22 2012年度法情報学講義 個人情報取扱事業者の義務② 安全保護の原則 – 安全管理のために必要な措置を講じなければならない(20条) – 従業者・委託先に対する必要な監督を行わなければならない(21,22条) 公開の原則 – 取得したときは利用目的を通知又は公表しなければならない(18条) – 利用目的等を本人の知り得る状態に置かなければならない(24条) 個人参加の原則 – 本人の求めに応じて保有個人データを開示しなければならない(25条) – 本人の求めに応じて訂正等を行わなければならない(26条) – 本人の求めに応じて利用停止等を行わなければならない(27条) 責任の原則 – 苦情の適切かつ迅速な処理に努めなければならない(31条) 2012年5月16日 23 2012年度法情報学講義 義務に違反した場合 主務大臣が報告の徴収(32条)、助言(33 条)、勧告および命令(34条)を行いうる 主務大臣の命令に従わない場合(56条)や 報告に虚偽・懈怠があった場合(57条)につ いては処罰規定がある – 命令違反 ⇒ 6か月以下の懲役または30万円 以下の罰金 – 報告違反 ⇒ 30万円以下の罰金 – 法人等の業務に際して従業員が行った場合は、 法人に対しても罰金刑が課せられる(58条) 2012年5月16日 24 2012年度法情報学講義 個人情報保護法への「過剰反応」 個人情報保護法の趣旨に対する誤解やプライバ シー意識の高まりを受けて、必要とされる個人情 報が提供されない現象 – 内閣府「個人情報保護に関するいわゆる『過剰反応』 への対応に係る調査報告書」(平成20年3月) – 特に、法令遵守についての意識が高い企業は、個人 情報保護にかなり神経質になっている 一方で、個人情報保護法施行後も、個人情報を 利用した悪質な行為や、個人情報の漏えいは後 を絶たない – 個人情報保護法の事業者規制は、個人情報を不適切 に扱っている事業者に対して、必ずしも有効に機能し ていないのではないかという意見もある 2012年5月16日 25 2012年度法情報学講義 個人情報保護法の壁 弁護士による証拠の収集 – 弁護士は、当事者から事件処理の依頼を受け たなら、まずは当事者から証拠を出してもらう – 本人以外に事実関係を証明してくれる人や資 料を探す – 専門家からレクチャーを受ける – 弁護士会を通じて、公務所または公私の団体 に照会して必要な事項の報告を求めることが できる(弁護士法23条の2) 個人情報保護法がネックになってきている 2012年5月16日 26 2012年度法情報学講義 Cookieと個人情報保護 Cookieとは – Webサイトの提供者が、Webブラウザを通じて利用者 のPCに利用者情報や訪問回数などを一時的に保存さ せる仕組み – Webサイトへの自動ログインや個々の利用者のニーズ に対応したサービスの提供に利用される Cookieは個人情報にあたるか – Cookieの情報だけで個人を特定することはできないの で、個人情報保護法の適用外となる – しかし、内容や取得方法によっては、収集自体がプラ イバシー侵害になる場合や、個人情報保護法上の問 題となる場合もありうる 2012年5月16日 27 2012年度法情報学講義 無線ICタグ① RFID: Radio Frequency Identification – 極小のICチップに識別コードなどの情報が記録されて おり、リーダー(読取り装置)との間で電波で情報の送 受信を行う 工場や流通過程での製品管理 食品などのトレーサビリティ 万引き防止 製品リサイクルの効率化 買物の精算自動化など – 本人に無断で個人情報が収集・利用されることが懸念 されている – 無線ICタグ自体には個人情報が含まれていなくても、 所有者の情報と結びつけて個人情報を収集することも 考えられる 2012年5月16日 28 2012年度法情報学講義 無線ICタグ② 無線ICタグ悪用の例 – 買物をしても、電車やバス、タクシーに乗っても、映画館に入って も、常に自分が誰であるのかを勝手に確認されてしまう – 初めて訪れた店なのに、自分の名前、嗜好、服や靴のサイズ、自 宅の住所などを相手が知っていて気持ちが悪い – どこかで自分が興味を示した商品やサービスに関して、ダイレクト メールが大量に送られてきたり、セールス電話がかかってきたり する – 自分の持物をかばんの中に入れていても、リーダーを持った人に 知られてしまう – 電車の中でカバーを掛けて本を読んでいても、何を読んでいるの か知られてしまう – 社員証や身分証明書にタグが埋め込まれて、常にどこで何をして いるのか監視される – 自分がいつも持っているモノにタグが付けられているため、知らな いうちに行動を追跡されている 出典:小向太郎「プライバシーに配慮したRFID利用の実現」@IT(2007年2月26日) http://www.atmarkit.co.jp/frfid/special/privacy/privacy01.html 2012年5月16日 29 2012年度法情報学講義 ID情報の課題 ID情報は、適正に使われれば個々の利用者の ニーズにあった高度なサービスを提供する基盤と なりうる – 電子マネー(SuicaやEdy等) – 携帯電話の有料情報サービス ID情報の利用において、プライバシーや個人情 報保護の問題を生じないために、予防的な取組 みをすべきであるとの見解もあるが、厳格に利用 を制限すると、新たな技術やサービスの芽を摘ん でしまう可能性もある どのような運用で導入するかは、リスクと有用性 とのバランスで検討されるべきである 2012年5月16日 30 2012年度法情報学講義 Googleストリートビュー① Googleマップ http://maps.google.co.jp/ – 公共の場にいる者を撮影することは許される のか? 公権力によって行われる撮影は、国民に対する強 制処分に該当する可能性があるため、正当理由の ある場合以外は許されない – 京都府学連事件(最大判昭44・12・24)、自動速度監視装 置事件(最判昭61・2・14)、テレビカメラによる犯罪監視事 件(東京高判昭63・4・1)、Nシステム事件(東京地判平 13・2・6)等 私人が撮影を行う場合には、本人が撮影またはそ の公開を望まないと推測されるような特段の事情 がある場合以外は原則として許容される傾向 2012年5月16日 31 2012年度法情報学講義 Googleストリートビュー② Googleストリートビューの問題点 – Googleは公道からの撮影と主張するが、実際には私 道から撮影した画像が存在する – 「自分の家が写っていて気持ち悪い」等の懸念 – カメラの高さが人間の目の高さよりも高いため、一般 住宅の塀越しに部屋の中まで見えてしまうことも 各国の対応 – アメリカでは、自宅内の写真を撮られた人がプライバ シーを侵害されたとして提訴 – カナダでは「プライバシー保護法」に抵触するおそれが あるとして公開停止 – イギリス、フランス等でもプライバシー保護に対して根 強い反対意見がある 2012年5月16日 32 2012年度法情報学講義 Googleストリートビュー③ Googleの対応 – 撮影車両のカメラ位置を下げて再撮影 – 人物の顔部分や表札、車のナンバープレート 等にぼかしを入れる しかし、個人情報保護法の該当性やプライ バシーおよび肖像権の問題は依然として 残っている – 総務省「利用者視点を踏まえたICTサービスに 係る諸問題に関する研究会」 2012年5月16日 33 2012年度法情報学講義 Googleストリートビュー④ 平成23年新司法試験 「論文式試験・公法系科目・第1問」 – 試験問題(平成23年新司法試験試験問題) http://www.moj.go.jp/jinji/shihoushiken/jinji08_00047.html – 論文式試験出題の趣旨(平成23年新司法試験の 結果について) http://www.moj.go.jp/content/000079571.pdf インターネット道路周辺映像提供サービス – Googleストリートビュー http://maps.google.co.jp/ 表現の自由?営業の自由?プライバシー? 仮想法令としての「特定地図検索システムによる情報の 提供に伴う国民の被害の防止及び回復に関する法律」 2012年5月16日 34 2012年度法情報学講義 Google撮影車と実際のサービス画像 2012年5月16日 35 2012年度法情報学講義 2012年5月16日 36 2012年度法情報学講義 保護と利用のバランス 新たな技術の出現に伴い、新しい問題も生 じてくる – 保護と利用のバランスを考慮しながら個別に プライバシーや個人情報保護の問題を考えて いく必要がある – 「追跡されない権利」 情報収集の対象となる利用者本人に対する周知 利用者の選択権の確保 2012年5月16日 37 2012年度法情報学講義 おしまい この資料は、2012年度法情報学講義の ページからダウンロードすることができます。 http://www.law.tohoku.ac.jp/~kanaya/infolaw2012/ 2012年5月16日 38 2012年度法情報学講義
© Copyright 2024 ExpyDoc
