2017年7月10日 (月)

予約キャンセルデータベースの適法性について

飲食店を大人数で予約しながら無断でキャンセルする迷惑な客の電話番号を店舗側で共有して、リスクを軽減するサイト「予約キャンセルデータベース」が話題になっている。

飲食店の無断キャンセルは、キャンセルした客側の違法行為となる可能性があるし、店側の怒りも自衛の気持も理解できる。だが、客の電話番号を無断で共有することに、法律上の問題は無いのだろうか。

このサイトによれば、サイト運営者は弁護士から法律上問題ないとの回答をもらったという。また、記者が個人情報保護委員会に問い合わせたところ、「電話番号しか確認できないシステムですと法律(個人情報保護法)の対象外になる可能性が高い」との回答を得たという。

これらの回答は、電話番号は個人情報にあたらないとの理解を前提にしていると思われる。以下便宜上、携帯電話番号に限定して考えてみよう。

日置巴美氏、板倉陽一郎氏共著の『個人情報保護法のしくみ』によると、大要、「携帯電話番号は、個人契約だけでなく法人契約もあり、プリペイドカード式のものもあるし、短期で変更されることもあるので、「現時点において一概に個人識別符号に該当するとはいえない」とある。

だが、個人情報か否かの問題は、個人識別性の有無の問題だから、契約者が法人であることは本来関係ないと思う。要は、「この電話番号にかけたらこの人と話せる」ということがポイントなのであって、その電話番号を契約している人が誰か、ではない。それに、契約している法人にとって個人情報ではないとしても、個人契約者にとっては個人情報であることはありうる。プリペイドカード式の場合、本人到達可能性は低くなるが、それは顔写真も同じである。顔写真を見ただけで、どこの誰かがわかるのは、本人が有名人でなければ、その人の家族や知人に限られるのだから。顔写真が個人情報であるならば、プリペイドカード払いの携帯電話番号も個人情報ではないのか。また、短期で変更されることもあるから個人情報ではないというなら、旅芸人の住所(居所)だって個人情報ではない(もっとも、個人情報保護委員会のガイドライン上は、住所だけなら個人情報ではない、ということになっているが)。

このように考えてくると、上記の理由で「個人情報ではない」というのは、いささか苦しいのではないだろうか。私としては、「容易照合性」がないゆえに、それだけでは個人情報ではない、という理由付けの方がよいように思う。すなわち、その電話番号と「どこかの誰か」が結びついているとしても、そいつがどこの誰であるかを調べて特定することは、一般的にかなり困難である、という意味において、個人情報ではない、と考える。それならば顔写真も容易照合性がないという点では同一ではないか、との批判もありうるが、顔は取り替えがきかない、という点が違うと考えるべきではないだろうか。

携帯電話番号が個人情報ではないとすると、何も問題は無いだろうか。たとえば、名誉毀損にはならないか。飲食店の無断キャンセルをした、という事実は、キャンセルしたとされる本人の社会的評価を低下させるおそれのある事実だから、名誉毀損の成立するおそれはある。これを否定する論拠としては、「当該携帯電話番号の主が誰であるかを特定していない以上、名誉毀損にならない」との考え方もあろうが、本人特定性がないから名誉毀損にならない、と考えた場合、たとえば、無断キャンセルの事実がないのに悪意で登録したような場合にも、名誉毀損にならないことになるが、それでよいだろうか。私としては、「飲食店の無断キャンセルという、違法の疑いの強い行為が事実である以上は、その番号を登録され共有される程度のことは、電話番号主の受任すべき限度内にある」と考える。

電話番号主が代わったときどうすべきか、という問題もある。なにしろ、その携帯電話番号は、飲食店の予約をしようとしても、ことごとく満席との返事が返ってくるという、「呪いがかかった番号」なのだ。番号主が代わったときには、この呪いを解く仕組みが必要ではないだろうか。

 

| | コメント (1) | トラックバック (0)

2008年3月12日 (水)

住基ネット合憲判決について

200036日,最高裁判所第一小法廷は,住基ネットを意見とした大阪高等裁判所の判決を破棄し,住基ネットが合憲であるとの判断を下した。

最高裁は,何人も憲法13条に基づき,個人に関する情報をみだりに第三者に開示又は公表されない自由を有するという昭和44年の最高裁判所大法廷判決を引用した上,住基ネットがこれに違反するかを検討している。

そして,住基ネットによって管理・利用等される本人確認情報は,氏名,生年月日,性別及び住所からなる情報に,住民票コード及び変更情報を加えたものであって,それ自体個人の内面性に関わる秘匿性の高い情報とは言えないこと,住基ネットのシステムに対する不正アクセス等によって容易に漏洩する具体的危険性はないこと,本人確認情報の目的外利用や秘密漏洩,不正なデータマッチング等は懲戒処分又は刑罰によって禁止されていること,本人確認情報保護に関する審議会等によって,情報保護の制度的措置を講じていること,などを理由として,住基ネットが憲法13条によって保障された上記自由を侵害するものではないと結論づけている。

住基ネットを意見とした大阪高裁判決との違いはおそらく2点ある。1点は,大阪高裁判決がプライバシー権ないし自己情報コントロール権という憲法上の権利を認め,その侵害があるか否かという判断を行ったのに対して,最高裁は,このような名前の権利を認めるか否かという判断は行わず,昭和44年の最高裁大法廷が認めた自由が侵害されるか否か,という判断をしている点だ。この点はかなり理論的な問題なので,本稿ではこれ以上立ち入らない。

もう一点は,住基ネットそのものの危険性に対する評価の違いだ。この点については,大阪高裁が「具体的危険がある」と判断し,最高裁が「具体的危険はない」と判断した,との分析も可能だが,これでは水掛け論だ。最高裁が高裁の判断を覆す以上,それなりの理屈を用意したはずだ,という前提で分析しなければいけないと思う。

このような視点で見てみると,大阪高裁判決との違いは,最高裁が本人確認情報の不正使用や漏洩を防止する制度や,懲戒・刑事手続制度による取締を重視している点にある,と言うべきだと思う。

最高裁の理屈は,このようなものではないか。住基ネットは人間が作り運用するシステムである以上,情報が漏れる可能性があるかないかといえば,ある,と言わざるをえない。しかし,情報が漏れる可能性があるという一点をもって,住基ネットを否定して良いのか。むしろ,システムを運用する制度や,違反者を罰する制度によって,つまりシステムを運用する人間を統率する制度によって,安全性を確保するべきではないのか。事後的規制となるが,それはやむを得ない。そして,どの程度の制度が必要かは,情報の重要性によって変わってくるが,住所氏名等といった本人確認情報程度なら,現行の制度で十分である。

最高裁の立場は,一般論として,このように言い換えることもできる。すなわち,国がそれなりの理由があって新たに始めた制度について,それにデメリットやリスクがあるというだけで,その制度を止めてしまえ,と司法は言うべきではない,という立場だ。どんな制度にも利点もあれば欠点もある。欠点より利点がまさる,という国の判断については,司法は原則として文句を付けない,とする立場ともいえる。行政寄りとか政府寄り,と批判されるゆえんだが,民主的基盤を持つ国会や行政府に比べて,民主的基盤の薄い司法は一歩引くべきだ,という発想は,一つの賢明な考え方であると思う。

ただ,住基ネット支持者に注意して頂きたいのは,これをもって住基ネットにお墨付きが出た,と誤解しないでほしい,という点だ。今回の最高裁判決も言うように,不正な情報利用や漏洩に対しては懲戒や刑事処分が下されることが,住基ネット合憲の理由になっているということは,今後,不正な情報利用や漏洩が明らかになった場合,これに対する司法の制裁は厳しくなる,とも予想されるからである。その意味で,住基ネットのセキュリティを保持する責任は,今回の最高裁判決によって重くなったと言ってよい。

ところで,高裁判決後上告を断念した箕面市との関係では,違憲判決が確定している。箕面市はどうするのか,注目される。(小林)

|

2008年2月28日 (木)

Yahoo!BB事件

平成18519日,大阪地方裁判所で,Yahoo!BBの個人情報流出による損害賠償請求事件の判決が出た。本稿では簡単に復習してみる。

本件は,メンテナンスのためリモートアクセス可能になっていた顧客情報を保管したサーバーが,メンテナンス業者従業員に不正アクセスを受けて情報が流出したものである。

第一の争点は,ソフトバンクに過失があったか否かであった。判決は,リモートアクセスを許していたこと自体の必要性は肯定したが,リモートアクセスを許す以上,不正アクセスを防止するための適切な措置を怠ったとして,過失を認めた。ユーザー名とパスワードが1年以上変更されていなかったというのだから,当然の判断といえよう。

第2の争点は,不正取得された個人情報は「住所,氏名,電話番号,メールアドレス,ヤフーID,ヤフーメールアドレス,申込日」の7種類であり,これらが個人情報に該当するとしても,プライバシー権の侵害として損害賠償の対象になるか,なるとしてその金額如何,であった。判決は,これらの情報が,秘匿されるべき必要性が高くないことを認めつつ,「本人が,自己が欲しない他者にはみだりにこれを開示されたくないと考えることは自然なことであり,そのことへの期待は保護されるべきであるから,これらの個人情報は,原告らのプライバシーに係る情報として法的保護の対象になるというべきである。」として権利侵害を認め,一人当たり6000円(うち弁護士費用1000円)の損害賠償を認めた。

かつて「個人情報とプライバシー情報は同じか?」(1)(2)でも触れたが,個人情報とプライバシー情報は似て非なる概念である。個人情報が漏れてもプライバシー権の侵害はないと主張する学者もいるが,裁判例は基本的に,個人情報の流出について,プライバシー権の侵害を認めている。本判決が,端的に「プライバシー権」といわず,「プライバシーに係る情報として法的保護の対象になる」と,持って回った言い回しをしているのは,このような学問上の論争を踏まえ,今回漏洩した情報をプライバシー情報と断言はしませんよ,という断り書きの趣旨なのである。でも損害賠償は認めているのだから,学問上は有益な議論でも,現実問題としては決着しているともいえよう。(小林)

| | コメント (0) | トラックバック (0)

2007年11月10日 (土)

修習期は個人情報か

法曹界と芸能界には共通点が一つある。それは,年齢が上ではなく,業界経験年数が長い方が「エライ」という点だ。その業界経験年数を測る物差しを,法曹界では「修習期」という。この修習期とは,昭和22年,つまり戦後新たに発足した最高裁判所司法研修所の修習を終了した順につけられている。つまり戦後初の司法修習生が「1期」であり,私は平成4年修習終了の「44期」だ。現在は司法改革の端境期であり,一年に二つの司法修習が平行して行われているため,司法改革前の制度で修習した方を「旧60期」,新司法試験に合格した方を「新60期」という。「新」「旧」つけて区別してもややこしいと思わないほど,修習期の概念は法曹界に定着している。

修習期の便利な点はいくつかある。その一つはもちろん,修習期を聞いただけで,その人の法曹界での経験年数が簡単に分かる点だ。また,修習期の割に年齢が極端に若ければ相当優秀であるとか,その逆であれば司法試験でかなり苦労したか,あるいは他の職業経験があるな,ということが想像できる。そして,大変重宝することには,見ず知らずの相手でも,修習期を聞けば,共通の知り合いを容易に捜し出すことができる。「先生は何期ですか?」「○期です。」「それなら○○君をご存じではないですか。彼とはよく飲みに行くのですが」「○○君ならよく知っていますよ,研修所で同じクラスでした。よろしく伝えてください」という塩梅である。弁護士同士,共通の知り合いがいれば,一定の信頼関係ができるから,たとえ訴訟上敵同士でも,あまり下品な手は使わなくなるし,事件の妥当な解決点を捜すという作業もやりやすくなる。このように,修習期は,法曹界では大いに重宝される情報である。一般市民の方も,修習期を知ることにより,最低限,その弁護士の経験年数を知ることができる。

ところが最近,弁護士会内部では,修習期の情報は個人情報保護法上の個人情報に該当するから,本人の承諾なくして公開するべきではない,という意見が通説となっている。実際,日弁連のホームページでは,修習期の表示がなされていない。本来,既に述べたとおり修習期は市民に対して,弁護士の経験年数という重要な情報を示すものであり,また,弁護士同士においても,一定の信頼関係を構築するために重要な情報であって,当然,公開されるべきものである。しかし,「個人情報とは,…当該情報に含まれる氏名,生年月日その他の記述などにより特定の個人を識別することができるもの」という個人情報保護法上の定義からすれば,修習期も文言上,個人情報に該当すると解釈するのが素直ではある。だからといって,修習期情報を非公開とすることを,弁護士会は漫然と受け入れてよいのだろうか。個人情報保護法が悪いのか,弁護士会が硬直しすぎているのか,いずれにせよ,馬鹿げた話であると思う。(小林)

| | コメント (0) | トラックバック (0)

2007年8月23日 (木)

仕事で得た顧客の名刺は誰のもの?

平成19年7月9日の日本経済新聞朝刊「リーガル3分間ゼミ」に,「会社の営業職が汗水たらして手に入れた顧客の名刺は従業員の財産ではないのか?」という設問に対し,裁判例を引用した上で,「秘密指定外なら(従業員)個人のもの」との回答が掲載された。

これに対して,オプティマ・ソリューションズ代表取締役中康二氏のブログは疑問を呈し,「個人情報保護法上,(従業員が)退職時に名刺を持ちだしてはいけない」と主張している。

また,牧野二郎弁護士のホームページにも,「名刺は会社が管理するものであり,従業員が個人で管理するものというのは間違い」と記載してある。

しかし,裁判例を調べてみると,平成17年7月24日東京高裁判決に,ペットサロンが元従業員に対して,持ち出した顧客名簿等による営業活動の差止や損害賠償などを請求した事件に関し,その顧客名簿の秘密管理性を否定してペットサロン側を敗訴させたものがある。この裁判例によれば,日経新聞の記事と同様,顧客名簿の持ち出しも違法でない場合があるということになりそうである。

これらの意見や裁判例はどのように理解したらよいのだろうか。

ポイントは,会社の法令遵守という問題と,会社と従業員との関係を分けて考える,という点にある。平たく言えば,会社の立場と,従業員の立場を分けて考える,ということだ。

会社は大概,個人情報保護法上の個人情報取扱事業者に該当する。従業員が職務上顧客からもらった名刺上の情報は,顧客名簿などの形で検索可能なように体系的に整理されたものであれば,それぞれ,個人データに当たる。従って,会社は,その個人データを目的外に利用することはできないし,従業員が退職に際して名刺を持ち去ることを見過ごせば,個人情報保護法に違反する情報の第三者提供に当たることになる。その意味では,仕事で得た顧客の名刺は会社のものという理解が正しい。

しかし,個人情報保護法は,あくまで会社の義務を規定したものにすぎない。だから,個人情報保護法上,会社に名刺(情報)管理の義務があるからといって,直ちに,従業員に対して,名刺(情報)を引き渡せと要求できるわけではない。ややこしいが,会社と国との関係を定めた法律(個人情報保護法)と,会社と従業員との関係を定めた法律(不正競争防止法や民法,労働法など)はその適用範囲が違う,ということなのだ。

だから,会社は,個人情報保護法を遵守するためには,従業員との関係で,「従業員が職務上もらった名刺の情報と名刺の所有権は会社のものになる。退職した後に顧客情報を利用してはならない」ということを契約しておかなければならないし,このような契約がない場合には,従業員が名刺や顧客情報を持ち出して利用しても,これを禁止できない,ということになる。なお,顧客情報は必ず営業上の秘密に該当する,とまでは言い切れないから,会社と従業員との間で営業上の秘密保持契約が締結されていたとしても,直ちに,名刺(情報)の管理権が会社に帰属する,ということにはならない。

もっとも,秘密指定外なら名刺持ち出しも利用も自由,とする日本経済新聞の記述は行き過ぎだろう。従業員は,退職に際しても,労働契約の相手方である会社を不当に違法状態に陥れないという雇用契約上の善管注意義務を有するというべきであるから,退職の際名刺を持ち出すことが会社の個人情報保護法違反状態を直ちに作り出すことを知って持ち出せば,かかる善管注意義務違反による責任を負う,と考えることは十分可能である。(小林)

| | コメント (0) | トラックバック (0)