個人情報の漏えいというと、怖いのは、クレジットカード情報(番号&セキュリティコード等)の漏えいとか、銀行口座情報(番号&名義人&暗証番号等)だと思います。しかし、どのような宗教に入信しているかとか、どのような政党を支持しているかとか、どのような労働組合に加盟しているか等が漏えいした方が重大事態だという説も聞きます。どういう風に考えればいいのでしょうか。
企業が個人情報を漏えいした場合、1人当たり500円の金券を支払うなどの実例もありますが、個人情報漏えいに伴う個人の損害額及び企業の損害額は、どのように考えればいいのでしょうか。これは、ある意味難しい問題ですが、それは法的検討が複雑というよりは、損害のバリエーションの豊富さ、実被害の可能性の測定困難さゆえであると思います。
「プライバシー権」というと、何をイメージするでしょうか。
今の時代、「個人情報」というと、氏名・住所をイメージされる方が多いですし、「個人情報の漏えい」というと、クレジットカード情報やパスワードの漏えいをしないよう注意するというイメージも強いかと思います。
しかし、「個人情報保護法」の前から存在していた「プライバシー権」については、古典的には、自分の私生活を暴かれる週刊誌報道や、モデル小説(三島由紀夫「宴のあと」が政治家をモデルにした、その他現代の小説でもモデル小説が争われている)、江沢民が早稲田大学で講演をする際に、その講演に出席希望した人のリストが大学から警察に提供された場合などが、裁判で争われています*1。
故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う(民法709条、不法行為)わけですが、権利利益を侵害したというためには、なにも財産権を侵害する必要はなく、人の名誉を傷つけた、人格権を傷つけたといった場合も、不法行為が成立します。法律家でない方がよく聞く不法行為の例としては、不倫されたので不倫相手に損害賠償請求した、交通事故にあって損害賠償請求した、というような場合だと思いますが、不倫も、財産権が侵害されたわけではありませんが、不法行為が成立します。自分の家の中を盗撮された、捨てたごみ袋の中を漁られてネットにさらされた、自分の夫婦生活をモデルにして小説を書かれた等の場合、別に財産権が侵害されていなくても、プライバシー権の侵害として、不法行為が成立し、損害賠償請求をすることができます(故意・過失の立証等の問題は、今回は置いておきます)。
そして、損害賠償請求をする際は、「損害額」を算定する必要があります。この損害額の算定が、経済的損害に比べ精神的損害の方が算定が困難です。経済的損害の場合は、数字を積み上げていくことになります。例えば、強盗被害にあって強盗に対して損害賠償請求をする場合、損害額は、「強盗被害のせいで被った損失」+「精神的損害」になるかと思います。「強盗被害のせいで被った損失」は、強盗に奪われた金額のほか、強盗に壊された窓等の修理費用、強盗に暴行されたためにできたけがの治療費などで、これは積み上げが比較的容易です。これに対し、強盗被害にあったことによる精神的損害は、慰謝料額の算定が、論理的には困難です。判例相場があったとしても、論理的には、いくら慰謝料をもらえれば、強盗被害にあった精神的損害が回復できるかは、算定困難といえるでしょう。
前置きが長くなりましたが、これを個人情報漏えいについて考えてみることにします。
個人情報が漏えいしたことによる「損害額」とは何でしょうか。
個人情報が漏えいしたために、実被害が出た場合、これは損害額の算定が比較的容易です。
例えば、オンラインバンキングのIDとパスワードと暗証番号等が漏えいしたために、口座からお金を不正に引きだされてしまった場合です。損害額は、「個人情報漏えいのせいで被った損失」+「精神的損害」になるかと思います。「個人情報漏えいのせいで被った損失」とは、この場合、不正に引き出された金額になるでしょう。
では、オンラインバンキングのIDとパスワードと暗証番号等が漏えいしたけれども、口座からお金は引きだされていない場合はどうなるでしょう。この場合、実損害自体はまだ発生していません。そうすると、精神的損害として慰謝料請求が認められることになるのではないかと思われます。
で、この精神的損害について考えると、「オンラインバンキングのIDとパスワードと暗証番号等が漏えいした」というのと「氏名・住所だけが漏えいした」というのと「どのような宗教に入信しているかが漏えいした」のとで、個人に与える不安は、どれが一番大きいでしょうか。これはなかなか一概に言い切れるものではありませんが、一般的には「氏名・住所だけが漏えいした」としても、それをもって、何かが起こるわけではないと考えられ、「氏名・住所だけが漏えいした」場合の損害額が一番小さくなるのではないかと思われます。但し、超有名人である等の特殊の事情がある場合、氏名と自宅住所だけが漏えいした場合であっても、一般人のそれが漏えいした場合よりも、精神的損害が高額になる可能性があります。さらに、一般人の氏名・住所だけが漏えいした場合であっても、その漏えい情報を元に、ストーカー殺人が発生してしまったり、いやがらせ出前が頻発する等の実害が発生する可能性も論理的には考えられなくはなく、そうすると、精神的損害だけではなく実損分の損害が認められることになります。したがって、何が漏えいしたらどのような損害額となるかは、一概に言い切れるものではありません。
話を質問に戻すと、経済的損害が発生しそうなものが漏えいした場合、例えばクレジットカードや銀行口座と暗証番号情報が漏えいした場合は、仮に実害が生じていないとしても、不安が強く、精神的損害としてある程度高額が認められる可能性があります。これに対して、宗教や支持政党が漏えいしたとしても、多くの人は特に不安に感じないかもしれません。しかし、法的には、宗教や政治思想の自由というのは大変重要なものであり、これらの漏えいは、重く捉えられます。法がなぜこれらを重要視するかというと、日本国憲法がその背景にしている他国の近代憲法が制定されるまでの長い歴史の中で、宗教の弾圧、政治思想の弾圧等も深刻に生じてきており、これらを基本的人権として近代憲法では保障しているわけです。弾圧の歴史だけではなく、人が人として生きていくことを近代憲法は保障しているわけですが、人が自分として生きていくためには、自分が良いと思うことを否定され、思想を強制されては、これではもう、「その人」として生きていくことはできません。自分はキリスト教を信じ、その精神に沿って生きていきたいと思っているのに、キリシタンは認めないとされて、強制的に仏教を信じるように言われたら、もう、自分が自分として生きていくことは困難です*2。こういう基本的人権として憲法でも保障されているものや、人格権的権利は、これは法的には非常に重要な権利として認められています*3。そのため、これらに関する個人情報が漏えいしたとしたら、精神的損害額は高額が認定される可能性があります*4。
そして、このことを踏まえて、例えば、EU一般データ保護規則9条1項では、以下の規制があります。いわゆる、センシティブデータ、機微情報と呼ばれるものですね。
人種、民族的起源、政治思想、宗教思想、哲学思想、労働組合を表す個人データの処理、自然人を特定する遺伝的データ、生体データ、健康、性生活、性的指向に関するデータの処理は、禁止される(注:適当な訳です)。
Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation shall be prohibited
日本では、一部のガイドラインや一部の条例でのみ、機微情報規制がありましたが、改正個人情報保護法2条3項で、要配慮個人情報という定義が新設されました。
この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
もっとも、要配慮個人情報や、金融ガイドラインで特出しされている機微情報や、条例上特だしされているセンシティブ情報や、EU一般データ保護規則9条1項の情報だけが、漏えいしたら大問題になる情報ではないのです。
例えば、生活保護受給歴、離婚歴、破産歴などは、要配慮個人情報でも、EU一般データ保護規則9条1項の情報でもありませんが、これが仮に漏えいしたら、非常に大きな精神的損害を被る可能性があります。
したがって、なかなか一概に、どのような情報ならどのような損害額になるかは言えないのですが、これをある程度精緻に検討したいという方がもしいらっしゃれば、保有している個人情報及びパーソナルデータを棚卸して、それぞれに対して、1実損害が生じる可能性2実損害が生じた場合の実損害額3精神的損害額を検討して、プライバシー・インパクトごとに重要度を付していって、機密性1〜3じゃないですけど、ランク分けして、セキュリティ対策や運用対策を考えていくということが適切だと思います。もしやりたいという方がいらっしゃれば、ぜひ水町までお声がけください。
