PAK12_10naname_TP_V4
1.はじめに
1月下旬より、各メディアが、およそ6000万人の顧客の個人情報を保有するTポイント事業を管理運営するカルチュア・コンビニエンス・クラブ株式会社(CCC)が、2012年より警察から令状でなく任意の照会である捜査関係事項照会によりTポイントの顧客の購買履歴などの大量の個人情報の提供に応じていたことを報道しています。

Tポイントは、ツタヤ、ファミリーマート、ヤフー、ガスト、ウェルシアなど各種の約100の事業者、全国約29万店舗で利用されている共通ポイントです(2014年12月現在)。たとえば書籍の購買履歴からは本人の思想・信条(憲法19条)が推知されるおそれがあります。また、ドラッグストアにおける医薬品の購買履歴からは本人の傷病などのセンシティブな個人情報が推知されるおそれがあります。さらに、いつ、どこで、何を購入したかという蓄積されたデータから、本人がどんな社会的属性の持ち主であるかなどのさまざまなプライバシー(憲法13条)が類推されてしまいます。加えて、CCCの子会社のツタヤはいわゆる「ツタヤ図書館」などを武雄市などで運営していますが、CCCのデータベースと直結された図書館サーバーから公共図書館の利用者の貸出履歴などが流出しているのではないかと常に疑問視されてきました。

2.捜査関係事項照会とは
今回の件で警察が利用しているのが捜査関係事項照会(刑事訴訟法197条2項)です。「公務所等に対する照会」とも呼ばれます。

刑事訴訟法

第197条2項
捜査については、公務所又は公私の団体に照会して必要な事項の報告を求めることができる。

「公私の団体」とは、広く団体すべてを指すとされているため、CCCなどの民間企業もこの照会先に含まれます。また、この条文にあるとおり、捜査関係事項照会は、相手方に回答を強制する手段はとくに定められておらず、回答がない場合は、令状を得て捜索・差押をするしかないとされています(『新基本法コンメンタール刑事訴訟法第2版追補版』236頁)。

警察の捜査は原則として令状が必要な捜索・差押や逮捕などの強制捜査と任意捜査に分かれますが、捜査関係事項照会は任意捜査に分類されます。そして、任意捜査は任意であるから何をしても許されるわけではなく、当該捜査の①必要性、②緊急性、③手段の相当性、の3要件を満たしてはじめて適法となるとされています(最高裁昭和51年3月16日決定、田口守一『刑事訴訟法 第4版補正版』44頁)。

そこで今回のCCCの事例を考えると、新聞報道などによると、警察など捜査機関は、「とりあえず」といった感覚でCCCの本社機構に対して捜査関係事項照会を大量に網羅的に行ってきたようです。しかしそれが報道どおりであれば、上の①必要性、②緊急性の2要件を満たしていないと思われ、警察の同照会は適法ではなかったのではないかという疑問が残ります。6000万人の国民の個人情報ならびにプライバシーが不当に侵害されていたのではないかとの疑いが残ります。

3.CCCの捜査関係事項照会への対応について
CCCが1月20日に公表したプレスリリースによると、従来、CCCは警察からの要請があった場合、令状がある場合のみ「必要最小限」の回答をしてきたところ、2012年以降は、「個人情報保護法に従って対応」してきたと説明しています。

この点、個人情報保護法16条1項は、「事業者は、あらかじめ本人の同意を得ないで、(略)利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」と規定していますが、同16条3項各号はその例外を定めており、そのなかに「法令に基づく場合」が規定されています(1号)。

個人情報保護法

第16条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 (略)
3 前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
(後略)


そして、個人情報保護委員会の「個人情報保護ガイドライン(通則編)」20頁は、この「法令に基づく場合」に「事例 1)警察の捜査関係事項照会に対応する場合(刑事訴訟法(昭和 23 年法律第 131 号)第 197 条第 2 項)」として、捜査関係事項照会が含まれることを解説しています。そのため、CCCの捜査関係事項照会への対応は、個人情報保護法に関しては違法ではないということになります。

(なお、個人情報保護法23条1項は、事業者に対して、原則として本人の同意を得ないで個人情報を第三者に提供することを禁止していますが、同条同項各号はその例外規定を置いており、ここでも「法令に基づく場合」が規定されています(1号)。そして個人情報保護委員会の個人情報ガイドライン(通則編)45頁は、その具体例は同法16条と同様であるとしています。)

しかし、多くの民間企業は、顧客の個人情報について警察から捜査関係事項照会などを受けた場合、それがあくまでも司法判断を経ていない任意捜査であること、顧客のプライバシー権への考慮、場合によっては顧客から提訴される訴訟リスクなどを総合考慮して、外部からの照会に対し、重大な犯罪なのか否か、網羅的・全面的な開示要求でないか、回答するとしてどの部分まで回答するか、等などを個別に判断して慎重に回答を行うことが通常です。

ところが新聞報道やCCCのプレスリリースなどによると、CCCは個人情報保護法が「ザル法」であることをいいことに、警察の言うがままに顧客の個人情報を提供し続けていたように思われます。このようなCCCの雑な実務は、顧客に対して民事上の損害賠償責任を構成する余地はないのでしょうか。

この点、CCCは6000万件という大規模な個人情報データベースを管理している運営主体として、個人情報の適切管理義務をつくしていたかどうかが問題となります。

大規模な個人情報データベースの運営主体が個人情報を漏えいした事件(Yahoo!BB事件)について、裁判所は個人情報の適切管理義務違反を認定し、損害賠償責任(民法709条)を認めています(大阪地裁平成18年5月19日)。

また、Yahoo!BB事件における事業者は電気通信事業者ですが、一般の事業者のベネッセ個人情報漏洩事件においても最高裁は、顧客個人情報の漏洩によるプライバシー侵害を認めています(最高裁平成29年10月23日)。

『本件個人情報は、上告人らのプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照)、上記事実関係によれば、本件漏えいによって、上告人は、そのプライバシーを侵害されたといえる。
 しかるに、原審は上記のプライバシーの侵害による上告人の精神的損害の有無およびその程度について十分に審理(していない。)』

さらに、事業者が外部からの照会(弁護士会照会)に対して、形式的には法令を遵守していたとしても実質的には漫然と照会に応じていた場合にプライバシー侵害を認め不法行為責任を認めた判例も存在します(前科照会事件・最高裁昭和56年4月14日)。

個人情報保護法の解説書も、
『(「法令に基づく場合」)に該当する場合でも、(略)他の法令等によって目的外の取扱いが違法となるか争いがある場合がある。そのような場合は、ある取扱いが特定の法令に基づき形式的には是認されているように見えても、当該法令よりも優先適用されるべき他の法令等が存在していることにより、結局のところ全体としての法秩序全体系の中では違法であると評価される』(岡村久道『個人情報保護法 第3版』184頁)

と解説しています。

そこで今回の事例を考えると、CCCは警察からの大量の網羅的な照会に対して、それを必要最小限となるよう配慮することなく、漫然と機械的に全面的に回答していたように思われます。それは個人情報保護法は形式的にクリアするとしても、大規模な個人情報データベースの運営主体としての、個人情報の適切管理義務をつくしておらず、顧客のプライバシー権を侵害しており、これは6000万人の顧客に対して違法なものであって、不法行為を構成するのではないかと思われます。

なお、個人情報保護法40条は、個人情報保護委員会は事業者に対して、個人情報の取扱に関して報告の徴求や立入検査を行うことができると規定しています。また、同41条、42条は、個人情報保護委員会は事業者に対して助言・指導や勧告などを行うことができると規定しています。

事業者の「個人情報の利活用」しか頭にないような個人情報保護委員会ですが、少しは国民の「個人の人格尊重の理念」のためにも働いてもらいたいものだと思われます。

■関連するブログ記事
・ツタヤ図書館から個人情報は洩れていないのか?
・CCCがT会員6千万人の購買履歴等を利用してDDDを行うことを個人情報保護法的に考える
・ジュンク堂書店が防犯カメラで来店者の顔認証データを撮っていることについて

■追記
本事例のように店舗等で取得された顧客情報と顧客のプライバシー、そして小売業者など私人からの警察など公権力への情報提供と顧客のプライバシー権などの問題に関しては、憲法学者の石村修・専修大学名誉教授のつぎの論文が大変参考になります。
・石村修「コンビニ店舗内で撮影されたビデオ記録の警察への提供とプライバシー : 損害賠償請求控訴事件」『専修ロージャーナル』3号19頁|専修大学


■参考文献
・三井誠他『新基本法コンメンタール刑事訴訟法 第2版追補版』236頁
・田口守一『刑事訴訟法 第4版補正版』44頁
・宇賀克也『個人情報保護法の逐条解説 第6版』138頁
・岡村久道『個人情報保護法 第3版』184頁
・宍戸常寿『新・判例ハンドブック 情報法』95頁、196頁
・日経コンピュータ『あなたのデータ、「お金」に換えてもいいですか?』78頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』48頁


法律・法学ランキング