なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:漏洩

kojinjouhou_rouei_businessman
1.尼崎市で全市民46万人分の個人情報漏洩事故
報道などによると、兵庫県尼崎市は、すべての市民約46万人分の個人情報の入ったUSBメモリを紛失したことを発表したとのことです。

・全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表|NHKニュース
・住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリーの紛失について|尼崎市
・兵庫県尼崎市における「個人情報を含むUSBメモリーの紛失」についてのお詫び|BIPROGY株式会社

報道や尼崎市サイトのプレスリリースによると、USBメモリには、すべての市民約46万人分の住民基本台帳統一コード・氏名・住所・生年月日・性別などのほか、住民税の額、生活保護の受給に関するデータなど機微な個人データも含まれていたとのことです。USBメモリは、新型コロナのための生活困窮世帯への臨時特別給付金の支給を尼崎市が委託した業者(BIPROGY株式会社(旧日本ユニシス))が紛失したとのことです。このUSBメモリは、業者が市の許可を得ずに個人情報を入れて持ち出し、大阪のコールセンターで個人データの移管作業を行った後、作業の終了後も個人データの消去を行わず、担当者が当該USBメモリを持ったまま飲食店で酒を飲み、当該USBメモリの入ったかばんを紛失したとのことです。これはUSBメモリの紛失や酒を飲んでかばんを紛失など、典型的な個人情報漏洩事故ですが、その被害が全市民約46万人分ということで驚いてしまいます。

2.尼崎市個人情報保護条例から考える
尼崎市個人情報保護条例をみると、第6条は尼崎市の行政部局(実施機関)は「保有個人情報の漏えい、滅失又はき損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない」として、いわゆる安全確保措置を講じなければならないことを義務付けています。また第7条は、尼崎市の役職員に対しても、業務上知り得た個人情報をみだりに他人に知らせてはならないなどの守秘義務を課しています。

さらに、おそらく尼崎市は同条例8条2項5号の「本人以外の者に保有個人情報を提供することが明らかに本人の利益になることが認められるとき」などの条項をもとに、本件の臨時特別給付金の支給業務を外部の民間業者に業務委託したものと思われます。

しかしこの場合にも同条例9条は、市の実施機関は外部業者などに個人情報に関する業務を委託する場合には、「当該保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求め」るなどの安全管理措置を講じなければならないと義務付けています。

この点、本件の尼崎市の個人情報漏洩事件は、報道などによると、①業者が市の許可を得ずUSBメモリで個人情報を持ち運んだこと、②業者の担当者は作業の終了後も個人データを消去せず、当該USBメモリをかばんに入れて飲食店で酒を飲み当該かばんとUSBメモリを紛失したこと、③尼崎市も当該業者の給付金業務の委託にあたり、漫然と全46万人分の住民基本台帳ネットのすべての個人データにアクセス可能な状況におき、すべての個人データをUSBメモリに入れて持ち出しを許していることなど、外部業者の安全管理措置違反(個人情報保護法23条)だけでなく、尼崎市の安全確保措置違反の責任は非常に重大です(尼崎市個人情報保護条例6条、7条、9条)。

IPA(独立行政法人情報処理推進機構)の公表している「情報セキュリティ10大脅威 2022」においては、「情報セキュリティ10大脅威(組織)」のなかの5番目にUSBメモリなどによる個人データの不正な持ち出しなどは例示されているとおり(44頁)、USBメモリなどによる個人データの不正な持ち出しは個人情報漏洩事故の典型的な事例ですが、公的機関として多くの個人データを預かる尼崎市の責任は重大であると思われます。

・情報セキュリティ10大脅威2022|IPA

尼崎市個人情報保護条例

(安全確保の措置)
第6条
実施機関(実施機関が個人情報を取り扱う事務(以下「個人情報取扱事務」という。)を実施機関以外のものに行わせる場合にあっては、当該個人情報取扱事務を行うものを含む。)は、保有個人情報の漏えい、滅失又はき損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない。

(従事者の義務)
第7条
個人情報取扱事務に従事する実施機関の職員又は職員であった者(前条に規定する場合にあっては、その個人情報取扱事務に従事している者又は従事していた者(以下「個人情報取扱事務従事者」という。)を含む。)は、その事務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。

(保有個人情報の提供を受ける者に対する措置要求)
第9条
実施機関は、第8条第2項第3号から第6号までに掲げる事由のいずれかに該当することを理由に保有個人情報を提供する場合において、必要があると認めるときは、当該保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求めるものとする。

3.損害賠償責任など
個人情報保護法制による行政法上の責任とは別に、今回被害にあった住民の方々に対しては尼崎市と委託を受けた業者は民事上の損害賠償責任を負うことになります。住民基本台帳ネットワークの業務を自治体から再々受託を受けた業者の従業員が住民票データを漏洩させた事件について、裁判所は不法行為に基づく損害賠償責任(原告一人につき1万5千円)を自治体に認めています(宇治市住民票データ漏洩事件・大阪高裁平成13年12月25日判決、宍戸常寿『新・判例ハンドブック 情報法』199頁)。

4.住基ネット訴訟・マイナンバー訴訟との関係
また、本個人情報漏洩事件は、自治体の保有する住基ネットの個人データから全住民の個人データが漏洩してしまったという点で、現在各地で係争されているマイナンバー訴訟に影響を与える可能性があります。

マイナンバー訴訟に先立つ、いわゆる住基ネット訴訟においては、住基ネットによる住民・国民の個人情報の収集・管理・利用は憲法13条が保障する個人の私生活上の自由などプライバシー権の侵害にあたるか否かが争点となりましたが、最高裁は、①住基ネットに保管される個人情報は氏名・住所など秘匿性が高い情報とはいえないこと、②情報システムの構築など情報セキュリティ上も法律上も住基ネットは適切な安全管理が施されていると審査を行い(構造審査)、国民・個人の私生活上の自由を侵害しているとはいえない、として原告側の訴えを退けています(最高裁第一小法廷平成20年3月6日判決、宍戸・前掲200頁、山本龍彦・横大道聡『憲法学の現在地』139頁)。

しかしこの住基ネット訴訟の最高裁判決では、最高裁は住基ネットは情報セキュリティ的にそして法的に堅牢であることを根拠の一つとして合憲判決を出しているわけですが、今回の尼崎市の個人情報漏洩事件では、条例や法律が杜撰に運用され、情報セキュリティや安全管理措置も適正に運用されず、全市民46万件もの個人データの漏洩を許してしまっています。

とくに今回の漏洩事件では、全住民46万人分の住民基本台帳統一コードもその他の個人データとセットで漏洩してしまっています。住民基本台帳統一コードはマイナンバー制度のマイナンバー(個人番号)に似て、国民一人に一つの番号を国が付番する性質のものであり、この番号があると国民の個人データの名寄せ・突合が簡単にできてしまい、不正なプロファイリングや信用スコアリングの危険があります。この尼崎市の個人情報漏洩事件は、マイナンバー訴訟などにも影響する可能性があるのではないでしょうか。

5.令和3年改正個人情報保護法
なお、令和3年改正個人情報保護法は、自治体や行政機関等に対しても、個人情報漏洩事故が発生した場合は、当該自己を自治体や行政機関等は、個人情報保護委員会に報告しなければならないと規定しています(法68条、冨安泰一郎・中田響『一問一答令和3年改正個人情報保護法』86頁)。おそらく尼崎市から警察とともに個人情報保護委員会に対しても、本件個人情報漏洩事故の報告が行われているものと思われます。

■追記
ITmediaニュースなどによると、記者会見中に尼崎市の担当者は、本事故で漏洩したUSBメモリにかかったパスワードの桁数をしゃべってしまったとのことです。これは情報セキュリティ的に二重三重に驚きです・・・。

・USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」|ITmediaニュース

■追記(6月24日)
尼崎市サイトによると、紛失していたUSBメモリが発見されたとのことです。
・紛失していたUSBメモリーの発見について(6月24日)|尼崎市

「現在、同メモリー内にある個人情報については、関係機関と協力しながら、調査を進めております。」とのことです。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・冨安泰一郎・中田響『一問一答令和3年改正個人情報保護法』86頁
・山本龍彦・横大道聡『憲法学の現在地』139頁
・宍戸常寿『新・判例ハンドブック 情報法』199頁、200頁

■関連する記事
・調布市の陥没事故の被害者住民の情報公開請求に係る個人情報の漏洩事件について考えた(追記あり)
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?













このエントリーをはてなブックマークに追加 mixiチェック

TBSニュース
(TBSニュースより)

■追記(11月13日)
11月12日付の東京新聞の報道によると、この調布市の個人情報漏洩事件は、市職員のミスではなく、NEXCO東日本や国交省などと癒着した調布市都市整備部の職員が故意にNEXCO東日本や国交省などに情報公開請求を行った被害者の方の個人情報を提供していたとのことです。詳しくはこの記事の下部の追記をご参照ください。

1.調布市で個人情報漏洩事件が発覚
報道によると、東京・調布市つつじが丘等の住宅街NEXCO東日本の地下道工事に起因する陥没事故などが起きている問題について、被害者の住民の男性の方が調布市に対し情報公開請求を行ったところ、調布市都市整備部街づくり事業課が、その被害者の方の個人情報を9回にわたり、NEXCO東日本や国土交通省に漏洩していたことが発覚したとのことです。

このような個人情報の情報公開請求の関係機関への情報漏洩は、情報公開の請求者に関係機関などから不利益な処分や取扱いなどがなされる危険があり、情報公開制度の趣旨・目的を没却しかねない非常に重大な事故です。

被害者の方々はNEXCOの工事による陥没事故の被害者であるのに、さらにその被害者の方の個人情報を漏洩していたという調布市の行為は、非常にひどい仕打ちとしかいいようがありません。Twitterなどのネット上では、本件は調布市による個人情報のミスによる漏洩ではなく、調布市がNEXCO東日本や国交省への便宜を図るため、故意に被害者の方の個人情報を提供していたのではないかとの意見すら出されています。

2.調布市のプレスリリース
調布市のプレスリリースをみると、『請求者の請求内容に、市以外のものに関する情報が記録されていたことから、…市以外のものの意見を聴く必要がありました。このため、意見を聴く必要のある関係機関に対して連絡する際に、請求者の個人情報が含まれた情報公開請求書を本日までに計9枚送付しました。その際に個人情報にマスキングを施すことを怠り、個人情報が漏えいする事案が発生いたしました。』と説明されており、漏洩した個人情報は、『請求者の住所、氏名、電話番号、電子メールアドレス』となっています。
・個人情報の漏えいに関するお詫びと御報告|調布市

調布リリース1
調布市リリース2
(調布市サイトより)

本プレスリリースは、この個人情報漏洩事故の原因を「日々の業務を行うなかで、個人情報保護への職員の意識が希薄であったことによるミス」としており、既に被害者の方への謝罪は行ったと記述しています。

しかし本プレスリリースは、調布市がこの事件を受けてどのような再発防止策を策定したのか、また関係者の処分や、総務省や個人情報保護委員会などに報告したのか等については一言も説明していないこと等は、個人情報漏洩事故に対する自治体の個人情報漏洩事故への対応として不十分であり、非常に問題であるといえます。

とくにマスメディアの報道によると、調布市はNEXCO東日本や国土交通省に対して9回も、被害者の方の個人情報を漏洩していたとのことですが、これは漏洩というより、調布市都市整備部街づくり事業課が、NEXCO東日本や国土交通省にわざと個人情報を提供していた可能性もあるのではないでしょうか?もしそうであるならば、情報公開制度の趣旨を没却するような行為であり、調布市はNEXCO東日本や国土交通省の共犯者ということになります。調布市は第三者委員会を設置する等して、この事件を十分調査するべきなのではないでしょうか?

3.調布市個人情報保護条例など
(1)個人情報保護条例上の市職員の個人情報に関する守秘義務
調布市個人情報保護条例をみると、同3条市職員の個人情報に関する守秘義務を定め、同46条は職員が個人情報を「自己又は第三者の利益のため」に漏洩した場合の罰則規定(1年以下の懲役又は50万円以下の罰金に)を置いています。

・調布市個人情報保護条例|調布市

条例3条
条例46条
(調布市サイトより)

しかし本件は、市職員のただのミスだったのか、あるいいは市職員がNEXCO東日本や国土交通省の利益のために個人情報を提供していたのか不明です。そのためこの罰則が適用されるかどうかは現段階では不明です。やはり調布市は第三者委員会などを設置して、十分な調査を実施すべきです。

(2)地方公務員法の公務員の守秘義務
また、地方公務員法34条公務員に対して守秘義務を課しています。この守秘義務には罰則(一年以下の懲役又は五十万円以下の罰金)も科されています(同60条1項2号)。この地方公務員法上の守秘義務違反は本件の調布市の役職員への適用の可能性があるのではないでしょうか。

(3)調布市の個人情報漏洩などを防止するための「適正管理」の義務
さらに、調布市個人情報保護条例10条2項は個人情報の漏洩等が発生しないように「適正管理」の措置を実施するように市に義務付けしています(岡村久道『個人情報保護法 第3版』516頁)。

条例10条

しかし本件では漏洩が9回も発生してるのですから、調布市の適正管理の義務違反は重大であり、調布市都市整備部の責任者や調布市長などは、適正管理の義務違反の責任を免れないと思われます。

この点、例えば2014年に発覚したベネッセの個人情報漏洩事件は委託先企業のエンジニアがベネッセの個人情報を持ち出して販売等した事件ですが、情報漏洩の被害者からベネッセへの損害賠償を求める民事訴訟において、最高裁平成29年9月29日判決は、ベネッセの安全管理措置(個人情報保護法20条)の実施が不十分であったとして、ベネッセの不法行為による損害賠償責任を認め(民法709条、個人情報保護法20条)、審理を東京高裁に差し戻しています。

また、地方自治体における個人情報漏洩事件については、宇治市が住民票データによる乳児検診システムのシステム開発をあるIT企業に委託したところ、その企業から再々委託を受けたIT企業の従業員が住民票データから住民の個人情報を持ち出し名簿屋に販売した事件に関して、裁判所は情報漏洩の被害者の住民のプライバシー侵害を認め、宇治市には情報漏洩をした従業員への実質的な指揮命令関係があったとして、宇治市に対して不法行為に基づく損害賠償責任を認定しています(民法709条、715条、宇治市住民票データ漏洩事件・大阪高裁平成13年12月25日判決、興津征雄「住民票データの漏洩」『新・判例ハンドブック 情報法 』(宍戸常寿編)199頁)。

したがって、もし仮に本件で被害者の方が調布市に対して損害賠償を求める民事訴訟を提起した場合、調布市の都市整備部の責任者や調布市長などは、個人情報の漏洩などの防止のための適正管理の措置が不十分であったとして、不法行為に基づく損害賠償責任(民法709条、調布市個人情報保護条例10条2項)を認める判決が出される可能性があるのではないでしょうか。

4.調布市の住民の個人情報の取扱
なお、調布市は従来より、市内の障害児のセンシティブな個人情報の医療データや学校の教育データなどの一元管理・集中管理を推進する政策(「i-ファイル」)を推進しているなど、住民の個人情報の保護を軽視し、行政などが住民の個人情報を利活用することを重視する傾向があります。このような調布市の住民の個人情報保護の軽視の風土が、今回の個人情報漏洩事件を招いたのではないでしょうか。

・調布市の障害児などの「i-ファイル」(iファイル)について-個人情報保護の観点から|なか2656のブログ

5.まとめ
調布市の陥没事故では、加害者のNEXCO東日本の被害者の方々への対応が非常に遅く、NEXCO東日本は事件の発覚から約1年後の本年10月15日になってようやく調布の長友市長に謝罪を行いました。
・東京・調布市 道路陥没事故から1年 NEXCO東日本社長が調布市長に謝罪|FNN

このように陥没事故に関するNEXCO東日本の被害者軽視の状況があるのに、調布市のこのNEXCO東日本や国交省への9回もの個人情報漏洩または個人情報の第三者提供は、被害者の方々に対して死体をむち打つかのような行為であり、調布の長友貴樹市長や都市整備部の責任者らの責任は重大です。

調布市は上でみたような簡単なプレスリリースを発表したのみで、長友市長や都市整備部の責任者などによる謝罪の記者会見などを実施していないのは、事の重大さを理解していないのでしょうか?

調布市は第三者委員会などを設置して本件を十分に調査し、NEXCO東日本や国交省に便宜を図るためにわざと調布市が被害者の方の個人情報を提供していたのではないか等を含めて調査を行い、個人情報漏洩事件の原因究明や再発防止策の策定、関係者の処分などを実施するとともに、まずは迅速に長友市長や都市整備部の責任者などが、謝罪の記者会見などを実施するべきではないでしょうか。

あるいは、調布市に個人情報漏洩事故対応の当事者能力が欠落しているのであれば、調布市議会は地方自治法に基づく百条委員会を設置するなどして、この個人情報漏洩事件の事故原因の調査や再発防止策の策定、関係者の処分などを実施すべきなのではないでしょうか。

このような国・自治体の個人情報の杜撰な取扱いや個人情報保護の意識の低さが、国民の国・自治体の個人情報保護行政やデジタル行政に関する深刻な不信感を招き、マイナンバーやマイナンバーカードなどへの国民の強い不信感につながっているのではないでしょうか。

政府のさまざまな施策にもかかわらず、マイナンバーカードの取得率は約5割にとどまっているようでありますが、これはマイナンバーカードやマイナンバー制度により国民の個人情報が国・自治体や大企業などにどのように利活用されるのか信用できないという、国民の国・自治体や大企業などへの強い不信感の表れであると思われます。

■追記(2021年11月13日)
11月12日付の東京新聞のスクープ報道によると、この調布市の個人情報の事件は、調布市職員のミスではなく、市職員が故意にNEXCO東日本や国交省などに情報公開請求を行った被害者の方の個人情報を提供していたとのことです。
・「前回同様、取扱厳重注意で」 調布市情報漏えい問題 市職員がメールで念押し|東京新聞
・調布市個人情報漏えい、身内も驚くずさん運用 「ミス」ではなく「そもそも送る必要はない」|東京新聞

東京新聞の記事によると、今回の事件に関して東京新聞は、調布市都市整備部街づくり事業課職員が東京外環国道事務所、NEXCO東日本、NEXCO中日本の各担当課長あてに情報公開請求を行った被害者の男性の情報公開請求書の画像データを氏名・住所などの部分をマスキングなどせずにそのまま添付して送信したメールを入手したとのことです。

情報公開請求申請書の画像
(メールに添付された情報公開請求の申請書の画像。東京新聞の記事より。申請者の氏名・住所等の部分は東京新聞がマスキング処理している。)

東京新聞によると、10月下旬、匿名の内部告発者から「我々と調布市のやりとりが度をこえていると感じましたのでお知らせします。あなたの個人情報が駄々洩れとなっています」との内部告発の手紙が情報公開請求をした被害者の方の自宅に届き、この事件が発覚したとのことです。東京新聞によると、同様の手紙が調布市の長友市長にも郵送されていたとのことです。

東京新聞の記事によると、情報公開制度を所管する調布市総務課の担当者は、取材に対して、情報公開請求への情報開示に関して、外部の機関と調整する必要がある場合であっても、外部の機関と具体的事実を示して開示する範囲をすり合わせれば足りるので、「そもそも情報公開の請求書の写しをそのまま送ることは考えられない」と回答しているとのことです。

また、東京新聞の取材に対して、NPO法人「情報公開クリアリングハウス」の三木由希子理事長は、「照会手続きで請求書を第三者に渡すことはあり得ない。調布市は外環道について、国交省やNEXCO東日本などとの境界線を失って一体化しているのでは」とコメントしているとのことです。

この東京新聞の記事によると、今回の調布市の個人情報漏洩事件は、調布市都市整備部街づくり事業課の担当者の個人情報のマスキング漏れなどのミスによる個人情報漏洩ではなく、情報公開請求の申請書の写しの画像をそのままNEXCO東日本や国交省などにメールなどで送付していた故意による個人情報の違法・不当な提供であったことになります。

情報公開請求者の個人情報を相手方に知らせることは、申請者に不利益処分や取扱いがなされる危険があり、また住民・国民が委縮して情報公開が適切に行われなくなるおそれがあるなど、情報公開制度の趣旨を没却する重大な違法・不当な行為です。

この点、調布市情報公開条例の第3条2項は「実施機関は,この条例の解釈及び運用に当たっては,個人の尊厳を守るため,個人に関する情報がみだりに公開されることのないよう最大限の配慮をしなければならない。」と規定し、市や市職員に対して情報公開請求をした住民の個人情報保護を要求しています。

調布市情報公開条例3条
(調布市情報公開条例3条。調布市サイトより)

つまり、今回の調布市都市整備部街づくり事業課の担当者の行為は、情報公開制度の趣旨・目的に反するだけでなく、調布市個人情報保護条例3条(守秘義務)、同10条2項(個人情報の安全確保)に違反し、地方公務員法34条(守秘義務)、同60条1項2号に違反し、調布市情報公開条例3条2項(個人情報保護)にも違反する重大な違法行為です。

また、この東京新聞の記事によると、今回の個人情報漏洩は「市職員の個人情報保護の意識の希薄化によるミス」であるとする11月10日付の調布市のお詫びのプレスリリースは、「嘘のリリースを出して事件をうやむやにしてしまおう」という意図による、全体として虚偽の内容のリリースであり、調布市都市整備部街づくり事業課だけでなく、調布市の広報部門や長友市長などを含めた調布市全体のコンプライアンスやガバナンスがボロボロであることを示す点で致命的な問題をはらんでいます。

情報公開制度は、国民主権の民主主義(憲法1条)の前提である国民の「知る権利」や表現の自由、言論の自由(憲法21条1項)のための重要な制度です。情報公開制度が正常に機能しなくなっては、民主主義がうまく動かなくなり、国・自治体の行政活動も正常に機能しなくなってしまいます。

情報公開の請求者の個人情報を違法に外部機関に提供していただけでなく、虚偽のプレスリリースを出した調布市都市整備部街づくり事業課や調布市の広報部門などの管理部門や長友市長らの責任は重大です。

長友市長や調布市都市整備部街づくり事業課は、従来からも、調布駅前の再開発に際して、多くの地元住民の反対の声を無視し、駅前の再開発計画の策定・実施や、それに伴う駅前広場の古くからの樹木の大量の伐採などを強行してきました。

・調布市の「調布駅前広場整備に関する説明会(平成29年度第2回)」に行ってきた
・タコ公園のある調布駅前広場の樹木の撤去に反対する署名活動が行われている

長友市長や調布市都市整備部街づくり事業課の反民主主義的で独裁的・専制国家的なスタンスが、今回の情報公開請求をした方の個人情報漏洩事件でも、いよいよ明らかとなったといえるのではないでしょうか。

調布市はこの事件について、外部の弁護士などによる第三者委員会を設置し、あるいは場合によっては調布市市議会が地方自治法に基づく百条委員会を設置するなどして、都市整備部とNEXCO東日本や国交省などとの癒着の問題を調査し、再発防止策を策定し、関係者の処分、被害者の方への謝罪、記者会見などを直ちに実施すべきです。

なお、次回の調布市長選は来年の2022年のようですが、次回の調布市の市長選挙は、この調布市とNEXCO東日本や国交省などとの癒着の問題や、個人情報漏洩事故の問題、長友貴樹市長や調布市都市整備部などの反民主的で独裁的・専制国家的なスタンスなどが大きな争点となるのではないでしょうか。

■追記(2022年5月21日)
東京新聞によると、本事件に関連して調布市は被害者の住民との面談の様子を無断で録音し、一字一句書き起こしたメモを作成し、NEXCO東日本などと情報共有していたことが情報公開請求により発覚したとのことです。
・調布陥没 市民との「面談メモ」 市職員、一字一句漏らさず業者に提供 住民が情報開示請求で文書入手|東京新聞

今回の工事で被害にあった方々は調布市の主権者たる住民であり、市役所が守るべき存在のはずですが、調布市役所は被害者の住民の方々を犯罪者予備軍とでも認識しているのでしょうか?まるで戦前のような市の姿勢は大いに疑問です。

長友貴樹・調布市長は長年市長を継続しているため、市長も市役所も腐敗が起きているのではないでしょうか。調布市議会は百条委員会を設置して問題の原因究明を行うべきなのではないでしょうか。そうでなければ住民側から住民監査請求・住民訴訟が提起されるように思われます。また長友市長と都市整備部の長は引責辞任すべきではないでしょうか。

本記事が面白かったらブックマークなどをお願いします!

■参考文献
岡村久道『個人情報保護法 第3版』516頁
興津征雄「住民票データの漏洩」『新・判例ハンドブック 情報法』(宍戸常寿編)199頁
・竹内朗・鶴巻暁・田中克幸・大塚和成『個人情報流出対応にみる実践的リスクマネジメント』31頁、46頁

■関連する記事
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて(追記あり)
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・デジタル庁の事務方トップに伊藤穣一氏との人事を考えた(追記あり)
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた

















このエントリーをはてなブックマークに追加 mixiチェック

kojinjouhou_rouei_businessman
1.事案の概要
1か月以上たっても公表・通知などを実施していない?
「プレジデントオンライン」サイトの7月13日付の記事「人材派遣のアスカが最大3万件の個人情報を流出」などによると、人材派遣業の株式会社アスカは、自社システムに仮登録されていた派遣社員の個人情報が最大3万件分が本年5月中旬にサイバー攻撃により漏洩したにもかかわらず、1か月以上経過しても公表、被害者本人への連絡などを行っていないそうです(7月16日現在)。

取材に対して、アスカ側は「調査を行っている途中」などと回答しているそうですが、1か月以上も個人情報の大規模な漏洩事故があったのに公表などを行わないことは法的に許されるのかが問題となります。

・人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず|プレジデントオンライン

2.法的に考えてみる
(1)労働者派遣法
労働者派遣法24条の3は、派遣元事業者の個人情報保護について規定しています。そして、「派遣元事業主が講ずべき措置に関する指針」(平成11年労働省告示第137号・平成30年厚生労働省告示第427号)の「11 個人情報等の保護」は、個人情報の収集、利用、保管、安全管理などともに、「(3)個人情報の保護に関する法律の遵守等」において、個人情報保護法「第4章第1節に規定する義務を遵守しなければならない」と規定しています。

(2)個人情報保護法
個人情報保護法第4章第1節は、個人情報を取り扱う事業者の義務を定めていますが、同法20条から22条までは、事業者の安全管理措置、従業員への監督、委託先への監督を規定しています。そして、個人情報保護委員会の個人情報保護法ガイドライン(通則編)は安全管理措置について規定しています。その上で、同委員会の「個人データの漏えい等の事案が発生した場合等の対応について」は、個人データの漏洩などの事故が発生した場合の対応についてつぎのように規定しています。

■個人データ漏洩事故が発覚した場合の対応(概要)
①事業者内部における報告及び被害の拡大防止
②事実関係の調査及び原因の究明
③影響範囲の特定
④再発防止策の検討及び実施
⑤影響を受ける可能性のある本人への連絡
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、 事実関係等について、「速やかに」本人へ連絡し、又は本人が容易に知り得る状態に置く。
⑥事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、 事実関係及び再発防止策等について、「速やかに」公表する。
⑦個人情報保護委員会または監督官庁への報告
扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、「速やかに」報告する
このように個人情報保護委員会の「個人データの漏えい等の事案が発生した場合等の対応について」は、個人データ漏洩事故が発生した場合には「速やかに」、⑤本人に連絡し、⑥事実関係などを自社サイトや記者会見などで公表し、⑦個人情報保護委員会や監督官庁に報告することを事業者に求めています。

ここで、「速やかに」の文言の意味が問題となりますが、多くの業法・行政法規が個人情報漏洩事故が発生した場合に、その発覚から1か月以内の報告を求めていることとの整合性から、少なくとも1か月以内に⑤本人に連絡し、⑥記者会見などで公表し、⑦個人情報保護委員会や監督官庁に報告しないと、事業者は同委員会の通達の趣旨に違反していることになると思われます(例えば保険業法127条など)。当該事業者は、個人情報保護法の趣旨に違反しているおそれがあることになります。

そもそも、このように個人情報漏洩事故が発生した場合にスピード感をもった本人への連絡や公表、監督官庁などへの報告の対応を事業者に法令が求めて趣旨・目的は、「二次被害の防止、類似事案の発生の防止」です。つまり例えば、顧客の個人情報が拡散してしまうことやクレジットカード情報などが第三者に利用されてしまうリスクの防止や、同じ業界で類似のサイバー犯罪が行われてしまうようなリスクの防止です。そうすると、個人情報漏洩事故が発覚したのに漫然と事業者が何週間も、あるいは何か月も対応を行わないことは、個人情報保護法の趣旨にも反しますし、顧客の信頼を裏切ることにもなります。

もし事業者が事実確認などに何週間もかかってしまうということになったら、当該事業者は「第一報」や「暫定版」などの連絡・報告・公表などを随時行うべきです(段階的な報告)。

こう考えると、個人情報漏洩事故が発覚してから1か月以上も顧客への連絡などを行っていない株式会社アスカは、個人情報保護法に違反しているおそれがあります。

(なお、EUのGDPR(一般データ保護規則)33条は、個人データ漏洩事故が発覚した事業者に対して72時間以内の個人データ保護当局への報告を義務付けています。EU国籍の顧客の個人データなどを取扱っている事業者はより迅速な対応が求められます。)

(3)個人情報保護法上の違反があった場合
上でみたように、労働者派遣法23条の3などは派遣元事業者に対して個人情報保護法上の事業者の義務を遵守することを求めています。

そして、同法などの違反があった場合について、労働者派遣法50条、51条は厚労大臣は派遣元事業者に対して報告徴求と立入検査を行う権限があることを定めています。さらに同法48条、49条は、厚労大臣は派遣元事業者に対して、指導・助言および改善命令・業務停止命令などを発出する権限があることを規定しています。 また、個人情報保護法も、同法40条以下において個人情報保護委員会は事業者に対して報告徴求、立入検査を行う権限があり、また個人情報保護に関して指導・助言を行う権限があることを規定しています。

(4)まとめ
つまり、個人情報漏洩事故を起こし、漫然と顧客への連絡や事実の公表などを1か月以上実施していない株式会社アスカは、監督官庁である厚労省だけでなく個人情報保護委員会から報告徴求、指導・助言などの行政指導等を受ける行政上の法的リスクが存在することになります。

(5)個人情報漏洩の場合の対応の法的義務化
なお、7月15日付の日経新聞によると、政府は2022年にも一定規模以上の個人情報漏洩事故が発生した場合に、事業者に対して顧客への連絡・通知を行うことを義務付ける方針であるとのことです(日経新聞「サイバー被害、全員に通知 個人情報漏洩で企業に義務」2020年7月15日付)。

■参考文献
・岡村久道『個人情報保護法 第3版』235頁
・小向太郎・石井夏生利『概説GDPR』106頁









このエントリーをはてなブックマークに追加 mixiチェック

ベネッセトップ
(ベネッセのウェブサイトより)

1.はじめに
本日の日経新聞によると、2014年のベネッセの個人情報漏洩事件に関する個人情報が漏洩した被害者約180人による損害賠償を求める民事訴訟において、東京地裁は「慰謝料が発生するほどの精神的苦痛は発生していない」として被害者側の訴えを退けたとのことです(東京地裁平成30年6月20日判決)。これには驚いてしまいました。

・個人情報流出「慰謝料生じず」ベネッセ事件で東京地裁、賠償請求退ける|日経新聞

■関連するブログ記事
・ベネッセの個人情報漏洩事故につき経産省ガイドラインの法的拘束力を認めるも情報処理推進機構のガイドラインの拘束力は認めなかった裁判例-千葉地判平成30・6・20

2.ベネッセ事件に関する平成29年10月の最高裁判決
このベネッセの個人情報漏洩事故に関しては、別の被害者らによる民事の損害賠償請求訴訟が提起されており、地裁・高裁が被害者側の主張を認めなかったところ、最高裁はつぎのように述べて被害者側の主張を認め、事案を大阪高裁に差し戻しているところです(最高裁平成29年10月23日判決)。

『本件個人情報は、上告人らのプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照)、上記事実関係によれば、本件漏えいによって、上告人は、そのプライバシーを侵害されたといえる。
 しかるに、原審は上記のプライバシーの侵害による上告人の精神的損害の有無およびその程度について十分に審理(していない。)』

3.早稲田大学講演会リスト提供事件
この平成29年の最高裁判決が引用している最高裁平成15年9月12日第二小法廷判決とは、早稲田大学で当時の中国の元首が講演をした際にそれを聴講した学生らの氏名、住所などのリストを大学当局が学生らに無断で警察当局に提供したという事件です。

この平成15年の最高裁判決は、ごくおおまかに要約すると、「たとえ氏名、住所などの情報は私的な情報として秘匿されるべき程度が低いとしても、それらの情報と、中国の要人の講演会に出席していたという情報がセットで第三者に提供されたことにより、本人の思想・信条などが推知されることとなるので、プライバシー権の侵害はあったといえる」というものです。

つまり、平成29年10月の最高裁は、平成15年の早大講演会リスト提供事件の判例を引用することにより、「氏名、住所などの情報は個人情報として保護されるべき程度が低い」と言い切ってしまったかつての住基ネット訴訟における最高裁判決とは違った立場をとっているのです。

4.本日の東京地裁判決を考える
今回のベネッセ個人情報漏洩事件においても、顧客の生徒・その親などの氏名、住所などが漏洩しただけでなく、それらの個人情報が、ベネッセの会員であった、ベネッセの〇〇の講座を受講していた等の情報とセットで漏洩してしまっています。

その結果、生徒やその親がベネッセの会員であり、進学に関心をもっていることなどの秘匿されるべきプライベートな事柄がセットで漏洩してしまっているのですから、従来の住基ネット訴訟判決ではなく早大講演会リスト提供事件の判断枠ぐみを採用すべきことは明らかです。

ところが、本日出された東京地裁の判決は、住基ネット訴訟の「氏名、住所などの個人情報はかりに漏洩しても私的な情報として価値が低い」という点を重視しているようであり、法的判断を誤っています。もし大学法学部の憲法の期末試験などで学生がこんな答案を書いたら単位はもらえないでしょう。

5.出産予定日などの情報の漏洩
なお、今回のベネッセ個人情報漏洩事件においては、妊娠中の女性の出産予定日というデリケートな個人情報も漏洩してしまっています。近年改正された個人情報保護法は、病歴などのセンシティブ情報を「要配慮個人情報」として明文化しました(2条3項)。妊娠している事実や出産予定日などは病歴ではありませんが、それに準じるセンシティブな個人情報です。

このようなデリケートでプライベートな度合いの高い個人情報が漏洩しているのに、「精神的損害は発生していない」とする本日の東京地裁が正しいとは、この点でも思えません。

6.お詫び料と損害賠償
さらに、本東京地裁判決は、ベネッセが被害者の顧客らに対して一人あたり500円の「お詫び料」を支払っていることも総合考量において重視して、「原告らに精神的損害はない」との判断をしているようです。しかしこの点も正しくありません。

お詫び料とは、あくまでも加害者企業が被害者顧客に対して「誠意の意思」を示すことや、「企業イメージの低下を防ぐため」に出捐する金銭であって、損害賠償とは性質が異なります。東京地裁は考慮してはならない事項を考慮して判決を出しているので、この点も間違っています。

本日の東京地裁判決に関しては、原告らが即日控訴したそうであり、東京高裁などがまともな判断を出すことが待たれます。

7.具体的な損害額の値段
ところで、上級審がベネッセ側の損害賠償責任を認めたとして、具体的な損害賠償額がいくらとなるかも気になる点です。

この点、大組織による個人情報漏洩事故における被害者の損害が争点となったリーディングケースである、宇治市住基台帳漏洩事件においては、被害者一人あたり1万円の損害が認定されました(大阪高裁平成13年12月25日判決)。

また、上でみた早稲田大学事件においては、被害者一人あたり5000円の損害が認定されています。

さらに、女性のスリーサイズなどの情報を含む個人情報の漏洩が問題となった、TBC事件においては、被害者一人あたり1万7000円または3万円の損害が認定されています。

したがって、つぎの東京高裁が被害者側の損害の発生を認めた場合、その金額は、出産予定日などのセンシティブな個人情報が漏洩してしまった被害者については1万7000円~3万円、それ以外の被害者については5000円~1万円の損害が認定されるのではないかと思われます。東京高裁のまともな判断が待たれます。

■関連するブログ記事
・ベネッセの個人情報流出事件の民事訴訟(最高裁平成29年10月23日)ー損害賠償額はいくらに?

■参考文献
・竹内朗・鶴巻暁『個人情報流出対応にみる実践的リスクマネジメント』37頁
・棟居快行「講演会参加者リストの提出とプライバシー侵害」『憲法判例百選Ⅰ 第6版』44頁
・日経コンピュータ『あなたのデータ、「お金」に換えていいですか?』60頁、61頁

個人情報流出対応にみる実践的リスクマネジメント (別冊NBL (No.107))

プライバシー大論争 あなたのデータ、「お金」に換えてもいいですか?

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ