ITエンジニアは,個人情報保護法に違反しないよう,企業情報システムにおける顧客データベースの取り扱いには十分注意する必要がある。

 インターネット接続会社,ニフティの電子掲示板に,診療所を開業していた眼科医が活発に書き込みを行っていた。この眼科医が他の会員を誹謗・中傷している,と考えた別の会員が,眼科医の氏名,職業,診療所の住所・電話番号を掲示板に書き込んだ。

 書き込みが行われた日は34回,翌日には10回,診療所にいたずら電話がかかってきた。さらに,注文していない商品が合計3回,通信販売会社から診療所に配達された。こうした嫌がらせのために眼科医は体調を崩し,内科医の診療を受けた。

 眼科医は,「プライバシを侵害された」として,個人情報を書き込んだ会員に損害賠償を求める訴訟を起こした。訴えられた会員は,「眼科医の氏名,職業,診療所の住所・電話番号はNTTの職業別電話帳に公表されている情報なので,プライバシの侵害には当たらない」,と主張して争った。

 裁判所は,「職業別電話帳に診療所の住所・電話番号を掲載したのは,営業目的のためであり,その情報を勝手に掲示板に書き込むのは,他人に知られたくない個人の私的な事柄をみだりに公開する行為でありプライバシ侵害に当たる」と判断。個人情報の書き込みを行った会員に対して,慰謝料20万円と診療費相当額の損害賠償をするよう命じた。(神戸地方裁判所1999年6月23日判決,判例時報1700号99頁)

 今回は,2003年5月23日に成立した「個人情報の保護に関する法律(個人情報保護法)」に焦点を当てる。この法律は,事業者が保有する個人のプライバシにかかわる情報の取り扱い方法と行政機関による監督を定めたものである。

 ITエンジニアにとっても,システム構築の際に個人のプライバシにかかわる情報を含む顧客データベースを扱うことがあるだろう。この際に,個人情報の取り扱いに関して法律でどんな義務が規定されているのか,しっかりと理解しておいて欲しい。

 個人情報保護法の説明に入る前に,まずプライバシとは何かを説明しておこう。個人のプライバシとは,(1)私生活上の事実または私生活上の事実らしく受け取られる恐れのある事柄であり,(2)一般の人にまだ知られておらず,(3)一般の人の感受性を基準としたときに公開を欲しないであろうと認められる事柄を言う。これを一般の人に公開させずにおく権利が,プライバシの権利である。

70年代から欧米で法制化

 歴史的に見ると,19世紀後半の米国で,私生活の暴露を売り物とするイエロー・ジャーナリズムに対処するために,初めてプライバシの権利が主張されるようになった。冒頭のニフティ掲示板事件の判例を見れば,どんな情報がプライバシと認定されるか,お分かりいただけるだろう。

 ニフティ掲示板事件は,掲示板にプライバシにかかわる情報を書き込んだケースだが,最近では多くの企業がこうした情報を含む顧客情報を持っており,企業から顧客情報が流出する事件も新聞紙面を賑わせている。類似の事件が増えるにつれ,自分の個人情報がどの企業のどのコンピュータに保存されているのか,保存されている情報は正確なものか,不当な目的で利用されていないか――などの不安が生じるようになった。

 このような不安を解消するため,欧米諸国では早くから行政機関や企業が保有する個人情報を保護する法律の制定が始まった。1970年には,信用情報機関が持つ個人の信用情報を保護する「公正信用報告法」が米国で制定され,73年には行政機関と企業が持つ個人情報を保護する「データ法」がスウェーデンで制定された。日本でも88年に,「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が成立し,2003年5月23日に個人情報保護法が成立した。いずれの国の法律も,経済協力開発機構(OECD)の「プライバシ保護と個人データの国際流通についてのガイドラインに関する理事会勧告」で定めた原則(表1)を考慮した内容になっている。

表1●「プライバシ保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」で定めた8原則
[画像のクリックで拡大表示]
表1●「プライバシ保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」で定めた8原則

企業に幅広い義務

 個人情報保護法の対象になるのは,「個人情報データベースを事業の用に供している者」(個人情報取扱事業者)である。規制対象となるのは,5000人以上の個人情報を利用している企業や行政機関だ。5000人程度の顧客情報を持っている企業はめずらしくないので,対象となる企業は極めて多い。

 個人情報保護法は,個人情報の利用目的を本人に通知・公開することや,個人情報が流出しないように従業員や委託業者を監督することを義務付けており,不正な手段で個人情報を取得することを禁じている。また,本人が個人情報の開示を求める権利を認め,情報内容が事実に反する場合には訂正・削除を要求できる。

 法律に違反した場合,個人情報取扱事業者の所管大臣が「勧告」や「命令」を行い,それでも是正されない場合,従業員や代表者に6カ月以下の懲役または30万円以下の罰金が課せられる。個人情報保護法で保護される個人情報を分類して表2に示したので,参考にして欲しい。

表2●個人情報保護法で保護する個人情報の種類
[画像のクリックで拡大表示]
表2●個人情報保護法で保護する個人情報の種類

 このように個人情報は,個人情報保護法でも行政的に保護されるようになったが,それ以前に,そもそも個人のプライバシを公開するプライバシ侵害行為は,民法の不法行為(前回を参照)に当たり,損害賠償請求,差止請求(出版物の発行禁止,電子掲示板からの削除)の対象となる。この点も覚えておいて欲しい。

辛島 睦 弁護士
1939年生まれ。61年東京大学法学部卒業。65年弁護士登録。74年から日本アイ・ビー・エムで社内弁護士として勤務。94年から99年まで同社法務・知的所有権担当取締役。現在は森・濱田松本法律事務所に所属。法とコンピュータ学会理事
出典:日経ITプロフェッショナル 2003年7月号 170ページより
記事は執筆時の情報に基づいており、現在では異なる場合があります。