人権大会基調報告書で分担した部分の一部として、近年誤解が多い、「個人情報保護法を遵守していたら、個人情報の利活用はどのようにしても適法である」という考え方が誤っていることについて、以下の通り記載しています。

https://www.nichibenren.or.jp/document/symposium/jinken_taikai.html

（２０２２年度第２分科会基調報告書ｐ２９５～３０１）

第２　プライバシー保護を図る判例理論との関係について

１　はじめに

　個人情報保護法は、2003年５月に制定され、2005年４月１日に完全施行された。

　ところで、日本では、個人情報保護法の制定より以前から、プライバシー権が保障されることが判例法により確立していた。

　個人情報保護法の保護の対象は、プライバシー権の保護の範囲よりも広い反面、保護の程度は低く、いわば「広く浅く」個人情報を保護する内容となっている。

　個人情報保護法の制定当初は、判例法により認められているプライバシー権の保護基準について、法律実務家は十分意識して、個人情報保護法の適合性と区別して考えていた。しかし、近年は、その意識が希薄化しつつあるように思われる。そこで、以下、個人情報保護法とプライバシー保護の違いを検討しつつ、希薄化しつつあるプライバシー保護の復権を提言したい。

２　判例法によるプライバシー保護

　日本において、裁判例でプライバシー保護が最初に打ち出されたのは、「宴のあと」事件判決（東京地判1964（昭和39）年９月28日（判時385号724頁））だと言われている。そこで打ち出されたプライバシー権侵害の要件は、以下の通りであった。

① 公開された内容が

ア　私生活上の事実らしく受け取られるおそれのある事柄であること

イ　一般人の感受性を基準にして当該私人の立場に立った場合公開を欲しないであろうと認められる事柄であること

ウ　一般人に知られていない事柄であること

② このような公開によって、当該私人が実際に不快、不安の念を覚えたこと

  また、結論として、政治家をモデルとした小説の出版に対し、プライバシー権を「私生活をみだりに公開されないという法的保障ないし権利」とし、その侵害に対しては、民法709条により侵害行為の差止めや精神的苦痛による損害賠償請求権が認められるべきとの判断を行った。そして、損害賠償請求を認めた。

  その後、同様の基準による裁判例が蓄積されている。そのため、他人に知られたくない私的なことを公開あるいは第三者提供されない権利としてのプライバシー権は、判例法で確立したものと言える。

　その後、「石に泳ぐ魚」事件で、最判2002（平成14）年９月24日（判事1802号60頁）は、「予想される侵害行為によって受ける被害者側の不利益と侵害行為を差し止めることによって受ける侵害者側の不利益とを比較衡量して決すべきである。」として、「プライバシー及び名誉感情の侵害」により、小説の差止請求を認容した。「名誉感情」は、刑法における侮辱罪の保護法益とされているにすぎないことを考慮すると、出版行為の差止めという表現の自由に対する制限の文脈においても、プライバシー保護は相当程度重視されているといえる。

  また、他人に知られたくない私的情報も、時代ごとに、社会の意識の変化に伴ってその範囲を拡大してきた。

　住居情報についても、「ジャニーズおっかけマップ･スペシャル」事件において、東京地判1998（平成10）年11月30日（判時1686号68頁）は、「一般に、個人の自宅等の住居の所在地に関する情報をみだりに公表されない利益は、プライバシーの利益として法的に保護されるべき利益と言うべきである」として、要保護性を肯定した。東京地判1998（平成10）年１月21日（判時1646号102頁）は、嫌がらせ電話などで悩んだ経験を有している一般人である電話加入権者が、自己の氏名･住所･電話番号を電話帳に掲載しないよう求めていたにもかかわらずＮＴＴが誤って掲載した事案で、プライバシー侵害を認めた。最判2003（平成15）年９月12日（判タ1134号98頁）は、大学が開催した中華人民共和国の国家主席の講演会への参加希望学生の名簿を作成し、警視庁に提供した事案で、「学籍番号、氏名、住所及び電話番号は、Ｄ大学が個人識別等を行うための単純な情報であって、その限りにおいては、秘匿されるべき必要性が必ずしも高いものではない。また、本件講演会に参加を申し込んだ学生であることも同断である。しかし、このような個人情報についても、本人が、自己が欲しない他者にはみだりにこれを開示されたくないと考えることは自然なことであり、そのことへの期待は保護されるべきものであるから、本件個人情報は、上告人らのプライバシーに係る情報として法的保護の対象となるというべきである。」とした上で、事前に承諾を求めることが容易であったにもかかわらずこれを怠り、提供した行為を不法行為としたため、基本的な個人識別情報であっても、プライバシー侵害が認められ得ると理解されるようになった。

　他方、そもそも、公開あるいは第三者提供の段階以前である、情報の収集段階からの自由も、認められてきた。

  京都府学連事件で、最判1969（昭和44）年12月24日（刑集23巻12号1625頁）は、憲法13条を引用した上で、「個人の私生活上の自由の一つとして、何人も、その承諾なしに、みだりにその容ぼう･姿態（以下、「容ぼう等」という）を撮影されない自由を有するものというべきである。これを肖像権と称するかどうかは別として、少なくとも、警察官が、正当な理由もないのに、個人の容ぼう等を撮影することは、憲法13条の趣旨に反し、許されないものといわなければならない。」として、法律、承諾、又は令状がない場合の警察官による容ぼう等の撮影は、現行犯的状況、証拠保全の必要性及び緊急性、相当な方法の要件がそろわない限り許されないとした。

　最判1995（平成７）年12月15日（刑集49巻10号842頁）は、外国人登録法に基づく指紋押捺について、「性質上万人不同性、終生不変性をもつので、採取された指紋の利用方法次第では個人の私生活あるいはプライバシーが侵害される危険性がある。」、憲法13条は、「国民の私生活上の自由の一つとして、何人もみだりに指紋の押捺を強制されない自由を有するものというべきであり」として、一般論としての指紋押捺拒否権を認め、これを制限する必要性、相当性を審査し、その制限が許されるとした。

  さらに、住基ネット訴訟において、最判2008（平成20）年３月６日（判タ1268号110頁）は、京都府学連事件判決を引用して、「憲法13条は、国民の私生活上の自由が公権力の行使に対しても保護されるべきことを規定しているものであり、個人の私生活上の自由の一つとして、何人も、個人に関する情報をみだりに第三者に開示又は公表されない自由を有するものと解される」とした。そして、問題となる個人識別情報である「氏名、生年月日、性別及び住所から成る４情報に、住民票コード及び変更情報」については、秘匿性が高くないとし、法令等の根拠に基づき正当な行政目的の範囲内で行われているなどと判断した上で、「住基ネットにシステム技術上又は法制度上の不備があり、そのために本人確認情報が法令等の根拠に基づかずに又は正当な行政目的の範囲を逸脱して第三者に開示又は公表される具体的な危険が生じているということもできない。」とした。

　ここで示された規範は、引用された京都府学連事件判決が、肖像権というプライバシー権の一態様と考えられていた権利だけでなく、個人識別情報をもカバーするプライバシー権全体の理論的根拠を提供していたことをうかがわせる。

　また、プライバシー侵害の判断基準としては、表現の自由との調整が争点となった事案が多く、少年実名報道事件で、最判2003（平成15）年３月14日（判タ1126号97頁）は、「プライバシーの侵害については、その事実を公表されない法的利益とこれを公表する理由とを比較衡量し、前者が後者に優越する場合に不法行為が成立するのであるから」として、前科等に関わる事実の公表が争点となった「逆転」事件判決（最判1994（平成6）年２月８日）を引用し、「本件記事が週刊誌に掲載された当時の被上告人の年齢や社会的地位、当該犯罪行為の内容、これらが公表されることによって被上告人のプライバシーに属する情報が伝達される範囲と被上告人が被る具体的被害の程度、本件記事の目的や意義、公表時の社会的状況、本件記事において当該情報を公表する必要性など、その事実を公表されない法的利益とこれを公表する理由に関する諸事情を個別具体的に審理し、これらを比較衡量して判断することが必要である。」として、プライバシー侵害の一般的な判断基準であることを示した。

  このように、肖像権を一つの例とするプライバシー権が憲法13条で保障されていること、その内容は、少なくとも、他人に知られたくない私的情報をみだりに公表･第三者提供されない自由であること、肖像権や指紋等のセンシティブ情報については、収集を拒む自由が同様に憲法13条で保障されていることは、いずれも最高裁判例で確立している。

　他人に知られたくない私的情報を収集されない自由が、肖像権やセンシティブ情報のように認められるのかは、最高裁判決でははっきりしないが、法廷無断撮影公表事件において、最判2005（平成17）年11月10日（判タ1203号74頁）は、「ある者の容ぼう等をその承諾なく撮影することが不法行為法上違法となるかどうかは、被撮影者の社会的地位、撮影された被撮影者の活動内容、撮影の場所、撮影の目的、撮影の態様、撮影の必要性等を総合考慮して、被撮影者の上記人格的利益の侵害が社会生活上受忍の限度を超えるものといえるかどうかを判断して決すべきである。」としている。

　この考え方をプライバシー情報の収集局面全般に及ぼし、指紋押捺事件判決の判断枠組み同様、いったん同意なく収集されない自由があるという前提を置いた上で、その情報を収集すべき必要性、相当性を判断して比較衡量により不法行為の成否を決するという枠組みを採用する余地はあると思われる。また、正当性なくあるいは必要性･相当性がない状態でプライバシー情報を収集した場合、一般的に不法行為は成立しないというより、個別利益衡量により不法行為が成立しうるとするのが判例理論と整合的ではないかと思われる。

３　個人情報保護法の規律枠組み

　これに対し、個人情報保護法は、その保護範囲を最初から個人識別情報とし、他人に知られたくない私的情報より広く設定している。

　他方、その収集、利用等に対しては、利用目的を特定し、公表することを最低限度求めているにすぎない。もちろん、収集した後の正確性の確保、安全管理、開示等の義務を負うが、そもそも本人に個別に利用範囲を知らせ、同意をする機会を与えないままに個人情報を収集することを妨げていない。また、そのように収集された後も、本人が容易に知り得る状態に置いていれば、本人に通知することなく第三者への提供が許される場合がある。

　そのため、ＩＤを明示した上でログインすることなくインターネットで行った閲覧履歴について、その全貌がクッキーをもとにＩＰアドレスとひも付けられているにもかかわらず、多くの市民は、そのことを十分認識することなく、かつ全くその利用範囲を知ることのできない状況のまま自由自在に情報を

収集され、広告利用等に供されてきた。

　現在、デジタルプラットフォーマーが保有する市民の情報は、誰もが「他人に知られたくない私的情報」の程度に至っているが、その収集･利用行為について、プライバシー権保護との利益衡量を図ってもらえる機会は乏しい。その最大の原因は、個人情報保護法による保護の程度が構造的に低いこと、また、デジタル社会においては、単なる個人識別情報が、ばらばらの閲覧履歴、移動履歴等を統合するマスターキーとして利用できるため、従来そう評価されてきたような要保護性の低い情報とは言えず、インターネット上でマスターキーとして使用される場合にはセンシティブ性を有するに至っていることなど、個人識別情報の要保護性が飛躍的に大きくなっていることに対応できていないことにあると思われる。端的に言うと、クッキー等を事前同意なしに収集･利用できないものとして規制してこなかったことに原因がある。

  さらには、個人情報保護法は、施行後も2009年、2015年、2016年、2018年、2020年、2021年と改正が繰り返され、民間事業者においても、指導すべき立場にある法律実務家においても、対応できるためのアップデートを繰り返し求められてきた。

　特に、2015年改正においては、第１条（目的）において、従来「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。」とされていたところの冒頭に「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の」との文章が付加され、「個人の権利利益を保護する」との目的が希薄化された。さらに、要配慮個人情報という概念が導入され、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見、その他の不利益が生じないようにその取り扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」は、原則として同意なく収集できないこと、オプトアウトの方法での第三者提供ができないことなどが定められた。要配慮個人情報という概念の設定は、プライバシー保護のための前進のように見える。しかし、前項で検討したように、そもそもセンシティブ情報は、同意なく取得できないことは判例理論でも承認されていたから、判例理論を前提とすると、逆に例外的に同意なく収集できる場合が形式列挙され（法令に基づく場合など）、個別の利益衡量を図る機会がないまま、形式判断で同意なく収集、第三者提供ができるように読めるため、仮にこの規定が判例理論より優越すると解釈するとプライバシー保護のレベルは低下することになってしまう。

　しかし、そもそも個人情報保護法の保護範囲と保護の程度は制定当初から「広く浅く」であり、プライバシー保護のために数十年構築され、進化してきた判例理論とは別次元であるから、このような解釈は誤っている。

　個人情報保護法は、あくまでもプライバシー保護を図る判例理論より一段低いレベルにおける個人識別情報全般に対する取り扱いを向上させる目的の制度であるから、個人情報保護法に適合していても、比較衡量によりプライバシー侵害の不法行為が成立することはある。

　日弁連は、2010年に、主にグーグルストリートビューサービスを念頭に置いて、「多数の人物・家屋等を映し出すインターネット上の地図検索システムに関する意見書」を公表し、グーグル社の行為について、肖像権侵害の不法行為が成立するとした（https://www.nichibenren.or.jp/document/opinion/year/2010/100122_4.html）。ここでは、主に肖像権侵害が問題となったが、個人情報保護法適合性は基本的に検討していない。プライバシーポリシーに、「町並みを３６０度カメラで撮影し、人の容ぼうはぼかしをかけた上で、インターネット上の地図に連動させて公開します」という、肖像権の利用目的を自社のホームページに掲載すれば、収集と公開の形式要件は満たしてしまうからである（当時、グーグル社は、その記載すら怠っていたが。）。

　要配慮個人情報という概念が設定されたことは、実社会で混乱を招いているのではないかという懸念がある。それは、この条項を反対解釈すると、「要配慮個人情報に該当しない情報は、全て利用目的の公開を条件として収集してよい」との結論に至るからである。もちろん、このような解釈は誤りだが、誤解を前提としているのではないかとの実例は増えている。

　筆者の個人的経験として、2020年に携帯電話の機種変更を行った際、販売店の店員はタブレット端末へのタップによる契約情報の入力を私に求めた。ある段階で、収入の記入（８段階くらいの収入ランクがあり、その中から選択する形式）を求められ、回答したくないといったが、回答しなければ次の項目に進めず、契約はできない建付けになっていた。プライバシー・バイ・デザインとは逆の、プライバシー侵害･バイ･デザインである。店員に疑問を述べても、そもそも記入をしたくない人がいるかもしれないとか、プライバシー権のことを考える必要があるかもしれないといった意識は感じられなかった。また、2022年に都市銀行に同行の休眠状態となった外貨預金口座を別途開設しようとしたところ、タブレットによる申し込みでは、500万円未満から３億円以上までの７段階の資産総額のいずれかを選択しない限り先に進めない建付けとなっていた（同行は、収集できる根拠を金融商品取引法40条と説明したが、同条文は、金融商品の勧誘に際し、リスクの十分な説明と理解を求めるよう金融機関に義務づける内容であり、為替リスクの説明等を伴うことなく資産情報を収集すること自体は関連性がない。しかも既に過去に為替リスクの説明を伴い開設済みの口座を再開設するという場面で、資産情報を収集することはなおさら関連性に欠ける。）。結局、紙での申し込みで「不明」を選択し開設されたが、タブレットによる申し込みではこの選択肢自体が全く存在しない。現在のデジタル化は、プライバシー情報の事実上の強制的取得と一体化して進められている感が強い。

  ＧＤＰＲでは、個人情報全般に対し、収集から始まる処理全体に対して、データ最小限化の原則が求められている。５条１項Ｃ号は、「処理される目的との関連において必要な範囲で適切に、関連性を有し、限定されなければならない」とする。

　携帯電話の購入も、例えば、収入額が一定以下なら契約しないとか、保証人を付けるなどの区別取り扱いをするという場合なら、収入申告の必要性がある場合も考えられなくはない。しかし、仮にその区別取扱いが適法な場合も、その額以下かとそれ以上かを区別すれば目的との関係で十分であり（必要最小限）、それ以上区分するのは携帯電話会社又は販売会社側の利益のためにすぎないから、回答を拒否する選択肢が与えられる必要がある。

　このような考え方は、収入情報が他人に知られたくない私的情報だという、従来の常識的な解釈からすると、以前は当然だったのではないか。

  個人情報保護法の定着により、かえってプライバシーの実社会での保護水準が低下し、必要もなく私企業に収入を回答することを迫られるとしたら、それは本来の法の目的とは合致していないと思われる。しかも、デジタルを不同意という選択をさせないための手段にすることは、「プライバシー・バイ・デザイン」に逆行している。

　さらに、本年、個人情報保護委員会は、「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」を開催している。日弁連は、既に述べたように、顔認証システムが法律による厳格なルールのないまま社会で活用されることに繰り返し反対する意見書を提出してきた。2021年11月には、「鉄道事業者における顔認証システムの利用中止を求める会長声名」を公表した。

（https://www.nichibenren.or.jp/document/statement/year/2021/211125.html）。ＪＲ東日本は、顔認証システムの運用を開始する前に個人情報保護委員会に相談したところ、問題はない旨の回答を得たと報道機関に説明している。しかしながら、顔認証システムの利用には、単なる個人情報保護法適合性の問題ではなく、指紋をはるかに超える個人識別性を備えた顔認証データというセンシティブ情報の収集、利用の問題が含まれているから、ＧＤＰＲが定めるように、原則として収集は禁止されるものと取り扱うのが、我が国のプライバシー保護に関する判例理論とも適合する。

　数十年の理論構築の歴史、デジタル社会化という変化、デジタル化に伴う市民の意識の変化を反映し、最高裁判所を始めとした司法は徐々にプライバシー保護の範囲を拡大してきた。そこで形成された判例理論によるプライバシー保護水準を、本来プライバシー保護に専念する機関と期待され、憲法やそこで保障された人権を保護するために活動することが期待されている第三者機関である個人情報保護委員会が、切り崩し、逆にプライバシー侵害にお墨付きを与えていくのでは、単なる運用上の誤りという問題を超えて、人権保障のシステムを揺るがす大問題ではないか。

　司法によるプライバシー保護のための努力や理論、司法を通じて人権保障を図るという憲法の構造を脅かさないためのシステムの再構築が不可欠なゆえんである。