Google Mapsの個人情報DB等該当性を否定した判決の含意/個情法18条~21条は散在情報を対象としていない可能性について

伊藤先生のグーグルマップは個人情報データベース等か 東京地判令5.10.4(令4ワ26758) - IT・システム判例メモを読んで、気になったことがあったのでメモしておきます。前提が長いので、一旦飛ばして読まれたほうがよいかもしれません。

 

前提

個人情報保護法の条文等

  • 個人情報保護法は、概ね、個人に関する情報で特定の個人を識別できるものを「個人情報」と命名した上で、これを体系的に構成したものを「個人情報データベース等」と命名し、これを構成する個人情報を「個人データ」と命名し、さらに、そのうち個人情報取扱事業者が開示等の権限を有するものを「保有個人データ」と命名している。
  • 個人情報保護法の多くの条項は「個人データ」の取扱いを規制している。「個人情報」が対象となっているのは、取得に関する規定(17条、18条、20条、21条)と不適正利用禁止規定(19条)である。
  • 取得に関する規定が「個人情報」を対象としているのは、「いずれ個人情報データベースに記録され「個人データ」となるものであっても、取得段階では「個人情報」の状態であることによる」と説明されている(園部逸夫=藤原靜雄編『個人情報保護法の解説 第三次改訂版』149頁(ぎょうせい、2022))。不適正利用禁止規定が「個人情報」を対象としている理由は明らかではないが(なお、利用は取得を含まない。園部=藤原編・前掲158頁)、一般条項的な規定であることから、できる広くしたかったのかもしれない。
  • 本人の権利(開示、訂正・追加・削除、利用停止・消去)に関する規定は、「保有個人データ」が対象とされている。例えば、個人情報取扱事業者Aが個人情報取扱事業者BにXを本人とする個人情報の取扱いを委託していた場合、Aは開示等の権限を有するが、Bはこれを有しないので(そのように解釈されている)、Xは、Aに対してのみ開示等の請求をすることができる。
  • 利用停止請求権は、以下の場合に認められる:
    • 取扱い又は取得が18条(利用目的による制限)、19条(不適正利用)、20条(適正取得)に違反する場合。
    • 提供が27条1項(第三者提供)、28条(外国第三者提供)に違反する場合。
    • 利用の必要性がなくなった場合、漏えい等が生じた場合、その他本人の権利利益が害されるおそれがある場合。

 

Google事件決定(日本)

  • 最高裁判所は、2017年、児童買春により逮捕され、罰金刑に処せられた者が、Googleに対し、プライバシーに基づき、検索結果から逮捕報道(控訴審の口頭弁論終結時から見て5年前)のURL等情報(URL、記事名、スニペット)の削除を求める仮処分を申し立てた事件で、以下の判断を示した
  • 「検索事業者が,ある者に関する条件による検索の求めに応じ,その者のプライバシーに属する事実を含む記事等が掲載されたウェブサイトのURL等情報を検索結果の一部として提供する行為が違法となるか否かは,①(a)当該事実の性質及び内容,(b)当該URL等情報が提供されることによってその者のプライバシーに属する事実が伝達される範囲とその者が被る具体的被害の程度,(c)その者の社会的地位や影響力,(d)上記記事等の目的や意義,(e)上記記事等が掲載された時の社会的状況とその後の変化,(f)上記記事等において当該事実を記載する必要性など,②当該事実を公表されない法的利益と当該URL等情報を検索結果として提供する理由に関する諸事情を比較衡量して判断すべきもので,③その結果,当該事実を公表されない法的利益が優越することが明らかな場合には,検索事業者に対し,当該URL等情報を検索結果から削除することを求めることができるものと解するのが相当である」。当該事案では結論として削除を認めなかった。
  • ②は逆転事件長良川事件で示されていた基準を実質的に踏襲したもので、①はその下で本件に適切な考慮要素を挙げたものである。③が本決定に新規な点で、Googleの情報流通基盤としての側面(決定文参照)を考慮し、基準を削除しない方向に傾かせるものである。

 

GDPRの条文と先例

  • GDPRは、概ね、識別可能な自然人に関する情報「個人データ」(概ね日本法の「個人情報」と同じである)と定義したうえで、実体的適用範囲に関する箇所で、同規則は、①全部又は一部が自動化された手段による個人データの処理と、②それ以外の手段による、ファイリングシステムの一部を構成し又は構成することが意図された個人データの処理に適用するものとしている。ファイリングシステムは、特定の基準に従ってアクセス可能な、構造化された個人データの集合をいうものとされている(概ね日本法の「個人情報データベース等」と同じである)。これらの構造は個人データ保護指令時代から変わっていない。
  • ①は相当広く解されてきた。例えば、2003年、スウェーデン国籍のLindqvist氏が、地元の教会のWebサイトを作成し、信者の宗教的信条や家庭環境を公開した行為について、ECJ(CJEUの前身)は、インターネット上のページに情報を掲載するには、ページをサーバにロードする操作、インターネット利用者がそのページにアクセスするために必要な操作が必要であるところ、これらの操作は少なくともその一部が自動的に行われるとして、個人データの自動処理に該当する判断した(なお、同判決は、Lindqvist氏の行為が私生活・家庭生活の過程で行われる活動の適用除外に該当するかについても判断し、これを否定した)。①が広く解される結果、EUにおいて体系的構成に相当する②が問題となるケースは少ないのだと思われる。
  • GDPRは、①(a)目的との関係で必要なくなった場合、(b)Data subjectの同意に基づいて処理が行われていた場合にData subjectが同意を撤回した場合、(c)Data subjectが処理に異議を述べ、Controllerが正当な利益を証明できない場合、(d)処理が違法である場合等に消去の権利を認める一方、②表現及び情報の自由の行使に当たる場合には、この権利は適用しないとしている。

 

Google Spain判決(EU)

  • CJEUは、2014年、以下の事案において、以下の判断を示した
  • スペインの個人であるコルテハ・ゴンザレス氏の不動産に対する社会保険料回収のための差押え・競売に関する情報が新聞社であるラ・バングアルディア社のWebサイトに掲載され、Google検索にもそれが掲載された。コルテハ・ゴンザレス氏は、ラ・バングアルディア社及びGoogle(Google Spain SL及びGoogle Inc)に対し、個人データの削除等を求め、スペインのデータ保護庁に苦情申立てを行った。データ保護庁はラ・バングアルディア社に関する申立ては却下したが、Googleに対しては削除を命じた。Googleはスペインの裁判所に決定の取消しを求めて出訴し、当該裁判所はCJEUに照会を行った。
  • CJEUは、個人データの自動処理については、Lindqvist判決を引用した上で、①検索エンジンによって発見され、インデックス化され、蓄積されるデータに個人データが含まれることには争いがないこと、②検索エンジン事業者は個人データを収集し、検索(retrieve)し、記録し、整理し、蓄積し、開示し、利用可能にすること(これらは「処理」の定義規定が示す例である)、③検索エンジンが個人データとそうではないデータを区別せずに上記処理を行っていることは関係がないこと等を考慮し、自動化された処理を認めた。
  • CJEUは、また、表現及び情報の自由については、個人データが不十分(inadequate)であるか、無関係(irrelevant or no longer relevant)であるか、検索エンジン運営者による処理の目的との関係で過剰(excessive)である場合(つまりデータ最小化原則に反する場合)には消去が認められるのが原則であるが、Data subjectが公的場面において果たす役割などの特別の理由により、一般公衆が情報にアクセスする利益によって正当化される場合にはこの限りではないとした(日本の人格権に関する判例とは原則と例外が逆転している。当該事案では私生活上の重要事実であること、16年が経過していたこと、上記のような特別の理由は認められないことから、削除が認められた)。

 

コメント

  • 日本におけるWeb上のコンテンツの削除は、主として、人格権に基づく妨害排除請求権を被保全権利とする仮処分によって行われてきた。そこでは、名誉毀損においては真実性・相当性の法理、プライバシー侵害においては優越テスト(逆転事件以来の判断枠組みを個人的にこのように呼んでいる)という形で、それぞれ表現の自由との比較衡量がなされる。
  • 今回、原告は、人格権に基づく削除請求は行わず、第三者提供規制違反による利用停止請求(とその不履行による損害賠償)のみを行っている。本件は弁護士がGoogle Maps上の事務所ページに付けられた低評価の削除を求めた事案であり、そうすると、人格権に基づく請求を行うのが自然である。LEX/DBでは判決別紙投稿記事目録(投稿内容が書かれている)が省略されていたため確認できなかったが、人格権に基づく請求によった場合、およそ削除が認められない事案だったために、 利用停止請求権が選択された可能性がある。
  • 裁判官としては、コンテンツの削除が求められた場合、その法的構成にかかわらず、相手方の表現の自由を尊重して判断する義務があるが、第三者提供規制には、そのようなアドホックな比較衡量を行う場は存在しない。そして、その違反に対する利用停止請求においても、そのような比較衡量が可能となるような追加的な要件は課されていない。したがって、第三者提供規制違反に基づく利用停止請求がされた場合に、仮に請求は棄却されるべきだという判断を先行させたとすると、(個人に関する情報、識別性が否定できないとすると)体系的構成を否定するしかないのではないか。
    • なお、不適正利用による利用停止請求がされた場合、状況が異なる。個人情報に関連する違法行為には民事上の不法行為も含まれるが、逆に言えば、不適正利用に基づく利用停止請求によったとしても、人格権に基づく請求による場合と比して要件が緩和されるわけではない(むしろ加重される。したがって、このような場面では、利用停止請求はあまり使い道がない)。
  • Google Mapsが体系的構成を行っていないことは、上記のとおり、立案担当者が検索エンジンに関して示していた見解からの類推によって十分に論証可能であるため、裁判所は表現の自由との比較衡量についてわざわざ言及しなかったのかもしれないが、その背後には、このような考慮(つまり、個人情報保護法が人格権に基づく削除請求に関して裁判所が行ってきた表現の自由とのバランシングの抜け道となってはいけない)があった可能性があるのではないかと思う。

 

18条~21条は散在情報を対象としていない可能性について

なお、この記事を書くために定義規定を眺めていたところ、取得に関する規定であっても散在情報を対象とはしていないのでは問題について、個人情報取扱事業者は「個人情報データベース等」を事業の用に供している者であるところ(つまり「個人情報データベース等供用事業者」と呼んだほうが分かりやすい)、一度でも体系化を行ったらそれとは関係ない散在情報の取扱いにまで規制が及ぶのは不合理なのではないか、逆に言えば、個人情報保護法は「個人情報データベース等」の供用に伴うリスクを低減することを目的としているのだから、個別の義務規定も「個人情報データベース等」に何らかの関連性を有する範囲のものに限られると解釈するのが自然なのではないかという気がしてきたのですが、検索したところ、高木浩光@自宅の日記 - 個人情報取扱事業者の個人情報に係る義務の対象は当該個人情報データベース等に係る個人情報と解されるがまさにそのようなことを書かれていることに気づきました。特に以下の指摘は重要だと思います。

「X情報取扱事業者」なる概念は、通説的解釈で言われるような「任意の『X情報データベース等』を事業の用に供している場合に該当することとなる事業者の区分」という概念(A解釈)なのではなく、ある一つの「X情報データベース等」に従属して観念される概念なのであり、当該「X情報データベース等」を事業の用に供している事業者を指す概念(B解釈)なのである

このようなB解釈を採ると、「個人情報取扱事業者は、個人情報を、Qするときは、Rしなければならない」という規定は、「個人情報取扱事業者aは、個人情報a1,2,3,…を、Qするときは、Rしなければならない」と解することになるのであるから、「個人情報a1,2,3,…」は「個人情報データベース等a」の要素ということになるのである。すなわち、どの「個人情報データベース等x」にも関係しない裸の「個人情報」は義務の対象となり得ないのである。