Google Mapsの個人情報DB等該当性を否定した判決の含意/個情法18条~21条は散在情報を対象としていない可能性について

伊藤先生のグーグルマップは個人情報データベース等か 東京地判令5.10.4(令4ワ26758) - IT・システム判例メモを読んで、気になったことがあったのでメモしておきます。

 

前提

  • 個人情報保護法の条文等
    • 個人情報保護法は、概ね、個人に関する情報で特定の個人を識別できるものを「個人情報」命名した上で、これを体系的に構成したものを[「個人情報データベース等」命名し、これを構成する個人情報を「個人データ」命名し、さらに、そのうち個人情報取扱事業者が開示等の権限を有するものを保有個人データ」命名している。
    • 個人情報保護法の多くの条項は「個人データ」の取扱いを規制している。「個人情報」が対象となっているのは、取得に関する規定(17条、18条、20条、21条)と不適正利用禁止規定(19条)である。
    • 取得に関する規定が「個人情報」を対象としているのは、「いずれ個人情報データベースに記録され「個人データ」となるものであっても、取得段階では「個人情報」の状態であることによる」と説明されている(園部逸夫=藤原靜雄編『個人情報保護法の解説 第三次改訂版』149頁(ぎょうせい、2022))。不適正利用禁止規定が「個人情報」を対象としている理由は明らかではないが(なお、利用は取得を含まない。園部=藤原編・前掲158頁)、一般条項的な規定であることから、できる広くしたかったのかもしれない。
    • 本人の権利(開示、訂正・追加・削除、利用停止・消去)に関する規定は、保有個人データ」が対象とされている。例えば、個人情報取扱事業者Aが個人情報取扱事業者BにXを本人とする個人情報の取扱いを委託していた場合、Aは開示等の権限を有するが、Bはこれを有しないので(そのように解釈されている)、Xは、Aに対しては開示等の請求をすることができるが、Bに対してはこれをすることができない。
    • 利用停止請求権は、以下の場合に認められる:
      • 取扱い又は取得が18条(利用目的による制限)、19条(不適正利用)、20条(適正取得)に違反する場合。
      • 提供が27条1項(第三者提供)、28条(外国第三者提供)に違反する場合。
      • 利用の必要性がなくなった場合、漏えい等が生じた場合、その他本人の権利利益が害されるおそれがある場合。
  • Google事件決定(日本の最高裁
    • 最高裁判所は、2017年、児童買春により逮捕され、罰金刑に処せられた者が、Googleに対し、プライバシーに基づき、検索結果から逮捕報道(控訴審の口頭弁論終結時から見て5年前)のURL等情報(URL、記事名、スニペット)の削除を求める仮処分を申し立てた事件で、以下の判断を示した
    • 「検索事業者が,ある者に関する条件による検索の求めに応じ,その者のプライバシーに属する事実を含む記事等が掲載されたウェブサイトのURL等情報を検索結果の一部として提供する行為が違法となるか否かは,①(a)当該事実の性質及び内容,(b)当該URL等情報が提供されることによってその者のプライバシーに属する事実が伝達される範囲とその者が被る具体的被害の程度,(c)その者の社会的地位や影響力,(d)上記記事等の目的や意義,(e)上記記事等が掲載された時の社会的状況とその後の変化,(f)上記記事等において当該事実を記載する必要性など,②当該事実を公表されない法的利益と当該URL等情報を検索結果として提供する理由に関する諸事情を比較衡量して判断すべきもので,③その結果,当該事実を公表されない法的利益が優越することが明らかな場合には,検索事業者に対し,当該URL等情報を検索結果から削除することを求めることができるものと解するのが相当である」。当該事案では結論として削除を認めなかった。
    • ②は逆転事件長良川事件で示されていた基準を実質的に踏襲したもので、①はその下で本件に適切な考慮要素を挙げたものである。③が本決定に新規な点で、Googleの情報流通基盤としての側面(決定文参照)を考慮し、基準を削除しない方向に傾かせるものである。
  • GDPRの条文等
    • GDPRは、概ね、識別可能な自然人に関する情報「個人データ」(概ね日本法の「個人情報」と同じである)と定義したうえで、実体的適用範囲に関する箇所で、同規則は、①全部又は一部が自動化された手段による個人データの処理と、②それ以外の手段による、ファイリングシステムの一部を構成し又は構成することが意図された個人データの処理に適用するものとしている。ファイリングシステムは、特定の基準に従ってアクセス可能な、構造化された個人データの集合をいうものとされている(概ね日本法の「個人情報データベース等」と同じである)。これらの構造は個人データ保護指令時代から変わっていない。
    • ①は相当広く解されてきた。例えば、2003年、スウェーデン国籍のLindqvist氏が、地元の教会のWebサイトを作成し、信者の宗教的信条や家庭環境を公開した行為について、ECJ(CJEUの前身)は、インターネット上のページに情報を掲載するには、ページをサーバにロードする操作、インターネット利用者がそのページにアクセスするために必要な操作が必要であるところ、これらの操作は少なくともその一部が自動的に行われるとして、自動処理に該当する旨判断した(なお、同判決は、Lindqvist氏の行為が私生活・家庭生活の過程で行われる活動の適用除外に該当するかについても判断し、これを否定した)。①が広く解される結果、EUにおいて体系的構成に相当する②が問題となるケースは少ない。
    • GDPRは、①(a)目的との関係で必要なくなった場合、(b)Data subjectの同意に基づいて処理が行われていた場合にData subjectが同意を撤回した場合、(c)Data subjectが処理に異議を述べ、Controllerが正当な利益を証明できない場合、(d)処理が違法である場合等に消去の権利を認める一方、②表現及び情報の自由の行使に当たる場合には、この権利は適用しないとしている。なお:
  • Google Spain判決
    • CJEUは、2014年、以下の事案において、以下の判断を示した
    • スペインの個人であるコルテハ・ゴンザレス氏の不動産に対する社会保険料回収のための差押え・競売に関する情報が新聞社であるラ・バングアルディア社のWebサイトに掲載され、Google検索にもそれが掲載された。コルテハ・ゴンザレス氏は、ラ・バングアルディア社及びGoogleGoogle Spain SL及びGoogle Inc)に対し、個人データの削除等を求め、スペインのデータ保護庁に苦情申立てを行った。データ保護庁はラ・バングアルディア社に関する申立ては却下したが、Googleに対しては削除を命じた。Googleはスペインの裁判所に決定の取消しを求めて出訴し、当該裁判所はCJEUに照会を行った。
    • CJEUは、個人データの自動処理については、Lindqvist判決を引用した上で、①検索エンジンによって発見され、インデックス化され、蓄積されるデータに個人データが含まれることには争いがないこと、②検索エンジン事業者は個人データを収集し、検索(retrieve)し、記録し、整理し、蓄積し、開示し、利用可能にすること(これらは「処理」の定義規定が示す例である)、③検索エンジンが個人データとそうではないデータを区別せずに上記処理を行っていることは関係がないこと等を考慮し、自動化された処理を認めた。
    • CJEUは、また、表現及び情報の自由については、個人データが不十分(inadequate)であるか、無関係(irrelevant or no longer relevant)であるか、検索エンジン運営者による処理の目的との関係で過剰(excessive)である場合(これらはデータ最小化という、日本法の必要性(利用目的による制限の一要素)、正確性確保に相当する基本原則に反することを意味する)には原則として消去が認められるが、Data subjectが公的場面において果たす役割などの特別の理由により、一般公衆が情報にアクセスする利益によって正当化される場合にはこの限りではないとした(当該事案では私生活上の重要事実であること、16年が経過していたこと、上記のような特別の理由は認められないことから、削除が認められた)。

 

検討

  • 日本におけるWeb上のコンテンツの削除は、主として(違法な)人格権侵害を被保全権利とする仮処分によって行われてきた。そこでは、名誉毀損においては真実性・相当性の法理の下で、プライバシー侵害においては優越テスト(逆転事件以来の判断枠組みを個人的にこのように呼んでいる)の下で、それぞれ表現の自由との比較衡量がなされる。
  • プライバシー侵害について削除請求が認められるかは、名誉毀損に関する北方ジャーナル事件判決「人格権としての名誉権」というフレーズを用いたこともあって、議論がありえたが、Google事件決定がこれを認めたため、現在では問題とならなくなっている。
  • 一方、個人情報保護法に基づく開示請求等(利用停止請求を含む)は、そもそも私法上の権利であるかどうかについて疑義があった。政府としては制定時から私法上の権利という解釈だったのだと思われるが、とりあえず私法と取締法規を区別する傾向にある(がどのように区別するのかと言われると確たる答えは持っていない?)裁判所がこれを否定する例も出てきていたため、平成27年改正において、私法上の権利であることが明確化された。
  • 今回、原告は、人格権に基づく請求は行わず、利用停止請求権に基づく請求(とその不履行による損害賠償)のみを行っている。本件は弁護士がGoogle Maps上の事務所ページに付けられた低評価の削除を求めた事案であり、そうすると、人格権に基づく請求を行うのが自然である。LEX/DBでは別紙投稿記事目録が削除されていたため確認できなかったが、人格権に基づく請求によった場合、およそ削除が認められない事案だった可能性がある。
  • 利用停止請求権は、上記のとおり、①取扱い又は取得が18条(利用目的による制限)、19条(不適正利用)、20条(適正取得)に違反する場合、②提供が27条1項(第三者提供)又は28条(外国第三者提供)に違反する場合、③利用の必要性がなくなった場合、漏えい等が生じた場合、その他本人の権利利益が害されるおそれがある場合に認められる。
  • このうち、不適正利用禁止規定は、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用」することを禁止するものである。「違法な行為」には民事上の不法行為も含まれるが、逆に言えば、人格権に基づく請求による場合に比して要件が緩和されるわけではなく(むしろ加重される)、利用停止請求による実益は小さい
  • 一方、三者提供規制は、アドホックな比較衡量を予定していない(現在改正が議論されているところであるが、27条1項は同意を原則として禁止し、比較的限定された特定の場合に例外を認めるのみである)。そして、利用停止請求権も、第三者提供規制違反が認められる場合に利用停止を認めるかどうかについて、さらに(比較衡量が可能となるような)要件を課してはいない。仮にこれは不当であり、請求は棄却されるべきだという判断を先行させたとすると、上記のとおり第三者提供規制違反を否定することも、保有個人データ固有の要件である利用停止権限を否定することも難しく、個人情報該当性を否定することも難しい(弁護士の事務所名と氏名は公表されている)とすると、体系的構成を否定するしかないのではないか。
  • 体系的構成を否定することは、上記のとおり、立案担当者が検索エンジンに関して示していた見解からの類推によって十分に論証可能であるため、裁判所は表現の自由との比較衡量についてわざわざ言及しなかったのかもしれないが、その背後には、このような考慮(つまり、個人情報保護法が人格権に基づく削除請求に関して裁判所が行ってきた表現の自由とのバランシングの抜け道となってはいけない)があった可能性があるのではないかと思う。

 

18条~21条は散在情報を対象としていない可能性について

なお、この記事を書くために定義規定を眺めていたところ、取得に関する規定であっても散在情報を対象とはしていないのでは問題について、個人情報取扱事業者は「個人情報データベース等」を事業の用に供している者であるところ(つまり「個人情報データベース等供用事業者」と呼んだほうが分かりやすい)、一度でも体系化を行ったら散在情報にまで規律が及ぶのは不合理なのではないか、逆に言えば、個人情報保護法は「個人情報データベース等」の供用に伴うリスクを低減することを目的としているのだから、個別の義務規定も「個人情報データベース等」に何らかの関連性を有する範囲のものに限られると解釈するのが自然なのではないかという気がしてきたのですが、検索したところ、高木浩光@自宅の日記 - 個人情報取扱事業者の個人情報に係る義務の対象は当該個人情報データベース等に係る個人情報と解されるがまさにそのようなことを書かれていることに気づきました。特に以下の指摘は重要だと思います。

「X情報取扱事業者」なる概念は、通説的解釈で言われるような「任意の『X情報データベース等』を事業の用に供している場合に該当することとなる事業者の区分」という概念(A解釈)なのではなく、ある一つの「X情報データベース等」に従属して観念される概念なのであり、当該「X情報データベース等」を事業の用に供している事業者を指す概念(B解釈)なのである

このようなB解釈を採ると、「個人情報取扱事業者は、個人情報を、Qするときは、Rしなければならない」という規定は、「個人情報取扱事業者aは、個人情報a1,2,3,…を、Qするときは、Rしなければならない」と解することになるのであるから、「個人情報a1,2,3,…」は「個人情報データベース等a」の要素ということになるのである。すなわち、どの「個人情報データベース等x」にも関係しない裸の「個人情報」は義務の対象となり得ないのである。