1. ホーム
  2. プラットフォーム関連

プライバシーと個人情報保護法【損害賠償の事例も紹介】

Q1
当社では、個人のお客様用のポイントカード作成の際、

①住所の市区町村名
②生まれた年
③性別の情報

を記入してもらっていますが、氏名、住所、生年月日等の特定の個人を識別できる情報は取得していません。
今後、ポイントカードに紐づいた購買データを分析して、新サービス検討の資料として利用する予定ですが、法的にどのような注意が必要ですか?

A1
単にポイントカードの購買データを取得し分析する場合、当該データは「特定できない誰か」の情報にすぎず、基本的には個人情報保護法は適用されません。
また、貴社が取得する①~③の個々の情報も、個々では特定の個人を識別できるような情報ではないため、基本的には個人情報保護法の適用はありません。

しかし、①~③の情報を結びつけて利用する場合、個人を特定できる可能性が高まります。
また、①~③の情報に購買データを結びつけた場合には、他の個人データと容易に照合できる可能性も生じます。
そのような場合、個人情報保護法の適用を受けることもあります。

また、個人情報ではない情報でも、個人に関する情報はプライバシー保護の対象になります。
当該情報内容の保護の必要性や取扱い態様の程度、本人の同意の有無によっては、プライバシーを侵害する行為として違法となることがあります。
----------------------------------------------------------------------------
Q2
今後のプライバシー情報の利活用に際して、注意するべきポイントを教えて下さい。

A2
プライバシー情報の利活用に際しては、本人から情報の取扱いについて理解を得た上で適切な同意を取得すること、
利用する情報の要保護性に応じ、できる限りプライバシーの侵害の程度の低い利用方法を用いるなどの工夫が重要です。
プライバシー情報を取り扱うあらゆる場面において、個人情報保護法を適切に履行し、取り扱う環境を設計段階で検討し、
予め作り込んでいくことで、プライバシー侵害により違法となることを防止し、
また、情報漏洩などによる損害賠償責任を負うリスクを低減することが可能となります。


澤田直彦

監修弁護士:澤田直彦
弁護士法人 直法律事務所 
代表弁護士

IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。

本記事では、
「プライバシーと個人情報保護法【損害賠償の事例も紹介】」
について、詳しく解説します。

弁護士のプロフィール紹介はこちら直法律事務所の概要はこちらお問い合わせはこちらプライバシー保護の考え方1

当事務所では、LINEでのお問い合わせも受け付けております。お気軽にご相談ください。
登録はこちらから

友だち追加

プライバシー保護

プライバシーの権利

「プライバシー」という言葉は、皆さんも使ったことがあると思います。私生活上のことについて質問されたらプライバシーにかかわるので・・・、などと返答するイメージなどありますね。
では、法律上はどのように考えられているのでしょうか。

プライバシーの権利について、当初は、一人にしておいてもらう権利という考え方が主流でした。しかし、ネットなどの通信のめまぐるしい発達、国際的な情報流通の活発化などにより、自分の情報を管理するという意識の高まり、「自己の情報をコントロールする権利」と考えるようになってきました。

プライバシーの権利 = 自己の情報をコントロールする権利

個人情報保護法との関係

プライバシー情報と個人情報保護法上の個人情報は、何が違うのかという疑問に思う方もいるかもしれません。
プライバシーを自己の情報をコントロールする権利と考えると当然、自己の情報に含まれる個人情報もプライバシー保護の対象となります。

個人情報は、プライバシー情報の中でも特に個人が特定され、プライバシーが侵害されるリスクが高い情報を、特に保護するものと考えるとわかりやすいかも知れません。
詳しくは別記事「「個人情報」って何を指すの?【正しく理解することが重要!】」をご参照ください。

プライバシー保護の考え方2

プライバシー侵害とは何か

では、どのような場合に、プライバシー侵害が違法となるのでしょうか。

前述のとおり、プライバシーの権利というのは自己の情報をコントロールする権利です。
自己以外の人の個人に関する情報を扱えば、プライバシー侵害は常に生じます。そのため、どのような場合に許容され、どのような場合に許容されない(つまり違法となる)のかが、問題となります。

プライバシー侵害の許容基準

プライバシー侵害が違法とならない許容基準は法令では明確に定められていません。
そのため、判例をもとに許容基準を考える必要があります。

情報のビジネス活用により個人のプライバシーが問題となった判例(詳細は後述します。)によれば、個人に関する情報が「みだりに」第三者に開示又は公表された場合に不法行為が成立します。そして、ビジネス目的で情報を利用するに際してプライバシー侵害が違法とならないためには、当該情報の内容、当該情報の取扱い態様を総合的に考慮した上で、次の事情が認められる必要があります。

  • ①推定的同意があった
  • ②受忍限度の範囲内であった
  • ③公益が優先する等の事情がある

また、次の場合には違法性が阻却されます(しりぞけられます)。

  • ④本人が取扱いについての同意があった
  • ⑤取扱いが正当行為(法令に基づく行為や正当な業務による行為)である

したがって、ビジネス目的で情報を利用・活用する場合、①の推定的同意④の本人が取扱いについての同意があったといえるよう、本人から情報の取扱いへの理解を得た上で、適切な同意を取得するようにしましょう。
また、②の受忍限度の範囲内であったといえるよう、利用する情報の要保護性に応じ、できる限りプライバシーの侵害の程度の低い利用方法を用いるなどの工夫が必要となります。

では、どのような場合がプライバシー侵害行為の程度が高いといえるでしょうか。

例えば、ある商品の購入履歴について、氏名だけをまとめたデータと、住所・メールアドレス・収入・他の商品の購入履歴などを加えたデータでは、その情報自体の保護する必要性(要保護性)に違いがあります。
また、ある商品の発送のために取得した氏名や住所などを配送完了後するに廃棄する場合と、当該データを他のデータを合わせて分析利用するという利用方法ではプライバシー侵害の程度は異なります。

このように、プライバシー侵害行為の程度を判断するためには、情報自体の保護する必要性(要保護性)※と当該情報の収集や利用方法による侵害の程度を検討する必要があります。

※ 情報自体の保護する必要性(要保護性)に関して、このような要保護性の高低は、

①当該情報の社会的な意味合い、
②個人と情報との結びつきの程度、
③情報の不変性の程度、
④当該情報により本人にアプローチできるか否か、
⑤他の情報との連携する可能性が高いか否か、
⑥本人が情報を取得されたことを認識できるか否か

などの要素によって判断します。


プライバシー保護の考え方3

ビジネス目的の情報利用とプライバシーが問題となった判例

ビジネス目的の情報利用という観点から情報の取扱いと当該情報に掲載された個人のプライバシーが問題となった判例には次のようなものがあります。

㋐ 早稲田大学名簿提出事件・上告審
(最高裁平成15年9月12日判決・民集57巻8号973頁)

大学が講演会の主催者として学生から参加者を募る際に収集した参加申込者の学籍番号、氏名、住所及び電話番号に係る情報は、本人が、自己が欲しない他者にはみだりにこれを開示されたくないと考えることは自然なことであり、そのことへの期待は保護されるべきものであるとして、参加申込者のプライバシーに係る情報として法的保護の対象となり、これらの情報を参加申込者に無断で警察に開示した行為は、大学が開示についてあらかじめ参加申込者の承諾を求めることが困難であった特別の事情がうかがわれないという事実関係の下では、参加申込者のプライバシーを侵害するものとして不法行為を構成するとした判例です。

㋑ 住基ネット事件
(最高最平成20年3月6日判決・民集62巻3号665頁)

憲法13条は、国民の私生活上の自由が公権力の行使に対しても保護されるべきことを規定しているものであり、個人の私生活上の自由の一つとして、何人も、個人に関する情報をみだりに第三者に開示又は公表されない自由を有するものと解される(最高裁昭和40年(あ)第1187号同44年12月24日大法廷判決・刑集23巻12号1625頁参照)と判示したが、住民基本台帳ネットワークシステムにより行政機関が住民の本人確認情報を収集、管理又は利用する行為について、当該住民がこれに同意しないとしても、憲法13条の保障する個人に関する情報をみだりに第三者に開示又は公表されない自由を侵害するものではないとした判例です。

プライバシー侵害の程度を下げるための手法

基本的な考え方とOECD8原則

プライバシー侵害に関して、1980年9月にOECD(経済協力開発機構)の理事会で採択された「プライバシー保護と個人データの国際流通についての勧告」で公表されたOECD8原則という原則があります。

日本の個人情報保護法は、この8つの原則を取り込む形で制定されています。
そのため、プライバシーについても、個人情報保護法に沿った取扱いを行っていけば、プライバシー侵害の程度も下げることができます。

【OECD8原則】

●収集制限の原則
適性・公正な手段により、かつ、情報主体に通知又は同意を得て収集されるべきである。
●データ内容の原則 
利用目的に沿ったもので、かつ、正確、完全、最新であるべきである。
●目的明確化の原則
収集目的を明確にし、データ利用は収集目的に合致するべきである。
●利用制限の原則
データ主体は同意がある場合、法律による場合以外は目的以外に利用使用してはならない。
●安全保護の原則
合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護するべきである。
●公開の原則
データ収集の実施方針等を公開し、データの存在、利用目的、管理者等を明示するべきである。
●個人参加の原則
自身に関するデータの所在・内容を確認させ、また、異議申立を保証するべきである。
●責任の原則
管理者は諸原則を実施する責任を有する。

データ利活用場面別の検討

事前検討

プライバシー情報全体の取扱いについて検討し、要保護性や侵害の態様に応じて、できる限り個人情報を保護する方法を採用するようにします。
要保護性と侵害の態様のバランスは、個別具体的な事案毎に判断する必要がありますので、社内の検討だけではなく、外部の専門家の意見を確認するべき場合が多いです。

この段階の検討では、プライバシー・バイ・デザインの考え方が参考になります。

※プライバシー・バイ・デザイン(PbD) プライバシー・バイ・デザインとは、プライバシー情報を取り扱うあらゆる場面において、適切に取り扱われる環境を設計段階で検討し、予め作り込んでいこうというコンセプトをいいます。

取得

情報取得の段階では、個人本人に、取得した情報の取扱いについて通知又は公表することが基本です。要保護性が高い情報や、侵害の程度が大きい場合には、実際の取扱いを個人が理解できることが必要となってきます。

社内利用

社内利用であっても、取得時に個人に説明したとおりに利用する必要があります。
なお、仮に個人情報に該当しない情報であっても、高レベルな情報の分析・評価などによって本人が予想しえない利用をする場合は、民法上の不法行為となる可能性があります。

社内管理

情報漏洩が発生しないように、適切に安全管理措置をとる必要があります。

第三者への提供

第三者に提供する場合には、本人の同意を得ることでプライバシー侵害のリスクを大きく下げることができます。
なお、この場合、形式的な同意だけでは有効なものとならない可能性もありますので、ウェブサイトの場合には本人が積極的に「同意する」ボタンを押す形のように有効な同意をとるように注意しましょう。

本人対応

本人から求められた場合、情報開示などの対応が必要となります。

情報漏洩による損害賠償

情報漏洩などによりプライバシーを侵害した場合、個人との関係では損害賠償責任を負います。この場合、損害賠償額がいくらとなるかについて、リスク管理上、できるかぎり把握しておきたいところです。このような場合に参考となるのは、過去の裁判例です。

例えば、ベネッセ事件、Yahoo!BB事件などが大規模な顧客情報漏えいとして記憶にある方も多いのではないでしょうか。

このような情報漏洩事件では、つぎのような損害賠償額が認められています。

ベネッセ事件(東京地判平成30年12月27日)
(概要)業務委託先元従業員が顧客情報を不正に取得し、約3000万件分の情報を名簿業者3社へ売却した事件。なお、情報漏洩の対象者に500円分の金券を交付。
(損害賠償額)多くの訴えが提起され、損害の発生を認めないものもから3300円(うち300円は弁護士費用)まで損害を認めたものもある。

Yahoo!BB顧客情報漏洩事件(最判平成19年12月14日)
(概要)BBテクノロジー株式会社(現ソフトバンクBB株式会社)の元契約社員が同社のサーバに不正侵入し、合計約1,100万件のユーザの個人情報を取得、流出させた事件。なお、情報漏洩の対象者に500円分の金券を交付。
(損害賠償額)ソフトバンクBBとヤフーにそれぞれ1件あたり4500円(合計9000円)の慰謝料

TBC顧客情報流出事件(東京高判平成19年8月28日)
(概要)東京ビューティーセンター(TBC)のインターネット上に保管されていたアンケートデータや資料請求のために入力された個人情報約5万人分がネット上から閲覧可能となるなどして流出
(損害賠償額) 迷惑メールなどの二次被害を受けた者:1件あたり慰謝料3万円 +弁護士費用5000円 二次被害を受けていない者:1件あたり慰謝料1万7000円 +弁護士費用5000円

北海道警察江別署捜査情報漏洩事件(札幌地判平成17年4月28日)
(概要)北海道警察の巡査らによって現行犯逮捕された少年の捜査関係文書が、同巡査の私有パソコンからインターネットを通じて外部流出。
(損害賠償額)40万円

まとめ

個人情報保護法の適用外となるような情報であっても、個人に関する情報はプライバシー保護の対象となり、当該情報内容の保護の必要性や取扱い態様の程度、本人の同意の有無によっては、プライバシーを侵害する行為として違法となることがあります

プライバシー情報の利活用に際しては、本人から情報の取扱いについて理解を得た上で適切な同意を取得すること、利用する情報の要保護性に応じ、できる限りプライバシーの侵害の程度の低い利用方法を用いるなどの工夫が重要です。

プライバシー侵害により違法となることを防止し、また、情報漏洩などによる損害賠償責任を負うリスクを低減するために、プライバシー情報を取り扱うあらゆる場面において、個人情報保護法を適切に履行し、取り扱う環境を設計段階で検討し、予め作り込んでいくようにしていきましょう。


【関連記事】
「個人情報」って何を指すの?【正しく理解することが重要!】
プライバシーポリシーとは?関連する規程類についても解説!

直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。
その他、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。


アカウントをお持ちの方は、当事務所のFacebookページもぜひご覧ください。記事掲載等のお知らせをアップしております。

SaaS企業のお悩みは、
SaaS弁護士に相談して解決

プラットフォーム・クラウド・SaaSビジネスにおける法務のお悩みは、SaaSに強い弁護士に相談されると適切かつ迅速な解決が可能となります。大きなトラブルになる前に、少しでも気になる事は、お早めにSaaS弁護士にご相談ください。

クライアント企業一例