本章においては、わが国における個人情報保護法[1]施行に伴う社会の現状と、個人情報 漏洩インシデントデータより分析した結果について述べる。4.1節で個人情報保護法施 行と個人情報漏洩インシデントによる社会問題についての説明を行い、漏洩インシデント に対する企業の対応、および損害賠償請求についての現状を示す。続く4.2節で、個人 情報漏洩インシデントに関する調査結果を説明する。2,790 件のデータの概要、本データ の記述統計の詳細を提示し、4.3節で導出した分析結果のまとめと考察を行う。
4.1 個人情報漏洩インシデントによる社会問題
第1章第3節で説明したとおり、個人情報保護法は急激に進展するインターネットから 個人情報が流出する危険性を想定して制定されたものである。しかし、大きく報道された 個人情報漏洩インシデントの大半は、個人情報保護法の目的や想定と異なり、以前は問題 視されなかったような事故であり、しかも報道が異なるリスクの事故を同レベルで扱った ため、すべての事故の危険性が高いような印象を与え、国民の不安感をあおった。
浜田(2006)は、報道されたインシデントについて事後の追跡報道があったのは、新聞
で 6.8%しかなかったとしている。インシデントの発生だけ報道し追跡報道をしないこと
で、国民はそのインシデントのリスクの程度がわからないため、被害者意識を強く持つよ うになり、延いては必要な個人情報提供を拒否するなど防衛に向かうようになったのでは ないかと思われる。
その一方で、林(2006)の報告のように、ファイル交換ソフトWinnyの利用が原因で個 人所有のパソコンがウイルスに感染したことにより情報が漏洩し、本人が認識しないうち に漏洩事故の加害者になってしまう事故が増えている。また、興味本位でWinny利用者が 増えたという現象もあり、加害者になり得ることに対する意識の低さが見られる。本人に 事故という自覚がないことから、報告すらしないケースも多いことと推測される。外部か ら情報漏洩の指摘があって初めて漏洩の事実に気づく例が多いことが、こうした実態を物 語っている。
個人情報保護法施行に伴う報道の過熱によって発生した社会問題については、法律への 対応の誤解や無知から発生した問題と、情報漏洩インシデントへの不安から発生した問題 とに大別できる。個人情報保護法への対応から発生した社会問題については、過剰な自主 規制と法律を口実とした情報開示の拒否がある。例を挙げると、小学校での緊急連絡網が 作れず児童への連絡に混乱が生じた、卒業アルバムの作成をやめたなど教育現場での混乱 や、法律の対象となっていないような町内会が名簿の作成をやめた、など枚挙に遑がない。
過剰反応の間違った事例として頻繁に取り上げられるのは、2005年4月に起こったJR福 知山線脱線事故の際に、個人情報保護法を理由に、家族側へ負傷者への安否の情報を明か さない病院があったケースである。2005年 12月のJR羽越本線列車事故の際にも、負傷
者の情報を記載するホワイトボードを個人情報であるからとして撤去するなど、災害医療 現場において大きな問題が起こった。さらに、法律を口実として、公開可能な情報までも 拒否するといった、本来の趣旨からはずれ社会の自由な情報流通が妨げられる事態が数多 く発生したのである。
情報漏洩事故への不安から発生した問題は、先に説明したとおり、これまで普通に流通 していた氏名・住所・生年月日・電話番号・性別などの基本的な情報までも、提供を拒否 するといった「過剰反応」である。
こうした社会問題は、個人情報漏洩インシデントに対する報道が収まり、国民の理解が 深まるにつれ収束傾向にあるといえる。しかし、個人情報漏洩インシデントは無くならず、
ファイル交換ソフトWinnyが原因のさらに大きな事故も発生している。
4.1.1 企業の対応
個人情報漏洩インシデントは、企業が起こしたものが多い。一社員や業務委託先が起こ した事故であっても、事故の加害者となり、事故対応のための多大な金銭的損失に加え、
信頼度やイメージの失墜などの影響を受けるため、企業はリスクマネジメント、個人情報 保護法の法令順守、および企業のCSRの観点から、情報セキュリティ対策を重要案件と認 識し、対策の実施が問われている。
日本ヒューレットパッカード社調査(2005)では、個人情報保護法への対策を行ってい るのは、大企業は90.1%であるが、中小・中堅企業では48.2%であり、今後も個人情報保 護法の対策をする予定がないという企業が、大企業の0%に対し、中小・中堅企業では26.3%
と高い割合を占めていた。コンサルタントなどに多額の費用を支払い、個人情報保護法対 策を行うとともに、従業員の厳しい監視などセキュリティを強化する大企業がある反面、
保護法自体の理解も不完全で、方法がわからないとして特別な対応をしないでいる中小・
中堅企業があるという、二極化がみられた。
登坂他(2008)は、2007年度の情報セキュリティ関連投資について、前年より「増加し ている」と回答した企業は 19.0%、「減少している」と回答した企業は 11.5%だったとし ている。一方、2008 年度見込みについては「増加する」と回答した企業が 18.9%、「減少 する」と回答した企業は10.5%だった。運用管理形態は、「アウトソースサービスを利用」
が52.0%。「アウトソースサービスの利用を計画している」と答えた企業を含めると66.3% で、自社運用は33.7%にとどまっている。このように、わが国全体としては、費用対効果 がみえないといった問題点などから、未だ他国に比べ十分な対策が取られているとはいえ ない[2]。
個人情報漏洩インシデントのほとんどは、うっかりミスや紛失など人的要因が大きい。
情報セキュリティ対策として、技術的な対策は勿論であるが、教育の重要性が挙げられて いる。内閣府国民生活局調査(2005)では、事故を起こした後、教育・研修の実施などの 組織的対策を講じた企業は、2005年度は91.2%で、2004年度でも81.0% と高い比率であ った。教育・研修の対策は高い割合で実施されていることが分かる。
個人情報漏洩インシデントを起こした企業の対応として、被害者全員に対して詫び料と して商品券や金券を送る事例があった。これが前例となり、これに倣うケースがいくつか 発生した(表4-1)。被害者1人に対して500円、1,000円程度のものであるが、企業が負 担する総額としては莫大なものとなることから、初期の頃には前例に倣い実施されていた が、その後は行われていないようである。
表4-1 詫び料として金券などを送った主な事例
事故発生年月 企業名 対象者数 詫び料
2003年 6月 ローソン 560,000 500円の商品券 2003年 8月 アプラス 79,110 1,000円相当の商品券 2003年11月 ファミリーマート 182,780 1,000円相当のクオカード 2004年 1月 ヤフーBB 4,517,039 500円の金券
2004年 7月 DCカード 478,000 500円の商品券 2005年 1月 オリエンタルランド 121,607 500円の金券 2005年10月 小田急電鉄 19,531 500円相当の金券
4.1.2 個人情報漏洩インシデントに対する損害賠償請求
個人情報漏洩被害に対する損害賠償請求が提出され、いくつかの個人情報漏洩インシデ ントに対する判決が、慰謝料の金銭的尺度となりつつある。しかし、これらの金額は概し て低く、被害者側としては到底納得できる金額とはいえないと言われている。一般的に、
プライバシー侵害訴訟の慰謝料は、著しく低額に抑えられてきた[3]。判断基準がなく、い わゆる「100万円ルール」として、交通事故などに比べて低額制が顕著であると言われて いる。特に、まだ事例の少ない個人情報漏洩インシデントについては、そのレベルまで到 達していない。
個人情報漏洩インシデントに対する訴訟について、主な事例となっているものを時系列 に説明する。
(1)NTT電話帳事件(東京地裁1998.1.21判決)
事件:氏名・電話番号・住所を電話帳に掲載
女性高校教師が転居に伴い、NTTに対し電話帳に氏名・電話番号・住所を掲 載しないよう明示し依頼したのに、これらを掲載した。女性教師がNTTを相手 取り、損害賠償を求めた。
判決:損害賠償責任10万円(請求額300万円)
(2)ニフティ掲示板事件(神戸地裁1999.6.23判決)
事件:診療所の住所・電話番号をパソコン通信の掲示板システムに無断で公開
眼科医師の氏名、職業、開設する診療所の住所及び電話番号(タウンページ
に記載されている内容)をパソコン通信の掲示板システムに無断で公開した。
眼科医がニフティを相手取り、損害賠償を求めた。
判決:慰謝料20万円、治療費2,380円
(請求額 慰謝料100万円、治療費2,380円他で、計181万360円)
(3)京都府宇治市住民票データ流出事件高裁判決(大阪高裁2001.12.25) 事件:住民基本台帳のデータを名簿販売業者に販売
大阪市北区のシステム開発会社は宇治市から委託された業者の下請けとして 同市乳幼児健診システムの開発を担当した。1998年4月、同社のアルバイトの 男性が市役所内で住民基本台帳データをMO(光磁気ディスク)に複写して大阪 市内の会社に持ち帰り、さらに複写して名簿業者に販売し、これらの個人情報が インターネット上で売り出された。京都府宇治市議ら市民3人が宇治市とデータ 作成に携わったシステム開発会社の双方に、損害賠償を求めた。
判決:慰謝料1万円、弁護士費用各5,000円
(請求額 慰謝料各30万円、弁護士費用各3万円)
本判例から、基本4情報(氏名、住所、性別、生年月日)の漏洩に対して、1人1万 円が基準とみられるようになった。
(4)早稲田大学江沢民主席講演会名簿提出事件(東京高裁2002.1.16、最高裁2003.9.12) 事件:氏名・学籍番号・住所・電話番号を警視庁に提出
中国の江沢民国家主席(当時)が早稲田大学で講演した際,講演会に出席予 定の学生ら約 1,400 人分の名簿を、大学側が本人の同意を得ずに事前に警視庁 に提出した。学生6 人がプライバシー侵害などにあたるとして大学を相手とし て訴えた。
判決:慰謝料1万円 (請求額 慰謝料各30万円、弁護士費用各3万円)。
(5)ヤフーBB顧客情報流出事件(大阪地裁2006.5.19、大阪高裁2007.6.21) 事件:顧客データベースにアクセスし、入手した個人情報を元に親会社を恐喝
元内部関係者が、外部からリモートアクセス・サーバー経由で顧客データベ ースにアクセスし、会員の住所、氏名、電話番号、メールアドレスなど個人情 報を入手した。親会社のソフトバンクから現金を脅し取ろうとした実行犯は逮 捕され,恐喝未遂罪などで有罪判決を受けている。会員と元会員5人が運営会 社「BBテクノロジー(旧ソフトバンクBB)」とグループ企業の「ヤフー」の 2社を相手として訴えた。
判決:1審(大阪地裁): 金6,000円(慰謝料5,000円、弁護士費用1,000円)
2審(大阪高裁): 金5,500円(慰謝料4,500円、弁護士費用1,000円)
(請求額 慰謝料各10万円)