はじめに
2013 年、JR 東日本の IC 乗車券 Suica 利用者の利用履歴データ が日立製作所に販売されていたことが報道されたことを契機に、い わゆるビッグデータの取り扱いについて、個人のプライバシー保護 との関係が懸念されるようになって久しい。 ビッグデータには明確かつ統一的な定義がない。単なる「大量な データ」ではなく、量、多様性、頻度を有するデータといわれる1。 総務省は「平成 29 年度版情報通信白書」において、「スマートフォ ン等を通じた位置情報や行動履歴、インターネットやテレビでの視 聴・消費行動等に関する情報、また小型化したセンサー等から得ら れる膨大なデータ」と定義する2。また、「膨大で、速度が速く、か つ革新的なデータであり、企業や政府がそれらのデータを結合する ことで、統計を作成したり、他のデータを抽出するために用いるも の」などと説明されることもある3。 1 福岡真之介・松村英寿『データの法律と契約』( 商事法務・2019 年 )5 頁。 2 総務省平成 29 年度版情報通信白書 (https://www.soumu.go.jp/johotsusintokei/ whitepaper/ja/h29/html/nc121100.html 2020 年 3 月 4 日確認 )。3 Ira S. Rubinstein, Big Data: The End of Privacy or a New Beginning? , 3 Int’ L Data Privacy L. 74 (2013). また、山本龍彦「インターネット上の個人情報保護」
集積情報と不法行為法上のプライバシー
〜内定辞退率スコア販売提供は何が問題か?
上 机 美 穂
はじめに 1 集積情報とその利活用をめぐる問題〜リクナビ問題 2 集積情報とプライバシー 3 救済方法〜集積情報の利用はプライバシー侵害か おわりに〜今後の課題いずれにしても、何らかの方法で集積された膨大な情報があり、 企業や政府などといった他者が、それぞれの目的のもと情報のなか から特定の情報を抽出したり、他の情報と結合させることで新たな 価値をもった情報を生み出すことになる源といえる情報であろう。 こうしたビッグデータないし集積情報は、個人特定が困難であるた め、それ自体では個人情報保護法とは切り離される問題であろう。 集積情報から抽出された事柄と個人を特定できるような情報が結合 することにより初めて、プライバシーや個人情報といった問題と直 面する。 現在、集積情報ないしビッグデータを利用したマーケティングな どはすでに一般化している。他方、近時、集積情報から抽出した情 報と別の情報を結合させ、個人を再特定することのみならず、再特 定した個人の情報を、個人を評価するために用いる、いわゆる「評 価スコア」や「プロファイリング」といったことが新たに問題視さ れつつある。 集積情報やビッグデータの利活用におけるプライバシー問題は、 個人情報保護法の問題として理解されることが多い。ところが個人 情報保護法は、集積情報の保有者 ( 個人情報取扱事業者 ) の義務規 定である。 集積情報から自己の情報が抽出され、それを利用された個人の救 済は民法 709 条 ( 不法行為 ) を基礎になされるものであるが、これ まで議論が尽くされているとはいえない。集積情報の利活用により 個人が不利益を被った場合、その救済は不法行為に基づく損害賠償 請求となるであろう。そこで本論は、集積情報の利活用における不 法行為法上の問題を検討し、個人に対しいかなる保護が望まれるか を検討する。 松井茂記ほか編『インターネット法』( 有斐閣・2015 年 )275 頁。
1 集積情報とその利活用をめぐる問題~リクナビ問
題
(1)リクナビ内定辞退率販売問題 2019 年 8 月、就職情報サイト「リクナビ」を運営するリクルー トキャリアが、当該サイトを利用する就活生約 8000 人の内定辞退 率を予測し、その結果を企業 38 社に販売提供していたことが発覚 した4。内定辞退率は、リクルートキャリアが就活生の「リクナビ」 サイト内での閲覧履歴やサイト内での行動履歴をもとに算出したも のであった。リクナビを利用する就活生たちは、自身の情報が外部 に提供されていることを知らず、リクルートキャリア側も外部提供 について就職活動生らから十分な同意を得ていなかった。 第一報による発覚後、リクルートキャリアは内定辞退率の販売を 廃止した。しかし、政府の個人情報保護委員会は、リクルートキャ リアが就職活動生の情報を同意なく外部提供していたことや、個人 情報を取扱う企業としての管理体制の不備を指摘し、委員会として 初めて、リクルートキャリアに是正勧告を出した。さらに、リクルー トキャリアが取得していた P マークも付与取消となった。詳細な 経緯は以下のとおりである5。 リクルートキャリアは内定辞退率を「スコア」とよび、「リクナ ビ DMP フォロー」として 2018 年 3 月から企業に提供していた。 当初は就活生に「ウェブアンケート」を送信し、そこから「Cookie 情報」と「契約企業固有の応募者管理 ID」、就活生の「業界ごとの 閲覧履歴」を紐づけて、スコア算出を行っていた ( アンケートスキー ム型 )。 そして 2019 年 3 月以降、その方法を変更した。すなわち内定辞 退率の販売は、まず内定辞退率を求める企業側が、応募してきた就 4 日本経済新聞 2019 年 8 月 2 日朝刊ほか。 5 リクルートキャリア「『リクナビ DMP フォロー』に関するお詫びとご説明」 (https://www.recruitcareer.co.jp/r-dmpf/pdf/r-dmpf_20200106.pdf) 2020 年 3 月 4 日確認。活生の情報 ( 氏名、選考結果、学歴など ) をリクルートキャリアに 送付することに始まる。リクルートキャリアは、送られた情報とリ クルートキャリアが保有する各就活生のリクナビ閲覧情報などを結 合させ、関連会社であるリクルートコミュニケーションズが AI に より分析し、各就活生の企業の内定辞退率を算出し、各企業に提供 していた (PP スキーム型 )。 スコア算出に際し、いずれの企業もリクルートキャリアに対し、 応募者管理 ID、姓名、メールアドレス、大学(学部・学科)、選考 過程での辞退・承諾情報を提供していた。企業提供情報にリクルー トキャリアが保有する各就活生の情報 ( 氏名、大学、メールアドレ ス、端末情報、行動履歴 )、閲覧履歴などが紐づけられていた。 第一報が報じられた当初、同意を得ずに企業へ情報提供された就 活生は 7983 名であったが、調査の結果、最終的には 13840 人の情 報が未同意のまま提供されていたことが判明した。加えて個人識別 が可能な情報を、同意を得ずに取得していたことも判明した。 (2)「リクナビ DMP フォロー」における問題点 一連のリクルートキャリアの行為において最も問題視されたの が、就活生の同意を得ずに本人の情報を第三者 ( 企業 ) に提供して いたことであった。しかし運営方法などを概観すると、問題は第三 者への同意なき情報提供のみではないように思われる6。 ・情報の性質 「リクナビ DMP フォロー」で販売されたスコアは、リクナビに 集積された情報をもとに作成された。販売開始当初のアンケート スキーム型では、就活生へのウェブアンケートを通じて取得した 6 2019 年 9 月 9 日に開催された情報法制研究所主催のセミナーでは、リクナビ問 題について、個人情報保護法のみならず消費者契約法、経済法などといった多面 的な観点から、問題点を指摘、検討していた。福島直央「就活サイト『内定辞退 予測』で揺れる“個人スコア社会”到来の法的問題を考える―現行法の解釈にお ける課題と個人情報保護法改正への提言―」情報法制研究 6 号 102,103 頁 (2019 年 )。
「Cookie 情報」と企業側が提供する「管理 ID」からスコアを算出 していたことから、個人特定をしていなかった。 ホームページやサイト等を閲覧することにより、サーバー側にイ ンターネットのドメイン名や IP アドレス、当該サイトの閲覧履歴 などの情報が自動的に収集される Cookie は、個人を識別できる情 報あるいは符号ではないため、個人情報保護法の射程する個人情報 には該当しない7。リクナビによる「Cookie 情報」の利用は、それ 自体では個人情報保護法とは関連しないことになる。 他方 PP スキームでは、スコア算出のために利用されたリクルー トキャリア側の情報は、リクナビ上で各就活生が登録していた氏名 や大学名、メールアドレスといった、既に個人特定が可能な項目を 含んだものであった。またスコアを希望する契約企業側が提供した 情報も同様に、就活生自身が企業側に提供した個人特定が容易な情 報であった。いずれも就活生本人が用途に応じ提供した個人情報で あることから、提供時に個人情報保護法に則った利用等について承 諾をしていた。リクルートにおいて算出されたスコアは、個人特定 が可能であった情報であるにもかかわらず、その提供の同意を得て おらず、プライバシーポリシーにも記されていなかった。 以上の状況から、リクナビ問題では 3 つの性質をもつ情報が取り 扱われたとみることができよう。すなわち、① Cookie を介した匿 名情報または個人特定ができない情報、②情報を保有する本人が提 供した、個人特定が可能な情報、③本人提供情報を第三者が加工す ることで新たに完成した個人に関する情報、である。 ①のように Cookie を通じ情報を収集される個人は、個人を特定 するような情報を自ら提供しておらず、また、そもそも情報を提供 していることすら認知していない可能性もあるかことから、自らの ドメイン名等を知られたとしても、個人に何らかの不利益や損害は 生じないであろう。他方、Cookie が何か別の個人に関する情報な 7 渡邊涼介『企業における個人情報・プライバシー情報の利活用と管理』( 青林書 院・2018 年 )314 頁。
どと紐づけば、本人特定が容易となり、新たな問題が生じるであろ う。 ②、③は、本人が提供した情報がもととなっている。自らが提供 することは、黙示明示いずれであっても情報を提供し、相手方がそ れを収集ないし受領することに同意しているものと解することがで きよう。③は個人から提供された情報を加工という方法で利用する ものである。このように他者が加工した情報は誰のものであろうか。 個人が特定できる限り、特定された本人とみることもできよう。と ころがリクナビ問題のように、他者による加工や加工情報の利用が 本人の関知しない所で行われることも多くある。 集積情報には、こうした性質の異なる情報が混在することになる ため、性質ごとにその取扱いの在り方を判断することが求められよ う。 ・情報の収集と加工 リクルートキャリアが使用した情報は、就活生がリクナビに登録 のために必要とされる情報である。リクナビの利用にあたって自ら の情報を提供 ( 登録 ) せざるを得ないであろう。インターネット上 のサイトのみならず、社会において特定のサービスなどを利用する 際、サービス等の事業者に対し本人の情報を自ら提供することがあ る。情報の取得を望む事業者からすれば、サイト等サービス利用に 伴う登録行為は、容易かつ適法であると同時に、強制的に個人の情 報を収集できる手段である。また、サービス利用の対価とみること もできよう。 本人の自発的な提供によって事業者が取得した情報は、事業者と 本人いずれのものであろうか。収集した情報を利用するのは事業者 であるから、情報は事業者のものとみることができる。収集した情 報を事業者が独自に集積し、匿名化などの加工をすれば、個人の識 別が不能となるため、当該情報はさらに本人の手を離れることにな るであろう。しかし、リクルートキャリアと企業の情報が結合して
スコアという新たな情報が構築されたように、いったん個人識別が 困難になった情報であっても別の情報と結びつくことで、再び個人 を識別できる情報になれば、情報の持ち主の判断は複雑化するであ ろう。 ・スコア リクナビ問題では、個人情報取扱事業者であるリクルートキャリ アに対し個人情報保護法に基づく処分が科せられた。情報を無断提 供された就活生は、リクルートキャリアおよびスコアを受領してい た一部の企業から、経緯の説明を受けたのみである。スコアを利用 した企業側は、内定を出す際にスコアは影響していないと主張した。 しかし影響の有無は、就活生には到底判断できるものではない。 さらにスコアは、ある人物の行動履歴などから人物の属性や好み などを分析した結果を点数化 ( 数値化 ) したものである。分析は AI などにより行われるが、本来の個人とはかけ離れた人物像でスコア が算出されるおそれもある。 こうしたリスクをもつ情報の利用により、本人に生じる不利益は 拡大するのではなかろうか。
2 集積情報とプライバシー
「リクナビ DMP フォロー」にある多様な問題点は、それぞれプ ライバシー侵害を構成しうるのであろうか。情報化社会の変化とと もにプライバシーの定義は変化しているが、確定的な定義はいまだ 存在しない。そこで伝統的な定義を中心に、「リクナビ DMP フォ ロー」のような集積情報の利活用における、プライバシー侵害の成 立の可否とその救済方法を検討する。 (1)プライバシーの定義と集積情報 ・不法行為法上のプライバシー侵害成立要件プライバシーの定義は、「放っておいてもらう権利(right to let alone)」という初期の定義8を基礎に展開するものであるが、イン ターネットの発展を契機とし、その定義の在り方が変容している。 さらにプライバシーを私法、公法あるいは、権利概念、侵害行為様 態などいずれの視点から見るかにより、定義あるいはその性質に対 する見解は異なることが指摘される9。 Prosser によるプライバシーの類型化は、侵害様態からプラ イバシーを定義するもので、不法行為法上のプライバシーの基 礎である10。すなわちプライバシー侵害とは、①私的領域への侵 入 (intrusion)、②他人に知られたくない私的事柄の公開 (public disclosure)、③世間に本来の自己の姿と異なった印象を与えること (false light)、④肖像や氏名の営利的無断利用 (appropriation) である。 加えてわが国では、私的事柄の公開について、『宴のあと』事件11 で示された、公開された内容が①私生活上の事実または事実らしく 受けとめられるおそれのある事柄、②一般人の感受性を基準とした とき、公開を欲しないであろう事柄、③一般人にいまだ知られてい ない事柄であるときに、プライバシー侵害に法的救済が与えられる とする要件に従った判断がなされている。 こうしたわが国でのプライバシー侵害に対する不法行為法上の要 件は、これまで大きく変化をしていない。 ・伝統的な要件と自己情報コントロール権 プライバシー侵害をめぐる一部の判例において、プライバシーを 「自己の情報をコントロールする権利12」として、個人の情報ないし
8 Warren & Brandeis, The Right to Privacy, 4 Harv. L. R. 193(1890).
9 竹田稔『増補改訂版プライバシー侵害と民事責任』( 判例時報社・1998 年 )7 頁 ではプライバシーについて、民事法上固有の問題があることを指摘する。 10 Prosser, Privacy, 48 Cal. L. R. 383(1960).
11 東京地判昭和 39 年 9 月 28 日下民集 15 巻 9 号 2317 頁。
12 佐藤孝治「現代社会とプライバシー」『現代損害賠償法講座 2 名誉・プライ バシー』( 日本評論社・1972 年 )61 頁。
私的な事柄の取り扱いについて「一定限度にコントロールするこ とを保障する」ことも含まれると判断している13。しかし本判例は、 原告の容姿に関する週刊誌上の表現をめぐる争いであったことか ら、事故情報コントロールではなく、私的事柄の公開のプライバシー 侵害とみることもできよう14。 集積情報ともいえる住基ネットによる個人情報の収集、管理など をめぐり住民側が自己情報コントロール権としてのプライバシー侵 害を主張した、最一小判平成 20 年 3 月 6 日民集 62 巻 3 号 665 頁で は、「プライバシー権ないし自己情報コントロール権の侵害」を認 めた原審判決15に対し、自己のプライバシーに関する情報の取り扱 いを自己で決定する権利利益が違法に侵害されたという原告側の主 張には理由がないとした。そして「自己情報コントロール権」につ いては直接の言及をしなかったことから、権利利益としてはいまだ 確立しているものではないといえよう16。 侵害様態からプライバシーを定義するならば、プライバシーとは おおよそ受動的な利益とみることができる。その利益の内容がいか なるものであるとしても、プライバシー侵害はプライバシーという 個人が有する利益への攻撃であるとするのが伝統的な考え方であろ う。 これに対し「自己情報コントロール権」としてのプライバシーは、 能動的な利益であるといえよう。すなわち、個人がある「情報」の 持ち主であって、その保有者としての権利利益を有していることを 前提に、他者に対し一定の行為を請求することになる。いかなる「情 報」や行為が対象となるかが明確ではない。さらに権利利益の存在 が前提となるとすれば加害行為や違法性がなくとも、単に「情報」 13 東京地判平成 5 年 5 月 25 日判タ 827 号 227 頁。 14 同様に、五十嵐清『人格権法概説』( 有斐閣・2003 年 )205 頁。 15 大阪高判平成 18 年 11 月 30 日判時 1962 号 11 頁。 16 藤岡康宏『民法講義Ⅴ不法行為法』( 信山社・2013 年 )225 頁では、自己情報コ ントロールとしてのプライバシーについて、不法行為法の観点では「情報支配権 たるプライバシー権として」理解する余地に言及する。
を利用されたくないことのみをもってプライバシー侵害が成立しう ることになるであろう。しかし不法行為法上のプライバシーは、他 者に知られたくない私的な事柄ないし私生活の法的保護が基礎にあ ることを考慮すれば、自己情報コントロール権の概念を不法行為法 上のプライバシーに包含することは未だ困難といえよう17。 他方リクナビ問題のように、集積情報の利活用をめぐり個人に不 利益が生じるおそれが増加している。このことから、個人情報の取 り扱いについて「情報」があることを前提とした保護を考慮する必 要があろう。 ・データを前提としたプライバシー定義 Solove は個人に関するデータの存在を前提に、データ主体を個 人自身とし、取扱い活動により生じる問題に着目してプライバシー を類型化した。取扱い活動とは、①情報収集 (collection)、②情報処 理 (processing)、③情報拡散 (dissemination)、④侵襲 (invasion) で ある18。4 種の活動はそれぞれより具体的な行為様態により細分化さ れる。 情報の性質にかかわらず、情報ないしデータの取扱いによる侵害 行為様態を想定する上で、Solove の類型は有用であるといえよう。 特にリクナビ問題のような場合、「情報」があることを前提とした 保護をする類型は、救済の根拠づけに有用であろう。他方、Solove による類型は、情報ないしデータ取扱いの行為様態からプライバ シーをみるが、個人に発生する不利益や損害はあまり考慮しない。 不法行為ないしプライバシー侵害の成立には、加害行為と損害との 間に因果関係があることを要する。データの取扱いに問題があった としても、その行為によって個人に損害が生じていないならば、不 法行為に基づく救済はできないということになろう。 リクナビ問題を Solove の類型にあてはめれば、②情報処理 17 前掲注 8 164 頁。 18 ソローヴ・大谷卓史訳『プライバシーの新理論』( みすず書房・2013 年 )144 頁。
(processing) と③情報拡散 (dissemination) における問題の発生であ ろう。②情報処理のグループには情報の蓄積、操作、利用方法が含 まれる。特に集約 (aggregation) は、さまざまなデータを組み合わ せる行為を意味することから、リクルートキャリアによる情報の紐 づけがこれに該当するであろう。さらに情報処理は、情報収集時と は異なる目的での情報の無断利用を意味する二次利用 (secondary use) も含むことから、スコア作成およびスコアの販売は二次利用 となるであろう。スコアの販売は、③情報拡散のなかの情報開示 (disclosure) であろう。加えて、就活生は第三者提供には同意をし ておらず、リクナビのプライバシーポリシーにも記載がなかったこ とから、守秘義務関係破壊行為 (breach of confidentiality) となりえ よう19。 リクナビ問題の中心は就活生の情報利用にあることから、Solove の分類は問題の整理において有効に機能する。しかしわが国の不法 行為法上のプライバシー侵害成立要件としてとらえるならば、企業 への販売が、私的事柄の公表 (disclosure) に該当する可能性はある が、それ以外の行為はプライバシー侵害には該当しないということ になるであろう。ところが Solove の類型化では、販売以外の行為 もプライバシーをめぐる問題となる。こうしたプライバシー理論の 差異をどのように理解すべきかについては、さらなる検討を要する であろう。 (2)集積情報の性質とプライバシー ビッグデータを含む集積情報は、前述のように量、多様性、頻度 を有するデータであることから、それ自体から個人を特定すること は困難である。集積情報から個人の情報が抽出されたとき、当該情 報は特定個人に関する情報という新たな価値を生むことになる。そ して、その情報の内容次第では、プライバシーと関連する問題が発 19 前掲注 17 146 頁。
生しうる。 不法行為法上のプライバシー侵害成立可否において、情報の内容 や性質は重要な判断要素となる。『宴のあと』事件判決をもとにみ れば、それは公表された情報の個人特定性 ( 識別性 ) と秘匿性であ る。はたして集積情報はプライバシー侵害を構成しうるか。さらに リクナビ事件で取り扱われた情報の性質は、このような要件に該当 するのであろうか。 ・匿名性と特定性(識別性) 集積情報から個人を特定 ( 識別 ) するために必要となる情報は、 一般に識別情報となるであろう。個人情報保護法を基礎に定義する ならば、識別情報とは、「氏名、生年月日その他の記述等」により「特 定個人を識別することができる」個人情報と、「文字、番号、記号 その他の符号であって、当該特定個人を識別することができる」個 人識別符号である20。 集積情報が識別情報のみで構成されていないとき、いわゆる機微 情報など、別の性質を持つ個人の情報が識別情報に付帯することに なる。集積情報から抽出された特定個人の情報は、識別情報という 機関車が機微情報など多様な情報を貨物として牽引するようなもの である。 集積情報はさまざまな角度から分類することができる21。識別性 からみれば、個人を識別できる情報が含まれるときと、そうではな い場合もある。いずれであっても、集積情報の価値は特定個人にあ るのではなく、集合体としての情報に価値があるため、匿名であっ ても情報としての価値はある。 個人が識別できないような情報は、個人を特定できないため、そ もそもプライバシー侵害が成立しないであろう。 集積情報から抽出された特定個人の情報があるとき、そこに氏名 20 個人情報保護法 2 条。 21 前掲注 1、6 頁。
などの確定的な識別情報があれば、当該情報は特定個人のものであ ると容易に判断できる。しかし例えば仮名であるとか、識別情報と までは断言できないような、識別可能性のある情報によって個人が 識別できるときはどのように考えるべきか。識別可能性のある情報 が特定個人の情報であるかを判断するのは、本人の主観によること になるであろう。集積情報から抽出された自己の情報を利用された ことで不利益が発生したと主張する者 ( 原告 ) がいるとき、抽出さ れている情報が識別可能性の情報であるならば、本人の情報である と立証することは極めて困難であろう。利用したとされる側 ( 被告 ) においても、本人の情報ではないという抗弁の立証は容易であろう。 仮に集積情報から抽出された特定個人の情報があったとしても、 本人を識別できる可能性の低い情報であるときにはプライバシー侵 害を構成しえない。他方、確定的な識別情報であれば、そこに付帯 する情報次第では、プライバシー侵害を構成しうることになる。 リクナビ問題において、リクルートキャリアが保有する集積情報 から抽出された情報は、① Cookie を介した匿名情報または個人特 定ができない情報、②情報を保有する本人が提供した、個人特定が 可能な情報であった。①は個人を識別できない情報であることから、 当該情報の利用はプライバシー侵害とならない。他方②は、正確な 本人識別ができるものであることから、その利用はプライバシーと 関連することになるであろう。 ・秘匿性 秘匿性とは、当該情報が他者に公開されたくないあるいは、公開 によって不利益が生じる可能性のある度合いである。秘匿性の高低 の基準は『宴のあと』事件判決により「一般人の感受性」に委ねら れるとするのが判例通説である。 集積情報は多様な情報の集合体であるため、秘匿性の高さが異な る情報が混在することになる。当該集積情報のいかなる側面を利用 するかにより、秘匿性の度合いは変化するであろう。仮に秘匿性の
高い集積情報であったとしても、個人特定が困難であれば、プライ バシー侵害は生じない。 リクナビ問題において利用された情報のうち、秘匿性のある情報 には、サイト内の閲覧履歴や行動履歴が該当するであろう。サイト 閲覧行為や行動は、個人の私的な行為ないし私生活の一部である。 さらに就活生からすれば、応募先企業も特に不採用だった場合には 知られたくない事柄かもしれない。他者に知られたくない事柄とは、 知られることにより実質的な損害が発生するおそれがある事柄を前 提とする。不採用先を他者に知られることによる損害の程度はおよ そ軽微なものであると考えるのが一般的である。 他方、知られた相手によっては、本人が予期しないような損害が 生じるかもしれない。しかしこれは情報の性質の問題ではなく、情 報の提供先と提供された側の利用をめぐる問題であろう。 (3)利用の違法性 ・収集 ( 抽出 ) をめぐる問題 集積情報を作成するには、情報を収集する行為を要する。ある目 的のために収集される情報には、多数の者が自ら提示した個人に関 する情報と本人が気付かぬうちに収集されるものがある。本来、本 人が情報を収集されたことに気付かなければ、プライバシー侵害は 構成できない。Prosser もまた、収集行為それ自体は、プライバシー 侵害様態ではないとする。 収集行為とプライバシー侵害の関係は、本人が自らの情報を収集 されたことを知ることが前提となる。個人は、収集されることを望 まない相手には率先して情報を提供することはしないであろう。リ クナビ問題における就活生のように、何らかの理由や目的をもって 相手方に自ら提供する場合、相手方は情報の収集目的を本人に開示 する。これは、個人情報保護法に基礎づけられるものであろう。こ のような同意のある収集に対し、同意なき情報の収集もある。 同意なき収集では、収集方法によりプライバシー侵害を構成しう
ることがある。例えばある者を隠し撮りすることは、個人の肖像や 行為の様子を無断で収集することである。隠し撮りは、その手法 によって私的領域への侵入というプライバシー侵害が成立する22。 盗聴による音声の収集行為についても同様に理解することができ る23。 リクナビ問題では、収集行為は就活生の同意のもと適正に行われ ているとみることができる。ただし、リクルートキャリアによる第 三者提供などについて就活生に告知しなかった点が問題となった。 このような告知と同意は収集行為と関連するが、告知と同意は収集 の目的と収集後の利用方法に対するものであり、収集行為それ自体 とは切り離してみるべきであろう24。 さらにスコア作成のための情報収集は情報収集源が本人ではな く、リクルートキャリアと企業それぞれが、すでに保有している集 積情報から抽出 ( 収集 ) している。リクナビ問題は、リクルートキャ リアによる無断提供が問題視されているが、実際には、企業側の情 報提供についても注視すべきであろう25。 いったん個人の手を離れた本人に関する情報はだれのものになる のか。個人識別可能性が低い間は、本人と他者の情報は分類できな いため、集積情報保有者のものと推定せざるを得ないのではなかろ うか。 ・集積情報そのものの利用と紐づけ 単に情報を加工したのみでは個人に損害は生じない。問題は、紐 づけなど情報の加工により新たな価値を持つ情報が構築ないし完成 することである。 集積情報から抽出された単一では秘匿性の低い情報であっても、 22 たとえば、東京地判平成 2 年 5 月 22 日判時 1357 号 93 頁。 23 岡山地判平成 3 年 12 月 17 日労判 606 号 50 頁。 24 収集行為とプライバシーの関係について、拙著「私的事柄の収集行為とプライ バシー-不法行為法の観点から-」情報法制研究 6 号 11 - 21 頁 (2019 年 11 月 )。 25 日本経済新聞 2019 年 8 月 6 日朝刊 13 頁。
他の秘匿性の低い情報と個人識別性の高い情報などが結合すること により、当該情報は特定個人に関する情報となる。例えば、性別 のみでは個人特定はできないが、氏名と通院歴が加われば、ある個 人の既往症を推知することができる情報となる。既往症などの医療 情報は秘匿性の高い情報であり、無断公表はプライバシー侵害とな る26。 こうした加工や紐づけは、違法性のある行為であろうか。新たな 価値を持った情報の利活用を目的に作成されかつ、その作成が個人 の同意を得ないで行った場合、作成者において個人情報保護法違反 となることは予想される。しかし、作成のみでは個人には何らの損 害も発生しないと考えられる。無断で作成されたことを知ったとき、 その行為に対して不快感のようなものが生じるかもしれないが、こ れは損害とはいえないであろう。 他方、東京地判平成 22 年 10 月 28 日労判 1017 号 14 頁では、企 業が社員の識別情報や人事評価、医療情報、所属部署などのあらゆ る情報 (158 項目 ) を収集し、社員の情報リストを独自に作成した行 為について、「私生活上の平穏を害する」として、プライバシー侵 害を認めた27。そして本事件の原告は「不快、不安、不信、驚き、嫌悪、 憤り等の念を抱くなどの精神的苦痛を被った」とした。しかし、判 決が認めた精神的苦痛は、それを裏付けるような実質的な損害がな かったことから、プライバシー侵害の成立を認めたことには疑問が 残る。 リクナビ問題では、リクルートキャリアが保有する情報と契約企 業から提供された情報が紐づくことにより、新たな情報が作られた。 情報は、それが利用されることで価値が高まるものであろう。リク 26 なお医療情報の無断公表は、特に HIV 検査結果の公表をめぐる判例が多くみ られる。初期は、東京地判平成 7 年 3 月 30 日判時 1529 号 42 頁や東京地判平成 15 年 5 月 28 日判タ 1136 号 114 頁などがある。さらに近時では、札幌地判令和 元年 9 月 17 日労判 1214 号 18 頁。 27 判例評釈として、倉田原志「労働組合による乗務員の個人情報収集等とプライ バシー」法時 84 巻 1 号 132 頁。
ナビ問題での利用方法は、企業への提供とスコアの利用である。い ずれもリクルートキャリアによる行為ではなく、提供された第三者 の企業側による行為である。就活生に実質的な損害が生じるのは、 第三者の利用によるのではなかろうか。 ・第三者提供と第三者による利用 情報の性質にかかわらず、特定個人に関する情報がもとの情報保 有者から第三者に提供されるとき、第三者は多少なりとも当該情報 の利用することを目的として、もとの情報保有者に情報の提供を請 求する。第三者提供では、もとの情報保有者には情報の提供、第三 者には情報の利用方法というそれぞれ別の問題が発生するであろ う。しかし情報の第三者提供では、「提供がなければ、利用なし」 とする傾向にあることから、もとの情報保有者の責任が重くなるこ とがある。 そこでもとの情報保有者は、提供した情報の利用方法に第三者に 対し制限や条件を付すこともある28。こうした条件を付すことによ り、もとの情報保有者は自己の提供行為の責任を軽減ないし免れる のであろうか。今後の検討を要する。 リクナビ問題において、リクルートキャリアは企業側に利用制限 や条件を付していない。企業側は、内定を出す際にスコアは参考と しなかったと述べている。しかし就活生にすれば、当然ながら事実 はわからず、不安を感じることになるであろう29。就活生たちの不安 は、単に情報を無断利用されたことのみならず、スコアを利用され たことで内定が取れないのではなかという不安もある。また仮にス コアのために内定を貰えなかったと主張する就活生がいたとしても、 企業側のスコア利用との因果関係を立証することは困難であろう。 28 東京地判平成 31 年 1 月 16 日 (Westlaw2019WLJPCA01166002) では、タクシー 会社からドライブレコーダー映像を提供したテレビ局に対し映像を利用する際に はその内容を事前確認させるよう要請していたが、テレビ局はそれを怠り、映像 にコメントを付すなどの加工をし、放映した。 29 日本経済新聞 2019 年 8 月 3 日朝刊 11 頁。
3 救済方法~集積情報の利用はプライバシー侵害か
ここまで検討したように、集積情報の利活用において個人のプラ イバシー侵害を構成することには困難がある。換言すれば、集積情 報の利活用によって個人が不利益を被ったと主張しても、立証の困 難性や実質的な損害が不明確であることから、その救済が不十分に なるということである。リクナビ問題と類似する問題は世界各国で も生じており、その対応が多様化している。 (1)Target 社によるスコア作成 2012 年、アメリカの大手スーパーマーケット Target 社が、顧 客の購入履歴、年齢、性別などから当該顧客の妊娠予測スコア (pregnancy prediction score) を 算 出 し て い た こ と が 発 覚 し た。 Target 社は、算出したスコアをもとに数万人の妊娠していそうな 女性に対し、妊娠および出産前後に必要となる商品 (baby item) の 電子クーポンを送付した。後日、クーポンを見た高校生の娘をもつ 父親から、高校生の娘に妊娠出産に関係するクーポンが届くことへ の苦情の電話があったが、それにより娘の妊娠が判明してしまった。 父親は、Target 社のおかげで娘の妊娠を知ることができたことに 感謝したが、その一方で「たとえ適法行為であったとしても、人を 不快にさせる (get queasy) 行為である」と述べた30。 Target 社による一連の行為は、ビッグデータの利用と顧客のプ ライバシーの関係にさまざまな問いを残すものであった。議論は Target 社による行為の違法性、結果的に不利益が派生した場合の 救済方法、ビッグデータがもたらすプライバシー定義の変化にまで 及ぶ31。こうした問題は、これまでどちらかといえば憲法的な議論30 Charles Duhigg, N.Y. TIMES MAG., Feb. 19, 2012, at https://www.nytimes. com/2012/02/19/magazine/shopping-habits.html?pagewanted=1&_r=1&hp (2020 年 3 月 4 日確認 )
31 一 例 と し て JE Mai, Big data privacy: The datafication of personal information,32 The Information Security, 192-199(2016), Crawford=Schultz, Big Data and Due Process: Toward a Framework to Redress Predictive Privacy
が中心であった。
各国におけるプライバシーの概念ないし定義は、わが国同様、私 法、公法アプローチが混在していた。近年、各国において私法と公 法あるいは、各法規定に則したプライバシー概念を確立する傾向に なりつつある。不法行為アプローチでは common tort privacy や tort privacy として、Prosser による伝統的な類型に依拠し、侵害 行為と損害からプライバシー保護を図るものである。 ところが Target 社問題のように、情報を利用された個人には具 体的な損害が生じず、不快感や不満といった茫漠とした抽象的な不 利益のみが発生することがある。リクナビ問題においても同様の不 利益が発生していたと考えられる。こうした抽象的な不利益に対し、 プライバシー侵害とは異なるアプローチで保護が試みられている。 それぞれの方法は、わが国においても有用であろうか。以下で若干 の検討をする。 (2)不法行為に基づく損害賠償 Target 社によるスコアは、マーケティングのため、購入履歴な どの集積情報をもとに作成された。スコアで抽出された顧客に送付 された電子クーポンは、妊娠を推知できるような内容を含む情報 であった。妊娠は医療情報であり、秘匿性の高い私生活上の情報 である。電子クーポンの受取り手は、女子高校生の父親のように、 Target 社が意図しない者に届き、見られることもあろう。これは、 個人の医療情報 ( 妊娠 ) を公表する行為であり、私的事柄の無断公 表 (disclosure) に類する行為として、プライバシー侵害を構成しう るであろう。 医療情報は一般に秘匿されている情報である。Target 社の行為 は、集積情報を介して私的領域へ侵入し (intrusion)、医療情報をの
Harms, 55 Boston College L.R. 93-128(2014), and Barocas=Nissenbaum, Big Data’s End Run Around Procedural Privacy Protections, 57 Communications of the ACM, 31-33(2012) など。
ぞき見する行為ということもできよう32。仮に望まない妊娠や妊娠 に気付いていない者からすれば、妊娠に関する情報を提供されるこ と自体が私生活への干渉ということもできよう。 取扱われる情報の性質から、リクナビ問題に同様の構成を用いる ことは難しい。それはリクナビ問題における就活生の行動履歴の秘 匿性が医療情報との比較では低いためである。秘匿性の低い情報で あれば、それが他者に知られても損害は少ないとされることから、 Target 社と同様の行為をしたとしても、加害行為とはならず、プ ライバシー侵害は構成しえないことになるであろう33。 (3)多様化する救済方法とその根拠 ・breach of confidence 特にイギリスでは、私的な情報の無断利用に対する救済の根拠を breach of confidence に置いている34。breach of confidence は、守
秘義務違反を意味するものであろう。秘匿性の高い情報を共有する 当事者間の信頼関係を基礎とし、情報の暴露や無断公開は信頼関係 を破壊する行為となることから、これを不法行為とするものである。 breach of confidence では秘匿性が重視されるため、秘匿性の低 い事柄の公表や、ビッグデータの取り扱いには適用が難しいという 欠点がある。
・breach of fiduciary duty
受託者を意味する fiduciary であるが、fiduciary duty とは、個
32 前掲注 3、山本 287 頁では、Target 社による行為を「データ媒介的覗き見」と 表現する。
33 Zhu, A Traditional Tort for a Modern Threat: Applying Intrusion upon Seclusion to Dataveillance Observation, N.Y.U.L.R. 2381 - 2385(2014) では、ビッ グデータの利活用における問題を私的領域への侵入としてプライバシー侵害を構 成することには限界があるとしたうえで、新たなアプローチで私的領域への侵入 による解決を試みている。
34 Witzleb, Monetary remedies for breach of confidence in privacy cases, 27 Legal Studies, 430-464(2007) and Vickery, Breach of Confidence: An Emerging Tort, 82 Colum. L. R.1426(1982).
人識別が可能な情報を収集、保持する者を情報の受託者とし責任を 課すものである35。
これは集積情報の取り扱いにおけるプライバシーの問題には有効 に機能することが予想される。しかし、こうした義務を課す法的根 拠を要するであろう。そこで個人識別可能情報の保有者には、情報 を保有することをもって、注意義務 (duty of care) や忠実義務 (duty of loyalty) に類似する義務が発生すると仮定し、それに反する情報 の取り扱いをしたときは、受託者義務違反とするものである。 ・misuse of private information(MOPI)
近時、イングランドとウェールズにおいて、Prosser の定義に加 え、新たなプライバシー侵害様態として提案される考え方である36。 MOPI は考え方の一端が初めて現れたのは、2004 年の Campbell v MGN Ltd. である37。 misuse は一般的に「悪用」と訳されるが MOPI ではより広く解 する。すなわち、個人に情報が自らの希望しない、あるいは予期し ない利用をすべて misuse ととらえるものである。misuse には、私 的領域への到達 (access) も含まれる。 MOPI は、いまだ新しい概念であり、今後の展開を見守る必要が ある。しかし、情報の性質や行為様態を限定せず、情報の利用ない し取り扱いを広く保護するものであり、わが国の集積情報の取り扱 いにも、今後示唆を得られるであろう。
おわりに
リクナビ問題のような、集積情報ないしビッグデータの利活用と35 Ormerod, A Private Enforcement Remedy for Information Misuse, 60 Boston College L.R. 1897(2019).
36 Wragg, Recognising a Privacy-Invasion Tort: The Conceptual Unity of Informational and Intrusion Claims, 78 Camb. L. J. 409-437(2019).
プライバシーの関係をめぐる問題は、今後も増加することが予想さ れる。本論では十分な検討を行わなかったが、スコアは、個人の何 らかの行為の成績のようなものである。成績次第で当該個人に不利 益が生じた場合、それはもはやプライバシーの範疇を超える問題と なるであろう。 本論で考察したように、集積情報から特定情報を抽出し、新たな 情報を作出することのみではプライバシー侵害を構成しない。問題 は、公表を含めた利活用にあるものと考えられるが、情報の性質次 第では本来のプライバシー侵害には該当しないこともある。 プライバシーが問題となる状況は多様化しているが、不法行為法 上のプライバシー定義は大きく変化していない。不法行為法上のプ ライバシー定義が時代遅れなのではなく、これまでの定義で十分に 対応できることを意味していると考える。 近時、各国において Prosser の4類型を見直す動きがみられる。 伝統的な基礎理論と新たな理論をいかに融合すべきであるか、今後 検討が必要であろう。 本研究は、平成 28 年度札幌大学研究助成の成果の一部である。
