| 住基ネット訴訟 | ||||||||||||||||||||||||||||
| 上告審判決 | ||||||||||||||||||||||||||||
|
損害賠償請求事件 最高裁判所 平成19年(オ)第403号、同年(受)第454号 平成20年3月6日 第一小法廷 判決 上告人 (被控訴人 被告) 守口市 代理人 貝阿彌誠 ほか 被上告人(控訴人 原告) X3 ほか1名 代理人 上原康夫 ほか ■ 主 文 ■ 理 由 ■ 上告代理人大竹たかしほかの上告理由 ■ 上告代理人大竹たかしほかの上告受理申立て理由 原判決中,上告人敗訴部分を破棄する。 前項の部分につき,被上告人らの控訴をいずれも棄却する。 控訴費用及び上告費用は被上告人らの負担とする。 [1]1 本件は,被上告人らが,行政機関が住民基本台帳ネットワークシステム(以下「住基ネット」という。)により被上告人らの個人情報を収集,管理又は利用(以下,併せて「管理,利用等」という。)することは,憲法13条の保障する被上告人らのプライバシー権その他の人格権を違法に侵害するものであるなどと主張して,被上告人らの住民基本台帳を保管する上告人に対し,上記の人格権に基づく妨害排除請求として,住民基本台帳からの被上告人らの住民票コードの削除を求める事案である。 [2]2 原審の適法に確定した事実関係の概要等は,次のとおりである。 [3](1) 住民基本台帳法(以下「住基法」という。)は,平成11年法律第133号により改正され,住基ネットが導入された。住基ネットの概要は,次のとおりである。 ア 目的 [4] 従前,各市町村の保有する住民基本台帳の情報は当該市町村内においてのみ利用されていたが,住基ネットは,市町村長に住民票コードを記載事項とする住民票を編成した住民基本台帳の作成を義務付け,住民基本台帳に記録された個人情報のうち,氏名,住所など特定の本人確認情報を市町村,都道府県及び国の機関等で共有してその確認ができる仕組みを構築することにより,住民基本台帳のネットワーク化を図り,住民基本台帳に関する事務の広域化による住民サービスの向上と行政事務の効率化を図ることを目的とするものである(住基法6条,7条13号,30条の5~30条の8等)。 イ 住民票コード [5] 市町村長は,個人を単位とする住民票を世帯ごとに編成して,住民基本台帳を作成しなければならず(住基法6条1項),その住民票には住民票コードを記載しなければならない(同法7条13号)。都道府県知事は,総務省令で定めるところにより,あらかじめ他の都道府県知事と協議して重複しないよう調整を図った上,当該都道府県の区域内の市町村の市町村長ごとに,当該市町村長が住民票に記載することのできる住民票コードを指定し,これを当該市町村長に通知する(同法30条の7第1項,2項)。上記総務省令に当たる同法施行規則においては,住民票コードの指定は,都道府県知事が,無作為に作成された10けたの数字及び1けたの検査数字を組み合わせて定めた数列のうちから無作為に抽出することにより行うものとされている(同法施行規則1条,14条)。 [6] 市町村長は,いずれの市町村においても住民基本台帳に記録されたことがない者について新たに住民票の記載をする場合は,都道府県知事から指定された上記の住民票コードのうちから一を選択して住民票に記載し(同法30条の2第2項),いずれかの市町村において住民基本台帳に記録された者について住民票の記載をする場合は,直近に住民票の記載をした市町村長が記載した住民票コードを記載する(同条1項)。 ウ 本人確認情報 [7] 住基ネットによって管理,利用等される個人情報である本人確認情報は,住民票の記載事項(住基法7条)のうち,(a)氏名(1号),(b)生年月日(2号),(c)性別(3号),(d)住所(7号)(以上(a)~(d)を併せて,以下「4情報」という。)に,住民票コード(13号)及び住民票の記載に関する事項で政令で定めるもの(以下「変更情報」という。)を加えたものである(同法30条の5第1項)。変更情報とは,具体的には,異動事由(「転入」,「出生」,「転出」,「死亡」等),異動年月日及び異動前の本人確認情報である(同法施行令30条の5)。 エ 住基ネットの仕組み [8] 市町村には,既存の住民基本台帳電算処理システム(以下「既存住基システム」という。)のほか,既存住基システムと住基ネットを接続し,その市町村の住民の本人確認情報を記録,管理するシステムであるコミュニケーションサーバが設置され,本人確認情報は,既存住基システムから上記サーバに伝達されて保存される。 [9] 都道府県には,区域内の全市町村のコミュニケーションサーバから送信された本人確認情報を記録,管理するシステムである都道府県サーバが設置されている。都道府県知事は,総務大臣の指定する者(以下「指定情報処理機関」という。)に本人確認情報処理事務を行わせることができ(住基法30条の10第1項柱書き),指定情報処理機関には,全都道府県の都道府県サーバから送信された本人確認情報を記録,管理する全国サーバが設置されている。都道府県知事から指定情報処理機関に送信された本人確認情報は,全国サーバに保存される(同法30条の11)。 オ 本人確認情報の管理,利用等 [10](ア) 市町村長は,住民票の記載,消除又は4情報及び住民票コードの記載の修正を行った場合,本人確認情報を都道府県知事に通知する(住基法30条の5第1項)。都道府県知事は,通知された本人確認情報を磁気ディスクに記録し,これを原則として5年間保存しなければならない(同法30条の5第3項,同法施行令30条の6)。 [11](イ) 市町村長は,条例で定めるところにより,他の市町村の市町村長その他の執行機関から事務処理に関し求めがあったときは,本人確認情報を提供する(同法30条の6)。 [12](ウ) 都道府県知事は,同法別表に掲げる国の機関等,区域内の市町村の市町村長その他の執行機関又は他の都道府県の執行機関等から,法令又は条例によって規定された一定の事務の処理に関し求めがあったときは,政令又は条例で定めるところにより,本人確認情報を提供する(同法30条の7第3項~6項)。 [13](エ) 都道府県知事は,統計資料の作成など法令に規定する一定の事務を遂行する場合には,本人確認情報を利用することができる(同法30条の8第1項)。 [14](オ) 同法別表の改正等により,住基ネットの利用による本人確認情報の提供及び利用が可能な行政事務は,平成17年4月1日現在で275事務となっている。現行法上,これらの行政事務において取り扱われる個人情報を一元的に管理することができる機関又は主体は存在しない。また,指定情報処理機関は,行政機関等に対してその求めに応じ本人確認情報を提供することが予定されているが(同法30条の10),指定情報処理機関には行政機関等からその保有する他の個人情報を収集する権限は付与されていないから,指定情報処理機関がこれらの個人情報を本人確認情報と結合することはできない。 カ 本人確認情報の目的外利用 [15](ア) 住基法別表に規定する事務等を行うため法令等の規定に基づき本人確認情報の提供を受けた市町村長その他の受領者(同法30条の33)は,当該事務処理の遂行に必要な範囲内で,受領した本人確認情報を利用し,又は提供するものとされ,当該事務の処理以外の目的のための利用又は提供は禁止されている(同法30条の34)。 [16](イ) 行政機関は,特定された利用目的の達成に必要な範囲を超えて個人情報を保有してはならず(行政機関の保有する個人情報の保護に関する法律〔以下「行政個人情報保護法」という。〕3条2項),行政機関の長は,法令に基づく場合を除き,保有個人情報を目的外に利用し,又は提供してはならないとされている(同法8条1項)。 [17](ウ) 本人確認情報を保有する行政機関が,上記(ア)で許される範囲を超えて,住民票コードをマスターキーとして用いて本人確認情報を他の個人情報と結合すること(以下「データマッチング」という。)は,住基法30条の34に規定する職務上の義務に違反する行為に当たり,懲戒処分の対象となる(国家公務員法82条,地方公務員法29条)。 [18] 行政機関の職員が,データマッチングなど上記(ア)の範囲を超える利用のために個人の秘密に属する事項が記録された文書等を収集した場合には,「その職権を濫用して,専らその職務の用以外の用に供する目的で」行ったとき(行政個人情報保護法55条)に当たり,刑罰の対象となる。 [19] 指定情報処理機関の役員及び職員(住基法30条の17第3項),本人確認情報の提供を受けた市町村,都道府県又は国の機関等の職員が,その知り得た本人確認情報に関する秘密を他の機関等に漏えいした場合には,公務員の守秘義務違反に該当し,刑罰の対象となる(国家公務員法109条12号,100条1項,2項及び地方公務員法60条2号,34条1項,2項)。 [20] 本人確認情報の電子計算機処理等に関する事務に従事する市町村の職員等(住基法30条の31第1項,2項)が,その事務に関して知り得た本人確認情報に関する秘密等を漏えいする行為は,住基法42条に規定する刑罰の対象となる。 [21] また,行政機関の職員等が,正当な理由がないのに,個人の秘密に属する事項が記録された個人情報ファイルを第三者に提供する行為も,刑罰の対象となる(行政個人情報保護法53条)。 キ 監視機関 [22] 住基法は,都道府県に本人確認情報の保護に関する審議会を設置し(同法30条の9第1項,2項),また,指定情報処理機関に本人確認情報保護委員会を設置すること(同法30条の15第1項,2項)を定め,上記審議会又は委員会において,それぞれ当該都道府県又は指定情報処理機関における本人確認情報の保護に関する事項を調査審議させることとしている。 ク 住基カード [23] 住民基本台帳に記録されている者は,当該市町村の市町村長に対し,自己に係る氏名及び住民票コードその他政令で定める事項が記録された住民基本台帳カード(以下「住基カード」という。)の交付を求めることができる(住基法30条の44第1項)。 [24] 市町村長その他の市町村の執行機関は,住基カードを,条例の定めるところにより,条例に規定する目的のために利用することができる(同法30条の44第8項)。 [25](2) 住基ネットの導入により,住民にとっては,(a)一定の要件のもとで住基カードを添えて転入届を行う場合,従来必要とされていた転出証明書の添付が不要となり転出地の市役所等に出向く必要がなくなること(住基法24条の2第1項),(b)全国のどの市町村でも住民票の写しを入手できるようになること(同法12条の2第1項),(c)婚姻届及び離婚届の提出,旅券の交付申請,戸籍抄本の交付請求,所得税の確定申告など一定の場合に,従来必要とされていた住民票の写しの提出が不要となること(行政手続等における情報通信の技術の利用に関する法律3条,関係行政機関が所管する法令に係る行政手続等における情報通信の技術の利用に関する法律施行規則4条1項,7項)などの利点がある。 [26] 他方,市町村にとっては,市町村間の通信を郵送に代えて電気通信回線を通じて行うことにより事務の効率化を図ることができるほか,上記(a)~(c)に対応して,住民票の交付事務等に伴う負担の軽減及び行政経費の削減を図ることができるなどの利点がある。 [27](3) 本人確認情報の漏えい防止等の安全確保の措置として,技術的側面では,住基ネットシステムの構成機器等について相当厳重なセキュリティ対策が講じられ,人的側面でも,人事管理,研修及び教育等種々の制度や運用基準が定められて実施されており,現時点において,住基ネットのセキュリティが不備なため本人確認情報に不当にアクセスされるなどして本人確認情報が漏えいする具体的な危険はない。 [28]3 原審は,次のとおり判断して,被上告人らの上告人に対する住民票コードの削除請求を認容した。 [29](1) 自己の私的事柄に関する情報の取扱いについて自ら決定する利益(自己情報コントロール権)は,人格権の一内容であるプライバシーの権利として,憲法13条によって保障されていると解すべきである。一般的には秘匿の必要性の高くない4情報や数字の羅列にすぎない住民票コードについても,その取扱い方によっては,情報主体たる個人の合理的期待に反してその私生活上の自由を脅かす危険を生ずることがあるから,本人確認情報は,いずれもプライバシーに係る情報として法的保護の対象となり,自己情報コントロール権の対象となる。 [30](2) 本人確認情報の管理,利用等は,正当な行政目的の実現のために必要であり,かつ,その実現手段として合理的である場合には,自己情報コントロール権の内在的制約又は公共の福祉による制約により,原則として自己情報コントロール権を侵害するものではないが,本人確認情報の漏えいや目的外利用などにより住民のプライバシーないし私生活上の平穏が侵害される具体的な危険がある場合には,上記の実現手段としての合理性がなく,自己情報コントロール権を侵害するものというべきである。 [31](3) 現行法上,データマッチングは,本人確認情報の目的外利用に当たり,罰則をもって禁止される。しかし,行政個人情報保護法は,行政機関の裁量により利用目的を変更して個人情報を保有することを許容しており(同法3条3項),この場合には本人確認情報の目的外利用を制限する住基法30条の34に違反することにはならない。また,行政機関は,法令に定める事務等の遂行に必要な限度で,かつ,相当の理由のあるときは,利用目的以外の目的のために保有個人情報を利用し又は提供することができるから(行政個人情報保護法8条2項2号,3号),住基法による目的外利用の制限は実効性を欠く。さらに,住民が住基カードを使って行政サービスを受けた場合,その記録が行政機関のコンピュータに残り,それらを住民票コードで名寄せすることが可能である。 [32] これらのことを考慮すれば,行政機関において,個々の住民の多くのプライバシー情報が住民票コードを付されて集積され,それがデータマッチングされ,本人の予期しないときに予期しない範囲で行政機関に保有され,利用される具体的な危険が生じているということができる。したがって,住基ネットは,その行政目的実現手段として合理性を有しないから,その運用に同意しない被上告人らに対して住基ネットを運用することは,被上告人らのプライバシー権ないし自己情報コントロール権を侵害するものである。 [33](4) 被上告人らに対する住基ネットの運用は,制度自体の欠陥により被上告人らの人格権を違法に侵害するものであって,その人格的自律を脅かす程度も相当大きいと評価でき,それが続く場合には被上告人らに回復し難い損害をもたらす危険がある。このような場合には,権利を侵害されている者は侵害行為の差止めを求めることができると解するのが相当であるところ,大阪府知事に対する通知の差止めは,行政機関の行為であるが,事実行為であり,民事訴訟において差止めを求めることができると解される。そして,住民票コードの削除請求は,実質は差止めを実効あるものとするための原状回復行為であるから,差止請求と同様に許されるものと解される。 [34]4 しかしながら,原審の上記判断は是認することができない。その理由は次のとおりである。 [35](1) 憲法13条は,国民の私生活上の自由が公権力の行使に対しても保護されるべきことを規定しているものであり,個人の私生活上の自由の一つとして,何人も,個人に関する情報をみだりに第三者に開示又は公表されない自由を有するものと解される(最高裁昭和40年(あ)第1187号同44年12月24日大法廷判決・刑集23巻12号1625頁参照)。 [36] そこで,住基ネットが被上告人らの上記の自由を侵害するものであるか否かについて検討するに,住基ネットによって管理,利用等される本人確認情報は,氏名,生年月日,性別及び住所から成る4情報に,住民票コード及び変更情報を加えたものにすぎない。このうち4情報は,人が社会生活を営む上で一定の範囲の他者には当然開示されることが予定されている個人識別情報であり,変更情報も,転入,転出等の異動事由,異動年月日及び異動前の本人確認情報にとどまるもので,これらはいずれも,個人の内面に関わるような秘匿性の高い情報とはいえない。これらの情報は,住基ネットが導入される以前から,住民票の記載事項として,住民基本台帳を保管する各市町村において管理,利用等されるとともに,法令に基づき必要に応じて他の行政機関等に提供され,その事務処理に利用されてきたものである。そして,住民票コードは,住基ネットによる本人確認情報の管理,利用等を目的として,都道府県知事が無作為に指定した数列の中から市町村長が一を選んで各人に割り当てたものであるから,上記目的に利用される限りにおいては,その秘匿性の程度は本人確認情報と異なるものではない。 [37] また,前記確定事実によれば,住基ネットによる本人確認情報の管理,利用等は,法令等の根拠に基づき,住民サービスの向上及び行政事務の効率化という正当な行政目的の範囲内で行われているものということができる。住基ネットのシステム上の欠陥等により外部から不当にアクセスされるなどして本人確認情報が容易に漏えいする具体的な危険はないこと,受領者による本人確認情報の目的外利用又は本人確認情報に関する秘密の漏えい等は,懲戒処分又は刑罰をもって禁止されていること,住基法は,都道府県に本人確認情報の保護に関する審議会を,指定情報処理機関に本人確認情報保護委員会を設置することとして,本人確認情報の適切な取扱いを担保するための制度的措置を講じていることなどに照らせば,住基ネットにシステム技術上又は法制度上の不備があり,そのために本人確認情報が法令等の根拠に基づかずに又は正当な行政目的の範囲を逸脱して第三者に開示又は公表される具体的な危険が生じているということもできない。 [38] なお,原審は, (a) 行政個人情報保護法によれば,行政機関の裁量により利用目的を変更して個人情報を保有することが許容されているし,行政機関は,法令に定める事務等の遂行に必要な限度で,かつ,相当の理由のあるときは,利用目的以外の目的のために保有個人情報を利用し又は提供することができるから,行政機関が同法の規定に基づき利用目的以外の目的のために保有個人情報を利用し又は提供する場合には,本人確認情報の目的外利用を制限する住基法30条の34に違反することにならないので、同法による目的外利用の制限は実効性がないこと,などを根拠として,住基ネットにより,個々の住民の多くのプライバシー情報が住民票コードを付されてデータマッチングされ,本人の予期しないときに予期しない範囲で行政機関に保有され,利用される具体的な危険が生じていると判示する。しかし,上記(a)については,行政個人情報保護法は,行政機関における個人情報一般についてその取扱いに関する基本的事項を定めるものであるのに対し,住基法30条の34等の本人確認情報の保護規定は,個人情報のうち住基ネットにより管理,利用等される本人確認情報につきその保護措置を講ずるために特に設けられた規定であるから,本人確認情報については,住基法中の保護規定が行政個人情報保護法の規定に優先して適用されると解すべきであって,住基法による目的外利用の禁止に実効性がないとの原審の判断は,その前提を誤るものである。また,上記(b)については,システム上,住基カード内に記録された住民票コード等の本人確認情報が行政サービスを提供した行政機関のコンピュータに残る仕組みになっているというような事情はうかがわれない。上記のとおり,データマッチングは本人確認情報の目的外利用に当たり,それ自体が懲戒処分の対象となるほか,データマッチングを行う目的で個人の秘密に属する事項が記録された文書等を収集する行為は刑罰の対象となり,さらに,秘密に属する個人情報を保有する行政機関の職員等が,正当な理由なくこれを他の行政機関等に提供してデータマッチングを可能にするような行為も刑罰をもって禁止されていること,現行法上,本人確認情報の提供が認められている行政事務において取り扱われる個人情報を一元的に管理することができる機関又は主体は存在しないことなどにも照らせば,住基ネットの運用によって原審がいうような具体的な危険が生じているということはできない。 [39](2) そうすると,行政機関が住基ネットにより住民である被上告人らの本人確認情報を管理,利用等する行為は,個人に関する情報をみだりに第三者に開示又は公表するものということはできず,当該個人がこれに同意していないとしても,憲法13条により保障された上記の自由を侵害するものではないと解するのが相当である。また,以上に述べたところからすれば,住基ネットにより被上告人らの本人確認情報が管理,利用等されることによって,自己のプライバシーに関わる情報の取扱いについて自己決定する権利ないし利益が違法に侵害されたとする被上告人らの主張にも理由がないものというべきである。以上は,前記大法廷判決の趣旨に徴して明らかである。 [40] 以上と異なる見解に立って,被上告人らの住民票コード削除請求を認容した原審の判断には,憲法解釈の誤り及び結論に影響を及ぼすことが明らかな法令解釈の誤りがある。論旨は理由があり,原判決は破棄を免れない。そして,以上説示したところによれば,被上告人らの上記請求には理由がなく,これを棄却した第1審の判断は相当であるから,被上告人らの控訴をいずれも棄却すべきである。 [41] よって,裁判官全員一致の意見で,主文のとおり判決する。 (裁判長裁判官 涌井紀夫 裁判官 横尾和子 裁判官 甲斐中辰夫 裁判官 泉徳治 裁判官 才口千晴) 第1章 事案の概要等 第1 事案の概要 第2 上告理由の骨子 第3 原判決(上告人敗訴部分)の判断の骨子 第2章 上告理由 第1 自己情報コントロール権が憲法上保障されているプライバシー権の重要な内容になっていると解した上で,自己情報コントロール権が住基ネットによる本人確認情報の利用の差止請求の根拠となり得ると解した原判決の誤り 1 自己情報コントロール権は差止請求の根拠たり得る実体法上の権利とは認められないこと 2 プライバシーは,それのみで差止請求の根拠となるような排他的権利として確立されていないこと 3 本人確認情報は,自己情報コントロール権の保護の対象とはならないこと (1) 本人確認情報の意義,秘匿の必要性等 (2) 秘匿の必要性の程度は社会通念に照らして判断されるべきこと (3) 変更情報は身分関係の変動等を端的に推知させる情報ではないこと (4) 小括 4 小括 第2 住基ネットの運用を拒否している被上告人らに住基ネットを運用することが憲法13条に違反するとした原判決の誤り 1 住基ネットの概要 2 住基ネット制度には個人情報保護対策の点で無視できない欠陥があるとした原判決の誤り (1) 住基法中の本人確認情報の保護規定と行政機関個人情報保護法の制度趣旨に関する原判決の誤り ア 原判決の判示 イ 原判決の誤り (2) 行政機関全体が保有する多くの部分の重要な個人情報が集積され,利用される可能性について ア 原判決の判示 イ 原判決の誤り (3) 目的外利用を監視する第三者機関が置かれていないことが制度の不備であるとする原判決の誤り ア 原判決の判示 イ 原判決の誤り (4) 住民が本人確認情報の利用状況を把握することが困難になっているとする原判決の誤り ア 原判決の判示 イ 原判決の誤り (5) 本人確認情報の民間利用禁止の実効性を疑問視する原判決の誤り ア 原判決の判示 イ 原判決の誤り (6) 平成15年に明るみに出た自衛官の募集に関する事案に関する原判決の判示(原判決82ページ18行目ないし83ページ11行目)について (7) 住民票コードを用いた名寄せの危険性に関する原判決の誤り ア 原判決の判示 イ 原判決の誤り 3 小括 第3 結語 [1] 上告人吹田市及び守口市(以下「上告人各市」という。)は,以下のとおり上告の理由を明らかにする。 [2] なお,略語等は,本文中に特に記載するもののほかは,別紙略語一覧のとおりである。 [3]1 本件は,被上告人らが,それぞれ居住する上告人各市に対し,平成11年法律第133号による改正後の住民基本台帳法(以下「改正法」という。)に基づいて設置された住民基本台帳ネットワークシステム(以下「住基ネット」という。概要は後記第2章第2記載のとおり。)により,プライバシーの権利等の人格権を違法に侵害され,精神的損害を被ったと主張して,国賠法1条1項に基づく損害賠償(慰謝料)を請求する事案である。被上告人らは,控訴審において,上記権利に基づく妨害排除請求(侵害状態の除去請求)として住民基本台帳からの自己の住民票コードの削除を求める請求(以下「削除請求」という。)を,上記権利に基づく妨害予防請求として住基ネットを使用して自己の本人確認情報を大阪府知事に通知することの差止請求を,それぞれ追加した。 [4]2 原判決は,被上告人らの国賠法1条1項に基づく損害賠償請求及び本人確認情報を大阪府知事に通知することの差止請求を棄却したが,住基ネット制度には個人情報保護対策の点で無視できない欠陥があり,明示的に住基ネットの運用を拒否している被上告人らについて住基ネットを運用する(改正法を適用する)ことは,被上告人らに保障されているプライバシー権(自己情報コントロール権)を侵害するものであり,憲法13条に違反するものといわざるを得ないとして,被上告人らの住民票コードの削除請求を認容した。 [5]1 いわゆる「自己情報コントロール権」は,実定法上の根拠を欠く上,その実質的な内容,範囲,法的性格については,現在も様々な見解があり,いまだ権利としての成熟性が認められず,そもそも実体法上の権利とは認められない。 [6] したがって,自己情報コントロール権,すなわち自己のプライバシー情報の取扱いについて自己決定する利益が憲法上保障されているプライバシー権の重要な内容になっていると解した上で,自己情報コントロール権が住基ネットによる本人確認情報の利用の差止請求の根拠となり得ると解した原判決には,憲法の解釈の誤りがある(第2章の第1)。 [7]2 住基法や関係法令は,目的範囲内の利用等に当たらない本人確認情報を利用したデータマッチングや名寄せを絶対的に禁止するとともに,これに違反した場合には懲戒処分や罰則を科するなどの制度的な保障をしている。また,住基ネットの制度上の仕組みに照らしても,法の許容しない上記データマッチングが行われる具体的危険は皆無であるし,住基カードの利用が住民票コードによるデータマッチングをもたらすものでもない。この点につき,長谷部恭男東京大学大学院教授(以下「長谷部教授」という。)は,住基ネットにおいては,データマッチングやネットワークへの侵入により個々の住民のプライバシーが侵害される具体的危険があるとは言い難いから,住基ネットを差止める理由がない旨述べており(乙第40号証(以下「長谷部意見書」という。)参照),また,OECDの情報セキュリティ・プライバシー・ワーキング・パーティの副議長を務めている堀部政男中央大学大学院教授(以下「堀部教授」という。)も,住基ネットを規定する住民基本台帳法は国際的なスタンダードであるOECD8原則に沿った個人情報措置を講じている旨述べているところである(乙第41号証(以下「堀部意見書」という。)参照)。 [8] したがって,住基ネット制度には個人情報保護対策の点で無視できない欠陥があり,明示的に住基ネットの運用を拒否している被上告人らについて住基ネットを運用する(改正法を適用する)ことは,被上告人らに保障されているプライバシー権の内容を成す自己情報こコントロール権を侵害するものであり,憲法13条に違反するとした原判決には,憲法の解釈の誤りがある(第2章の第2)。 [9]1 他人からみだりに自己の私的な事柄についての情報を取得されたり,他人に自己の私的な事柄をみだりに第三者に公表されたり利用されたりしない私生活上の自由としてのプライバシーの権利は,いわゆる人格権の一内容として憲法13条によって保障されている。また,自己のプライバシー情報の取扱いについて自己決定する利益(自己情報コントロール権)は,憲法上保障されているプライバシーの権利の重要な一内容になっている(原判決46ページ7行目ないし47ページ5行目)。 [10]2 住基ネットの対象となる本人確認情報(「氏名」,「生年月日」,「男女の別」,「住所」,「住民票コード」及び「変更情報」)は,いずれもプライバシーに係る情報として,法的保護の対象となり,自己情報コントロール権の対象となる。本人確認情報の漏洩や目的外利用などによる,住民のプライバシーないし私生活上の平穏が侵害される具体的危険がある場合には,自己情報コントロール権を侵害することになり,住基ネットによる当該本人確認情報の利用の差止めをすべき場合も生じる(原判決47ページ4行目ないし50ページ22行目)。 [11]3 行政機関個人情報保護法は,保有個人情報を保有を開始した利用目的を変更して保有することができることを許容している(同法3条3項)。この利用目的の変更は一種の目的外利用といえるが,その変更された目的による利用や提供については,同法8条3項のような規定は置かれていないから,住基法30条の34の違反にはならない。そして,上記利用目的変更の適切な運用が厳格になされる制度的な担保は存在しないといわざるを得ず,住基法の利用目的明示の原則(同法4条)が形骸化する危険性は高い(原判決78ページ17行目ないし79ページ20行目)。 [12]4 平成15年4月23日に,防衛庁長官が防衛庁の適齢者情報収集問題についての内部調査の結果を衆議院個人情報保護特別委員会において公表したことが新聞で報道された。これによると,自衛官募集に関する適齢者情報を提供していた市町村が794あり,このうち住民基本台帳で閲覧が認められている4情報以外も提供した市町村が332市町村あったことが明らかにされたが,このような個人情報の収集や取扱いが行われていたことは,住基ネットの本人確認情報を利用して当該本人に対する個人情報が際限なく集積・結合されて,それが利用されていく危険性が具体的に存在することを窺わせるものといえる(原判決82ページ18行目ないし83ページ11行目)。 [13]5 3及び4のような点を考慮すれば,住基ネット制度には個人情報保護対策の点で無視できない欠陥があるといわざるを得ず,行政機関において,住民個々人の個人情報が住民票コードを付されて集積され,それがデータマッチングや名寄せされ,住民個々人の多くのプライバシー情報が,本人の予期しない時に予期しない範囲で行政機関に保有され,利用される危険が相当あるものと認められ,その危険は,抽象的な域を超えて具体的な域に達しているものと評価することができ,住基ネットの運用により,住民票コードをもって行政機関に保有されている多くの個人情報がデータマッチングや名寄せされて利用される具体的危険がある状態は,住基ネットを利用する住民の人格的自律を著しく脅かす危険をもたらしている。 [14] そうであれば,明示的に住基ネットの運用を拒否している被上告人らについて住基ネットを運用する(改正法を適用する)ことは,被上告人らに保障されているプライバシー権の内容を成す自己情報コントロール権を侵害するものであり,憲法13条に違反する無効のものといわざるを得ない(原判決84ページ2行目ないし85ページ10行目)。 [15]6 住基ネットの運用による被上告大らの権利侵害の状態は,主として住基ネッ卜制度自体の欠陥に原因するものと認められる上,被上告人らの人格的自律を脅かす程度も相当大きいと評価できるものであることを考慮すれば,それが続く場合には同人らに回復し難い損害をもたらす危険がある。そして,被上告人らについての個人情報のデータマッチングや名寄せの危険による権利侵害状態の排除は,住民票コードの削除によって最も実効性があるといえるから,被上告人らの差止め請求のうち,同人ら各自の住民票コードの削除の請求を認容すべきである(原判決86ページ6行目ないし87ページ20行目)。 1 自己情報コントロール権は差止請求の根拠たり得る実体法上の権利とは認められないこと [16] 以下に述べるとおり,自己情報コントロール権は,実定法上の根拠がない上,その実質的な内容,範囲,法的性格についても様々な見解があり,権利としての成熟性が認められないものであるから,そもそも実体法上の権利とは認められないし,少なくとも差止請求の根拠となり得るような排他性を備えたものとも認められない。 [17](1) 自己情報コントロール権を実体法上の権利として定めた法文は存在しない。先ごろ成立した行政機関個人情報保護法は,開示請求権,訂正請求権及び利用停止請求権を明文で定めており(同法12条,27条及び36条),これらの権利は,その内容において,原判決の判示する自己情報コントロール権と共通するものを含んでいる。しかし,これらの規定は,実体法上既に存在する自己情報コントロール権を確認的に定めたものではない。このことは,同法の法案に対する国会審議において,政府側から,自己情報コントロール権については,その内容,範囲,法的性格に関し,様々な見解があり,明確な概念として確立していないことや,表現の自由等との調整原理も明らかでないことから,法案に明記することは適切ではないとの答弁がされたことからも明らかである(平成15年4月8日衆議院会議録21号5ページ・乙第39号証)。その上,同法については, 「『プライバシー権』について,判例から一義的な法概念を見いだすことは困難であ」り,「自己情報コントロール権」についても「論者によって様々な考え方がみられる」として,同「法は『プライバシー権』や『自己情報コントロール権』という文言を用いず,あくまで個人情報の取扱いに伴い生ずるおそれのある個人の人格的,財産的な権利利益に対する侵害を未然に防止することを目的として,個人情報の取扱いに関する規律と本人関与の仕組みを具体的に規定するものである」と解説されている(総務省行政管理局監修「行政機関等個人情報保護法の解説」12ページ)。 [18](2) 自己情報コントロール権を肯定する見解に対しては,名誉とプライバシーの双方を包括して保護の対象とすることにより,その区別をあいまいにしてしまい,その結果,真実性の抗弁の妥当範囲等についての的確な説明が困難になるとの批判もある(阪本昌成「『人格権』に基づく自己情報の訂正請求権」ジュリスト829号49,50ページ)。また,阪本教授は, 「ところが,この『自己情報コントロウル権説』は,個人情報の保護法益の実体を明らかにできなかった。おそらく,それへの解答は『自己情報をコントロウルすることが,人格的利益としての自律性の一部である』ことに求められるであろう。ところが,『自律性』は,伝統的なプライバシー概念の配慮するところであり,『自己情報コントロウル』に特有のものではなく,解答に窮することになる。そればかりでなく,『自己情報コントロウル権説』には,『情報』,『コントロウル』の意味の曖昧さが残された。『自己情報コントロウル権』が憲法13条の幸福追求権(人格的利益の総体)の1つであるとされるためには,第1に,一定の自己『情報』の範囲がある程度明確であること,第2に,管理(支配)可能性があること,第3に,その管理利益が『人格』と関連していること,という条件が必要であろう。この条件を満たさない限り,『自己情報コントロウル権』は,実定憲法上の権利であるというよりも,法定立のさいの指針として提唱されていると評価せざるを得ない。」と指摘されている(阪本昌成「プライバシーと自己決定の自由」樋口陽一編・講座憲法学3,235ページ)。 [19] 自己情報コントロール権を肯定する見解においても,例えば佐藤幸治教授は,高度にセンシティヴな個人的かつ私的な情報(固有情報)とセンシティヴ性の低い情報(外延情報)とを区別し,保障の程度に相違があることを示唆しようと試みているとされるが(芦部信喜「憲法学II人権総論」380ページ),この試みに対しては,固有情報と外延情報の区別は必ずしも明確でないなどの批判がある(松井茂記「プライヴァシーの権利について」法律のひろば41巻3号27ページ)。また,長谷部教授も,自己情報コントロール権の性格付けの内容及びその含意については慎重な検討が必要であるとし,「自己情報コントロール権として把握されるプライバシーには本質的な限界がある」と述べているところである(長谷部意見書1,2ページ)。 [20] そして,自己情報コントロール権を肯定する見解が,個人情報の開示請求権・訂正請求権といった請求権的内容を認める点については,そもそも憲法13条の文言解釈を逸脱するものではないかとの疑問がある上,このような内容の請求権をプライバシーの権利に包括することは民事法上極めて困難であるとされており,開示請求権・訂正請求権をプライバシー権に含める見解においても,具体的権利性は否定するのが通例である。 [21](3) 以上のとおり,自己情報コントロール権を肯定する見解には問題点が少なくなく,自己情報コントロール権の概念はいまだ不明確であり,行政機関個人情報保護法の立法担当者もこのような理解から「自己情報コントロール」権という文言を法文に使用しなかったのであるから,自己情報コントロール権を現行法秩序の中で,差止請求の根拠となり得るような排他性を備えた実体法上の権利とすることは相当でない。原判決は,自己情報の取扱いを自己決定する利益を自己情報コントロール権と定義付けているが(原判決47ページ2及び3行目),原判決がいう「自己決定」が具体的に何を意味するのか,その内容,範囲は極めて漠としており,法的性格も明確にされておらず,このようなあいまいな定義付け,概念によって自己情報コントロール権が憲法により保障された具体的権利であるとする点は相当でない。 [22] プライバシーの法的保護の内容は,飽くまでも「みだりに私生活(私的生活領域)へ侵入されたり,他人に知られたくない私生活上の事実又は情報を公開されたりしない」利益として把握されるべきであって,プライバシーに属する情報をコントロールすることを内容とする権利とは認められない。 [23](4) なお,原判決は,自己情報コントロール権がプライバシーの権利の重要な一内容であるとした上で, 「プライバシーに属する情報といっても,その中には,思想,信条,宗教などといった,人の人格的自律ないし評価に直接関わり,一般に秘匿の要請が高度な情報(固有情報)もあれば,そうでないもの(外延情報)もあり,特に後者に属する情報の内容や秘匿性の程度については明らかでないところがあるが,それは今後の具体的な事例の積み重ねによって自ずと明らかになっていくものであり,現在それが明確になっていないからといって,自己情報コントロール権自体を認めるべきではないとは解されない。」などと判示する(原判決47ページ6行目ないし13行目)。 [24] しかし,自己情報コントロール権は,実定法上の権利とはいえない上,保護されるべき権利・利益の内容やその外延も不明確であり,その内容や秘匿性の程度が不明確であることは原判決も認めているところであって,権利として保護される適格や成熟性を欠く以上,少なくとも,これを根拠とする差止請求権は認められるべきではない。 2 プライバシーは,それのみで差止請求の根拠となるような排他的権利として確立されていないこと [25] 自己情報コントロール権は,プライバシーの権利の内容を成すものではなく,差止請求の根拠たり得ない以上,被上告人らの請求は理由がない。なお,念のためプライバシーの権利自体もそれのみでは差止請求権の根拠となるような排他性を有する人格権として確立されていないことを説明する。 [26](1) プライバシーについて判示した最高裁判所の判決としては,最高裁判所昭和44年12月24日大法廷判決(刑集23巻12号1625ページ),最高裁判所平成元年4月13日第一小法廷判決(金融商事判例854号43ページ),最高裁判所平成7年12月15日第三小法廷判決(刑集49巻10号842ページ),最高裁判所平成9年11月17日第一小法廷判決(刑集51巻10号855ページ)などがあるが,これらのー連の判決は,個人のプライバシーに係る利益が憲法13条に規定された幸福追求権によって基礎付けられる法的保護に値する人格的利益であり,憲法13条により尊重されるべきものとしているものの,プライバシーが明確な内容をもった権利として憲法上保障されているとまでは判示していない。 [27] また,最高裁判所平成14年9月24日第三小法廷判決(最高裁判所裁判集民事207号243ページ,判例時報1802号60ページ)は,フライバシーにわたる事項を表現内容に含む小説の出版等の差止請求を認容した原審判決を維持したものであるが,同判決は,「名誉とともにプライバシー等が侵害されたときには,名誉権及びプライバシーの利益等を併せて出版の差止めが認められる場合があることを明らかにしたもの」にすぎず,プライバシーの権利のみを根拠とする差止請求が可能である旨を判示したものではない(判例時報1802号61ページのコメント)し,最高裁判所平成15年9月12日第二小法廷判決(民集57巻8号973ページ。以下「平成15年最高裁判決」という。)は,学生の学籍番号,氏名,住所及び電話番号並びに当該学生が講演会の参加申込者であるという個人情報について,フライバシーに係る情報として,法的保護の対象になると判示したが,同判決は,プライバシーが憲法13条によって保障された権利であるかどうかについての判断を示したものではない。 [28](2) 以上のとおり,プライバシーは,その概念自体がいまだ不明確であり,統一的な理解が得られていないものであり,これを名誉権などと同様にそれのみで排他性を有する人格権であるとして,差止請求をすることができるような権利としては確立されていない(竹田稔・プライバシー侵害と民事責任(増補改訂版) 226ページ)。 3 本人確認情報は,自己情報コントロール権の保護の対象とはならないこと (1) 本人確認情報の意義,秘匿の必要性等 [29]ア そもそも,4情報は,個人を識別するための単純な情報にすぎないものであり,住基法11条,12条の規定に基づき,閲覧等を求めることができるものである。また,住民票コードは,住民票に記載された11桁の数字であり,変更情報とは4情報が変更された旨の情報であって,これらの情報は,いずれもおよそ個人の人格的自律などにかかわらない客観的・外形的事項に関するものにすぎず,ましてや思想,信条など個人の白道徳的自律に関係したり,人格権の内容を成すものでもない。 [30] そして,前掲平成15年最高裁判決は,氏名・住所・電話番号等の情報は, 「早稲田大学が個人識別等を行うための単純な情報であって,その限りにおいては,秘匿されるべき必要性が必ずしも高いものではない」ことを明言しており,この判示部分で明らかにされた法理は,本人確認を可能とするための4情報等についても異なるものではないというべきである。長谷部教授もこれと同旨の意見を述べている(長谷部意見書4ページ)。 [31]イ この点について,原判決は,本人確認情報が,いずれもプライバシーに係る情報として,法的保護の対象となると判断した根拠として,平成15年最高裁判決を参照すべきであると判示する(原判決50ページ1及び2行目)。 [32] しかし,平成15年最高裁判決は,「氏名,学籍番号,住所及び電話番号」といった「単純な情報」それ自体について,プライバシーに係る情報としての法的保護の対象とすべき旨を判示したものではないことは,アで説明したとおりである。そして,平成15年最高裁判決は,講演会の参加申込者であるという,公開することが当然視できない情報が,氏名等のこれらの「単純な情報」と結びつくことによって,誰が講演会に参加したかが明らかになることから,この情報全体について,プライバシーに係る情報としての法的保護の対象となることを認めたものである(杉原則彦・最高裁判所判例解説・法曹時報56巻11号2784, 2785ページ)。したがって,平成15年最高裁判決の判示するところによっても本人確認情報自体を独立にプライバシーに係る情報としての法的保護の対象となると解することはできないというべきである。 [33]ウ なお,住民基本台帳の閲覧制度等は住基ネットの導入以前から存在する,住基ネットとは別の制度である。住民基本台帳の閲覧制度等の在り方については,平成17年5月から総務省の検討会において検討が行われ,同年10月に同検討会の報告書が総務大臣に提出されたところであるが(なお,その後,平成18年3月,住民基本台帳の一部を改正する法律案が,第164回国会に提出され,同年6月に可決・成立したところである。),これは,閲覧制度がダイレクトメール等の民間の営業活動で利用されていることが,住基法1条の日的に照らして広すぎるのではないかという観点から検討されたものであり,その利用が行政目的に限定されている住基ネットとは何ら関係がない。このことは,閲覧制度の見直しに関する全国連合戸籍事務協議会の要望書の中で,むしろ厳しい個人情報保護措置があり,かつ目的が明確な住基ネットに比較して,閲覧制度の利用目的が広すぎるのではないか,との趣旨の指摘がされていることからも明らかである。また,検討会の報告書においても,公証制度としての閲覧制度や住民票の写しの交付制度の意義を再確認した上で,閲覧制度につき,法の目的に即して閲覧できる主体と目的を限定するとともに,審査手続等についても整備するなど個人情報保護に十分留意した新たな制度として構築すべきことが述べられているのである。 (2) 秘匿の必要性の程度は社会通念に照らして判断されるべきこと [34] 個人識別情報など類型的な情報がプライバシーとして保護されるかどうかを検討する際には,個別の事情を勘案するべきではなく,社会通念に従った類型的判断がされるべきである。そして,確かに個人情報のセンシティヴィティに関して,時代や社会を超えた明確な判断基準があるとはいい難いが,およそ一般的にみてセンシティヴィティがあるとはいい難い情報を選別することは可能であり,4情報等の情報はこのような類型に該当するものというべきである。 (3) 変更情報は身分関係の変動等を端的に推知させる情報ではないこと [35] 住基ネットにおいては,婚姻,離婚等の「経歴」自体が変更情報として保有されることはない。例えば,婚姻により姓が変わった場合であれば,修正を行ったという単なる外形的事実を示す「住民票の記載の修正を行った旨」の記載に加え,「職権修正等」,「事由が生じた年月日」のみが「変更履歴」として記載され,これが都道府県知事に通知,提供されるにすぎず,婚姻,離婚等の具体的事由が通知されることはない(住基法30条の5第1項,住基法施行令30条の5,住基法施行規則11条)。そして,その保有期限も原則として5年に限定されている(住基法30条の5第3項,住基法施行令30条の6)。 [36] したがって,変更情報は,身分関係の変動を端的に推知させる情報でないことが明らかであり,変更情報については秘匿の必要性の程度が相当高いなどということはない。 (4) )小括 [37] 以上のような本人確認情報の秘匿の必要性の程度も考慮すれば,本人確認情報は,自己情報コントロール権の保護の対象とならないことは明らかである。 4 小括 [38] 以上のとおり,自己情報コントロール権も,いまだ権利としての成熟性が認められず,差止請求の根拠となる実体法上の権利であると解することはできない。したがって,自己情報コントロール権が憲法上保障されているプライバシー権の重要な内容になっていると解した上で,自己情報コントロール権が住基ネットによる本人確認情報の利用の差止請求の根拠となり得ると解した原判決には,憲法の解釈の誤りがある。 1 住基ネットの概要 [39] 住基ネットは,全国の市町村において,住民基本台帳事務が電算化されてきたことを踏まえ,コンピュータネットワークを活用することにより,市町村間の住民基本台帳事務の合理化を図るとともに,従来は紙面で市町村から都道府県や国の行政機関等に対して,住民を介して,あるいは介さずに,提供されていた住民票記載情報をオンラインで提供することにより,住民の負担の軽減と行政事務の効率化を図るべく創設された制度である。 [40] 住基ネットは,市町村が住民基本台帳制度を運営するという制度の基本的枠組みを変更することなく,全国的に市町村の区域を越えた本人確認ができるような仕組みを付加するものであり,(a)それぞれの機関が保有している個人情報は,従前どおり分散管理することを予定した地方公共団体共同のシステムであって,国等が個人情報を一元的に管理するシステムではないこと,(b)住基ネットのサーバ上に保有される情報は,本人確認のための氏名,出生の年月日,男女の別及び住所の4情報,住民票コード及び付随情報(変更情報)のみであること,(c)国の機関等へのデータ提供は,個別の目的ごとに法律上の根拠が必要であり,かつ,目的外利用を絶対的に禁止していることから,様々な個人情報を一元的に収集・管理することを法律上認めない仕組みとなっている。そして,住基ネットの構築に当たっては,本人確認情報の漏洩や不正利用を防止するため,国際的基準(OECD8原則)を踏まえて,法令上及び技術上の措置として,制度面,技術面及び運用面の様々な観点から,二重,三重に本人確認情報保護措置(本人確認情報の漏洩や,住民票コードを利用したデータマッチング等の不正利用を防止)が講じられている(これらの点は原判決も認めている(原判決59ページ6行目ないし74ページ6行目参照))。なお,住基ネットの仕組みや基本的事項については別紙図AないしDの概略図〔省略〕を参照されたい。 2 住基ネット制度には個人情報保護対策の点で無視できない欠陥があるとした原判決の誤り (1) 住基法中の本人確認情報の保護規定と行政機関個人情報保護法の制度趣旨に関する原判決の誤り ア 原判決の判示 [41] 原判決は,住基法の規定と行政機関個人情報保護法の規定との適用の優先関係を考慮せず,行政機関個人情報保護法3条3項によって保有を開始した利用目的を変更して個人情報を保有することが許容される場合には,同法8条3項によって保有個人情報の目的外使用を制限する住基法30条の34の規定が適用されることはないから,住基法の利用目的明示の原則が形骸化する危険性は高い(原判決78ページ17行目ないし79ページ20行目),と判示している。 イ 原判決の誤り [42] 行政機関個人情報保護法は,行政機関における個人情報一般についてその取扱いに関する基本的事項を定めるもの(同法1条参照)であるのに対し,住基法中の本人確認情報の保護規定は,個人情報の中でも住基ネットで取り扱う本人確認情報についてその保護規定を講ずるために特に設けられたものであって,両者は一般法と特別法の関係に立つのである。したがって,本人確認情報については,住基法の本人確認情報の保護規定が当然に優先して適用されるべきものであり,原判決の(ア)の判示が誤りであることは明らかである。そして,行政機関個人情報保護法8条3項は,他の法令の規定により個人情報の利用・提供が制限されている場合,同条2項がこれに反して利用・提供の権限を与えるものではないという当然の理を確認した規定にすぎず,当該規定があって初めて個人情報の利用・提供を制限する他の法令の規定が優先的に適用されるという,創設的な効果を有する規定ではない。したがって,同法3条3項について,8条3項のような調整規定が置かれていないことを理由にして,特別法の関係にあり,しかもより厳格な個人情報保護措置を講じた住基法の本人確認情報の保護規定の適用が排除されると解することは,根拠がなく,行政機関個人情報保護法の趣旨にも反するものといわなければならない。 [43] 以上のとおり,住基法中の本人確認情報の保護規定と行政機関個人情報保護法の制度趣旨に関する原判決の判示は失当である。 (2) 行政機関全体が保有する多くの部分の重要な個人情報が集積され,利用される可能性について ア 原判決の判示 [44] 原判決は,行政機関においては目的外利用が可能な場合もあるが,それらの外延が明らかであるとはいえず,その外延目的情報については複数の行政機関の間で関連性が競合することがあることも十分予想される。そうであれば,現在の住基ネットのシステムの上では一元化の主体機関は存在しないことから,個人情報の完全な一元化までの具体的危険があるとはいえないにしても,各行政機関の間でデータマッチングが進められ,行政機関が個別に保有する個人情報の範囲が拡大して,少数の行政機関によって,行政機関全体が保有する多くの部分の重要な個人情報が結合・集積され,利用されていく可能性は決して小さくないといえると判示する(原判決82ページ3行目ないし11行目)。 イ 原判決の誤り [45] 指定情報処理機関は国の機関等に対して住基法で定めるところにより本人確認情報の提供を行うことができるが,住基法30条の34において認められた範囲を超えて国の機関等と他の国の機関等との間で住民票コードを利用したデータマッチングをすることは,同法同条に違反する行為にほかならない。したがって,結局,原判決のいうような「少数の行政機関によって,行政機関全体が保有する多くの部分の重要な個人情報が結合・集積され,利用されていく」事態が生じるのは,個々の国の機関等が住基法別表の事務処理を行うために管理している個人情報について,これらを扱う公務員が,法令上の根拠もないのにあえてこれを他の国の機関等に提供し,当該機関等がこれを集約管理した上で,同法30条の34等に違反して本人確認情報を利用して名寄せやデータマッチングを行うような場合に限られるのである。しかし,本人確認情報の提供が認められている事務293事務(平成18年5月15日現在)における保有情報を一元的に管理する国の機関や主体は,存在しない。本人確認情報を記録,保有する指定情報処理機関も,住基法別表で定める国の機関等に対し,その求めに応じて本人確認情報を提供することは予定されているものの(住基法30条の10),指定情報処理機関には,国の機関等からその保有する本人確認情報以外の住民に関する情報を収集し,これを管理する権限は付与されておらず,国の機関等もそのような情報を指定情報処理機関に対し提供する権限や義務は認められていない。したがって,指定情報処理機関において,国の機関等が保有する情報を結合することは不可能である。そして,本人確認情報の提供について,その対象となる事務が法改正により追加されるとしても,法定された事務を遂行する範囲を超えた利用を禁止する諸規定が改正されたわけではないから,対象事務の拡大によって,データマッチングの具体的危険が認められることにはならないというべきである。 (3) 目的外利用を監視する第三者機関が置かれていないことが制度の不備であるとする原判決の誤り ア 原判決の判示 [46] 原判決は,公権力を行使する行政機関による個人情報の取扱いに対する監視機関は,行政から独立した第三者機関であってはじめて実効性のある監督機能が果たせるといえるが,住基ネットの運用に関して提供された情報の目的外利用を中立的な立場から監視する第三者機関は置かれていないなどと判示し,これを制度の不備と断言する(原判決82ページ12行目ないし16行目)。 イ 原判決の誤り [47] 各行政機関が保有する個人情報ファイルについては,その利用目的,記録される個人情報,提供先等につき総務省に通知することとされており(行政機関個人情報保護法10条1項),また,個人情報ファイルを保有する行政機関が,その保有する個人情報ファイルの概要を記載した個人情報ファイル簿を作成し,公表しなければならないこととされる(同法11条)など,法律上,行政機関の保有する個人情報の透明性は確保されている。 [48] 一方,住基法30条の9第1項は,「都道府県に,第30条の5第1項の規定による通知に係る本人確認情報の保護に関する審議会を置く」と定めている。この審議会は,「この法律の規定によりその権限に属させられた事項を調査審議するほか,都道府県知事の諮問に応じ当該都道府県における第30条の5第1項の規定による通知に係る本人確認情報の保護に関する事項を調査審議し,及びこれらの事項に関して都道府県知事に建議することができる」ものとされている(同法30条の9第2項)。したがって,この審議会は,当該都道府県における本人確認情報の取扱い等について調査審議を行うことができる機関であり,管理及び運営面において,住民の本人確認情報を保護する役割を果たしているのである。 [49] また,同法30条の15第1項は,「指定情報処理機関には,本人確認情報保護委員会を置かなければならない」と定め,この委員会は,「指定情報処理機関の代表者の諮問に応じ,第30条の11第1項の規定による通知に係る本人確認情報の保護に関する事項を調査審議し,及びこれに関し必要と認める意見を指定情報処理機関の代表者に述べることができる」と定められ(同法30条の15第2項),上記審議会と同様,管理及び運営面において,住民の本人確認情報を保護する役割を果たしている。 [50] さらに,セキュリティ基準第6-8(1)-ウ及びエは,都道府県知事は,本人確認情報の提供先である国の機関等における本人確認情報の管理状況について報告を求め,適切に管理するよう要請することができ,市町村長も,都道府県知事を経由して上記のような報告等を要請することができると定めており,これらの点においても,国の機関等が本人確認情報を不適切に扱うことを防止する制度的な担保がされている。 [51] 上記「本人確認情報の保護に関する審議会」及び「本人確認情報保護委員会」については,別件名古屋高等裁判所金沢支部平成18年12月11日判決(平成17年(ネ)第154号事件)においても,これらを設置する旨の規定があることを指摘して,「住基法が行政機関による個人情報の目的外利用禁止の制度的担保を設けていないということはできない」と正当に判示されているところである。 [52] 原判決の判示は,以上のとおり,住基ネットでは,本人確認情報について,法令の定める事務の遂行に必要な範囲を超えて利用することのないよう二重,三重に本人確認情報保護措置が講じられていることを看過したものである。 (4) 住民が本人確認情報の利用状況を把握することが困難になっているとする原判決の誤り ア 原判決の判示 [53] 原判決は,本人確認情報を利用できる事務は現在275事務にまで拡大され,法律及び条例の制定,改正によって今後さらに拡大することが予想されるが,そうなれば,住民が実際上本人確認情報の利用対象事務を把握することは困難となり,本人の同意や利用をめぐる異議申立ての機会は保障されないに等しく,また,本人確認情報がいかなる機関に提供されたか,それ以外の情報を都道府県や国,指定情報処理機関が保有していないかどうかといった重要な点について,本人において確認することが事実上不可能な状態にあるといえると判示する(原判決79ページ1行目ないし80ページ14行目)。 イ 原判決の誤り [54] 住基ネットを利用した本人確認情報の国の機関等への提供を認める事務は,法律又は条例において明確に定められるのであり,これらは当然のことながら,国会又は地方公共団体の議会において,国民ないし住民の意思に基づいて制定されるものである。その規定の仕方も,住基法上は別表において限定列挙されており,条例において定める場合も同様の形で規定されていて,一覧性が確保されている。その上,住基法別表第一の国の機関等に係る本人確認情報の提供の状況については,指定情報処理機関が,毎年少なくとも1回,官報において公示していること(住基法30条の11第6項参照。平成18年については,平成18年号外第196号)などからしても,住民は,本人確認情報を利用できる事務を十分把握し得るものである。 [55] また,都道府県知事は,自己に係る本人確認情報の提供又は利用の状況に関する情報の開示請求に適切に対応するため,個人ごとの本人確認情報の提供又は利用の状況に係る情報を必要な期間保存することとされており(セキュリティ基準第6-8-(5)),住民は,住基法30条の37に基づき,都道府県サーバ及び全国サーバに保存されている自己に係る本人確認情報の開示を請求することができる。その上,住民は,個人情報保護条例に基づき,(a)本人確認情報を提供した住民の住民票コード,(b)本人確認情報を提供した住民の氏名,生年月日,性別及び住所,(c)提供先及び検索元,(d)提供年月日,(e)利用目的について開示請求を行うこともできるのである(住民基本台帳事務処理要領第6-5-(3)・(注))。 (注) 第6-5-(3)[56] したがって,住民が,自己の本人確認情報の利用状況を知るための法制度が整備されていないとする原判決の判示は,明らかに誤っている。 (5) 本人確認情報の民間利用禁止の実効性を疑問視する原判決の誤り ア 原判決の判示 [57] 原判決は,住民が第三者に住民票コードを告げれば住民票コードは第三者の知るところとなること,住民票コードの民間における利用は禁止されているが(住基法30条の43第3項),これを担保する制度が存在しないことから,住民票コードの民間利用禁止の実効性は,現実には非常に疑わしいと判示する(原判決80ページ15行目ないし同ページ末行)。 イ 原判決の誤り [58] 住基法上,第三者が住民基本台帳の一部の写しの閲覧請求ができる対象から住民票コードは除かれており(住基法11条1項),また,第三者は他人の住民票コードのついた住民票の写しの交付を求めることはできない(住基法12条2項参照)。そして,住基法30条の43第1項及び2項は,民間の被上告人が住民本人に対し,住民票コードの告知を要求することを禁止しているから,このようなことが通常行われるとは考えられないし,住民本人が自己の個人情報である住民票コードをあえて民間の被上告人に自発的に告知することも考えにくい。仮に,住民本人が民間の被上告人から住民票コードの告知を要求されたとしても,法律上これを拒否することができるし,何らかの理由で住民本人が民間の被上告人に住民票コードを告知してしまったとしても,住民票コードは,住民の申請によりいつでも変更することができるのである(住基法30条の3)。その上,民間の被上告人が住民票コードの記録されたデータベースを業として構成することは禁止されており(同条3項),これに違反する行為をした者に対しては,都道府県知事は中止の勧告及び命令をすることができ(同条4,5項),命令に違反した者には1年以下の懲役又は50万円以下の罰金が科されることとなっている(同法44条)。 [59] このように,第三者が,他人の住民票コードを知ることは極めて困難であり,住民は,仮にこれが第三者に知られてしまったとしても,その変更が可能である上,違反行為に対する罰則も設けられ,厳格な利用規制が行われているのであるから,住民票コードが本人の予期しない範囲で民間業者に保有され,利用される具体的危険があるとは到底いえないことは明らかである。 (6) 平成15年に明るみに出た自衛官の募集に関する事案に関する原判決の判示(原判決82ページ18行目ないし83ページ11行目)について [60] 自衛官募集に関する情報の収集は,住基法ではなく,自衛隊法117条及び同法施行令120条に基づいて行われるものであって,住基ネットから自衛官の募集のための情報が提供されることはない。 [61] 前記のとおり,住基ネットでは,本人確認情報保護措置として極めて厳格な措置が講じられている上,各団体においては,職員のプライバシーに対する意識を高めるために繰り返し研修等も実施されているところであるから,過去の自衛官募集に関する事案を持ち出して,現在において,住基ネットの本人確認情報が国の機関等によって集積,結合され,利用される危険性が具体的に存在することの根拠とすることはできない。 (7) 住民票コードを用いた名寄せの危険性に関する原判決の誤り ア 原判決の判示 [62] 原判決は,市町村等は,条例によって,住基カードを様々な目的に使用することができるが,住民が住基カードを使ってそれらのサービスを受けた場合には,その記録が行政機関のコンピュータに残り,それらの記録を住民票コードで名寄せすることも可能であり,また,現在のところ,住基カードに関する技術的基準(総務省告示第392号第5,3(2)・乙第15号証)では,条例利用アプリケーションに係るシステムヘアクセスするための利用者番号に住民票コードを使用しないことが定められているが,総務省は,告示の改正によりいつでもこれを改めることができると判示する(原判決83ページ12行目ないし84ページ1行目)。 イ 原判決の誤り [63](ア) しかしながら,住基カードは,その内部構造及びそのセキュリティ対策上住基カード内に記録された情報が行政機関のコンピュータに残るようなシステムとはなっていないのであり(住基カードに関する技術的基準第2の2),このことは証拠(乙第12,第13号証)から明らかである。すなわち,住基カードの内部構造は「住基ネットのエリア」と「独自利用のエリア」に分かれており,住基ネットのエリアには,住基ネットのアプリケーションのみが格納されており,このエリアには相互認証を行った上でないとアクセスができないことになっており,住民票コードは,このエリアに格納されている。他方,独自利用エリアには,印鑑証明や施設利用等,市町村が独白に住基カードを利用するためのアプリケーションが格納され,公的個人認証の電子証明書もこのエリアに格納される。 [64] そして,住基カードの住基ネットエリアに格納された住民票コードにアクセスするには,認証を経ることが必要であるが,市町村の独自利用によるサービスを提供する機関は,当該認証権限を付与されていない。独白利用によるサービス提供機関は,住民票コードが存在しないエリアを利用してサービスを提供するのであり,その記録には,サービスを享受した住民の住民票コードが残るということはあり得ないのであって,それらのデータをもって名寄せされる危険性も存在しない。 [65](イ) また,原判決は,住基カード利用によるデータマッチングの危険性に関して, 「住基カードに関する技術的基準(総務省告示第392号第5,3(2)・乙第15号証)では,条例利用アプリケーションに係るシステムヘアクセスするための利用者番号に住民票コードを使用しないことが定められているが,総務省は,告示の改正によっていつでもこれを改めることができる。」とも判示する(原判決83ページ23行目ないし84ページ1行目)。 [66] しかしながら,住民票コードの利用拡大は,住民基本台帳法の30条の42,30条の43等において厳しく抑制されており,上記告示はこうした住基法の趣旨を踏まえて定められたものである(住基法30条44第4項,住基法施行規則46条参照)。したがって,住基カードの独自利用領域において住民票コードの利用を可能にすることは,この住基法の趣旨に明らかに反するものであり,法律の趣旨に適合する告示が法律に反するのものに改正されることはおよそ考え難い。 [67] なお,住基カードの仕組みからしても,告示の改正がなされない限り,市町村の独自利用サービスを受けた記録に住民票コードが付加される可能性は全くない(乙第12,第13号証)。 3 小括 [68] 以上のとおり,「行政機関において,住民個々人の個人情報が住民票コードを付されて集積され,それがデータマッチングや名寄せされ,住民個々人の多くのプライバシー情報が,本人の予期しない時に予期しない範囲で行政機関に保有され,利用される危険」(原判決84ページ3行目ないし6行目)が,抽象的な域を超えて具体的な域に達しているとは到底認められない。 [69] なお,長谷部教授も,現行法制度を前提とする限り,住民基本台帳ネットワークの運用を通じて,行政機関により住民票コードをマスターキーとするデータマッチングが行われ,住民のプライバシーが侵害される具体的な危険が生じているとはいいがたいと述べ(長谷部意見書5,6ページ),さらに,堀部教授も, 「平成11年住民基本台帳法改正法においては,個人情報保護の観点から現行の法制度の枠内で可能な限りの対応策が盛り込まれた。同法の立案に当たっては,国際的な水準に対応した個人情報保護対策を内包するシステムを構築すべく,十分な検討が行われたところである。(中略)以上見てきたように,住民基本台帳ネットワークシステムについては,住民基本台帳法に基づき,国際的なスタンダードに対応した個人情報保護措置が講じられていると評価することができる。」(堀部意見書1,7ページ)と述べているところである。 [70] したがって,住基ネット制度には個人情報保護対策の点で無視できない欠陥があり,明示的に住基ネットの運用を拒否している被上告人らについて住基ネットを運用する(改正法を適用する)ことは,被上告人らに保障されているプライバシー権(自己情報コントロール権)を侵害するものであり,憲法13条に違反するとした原判決には,憲法の解釈に誤りがある。 [71] 以上のとおり,原判決には,憲法の解釈に誤りがあるから(民事訴訟法312条1項),原判決は,速やかに破棄されるべきである。 【法令・通達等】
【住民基本台帳ネットワークシステムに関する用語】
第1 事案の概要 第2 上告受理申立て理由の骨子 第3 原判決(申立人敗訴部分)の判断の骨子 第2章 上告受理申立て理由 第1 自己情報コントロール権が住基ネットによる本人確認情報の利用の差止請求の根拠となり得ると解した原判決の誤り 1 自己情報コントロール権は差止請求の根拠たり得る実体法上の権利とは認められないこと 2 プライバシーは,それのみで差止請求の根拠となるような排他的権利として確立されていないこと 3 本人確認情報は,自己情報コントロール権の保護の対象とはならないこと (1) 本人確認情報の意義,秘匿 (2) 秘匿の必要性の程度は社会通念に照らして判断されるべきこと (3) 変更情報は身分関係の変動等を端的に推知させる情報ではないこと (4) 小括 4 小括 第2 住基ネットの運用を拒否している相手方らに住基ネットを運用することが相手方らに保障されているプライバシー権(自己情報コントロール権)を侵害するとした原判決の誤り 1 住基ネットの概要 2 住基法中の本人確認情報の保護規定が行政機関個人情報保護法に優先して適用されることを考慮しなかった原判決の誤り (1) 住基法と行政機関個人情報保護法との関係 (2) 住基法中の本人確認情報の保護規定 (3) 原判決の誤り 3 住基ネット制度には個人情報保護対策の点で無視できない欠陥があるとした原判決の誤り (1) 行政機関全体が保有する多くの部分の重要な個人情報が集積され、利用される可能性について ア 原判決の判示 イ 原判決の誤り (2) 目的外利用を監視する第三者機関が置かれていないことが制度の不備であるとする原判決の誤り ア 原判決の判示 イ 原判決の誤り (3) 住民が本人確認情報の利用状況を把握することが困難になっているとする原判決の誤り ア 原判決の判示 イ 原判決の誤り (4) 本人確認情報の民間利用禁止の実効性を疑問視する原判決の誤り ア 原判決の判示 イ 原判決の誤り (5) 平成15年に明るみに出た自衛官の募集に関する事案に関する原判決の判示(原判決82ページ18行目ないし83ページ11行日)について (6) 住民票コードを用いた名寄せの危険性に関する原判決の誤り ア 原判決の判示 イ 原判決の誤り 4 相手方らの住民票コードの削除請求が認容されると,住基法の趣旨が没却される結果になること 5 住基法に関する長谷部教授,堀部教授の見解 6 小括 第3 原判決の判断が金沢支部判決と相反すること 1 金沢支部判決の内容 (1) 事案の概要 (2) 金沢支部判決の要旨 2 その他の住基ネットに関する事件の状況 第4 結語 [1] 申立人吹田市及び守口市(以下「申立人各市」という。)は,以下のとおり上告受理申立ての理由を明らかにする。 [2] なお,略語等は,本文中に特に記載するもののほかは,別紙略語一覧のとおりである。 [3]1 本件は,相手方らが,それぞれ居住する申立人各市に対し,平成11年法律第133号による改正後の住民基本台帳法(以下「改正法」という。)に基づいて設置された住民基本台帳ネットワークシステム(以下「住基ネット」という。概要は後記第2章第2記載のとおり。)により,プライバシーの権利等の人格権を違法に侵害され,精神的損害を被ったと主張して,国賠法1条1項に基づく損害賠償(慰謝料)を請求する事案である。相手方らは,控訴審において,上記権利に基づく妨害排除請求(侵害状態の除去請求)として住民基本台帳からの自己の住民票コードの削除を求める請求(以下「削除請求」という。)を,上記権利に基づく妨害予防請求として住基ネットを使用して自己の本人確認情報を大阪府知事に通知することの差止請求を,それぞれ追加した。 [4]2 原判決は,相手方らの国賠法1条1項に基づく損害賠償請求及び本人確認情報を大阪府知事に通知することの差止請求を棄却したが,住基ネット制度には個人情報保護対策の点で無視できない欠陥があり,明示的に住基ネットの運用を拒否している相手方らについて住基ネットを運用する(改正法を適用する)ことは,相手方らに保障されているプライバシー権(自己情報コントロール権)を侵害するものであり,憲法13条に違反するものといわざるを得ないとして,相手方らの住民票コードの削除請求を認容した。 [5]1 自己情報コントロール権は,実定法上の根拠がない上,その実質的な内容,範囲,法的性格についても様々な見解があり,権利としての成熟性が認められないものであるから,そもそも実体法上の権利とは認められないし,少なくとも差止請求の根拠となり得るような排他性を備えたものとも認められない。また,本人確認情報は,自己情報コントロール権の保護の対象とはならないと解される。 [6] したがって,本人確認情報が自己情報コントロール権の保護の対象となると解した上で,自己情報コントロール権が住基ネットによる本人確認情報の利用の差止請求の根拠となり得ると解した原判決には,法令の解釈適用を誤った違法がある(第2章の第1)。 [7]2 住基法や関係法令は,目的範囲内の利用等に当たらない本人確認情報を利用したデータマッチングや名寄せを絶対的に禁止するとともに,これに違反した場合には懲戒処分や罰則を科するなどの制度的な保障をしている。また,住基ネットの制度上の仕組みに照らしても,法の許容しない上記データマッチングが行われる具体的危険は皆無であるし,住基カードの利用が住民票コードによるデータマッチングをもたらすものでもない。この点につき,長谷部恭男東京大学大学院教授(以下「長谷部教授」という。)は,住基ネットにおいては,データマッチングやネットワークへの侵入により個々の住民のプライバシーが侵害される具体的危険があるとは言い難いから,住基ネットを差止める理由がない旨述べており(乙第40号証(以下「長谷部意見書」という。)参照),また,OECDの情報セキュリティ・プライバシー・ワーキング・パーティの副議長を務めている堀部政男中央大学大学院教授(以下「堀部教授」という。)も,住基ネットを規定する住民基本台帳法は国際的なスタンダードであるOECD8原則に沿った個人情報措置を講じている旨述べているところである(乙第41号証(以下「堀部意見書」という。)参照)。 [8] したがって,住基ネット制度には個人情報保護対策の点で無視できない欠陥があり,明示的に住基ネットの運用を拒否している相手方らについて住基ネットを運用する(改正法を適用する)ことは,相手方らに保障されているフライバシー権(自己情報コントロール権)を侵害するものであるとした原判決には,住基法等の法令の解釈適用を誤った違法がある(第2章の第2)。 [9]3 原判決の判断は,名古屋高等裁判所金沢支部平成18年12月11日判決(以下「金沢支部判決」という。)と相反する(第2章の第3)。 [10] 原判決の判断は,改正法による住基ネットの稼動によって住民のプライバシー権等が不当に侵害されるか否かに関して,金沢支部判決及び多数の下級審判決と相反する判断を下したものであり,行政サービスの向上と行政事務の効率化等を図るため,全国的な本人確認システムとして住基ネットを導入した改正法の趣旨を真っ向から否定するものである。 [11] 本件は,「法令の解釈に関する重要な事項を含むものと認められる事件」(民事訴訟法318条1項)に当たることが明らかであるから,上告審として受理した上,原判決を破棄し,更に相当の裁判を求める。 [12]1 他人からみだりに自己の私的な事柄についての情報を取得されたり,他人に自己の私的な事柄をみだりに第三者に公表されたり利用されたりしない私生活上の自由としてのプライバシーの権利は,いわゆる人格権の一内容として憲法13条によって保障されている。また,自己のプライバシー情報の取扱いについて自己決定する利益(自己情報コントロール権)は,憲法上保障されているプライバシーの権利の重要な一内容になっている(原判決46ページ8行目ないし47ページ5行目)。 [13]2 住基ネットの対象となる本人確認情報(「氏名」,「生年月日」,「男女の別」,「住所」,「住民票コード」及び「変更情報」)は,いずれもプライバシーに係る情報として,法的保護の対象となり,自己情報コントロール権の対象となる。本人確認情報の漏洩や目的外利用などによる,住民のプライバシーないし私生活上の平穏が侵害される具体的危険がある場合には,自己情報コントロール権を侵害することになり,住基ネットによる当該本人確認情報の利用の差止めをすべき場合も生じる(原判決47ページ4行目ないし50ページ22行目)。 [14]3 行政機関個人情報保護法は,保有個人情報を保有を開始した利用目的を変更して保有することができることを許容している(同法3条3項)。この利用目的の変更は一種の目的外利用といえるが,その変更された目的による利用や提供については,同法8条3項のような規定は置かれていないから,住基法30条の34の違反にはならない。そして,上記利用目的変更の適切な運用が厳格になされる制度的な担保は存在しないといわざるを得ず,住基法の利用目的明示の原則(同法4条)が形骸化する危険性は高い(原判決78ページ17行目ないし79ページ20行目)。 [15]4 平成15年4月23日に,防衛庁長官が防衛庁の適齢者情報収集問題についての内部調査の結果を衆議院個人情報保護特別委員会において公表したことが新聞で報道された。これによると,自衛官募集に関する適齢者情報を提供していた市町村が794あり,このうち住民基本台帳で閲覧が認められている4情報以外も提供した市町村が332市町村あったことが明らかにされたが,このような個人情報の収集や取扱いが行われていたことは,住基ネットの本人確認情報を利用して当該本人に対する個人情報が際限なく集積・結合されて,それが利用されていく危険性が具体的に存在することを窺わせるものといえる(原判決82ページ18行日ないし83ページ11行目)。 [16]5 3及び4のような点を考慮すれば,住基ネット制度には個人情報保護対策の点で無視できない欠陥があるといわざるを得ず,行政機関において,住民個々人の個人情報が住民票コードを付されて集積され,それがデータマッチングや名寄せされ,住民個々人の多くのプライバシー情報が,本人の予期しない時に予期しない範囲で行政機関に保有され,利用される危険が相当あるものと認められ,その危険は,抽象的な域を超えて具体的な域に達しているものと評価することができ,住基ネットの運用により,住民票コードをもって行政機関に保有されている多くの個人情報がデータマッチングや名寄せされて利用される具体的危険がある状態は,住基ネットを利用する住民の人格的自律を著しく脅かす危険をもたらしている。 [17] そうであれば,明示的に住基ネットの運用を拒否している相手方らについて住基ネットを運用する(改正法を適用する)ことは,相手方らに保障されているプライバシー権(自己情報コントロール権)を侵害するものであり,憲法13条に違反する無効のものといわざるを得ない(原判決84ページ2行目ないし85ページ10行目)。 [18]6 住基ネットの運用による相手方らの権利侵害の状態は,主として住基ネット制度自体の欠陥に原因するものと認められる上,相手方らの人格的自律を脅かす程度も相当大きいと評価できるものであることを考慮すれば,それが続く場合には同人らに回復し難い損害をもたらす危険がある。そして,相手方らについての個人情報のデータマッチングや名寄せの危険による権利侵害状態の排除は,住民票コードの削除によって最も実効性があるといえるから,相手方らの差止め請求のうち,同人ら各自の住民票コードの削除の請求を認容すべきである(原判決86ページ6行目ないし87ページ20行目)。 1 自己情報コントロール権は差止請求の根拠たり得る実体法上の権利とは認められないこと [19] 以下に述べるとおり,自己情報コントロール権は,実定法上の根拠がない上,その実質的な内容,範囲,法的性格についても様々な見解があり,権利としての成熟性が認められないものであるから,そもそも実体法上の権利とは認められないし,少なくとも差止請求の根拠となり得るような排他性を備えたものとも認められない。 [20](1) 自己情報コントロール権を実体法上の権利として定めた法文は存在しない。先ごろ成立した行政機関個人情報保護法は,開示請求権,訂正請求権及び利用停止請求権を明文で定めており(同法12条,27条及び36条),これらの権利は,その内容において,原判決の判示する自己情報コントロール権と共通するものを含んでいる。しかし,これらの規定は,実体法上既に存在する自己情報コントロール権を確認的に定めたものではない。このことは,同法の法案に対する国会審議において,政府側から,自己情報コントロール権については,その内容,範囲,法的性格に関し,様々な見解があり,明確な概念として確立していないことや,表現の自由等との調整原理も明らかでないことから,法案に明記することは適切ではないとの答弁がされたことからも明らかである(平成15年4月8日衆議院会議録21号5ページ・乙第39号証)。その上,同法については, 「『プライバシー権』について,判例から一義的な法概念を見いだすことは困難であ」り,「自己情報コントロール権」についても「論者によって様々な考え方がみられる」として,同「法は『プライバシー権』や『自己情報コントロール権』という文言を用いず,あくまで個人情報の取扱いに伴い生ずるおそれのある個人の人格的,財産的な権利利益に対する侵害を未然に防止することを目的として,個人情報の取扱いに関する規律と本人関与の仕組みを具体的に規定するものである」と解説されている(総務省行政管理局監修「行政機関等個人情報保護法の解説」12ページ)。 [21](2) 自己情報コントロール権を肯定する見解に対しては,名誉とプライバシーの双方を包括して保護の対象とすることにより,その区別をあいまいにしてしまい,その結果,真実性の抗弁の妥当範囲等についての的確な説明が困難になるとの批判もある(阪本昌成「『人格権』に基づく自己情報の訂正請求権」ジュリスト829号49,50ページ)。また,阪本教授は, 「ところが,この『自己情報コントロウル権説』は,個人情報の保護法益の実体を明らかにできなかった。おそらく,それへの解答は『自己情報をコントロウルすることが,人格的利益としての自律性の一部である』ことに求められるであろう。ところが,『自律性』は,伝統的なプライバシー概念の配慮するところであり,『自己情報コントロウル』に特有のものではなく,解答に窮することになる。そればかりでなく,『自己情報コントロウル権説』には,『情報』,『コントロウル』の意味の曖昧さが残された。『自己情報コントロウル権』が憲法13条の幸福追求権(人格的利益の総体)の1つであるとされるためには,第1に,一定の自己『情報』の範囲がある程度明確であること,第2に,管理(支配)可能性があること,第3に,その管理利益が『人格』と関連していること,という条件が必要であろう。この条件を満たさない限り,『自己情報コントロウル権』は,実定憲法上の権利であるというよりも,法定立のさいの指針として提唱されていると評価せざるを得ない。」と指摘されている(阪本昌成「プライバシーと自己決定の自由」樋口陽一編・講座憲法学3,235ページ)。 [22] 自己情報コントロール権を肯定する見解においても,例えば佐藤幸治教授は,高度にセンシティヴな個人的かつ私的な情報(固有情報)とセンシティヴ性の低い情報(外延情報)とを区別し,保障の程度に相違があることを示唆しようと試みているとされるが(芦部信喜「憲法学II人権総論」380ページ),この試みに対しては,固有情報と外延情報の区別は必ずしも明確でないなどの批判がある(松井茂記「プライヴァシーの権利について」法律のひろば41巻3号27ページ)。また,長谷部教授も,自己情報コントロール権の性格付けの内容及びその含意については慎重な検討が必要であるとし,「自己情報コントロール権として把握されるプライバシーには本質的な限界がある」と述べているところである(長谷部意見書1,2ページ)。 [23] そして,自己情報コントロール権を肯定する見解が,個人情報の開示請求権・訂正請求権といった請求権的内容を認める点については,そもそも憲法13条の文言解釈を逸脱するものではないかとの疑問がある上,このような内容の請求権をプライバシーの権利に包括することは民事法上極めて困難であるとされており,開示請求権・訂正請求権をプライバシー権に含める見解においても,具体的権利性は否定するのが通例である。 [24](3) 以上のとおり,自己情報コントロール権を肯定する見解には問題点が少なくなく,自己情報コントロール権の概念はいまだ不明確であり,行政機関個人情報保護法の立法担当者もこのような理解から「自己情報コントロール」権という文言を法文に使用しなかったのであるから,自己情報コントロール権を現行法秩序の中で,差止請求の根拠となり得るような排他性を備えた実体法上の権利とすることは相当でない。原判決は,自己情報の取扱いを自己決定する利益を自己情報コントロール権と定義付けているが(原判決47ページ2及び3行目),原判決がいう「自己決定」が具体的に何を意味するのか,その内容,範囲は極めて漠としており,法的性格も明確にされておらず,このようなあいまいな定義付け,概念によって,自己情報コントロール権が憲法により保障された具体的権利であるとする点は相当でない。 [25] プライバシーの法的保護の内容は,飽くまでも「みだりに私生活(私的生活領域)へ侵入されたり,他人に知られたくない私生活上の事実又は情報を公開されたりしない」利益として把握されるべきであって,プライバシーに属する情報をコントロールすることを内容とする権利とは認められない。 [26](4) なお,原判決は,自己情報コントロール権がプライバシーの権利の重要な一内容であるとした上で, 「プライバシーに属する情報といっても,その中には,思想,信条,宗教などといった,人の人格的自律ないし評価に直接関わり,一般に秘匿の要請が高度な情報(固有情報)もあれば,そうでないもの(外延情報)もあり,特に後者に属する情報の内容や秘匿性の程度については明らかでないところがあるが,それは今後の具体的な事例の積み重ねによって自ずと明らかになっていくものであり,現在それが明確になっていないからといって,自己情報コントロール権自体を認めるべきではないとは解されない。」などと判示する(原判決47ページ6行目ないし13行目)。 [27] しかし,自己情報コントロール権は,実定法上の権利とはいえない上,保護されるべき権利・利益の内容やその外延も不明確であり,その内容や秘匿性の程度が不明確であることは原判決も認めているところであって,権利として保護される適格や成熟性を欠く以上,少なくとも,これを根拠とする差止請求権は認められるべきではない。 2 プライバシーは,それのみで差止請求の根拠となるような排他的権利として確立されていないこと [28] 自己情報コントロール権は,プライバシーの権利の内容を成すものではなく,差止請求の根拠たり得ない以上,相手方らの請求は理由がない。なお,念のため,プライバシーの権利自体もそれのみでは差止請求権の根拠となるような排他性を有する人格権として確立されていないことを説明する。 [29](1) プライバシーについて判示した最高裁判所の判決としては,最高裁判所昭和44年12月24日大法廷判決(刑集23巻12号1625ページ),最高裁判所平成元年4月13日第一小法廷判決(金融商事判例845号43ページ),最高裁判所平成7年12月15日第三小法廷判決(刑集49巻10号842ページ),最高裁判所平成9年11月17日第一小法廷判決(刑集51巻10号855ページ)などがあるが,これらの一連の判決は,個人のプライバシーに係る利益が憲法13条に規定された幸福追求権によって基礎付けられる法的保護に値する人格的利益であり,憲法13条により尊重されるべきものとしているものの,プライバシーがーつの明確な内容をもった権利として憲法上保障されているとまでは判示していない。 [30] また,最高裁判所平成14年9月24日第三小法廷判決(最高裁判所裁判集民事207号243ページ,判例時報1802号60ページ)は,フライバシーにわたる事項を表現内容に含む小説の出版等の差止請求を認容した原審判決を維持したものであるが,同判決は,「名誉とともにプライバシー等が侵害されたときには,名誉権及びプライバシーの利益等を併せて出版の差止めが認められる場合があることを明らかにしたもの」にすぎず,プライバシーの権利のみを根拠とする差止請求が可能である旨を判示したものではない(判例時報1802号61ページのコメント)し,最高裁判所平成15年9月12日第二小法廷判決(民集57巻8号973ページ。以下「平成15年最高裁判決」という。)は,学生の学籍番号,氏名,住所及び電話番号並びに当該学生が講演会の参加申込者であるという個人情報について,フライバシーに係る情報として,法的保護の対象になると判示したが,同判決は,プライバシーが憲法13条によって保障された権利であるかどうかについての判断を示したものではない。 [31](2) 以上のとおり,プライバシーは,その概念自体がいまだ不明確であり,統一的な理解が得られていないものであり,名誉権などと同様にそれのみで排他性を有する人格権であるとして,差止請求をすることができるような権利としては確立されていない(竹田稔・プライバシー侵害と民事責任(増補改訂版)226ページ)。 3 本人確認情報は,自己情報コントロール権の保護の対象とはならないこと (1) 本人確認情報の意義,秘匿の必要性等 [32]ア そもそも,4情報は,個人を識別するための単純な情報にすぎないものであり,住基法11条,12条の規定に基づき,閲覧等を求めることができるものである。また,住民票コードは,住民票に記載された11桁の数字であり,変更情報とは4情報が変更された旨の情報であって,これらの情報は,いずれもおよそ個人の人格的自律などにかかわらない客観的・外形的事項に関するものにすぎず,ましてや思想,信条など個人の道徳的自律に関係したり,人格権の内容を成すものでもない。 [33] そして,前掲平成15年最高裁判決も,氏名・住所・電話番号等の情報については, 「早稲田大学が個人識別等を行うための単純な情報であって,その限りにおいては,秘匿されるべき必要性が必ずしも高いものではない」ことを明言しており,この判示部分で明らかにされた法理は,本人確認を可能とするための4情報等についても異なるものではないというべきである。長谷部教授もこれと同旨の意見を述べている(長谷部意見書4ページ)。 [34]イ この点について,原判決は,本人確認情報が,いずれもプライバシーに係る情報として,法的保護の対象となると判断した根拠として,平成15年最高裁判決を参照すべきであると判示する(原判決50ページ1及び2行目)。 [35] しかし,平成15年最高裁判決は,「氏名,学籍番号,住所及び電話番号」という「単純な情報」それ自体について,プライバシーに係る情報としての法的保護の対象とすべき旨を判示したものでないことは,アで説明したとおりである。そして平成15年最高裁判決は,講演会の参加申込者であるという,公開することが当然視できない情報が,氏名等のこれらの「単純な情報」と結びつくことによって,誰が講演会に参加したかが明らかになることから,この情報全体について,プライバシーに係る情報としての法的保護の対象となることを認めたものである(杉原則彦・最高裁判所判例解説・法曹時報56巻11号2784,2785ページ)。したがって,平成15年最高裁判決の判示するところによっても,本人確認情報自体を独立にプライバシーに係る情報としての法的保護の対象になると解することはできないというべきである。 [36]ウ なお,住民基本台帳の閲覧制度等は住基ネットの導入以前から存在する,住基ネットとは別の制度である。住民基本台帳の閲覧制度等の在り方については,平成17年5月から総務省の検討会において検討が行われ,同年10月に同検討会の報告書が総務大臣に提出されたところであるが(なお,その後,平成18年3月,住民基本台帳の一部を改正する法律案が,第164回国会に提出され,同年6月に可決・成立したところである。),これは,閲覧制度がダイレクトメール等の民間の営業活動で利用されていることが,住基法1条の目的に照らして広すぎるのではないかという観点から検討されたものであり,その利用が行政目的に限定されている住基ネットとは何ら関係がない。このことは,閲覧制度の見直しに関する全国連合戸籍事務協議会の要望書の中で,むしろ厳しい個人情報保護措置があり,かつ目的が明確な住基ネットに比較して,閲覧制度の利用目的が広すぎるのではないか,との趣旨の指摘がされていることからも明らかである。また,検討会の報告書においても,公証制度としての閲覧制度や住民票の写しの交付制度の意義を再確認した上で,閲覧制度につき,法の目的に即して閲覧できる主体と目的を限定するとともに,審査手続等についても整備するなど個人情報保護に十分留意した新たな制度として構築すべきことが述べられているのである。 (2) 秘匿の必要性の程度は社会通念に照らして判断されるべきこと [37] 個人識別情報など類型的な情報がプライバシーとして保護されるかどうかを検討する際には,個別の事情を勘案するべきではなく,社会通念に従った類型的判断がされるべきである。そして,確かに個人情報のセンシティヴィティに関して,時代や社会を超えた明確な判断基準があるとはいい難いが,およそ一般的にみてセンシティヴィティがあるとはいい難い情報を選別することは可能であり,4情報等の情報はこのような類型に該当するものというべきである。 (3) 変更情報は身分関係の変動等を端的に推知させる情報ではないこと [38] 住基ネットにおいては,婚姻,離婚等の「経歴」自体が変更情報として保有されることはない。例えば,婚姻により姓が変わった場合であれば,修正を行ったという単なる外形的事実を示す「住民票の記載の修正を行った旨」の記載に加え,「職権修正等」,「事由が生じた年月日」のみが「変更履歴」として記載され,これが都道府県知事に通知,提供されるにすぎず,婚姻,離婚等の具体的事由が通知されることはない(住基法30条の5第1項,住基法施行令30条の5,住基法施行規則11条)。そして,その保有期限も原則として5年に限定されている(住基法30条の5第3項,住基法施行令30条の6)。 [39] したがって,変更情報は,身分関係の変動を端的に推知させる情報でないことが明らかであり,変更情報については秘匿の必要性の程度が相当高いなどということはない。 (4) 小括 [40] 以上のような本人確認情報の秘匿の必要性の程度も考慮すれば,本人確認情報は,自己情報コントロール権の保護の対象とならないことは明らかである。 4 小括 [41] 以上のとおり,自己情報コントロール権も,いまだ権利としての成熟性が認められず,差止請求の根拠となる実体法上の権利であると解することはできない。したがって,自己情報コントロール権が憲法上保障されているプライバシー権の重要な内容になっていると解した上で,自己情報コントロール権が住基ネットによる本人確認情報の利用の差止請求の根拠となり得ると解した原判決には,住基法等の法令の解釈適用を誤った違法がある。 1 住基ネットの概要 [42] 住基ネットは,全国の市町村において,住民基本台帳事務が電算化されてきたことを踏まえ,コンピュータネットワークを活用することにより,市町村間の住民基本台帳事務の合理化を図るとともに,従来は紙面で市町村から都道府県や国の行政機関等に対して,住民を介して,あるいは介さずに,提供されていた住民票記載情報をオンラインで提供することにより,住民の負担の軽減と行政事務の効率化を図るべく創設された制度である。 [43] 住基ネットは,市町村が住民基本台帳制度を運営するという制度の基本的枠組みを変更することなく,全国的に市町村の区域を越えた本人確認ができるような仕組みを付加するものであり,(a)それぞれの機関が保有している個人情報は,従前どおり分散管理することを予定した地方公共団体共同のシステムであって,国等が個人情報を一元的に管理するシステムではないこと,(b)住基ネットのサーバ上に保有される情報は,本人確認のための氏名,出生の年月日,男女の別及び住所の4情報,住民票コード及び付随情報(変更情報)のみであること,(c)国の機関等へのデータ提供は,個別の目的ごとに法律上の根拠が必要であり,かつ,目的外利用を絶対的に禁止していることから,様々な個人情報を一元的に収集・管理することを法律上認めない仕組みとなっている。そして,住基ネットの構築に当たっては,本人確認情報の漏洩や不正利用を防止するため,国際的基準(OECD8原則)を踏まえて,法令上及び技術上の措置として,制度面,技術面及び運用面の様々な観点から,二重,三重に本人確認情報保護措置(本人確認情報の漏洩や,住民票コードを利用したデータマッチング等の不正利用を防止)が講じられている(これらの点は原判決も認めている(原判決59ページ6行目ないし74ページ6行目参照))。なお,住基ネットの仕組みや基本的事項については別紙図AないしDの概略図〔省略〕を参照されたい。 2 住基法中の本人確認情報の保護規定が行政機関個人情報保護法に優先して適用されることを考慮しなかった原判決の誤り (1) 住基法と行政機関個人情報保護法との関係 [44] 住基法30条の34を始めとする住基法中の本人確認情報の保護規定は,個人情報の中でも,住基ネットというネットワークシステムで取り扱う本人確認情報について,その保護措置を講じるために特に設けられたものである。 [45] これに対し,行政機関個人情報保護法は,行政機関における個人情報一般について,その取扱いに関する基本的事項を定めるもの(同法1条参照)である。 [46] したがって,国の行政機関が住基ネットを通じて受領した本人確認情報を保有する場合において,行政機関個人情報保護法等が一般法であるのに対して,住基法中の本人確認情報の保護規定が特別法の関係にある。したがって,国の機関等が住基ネットを通じて受領した本人確認情報は,まずは住基法中の本人確認情報の保護規定の適用によって保護されるのであり,住基法中に規定がない場合に初めて一般法である行政機関個人情報保護法が適用されるのであって,両者が抵触する場合には,住基法中の本人確認情報の保護規定が優先して適用されるのである(平成15年4月18日衆議院個人情報の保護に関する特別委員会会議録6号17ページ,平成15年4月25日個人情報の保護に関する特別委員会会議録11号4ページ,堀部意見書3ページ参照)。 [47] 行政機関個人情報保護法8条2項2,3号は,一定の要件の下で利用目的以外の目的のための保有個人情報の利用,提供を認める規定であり,また,同法3条3項は,一定の要件の下で利用目的の変更を認める規定である。しかし,上記のとおり,住基法30条の34はこれらの規定の特別法に該当するのであるから,本人確認情報については,結局,住基法30条の34が優先して適用されることになる。したがって,目的の範囲内の利用等に当たらないデータマッチング,すなわち,受領者における同法所定の事務処理に必要とされる限度を超えた本人確認情報の利用,提供は,全面的に禁じられており,行政機関個人情報保護法の規定の適用により,その禁止が解除される余地は全くないのである。 (2) 住基法中の本人確認情報の保護規定 [48] 住基法30条の34は,住基法別表の事務を行うため本人確認情報を受領した者(受領者。住基法30条の33第1項参照)は,「その者が処理する事務であってこの法律の定めるところにより当該事務の処理に関し本人確認情報の提供を求めることができることとされているものの遂行に必要な範囲内で,受領した本人確認情報を利用し,又は提供するものとし,当該事務の処理以外の目的のために,受領した本人確認情報の全部又は一部を利用し,又は提供してはならない」旨を規定しており,法の定める目的の範囲内の利用等に当たらないデークマッチングを明確に禁止している。そして,これを実効あらしめるために,法は違反者に対しては制裁を設けている。すなわち,行政機関の職員が目的範囲内の利用等に当たらないデータマッチングを行うことは,住基法30条の34所定の職務上の義務の違反に該当することになるので,懲戒処分の対象となる(国家公務員法82条及び地方公務員法29条)。また,行政機関の職員が,目的の範囲内の利用等に当たらないデータマッチングや名寄せを行うために,その職権を濫用し,専らその職務以外の用に供する目的で,本人確認情報に関する秘密が記載された文書,図画又は電磁記録を収集した場合には,1年以下の懲役又は50万円以下の罰金に処せられることになる(行政機関個人情報保護法55条)。 [49] さらに,目的の範囲内の利用等に当たらないデータマッチングや名寄せを行わせるために,指定情報処理機関の役員及び職員(住基法30条の17第3項),本人確認情報の提供を受けた国の機関等の職員が,その知り得た本人確認情報に関する秘密を他の国の機関等に漏らした場合には,公務員の守秘義務違反等に該当し,刑罰の対象となる(国家公務員法109条12号,100条1項,2項及び地方公務員法60条2号,34条1項,2項,行政機関個人情報保護法53条,54条,住基法42条)。 [50] また,行政機関は,特定された利用目的の達成に必要な範囲を超えて個人情報を保有してはならないし(行政機関個人情報保護法3条2項),行政機関の長は,利用目的以外の目的のために保有個人情報を自ら利用し,又は提供してはならないのであるから(同法8条1項),行政機関及びその職員は,これらの規定によっても,目的の範囲内の利用等に当たらないデータマッチングが厳格に禁じられているのである。 (3) 原判決の誤り [51] 原判決は,住基法の規定と行政機関個人情報保護法の規定との適用の優先関係を考慮せず,行政機関個人情報保護法3条3項によって保有を開始した利用目的を変更して個人情報を保有することが許容される場合には,同法8条3項によって保有個人情報の目的外使用を制限する住基法30条の34の規定が適用されることはないから,住基法の利用目的明示の原則が形骸化する危険性は高い(原判決78ページ17行目ないし79ページ20行目),と判示している。 [52] しかしながら,行政機関個人情報保護法は,行政機関における個人情報一般について,その取扱いに関する基本的事項を定めるものであるのに対し(同法1条参照),住基法中の本人確認情報の保護規定は,個人情報の中でも,住基ネットで取り扱う本人確認情報についてその保護措置を講ずるために,特に設けられたものであって,両者は一般法と特別法の関係に立つのである。したがって,本人確認情報については,住基法の本人確認情報の保護規定が当然に優先して適用されるべきものであり,原判決の(ア)の判示が誤りであることは明らかである。そして,行政機関個人情報保護法8条3項は,他の法令の規定により個人情報の利用・提供が制限されている場合,同条2項がこれに反して利用・提供の権限を与えるものではないという当然の理を確認した規定にすぎず,当該規定があって初めて個人情報の利用・提供を制限する他の法令の規定が優先的に適用されるという,創設的な効果を有する規定ではない。したがって,同法3条3項について,8条3項のような調整規定が置かれていないことを理由にして,特別法の関係にあり,しかもより厳格な個人情報保護措置を講じる住基法の本人確認情報の保護規定の適用が排除されると解することは,明らかな誤りであり,行政機関個人情報保護法の趣旨にも反するものといわなければならない。 [53] また,原判決は,個人情報の取得について,本人にあらかじめ「利用目的を明示」することを要求し(行政機関個人情報保護法4条),目的外の利用,提供の禁止の例外として「本人の同意」(同法8条2項1号)を定めている同法の制度趣旨にかんがみれば,目的外利用禁止の例外については,「本人の同意」とみなすことができるような相応の制度的担保が必要であると解されるが,目的外利用禁止の罰則等の規制を考慮しても,目的外利用禁止のための制度的担保が十分とはいい難いと判示している(原判決81ページ7行目ないし82ページ2行目)。 [54] しかしながら,そもそも住基法は,法で定める目的の範囲外の利用を厳格に禁止し,その違反に対しては,懲戒処分や刑事罰を科し得る法制度となっているのであるから,目的外利用禁止の例外にどのような制度的担保を要するかは本来論じる必要のない事柄である。その上,その例外の許容のために「本人の同意」又はこれと同視できる制度的担保を必要とする原判決の判示自体にも明らかな誤りがある。すなわち,住基法は,その立法目的において,行政の合理化のため,都道府県や国の機関が個々の住民の承諾を得ずに住民票記載情報を利用することが当然に予定されている。すなわち,住民票記載情報のように,人間の社会生活の基礎となる個人情報は,いわば公共領域に属する個人情報であるから,行政の合理化のため,これらの情報を個人の承諾を要することなく利用できるという法制度が採用されているのであり,この点は,平成11年の住基法の改正前と後で何ら変わりないし,住民票記載情報を個人の承諾を得ることなく利用したからといって,何らかの人格的利益の侵害に当たると解する余地はない。また, OECD8原則に照らして本人の同意が要件になるのは,本来の利用目的以外のために個人データの開示,利用等を行おうとする場合であって,個人情報の収集目的の範囲内又は法律の規定による場合については,あえて本人の同意をとることまでは求められていない。本人確認情報を住基法別表に掲げられた国の機関等に対して別表に掲げられた事務のために提供することは,住民基本台帳の本来の目的の範囲内での個人情報の利用であるといえる。したがって,住基ネットを通じて本人確認情報を通知・提供することは, OECD8原則からしても,個別の住民の同意を得ることが求められていないのである。この点については,堀部教授も同旨の意見を述べている(堀部意見書6ページ以下参照)。 [55] 以上のとおり,住基法中の本人確認情報の保護規定と行政機関個人情報保護法の制度趣旨に関する原判決の判示は明らかな誤りがある。 3 住基ネット制度には個人情報保護対策の点で無視できない欠陥があるとした原判決の誤り (1) 行政機関全体が保有する多くの部分の重要な個人情報が集積され,利用される可能性について ア 原判決の判示 [56] 原判決は,行政機関においては目的外利用が可能な場合もあるが,それらの外延が明らかであるとはいえず,その外延目的情報については複数の行政機関の間で関連性が競合することがあることも十分予想される。そうであれば,現在の住基ネットのシステムの上では一元化の主体機関は存在しないことから,個人情報の完全な一元化までの具体的危険があるとはいえないにしても,各行政機関の間でデータマッチングが進められ,行政機関が個別に保有する個人情報の範囲が拡大して,少数の行政機関によって,行政機関全体が保有する多くの部分の重要な個人情報が結合・集積され,利用されていく可能性は決して小さくないといえると判示する(原判決82ページ3行目ないし11行目)。 イ 原判決の誤り [57] 指定情報処理機関は国の機関等に対して住基法で定めるところにより本人確認情報の提供を行うことができるが,住基法30条の34において認められた範囲を超えて国の機関等と他の国の機関等との間で住民票コードを利用したデータマッチングをすることは,同法同条に違反する行為にほかならない。したがって,原判決のいうような「少数の行政機関によって,行政機関全体が保有する多くの部分の重要な個人情報が結合・集積され,利用されていく」事態が生じるのは,個々の国の機関等が住基法別表の事務処理を行うために管理している個人情報について,これらを扱う公務員が,法令上の根拠もないのにあえてこれを他の国の機関等に提供し,当該機関等がこれを集約管理した上で,同法30条の34等に違反して本人確認情報を利用して名寄せやデータマッチングを行うような場合に限られるのである。しかし,本人確認情報の提供が認められている事務293事務(平成18年5月15日現在)における保有情報を一元的に管理する国の機関や主体は,存在しない。本人確認情報を記録,保有する指定情報処理機関も,住基法別表で定める国の機関等に対し,その求めに応じて本人確認情報を提供することは予定されているものの(住基法30条の10),指定情報処理機関には,国の機関等からその保有する本人確認情報以外の住民に関する情報を収集し,これを管理する権限は付与されておらず,国の機関等もそのような情報を指定情報処理機関に対し提供する権限や義務は認められていない。したがって,指定情報処理機関において,国の機関等が保有する情報を結合することも不可能である。そして,本人確認情報の提供について,その対象となる事務が法改正により追加されるとしても,法定された事務を遂行する範囲を超えた利用を禁止する諸規定が改正されたわけではないから,対象事務の拡大によって,データマッチングの具体的危険が認められることにはならないというべきである。 (2) 目的外利用を監視する第三者機関が置かれていないことが制度の不備であるとする原判決の誤り ア 原判決の判示 [58] 原判決は,公権力を行使する行政機関による個人情報の取扱いに対する監視機関は,行政から独立した第三者機関であってはじめて実効性のある監督機能が果たせるが,住基ネットの運用に関して提供された情報の目的外利用を中立的な立場から監視する第三者機関は置かれていないなどと判示し,これを制度の不備と断言する(原判決82ページ12行目ないし16行目)。 イ 原判決の誤り [59] 各行政機関が保有する個人情報ファイルについては,その利用目的,記録される個人情報,提供先等につき総務省に通知することとされており(行政機関個人情報保護法10条1項),また,個人情報ファイルを保有する行政機関が,その保有する個人情報ファイルの概要を記載した個人情報ファイル簿を作成し,公表しなければならないこととされる(同法11条)など,法律上,行政機関の保有する個人情報の透明性は確保されている。 [60] 一方,住基法30条の9第1項は,「都道府県に,第30条の5第1項の規定による通知に係る本人確認情報の保護に関する審議会を置く」と定めている。この審議会は,「この法律の規定によりその権限に属させられた事項を調査審議するほか,都道府県知事の諮問に応じ当該都道府県における第30条の5第1項の規定による通知に係る本人確認情報の保護に関する事項を調査審議し,及びこれらの事項に関して都道府県知事に建議することができる」と定められている(同法30条の9第2項)。したがって,この審議会は,当該都道府県における本人確認情報の取扱い等について調査審議を行うことができる機関であり,管理及び運営面において,住民の本人確認情報を保護する役割を果たしているのである。 [61] また,同法30条の15第1項は,「指定情報処理機関には,本人確認情報保護委員会を置かなければならない」と定め,この委員会は,「指定情報処理機関の代表者の諮問に応じ,第30条の11第1項の規定による通知に係る本人確認情報の保護に関する事項を調査審議し,及びこれに関し必要と認める意見を指定情報処理機関の代表者に述べることができる」と定められ(同法30条の15第2項),上記審議会と同様,管理及び運営面において,住民の本人確認情報を保護する役割を果たしている。 [62] さらに,セキュリティ基準第6-8(1)-ウ及び工は,都道府県知事は,本人確認情報の提供先である国の機関等における本人確認情報の管理状況について報告を求め,適切に管理するよう要請することができ,市町村長も,都道府県知事を経由して上記のような報告等を要請することができると定めており,これらの点においても,国の機関等が本人確認情報を不適切に扱うことを防止する制度的な担保が設けられている。 [63] 上記「本人確認情報の保護に関する審議会」及び「本人確認情報保護委員会」については,別件名古屋高等裁判所金沢支部平成18年12月11日判決(平成17年(ネ)第154号事件)においても,これらを設置する旨の規定があることを指摘して,「住基法が行政機関による個人情報の目的外利用禁止の制度的担保を設けていないということはできない」と正当に判示されているところである。 [64] 原判決の判示は,以上のとおり,住基ネットでは,本人確認情報について,法令の定める事務の遂行に必要な範囲を超えて利用することのないよう二重,三重に本人確認情報保護措置が講じられていることを看過したものである。 (3) 住民が本人確認情報の利用状況を把握することが困難になっているとする原判決の誤り ア 原判決の判示 [65] 原判決は,本人確認情報を利用できる事務は現在275事務にまで拡大され,法律及び条例の制定,改正によって今後さらに拡大することが予想されるが,そうなれば,住民が実際上本人確認情報の利用対象事務を把握することは困難となり,本人の同意や利用をめぐる異議申立ての機会は保障されないに等しく,また,本人確認情報がいかなる機関に提供されたか,それ以外の情報を都道府県や国,指定情報処理機関が保有していないかどうかといった重要な点について,本人において確認することが事実上不可能な状態にあるといえると判示する(原判決79ページ1行目ないし80ページ14行目)。 イ 原判決の誤り [66] 住基ネットを利用した本人確認情報の国の機関等への提供を認める事務は,法律又は条例において明確に定められるのであり,これらは当然のことながら,国会又は地方公共団体の議会において,国民ないし住民の意思に基づいて制定されるのである。その規定の仕方も,住基法上は別表において限定列挙されており,条例において定める場合も同様の形で規定されていて,一覧性が確保されている。その上,住基法別表第一の国の機関等に係る本人確認情報の提供の状況については,指定情報処理機関が,毎年少なくとも1回,官報において公示していること(住基法30条の11第6項参照。平成18年については,平成18年号外第196号)などからしても,住民は,本人確認情報を利用できる事務を十分把握し得るのである。 [67] また,都道府県知事は,自己に係る本人確認情報の提供又は利用の状況に関する情報の開示請求に適切に対応するため,個人ごとの本人確認情報の提供又は利用の状況に係る情報を必要な期間保存することとされており(セキュリティ基準第6-8-(5)),住民は,住基法30条の37に基づき,都道府県サーバ及び全国サーバに保存されている自己に係る本人確認情報の開示を請求することができる。その上,住民は,個人情報保護条例に基づき,(a)本人確認情報を提供した住民の住民票コード,(b)本人確認情報を提供した住民の氏名,生年月日,性別及び住所,(c)提供先及び検索元,(d)提供年月日,(e)利用目的について開示請求を行うことができる(住民基本台帳事務処理要領第6-5-(3)・(注))。 (注) 第6-5-(3)[68] したがって,住民が,自己の本人確認情報の利用状況を知るための法制度が整備されていないとする原判決の判示は,明らかに誤っている。 (4) 本人確認情報の民間利用禁止の実効性を疑問視する原判決の誤り ア 原判決の判示 [69] 原判決は,住民が第三者に住民票コードを告げれば住民票コードは第三者の知るところとなること,住民票コードの民間における利用は禁止されているが(住基法30条の43第3項),これを担保する制度が存在しないことから,住民票コードの民間利用禁止の実効性は,現実には非常に疑わしいと判示する(原判決80ページ15行目ないし同ページ末行)。 イ 原判決の誤り [70] 住基法上,第三者が住民基本台帳の一部の写しの閲覧請求ができる対象から住民票コードは除かれており(住基法11条1項),また,第三者は他人の住民票コードのついた住民票の写しの交付を求めることはできない(住基法12条2項参照)。そして,住基法30条の43第1項及び2項は,民間の相手方が住民本人に対し,住民票コードの告知を要求することを禁止しているから,このようなことが通常行われるとは考えられないし,住民本人が自己の個人情報である住民票コードをあえて民間の相手方に自発的に告知することも考えにくい。仮に,住民本人が民間の相手方から住民票コードの告知を要求されたとしても,法律上これを拒否することができるし,何らかの理由で住民本人が民間の相手方に住民票コードを告知してしまったとしても,住民票コードは,住民の申請によりいつでも変更することができるのである(住基法30条の3)。その上,民間の相手方が住民票コードの記録されたデータベースを業として構成することは禁止されており(同条3項),これに違反する行為をした者に対しては,都道府県知事は中止の勧告及び命令をすることができ(同条4,5項),命令に違反した者には1年以下の懲役又は50万円以下の罰金が科されることとなっている(同法44条)。 [71] このように,第三者が他人の住民票コードを知ることは極めて困難であり,住民は,仮にこれが第三者に知られてしまったとしても,その変更が可能である上,違反行為に対する罰則も設けられ,厳格な利用規制が行われているのであるから,住民票コードが本人の予期しない範囲で民間業者に保有され,利用される具体的危険があるとは到底いえないことは明らかである。 (5) 平成15年に明るみに出た自衛官の募集に関する事案に関する原判決の判示(原判決82ページ18行目ないし83ページ11行目)について [72] 自衛官募集に関する情報の収集は,住基法ではなく,自衛隊法117条及び同法施行令120条に基づいて行われるものであって,住基ネットから自衛官の募集のための情報が提供されることはない。 [73] 前記のとおり,住基ネットでは,本人確認情報保護措置として極めて厳格な措置が講じられている上,各団体においては,職員のプライバシーに対する意識を高めるために繰り返し研修等も実施されているところであるから,過去の自衛官募集に関する事案を持ち出して,現在において,住基ネットの本人確認情報が国の機関等によって集積,結合され,利用される危険性が具体的に存在することの根拠とすることはできない。 (6) 住民票コードを用いた名寄せの危険性に関する原判決の誤り ア 原判決の判示 [74] 原判決は,市町村等は,条例によって,住基カードを様々な目的に使用することができるが,住民が住基カードを使ってそれらのサービスを受けた場合には,その記録が行政機関のコンピュータに残り,それらの記録を住民票コードで名寄せすることも可能であり,また,現在のところ,住基カードに関する技術的基準(総務省告示第392号第5,3(2)・乙第15号証)では,条例利用アプリケーションに係るシステムヘアクセスするための利用者番号に住民票コードを使用しないことが定められているが,総務省は,告示の改正によりいつでもこれを改めることができると判示する(原判決83ページ12行目ないし84ページ1行目)。 イ 原判決の誤り [75](ア) しかしながら,住基カードは,その内部構造及びそのセキュリティ対策上住基カード内に記録された情報が行政機関のコンピュータに残るようなシステムとはなっていないのであり(住基カードに関する技術的基準第2の2),このことは証拠(乙第12,第13号証)から明らかである。すなわち,住基カードの内部構造は「住基ネットのエリア」と「独自利用のエリア」に分かれており,住基ネットのエリアには,住基ネットのアプリケーションのみが格納されており,このエリアには相互認証を行った上でないとアクセスができないことになっており,住民票コードは,このエリアに格納されている。他方,独自利用エリアには,印鑑証明や施設利用等,市町村が独自に住基カードを利用するためのアプリケーションが格納され,公的個人認証の電子証明書もこのエリアに格納される。 [76] そして,住基カードの住基ネットエリアに格納された住民票コードにアクセスするには,認証を経ることが必要であるが,市町村の独自利用によるサービスを提供する機関は,当該認証権限を付与されていない。独自利用によるサービス提供機関は,住民票コードが存在しないエリアを利用してサービスを提供するのであり,その記録には,サービスを享受した住民の住民票コードが残るということはあり得ないのであって,それらのデータをもって名寄せされる危険性も存在しない。 [77](イ) また,原判決は,住基カード利用によるデータマッチングの危険性に関して, 「住基カードに関する技術的基準(総務省告示第392号第5,3(2)・乙第15号証)では,条例利用アプリケーションに係るシステムヘアクセスするための利用者番号に住民票コードを使用しないことが定められているが,総務省は,告示の改正によっていつでもこれを改めることができる。」と判示する(原判決83ページ23行目ないし84ページ1行目)。 [78] しかしながら,住民票コードの利用拡大は,住民基本台帳法の30条の42,30条の43等において厳しく抑制されており,上記告示はこうした住基法の趣旨を踏まえて定められたものである(住基法30条の44第4項,住基法施行規則46条参照)。したがって,住基カードの独自利用領域において住民票コードの利用を可能にすることは,この住基法の趣旨に明らかに反するものであり,法律の趣旨に適合する告示が法律に反するのものに改正されることはおよそ考え難い。 [79] なお,住基カードの仕組みからしても,告示の改正がなされない限り,市町村の独自利用サービスを受けた記録に住民票コードが付加される可能性は全くない(乙第12,第13号証)。 4 相手方らの住民票コードの削除請求が認容されると,住基法の趣旨が没却される結果になること [80] 原判決は,相手方ら各居住地の申立人各市に対し,相手方らの住民基本台帳からの住民票コードの削除を命じた上, 「住民基本台帳上の住民票コードのみの削除は住基法の予定していないことと解されるが,それが行われた場合には,市町村においては,住基法8条により住民票上の住民票コードの記載を削除し,市町村から知事に対し,変更情報のうちの『住民票コードの記載の変更請求』に準じて,住基法30条の5第1項により通知され,知事において保有する当該本人についての住民票コードを削除すべきものと解される。」と判示する(原判決87ページ12ないし17行目)。 [81] しかしながら,住基法は,電気通信回線を通じて本人確認情報を送信することを市町村に義務付けているところ(住基法30条の5),ここにいう本人確認情報とは,住民票コードを含むものであるから(住基法30条の5第1項参照),市町村は,住民票コードを除いた本人確認情報を送信することは許されない。その上,住民票コードを除いた本人確認情報の送信は住基法の規定に反するものであるから,大阪府知事が住民票コードを除いた本人確認情報を受信する義務はない。また,仮に原判決のいうように大阪府知事において保有する当該本人についての住民票コードを削除すると,大阪府知事は,住基法30条の7第3項から6項等に定める,国の機関等に対する本人確認情報の提供を行うことができなくなり,住基法の定める義務に違反することになる。これらのことからも明らかなように,住民票コードの削除要求を認容する下級審の判断が維持されたままでは,各団体において義務の衝突が起こるのである。その上,住基ネットが憲法13条に違反するものではないと判断された団体においても住基ネットを運用することが著しく困難となる事態が十分に想定され,そうなれば,全国的な本人確認システムの導入により,行政サービスの向上と行政事務の効率化等を図ろうとした住基法の趣旨が没却されることになる。 5 住基法に関する長谷部教授,堀部教授の見解 [82] 長谷部教授は, 「住民基本台帳法によれば,法の定める事務を行うために4情報等を受領した者は,当該事務処理の遂行に必要な範囲内で,受領した情報を利用し,または提供することとされており(同法30条の4),4情報等の受領者は,認められた事務の処理以外の目的のために,受領した本人確認情報の利用または提供をしてはならない旨を明確に規定している(同法30条の34)。法の認める範囲を超えるデータマッチングが行われれば,職務上の義務に違反するものとして,当該公務員は懲戒処分の対象になるはずである(国家公務員法82条,地方公務員法29条)。このように,現行法制度を前提とする限り,住民基本台帳ネットワークの運用を通じて,行政機関により住民票コードをマスターキーとするデータマッチングが行われ,住民のプライバシーが侵害される具体的な危険が生じているとはいいがたく,回復不可能な重大な損害の発生を抑止するためにシステムの差止を考慮すべき理由があるとはいいがたいと思われる。」(長谷部意見書5,6ページ)と述べている。 [83] また,堀部教授も, 「平成11年住民基本台帳法改正法においては,個人情報保護の観点から現行の法制度の枠内で可能な限りの対応策が盛り込まれた。同法の立案に当たっては,国際的な水準に対応した個人情報保護対策を内包するシステムを構築すべく,十分な検討が行われたところである。(中略)以上見てきたように,住民基本台帳ネットワークシステムについては,住民基本台帳法に基づき,国際的なスタンダードに対応した個人情報保護措置が講じられていると評価することができる。」(堀部意見書1,7ページ)と述べている。 6 小括 [84] 以上のとおり,「行政機関において,住民個々人の個人情報が住民票コードを付されて集積され,それがデータマッチングや名寄せされ,住民個々人の多くのプライバシー情報が,本人の予期しない時に予期しない範囲で行政機関に保有され,利用される危険」(原判決84ページ3行目ないし6行目)が,抽象的な危険の域を超えて具体的な危険の域にまで達しているとは到底認められない。 [85] したがって,住基ネット制度には個人情報保護対策の点で無視できない欠陥があり,住基ネットの運用を明示的に拒否する相手方らについて住基ネットを運用する(改正法を適用する)ことは,相手方らに保障されているプライバシー権(自己情報コントロール権)を侵害するものであるとした原判決には,住基法等の法令の解釈適用を誤った違法がある。 1 金沢支部判決の内容 (1) 事案の概要 [86] 金沢支部判決は,以下の事案に関するものである。すなわち,石川県内に在住する別件被控訴人らが,改正法に基づいて設置された住基ネットの稼働運用によって,プライバシーが現に侵害され,あるいは侵害される危険にさらされており,また,別件被控訴人らに住民票コードが付されることによって氏名権が侵害され,かつ,住民票コードのもとに個人の情報が包括的に集約,管理されることによって,「行政権力によって包括的に管理されない自由」が侵害されていると主張して,別件控訴人石川県及び同指定情報処理機関に対し,別件被控訴人らに関する住基ネットの運用の差止め及び別件被控訴人らの本人確認情報の住基ネット磁気ディスクからの削除(以下「差止請求」という。)を請求し,別件控訴人ら及び国に対し,上記権利侵害によって被った精神的損害の賠償を求めた事案である。 [87] 第一審判決は,別件控訴人石川県,同指定情報処理機関及び国に対する損害賠償の請求は棄却したが,別件控訴人石川県及び同指定情報処理機関に対する本人確認情報についての差止請求については,別件被控訴人らの請求を認容し,これに対して,別件控訴人石川県及び同指定情報処理機関が控訴した。 (2) 金沢支部判決の要旨 [88] 金沢支部判決は,おおむね以下のとおり判示して,別件控訴人らの差止等請求を棄却した。 [89]ア 本人確認情報は,それ自体で個人の人格的自律や人格的生存の維持に直接的に関係するものではないから,国家機関等の公権力が,正当な理由に基づき,相当な方法によって,本人確認情報を収集,管理,利用することは,「公共の福祉」による制限として許され,憲法13条に違反しない。 [90]イ 住基ネットは,住民サービスの向上と行政事務の効率化を目的とし,住民票の写しの広域交付,転入・転出の特例処理,各種手続の簡素化等,住民の利便性の増進を図ることを可能とするものであり,その導入には正当な理由がある。住基法は,住基ネットのシステム上ですべての本人確認情報が網羅的に提供,利用されることを当然の前提としており,住民の一部でもこれに参加しないことを許容すれば,システムの本来予定する機能を果たし得ず,従来のシステムや事務処理を併存的に存置せざるを得なくなるなど,一部の者の離脱は住基ネット全体にとって重大な支障をもたらすことになるから,住民の利便性よりも自らのプライバシー権の保持を望む別件被控訴人らとの関係でも,住基ネット導入の正当性は否定されない。 [91]ウ 住基ネットに関する法制度とこれに関連する運用の実情に照らしても,住基ネットにおいては,個人情報保護のための対策が制度面,技術面及び運用面にわたって種々講じられており,プライバシー権の侵害又はその具体的危険があるとはいえない。 [92] 住基法は,本人確認情報に関する利用又は提供の制限,本人確認情報の処理事務に従事する職員に対する刑事罰を伴う守秘義務等を規定することで,本人確認情報が住基法所定の事務処理又は目的以外での使用を制限しているのであるから,本人確認情報を使用したデータマッチングは,住基ネットに関係する都道府県知事,国の機関等あるいはその職員がこれら法律の定めを遵守する限りは実現しないのであり,これらの者がこれら法律の定めに違反することを当然の前提として,上記データマッチングの具体的な危険があるとすることは,当を得たものではない。北海道斜里町情報流出事件等も,住基ネットの管理の末端における,ごく例外的な事例であって,住基ネットについての制度的な欠陥を示すものではない。さらに,住基法は,本人確認情報の適正な取扱い確保のため,都道府県知事及び指定情報処理機関には本人確認情報の保護に関する事項を調査審議するための第三者機関(都道府県にあっては「本人確認情報の保護に関する審議会」,指定情報処理機関にあっては「本人確認情報保護委員会」)を設置するものとしているのであるから,住基法が行政機関による個人情報の目的外利用禁止の制度的担保を設けていないということはできない。 [93]エ 以上によれば,住基ネット規定が,その内容自体において憲法13条に違反するものということはできないのみならず,住基ネットに使用されるシステムの安全に関する規定や住基ネットの管理運営に関してプライバシーを保護する規定を欠くなどのために,使用されているシステムについて安全上無視し得ない欠陥があって,容易に外部からの侵入を許すものであったり,住基ネットの管理及び運営が著しく杜撰になされ,住基ネットの管理運営に従事する者が不正に本人確認情報にアクセスするなどして,本人確認情報が簡単に漏洩し,あるいは流出する具体的な危険があるという場合にも当たらないのであるから,住基ネットにおいて本人確認情報を取り扱うことが憲法13条に違反するということもできない。 2 その他の住基ネットに関する事件の状況 [94] 改正法による住基ネットの稼働,運用によって,プライバシーが現に侵害され,あるいは侵害される危険にさらされているなどとして,市町村,都道府県及び同指定情報処理機関に対し,住基ネットの運用の差止め及び本人確認情報の住基ネット磁気ディスクからの削除等を,また,各市町村,国等に対し,上記権利侵害によって被った精神的損害の賠償を求める訴訟が全国に係属している。そして,平成19年1月30日現在において,別紙住基ネット訴訟結果一覧表〔省略〕のとおり,本件のー審である大阪地裁判決及び上記金沢支部判決の一審である金沢地裁判決のほか,12地裁で判決がなされているところ,上記金沢地裁判決を除き,すべての地裁判決において,住基ネットからの情報漏洩の具体的危険,データマッチング等の具体的危険は認められず,住民のプライバシー権ないしその法的利益を違法に侵害するものとは認められないとの判断がなされており,うち大阪地裁平成18年9月27日判決は確定している。さらに,住基ネットが憲法13条等に違反するものであり,これを前提とする住基カードの交付に関して公金を支出することや,その原因となるべき契約を締結する行為なども違法であると主張して,上記公金支出行為等の差止め等が請求された別件名古屋高裁平成18年4月19日判決においても,住基ネットが憲法13条に違反するとはいえないと判示されている。 [95] 以上のとおり,原判決の判断は,住基法等法令の解釈適用を誤り,金沢支部判決の判断と相反するもので,本件は,法令の解釈に関する重要な事項を含むものであるから,本件申立てを受理した上,原判決を破棄し,更に相当の裁判を求める次第である。 | ||||||||||||||||||||||||||||
| ■第一審判決 | ■控訴審判決 | ■上告審判決 | ■判決一覧 | |||||||||||||||||||||||||