レポート

GDPRにおける企業・団体の法的責任
亜細亜大学 法学部教授 加藤 隆之氏

印刷用

 EU一般データ保護規則(以下、GDPR)では、データを漏えいするなどの違反行為をした場合、1.民事責任、2.制裁金(行政が科す責任)、3.刑事責任という3つの責任を負う可能性がある。これは日本で交通事故を起こした場合、1.民事責任(損害賠償)、2.刑事責任、3.行政上の責任を負うのと同様である。GDPRについては、この3本の柱で考えていくと問題点が見えてくる。

民事責任

 GDPRでは第82条で民事責任の要件を①規則違反行為、②因果関係、③有形的又は無形的損害と定めており、日本の不法行為の要件とあまり変わらない。しかし問題なのは、どういう場面で損害賠償責任を負うのか、という点である。とりわけ、「損害」の概念に財産的損害を伴わない純粋な精神的な損害、例えば、不安や懸念(apprehension)、また、不快感(discomfort)などを含むかが不明確なことが問題だと考えている。この点について日欧どちらでも具体的な考察がなされていないため、どういう場合にデータ保護違反となり民事責任を負うのかについて、その輪郭が明らかになっていない。
 また、GDPR第33条、34条では、「個人データの侵害行為があった場合、監督機関やデータ主体にその事実を通知する義務が存在するが、自然人の権利又は自由に対するリスクが生じそうにない場合にはその義務が免除」されている。つまり、リスクが生じそうな場合に通知しなければGDPR違反となるが、ここでいう「リスク」と「損害」の概念との整合性も考える必要がある。
 日本では、個人情報保護法違反、プライバシー権侵害があった場合、不法行為による損害賠償請求(民法第709条)という法律構成をとるのが一般的である。しかし日本でも、権利侵害があっても損害がなければ損害賠償請求はできず、また、権利侵害と損害は同義ではない。この点について学説に争いはない。すなわち、個人情報保護法違反、データ保護法違反イコール損害賠償請求可ではないのである。ところが、この点について、個人情報保護法関連の研究者は、十分な研究をしているとはいえない状況である。
 では民法上の「損害」とはいったい何か。財産上の損害が生じない精神的苦痛なども含まれるのか。早稲田大学講演会事件(最判平成15・9・12)で最高裁は「秘匿されるべき必要性が必ずしも高いものではないが、自己が欲しない他者にみだりにこれを開示されないという期待は保護されるべきであり、本件個人情報は、プライバシーにかかる情報として法的保護の対象となる」とし、「本件開示について承諾を求めることは容易であった」ことなどを理由として、プライバシー権の侵害であると判示した(ただし、第1審、第2審は不法行為の成立を否定し、最高裁も3対2の僅差での判決であった)。
 学生に関するデータが個人情報であることは間違いないが、損害賠償請求を行うには損害が生じていなければならない。当日の警備上の理由から当該講演会に「参加する学生」の情報を警視庁に提供した場合、それにより「参加が妨げられたわけではない学生」が被った損害とはいったい何か。
 個人情報を漏えいすることイコール損害発生ではない。現在の議論の中では、日欧ともにデータ保護法違反イコール損害賠償でいいのではないかという雰囲気があるが、その点をきちんと検討する必要がある。たとえば、長崎市内の公立小学校において、通知表の様式及び評定記載方法をめぐる校長会と教師との争いから、一部の学校では通知表が児童に交付されないという出来事が起きた。この時、Yがこの教師たちを批判したビラを配布し、そこに教師らの氏名・年齢・住所・電話番号を記載していたという事件(最判平成元年12月21日)では、記載されていた教師宅に脅迫電話がかかるなどの被害が生じた。最高裁は当該個人情報の頒布行為によって、私生活の平穏など人格的利益が侵害されたことを理由として、2万円の損害賠償を認めた。
 先の早稲田大学講演会事件では、差戻審で学生1人あたり5,000円の損害賠償が認められたが、いかなる損害に対して支払われたのか、また額として適切であったのかなど検討を要する課題である。損害の意味を突き詰めなければ、損害額の算定は困難であろう。
 大手教育出版企業の顧客情報流出事件では、子、保護者の氏名、住所、電話番号、性別、生年月日に関する情報が流出し、賠償額は1世帯あたり500円である。流出した個人情報がどのように使われるか不明で、具体的な損害も不明であるが、企業側からみれば約3,000万人に対し総額150億円の賠償となった。つまり、「損害とは何か?」を明確にしないと、企業は「損害」の意味がわからないまま莫大な負担を強いられる可能性がある。

制裁金(行政上の制裁)

 制裁金を公的団体に科したとしても、その金銭の出所は結局のところ税金であり、その実効性に乏しいという批判があるため、GDPRでは、制裁金対象団体は民間団体と定めている。
制裁金を科すか否かの決定に際しては、第83条2項で考慮すべき事項を広範に定めているが、制裁金対象の違反行為が広汎すぎる。GDPRにおける制裁金の3大特徴は、広汎性、曖昧性、高額性といえる。制裁金対象の違反行為は、極めて多岐にわたる(広汎性)。
 また、制裁金対象行為の規定についてであるが、曖昧な部分が残されていることも多い(曖昧性)。たとえば、第31条の監督機関との協力に応じない、懈怠すると制裁金の対象であるが、その内容は曖昧である。第17条の「忘れられる権利」の削除義務がいかなる場合に生じるか、その判断は困難なこともあろう。だが、これらの義務に違反した場合、2,000万ユーロ又は全世界年間売上高4パーセント以下の制裁金が科される可能性が生じる。なお、忘れられる権利のケースでは、削除を求めた者からの要請に誤って応じた場合、情報元から民事上の不法行為責任を追及される可能性もある。
 さらに、列挙された違反行為に対して、常に制裁金が科されるわけではないとしても、制裁金額が高額であるため、企業にとっては脅威である(高額性)。たとえば2016年のグーグルの年間売上高(予想)は、8兆円規模なので、そのうちの4%となると最高200億円までの制裁金を科すことも可能となる。さらに、損害賠償責任と刑事責任すら追加される可能性もあり、他の権利とのバランスが懸念される。
ところで、第83条9項では、制裁金を科す制度を採用していない場合、他の制度で代替することを認めている。たとえばアイルランドでは、制裁金をデータ保護コミッショナーが科すことについて、憲法上の制約があり、現在でもコミッショナーは制裁金を科す権限はない。実はGDPRにはこうした例外規定が多数存在しているが、この点に関する情報提供が乏しい。また、これで本当にEU全体で実効性を持つことができるのか、疑問が残るところである。

 活用の仕方としては、これらの位置情報をもとに、NHKでは津波が迫っているときに、人が多い地域を優先的に呼びかけていく必要がある。また、タクシーの稼働状況や渋滞情報を組み合わせることで、避難状況の全体把握もできる。さらに、震災当時は帰宅困難者がどの程度いたのか把握することはできなかったが、現在はリアルタイムで把握することができる。人によって見方は異なると思うが、こういった活用では個人を見ているわけではなく、あくまでも全貌把握のために活用している事例となる。
 タクシー1万台のデータからは、都心付近を回遊していたタクシーが、震災後は都心から外に向かって一斉に移動していく姿を把握することができる。タクシーのデータは誤差が大きいものであるが、それでもどのような現象が起きていたのか大きな動きを見て取ることができ、さらにそこから見る人によって避難状況の確認や、救助に向かうルート選択へと活用することができる。
また、全国には約6000万の建物があるが、それと国勢調査のデータを用いることでどの建物に高齢者がいるかを推定するという研究では、統計データから個にまで落としていく手法がとられている。これは、高齢者救助の助けとなる。

制裁金を科す際の考慮事項
制裁金は、監督機関の是正措置と共に科すことも可能であるが、次の事項を考慮して制裁金を科すか否かについて決定しなければならない(2項)。
(a)当該取扱いの性質及び目的並びに影響を受けたデータ主体の数及びデータ主体の受けた損害の程度を勘案した当該違反行為の性質、重大性及び期間。
(b)当該違反行為の故意又は過失の特徴。
(c)データ主体の受ける損害を軽減させるために当該管理者及び取扱者がとった行動。
(d)第25条及び第32条に従って管理者及び取扱者が実施した技術的及び組織的対策を勘案した当該管理者及び取扱者の責任の程度。
(e)当該管理者又は取扱者による関連する以前の違反行為。
(f)当該違反行為の是正及び違反により生じ得る悪影響軽減のためになす監督機関との協力の程度。
(g)当該違反行為によって影響を受ける個人データの種類。
(h)当該違反行為が監督機関へ知らされた方法。特に管理者又は取扱者が当該違反行為を通知したか否か、もし通知したのならその範囲。
(i)同じ事項に関して、当該管理者又は取扱者に対して事前に第58条第2項で定められた措置が命じられていた場合、それら措置の遵守。
(j)第40条によって承認された行動規範又は第42条による承認された認証メカニズムの遵守。
(k)当該違反行為から直接又は間接を問わず得られた財政上の利益又は避けられた損失のように、当該事案の状況に該当する悪化又は軽減要素。


制裁金対象の違反行為
(a)1,000万ユーロ又は全世界年間売上高2パーセント以下の制裁金(4項)
1)管理者及び取扱者による次の条文の義務違反行為

  • 8条 情報社会サービスに関する子どもの同意に対して適用される条件
    (Conditions applicable to child's consent in relation to information society services)

  • 11条 識別を要求しない取扱い(Processing which does not require identification)

  • 25条 データ保護・バイ・デザイン及びバイ・デフォルト
    (Data protection by design and by default)

  • 26条 共同管理者(Joint controllers)

  • 27条 EU域内に拠点のない管理者又は取扱者の代理人
    (Representatives of controllers or processors not established in the Union)

  • 28条 取扱者(Processor)

  • 29条 管理者又は取扱者の権限下における取扱い
    (Processing under the authority of the controller or processor)

  • 30条 取扱い活動の記録(Records of processing activities)

  • 31条 監督機関との協力(Cooperation with the supervisory authority)

  • 32条 取扱いのセキュリティ(Security of processing)

  • 33条 個人データ侵害の監督機関への通知
    (Notification of a personal data breach to the supervisory authority)

  • 34条 データ主体への個人データ侵害の通知
    (Communication of a personal data breach to the data subject)

  • 35条 データ保護影響評価(Data protection impact assessment)

  • 36条 事前協議(Prior consultation)

  • 37条 データ保護職の指名(Designation of the data protection officer)

  • 38条 データ保護職の地位(Position of the data protection officer)

  • 39条 データ保護職の職務(Tasks of the data protection officer)

  • 42条 認証(Certification)

  • 43条 認証機関(Certification bodies)

2)認証機関による次の条文の義務違反行為

  • 42条 認証(Certification)

  • 43条 認証機関(Certification bodies)

3)監視団体による次の条文の義務違反行為

  • 41条4項 承認された行動規範違反に対する監視団体の適切な措置
    (41条、Monitoring of approved codes of conduct)

(b)2,000万ユーロ又は全世界年間売上高4パーセント以下の制裁金(5、6項)
次の条文の違反行為

  • 5、6、7、9条における、同意の条件を含む基本的取扱い原則

  • 12~22条におけるデータ主体の権利

  • 44~49条に従った第三国又は国際機関の取得者への個人データ移転

  • 9章に基づき採択された加盟国の国内法の義務

  • 取扱いに関する58条2項による監督機関の命令の不遵守、又は58条1項に違反してアクセスの提供を履行しないこと

刑事責任

 GDPR第84条では、第83条による制裁金を欠く場合には罰則が必要と規定している。しかし、上記の通り制裁金に関する条文は多岐にわたっており、それ以外の場合とは何を指すのかが不明である。これほど巨額な制裁金を科すにも関わらず、刑事責任については各国裁量というのはバランスが取れていないようにも思われる。

まとめ

1)民事責任については、損害概念のとらえ方いかんでは、責任を負うべき範囲が、非常に広汎になる可能性がある。
2)制裁金については、対象行為が広汎に過ぎることに加え、高額に過ぎる。
3)刑事罰については国家間で一貫性がない。
 これにより、EU域内に拠点を持ち、EEA域外にEU市民の個人データを移転するなどGDPRの適用を受ける企業は、何をしたらどういう罰則が科されるのか予見しづらく、過剰な対策をせざるを得ない傾向にあるのではないだろうか。確かに、高額な制裁金を科される可能性がゼロではないが、これだけ高額な制裁金を科すに際しては、十分な事前説明や反証の機会等のプロセスを経ることも想定されることである。
一番考えなくてはならないのは、プライバシー権と個人情報保護との関係を明確にし、なぜプライバシー権が重要で、最も保護される領域は何かについての原理的考察を行うことだと考える。たとえば英米の判例法は、パッチワークでプライバシー権を十分に保障しないといわれているが、そこに意味はまったくないのか。今一度、何が我々の権利で一番保護されなければならないものかという点から考える必要があるのではないか。
 個人情報保護についても、基礎理論の研究がなされないままに保護に対してのみ対応に追われ、いかなる個人情報保護違反行為に対し、民事制裁、刑事制裁、行政上の制裁金制裁が妥当なのかを決する「価値基準」を育む機会が持たれなかったのではないだろうか。
欧州に学ぶことは多いが、わが国自身の足元も見つめ、企業活動や社会全体にプラスになるかという視点も持ったうえで議論する必要を感じている。たとえば、今回のわが国の個人情報保護法の改正では保有個人情報が5,000件以上を対象とするという要件が撤廃されたが、これはEUによる十分性審査を念頭に置いたものであっただろう。ところが、GDPRは逆に小・中規模事業者には別に配慮すると規定をいれているところがある。EUに若干振り回されすぎてしまったという印象を受けている。

 

本内容は、2016年12月6日に開催されたJIPDECシンポジウム「第4次産業革命と情報連携-これからの情報活用とプライバシーを考える-」での講演内容を取りまとめたものです。