プライバシー権(4)最判平成20年3月6日・住基ネット訴訟

  目次

【最判平成20年3月6日・住基ネット訴訟】

判旨

  事実の概要

本件は,被上告人らが,行政機関が住民基本台帳ネットワークシステム(以下「住基ネット」という。)により被上告人らの個人情報を収集,管理又は利用(以下,併せて「管理,利用等」という。)することは,憲法13条の保障する被上告人らのプライバシー権その他の人格権を違法に侵害するものであるなどと主張して,被上告人らの住民基本台帳を保管する上告人に対し,上記の人格権に基づく妨害排除請求として,住民基本台帳からの被上告人らの住民票コードの削除を求める事案である。

原審の適法に確定した事実関係の概要等は,次のとおりである。

(1) 住民基本台帳法(以下「住基法」という。)は,平成11年法律第133号により改正され,住基ネットが導入された。住基ネットの概要は,次のとおりである。

ア 目的

従前,各市町村の保有する住民基本台帳の情報は当該市町村内においてのみ利用されていたが,住基ネットは,市町村長に住民票コードを記載事項とする住民票を編成した住民基本台帳の作成を義務付け,住民基本台帳に記録された個人情報のうち,氏名,住所など特定の本人確認情報を市町村,都道府県及び国の機関等で共有してその確認ができる仕組みを構築することにより,住民基本台帳のネットワーク化を図り,住民基本台帳に関する事務の広域化による住民サービスの向上と行政事務の効率化を図ることを目的とするものである(住基法6条,7条13号,30条の5~30条の8等)。

イ 住民票コード

市町村長は,個人を単位とする住民票を世帯ごとに編成して,住民基本台帳を作成しなければならず(住基法6条1項),その住民票には住民票コードを記載しなければならない(同法7条13号)。都道府県知事は,総務省令で定めるところにより,あらかじめ他の都道府県知事と協議して重複しないよう調整を図った上,当該都道府県の区域内の市町村の市町村長ごとに,当該市町村長が住民票に記載することのできる住民票コードを指定し,これを当該市町村長に通知する(同法30条の7第1項,2項)。上記総務省令に当たる同法施行規則においては,住民票コードの指定は,都道府県知事が,無作為に作成された10けたの数字及び1けたの検査数字を組み合わせて定めた数列のうちから無作為に抽出することにより行うものとされている(同法施行規則1条,14条)。市町村長は,いずれの市町村においても住民基本台帳に記録されたことがない者について新たに住民票の記載をする場合は,都道府県知事から指定された上記の住民票コードのうちから一を選択して住民票に記載し(同法30条の2第2項),いずれかの市町村において住民基本台帳に記録された者について住民票の記載をする場合は,直近に住民票の記載をした市町村長が記載した住民票コードを記載する(同条1項)。

ウ 本人確認情報

住基ネットによって管理,利用等される個人情報である本人確認情報は,住民票の記載事項(住基法7条)のうち,①氏名(1号),②生年月日(2号),③性別(3号),④住所(7号)(以上①~④を併せて,以下「4情報」という。)に,住民票コード(13号)及び住民票の記載に関する事項で政令で定めるもの(以下「変更情報」という。)を加えたものである(同法30条の5第1項)。変更情報とは,具体的には,異動事由(「転入」,「出生」,「転出」,「死亡」等),異動年月日及び異動前の本人確認情報である(同法施行令30条の5)。

エ 住基ネットの仕組み

市町村には,既存の住民基本台帳電算処理システム(以下「既存住基システム」という。)のほか,既存住基システムと住基ネットを接続し,その市町村の住民の本人確認情報を記録,管理するシステムであるコミュニケーションサーバが設置され,本人確認情報は,既存住基システムから上記サーバに伝達されて保存される。都道府県には,区域内の全市町村のコミュニケーションサーバから送信された本人確認情報を記録,管理するシステムである都道府県サーバが設置されている。都道府県知事は,総務大臣の指定する者(以下「指定情報処理機関」という。)に本人確認情報処理事務を行わせることができ(住基法30条の10第1項柱書き),指定情報処理機関には,全都道府県の都道府県サーバから送信された本人確認情報を記録,管理する全国サーバが設置されている。都道府県知事から指定情報処理機関に送信された本人確認情報は,全国サーバに保存される(同法30条の11)。オ本人確認情報の管理,利用等

() 市町村長は,住民票の記載,消除又は4情報及び住民票コードの記載の修正を行った場合,本人確認情報を都道府県知事に通知する(住基法30条の5第1項)。都道府県知事は,通知された本人確認情報を磁気ディスクに記録し,これを原則として5年間保存しなければならない(同法30条の5第3項,同法施行令30条の6)。

() 市町村長は,条例で定めるところにより,他の市町村の市町村長その他の執行機関から事務処理に関し求めがあったときは,本人確認情報を提供する(同法30条の6)。

() 都道府県知事は,同法別表に掲げる国の機関等,区域内の市町村の市町村長その他の執行機関又は他の都道府県の執行機関等から,法令又は条例によって規定された一定の事務の処理に関し求めがあったときは,政令又は条例で定めるところにより,本人確認情報を提供する(同法30条の7第3項~6項)。

() 都道府県知事は,統計資料の作成など法令に規定する一定の事務を遂行する場合には,本人確認情報を利用することができる(同法30条の8第1項)。

() 同法別表の改正等により,住基ネットの利用による本人確認情報の提供及び利用が可能な行政事務は,平成17年4月1日現在で275事務となっている。現行法上,これらの行政事務において取り扱われる個人情報を一元的に管理することができる機関又は主体は存在しない。また,指定情報処理機関は,行政機関等に対してその求めに応じ本人確認情報を提供することが予定されているが(同法30条の10),指定情報処理機関には行政機関等からその保有する他の個人情報を収集する権限は付与されていないから,指定情報処理機関がこれらの個人情報を本人確認情報と結合することはできない。

カ 本人確認情報の目的外利用

() 住基法別表に規定する事務等を行うため法令等の規定に基づき本人確認情報の提供を受けた市町村長その他の受領者(同法30条の33)は,当該事務処理の遂行に必要な範囲内で,受領した本人確認情報を利用し,又は提供するものとされ,当該事務の処理以外の目的のための利用又は提供は禁止されている(同法30条の34)。

() 行政機関は,特定された利用目的の達成に必要な範囲を超えて個人情報を保有してはならず(行政機関の保有する個人情報の保護に関する法律〔以下「行政個人情報保護法」という。〕3条2項),行政機関の長は,法令に基づく場合を除き,保有個人情報を目的外に利用し,又は提供してはならないとされている(同法8条1項)。

() 本人確認情報を保有する行政機関が,上記()で許される範囲を超えて,住民票コードをマスターキーとして用いて本人確認情報を他の個人情報と結合すること(以下「データマッチング」という。)は,住基法30条の34に規定する職務上の義務に違反する行為に当たり,懲戒処分の対象となる(国家公務員法82条,地方公務員法29条)。

行政機関の職員が,データマッチングなど上記()の範囲を超える利用のために個人の秘密に属する事項が記録された文書等を収集した場合には,「その職権を濫用して,専らその職務の用以外の用に供する目的で」行ったとき(行政個人情報保護法55条)に当たり,刑罰の対象となる。

指定情報処理機関の役員及び職員(住基法30条の17第3項),本人確認情報の提供を受けた市町村,都道府県又は国の機関等の職員が,その知り得た本人確認情報に関する秘密を他の機関等に漏えいした場合には,公務員の守秘義務違反に該当し,刑罰の対象となる(国家公務員法109条12号,100条1項,2項及び地方公務員法60条2号,34条1項,2項)。本人確認情報の電子計算機処理等に関する事務に従事する市町村の職員等(住基法30条の31第1項,2項)が,その事務に関して知り得た本人確認情報に関する秘密等を漏えいする行為は,住基法42条に規定する刑罰の対象となる。また,行政機関の職員等が,正当な理由がないのに,個人の秘密に属する事項が記録された個人情報ファイルを第三者に提供する行為も,刑罰の対象となる(行政個人情報保護法53条)。

キ 監視機関

住基法は,都道府県に本人確認情報の保護に関する審議会を設置し(同法30条の9第1項,2項),また,指定情報処理機関に本人確認情報保護委員会を設置すること(同法30条の15第1項,2項)を定め,上記審議会又は委員会において,それぞれ当該都道府県又は指定情報処理機関における本人確認情報の保護に関する事項を調査審議させることとしている。

ク 住基カード

住民基本台帳に記録されている者は,当該市町村の市町村長に対し,自己に係る氏名及び住民票コードその他政令で定める事項が記録された住民基本台帳カード(以下「住基カード」という。)の交付を求めることができる(住基法30条の44第1項)。市町村長その他の市町村の執行機関は,住基カードを,条例の定めるところにより,条例に規定する目的のために利用することができる(同法30条の44第8項)。

(2) 住基ネットの導入により,住民にとっては,① 一定の要件のもとで住基カードを添えて転入届を行う場合,従来必要とされていた転出証明書の添付が不要となり転出地の市役所等に出向く必要がなくなること(住基法24条の2第1項),② 全国のどの市町村でも住民票の写しを入手できるようになること(同法12条の2第1項),③ 婚姻届及び離婚届の提出,旅券の交付申請,戸籍抄本の交付請求,所得税の確定申告など一定の場合に,従来必要とされていた住民票の写しの提出が不要となること(行政手続等における情報通信の技術の利用に関する法律3条,関係行政機関が所管する法令に係る行政手続等における情報通信の技術の利用に関する法律施行規則4条1項,7項)などの利点がある。他方,市町村にとっては,市町村間の通信を郵送に代えて電気通信回線を通じて行うことにより事務の効率化を図ることができるほか,上記①~③に対応して,住民票の交付事務等に伴う負担の軽減及び行政経費の削減を図ることができるなどの利点がある。

(3) 本人確認情報の漏えい防止等の安全確保の措置として,技術的側面では,住基ネットシステムの構成機器等について相当厳重なセキュリティ対策が講じられ,人的側面でも,人事管理,研修及び教育等種々の制度や運用基準が定められて実施されており,現時点において,住基ネットのセキュリティが不備なため本人確認情報に不当にアクセスされるなどして本人確認情報が漏えいする具体的な危険はない。

 

  原審の判断

原審は,次のとおり判断して,被上告人らの上告人に対する住民票コードの削除請求を認容した。

(1) 自己の私的事柄に関する情報の取扱いについて自ら決定する利益(自己情報コントロール権)は,人格権の一内容であるプライバシーの権利として,憲法13条によって保障されていると解すべきである。一般的には秘匿の必要性の高くない4情報や数字の羅列にすぎない住民票コードについても,その取扱い方によっては,情報主体たる個人の合理的期待に反してその私生活上の自由を脅かす危険を生ずることがあるから,本人確認情報は,いずれもプライバシーに係る情報として法的保護の対象となり,自己情報コントロール権の対象となる。

(2) 本人確認情報の管理,利用等は,正当な行政目的の実現のために必要であり,かつ,その実現手段として合理的である場合には,自己情報コントロール権の内在的制約又は公共の福祉による制約により,原則として自己情報コントロール権を侵害するものではないが,本人確認情報の漏えいや目的外利用などにより住民のプライバシーないし私生活上の平穏が侵害される具体的な危険がある場合には,上記の実現手段としての合理性がなく,自己情報コントロール権を侵害するものというべきである。

(3) 現行法上,データマッチングは,本人確認情報の目的外利用に当たり,罰則をもって禁止される。しかし,行政個人情報保護法は,行政機関の裁量により利用目的を変更して個人情報を保有することを許容しており(同法3条3項),この場合には本人確認情報の目的外利用を制限する住基法30条の34に違反することにはならない。また,行政機関は,法令に定める事務等の遂行に必要な限度で,かつ,相当の理由のあるときは,利用目的以外の目的のために保有個人情報を利用し又は提供することができるから(行政個人情報保護法8条2項2号,3号),住基法による目的外利用の制限は実効性を欠く。さらに,住民が住基カードを使って行政サービスを受けた場合,その記録が行政機関のコンピュータに残り,それらを住民票コードで名寄せすることが可能である。

これらのことを考慮すれば,行政機関において,個々の住民の多くのプライバシー情報が住民票コードを付されて集積され,それがデータマッチングされ,本人の予期しないときに予期しない範囲で行政機関に保有され,利用される具体的な危険が生じているということができる。したがって,住基ネットは,その行政目的実現手段として合理性を有しないから,その運用に同意しない被上告人らに対して住基ネットを運用することは,被上告人らのプライバシー権ないし自己情報コントロール権を侵害するものである。

(4) 被上告人らに対する住基ネットの運用は,制度自体の欠陥により被上告人らの人格権を違法に侵害するものであって,その人格的自律を脅かす程度も相当大きいと評価でき,それが続く場合には被上告人らに回復し難い損害をもたらす危険がある。このような場合には,権利を侵害されている者は侵害行為の差止めを求めることができると解するのが相当であるところ,大阪府知事に対する通知の差止めは,行政機関の行為であるが,事実行為であり,民事訴訟において差止めを求めることができると解される。そして,住民票コードの削除請求は,実質は差止めを実効あるものとするための原状回復行為であるから,差止請求と同様に許されるものと解される。