第535号コラム:佐藤 智晶 幹事(青山学院大学 法学部 准教授、東京大学公共政策大学院 特任准教授)
題:「情報の流出を再考する」

本コラムでは、毎日のように目にする情報の流出等の事案について再考し、デジタル・フォレンジック技術の利用可能性について少し言及したい。

情報流出や漏洩に関係するニュースを目にしても、もはやほとんど驚かなくなりつつある。そのくらい頻繁に、情報流出や漏洩は報じられている。たとえば、“Lexis.com”の“English Language News (Most recent 90 Days)”というデータベースを使って検索すると、2017年4月21日から22日までの1日だけで48件、2017年3月23日から4月22日までの1ヶ月で2,735件の記事がヒットする。また、“Google News”で「個人情報の流出」という語句を検索すると、1ヶ月で180件の記事がヒットした(2017年4月22日)。

本コラムでは、情報流出や漏洩に驚かなくなっているから関心が低くなるとか、十分な対策が要らなくなる、ということを言いたいわけではない。むしろ、情報の流出や漏洩について状況を真摯に捉え直してみると、情報に個人情報が含まれるか否かにかかわらず、デジタル・フォレンジック技術の利用可能性が高まっているのではないか、ということである。

日本では、個人情報の流出に伴う損害賠償の額がどのくらいになるのか、という点に焦点が集まりがちである。もちろん、過失や法益侵害が認められそうな事案についてではあるが、非常に興味深い。なぜならば、そこではいつも、「過去」の判例等に照らして額の多寡が争われているからである。少し冷静に考えれば、過去と現在の状況が決定的に異なることに気付かされる。すなわち、当時、情報の流出は比較的稀であり(少なくとも、毎日のように情報の流出や漏洩のニュースを目にするような状況ではなかった)、そもそも、われわれは今日ほど、さまざまなデータ(個人情報を含む)を自ら自然に提供し、サービス自体や付加サービスの提供を受けるような状況ではなかったはずである。確かに、情報が流出ないし漏洩した事実はそれだけで極めて嫌な話ではあり、精神的に嫌な気持ちにはなるかもしれない。それでも、われわれは毎日、データを提供し続けている。具体的な被害や不利益にまったく気付かなかったり、実害をまったく被っていないことさえ多くある。それはある意味当然のことで、これだけ情報の流出や漏洩が頻繁に起こるような状況では、どの情報が、誰の行為ないしどの事案によって実際に流出し、どのような具体的被害が生じているのかを把握しにくいからである。とくに、情報流出に伴う不安などは、常にあると言っても過言ではなく、ある情報流出のせいで追加的な不安が生じうるとしても、その証明は必ずしも簡単ではないと思われる。

このコラムで申し上げたいのは、情報の流出や漏洩を理由とする損害賠償を一切認めるべきではない、ということでは決してない。仮に認められるような事案があるとしても、損害の中身を構成する慰謝料の額は、当時の判例とは必ずしも同様には考えにくいのではないか、ということを問題提起したいだけである。なお、念のために申し上げると、2018年6月20日の千葉地裁、東京地裁の事案では損害賠償責任が否定されている模様であり、2018年10月8日付けの英ガーディアン紙による報道でも、データの不正利用を理由とする損害賠償は損害がないことを理由に否定された模様である。

(“it is arguable that Google’s alleged role in the collection, collation, and use of data obtained via the ‘Safari workaround’ was wrongful, and a breach of duty”. But it found that Google’s actions did not cause damage to users, and that it was impossible to lump the millions of potentially affected people together into one class for the purposes of a lawsuit. The judgment concludes that: “The damage sustained and the compensation recoverable by each represented individual are modest at best. The main beneficiaries of any award at the end of this litigation would be the funders and the lawyers, by a considerable margin.”
See Alex Hern and agencies, UK high court blocks mass privacy action against Google, Guardian, Oct. 8, 2018, available at https://www.theguardian.com/technology/2018/oct/08/uk-high-court-blocks-mass-privacy-action-against-google
東京地裁と、英国の高等法院は損害論で責任を否定し、千葉地裁は過失がないことを理由に責任を否定している。

前置きが長くなってしまったが、何よりもまず考えるべきは、情報の流出、漏洩、不正利用を未然に防ぎ、仮に発生したとしても被害の拡大をできる限り抑えることだろう。情報の流出等をこの世からなくすことはできないからこそ、そのリスクをできる限り減らすことが望ましい。デジタル・フォレンジック技術を駆使することで不正利用や情報流出を迅速に検知し、改ざんされない形でその記録を残すことができるのならば、リスクは軽減されうる。それは、フォレンジック技術の普及は、法的に義務づけられるか否かにかかわらず、少しずつ進行していく。

デジタル・フォレンジック技術が普及するまでにはまだ時間がかかるかもしれないが、その流れは止められない。個人情報の流出を再考するとき、損害の算定については過去の判例の使い方について慎重な議論が必要であるし、同時に、デジタル・フォレンジック技術はこれまで以上に重要な役割を果たしていくものと思われる。

【著作権は、佐藤氏に属します】