銀行が保有する顧客情報へのアクセス履歴が、保有個人データに該当するか(開示の対象になるか)が争われた事例。
事案の概要
本件は、原告(X)が、銀行(被告、Y)に対し、Yが保有するXの預金口座に関するアクセス履歴(本件情報)*1が、保有個人データ*2に当たるとして、個人情報保護法33条1項*3に基づいて開示を求めた事案である。
詳しい事情は不明であるが、Xは、配偶者がYの従業員であり、配偶者が、Xの預金情報に不正にアクセスしたという不法行為を明らかにするために、Yに対してアクセス履歴の開示を求めたと推察される。
原審(東京地判令4.6.10)は、保有個人データに当たらないとして棄却した。
ここで取り上げる争点
本件情報の保有個人データ該当性。
裁判所の判断
Yの管理する情報について、
Yは、顧客情報を管理するため、顧客の属性、取引状況等の情報をまとめたCIF(Customer Information File)を作成していること、すなわち、顧客ごとにCIF番号を付し、氏名、カナ氏名、住所、生年月日、電話番号、勤務先名、取引口座番号、残高、取引明細といった情報を管理し、これらについてコンピュータを用いて検索することができるように体系的に構成したデータベースを構築していること、同データベースは、「個人情報データベース等」(個人情報保護法2条4項(令和3年改正後は16条1項))に当たること、Yにおいては、従業員が上記データベースに格納された情報にアクセスをした際の日時、アクセスに使用された端末等に関する情報がアクセスログとしてコンピュータ上に記録されること(もっとも、アクセスログに記録されるアクセス履歴の具体的内容は詳らかではない。)及びこのようなアクセスログを抽出することは可能であることが認められる。
Y自身が個人情報データベース等を保有していることを前提としつつ、アクセス履歴が個人データに当たるのか、ひいては個人情報に当たるのかが問題となった。裁判所は、個人データ、個人情報の定義を示しつつ、
個人情報であるというためには、個人識別性の要件が満たされること、すなわち、(a)生存する個人の個人識別情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの、(b)他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの、(c)個人識別符号が含まれるもののいずれかであることが必要である。
ところが、特定の顧客のCIFへのアクセス履歴は、これにより当該顧客を識別することができるものとはいえず、個人識別性の要件を満たすとはいえない。
したがって、アクセス履歴は、アクセスの対象となった顧客の個人情報に当たるとは認められない。
なお、この点については、下記のとおり、原審は同じく否定しつつもその理由が異なる。
Yは、上記データベースにおける情報にアクセスした際のアクセス履歴が上記データベースを構成する情報であることを否認するところ、仮に、上記データベースにおける情報にアクセスした際のアクセス日時、アクセス先の情報、アクセスした者の氏名、使用された端末に関する情報がコンピュータ上に記録されることがあるとしても、かかる情報が、顧客情報の日常的な管理のために必須であるということはできないのであるから、特定の顧客に関する個人情報を検索することができるように体系的に構成した上記データベースの一部を構成するものと推認することはできない。また、Yにおいて、顧客ごとにCIF番号を付して構築した上記データベースのほかに、特定の個人情報を検索できるように体系的に構成した個人情報データベース等を保有しているとか、かかる個人情報データベース等に顧客の保有する預金口座に関する情報のアクセス履歴が含まれていることを認めるに足りる証拠はない。
(中略)
これに対し、Xは、データベースは、データベースを構成するレコードの操作に関する操作日時と操作者を履歴としてもっており、データベースとはいわばレコードとその操作履歴の集合体ともいえるから、これは個人情報保護法にいう「個人データ」に該当し、データベースレコードの操作の履歴は個人の権利権益を保護するために必要な情報として開示すべきものである旨主張する。しかし、データベースを構成するデータの操作に関する履歴がコンピュータにおいて記録されており、また、これがデータの正確性を確認するために利用し得る情報であるからといって、記録された当該情報を検索することができるように体系的にデータベースが構成されているとは限らないのであり、本件証拠上、本件情報がYの有する個人情報データベース等を構成する情報であると認めるに足りる証拠はない。
以上より、保有個人データ該当性が否定されたため、Xの請求は棄却された。
若干のコメント
保有個人データの開示、訂正、利用停止請求は、個人情報保護法の制定段階から定められていましたが、裁判上、具体的権利として行使できるかどうかということが不明確で、否定した裁判例、肯定した裁判例がありましたが、平成27年改正により、具体的権利として行使することができることが明文化されました(法39条1項参照)。
本件では、銀行が保有する顧客情報が個人情報データベース等(法16条1項)であることは争いがないものの、そこへのアクセス履歴の法的性質が問題となりました。原審、控訴審ともに保有個人データ該当性を否定したという結論は同じでしたが、原審は、アクセス履歴がコンピュータ上で管理されているとしても、「個人情報を検索することができるように体系的に構成したデータベースの一部を構成するものと推認することはできない」として、個人情報データベース等の該当性を否定したのに対し、控訴審は、アクセスログの抽出は可能であるとしつつも「特定の顧客のCIFへのアクセス履歴は、これにより当該顧客を識別することができるものとはいえず、個人識別性の要件を満たすとはいえない」として、個人情報の定義(個人識別性)を否定しています。
しかし、アクセス履歴単体としてみれば、特定個人を識別できる情報を含んでいないとしても、どの顧客のCIFにアクセスしたのかという履歴が抽出できるのであれば、少なくとも「容易照合」(法2条1項1号カッコ内)ができるので、アクセス履歴も個人情報に当たるのではないかという疑問があります。
ちなみに原審の判断は、アクセス履歴についてデータベースの要件(検索できるように体系的に構成したものか)を否定していますが、Googleマップについて個人情報データベース等の該当性を否定した事例として東京地判令5.10.4があります。
