先日に引き続き高裁の裁判例について検討します。
二 争点
(1) 住基ネットによる控訴人らの権利の侵害の有無(被控訴人らが、住民票コードを控訴人ら住民に割り振り、住民票コードを住民票に記載し、平成一四年八月五日、住基ネットに接続したことにより、控訴人らの主張する権利が侵害されたと認められるか。)
(2) 控訴人らの慰謝料請求権の有無
(3) 控訴人丁川ら四名の差止め請求権の有無と差止め請求の可否
三 争点についての当事者の主張
(1) 住基ネットによる控訴人らの権利の侵害の有無
【控訴人らの主張】
ア 控訴人らの権利
(ア) プライバシーの権利
a 憲法一三条は、国民のプライバシーの権利として自己情報コントロール権(自己情報決定権)を保障している。自己情報コントロール権とは、自己に関する情報を、いつ、どのように、どの程度まで、開示するのかしないのか、及び、利用ないし提供の可否を自ら決定する権利である。国民は、自己に関する個人情報の収集・取得、管理(保有)・利用、開示・提供につき、情報主体によるコントロール権を有する。
したがって、行政機関による個人情報の取扱いが問題となる場面においては、情報主体の「コントロール」(同意・意思決定)が最大限保障されなければならず、行政機関が本人の同意なく国民のプライバシー情報を収集・取得し、保有・利用し、開示・提供することは、原則として違法である。それが例外として許容される場合があるとしても、それは、本人の同意を不要とする程のやむにやまれない利益を達成する必要がある場合でなければならず、あるいは、厳格な合理性を有する正当な目的により行わなければならない。しかも、プライバシーに対しより制限的でない態様でしか許されない。それゆえ、行政機関が、国民のプライバシー情報をこのような要件を満たすことなく収集・取得し、保有・利用し、開示・提供すれば、それは国民のプライバシー権の侵害として憲法違反となる。
b また、国民は、プライバシー権の一環として、公権力から監視され、包括的に管理されない自由権(公権力から一方的に全人格的な管理の客体に置かれないという自由権)を有している。また、プライバシー権は、それが個人の尊厳に由来するものであることから、多様な権利概念を含むものとして認識されるようになった。その中には、平穏生活権も含まれる。平穏生活権は、法的保護に値する人格的利益として観念される。すなわち、人は、他者から、自己の欲しない刺激によって心の静穏を乱されない権利、利益を有する。これらの権利は、プライバシー権が認められるのと同様に、憲法一三条の幸福追求権に基づくものであり、同条により保障されているものである。
(イ) 人格権
憲法一三条は個人の尊厳を保護し、人格権を保護している。人は個人としての尊厳を有し、その人格は最大限尊重されるべきことは論をまたない。人はそれぞれに姓名を持ち、人格を持っているのであって、番号ではない。人を番号で呼び合うようなことは、個人の尊厳を侵害するものである。
イ 住基ネットによる控訴人らの権利の侵害
(ア) プライバシー権の侵害
住基ネットは、すべての国民に一方的に一一桁の住民票コードを付し、そのコードとともに氏名、牛年月日、性別、住所及びそれらの情報の変更履歴が、本人の与り知らないままに、市町村と都道府県・情報センターの間で専用回線をもって構築された住基ネットを流通し、本人確認情報として提供され、利用される。情報センターから国へ提供され、国が利用する事務は、二六四に及ぶ。この間、本人の同意を得られることはまったくなく、本人に選択の余地はまったく与えられない。とりわけ、住基ネットは、住民票コードという「共通番号」の付されたデジタル化された情報であり、その伝播力は大きく、その提供、利用による被害の危険性は、計り知れないものである。そして、住基ネットは、必要性、有用性のないものであり、個人情報漏えいの危険性のあるものである。
このような住基ネットにより、控訴人らの同意なく控訴人らの個人情報を流通・提供・利用することは、憲法一三条により保障されている控訴人らのプライバシー権としての自己情報コントロール権を侵害するものである。
(イ) 公権力から監視、包括的に管理されない自由権、平穏生活権の侵害
住民票コードは、国民全員に対して重複しないように付された個人識別番号であり、多数の行政機関がそれぞれ保有している個人情報を統合し、個人情報を検索するために不可欠のものである。住基ネットによる個人情報は、現状では一応限定されているが、住基法は、政省令に多くを委任しており、将来、住基ネットによる個人情報の拡大を防ぐ保証はない。また、情報が限定されているとしても、そもそも個人の情報を一か所に集中させること自体、その個人の公権力から監視されない権利を侵害するものである。さらに、本人確認情報の送信は、将来のいわゆる国民総背番号制に道を開くものであり、国民総背番号制となれば、まさに監視社会そのものであり、公権力から監視されない権利を侵害するものである。現在の住基ネットでは、公権力から監視されず、包括的に管理されない自由権が侵害される具体的危険性がある。
また、住基ネットにより、住民は、自己の個人情報が、住基ネットで国によって集中的に管理されることにより、それが漏えいされるのではないか、他人に知られたくない自己の情報が不当に利用されるのではないか、ときには公開されるのではないか、との不安感、危惧、危機感を常に抱きながら生活を余儀なくされる。これは、まさに、他者から自己の欲しない刺激によって心の静穏を乱されることにほかならず、これは、生活における精神的平穏の侵害であって、プライバシーの権利の一態様である平穏生活権を侵害するものである。
(ウ) 人格権の侵害
人はそれぞれに姓名を持ち、人格を持っているのであって、番号ではない。人を番号で呼び合うようなことは個人の尊厳を侵害するものである。被控訴人らが、勝手に、一一桁の番号を控訴人らにつけることは、そのこと自体、憲法一三条で保護されている控訴人らの人格権を侵害している。
各行政機関が、その各行政機関ごとに国民の情報を保有することはその限りでやむを得ないものであるが、住民票コードは、そのような限定番号ではなく、一一桁の番号によって、個人の情報が一か所に集められることが可能な共通番号であり、個人情報の蓄積、結合、検索のマスターキーとして使用して、個人情報のデータファイルを作成し、個人のあらゆる行政情報を一箇所にまとめることを可能にするものである。このような住民票コードによって、個人の情報が一か所に集められるのは、行政目的をはるかに超え、その個人を全人格的に管理するものであって、その個人の人格権を侵害するものである。
ウ 住基ネットによる個人情報漏えいの危険性
(ア) 住基ネットによる控訴人らの個人情報の流出の危険性が、次のとおり考えられる。
a ハッカー等による外部からのネットワークへの侵入の危険性
b 運用関係者などによる漏えい等の危険
(a) 住基ネットの運用従事者による情報漏えい等の危険
(b) 公務員等の職権濫用等による情報利用の危険
(c) 民間委託者の不正行為による情報漏えいの危険
(d) バックアップデータの紛失、窃取による情報漏えいの危険
c セキュリティ対策の不整備
(a) ハード面でのセキュリティ対策の不整備
(b) ソフト面でのセキュリティ対策の不整備
(イ) 住基ネットの安全性は、コンピュータ通信網全体が外部や内部からの情報取得権限のない者が磁気ディスクに記録された情報を取得することができないようになっているかどうかにかかっている。通信網につながるすべてのコンピュータの安全性が技術面においても運用面においても確保されていなければ、結局、住基ネットの安全性は十分に確保されているとはいえず、全国の各市町村に置かれているすべてのCSを含めて十分なセキュリティが確保されなければならない。CSの安全性が不十分な市町村が一つでもあれば、当該市町村の住民の個人情報のみならず、すべての国民の個人情報が流出することになる。住基ネットの各市町村のセキュリティ体制には重大な欠陥があり、本人確認情報に不当にアクセスされたり、同情報が漏えいしたりする具体的危険性があるというべきである。住基ネット稼働下では、個人情報流出の危険は飛躍的に高まった。
(ウ) 長野県本人確認情報保護審議会の調査結果をみても、担当職員がCSの安全性の不十分さを感じている。また、長野県が行った住基ネットの侵入実験の結果、通信網に幾つかの脆弱性が見られ、住基ネットの安全性の程度は平均以下で、平均的なコンピュータエンジニアなら誰でも侵入し、情報を盗んだり損害を与えることができることが実証された。すなわち、パスワードの設定に問題があったほか、サーバのOSが、既知の脆弱性を含んだまま運用されており、一定の条件の下においては、一般に入手可能なツールによるCSの管理者権限を取得することが具体的に可能な状況にあった。そして、管理者権限を奪取すると、住基ネット網を介して各市町村CSや指定情報処理機関のサーバ内の本人確認情報が閲覧され、漏えいしたり、改ざんされたりする危険があることが実証された。
また、通信網やCSの安全性にとって最も脅威なのは、人間そのものである。末端の職員まで統一した考え方で十分な教育を受けていなければ、情報が持ち出されてしまう可能性がある。そして、全国の多数の自治体において、セキュリティが職員の信頼関係のみに支えられており、各職員の信頼関係が悪用され情報が持ち出される危険性は高く、また、それを防ぎ得る十分な体制は全く整っていない。
(エ) 総務省告示による「電気通信回線を通じた送信又は磁気ディスクの送付の方法及び磁気ディスクへの記録及びその保存の方法に関する技術的基準」(平成一四年総務省告示第三三四号、平成一五年同第三九一号、同第六〇一号。以下「セキュリティ基準」という。)により、各自治体における住基ネットの運用及びセキュリティ(正確性、機密性及び継続性の維持)について一定の技術水準を求めている。しかしながら、以下のとおり、各自治体の運用状況は、セキュリティ基準からほど遠いものであり、セキュリティの上で欠陥がある。
a 重要機能室(電子計算機室、磁気ディスク等保管室、受電設備等の設備を設置する室、空気調和機及びその付属設備を設置する室)の配置及び構造として、電子計算機室及び磁気ディスク等保管室は他の部屋と区別して専用の部屋とすること(セキュリティ基準第三-一-(2)エ)、重要機能室への入室者を限定し入退室管理カードによって重要機能室に入退室する者が入室する権限を有すること等により、入退室の管理を適切に行うこと(同第四-(1))とされている。このため各自治体は住基ネットのCSの管理運用のため庁内に重要機能室を設置しているが、その運用は杜撰であり、セキュリティ基準を満たしていない。例えば、被控訴人八尾市では、重要機能室への入退室の管理簿もなく、重要機能室への入退室を記録する管理簿に記入するなどすることなく入退室しているなど、重要機能室への入退室の厳正なチェックが行われていない。被控訴人吹田市においては、平成一七年一月まで入退室管理簿は作成されず、その作成後それに実際に記録されているかどうかは、確認されていないし、CSを設置した重要機能室の入退室の管理も十分でないなかで、その運用上の問題が指摘されている。柏原市においては、重要機能室の入退室管理簿は企画情報政策室が管理しているが、企画情報政策室の職員の名前がタイプ印刷され、一日のうち何度か出入りしても、一度しか記入する余地はなく、職員の入退室はあたかも出勤簿のような体裁となっており、業者が入室する場合も本人に記入させるだけで偽名で入室されれば誰が入退室したか分からない状況である。
b アクセスログ(履歴)の確認については、セキュリティ基準によれば、端末機の操作者について正当なアクセス権限を有していることを操作者識別カード及びパスワードにより確認する(同第四-四-(2))とともに、住基ネットを操作した履歴を磁気ディスクに記録し、法令を遵守していることを監視する等、その利用の正当性について確認すること(同第四-四-(6))とされており、このためにはアクセスログの確認が必要であるが、木津町では、技術上の問題もあり、業者任せにして、アクセスログをほとんどチェックしていないし、柏原市においては、ログオン失敗歴も定期的にチェックしているとされるが、本来管理責任者である住民課長が自らしているのではなく、住民課の誰かがしているというにすぎない状態であり、被控訴人八尾市においても、責任者たる市民課長は自らアクセスログをチェックできず、操作主任に一任している。このように、各自治体におけるアクセスログの確認は、セキュリティ基準を満たしているとはいえないものである。
c CSの保守・点検は、一般に地方自治体の職員はコンピュータ技術について専門的な知識を有せず、せいぜい運用上の知識やセキュリティに関する研修を受けている程度であるため、民間の業者に委託するほかはないところ、セキュリティ基準によれば、住基ネットの開発、変更、運用、保守等について、委託を行う場合は、委託先事業者等の社会的信用と能力を確認し(同第四-一〇-(1))、委託事業の一部を第三者に委託する場合は、その制限、事前承認及び承認に関する事項を委託先事業者と取り交わすこととされ(同第四-一〇-(3))、複数の委託業者が関わる場合は、分担して行う範囲及び責任の範囲を明確にするとともに、作業上必要な情報交換を行えるような措置を講ずることとされている(同第四-一〇-(4))。多くの地方自治体では、民間委託業者は住基ネットの運用、保守等について、第三者の事業者に再委託しているが、被控訴人吹田市においては、事前の再委託承認を得ることなく自治体が知らない間に再委託がなされており、このため受託業者は謝罪文を作成しているし、加茂町においては、実情は、業者に任せた上、作業報告書に基づいて報告を受けている程度であり、作業報告書に書かれている以上の詳細な確認はなされておらず、木津町においては、再委託のセキュリティの状況についても、業者が作成する作業報告書の内容以上のことは確認されていない。
(オ) 兵庫県内の市町におけるCSの管理体制、安全性を点検するため、「本人確認情報提供に当たってのセキュリティ体制チェックリスト」(以下「兵庫県チェックリスト」という。)を各市町に配布し、その回答を得たが、その回答をみると、市町の管理体制には重大な欠陥があることが明らかになった。
すなわち、被控訴人らは、総務省が行った「住民基本台帳ネットワークシステム及びそれに接続している既設通信網に関する調査票(以下「総務省チェックリスト」という。)を活用して各市町村における管理体制の徹底を図っており、特に重要な重点七項目については、すべての市町村において三点満点を達成したから、管理体制は万全であると主張するが、兵庫県チェックリストには、重点七項目と重複する項目があり、その項目につき、姫路市、加古川市、猪名川町、芦屋市、伊丹市及び宝塚市がクリアしていないとの回答をしている。したがって、市町には、セキュリティ基準を満たしていないところがあり、
伊丹市についてみると、
(1)重要機能室の鍵又は入退室のカードの管理責任者を定めていない、
(2)CSが存在するLANの通信網機器の物理的配線状況を管理していない、
(3)通信網機器の保守内容及び点検項目を明確にしていない、
(4)重要機器に対する保守を行う場合に職員が立ち会っていない、
(5)データのバックアップの実施記録簿を保管していない、
(6)自己チェックリストによる点検を定期的に行っていない、
(7)委託業者の管理も極めて不十分であり、庁内LANの管理が極めて杜撰である、等の多数の問題があり、信じ難い管理状況にある。このように、市町の管理体制が不十分なことは明らかで、住基ネットの安全性が危機的な状況にある。
(カ) 国立市の住基ネット切断
国立市は、平成一四年一二月二六日に、住基ネットを切断している。国立市は住基ネットで流通する住民の情報の管理に責任を持てないことをその理由として挙げている。そして、国立市長は、その問題点として、住民から届けられた個人情報の管理者として、住基ネットで拡散する個人情報が、どこでどのように取得、管理、消去されるのかを、具体的に把握できず、かつ、その安全性を確認できない、住基ネットに参加するということは、情報漏えいの危険性が付きまとうが、その危険性を上回るようなメリットがあるのだろうか等と指摘し、住基ネットの切断によって、住民に対するサービスの面でも、国立市の住民関係の行政事務の面でも、国の機関や他の自治体との関係、それらの機関の事務の面においても、いずれも特段の支障は生じないとしている。
(キ) 以上のところからすれば、住基ネットは本人確認情報の漏えいや不正利用される具体的な危険がある。
エ 住基ネットの必要性・有用性の不存在
住基ネットを推進してきた総務省は、住基ネットの存在意義として、
(1)国の行政機関等に何らかの申請、届出をするときに住民票の写しの添付が不要となること、
(2)住基カードを所持する者は、全国どこの市町村からでも住民票の写しの交付を受けられること、
(3)住基カードを持っている人については、市町村を越えた転居の際に、転出市町村役場へ行く必要がなく、転入市町村役場へ一回行けばすむことを指摘し、宣伝してきた。
しかしながら、
(1)については、一般市民が国の行政機関等へ申請、届出をする場合はほとんどない。一般市民が住民票の写しを必要とする場合は、パスポートの取得や運転免許証の取得の場面である。しかしこれらの場合、通常は同時に戸籍謄抄本も必要とされ、いずれにしても一般市民は市町村役場へ行かなければならない。
(2)については、一般市民にとって、住民票の写しを必要とする場合自体ほとんどない。また、住基カードを所持する場合でも、住民票の写しの交付を受けるためには、どこかの市町村役場へは行かなければならない。さらに、昨今では、ほとんどの自治体で、夜間サービスや、土曜日、日曜日の行政サービスを実施している。
(3)については、一般市民が市町村を越えて転居することが頻繁にあるとは通常考えられない。また、一生で数回あるかないかの転居の際、転出先、転入先の各市町村役場に出向くことを不便と感じている住民は少ない。さらに、現在でも転出届は、郵送で可能であり、転出元の市町村役場に出向く必要はない。転出地での住民票の情報を記載した転出証明書が必要な場合も、郵送によって取得することが可能である。したがって、総務省の強調する、住民にとっての利益はほとんどない。
さらに、総務省の作成した住基ネットに関する条例規定例によれば、各市町村において、各個人の健康診断結果、血液型、公共施設予約サービス等に利用することが想定されている。そうなると、氏名、住所、生年月日、性別そして住民票カードという情報だけが住基ネットを流れるのではなく、各個人が知らない間に、それぞれの個人の様々な情報が、市町村から都道府県、そして情報センター、国へと住基ネット上を流されることになる。しかも、住基ネットは、そうした情報が流されることをその当該個人が確認することができないシステムである。
以上のとおり、住基ネットには、国民にとって必要性や有用性が認められない。
オ 以上のところからすれば、住基ネットは、控訴人らの権利を違法に侵害しているというべきである。