引き続き高裁例、被控訴人の主張から検討していきます。
【被控訴人らの主張】
ア 控訴人ら主張の権利と住基ネットの非侵害性について
(ア) プライバシー権について
a プライバシーは、憲法一三条に規定された幸福追求権によって基礎づけられる法的保護に値する人格的利益である。しかし、プライバシーの概念は多義的であるとともに、プライバシーは、一般人を基準として通常他人に知られたくないか否かによって保護範囲が左右されるものであるから、同じ情報であっても、利用される場面あるいは公表される相手方によってその侵害となるか否かが左右される外延の極めて不明確なものであり、権利としての明確性がない。プライバシーの権利は、その概念の不明確さゆえに、それ自体は一個の統一的な憲法上の権利とまでは認められないというべきである。
プライバシーの法的保護の内容は、みだりに私生活(私的生活領域)へ侵入されたり、他人に知られたくない私生活上の事実又は情報を公開されたりしない利益として把握されるべきであって、控訴人らが主張するように、プライバシーに属する情報をコントロールすることを内容とする権利を含むものとは認められない。
また、公権力から監視されない権利を含むものでもない。
控訴人らが主張する自己情報コントロール権は、実定法上の根拠があるとはいえない。
行政機関の保有する個人情報の保護に関する法律(以下「個人情報保護法」という。)一二条、二七条、三六条において、保有個人情報につき、本人からの開示請求権、訂正請求権及び利用停止請求権が明文で認められたが、これらの規定は自己情報コントロール権を認めたものではない。
また、プライバシー権が、自己情報コントロール権であり、公権力から包括的に管理されない権利であるとしても、その権利の内容や権利の外延については不明確であって、実定法上の権利としての適格性や成熟性を欠いており、到底憲法上の権利と認めることはできない。
したがって、プライバシーについては、人格権としての名誉権等とは異なり、権利性を認めることはできず、排他性を有する人格権であるととらえて名誉権等と同一の差止め請求ができる権利であるとは認められない。
b 仮に控訴人らが主張するようなプライバシーの権利が認められるとしても、住基ネットはそれを侵害するものではない。
住基法においては、その目的(同法一条)にも示されているとおり、
社会生活の基礎となる個人情報(同法七条各号記載の情報)は、
いわば公共領域に属する個人情報であるから、
少なくとも行政機関内部で使用される限り、行政の合理化のため、個人の承諾を要することなく利用できるとの法制度が採られているのであり、この点は平成一一年の住民基本台帳法の改正前と後で何ら変わりないのである。
そして、住民票コードは、住基ネットを構築するに当たり、行政において確実な本人確認をし、迅速かつ効率的な検索を実現するために住民票に記載することとされたものであり、控訴人らが主張するような行政機関が個人情報を一元的に管理するために記載したものではなく、目的以外の使用を禁止され、住民票コードを利用して個人情報を名寄せすることは認められていないのである。
したがって、住基ネットは、控訴人ら主張のプライバシー権(自己情報コントロール権等)を侵害するものではない。
(イ) 公権力から監視、包括的に管理されない自由権、平穏生活権について
憲法一三条により「プライバシー権」が一個の統一的な憲法上の権利として保障されているとはいい難い上、控訴人らが主張する「公権力から監視されない権利」も、その権利の内容、根拠、外延などのいずれをとっても明確ではなく、およそ憲法一三条により保障されているとはいい難い。また、住基ネットがいわゆる国民の総背番号制としてイメージされているものを企図した制度ではない。控訴人らの主張は理由がない。
(ウ) 人格権について
住民票コードは、住基ネットにおいて本人確認を確実かつ効率的に行うために使用される一〇桁の数字及び一桁の検査数字にすぎず、住民基本台帳に記録されている者は、理由のいかんを問わず、住民票コードの記載の変更を請求することができる(住基法三〇条の三第一項)のであるから、住民票コードは、個人の人格的価値とは無関係である。
住民票コードの記載により、控訴人らの人格権及び何らかの人格的利益が侵害されるとはいえない。また、住民票コードを用いてデータの名寄せをすることは禁じられており、この場合には懲戒処分を受けたり、刑事罰を科せられることになるのであって、これらの違法行為がなされることを前提として、その具体的危険性があるとすることはできない。
イ 住基ネットの安全性(セキュリティ対策の構築)
住基ネットにおいては、情報漏えいを防止するための各種の措置がとられ、セキュリティ対策が具体的に講じられている。
(ア) 制度面からの対策
a 都道府県、指定情報処理機関が保有する情報は、法律上、本人確認情報に限定されている(住基法三〇条の五第一項)。
b 本人確認情報の提供を受ける行政機関の範囲や利用目的は限定されているし(同法三〇条の六、三〇条の七第三項ないし第六項、三〇条の八)、本人確認情報の提供を受ける者に対し、目的外の利用又は提供は禁止されており(同法三〇条の三四)、知事及び指定情報処理機関は、法律の規定によらない本人確認情報の利用及び提供を禁止されている(同法三〇条の三〇)。
c 市町村はCSの管理責任を負い、都道府県は都道府県サーバ(都道府県の住民の本人確認情報の保存)と都道府県通信網の管理責任を負い、指定情報処理機関は全国サーバ(全住民の本人確認情報の保存)と全国通信網の管理責任を負い、それぞれ安全性を確保する責任を負っている。
また、総務省は、指定情報処理機関への監督命令等(同法三〇条の二二第一項)、地方公共団体への指導、助言、勧告等(同法三一条)、本人確認情報管理規程の認可(同法三〇条の一八)、セキュリティ基準の策定等の権限を有し、委任知事は、指定情報処理機関に対する指示(同法三〇条の二二第二項)、指定情報処理機関は、委任知事に対する技術的助言等(同法三〇条の一一第七項)の権限を有し、これらの権限により、安全性の確保を担保している。
そして、指定情報処理機関が、国の機関等に本人確認情報の提供を行う際には、協定書を取り交わすこととして国の機関等の責任を明確にし、委任知事は、指定情報処理機関に対し、報告要求等を行うことができ、都道府県及び指定情報処理機関には、本人確認情報保護のための諮問機関が設置されるなど、個人情報の保護を図る制度が確保されている(同法三〇条の二三第二項、三〇条の九及び三〇条の一五)。
d 住民票コードは、無作為の番号で、住民の申請によりいつでも変更できるとし(同法三〇条の三)、さらに、民間部門が住民票コードを利用することを禁止し、行政機関が利用する場合も目的外利用を禁止するなどし、住民票コードの利用を厳しく制限する措置を講じている(同法三〇条の三四、四二ないし四四)。
e 都道府県、市町村及び指定情報処理機関は緊急時対応計画を定め、本人確認情報の漏えい等の危険が具体的に発生した場合には、相互に連絡調整を行い、被害拡大を防止するための措置等を講ずることとされている(セキュリティ基準第二-五)。
(イ) 内部的な具体的不正防止対策
a 担当者が多数の個人情報を容易に検索できないよう、本人確認情報の照会条件を限定している。
b 住基ネットにアクセス権限のない職員がアクセスできないよう、操作者識別カード認証による制御を行うことになっている。
c アクセスログを定期的にチェックし、不正アクセス等を発見したときは、適切な措置を講ずることになっている。
d 住民から請求があった場合、本人確認情報提供状況を開示することとなっており、住民が本人確認情報の提供状況を把握することが可能となっている。
e 一定時間に一定数以上の住民票の写しの広域交付を停止する措置を講じるほか、担当職員に対し、住基ネットの安全性の確保等を目的とした教育・研修が実施されている。
(ウ) 物理的な侵入防止対策
セキュリティ基準においては、建物等への侵入の防止、重要機能室の配置及び構造、入退室管理、磁気ディスクの管理、構成機器及び関連設備の管理、データ・プログラム・ドキュメントの管理等、外部からの侵入に対する物理的なセキュリティ対策を関係機関に義務付けている。
特に、市町村における住基ネット及びこれに接続している既設通信網における対策については、総務省チェックリストに基づく自己点検と、これに基づく都道府県、指定情報処理機関及び総務省による指導、助言を実施し、対策の強化、徹底を図っている。
なお、セキュリティ基準及び総務省チェックリストは、高いレベルの安全性を実現することを目的としており、これを遵守しなければ、本人確認情報の漏えい、改ざん等の具体的危険が生じないという基準を設定したものではない。仮にセキュリティ基準の一部が達成されていなくても、また総務省チェックリストで最高点に満たない項目があったとしても、そのことから直ちに、本人確認情報の漏えい、改ざんの具体的危険があるとはいえない。
(エ) 電気通信回線上の侵入防止対策
a CS、都道府県サーバ及び全国サーバの間の通信網は、すべて専用回線及び専用交換装置で構成された閉鎖的な通信網である。
b サーバ間で相互認証・暗号通信を実施しており、仮に、他のコンピュータを住基ネットに接続できたとしても、通信を行うことはできないし、盗聴による恒常的な暗号鍵の解読が極めて困難となる対策がとられている。
c 住基ネットの通信プロトコルには、インターネットで用いられる汎用的なプロトコルを使用せず、住基ネットに独自のものが用いられており、すべてのCSの通信網側、すべての都道府県サーバの通信網側と端末機側、全国サーバの全方向及び国の機関等サーバの通信網側にFWを設置して、インターネットで用いられるプロトコルの通過を遮断しており、CS、都道府県サーバ、全国サーバ及び国の機関等サーバに対し、住基ネットのアプリケーション以外の通信を使用してアクセスすることはできないようにされている。
d 指定情報処理機関において、コンピュータウイルス、セキュリティホールの発生情報を入手し、ウイルス対策ソフトの新パターンファイルの配布や対応方法の通知を全団体に対して行い、徹底したコンピュータウィルス・セキュリティホール対策が実施されている。
e 指定情報処理機関は、監視FW等により、不正な通信がないか、二四時間常時監視を行っている。
f システム全体で統一ソフトウェアを導入することにより、住基ネット全体で均質かつ高度な安全性の確保が実現されている。
g 被控訴人ら以外の、ある特定の市町村におけるセキュリティ対策につき仮に不十分な点があるとしても、直ちに他の市町村の住民の本人確認情報のセキュリティに具体的危険が生じるわけではない。すなわち、市町村のCSは、当該市町村の住民の本人確認情報を保持するのみであり、他の市町村の本人確認情報を保有していない。そもそも、他の市町村の住民の本人確認情報は、他の市町村のCS、都道府県サーバ、全国サーバに保有されているものであり、これらの情報を閲覧、改ざんするためには、他の市町村、都道府県、指定情報処理機関が管理するFWを突破して、地方公共団体の共同のネットワークである住基ネット本体に侵入する必要があるが、これは極めて困難な対策がとられていることは上記のとおりである。
(オ) 外部監査等によるセキュリティの確保
指定情報処理機関と総務省は、市町村に対し、総務省チェックリストを活用して、指導、助言するなどしてセキュリティ対策の維持、向上を図り、外部監査法人による市町村のシステム運営監査を実施して管理体制の強化に活用した。また、住基ネットの主要な機器に対する模擬攻撃を実施して安全性の確認を行った。
(カ) 住基カードの安全性の確保
住基カードについても、住民の申請により交付する(住基法三〇条の四四第三項)、市町村の独自サービスの範囲は、市町村が条例で定める目的に限定する(同法三〇条の四四第八項)など、様々な対策を講じることにより、安全性を確保している。
(キ) 長野県が行った住基ネットの侵入実験について
上記侵入実験は、
(1)市町村設置FWを回避して、重要機能室に物理的に侵入し、施錠を開けるなど通常の対策を幾重にも外した上、直接CSに攻撃端末をつなぎ、CSのOSの管理者権限を取得し、そのCSから得られたID、パスワードでCS端末の管理者権限を取得したことや、
(2)庁舎内に入り、市町村の庁内LANにつないだ攻撃端末から、庁内LAN上にある既存住基システムの機器の脆弱性を検査し、これを攻撃することに成功したというものにすぎない。
外部のインターネットから庁内LANへ侵入することや、庁内LANからCSセグメントへ侵入することにはことごとく失敗したのである。
実験結果から明らかになったのは、特殊な環境の下でCSのOSの管理者権限が取得できるということや、住基ネットに含まれない既存住基システムに対する攻撃がされたことに止まるのであって、住基ネットの危険性を示すものではない。
そして、住基ネットアプリケーションを起動させるには、操作者が識別カードをカードリーダに挿入することなどが必要となるから、CS、CS端末のOSの管理者権限を取得したとしても、住基ネットアプリケーションを起動させることもできないし、住基ネットにおいては、サーバ間で相互認証するシステムを採っており、他のコンピュータをネットワークに接続できたとしても、通信を行うこともできない。
上記侵入実験の結果は、住基ネットの危険性を実証するものではなく、かえって、その安全性が確認された。すなわち、
(1)実験市町村以外の住民の個人情報に不正にアクセスされたり、インターネットから庁内LANへ侵入されることや、庁内LANからFW越しにCSへ侵入される具体的危険性が実証されず、むしろ安全性が確認され、
(2)CSのOS管理者権限やCS端末のOS管理者権限の取得は、通常の状態ではむしろ安全であることが確認され、
(3)庁内LANからFW越しにCSのOS管理者権限を取得することが不可能であること、
(4)住基ネット本体に対する監視が適正に実施されていること、
(5)既存の住民基本台帳システムの改ざんが直ちにCSに反映されるものではないこと及び既存の住民基本台帳システムは住基ネットと峻別してとらえなべきこと、
(6)庁舎外から庁内LANへ侵入される具体的危険性は実験で実証されておらず、むしろ安全性が確認され、実験市町村における庁内LANの脆弱性は限定的であり、一般論としても市町村における対策が徹底されていること、が明らかになったのである。
ウ 住基ネットの目的の合理性・必要性
(ア) 住基ネットは、
行政サービスの向上と行政事務の効率化を目的とするシステムである。
住基ネットにより、
パスポート申請の際の住民票の写しの提出の省略をはじめ、
行政機関等への申請、届出の際に、住民票の写しの提出が不要になった事務が多数あり、
将来的には、より多数の事務で、住民票の写しの提出を不要とする計画である。
これにより、住民は、住民票の写しの交付に伴う負担を免れ、市町村は、交付事務に伴う人件費などの行政経費を削減できることとなった。
また、年金受給者は、毎年現況届又は身上報告書を提出しなければならなかったが、住基ネットにより、上記書面の提出が不要となった。
このように、住基ネットにより、
住民の申請、届出、住民票の写しの添付等の負担が解消され、
行政側としても、事務効率の向上や、事務の正確性が向上している。
さらに、住基ネットにより、
行政機関への申請、
住民の転入、
転出事務の簡素化、
住民票の写しの交付の広域化
も実現されている。
このように行政事務の効率化が達成されることにより、
税金負担の軽減、
福祉施設の充実等といった「住民の利益」にも還元されるものである。
行政事務の効率化と住民の利益の便益とは、それぞれ全く別の行政目的ではなく、総合的に評価されるべきものである。
(イ) 住基ネットは、高度に情報化された現代社会において、すでに民間ではコンピュータ・ネットワークシステムが構築されて、顧客サービスの向上や業務の効率化が積極的に進められてきている中にあって、行政も、全国的な広がりをもった住民の移動や交流という実態に合わせて、行政サービスを的確かつ効率的に提供していく等の必要性があり、そのためには、市町村や都道府県の区域を越えた本人確認情報システムが不可欠であり、行政部門においても、民間部門と同様に、情報処理技術を的確に活用することが不可欠であるとの認識から、行政サービスの向上と行政事務の効率化を目的とするものとして、構想され、導入されたものである。
(ウ) そして、住基ネットは、我が国が実現を目指す電子政府・電子自治体の基盤となる最も重要なシステムである。
すなわち、我が国政府は、情報通信技術(IT)の活用により世界的規模で急激に生じている社会経済構造の変化に的確に対応することの緊急性にかんがみ、高度情報通信ネットワーク社会の形成に関する施策を迅速かつ重点的に実施する必要があるとの認識の下に、平成一二年七月七日、内閣総理大臣を本部長とするIT戦略本部とIT戦略会議を設置した。ここでは、ITを国家戦略として推進することが検討され、平成一二年一一月二七日、IT戦略本部とIT戦略会議合同会議は、「IT基本戦略」の内容を明らかにして、「五年以内に世界最先端のIT国家となる」との目標を掲げた。
国会は、これに対応するものとして、平成一二年一一月、「高度情報通信ネットワーク社会形成基本法」(同年法律第一四四号、以下「IT基本法」という。)を制定した(平成一三年一月六日施行)。このIT基本法は、基本理念として、
(1)すべての国民が情報通信技術の恵沢を享受できる社会の実現(同法三条)、
(2)経済構造改革の推進及び産業国際競争力の強化(同法四条)、
(3)ゆとりと豊かさを実感できる国民生活の実現(同法五条)、
(4)活力のある地域社会の実現及び住民福祉の向上(同法六条)、
(5)国及び地方公共団体と民間との役割分担(同法七条)、
(6)利用の機会等の格差の是正(同法八条)、
(7)社会経済構造の変化に伴う新たな課題への対応(同法九条)を定めた。
そして、国及び地方公共団体は、このような基本理念にのっとり、
(1)高度情報通信ネットワーク社会の形成に関し、相互の適切な役割分担を踏まえ、その地方公共団体の区域の特性を生かした自主的な施策を策定し、及び実施する責務を有するとされ(同法一〇条、一一条)、(2)高度情報通信ネットワーク社会の形成に関する施策の策定に当たっては、国民の利便性の向上を図るとともに、行政運営の簡素化、効率化及び透明性の向上に資するため、国及び地方公共団体の事務におけるインターネットその他の高度情報通信ネットワークの利用の拡大等行政の情報化を積極的に推進するために必要な措置が講じられなければならないとされた(同法二〇条)。
さらに、平成一三年一月二二日、「IT基本戦略」を衣替えした「e-Japan戦略」が決定発表され、その後の同年三月二九日、IT基本法三五条に基づいて策定された「e-Japan重点計画」が発表され、平成一五年度には「原則として二四時間、自宅やオフィスからインターネットを利用して実質的にすべての行政情報の閲覧、申請・届出等の手続、手数料納付・政府調達手続が可能」となる社会の実現が目標とされた。そして、平成一五年七月二日、第二期の国家戦略として、「e-Japan戦略Ⅱ」が決定され、これを受けて、同年八月八日、e-Japan重点計画-2003」が策定された。
そして、住基ネットは、ネットワーク社会における本人確認手段として、上記のような電子政府・電子自治体の基盤となる最も重要なシステムとして位置づけられているのである。
エ 住民票コードと住民のプライバシー等について
(ア) 住民票コードは、住基ネットを構築するに当たり、行政において確実な本人確認をし、迅速かつ効率的な検索を実現するために住民票に記載することとされたものであり、控訴人らが主張するような行政機関が個人情報を一元的に管理するために記載したものではない。
そして、前記のとおり、住基ネットにおいては、住民票コードについての目的以外の使用を禁止しており(住基法三〇条の三四、同条の四二、同条の四三、個人情報保護法八条三項)、住民票コードを利用して、個人情報を名寄せすることは認められておらず、その知り得た本人確認情報に関する秘密を他の国の機関等に漏らす行為は、公務員の守秘義務違反となり、その職種を濫用して、専らその職務の用以外の用に供する目的で行ったものとして、個人情報保護法五五条の規定に該当し、刑事罰により処罰されることになる。民間においても、住民票コードの告知を要求することは禁じられており、業としてデータベースを作ることも禁じられている。知事は中止の勧告及び命令をすることができ(住基法三〇条の四三第三項)、命令に違反した者には懲役刑又は罰金刑が科せられるのである(同法四四条)。
(イ) 住民票コードは、個人の人格的価値とは無関係であり、住民票コードの記載により、控訴人らの人格権及び何らかの人格的利益が侵害されるものでないことは、前記被控訴人らの主張のとおりである。
(ウ) 住民票コードは、住民基本台帳に記録された本人確認情報を市町村の区域を越えて確実かつ効率的に利用するために必要不可欠なものである。
すなわち、住基ネットは、住民基本台帳に記録された市町村の区域を越えて全国共通に効率よく利用できるようにするための情報システムとして構築されたものであるところ、このシステムを構築するためには、電気通信回線に接続された電子計算機を利用して、
市町村の区域を越えた住民基本台帳に関する事務の処理、
国の機関等への本人確認情報の提供等を行うための体制を整備する必要がある。
かかる観点からすると、市町村の区域を越えた住民基本台帳に関する事務の処理を行うためには、市町村長が保有する住民基本台帳に記載された個人に係る情報にアクセスすることが可能であることが必要であり、電子計算機の処理によるアクセスの確実な方法として住民票コードが最適なのである。
オ 以上のとおり、控訴人らにその主張のような権利が憲法上保障されているとはいえないし、仮に控訴人らの主張の権利が認められたとしても、住基ネットは、セキュリティその他の組織的な個人情報保護制度からいっても、本人確認情報の漏えいや不正利用の具体的危険性はなく、他方で合理的な行政目的を達成するために必要性のあるものであるから、控訴人らの権利を侵害するものではない。