兵庫・尼崎市の個人情報紛失事案とその刑事責任について
兵庫県尼崎市、全市民の個人情報が入ったUSBメモリーが紛失したとして大問題になっています。
紛失の経緯としては、業務委委託先の社員が、飲酒し、路上で眠り込んでしまい、目を覚ました時にはUSBメモリーが入ったカバンごと無くなっていたとのことです。
「今どき全市民の情報をUSBメモリーで管理?」
「それを持ったまま飲酒し、路上で眠り込む?」
ツッコミどころ満載なこの事件、先日の阿武町と同じような自治体業務の脆弱性を感じさせます。
ところで、本件ではUSBメモリーを紛失した当該従業員に、何らかの刑事責任は課されないのでしょうか。
この点、すぐに思いつくところとして個人情報の保護に関する法律があります。
この法律の第1条は、デジタル社会の進展に伴う個人情報の利用の著しい拡大を踏まえ、国、自治体、取り扱い事業者などに義務を課し、個人の権利利益を保護することを目的として定めています。
まさに、本件事件のような事態に備えた法律と言えそうです。
当然、尼崎市も、業務委託先の事業者も個人情報保護法に基づき、適切かつ厳格な情報管理の義務を負うこととなります。
ところが、個人情報保護法の罰則規定自体は、いずれも故意犯とされ、過失により個人情報を流出した場合を刑事罰の対象としていません。
たとえば正当な理由がないのに個人情報ファイルを提供した時には2年以下の懲役又は100万円以下の罰金という規定がありますが(個人情報保護法171条)、「提供」という文言からも明らかなとおり、これは故意犯となります。
他にも罰則規定は複数定められていますが、いずれも過失により個人情報を流出したとか、過失により個人情報ファイルを紛失したという定めはないのです。
過失犯を定めていない理由としては、そもそも個人情報の流出という事態は通常、意図的に何者かによってなされることを想定しているからではないか、過失により個人情報を流出した場合を罰則の対象とすると規制対象が広範に過ぎることになるからではないか(たとえば行政機関の職員が謝ってAさんの個人情報をBさんに通知してしまった場合でも刑事罰の対象とするとあまりにも罰則の範囲が広すぎる)と思います。
いずれにしても、本件事件では紛失した当該従業員については刑事罰として何か問われることはあり得ません。
他方で、民事上の損害賠償の問題については、個人情報が現実に流出した場合には、その精神的苦痛に対する賠償を尼崎市や業者に求めることが可能です。
ただし、その額はごく低額にとどまることが裁判例の傾向です。たとえばベネッセコーポレーションの情報流出事件では、原告ひとりあたり3000円の慰謝料がベネッセの関連会社に認められているにとどまっています(ベネッセに対しては棄却)。
そうすると、本件事件で我々が考えるべきは、現代社会における個人情報の扱いをどのように行うべきか(自治体の情報管理のあり方、USBメモリーでの管理のあり方の是非、業務委託先選定のあり方など)であり、それこそ民主的な議論を経て行政サービスの質を問い、また選ぶ時代なのではないかと思います。