弁護士・情報処理安全確保支援士 石田 優一
目次
1 はじめに
2 愛知県のコロナ感染者情報誤掲載問題の概要
3 愛知県のコロナ感染者情報誤掲載問題の法的検討
4 愛知県のコロナ感染者情報誤掲載問題から学ぶべきこと
5 おわりに
1 はじめに
2020年5月5日、愛知県の新型コロナウイルス感染症に関するWebページ上に、愛知県内の感染者情報495件が誤って掲載される事故が発生しました。
新型コロナウイルスの感染拡大を防止するために、感染者情報を収集、分析して対策に活かすことは重要性が高いことです。収集した感染者情報の情報セキュリティ対策が徹底されなければ、新規感染者が情報の提供を躊躇し、国民が正確な感染拡大情報を得られない事態につながってしまいます。
そこで、今回の問題について、法的観点から考察したうえで、安全な情報管理のあり方について検討したいと思います。
2 愛知県のコロナ感染者情報誤掲載問題の概要
愛知県では、Webサイト上に新型コロナウイルス感染症に関する特設ページを設けて、県内の新型コロナウイルス感染者の年代(何歳代)、性別、国籍、居住地(何市)、海外渡航歴、発症日、他者との濃厚接触関係などの情報を公表しています。
ところが、2020年5月5日午前9時30分頃から同日午前10時15分頃までの間、誤って、感染者の氏名、入院先医療機関、入院日、転院先医療機関、転院日、退院日、クラスターなどの情報が掲載されました。
愛知県は、感染者の情報をExcelファイルで作成、管理し、そのファイルから個人情報を削除してデータファイルを作成し、Webページに掲載していました。しかし、今回の事故は、もとのExcelファイルを誤ってWebページ上に掲載したことで発生しました。
誤掲載があったことは、複数の県民からの問合せによって発見されました。報道によれば、削除されるまでの間に、739件のアクセスがあったとのことです。
愛知県によれば、ファイルの作成者と承認者が同一人であったために、ダブルチェックができていなかったことが事故につながったとのことです。
3 愛知県のコロナ感染者情報誤掲載問題の法的検討
(1)愛知県個人情報保護条例との関係
愛知県個人情報保護条例10条2項には、「実施機関は、個人情報の漏えい、滅失及び損傷の防止その他の個人情報の適切な管理のために必要な措置を講じなければならない。」ことが定められています。同条例2条2号の定義によれば、生存しているか、すでに亡くなっているかを問わず、特定の個人を識別することができる記録が含まれる情報は、個人情報に該当します。
また、知事の保有する個人情報の保護等に関する規則1条の2によれば、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する個人情報として、医師などによって行われた疾病の早期発見のための検査の情報、医師などによって診療や調剤が行われた情報が指定されています。
今回の事件で漏えいした感染者情報は、新型コロナウイルスに感染したという検査結果や、推定される感染経路、いつからいつまでどの医療機関で治療を受けたかという情報が含まれています。また、これらの情報の多くが、特定の個人の識別につながる氏名情報と紐づけられていました。
つまり、愛知県は、今回の事件で漏えいした感染者情報(すでに亡くなっている方の情報も含まれます。)について、特に取扱いに配慮したうえで、漏えいを防止するために必要な措置を講ずべき法的義務を負っていたといえます。
(2)宇治市住民基本台帳データ漏えい事件(大阪高判平成13年12月25日)
ここで、今回の問題を検討するうえでの参考事例として、かつて宇治市で発生した住民基本台帳データの漏えい事件を紹介します。
この事例は、宇治市が、住民基本台帳データを使用して乳幼児健診システムを開発するために、民間業者にその開発を委託したところ、再々委託先の従業員がそのデータを不正にコピーして名簿販売業者に販売したことについて、住民が宇治市に対して損害賠償を請求したものです。
判決では、当該データは、氏名、年齢、性別及び住所と各世帯主との家族構成が整理されたもので、当該データに含まれる個人情報は、明らかに私生活上の事柄を含むものであり、一般通常人の感受性を基準にしても公開を欲しないであろうと考えられる事柄であることから、プライバシーに属する情報として権利として保護されるべきものである、と判断されています。
そして、名簿販売業者によって当該データの購入を勧誘する広告がインターネット上で掲載されたこと自体で、不特定の者にいつ購入されていかなる目的でそれが利用されるか分からないという不安感を住民に生じさせたことは疑いなく、慰謝料をもって慰謝すべき精神的苦痛を住民が受けたというべきである、と判断しています。
そのうえで、プライバシーの権利が侵害された程度・結果は,それほど大きいものとは認められないことや、宇治市が当該データの回収に努め、市民に対する説明を行い、今後の防止策を講じたことなどを踏まえて、1人あたり15,000円(慰謝料10,000円、弁護士費用5,000円)の損害賠償を認めています。
(3)法的責任についての検討
以上のことを踏まえ、コロナ感染者情報誤掲載問題の法的責任について検討します。
もとのExcelファイルを誤ってWebページ上に掲載したことについては、アップロードを完了させる前にファイル名などを確認することで容易に防止することができた点で、不適切な対応であったように思われます。それに加え、ファイルの作成者と承認者を同一人が行い、ダブルチェックをしていなかった点についても、特に配慮を要する感染者情報の取扱方法としては適切ではなかったように思われます。
もっとも、本コラムにおいて、愛知県の法的責任の有無について明確な見解を述べることは、差し控えたいと思います。
(4)損害額についての検討
次に、仮に愛知県に法的責任があるものと仮定したうえで、損害額をどのように考えるべきかについて、執筆者の見解を説明します。ただし、法的責任の有無と同様に、本コラムにおいて、具体的な損害額について明確な見解を述べることは、差し控えたいと思います。
ア 感染者情報が漏えいしたこと自体に対する評価
第1に、感染者情報が漏えいすること自体が、本人にどの程度の精神的苦痛を与えるかという視点から考えます。
愛知県個人情報保護条例の内容からも明らかなように、疾病の早期発見のための検査情報や、診療や調剤が行われた情報は、一般に、本人に対する不当な差別、偏見その他の不利益を生じさせるおそれのあるものです。
特に、新型コロナウイルス感染症は、感染力の強さと有効な治療法が確立されていない現状から、新型インフルエンザ等対策特別措置法に基づく緊急事態宣言の発令対象となり、その危険性について連日報道されている事情から、特に感染者に対する差別や偏見その他の不利益が生じやすい疾病であるといえます。
これらの理由から、感染者本人の立場からすれば、今回の事故で漏えいした情報は、特に「公開を欲しないであろうと考えられる事柄」であったと思われます。
イ 漏えいの態様や、愛知県の対応についての評価
第2に、漏えいの態様や、愛知県の対応が、損害額にどのように影響するかという視点から考えます。
まず、掲載されていた時間が45分程度と短時間にとどまっていた点は、損害額を低く算定する事情として考慮されるものと考えられます。一方で、緊急事態宣言の延長が発表されて間がない頃で、感染者情報が県民から特に注目を集める時期での事故である点や、現に短時間で一定数のアクセスがあったことについては、損害額を高く算定する事情として考慮されうるものと考えられます。
次に、愛知県がすぐに記者会見を開いて事故を公表したことや、個別に被害者への謝罪の対応をしたことは、損害額を低く算定する事情として、一定程度は考慮されるものと考えられます。
4 愛知県のコロナ感染者情報誤掲載問題から学ぶべきこと
(1)特定の職員の問題として考えるべきではない
愛知県のコロナ感染者情報誤掲載問題を、事故を発生させた1人の職員の問題として考えることは適切ではありません。なぜなら、情報管理において、ヒューマンエラーの発生を、絶対的に避けることはできないからです。
上のデータからもお分かりいただけるように、個人情報の漏えい事故のかなりの割合を、紛失、置忘れ、誤操作、管理ミスといったヒューマンエラーに伴うものが占めています。
個人情報が漏えいした際に、それを特定の行為者のせいにすることでは、再発防止にはつながりません。むしろ、漏えいの原因を、「情報管理の制度設計上の問題」としてとらえていくことが必要です。
(2)安全な情報管理の制度設計とは
安全な情報管理の制度設計を検討するうえで第1に考えるべきことは、ヒューマンエラーを想定することです。「たとえミスがあっても事故にはつながらない体制」、あるいは、「たとえミスをしても途中でそのミスに容易に気づくことができる体制」があれば、事故の多くは防ぐことができます。
このような発想は、鉄道の安全対策においても取り入れられています。例えば、鉄道車両のブレーキには、空気の圧力を下げることでブレーキをかけ、空気の圧力を上げることでブレーキを緩める仕組みのものがあります。これは、整備不良などで空気漏れが発生した際に、自動的にブレーキがかかって車両が停止するために取り入れられている仕組みです。
例えば、愛知県のコロナ感染者情報誤掲載問題でいえば、
(a) 加工前のファイル名と加工後のファイル名を区別しやすいものにするために、ファイル名の付け方にルールを設ける
(b) 加工前のファイル名のファイルがアップロードされた場合には警告を表示するような仕組みをWebシステムに設定する(ただし仕様上の問題はあります。)
(c) 加工後のファイル名をアップロードすることを承認する職員と当該ファイルの作成者とを別にする(これは、愛知県がすでに再発防止策として表明しているものです。)
(d) Excelファイルでの管理を根本から見直し、簡易のデータベースを作成して、自動的に加工済みのファイルが生成される仕組みを導入する
(e) 加工後のファイルの作成からアップロードまでの手順を詳細にマニュアル化して、そのマニュアルを手元において手順どおりに作業を進めることを職員に徹底させる
といった、様々な方法が、安全な情報管理の制度設計として考えられます。
※現時点において、詳細な誤掲載の原因までは公表されていませんので、公表情報に基づいて推測した発生要因を前提とした見解であることにご留意ください。
(3)新型コロナウイルスへの感染情報はセンシティブ情報であることの再認識
先に説明したように、新型コロナウイルスへの感染情報は、感染者本人に対する不当な差別、偏見その他の不利益を生じさせるおそれがあり、特に取扱いに配慮を必要とするものです。このような情報を、一般に「センシティブ情報」といいます。
特に、新型コロナウイルスは、その危険性が連日報道されており、有効な治療法が確立されていないことから、その感染情報は、センシティブ情報の中でも特にプライバシーへの影響が大きいものであるといえます。それゆえ、新型コロナウイルスの感染情報については、他の個人情報よりも一層、安全な情報管理の制度設計に留意しなければなりません。
新型コロナウイルスの感染情報を国民が共有することは、疾病のまん延を食い止め、現状を収束に向かわせるためには必要不可欠です。だからこそ、国や地方自治体は、感染者が安心して感染情報を提供できる体制を構築しなければなりません。
5 おわりに
今回は、国や地方自治体の情報管理を主なテーマとして取り上げました。
ただ、新型コロナウイルスの感染情報がセンシティブ情報であることは、国や地方自治体だけではなく、国民1人1人が再認識しなければならない課題であると思います。
例えば、企業が、従業員から健康情報の報告を受ける体制を構築した結果、新型コロナウイルスの感染が疑われる従業員が現れた場合に、その情報をどのように管理すべきかという問題があります。
また、個人情報保護委員会は、「新型コロナウイルス感染症対策としてコンタクトトレーシングアプリを活用するための個人情報保護委員会の考え方について」(令和2年5月1日・個人情報保護委員会)という文書をサイトで公表し、コンタクトトレーシングアプリ(アプリ利用者同士の濃厚接触の履歴を保存し、アプリ利用者に感染者が出た場合に濃厚接触者に警告を出すことを目的とするアプリのことです。)について、個人情報やプライバシー保護の観点からどのように考慮すべきかについて、具体的な見解を示しています。
新型コロナウイルスへの感染情報を迅速に共有することは重要ですが、それと引き換えに、感染者の個人情報やプライバシー保護の観点をないがしろにしてしまえば、新規感染者が自分の情報を秘匿しようとする意識につながってしまいます。これでは、正確な感染情報を共有することができなくなってしまいます。
国民1人1人が、愛知県のコロナ感染者情報誤掲載問題をきっかけに、新型コロナウイルスへの感染情報をどのように管理すべきか、改めて考えていく必要があるように思います。