マイ弁護士ナビ - 明石市

弁護士検索

ヘルプ

デジタル庁がメアド流出、「BCC」じゃなくて「TO」で一斉送信に法的責任は？

2022年04月05日 14時47分

デジタル庁は4月1日、運営する新型コロナワクチン接種証明書アプリについての問い合わせへの回答で、メール誤送信によって、5件のメールアドレスを流出させたと発表した。

本来なら、他の人から見えない「BCC欄」にアドレスを入力して一斉送信するところ、担当者が、他の人にもわかる「TO欄」に貼り付けてしまったという。

デジタル庁は、事態を重く受け止めて「今後このような事態が発生しないようメール送信時の宛先設定の確認を徹底するなど適正な個人情報の取扱いにつとめる」としている。

今回のメールアドレス流出について、デジタル庁は法的責任を問われないのだろうか。最所義一弁護士に聞いた。

●メールアドレスが「個人情報」に該当するか

個人情報保護法にいう『個人情報』とは、生存する個人に関する情報であって、特定の個人を識別することができるものと定義されています（同法2条1項）。

まず、メールアドレスが、ここにいう『個人情報』に該当するかという点ですが、メールアドレスのユーザー名およびドメイン名から特定の個人を識別することができる場合には、当該メールアドレスは、それ自体が単独で個人情報に該当することになります。

ユーザー名というのは、メールアドレスの「@」よりも前の部分、ドメイン名というのは、「@」よりも後の部分を差します。

以前の経済産業省ガイドラインに記載されておりました『keizai_ichiro@meti.go.jp』というメールアドレスを例にして説明します。

このメールアドレスのドメイン名『meti.go.jp』から『日本の政府機関である経済産業省に所属する』という情報を得ることができます。また、ユーザー名『keizai_ichiro』から『ケイザイイチロー』という情報を得ることができます。

つまり、このメールアドレスだけで、『日本の政府機関である経済産業省に所属するケイザイイチローのメールアドレス』であるとして、特定の個人を識別することができますので、『個人情報』に該当することになります。

また、ユーザー名に氏名が用いられていない場合であっても、たとえば、『01234@.△△-u.ac.jp』といったメールアドレスであった場合、ドメイン名『.△△-u.ac.jp』から『日本の大学である＊＊に所属する』という情報を得ることができます。

ユーザー名『01234』だけでは、特定の個人を識別することはできませんが、たとえば、ユーザー名が学籍番号だったとしたら、学籍簿と照合することで、容易に特定の個人を識別することができますので、この場合にも、全体として個人情報に該当するといえることになります。

●デジタル庁が責任を負うか

個人情報の取扱に関する義務については、個人情報保護法は、民間企業だけを対象とし、国の機関については、別途、行政機関個人情報保護法によって規律していましたが、令和3年改正（令和4年4月1日施行）によって、すべて個人情報保護法に一元化されることになりました。

この一元化が、今回の改正の重要な点になります。

デジタル庁は、国の行政機関ですが、その義務については、個人情報保護法第5章で詳細に規定がなされています。

具体的には、同法66条第1項では、保有個人情報の安全管理のために必要かつ適切な措置を講じなければならないと「義務」が規定されており、同法68条1項では、漏えい等が生じ、それが規則で定める場合に該当する場合には、個人情報保護委員会への報告義務が課されています。

今回のケースでは、漏えいした情報が（※）要配慮個人情報に該当するものではありませんし、件数も5件と少なく、また、漏えいした情報が不正に利用されることによって、財産的被害が生じるおそれがあるともいえませんので、報告の対象となるものではありません。

とはいえ、以前にも、公的機関で、同様の事件が起こっていること、デジタル化を促進すべき立場にある機関で生じた事案ですので、非公式にせよ、さすがに、個人情報保護委員会との間で、何らかの対応についての協議程度はなされているのではないでしょうか。

●罰則の適用があるのか

個人情報保護法の第8章に罰則についての規定がありますが、今回のケースのように、単に不注意で漏えいしてしまったというだけでは、罰則の適用はありません。

一方、公務員がその職務をおこなうに際して、不注意で個人情報を漏えいしてしまったという事案ですので、プライバシーが侵害されたとして、国に対して国家賠償請求がされる可能性はあります。

ただし、裁判例上、個人情報が流出した際に認められる慰謝料額は、具体的な二次被害等がなければ、せいぜい5000円〜1万円程度に止まっています。特に、メールアドレスそれ自体が、一般的には秘匿性の高い情報とまではいえないことを考慮すると、損害の発生自体が否定されるか、認められたとしても極めて少ない金額とならざるをえないでしょう。

とはいえ、メールの誤送信や「TO」「CC」「BCC」の間違いは、以前からよく指摘されている問題です。今回、国のデジタル政策の旗振り役がおこなった事案としては、お粗末だとは思いますが、むしろ、デジタル庁には、メールの誤送信や「TO」「CC」「BCC」の間違いが生じないような、メールソフトの仕様などを含む再発防止策を国民に広く公表してもらいたいと思います。

（※）要配慮個人情報
個人情報保護法2条3項・・・この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。