科学者のための法律相談

大学の内部データ漏洩が発覚

大学の内部データ漏洩が発覚

今月の相談大学の教職員が、大学の内部データを外部に漏洩していたことが発覚しました。漏洩した教職員には、どのような責任があるでしょうか。

民事上の責任はどうなるの?

大学の内部データと一言でいっても、その中身については一様ではなく、大学運営に関するデータや、学生に関するデータ、または研究内容に関するデータなど、さまざまなものがあります。

民事上の責任については、内部データの漏洩という不法行為に基づく損害賠償責任(民法709条、710条)がおもに問題となってきます。ここで大学の内部データが外部に漏洩されることによる損害はそれぞれのデータの性質によって異なってくるので、そのデータの性質あるいは中身ごとに考えていかなければなりません。

以下に、その代表的なものをいくつか紹介します。

大学運営に関するデータ

大学の財政資料や人事資料など、大学運営に関するデータを外部に漏洩した場合があげられます。この場合、データを漏洩した教職員に対して、大学からデータ漏洩によって生じた損害の賠償を求められることが考えられます。ただし、大学の違法行為を告発する目的があった場合などについては、違法性が阻却され、責任を免れる場合も考えられますが、これは相当限定された場合に限られます。

この点については、現在、内部告発者保護法の制定が議論されています。今後、同法が制定されることになれば、一定の要件のもとで、告発者は不利益な取扱いをされないことになるとされています。

内部告発者保護法

雪印乳業の不正事件や牛肉産地偽装問題などをきっかけとして、現在、内部告発者保護法の制定を求める動きがでてきています。この動きに呼応して、2003年末に政府も「公益通報者保護法案(仮称)の骨子」を発表しています。その政府案によれば、労働者(公務員を含む)が、労務提供先の業務における犯罪行為などの事実を労務提供先や行政機関などに対して通報した場合には、それにより解雇や不利益な取扱いをされない、とされています。

この政府案に対しては、公益通報の要件が狭く、解雇や不利益な取扱いをされないことに加えて、民事上、刑事上も責任を負わないようにすべきであるなど、公益通報者の保護をさらに充実させるべきであるとする意見が、日弁連などからだされています。

学生や職員に関するデータ

次に、学生名簿、教職員名簿、成績資料などのデータを外部に漏洩した場合があげられます。なお、大学運営に関するデータのところであげた大学の人事資料については、職員に関するデータとしてここでも問題となります。この場合は、まずデータをもっているのが大学ですので、大学運営に関するデータと同様、大学から損害の賠償を求められることが考えられます。

さらに、この場合は学生や職員からも損害の賠償を求められることがあります。学生や職員はデータの直接のもち主ではありませんが、データの外部漏洩によって、彼らのプライバシー権を侵害することになります。プライバシー権については、重要な人格権の一つとして、憲法13条で認められており、プライバシー権の侵害による損害賠償を請求されることが考えられます。

ただし、学生名簿や教職員名簿などがすでに広く外部にでまわっている場合など、データを外部に漏らしたとしてもプライバシー権の侵害の程度が少ない場合もあります。この点については、個別に考慮する必要がありますが、その際に考慮される要素としては、(i)情報の内容や性質、保護されるべき程度、(ii) 具体的に発生した不利益、(iii)目的の正当性、有用性、必要性、(iv)方法及び態様、などがあげられます。

大学が関与したプライバシー権についての過去の判例

大学は、海外の要人を招いて開催する講演会を企画し、それに参加する学生に氏名、学籍番号、住所、電話番号を記載させ、参加者名簿を作成した。講演会の警備にあたる警視庁の要請を受けた大学が、参加申込者に同意を得ることなく、講演会開催前に警視庁に講演会の参加者名簿を提出したところ、これに対して、参加申込者が大学にプライバシーの権利の侵害を理由として損害賠償を請求した。

東京高裁は、まず本件の個人情報に該当するものは、氏名・学籍番号・住所・電話番号・本件講演会の参加申込者であるとし、それらは基本的に個人識別のための単純な情報であり、思想信条・前科前歴・資産内容・病歴・学業成績・家族関係などと比較すれば、他人に知られたくないと感ずる度合いが低いとしつつも、社会一般の人びとの感受性を基準にした場合、みだりに開示されることを欲しない情報であるとして、これをプライバシー情報にあたるとした。

さらに、本件の開示行為が違法性を阻却されるかどうかについて、(i)当該個人情報の内容および性質ならびにこれがプライバシーの権利として保護されるべき程度、(ii)開示行為によりその個人が被った具体的な不利益の内容、(iii)開示の目的の正当性ならびに開示の有用性と必要性、(iv)開示の方法および態様、(v)当該個人情報の収集の目的と開示の目的とのあいだの関連性の有無および程度、(vi)その個人の同意を得なかったことがやむを得ないと考えられるような事情の有無などの諸要素を総合考慮し、一般人の感受性を基準として、その個人の同意がなかったとしても当該個人情報の開示が社会通念上許容される場合にあたるかどうかを判断する、との判断枠組みを示したうえで、本件の場合については違法性は阻却されないとして、大学に対して損害賠償を命じた(東京高判平成14年1月16日判決)。

研究内容に関するデータ

研究内容に関するデータについても、大学がもっているデータであれば、大学から損害の賠償を求められることが考えられます。

さらに、研究内容に関するデータについての漏洩は、当該研究を行っている研究者の知的財産権の侵害にあたります。なお、これが研究途中のデータであっても同様です。したがって、当該研究者から損害の賠償を求められることもあります。

この場合も、すでに発表されている研究データなどについては、外部に公開されることによる損害がその分だけ少なくなると考えられますので、漏洩によって侵害される利益については個別の考慮が必要になります。

刑事上の責任はどうなるの?

刑事上の責任としては、データ漏洩の態様によって、成立する犯罪の種類が異なってきます。まず、データを学内で紙にプリントしてもちだした場合を考えると、大学の紙を利用するということになりますので、プリントした「紙」を窃取したということになり、窃盗罪(刑法235条:10年以下の懲役)が成立します。これは、大学のフロッピーディスクにデータをコピーし、それをもちだした場合も、これと同様に「フロッピーディスク」の窃盗になります。これらは、情報の化体した「紙」あるいは「フロッピーディスク」として、相応の財産的価値が認められることになります。

次に、データが記載されたファイルを外部にもちだしてコピーし、そのファイルを返した場合を考えてみます。この場合、一時的なもちだしではありますが、「ファイル」というもの自体の窃盗にあたることになります。

最後に、情報のみを持ち出した場合があります。たとえば、自分のフロッピーディスクにデータをコピーしてもちだした場合や、データをEメールに添付してもちだした場合などです。この場合、現在の刑法の解釈では、情報自体は財物としては扱われないので、窃盗罪は成立しないことになります。しかし、大学との関係で、背任罪(刑法247条:5年以下の懲役または50万円以下の罰金)が成立する場合があります。

その他にどのような責任がかかる?

その他、内部データの漏洩については、国公立大学の教職員であれば国家公務員法82条または地方公務員法29条により、懲戒処分を受ける可能性があります。私立大学の教職員についても、各大学の定める就業規則により、同様に懲戒処分を受ける可能性があります。

内部データのなかでも、学生や職員の個人情報に関して漏洩があった場合、漏洩した教職員自身の責任に加えて、大学が責任を負う場合もあります。

大学が、「個人情報の保護に関する法律」(平成15年5月30日より施行済み)にいう個人情報取扱事業者にあたる場合は、個人情報保護法で定められた義務を負うことになります(国立大学については、今後、独立行政法人となった場合に、「独立行政法人等の保有する個人情報の保護に関する法律」の適用を受けることになります)。

個人情報保護法によれば、個人情報取扱事業者は、同意なく利用目的を超えて個人情報を取り扱ってはいけないことになり(同法16条)、違反した場合は利用停止となることもあります(同法27条)。ただし、大学など学術研究機関およびそこに属する者については、学術研究の用に供する目的であれば、上記の義務を免れることになります(同法50条)が、それでも、安全管理のための措置をとる義務を負うことになります。