判例2(医師の規程違反(持ち出し)から車上荒らしに遭ったケース)
判例2(医師の規程違反(持ち出し)から車上荒らしに遭ったケース)
Embedded Files
【判例紹介(事実の概要)】原告患者Xは,被告Y(法人)の運営するA病院で,乳がんの手術及び乳房の再建手術を受けた.A病院の医師Bは,原告Xを含む患者の個人情報データ(以下「本件データ」という)をノートパソコン及びUSBメモリに複製し,内部の規程に従うことなく院外に持ち出した.医師Bは,本件データの入ったパスワードロックが付されているパソコンを自動車内に放置したままにしていたところ,車上荒らしにあってこのパソコンを盗難されてしまった.本件データには,患者の病気に関する情報や時系列で手術前後3方向からの患者名が入った臨床写真が含まれていた.ただし,パスワードロックが付されていることから,本件データが公開されるなどした事実があるものとはうかがわれない.このような事実関係の下で,被告Yの過失により原告Xの内心の静穏な感情という人格的利益が侵害されたとして,民法709条による不法行為を理由に被告Y(法人)を相手として,少なくとも141万円の慰謝料が認められるべきであるとして損害賠償の請求をしたものである.なお,被告Y(法人)が患者の個人情報を適切に管理しなかった過失があることについては,両者に争いはない.
(東京地裁平成25年3月28日判決 )
学びのポイント(判例から考える)
学びのポイント(判例から考える)
本事例では,規定に違反したデータの持ち出しと,機微な情報の重要性と,パスワードロックの意味について,考えてほしいと思います.
本判決の内容
本判決の内容
一部認容(被告Yに対し,原告Xへの30万円の支払いを命じる)
(ア)...,人が社会生活において他者から内心の静穏な感情を害され精神的苦痛を受けることがあっても,一定の限度では甘受すべきであるが,社会通念上その限度を超えるものについては人格的な利益として法的に保護すべき場合があり,それに対する侵害があれば,その侵害の態様,程度いかんによっては,不法行為が成立する余地があるものと解すべきである.
(イ)…,被告には,患者の個人情報を適切に管理しなかった過失があり,その結果,本件データがノートパソコンに複製されて院外に持ち出され,このノートパソコンが盗難されるに至ったものと認められる.本件データには,患者の病気に関する情報,時系列で手術前後3方向からの患者名が入った臨床写真が含まれており,その中には原告が乳がんの治療を受けた際の情報及び臨床写真も含まれていた.このような原告に関する情報は,プライバシーに属するものの中でも,とりわけ秘密性の高い情報に属するものというべきである.そして,原告は,自身に関する電子情報が外部に流出したことを知って,今後,あらゆる人がこの電子情報を閲覧することができるような状態になるかもしれず,自分の知らないうちにそのような状態が生じているかもしれないなどといった思いが念頭を離れなくなり,このことによって強い精神的苦痛を被っているものと認められる.以上によれば,被告の過失による原告の内心の静穏な感情に対する侵害は,受忍すべき限度を超えており,不法行為の成立を認めるのが相当である.
(ウ)他方,本件データが複製されたノートパソコンにはパスワードロックが付されているものと認められる.したがって,その意思及び能力を有する者が,このパスワードを解除した上で本件データを公開するなどしない限り,本件データが多数の者に知れ渡る状態に置かれることはあり得ないと考えられるし,本件データが公開されるなどした事実があるものともうかがわれない.…本件データ内の原告の臨床写真に顔が撮影されていたとか,そのような趣旨の説明が原告にされたなどと認めるに足りる証拠はない.
これらの事情を総合的に考慮すれば,被告の過失による原告の人格的利益の侵害について,30万円の慰謝料を認めるのが相当である.
本判例の解説
本判例の解説
①本判例の位置づけ
筆者らは,当該事故の起きた2011(平成23)年を含む,2008年から2012年12月までの5年間の患者の個人情報保護違反に関する裁判にまで至らなかったものを含む新聞記事やホームページで認知された全263件の事故を分析してきました(表参照).その結果,263件の医療機関の関係する事故を認知することができました.次いで,これらを「意識型ABC」,「うっかり型ABC」,「第三者介入型ABC」の計9類型に分類しました.本件は,医師がルール違反を意識してデータを持ち出し,その後車内に放置していたところ盗難にあったものなので,意識型A「ルール違反の意識あるいは意識の可能性のある行為+意識していない過失(紛失・置き忘れ・盗難等)」に分類することができます.また,この意識型Aは,全263件の事故のうち87件(約33%)を占めるものであることから,本判例は,患者の個人情報取り扱い事故の典型的なものを取り扱ったものということができます.
②法的構成(法人の不法行為責任)
一般的には,患者ⅩとA病院の経営主体であるY法人との間に,委任・準委任契約(民法656条)類似の診療契約が締結されていると考えることができます.この診療契約の内容には患者Ⅹの個人情報保護に関する義務も含まれることから,患者ⅩはY法人に対して債務不履行責任(民法415条)を追求することが考えられます.同時に医師Bに対しては,民法709条に基づく一般不法行為責任を,使用者Y法人に対しては使用者責任を(民法715条1項),A病院の病院長等に対しては代理監督者の責任を(民法715条2項)追及することが考えられます.この場合Y法人が患者Ⅹに損害賠償をした場合,Y法人は医師Bに対して求償権を行使することができますが(民法715条3項),損害の公平な負担の見地からその額が制限され,さらには被用者が損害賠償をしたときは,損害の公平な分担の見地から使用者に求償権を行使することができるというのが判例の立場です(図(ア)参照).しかし,本件では,患者ⅩはY法人に対して,法人自身の不法行為(民法709条)の責任を追及しています(図(イ)参照).そこで本来なら,民法715条の使用者責任か民法709条の法人の不法行為責任かが問題となるところですが,本件の場合,当事者が709条で合意しているため問題となりませんでした.
③医師B及びY法人の過失の有無
本判決では,原告Xと被告Yとが争っていないため問題となっていませんが,通常は過失の有無も争点となります.709条の過失の意義については,従来,不法行為責任の主観的要件と位置付け,「予見義務違反」であると考えられてきました.しかし現在では,「過失を客観的な行為態様に対する評価(結果回避義務違反という行為態様)である」(新過失論)という考えが多数説になっています.そうすると,過失の意義については,従来の「予見義務違反」,近時の「結果回避義務違反」,両者を合わせた「予見可能性+結果回避義務違反」を考えることができます.
本件の事案では,医師Bに709条の不法行為を認め,Y法人に715条の使用者責任を認める法構成では,まず医師Bにこの意味の過失が必要となりますが,「規定に違反してパソコン及びUSBメモリを複製して持ち出し」たこと,及び「その後自動車内に放置していた」のであるから,いずれの過失論によっても過失を認定できます.問題は,Y法人に715条の使用者責任が成立するためには,「使用者が被用者の選任及びその事業の監督について相当の注意をしたとき,又は相当の注意をしても損害が生ずべきであったこと」をY法人が立証できなかったことが必要なことです(715条1項但書).この場合の過失の有無について参考になるのが,個人データの安全管理措置を定めた個人情報保護法23条及びそれを具体化した「個人情報の保護に関する法律についてのガイドライン」です.ここでは,事業者の規模も視野に入れながら,組織的安全管理措置,人的安全管理措置,物理的安全管理措置,技術的安全管理措置について具体的に例示しています.したがって,稀ですが,Y法人がこれらの自己責任的色彩の強い安全管理措置を尽くしたことを立証すれば715条の使用者責任を免れる可能性があったということができます.
他方,Y法人に709条の一般不法行為責任を追及する法構成では,過失を結果回避義務と捉えることになります.この結果回避義務の具体的な内容が,組織的安全管理措置,人的安全管理措置,物理的安全管理措置,技術的安全管理措置を尽くしたかどうかが中心になります.
なお,筆者らの事故類型策定にあたっては,当初,京都大学法学部の潮見教授の組織編制義務類似の発想のもとで過失を類型化しようとしました.しかし,実際の個人情報保護違反の大部分の事案が企業組織の問題とするまでもなく個人の行為の問題に還元できましたし,当時与えられた条件のもとで具体的な組織編制義務違反を類型化することは困難でした.そこで,違反した個人と違反した規定を起点とした分類としました.その際,故意論(刑法の認識説か認容説か),過失論(民法の予見可能性か結果回避義務か)等の学説の争いに巻き込まれるのを防ぐため,法律学の論争を意識しながらも「意識型ABC」,「うっかり型ABC」,「第三者介入型ABC」という,いずれをも包摂する緩やかな類型を採用しました.
④損害の発生の有無
本件で具体的に争われたのは,損害の発生の有無です.なぜなら,本件ではノートパソコンにはパスワードロックがかけられており,具体的な患者Xの個人情報が漏洩したわけではなく,この場合にも損害があるかどうかかが問題となるからです.
この点本判例は,先に述べたように「人が社会生活において他者から内心の静穏な感情を害され精神的苦痛を受けることがあっても,一定の限度では甘受すべきであるが,社会通念上その限度を超えるものについては人格的な利益として法的に保護すべき場合があり,それに対する侵害があれば,その侵害の態様,程度いかんによっては,不法行為が成立する余地があるものと解すべきである」とし,「本件データには,患者の病気に関する情報,時系列で手術前後3方向からの患者名が入った臨床写真が含まれており,その中には原告が乳がんの治療を受けた際の情報及び臨床写真も含まれていた.このような原告に関する情報は,プライバシーに属するものの中でも,とりわけ秘密性の高い情報に属するものというべきである.そして,原告は,自身に関する電子情報が外部に流出したことを知って,今後,あらゆる人がこの電子情報を閲覧することができるような状態になるかもしれず,自分の知らないうちにそのような状態が生じているかもしれないなどといった思いが念頭を離れなくなり,このことによって強い精神的苦痛を被っているものと認められる.以上によれば,被告の過失による原告の内心の静穏な感情に対する侵害は,受忍すべき限度を超えており,不法行為の成立を認めるのが相当である.」と判示し,慰謝料141万円の請求に対して30万円に減額して一部認容しました.
本判例からの学び
本判例からの学び
①とにかく規定に違反してデータを持ち出さないことが大切です.
②損害の有無の判定にあたっては,患者の受忍限度を超えた場合は,損害ありとされます.機微な情報な場合には,パスワードロックが掛かって実際に情報をみられたわけじゃない場合でも受忍限度を超え,損害ありということになります.
③もちろん,データを車に置いたままにしないことも大切です.
④損害額の算定にあたっては,例えば,乳がんの傷あとの画像のように機微な情報は増額,顔が写っていないことは減額,パスワードロックが掛かって現実に情報をみられたわけではない場合には減額されます.
まとめると,①がすべてですが,②パスワードロックをかけることも必須です.
更新日:2025.9.29
Page updated
Report abuse