「H18. 2. 9 大阪地方裁判所 平成15年(ワ)第3127号等 住民基本台帳ネットワークシステム差止等請求」の編集履歴(バックアップ)一覧はこちら
追加された行は緑色になります。
削除された行は赤色になります。
住民基本台帳ネットワークシステムを定める法律及びその施行が,原告らの主張する公権力の管理の客体に置かれない権利及び自己情報コントロール権を侵害するものではないとして,原告らの本人確認情報の提供等の差止め,同本人確認情報の抹消及び国家賠償請求等を棄却した事例
主 文
1 原告らの請求をいずれも棄却する。
2 訴訟費用は原告らの負担とする。
事実及び理由
第1 請求
1 被告国は原告らに対し,各11万円及びこれに対する甲事件原告らにつき平成15年4月18日から,乙事件原告らにつき同年7月15日から,丙事件原告らにつき同年11月15日から,丁事件原告らにつき平成16年4月24日から,戊事件原告らにつき平成17年1月5日からそれぞれ支払済みまで年5分の割合による金員を支払え。
2 被告大阪府は甲事件原告1ないし33,乙事件原告1ないし39,丙事件原告2ないし22,丁事件原告2ないし16,戊事件原告1ないし8の原告らについて,被告京都府は甲事件原告34,35,乙事件原告40,丙事件原告1,23ないし27,丁事件原告1,17,戊事件原告11の原告らについて,被告奈良県は甲事件原告36,37,乙事件原告50ないし52の原告らについて,被告兵庫県は甲事件原告38,39,乙事件原告41ないし49,丙事件原告28,29,丁事件原告18ないし20,戊事件原告9,10の原告らについて,被告滋賀県は甲事件原告44,丙事件原告30の原告らについて,被告三重県は丁事件原告21の原告について,
(1) 住民基本台帳法30条の7第3項の別表第一の上欄に記載する国の機関及び法人に対し,原告らに関する各本人確認情報(原告らの氏名,住所,生年月日,性別の4情報及び住民票コード並びにこれらの変更情報をいう。以下同じ。)を提供してはならない。
(2) 被告財団法人地方自治情報センター(以下「被告財団法人」という。)に対し,原告らに関する住民基本台帳法30条の10第1項記載の各本人確認情報処理事務を委任してはならない。
(3) 同被告に対し,原告らに関する各本人確認情報を通知してはならない。
(4) 原告らに関する各本人確認情報を,保存する住民基本台帳ネットワークの磁気ディスク(これに準ずる方法により一定の事項を確実に記録しておくことができるものを含む。以下同じ。)から削除せよ。
3 被告財団法人は,
(1) 被告大阪府,同京都府,同奈良県,同兵庫県,同三重県,同滋賀県から受任した原告らに関する住民基本台帳法30条の10第1項記載の各本人確認情報処理事務を行ってはならない。
(2) 原告らに関する各本人確認情報を,保存する住民基本台帳ネットワークの磁気ディスクから削除せよ。
4(1) 被告大阪府及び被告財団法人は,連帯して,甲事件原告1ないし33,乙事件原告1ないし39,丙事件原告2ないし22,丁事件原告2ないし16,戊事件原告1ないし8の原告らに対し,各11万円及びこれに対する被告大阪府は甲事件原告1ないし33の原告らにつき平成15年4月17日から,乙事件原告1ないし39の原告らにつき同年7月15日から,丙事件原告2ないし22の原告らにつき同年11月14日から,丁事件原告2ないし16の原告らにつき平成16年4月23日から,戊事件原告1ないし8の原告らにつき平成17年1月5日から,被告財団法人は甲事件原告1ないし33の原告らにつき平成15年4月18日から,乙事件原告1ないし39の原告らにつき同年7月15日から,丙事件原告2ないし22の原告らにつき同年11月15日から,丁事件原告2ないし16の原告らにつき平成16年4月24日から,戊事件原告1ないし8の原告らにつき平成17年1月5日からそれぞれ支払済みまで年5分の割合による金員を支払え。
(2) 被告京都府及び被告財団法人は,連帯して,甲事件原告34,35,乙事件原告40,丙事件原告1,23ないし27,丁事件原告1,17,戊事件原告11の原告らに対し,各11万円及びこれに対する被告京都府は甲事件原告34,35の原告らにつき平成15年4月18日から,乙事件原告40につき同年7月15日,丙事件原告1,23ないし27の原告らにつき同年11月14日から,丁事件原告1,17の原告らにつき平成16年4月23日から,戊事件原告11の原告につき平成17年1月5日から,被告財団法人は甲事件原告34,35の原告らにつき平成15年4月18日から,乙事件原告40の原告につき同年7月15日から,丙事件原告1,23ないし27の原告らにつき同年11月15日から,丁事件原告1,17の原告らにつき平成16年4月24日から,戊事件原告11の原告につき平成17年1月5日からそれぞれ支払済みまで年5分の割合による金員を支払え。
(3) 被告奈良県及び被告財団法人は,連帯して,甲事件原告36,37,乙事件原告50ないし52の原告らに対し,各11万円及びこれに対する被告奈良県は甲事件原告36,37の原告らにつき平成15年4月17日から,乙事件原告50ないし52の原告らにつき同年7月15日から,被告財団法人は甲事件原告36,37の原告らにつき平成15年4月18日から,乙事件原告50ないし52の原告らにつき同年7月15日からそれぞれ支払済みまで年5分の割合による金員を支払え。
(4) 被告兵庫県及び被告財団法人は,連帯して,甲事件原告38,39,乙事件原告41ないし49,丙事件原告28,29,丁事件原告18ないし20,戊事件原告9,10の原告らに対し,各11万円及びこれに対する被告兵庫県は甲事件原告38,39の原告らにつき平成15年4月17日から,乙事件原告41ないし49の原告らにつき同年7月15日から,丙事件原告28,29の原告らにつき同年11月14日から,丁事件原告18ないし20の原告らにつき平成16年4月23日から,戊事件原告9,10の原告らにつき平成17年1月5日から,被告財団法人は甲事件原告38,39の原告らにつき平成15年4月18日から,乙事件原告41ないし49の原告らにつき同年7月15日から,丙事件原告28,29の原告らにつき同年11月15日から,丁事件原告18ないし20の原告らにつき平成16年4月24日から,戊事件原告9,10の原告らにつき平成17年1月5日からそれぞれ支払済みまで年5分の割合による金員を支払え。
(5) 被告滋賀県及び被告財団法人は,連帯して,甲事件原告44,丙事件原告30の原告らに対し,各11万円及びこれに対する被告滋賀県は甲事件原告44の原告につき平成15年4月17日から,丙事件原告30の原告につき同年11月14日から,被告財団法人は甲事件原告44の原告につき平成15年4月18日から,丙事件原告30の原告につき同年11月15日からそれぞれ支払済みまで年5分の割合による金員を支払え。
(6) 被告三重県及び被告財団法人は,連帯して,丁事件原告21の原告に対し,11万円及びこれに対する平成16年4月24日から支払済みまで年5分の割合による金員を支払え。
第2 事案の概要
1 本件は,原告らが,住民基本台帳法の一部を改正する法律(平成11年法律第133号。以下「改正法」という。)の制定又はその施行が憲法13条で保障されている人格権及び自己情報コントロール権を侵害し違法であるとして,被告国に対し国家賠償を,原告らが居住する各被告府県に対し国の機関又は法人に対する本人確認情報の提供の差止め,被告財団法人に対する本人確認情報処理事務の委任及び本人確認情報の通知の差止め,原告らの本人確認情報の抹消並びに国家賠償を,被告財団法人に対し本人確認情報処理事務の差止め,原告らの本人確認情報の抹消及び不法行為に基づく損害賠償を求めている事案である。なお,国家賠償請求その他の損害賠償請求については,各訴状送達の日の翌日から支払済みまで民法所定の年5分の割合による遅延損害金の支払も求めている。
2 前提事実(当事者間に争いがない。)
(1) 当事者
ア 原告らはそれぞれ,各事件原告目録記載の各市町に居住している者である。
イ 被告財団法人は,旧自治大臣(現総務大臣)により改正法上の指定情報処理機関として指定され,都道府県知事の委任により住民基本台帳ネットワークシステム(以下「住基ネット」という。)に係る事務を行う機関である。
(2) 住民基本台帳法の改正
住民基本台帳法(以下「法」という。)は,平成11年8月18日,改正法の公布により,以下のとおり改正された。なお,改正法は,公布の日から起算して3年を超えない範囲内において政令で定める日から施行するとされていたところ(改正法附則1条1項本文),住民基本台帳法の一部を改正する法律の施行期日を定める政令(平成13年政令第430号。以下「本件政令」という。)により,平成14年8月5日から施行された。
ア 都道府県知事は,その区域内の市町村長が住民票に記載することのできる住民票コード(法7条13号)を指定し,市町村長に通知する(法30条の7第1項)。市町村長は,新たに住民基本台帳に記録されるべき者につき,その者が住民基本台帳に記録されたことがない者であるときは,都道府県知事から指定された住民票コードのうちから選択するいずれかの1つの住民票コードを住民票に記載する(法30条の2第2項前段)。都道府県知事は,上記住民票コードの指定及びその通知を指定情報処理機関に行わせることができる(法30条の10第1項1号)。都道府県知事及び指定情報処理機関は,本人確認情報を磁気ディスクに記録し,保存する(法30条の5第3項,30条の11第3項)。
イ 市町村長は,都道府県知事に本人確認情報を通知する(法30条の5)。
ウ 都道府県知事は,法の定める場合に,法所定の国の機関・法人等へ本人確認情報を提供する(法30条の7)。
エ 都道府県知事は,指定情報処理機関に対し,国の機関・法人等への本人確認情報の提供等の本人確認情報処理事務を委任することができる(法30条の10第1項)。
オ 委任都道府県知事は,指定情報処理機関に本人確認情報を通知する(法30条の11第1項)。
カ 本人確認情報等の通知及び提供は,原則として相互の電子計算機間を電気通信回線を通じて送信することにより行う(法30条の5第2項,30条の7第7項,30条の11第4項等)。
キ この法律の施行に当たっては,政府は,個人情報の保護に万全を期するため,速やかに所要の措置を講ずるものとする(改正法附則1条2項)。
(3) 住基ネットの稼働
ア 原告らの居住する市町村の長は,法に基づいて原告らの住民票を作成し,氏名,住所,生年月日,性別等の個人情報を電子計算機(以下「サーバ」という。)に記録し管理している。改正法により,被告府県知事から委任を受けた被告財団法人は,市町村長が住民票に記載することのできる住民票コードを指定して市町村長に通知し,市町村長は,指定された住民票コードのうちから選択するいずれか1つの住民票コードを住民票に記載した。市町村は,原告らに関する個人情報が記録された既存のサーバを住基ネット専用のコミュニケーションサーバ(以下「CS」という。)に接続し,CSを被告府県のサーバにつながる電気通信回線に接続した。こうして,市町村長は被告府県知事に,被告府県知事は被告財団法人に本人確認情報を通知している。被告財団法人は,法の定める場合に,法所定の国の機関・法人等に対して本人確認情報を提供している。
イ 被告府県は,自己のサーバをCSにつながる電気通信回線に接続し,通知された本人確認情報を自己のサーバの磁気ディスクに記録して保存するとともに,被告府県知事が事務を委任した被告財団法人に対して,本人確認情報を通知した。こうして,被告財団法人は,法の定める場合に,法所定の国の機関・法人等に対し,本人確認情報を提供している。
ウ 被告財団法人は,都道府県知事から電気通信回線を通じて各市町村長から通知された本人確認情報の通知を受け,その情報を磁気デイスクに記録し保存する(法30条の11第1項,3項)とともに,通知を受けた本人確認情報を国の機関又は法人等に提供する業務を行っている。
エ 市町村長は,平成14年8月5日以降,原告らに対し,住民票コードを通知した。市町村及び被告らの住基ネットは同年7月22日から仮運用され,同年8月5日から本運用された。
3 争点及び当事者の主張
(1) 国家賠償請求その他の損害賠償請求について
ア 国会議員の立法行為の違法性等について
(ア) 総論
(原告らの主張)
改正法は,後述するとおり,憲法上の重大かつ基本的な人権である人格権及び自己情報コントロール権を侵害し,その侵害の程度も著しく大きく,救済の必要性が高いから,国会議員が改正法を立法した行為は国家賠償法(以下「国賠法」という。)上の違法に該当する。また,改正法が違憲であることについて,国会議員に故意又は重大な過失があり,改正法によって,原告らに損害が生じていることは明白である。
仮に,改正法が違憲であるとはいえない場合でも,改正法附則1条2項は,改正法の施行に当たり「所要の措置」を執ることにより,人権侵害を未然に防止するという条件が付されている。したがって,所要の措置として必要な立法を講じない国会の立法不作為は違法であり,そのことにつき,国会議員に故意又は過失があった。
(被告らの主張)
国会議員の立法行為が国賠法上違法とされるためには,立法の内容が憲法の一義的な文言に違反しているにもかかわらず国会があえて当該立法を行うというがごとき,容易に想定し難いような例外的な場合であることが必要である(最高裁判所昭和60年11月21日第一小法廷判決・民集39巻7号1512号)。原告らは上記例外的場合を基礎付ける事実を何ら主張していないから,主張自体失当である。改正法は違憲でなく,まして憲法の一義的な文言に違反しているものとはいえないから,国会議員の立法行為に違法はない。また,改正法附則1条2項は,政府に対して,個人情報の保護に係る所要の措置を講じることを求めているものであって,国会議員に対して個人情報保護法を立法すべき義務を課したものではないから,国会議員の行為に違法はない。
(イ) 住民票コードの付番による人格権侵害
(原告らの主張)
憲法13条は,個人の人格的生存に不可欠の利益を人格権として保障しているが,公権力から一方的に全人格的な管理の客体に置かれないという自由権も同条により保障されている。住民票コードは,国民全員に対して重複しないように付された個人識別番号であり,多数の行政機関がそれぞれ保有している個人情報を統合し,個人情報を検索するために不可欠なものである。このように,それぞれの行政機関が個人情報を蓄積,管理し,自由自在に利用するための住民票コードを付す行為は,国民が公権力から一方的に管理の客体に置かれないという人格権を侵害するものであり,憲法13条に違反する。
(被告らの主張)
原告らが主張する「国民が公権力から一方的に全人格的な管理の客体に置かれないという自由権」の意味するところは不明確であり,これが憲法上保障されるとの主張は争う。
仮に上記の権利が憲法上保障されるとしても,住民票コードは,住基ネットを構築するに当たり,行政において確実な本人確認をし,迅速かつ効率的な検索を実現するために住民票に記載することとされたものであり,原告らが主張するような行政機関が個人情報を一元的に管理するために記載したものではない。また,複数の行政分野で収集した個人情報を蓄積,結合,検索するためのパスワードとして住民票コードを利用することは,法が定める目的外利用の禁止,告知要求制限等(30条の34,30条の42,30条の43)に違反することになるため,そのような目的のために住民票コードを住民票に記載しているわけではない。したがって,住民票コードを住民票に記載する行為は人格権を侵害するものではない。
(ウ) 自己情報コントロール権の侵害
(原告らの主張)
憲法13条は,他人に知られたくない自己情報の収集・取得,保有・利用,開示・提供をコントロールでき,誤った情報を保有されている場合や違法に収集・使用されている場合には,自己の情報を訂正・抹消できる権利(以下「自己情報コントロール権」という。)を保障している。
従来は,法所定の個人情報を市町村だけが保有し,住民の居住関係の公証等を目的に使用していた。しかし,住基ネットの設立により,本人確認情報が全国の市町村,都道府県,指定情報処理機関を結ぶコンピュータネットワーク上に流通することとなった。しかも,この本人確認情報は,個人の同意を得ることなく,他の市町村,都道府県及び国の機関・法人等に提供され,その事務処理等に使用されることになった。その結果,本人確認情報だけでなく,行政機関等の当該事務に関連する個人情報が,すべて住民票コードを付して管理され,蓄積されることとなり,住民票コードによって検索すれば,それらの行政事務に関連するすべての個人情報が容易に結合されることになる。このような状況は原告らの自己情報コントロール権を侵害する。
(被告らの主張)
プライバシーは,法的保護に値する人格的利益であるが,その概念の不明確さゆえに憲法上の権利とまではいえない。また,プライバシーの内容は,みだりに私生活へ侵入されたり,他人に知られたくない私生活上の事実又は情報を公開されたりしない利益であり,自己情報をコントロールする権利は含まれない。
仮に,自己情報コントロール権が憲法上保障されているとしても,法は,個人情報保護に関する国際的基準ともいうべき,OECDにおいて1980年に採択された「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」中で定められた8原則(以下「OECD8原則」という。)を踏まえ,以下のような厳重な保護措置を講じており,住基ネットが直ちに自己情報コントロール権を侵害するものではない。
法は,① 本人確認情報の提供先を公共部門に限定し(法30条の6ないし30条の8,別表),民間の者が他人に住民票コードを告知するよう求めることを禁止している(法30条の43,44条)。② 指定情報処理機関や都道府県の保有情報を本人確認情報に限定し(法30条の11第1項),③ 行政機関に情報を提供する場合でも,提供先機関と利用事務が法律で具体的に列挙されたものでなければ提供できない(法別表)。④ 情報提供先の行政機関に安全確保措置義務を課したり(法30条の33),法律で定められた利用事務以外の目的による利用を禁止し(法30条の34),提供先の関係職員に罰則付きの守秘義務を課している(法30条の35,42条)。⑤ 市町村長,都道府県知事,指定情報処理機関等関係機関に対し,情報漏えい防止のために,安全確保措置義務を課し(法30条の29,30条の33,36条の2),総務大臣は,電気通信回線を通じた送信または磁気ディスクの送付並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(以下「セキュリティ基準」という。乙5の1から5の5まで)を定め,情報処理機関の職員を含め,関係職員に重い罰則付きの守秘義務を課している(法30条の17,30条の31,42条)。⑥ 市町村では,ネットワーク接続用のCSを導入して,住民基本台帳システムのホストコンピュータに直接つながらないようにしている。⑦ 住民からの苦情の適切な処理に努め(法30条の41,36条の3),自己の情報の開示請求・訂正等の申出の手続を設けている(法30条の37,30条の40)。⑧ 市町村,指定情報処理機関及び都道府県は,記録の最新性及び正確性の確保に努めている(法30条の5第1項,30条の11第8項,30条の7)。
(エ) 権利侵害の違法性(住基ネットを支える立法事実等)
(原告らの主張)
住基ネットは,全国民に付番する制度であるから,希望者だけではなく,全国民に対して付番しなければ達成できない立法目的がなければならないことは当然であるが,そのような必要性は全く認められない。被告らは,住基ネットによる本人確認情報等の通知及び提供を希望しない住民について,住基ネットを用いた本人確認情報等の通知及び提供を行わないこととした場合(以下「選択制」という。),経費がかかると主張するが,経費節減は人権を制約してよい根拠となり得ない。また,選択制の導入によっても住基ネット利用者の利便性や行政の効率化が阻害されることはない。
さらに,住基ネットには,以下のとおり,やむにやまれぬ必要性はないから,住基ネットは憲法13条に反し,違法である。
a 行政手続の際の住民票の写しの提出を省略・電子化すること
行政手続の際は,住民票の写しだけでなく,手続の申請書等各書類を提出することが必要であるから,住民票の写しの提出だけを省略又は電子化しても,住民の負担はほとんど減らない。
b 年金受給の際の現況届等の省略・電子化
高齢者の年金受給に関する負担を軽減するためには,年金受給者のうち希望者だけを対象にした制度を作れば十分であり,年金の受給は,すでに番号で整理する制度になっているため,新たに住民票コードを付する必要もない。また,年金,恩給等の受給者が概ね高齢者であることを考えると,コンピュータ操作を伴う住基ネットの利用は,従前の手続より高齢者の負担を増大する危険性が大きい。
c 住民票の写しの広域交付
住民が住民票の広域交付を必要とすることはそれほど多くない。また,交付を受けることができる住民票の写しには戸籍の表示などが省略されるので,さらに用途が限定される。
d 転出・転入手続の簡素化
手続の簡素化のためには,住民基本台帳カード(以下「住基カード」という。)の交付を受けていることが前提であるが,住基カードの申請と交付を受けるために通常2回,市町村の窓口に足を運ぶ必要がある。また,転出地で交付を受けていた住基カードは転出時に返却しなければならない。さらに,手続を簡素化するには付記転出届を提出しなければならないが,そのためには市町村の窓口に赴いて届出書の用紙を入手しなければならない。しかも,住民が転居する際に転出地の市町村の窓口で行うのは住民票の異動の手続だけではなく,国民健康保険,国民年金,福祉医療受給,児童手当,介護保険,水道等の手続を行うことが必要であり,転出・転入手続のみを簡素化しても意味がない。さらに,住基ネットの導入以前から転出証明書を郵送する扱いは有効なものとして行われており,転出地の市町村の窓口に足を運ばなくとも転出の手続をすることは可能であった。よって,この手続によるメリットは考えにくい。
e 住基カードの活用
被告らは,住基カードは,① 身分証明書としての活用,② 本人確認のための利用,③ オンライン申請に必要な公的個人認証サービスで使用する送信文書を暗号化する秘密鍵や,都道府県知事が本人であることを証明する電子証明の保存用カードとしての利用,④ ICの空きメモリを利用して市町村の独自利用に有用であると主張するが,③は改正当時,念頭に置かれていなかった。また,身分証明書(①)や本人確認のための資料(②)が住基カードである必要はない。さらに,全国的には市町村の独自利用がほとんど進んでおらず(④),住基カードの発行枚数は,極めて少ないのが現状である。したがって,住基カードが住民の利便性を増進するものではないことは明らかである。
f 電子政府・電子自治体の構築
立法事実は,法律の制定の際に存在していなければならない。しかし,住基ネットが電子政府・電子自治体を構築する上で不可欠であることは改正法成立時には全く想定されていなかった。また,電子政府・電子自治体を構築することと住基ネットとは本来無関係である。日本よりはるかに電子社会化が進んでいる米国や北欧諸国でも住基ネットは採用されていない。日本では,政府が住基ネットを基礎とした公的個人認証制度を採用し,同制度を電子政府・電子自治体の基盤として位置付けるから住基ネットとの関連性が生じているにすぎない。
(被告らの主張)
仮に,住基ネットが原告らの権利を制約するものであり,かつ,その制約に対する違憲審査基準として原告らの主張する「やむにやまれぬ基準」に依拠すると仮定したとしても,住基ネットは我が国の国家戦略である電子政府・電子自治体の実現のために不可欠な基盤をなすものとしてやむにやまれぬ必要性があるから,違法とはいえない。
a 行政手続における住民票の写しの提出及び住民票の写しの交付
住民基本台帳は,市町村における住民の居住関係の公証,選挙人名簿の登録その他住民に関する種々の事務処理の基礎となる重要なものである。しかし,住民基本台帳は,各市町村ごとに設けられているから,他の市町村,都道府県及び国の機関等は,当該市町村の住民に関する氏名,住所等の情報を必要とする場合には,住民に住民票の写しの提出を求めていた。住基ネットの設立により,現在,法別表に規定されている本人確認情報の提供及び利用が可能な事務は264事務であり,それぞれの事務について住民の負担が解消され,行政側としても,事務の効率性や正確性の向上を実現している。
b 年金受給者の現況届の提出の省略
年金受給者は,毎年,現況届又は身上報告書を提出しなければならなかったが,住基ネットにより,加給年金対象者等を除き,上記書面の提出が不要となった。年金支給機関も,年金受給者への現況届用紙等の送付やその受付処理に係る事務を削減できる上,年金支給の都度(毎年4ないし6回)確認できることから過誤払を防止できるようになった。
c 恩給受給者の受給手続の簡素化
恩給受給者は,毎年,市町村長の証明印を受けて受給権調査申立書を提出する必要があったが,住基ネットにより上記書面の提出が不要となった(乙4)。その結果,恩給受給者が受給権調査に伴う負担を免れ,また,市町村は当該事務を削減でき,受給権の確認を恩給支給の都度(年4回)できるようになったことから過誤払を防止できるようになった。
d 電子政府・電子自治体の構築
我が国は,平成12年に「5年以内に世界最先端のIT国家となる」という目標を掲げ,これを実現するために,「電子政府・電子自治体」の構築を最重要課題の1つとした。「電子政府・電子自治体」の核心は,自宅や職場から原則24時間,パソコンとインターネットを通じて行政サービスを受けることができることにある。平成14年12月6日には,行政手続オンライン化関係3法(① 行政手続等における情報通信の技術の利用に関する法律,② 行政手続等における情報通信の技術の利用に関する法律の施行に伴う関係法律の整備等に関する法律,③ 電子署名に係る地方公共団体の認証業務に関する法律)が成立し,行政手続について,書面によることに加えオンラインでも可能とするための法整備が行われた。これによって,婚姻届・離婚届(年間約100万件),パスポートの交付申請(年間約500万件),戸籍謄抄本の交付請求(年間約3500万件),所得税の確定申告(年間約700万件),国民年金・厚生年金の裁定請求(年間約80万件)等がインターネットでできるようになると同時に,申請・届出に際して住民票の写しの提出も不要になる。これらの基盤となるのが,公的個人認証サービスであり,住基ネットは,そのサービスにとって不可欠の役割を果たすものである。
e 住民票の写しの広域交付
住民票の写しの交付は,膨大な枚数(平成14年度においては年間約8500万枚)に上っている。従来,住民票の写しの交付は,その者が記録されている住民基本台帳を備える市町村のみでしか受けることができなかったが,住基ネットにより,住民はどの市町村でも住民票の写しの交付を受けることができるようになった。
f 転出・転入手続の簡素化
住民の転出・転入は,多大な件数(平成14年度においては約450万件)に上っているが,住民の転出・転入の手続には,転入届の際に転出地での住民票の情報を記載した転出証明書を添付しなければならなかった(法22条2項,住民基本台帳法施行令(以下「施行令」という。)23条)。しかし,住基カードの交付を受けている者が,施行令に定める一定の事項が記載された付記転出届を郵送等により提出した場合には,当該付記転出届をした日の後にその者が最初に行う転入届であって,その者の住基カードを添えて行われるものについては,転出証明書の添付を要しないこととされた(法24条の2第1項)。
g 住基カードの有用性
住基カードは,公的個人認証アプリケーションがプレインストールされ,電子証明書及び秘密鍵の格納媒体となるものであり,① カードに格納された住民票コードにより本人確認を迅速かつ確実に行うことができること,② 市町村が条例で定めるところにより,多目的カードとして活用できるなど,電子政府・電子自治体において,キーデバイスとしての役割を果たすものである。さらに,③ 写真付きのものは公的な身分証明書としても活用できる。
(オ) 地方自治の侵害
(原告らの主張)
市町村の各自治体は,住民の個人情報を管理してきた主体であり,地域住民の個人情報が違法に使用されないよう住民の自己情報コントロール権を保護すべき義務を負っている。住基ネットにより,住民の個人情報が市町村外に流出する場合,住民はもとより,その権利を保護すべき市町村自体も,その情報が,いつ,いかなる機関から,何の目的で使用されたのか,という使用履歴を情報処理機関に対して開示請求できてしかるべきである。しかし,このような開示請求権は保障されていない。したがって,住基ネットの稼働は,地方自治の本旨にもとり,憲法92条,94条等に違反するものである。
(被告らの主張)
住基ネットは,法に基づき運用されているものであり,地方自治を侵害するものではない。なお,市町村長は,都道府県知事・指定情報処理機関を経由して国の機関等に対して,報告要求等を行うことができる。
イ 内閣による改正法施行等の違法性等
(原告らの主張)
(ア) 内閣,内閣総理大臣及び各主務大臣は憲法11条,13条,99条に基づき,法が違憲であることが明白な場合は,当該法の執行により違憲状態が惹起されることを回避する義務を負う。
内閣,内閣総理大臣及び総務大臣は,法が違憲であることが明白であるのに,平成13年12月28日,改正法を平成14年8月5日から施行する本件政令を定めたものであって,その行為は職務上通常尽くすべき注意義務を尽くすことなく漫然と行われたものとして違法であり,そのことについて内閣,内閣総理大臣及び総務大臣には故意又は重大な過失があった。
(イ) 内閣,内閣総理大臣及び総務大臣は,改正法施行日である平成14年8月5日までに,改正法附則に定める万全の「所要の措置」を講じる義務があったにもかかわらず,これを行わなかった。また,改正法附則1条2項は,政府に対し,3年以内に「個人情報保護に関する法整備を含めたシステムを速やかに整え」た上で,これを施行することを義務付けている。したがって,政府としては3年以内に「個人情報保護に関する法整備を含めたシステムを速やかに整えること」ができないと判明した段階で,施行の延期を含めた改正法案を提出する義務があった。よって,平成14年8月5日に漫然と住基ネットを稼働したのは,改正法附則1条2項に反して明らかに違法である。
なお,行政機関の保有する個人情報の保護に関する法律(以下「行政個人情報保護法」という。)は,① 本来の業務処理に必要な範囲を超えた名寄せの制限が規定されていない,② 複数の行政機関相互におけるデータマッチングの制限が規定されていない,③ 行政機関による個人情報の利用状況等を監視する第三者機関を置いていない,④ 利用目的の変更を広範に認め(同法3条3項),また目的外利用も緩やかに認めている(同法8条)という問題点がある。したがって,政府はいまだに「所要の措置」を講じているとはいえず,改正法附則1条2項に違反した違法状態は継続しているというべきである。
内閣,内閣総理大臣及び総務大臣は,改正法附則に違反して事務を処理してはならない旨の職務上の法的義務に違背して,本件政令を制定し,本件政令どおりの施行を各府県に指導,強要したものであり,この行為は違法であり,内閣,内閣総理大臣及び総務大臣に故意又は過失がある。
(ウ) 内閣,内閣総理大臣及び総務大臣は,住基ネットのセキュリティが極めて脆弱であり,個人情報の漏えい(外部接続による危険,システムの施設・管理の外注委託による危険,内部からの漏えいの危険)や目的外利用の危険性が極めて高い実情にあることを知りながら,漫然と平成14年8月5日に住基ネットを稼働したのは,原告らのプライバシー権を侵害するものであって違法である。
a 住基ネットは,全国の市町村の個人情報を共有するシステムであり,システムの規模が壮大であり,外部を含めてネットワークで結ばれるものであるから,どこか1か所でもセキュリティが不十分なところがあればシステムへの不正侵入や情報漏えいが生ずる危険性が高い。
b 都道府県又は指定情報処理機関が保有する情報は,本人確認情報に限定されているとはいえ,市町村のCSには本人確認情報以外の住民基本台帳データも蓄積され,住基ネットを通じて流通することになる。
c 長野県の個人情報保護審査会が行った住基ネットの侵入実験でも,市町村のCSが乗っ取られて踏み台となり,住基ネット網を介して,各市町村のCSや指定情報処理機関のサーバ内の本人確認情報が閲覧され,漏えいしたり,改ざんされたりする危険があることが実証された。各種サーバの乗っ取り自体は,平均的なコンピューター・ネットワークエンジニアであれば可能であり,侵入実験でも既存住基システムのサーバやCSの管理権限奪取には1時間から1時間半で成功しているほか,出先機関の端末からダイアルアップ接続を通じて庁内LANに進入することも30分程度で可能であった。
d 市町村によるチェックリスト方式の点検は自己点検にすぎず,都道府県等による指導・助言も,市町村の自己申告に基づいて行うにすぎない。点検項目も恣意的に設定されている。また,この点検により,住基ネット稼働後約10か月が経過した段階で,3215ある市町村のうち1割の市町村で,基本的なセキュリティ対策が不十分であることが明らかになった。また,外部監査法人による市町村のシステム運営監査については,監査が行われた市町村が108団体のみであり,その監査の方法や結果も明らかでない。さらに,指定情報処理機関による各市町村のCSに対する監視も不十分である。
e コンピューターウイルス,セキュリティホール対策も十分ではない。
f セキュリティ基準及び「住民基本台帳ネットワークシステム及びそれに接続している既設ネットワークに関する調査票(以下「チェックリスト」という。)」を遵守していなければ,本人確認情報の漏えい,改ざんの具体的危険があることは当然であるが,以下のとおり,多くの市町村では遵守できていないのが実情である。
例えば,吹田市では,平成16年12月以前に重要機能室への入退室管理簿が作成されていなかったこと,住基ネットの構築・保守等の委託業務について吹田市の書面による承諾を得ずに,系列会社に再委託をしていたことが判明した。
柏原市では,重要機能室の入退室管理簿の記載が正確でなく,入退室管理が杜撰であったり,OSに対するログオン失敗履歴,アプリケーションの操作履歴及びファイアウォール(以下「FW」という。)のアクセスログについての確認が不十分であったり,セキュリティ責任者のコンピューターの知識経験が乏しいなどの問題がある。
木津町では,委託業務に関する契約書に再委託を制限する規定がなく,木津町による再委託の事前承認がなかったり,住基ネットの担当職員が不要なアクセスか否かを確認できるほどの技術的知識を有しておらず,FWの具体的な設定内容の確認も業者任せになっていた。
加茂町では,担当職員がセキュリティ設定について委託業者に丸投げして,何も監督していなかったり,アクセスログの確認を十分していないという問題がある。
八尾市では,重要機能室への入退室管理簿の記載が出勤簿のような記載になっており,入退室管理が不十分であること,住基ネットのオペレーションシステムに対するログオン失敗履歴記録などの確認を行った記録がなく,アクセス権限や操作権限の管理がされていないこと,住基ネット機器の保守業務について八尾市による事前の承認を得ずに再委託が行われていたこと,住基ネットと情報系の庁内LANが物理的につながっていること,CS端末が既存住基端末と共用端末であることなど,セキュリティが脆弱である。
被告兵庫県では,操作者識別カードを複数の職員が使い回していたこと,業務端末が設置されていない出先機関の担当者が,業務端末のある出先機関の担当者に対し,本人確認情報の検索等を依頼し,その検索結果をファックスで送信していたことが判明した。
(被告らの主張)
内閣による改正法施行等の行為について,国賠法上の違法が認められるためには,憲法の一義的文言に違反する法をあえて施行したなど,職務上通常尽くすべき注意義務を尽くすことなく漫然と当該行為をしたことが必要であるところ,内閣等にこのような義務違反はない。
平成11年の改正法案の国会審議において,小渕総理大臣から,住基ネットの実施に当たり,民間部門をも対象とした個人情報保護に関する法整備を含めたシステムを速やかに整えることが前提であるとの答弁がされた。そこで,政府は,平成13年3月27日に,個人情報の保護に関する法律案を第151回国会に提出した。そもそも,政府は,立法機関でないから,「所要の措置」とは,法律案の検討,作成,国会への提出を意味するものであって,政府としては上記法律案を国会に提出したことにより,「所要の措置」を講じたことになる。また,改正法自体は,附則1条1項により,公布の日から起算して3年を超えない範囲内において政令で定める日から施行することとされており,上記法律案の成否にかかわらず,定められた日に施行することが義務付けられていた。したがって,上記法律案の提出により,所要の措置を講じたことになり,その法案が改正法施行までに成立しなかったとしても,政府に何ら違法はない。(なお,上記法律案が提出された後,平成14年12月6日に,「与党三党修正要綱」が公表され,同月13日に「個人情報の保護に関する法律案」は,審議未了により廃案(第155回国会)となった。その後,政府は,上記与党三党修正要綱に基づき,平成15年3月7日に,個人情報保護関係5法案(① 個人情報の保護に関する法律案,② 行政個人情報保護法案,③ 独立行政法人の保有する個人情報の保護に関する法律案,④ 情報公開・個人情報保護審査会設置法案,⑤ 行政機関の保有する個人情報保護法等の施行に伴う関係法律の整備等に関する法律案)を提出した。これらは,国会で可決成立し,同年5月30日に公布された。)
また,住基ネットには,後記(2)イ(被告らの主張)(イ)のとおり,セキュリティ対策が講じられているのであり,プライバシーが侵害される具体的危険はない。
ウ 被告府県の知事の改正法施行等の違法性等
(原告らの主張)
(ア) 被告府県の知事は,① 市町村の長に対し住民票コードを指定し,通知すること(法30条の7第1項),② 本人確認情報を磁気ディスクに記録し,保存すること(法30条の5第1項,3項,30条の11第3項),③ 国の機関,他の都道府県の執行機関,法人等へ情報を提供すること(法30条の7第3項,5項),④ 被告財団法人に対し,住民票コードの指定及び通知,国の機関・法人等への本人確認情報の提供等の本人確認情報処理事務を委任すること(法30条の11第1項),⑤ 被告財団法人へ本人確認情報を通知すること(同項)を行い,これらの行為は,被告府県の知事が職務を行うにつきした行為である。
被告府県の知事は,改正法が違憲であることが明白であるにもかかわらず,上記の各行為を行い,住基ネットの施行及び運用を開始したのであって,職務上の法的義務に違反したものであり,そのことについて故意又は重過失があったといえる。
(イ) 被告府県の知事は,万全の所要の措置が講じられていないにもかかわらず,漫然と上記のような施行業務を行い,各知事が有する住基ネット接続を断つ権限を行使していない。このことは,職務上の法的義務違背に該当する。
(ウ) 被告府県の知事は,住基ネットのセキュリティが極めて脆弱であり,個人情報の漏えい(外部接続による危険,システムの施設・管理の外注委託による危険,内部からの漏えいの危険)や目的外利用の危険性が極めて高い実情にあることを知りながら,漫然と住基ネットの施行業務を行い,各知事が有する住基ネット接続を断つ権限を行使しておらず,これは原告らのプライバシー権を侵害するものであって違法である。
プライバシー権侵害の具体的内容は,上記イ(原告らの主張)(ウ)記載のとおりである。
(被告らの主張)
被告府県の各知事の行為につき国賠法上の違法性が認められるためには,職務上通常尽くすべき注意義務を尽くすことなく漫然と当該行為をしたことが必要である。
改正法が違憲でないこと,改正法の施行が違憲・違法でないことは既述のとおりであり,被告府県の知事の各行為に上記のような違法はない。また,被告府県の各知事は,改正法を施行すべき義務を負うのであって,住基ネット接続を断つ権限を行使すべき義務を負わない。
また,住基ネットには,後記(2)イ(被告らの主張)(イ)のとおり,セキュリティ対策が講じられているのであり,プライバシーが侵害される具体的危険はない。
エ 被告財団法人による運用業務の違法性
(原告らの主張)
(ア) 被告財団法人は,改正法が違憲であるにもかかわらず,被告府県の各知事から提供された本人確認情報を保有し,同情報を行政機関等に提供するなど住基ネットの運用業務を行っている。
(イ) 被告財団法人は,住基ネットのセキュリティが極めて脆弱であり,個人情報の漏えい(外部接続による危険,システムの施設・管理の外注委託による危険,内部からの漏えいの危険)や目的外利用の危険性が極めて高い実情にあることを知りながら,漫然と住基ネットの運用業務を行っていることは,原告らのプライバシー権を侵害するものであって違法である。
プライバシー権侵害の具体的内容は,上記イ(原告らの主張)(ウ)記載のとおりである。
(被告財団法人の主張)
住民基本台帳のうち,住所,氏名,生年月日及び性別に係る部分の写しは,従前から何人も閲覧できる上,原告らの主張する自己情報コントロール権の侵害の危険性も抽象的なものにすぎないから,原告らの自己情報コントロール権を侵害することはない。
オ 原告らの権利侵害及び損害
(原告らの主張)
(ア) 国会議員は,人格権及び自己情報コントロール権を侵害する法改正を行い,内閣,内閣総理大臣及び総務大臣は,国民のプライバシー権の保護のための「所要の措置」を講じないまま,平成14年8月5日から住基ネットの運用を強行した。原告らの本人確認情報は,既に国の264事務で使用されており,この範囲は今後も拡大されるおそれがあり,最終的には民間による利用も行われるおそれがある。本人確認情報の範囲も,無制限に拡大されるおそれがある。本人確認情報は,非常にセキュリティの弱い住基ネット上で流通しているのであり,住基ネット上の本人確認情報は,外部からの侵入や漏えいあるいは目的外利用や不正使用の危険性にさらされている。原告らのこの精神的苦痛を慰謝するには,被告国に対し,原告1人当たり10万円の慰謝料の支払を負担させるのが相当である。
(イ) 被告府県の各知事は,違憲の改正法に基づいて,原告らの本人確認情報を被告財団法人に提供した。そして,被告財団法人は,これらの本人確認情報を保有し,行政機関等に提供している。これにより,原告らは,現に人格権,自己情報コントロール権を侵害されているほか,今後も,原告らの本人確認情報が外部からの侵入や漏えいあるいは不正使用の危険にさらされる。原告らの精神的苦痛を慰謝するには,被告府県及び被告財団法人に対し,原告1人当たり10万円の連帯支払を負担させるのが相当である。
(ウ) 原告らは,それぞれ,本件各訴訟を原告らの訴訟代理人らに委任し弁護士費用を支払う旨約した。そこで,被告らには,原告らの支払う弁護士費用相当損害金として,原告らの損害請求額の1割を負担させるべきである。
(被告らの主張)
否認する。原告らの主張するように,住民票コードを住民票に記載したり,法定の事務について本人確認情報を行政機関等に提供したりするだけで,原告らの権利が現実に侵害されたといえないから,損害も発生していない。
(2) 差止請求及び抹消請求(以下「差止請求等」という。)について
ア 差止め及び抹消(以下「差止め等」という。)の可否
(原告らの主張)
憲法13条は,国民が公権力から一方的に管理の客体に置かれないという人格権を保障している。また,同条は,自己情報コントロール権を保障している。住基ネットの稼働により,人格権又は自己情報コントロール権が侵害される危険性がある場合には,住基ネット事務の差止めや本人確認情報の抹消を求めることができる。
(被告らの主張)
前述したとおり,原告らが主張する「国民が公権力から一方的に全人格的な管理の客体に置かれないという人格権」は憲法上保障されていない。プライバシーは,法的保護に値する人格的利益であるが,その概念自体不明確であり,差止めが認められるほどに排他性を有する絶対権又は支配権とはいえない。また,プライバシーの内容は,みだりに私生活へ侵入されたり,他人に知られたくない私生活上の事実又は情報を公開されたりしない利益であり,自己情報コントロール権は含まれない。
イ 権利侵害の危険性
(原告らの主張)
原告らは,一方的に住民票コードを付されることにより,公権力の管理の客体とされないという人格権を侵害されている。
また,被告らによる住基ネットの構築・運用は,個人情報の漏えい(外部接続による危険,システムの施設・管理の外注委託による危険,内部からの漏えいの危険)や目的外利用の危険性が極めて高い。具体的危険の内容は,上記(1)イ(原告らの主張)(ウ)記載のとおりである。
(被告らの主張)
(ア) 人格権侵害について
前記(1)ア(イ)(被告らの主張)記載のとおり,住民票コードを住民票に記載することが原告らの人格権を侵害することにはならない。
(イ) セキュリティ対策
住基ネットには,以下のとおりのセキュリティ対策が講じられているのであり,プライバシー権が侵害される具体的危険はない。
a 制度面からの対策
① 都道府県,指定情報処理機関が保有する情報は,本人確認情報に限定されており(法30条の5第1項),② 本人確認情報の提供を受ける行政機関の範囲や利用目的を限定し(法30条の6,30条の7第3項ないし第6項,30条の8,別表),本人確認情報の提供を受ける者に対し,目的外の利用又は提供を禁止し(法30条の34),都道府県知事及び指定情報処理機関に対し,法律の規定によらない本人確認情報の利用及び提供を禁止している(法30条の30)。③ 市町村はCSの管理責任を負い,都道府県は都道府県サーバ(都道府県の住民の本人確認情報を保存)と都道府県ネットワークの管理責任を負い,指定情報処理機関は全国サーバ(全住民の本人確認情報を保存)と全国ネットワークの管理責任を負う。④ 住民票コードの利用を厳しく制限し,⑤ 都道府県,市町村及び指定情報処理機関は緊急時対応計画を定め,本人確認情報の漏えい等の危険が具体的に発生した場合には,相互に連絡調整を行い,被害拡大を防止するための措置等を講ずることとされている。
b 外部からの侵入防止対策(物理的なセキュリティ対策)
セキュリティ基準において,建物等への侵入の防止,重要機能室の配置及び構造,入退室管理,磁気ディスク,構成機器及び関連設備,データ・プログラム・ドキュメント等の管理等,外部からの侵入に対する物理的なセキュリティ対策を関係機関に義務付けている。特に,市町村においてチェックリストに基づく自己点検,これに基づく都道府県,指定情報処理機関及び総務省による指導,助言を実施している。
なお,セキュリティ基準及びチェックリストは,これを遵守しなければ,本人確認情報の漏えい,改ざん等の具体的危険が生じないという基準を設定したものではなく,更に高いレベルの安全性を実現することを目的としているため,仮にセキュリティ基準の一部が達成されていなくても,またチェックリストで最高点に満たない項目があったとしても,直ちに,本人確認情報の漏えい,改ざんの具体的危険があるとはいえない。
c 外部からの侵入防止対策(電気通信回線経由による侵入に対する対策)
以下のような対策を実施している。① 専用回線と専用交換装置を採用し,閉鎖的ネットワークを実現している。② サーバ間で相互認証・暗号通信を実施している。③ 住基ネットの通信プロトコルには,インターネットで用いられる汎用的なプロトコルを使用せず,独自プロトコルによる通信を行っている。④ 指定情報処理機関において,コンピュータウイルス,セキュリティホールの発生情報を入手し,ウイルス対策ソフトの新パターンファイルの配布や対応方法の通知を全団体に対して行っている。⑤ 指定情報処理機関監視FW等により不正な通信の遮断と監視を行っている。⑥ システム全体で統一ソフトウェアを導入することにより,住基ネット全体で均質かつ高度なセキュリティ確保を実現している。
d 内部の不正防止対策
① 住基ネット事務の関係者に対する重い刑罰や監督の実施,② 本人確認情報の照会条件の限定,③ 住基ネットの操作者識別カード認証によるアクセス制御,④ アクセスログの定期的解祈と調査,⑤ 住民に対する本人確認情報提供状況の開示,⑥ 一定時間に一定数以上の住民票の写しの広域交付を停止すること,⑦ 担当職員に対する教育・研修の実施等の対策を採っている。
e 外部監査等によるセキュリティの確保
① チェックリストを活用した市町村のセキュリティ対策の徹底,外部監査法人による市町村のシステム運営監査,② 模擬攻撃によるセキュリティの確認・強化を行っている。
f 住基カードのセキュリティ対策
① 住基カードは,住民の申請により交付する(法30条の44第3項)。② 市町村の独自サービスの範囲は,市町村が条例で定める目的に限定され(法30条の44第8項),どの市町村の独自サービスを受けるかは住民が選択できる。③ 住基カードの半導体集積回路上に割り当てられた領域には,条例利用アプリケーションに係るシステムへアクセスするための利用者番号以外の個人情報を記録しない(カード内に,様々な個人情報が蓄積されることはない。)こととされている。④ 基本利用アプリケーションの利用領域を利用することのできる機関及び目的は制限されており,それ以外の利用は禁止されている。⑤ 住基カードの券面記載は4情報のみであり,希望する場合には,氏名のみにすることができる(住民基本台帳法施行規則(以下「施行規則」という。)38条)。⑥ ICカードを用いて,暗証番号の設定,不正利用防止情報の設定等を行うなど技術面のセキュリティ対策を実施している。⑦ 発行前の住基カードの適正管理,適切な交付,発行委託の制限,発行した住基カードの適正管理等を行っている。
g 長野県が行った住基ネットの侵入実験について
上記侵入実験は,市町村設置FWを回避して,重要機能室に物理的に侵入し,施錠を開けるなど通常の対策を幾重にも外して,CSに直接攻撃端末をつなぎ,初めてそのOSの管理者権限を取得したとしているものであって,このようなおよそ想定し難い極めて特異な方法でCSのOSの管理者権限が取得されたからといって,CSの管理者権限の取得が容易に行われるということはできない。さらに,住基ネットアプリケーションは各種のセキュリティ対策が講じられており,CS,CS端末のOSの管理者権限を取得したとしても,住基ネットアプリケーションを起動させることすらできないから,CS,CS端末のOSの管理者権限を取得したことは,住基ネットの危険性を何ら示すものではない。
出先機関の端末からダイヤルアップ接続を通じて庁内LANに侵入することができたとの点も,出先機関の庁舎内に物理的に入り込んだ上で,出先機関のISDN回線を接続したものにすぎず,庁舎外の端末から,セキュリティ対策の不備を突いて,ダイヤルアップ接続により庁内LANに不正に侵入したものではな
