第283号　いわゆる「マイナンバー制度」最高裁合憲判決に関する一考察　

～最高裁第1小法廷令和5年3月9日判決※1～

１．はじめに
 本稿は、いわゆる「マイナンバー制度」に関する2023年3月9日の最高裁第1小法廷判決を紹介し検討するものである。
 近時、政府によりマイナンバーカードの普及が進められており、その在り様は、実質的な取得義務付けではないかとの批判さえある状況である。そうした中で、本判決は、初めて最高裁が「マイナンバー制度」に関する憲法判断を示したものとして注目すべきものであり、速報的に本判決を紹介、検討することには、少なからず意味のあるものと考えている。
 本判決の事案は、以下の通りである。すなわち、「行政手続における特定の個人を識別するための番号の利用等に関する法律」（以下、番号利用法）に基づいて特定個人情報（個人番号を内容に含む個人情報）の収集、保管、利用または提供行為が憲法13条で保障されているプライバシー権を侵害しているとして、個人番号の利用、提供等の差止めと削除を求めるとともに、国家賠償等を求めた事案である。

２．判例要旨
 本判決は、先例※2を踏まえて、「憲法13条は、国民の私生活上の自由が公権力の行使に対しても保護されるべきことを規定しているものであり、個人の私生活上の自由の一つとして、何人も、個人に関する情報をみだりに第三者に開示又は公表されない自由を有するものと解される」とした上で、番号利用法に基づく行政機関等の特定個人情報の利用、提供等が当該権利を侵害するかどうかを検討している。
 すなわち、番号利用「法は、個人番号等の有する対象者識別機能を活用して、情報の管理及び利用の効率化、情報連携の迅速化を実現することにより、行政運営の効率化、給付と負担の公正性の確保、国民の利便性向上を図ること等を目的とするものであり、正当な行政目的を有」し、「個人番号の利用範囲について、社会保障、税、災害対策及びこれらに類する分野の法令又は条例で定められた事務に限定することで、個人番号によって検索及び管理がされることになる個人情報を限定するとともに、特定個人情報について目的外利用が許容される例外事由を一般法よりも厳格に規定し」、そして、「特定個人情報の提供を原則として禁止し、制限列挙した例外事由に該当する場合にのみ、その提供を認めるとともに、上記例外事由に該当する場合を除いて他人に対する個人番号の提供の求めや特定個人情報の収集又は保管を禁止するほか、必要な範囲を超えた特定個人情報ファイルの作成を禁止している」ことから、「番号利用法に基づく特定個人情報の利用、提供等は、上記の正当な行政目的の範囲内で行われている」とした。また、同法の条文からすれば、政令や個人情報保護委員会規則への委任は白紙委任であるとはいえないとした。
 そして、「特定個人情報の中には、個人の所得や社会保障の受給歴等の秘匿性の高い情報が多数含まれることになるところ、理論上は、対象者識別機能を有する個人番号を利用してこれらの情報の集約や突合を行い、個人の分析をすることが可能であるため、具体的な法制度や実際に使用されるシステムの内容次第では、これらの情報が芋づる式に外部に流出することや、不当なデータマッチング、すなわち、行政機関等が番号利用法上許される範囲を超えて他の行政機関等から特定の個人に係る複数の特定個人情報の提供を受けるなどしてこれらを突合することにより、特定個人情報が法令等の根拠に基づかずに又は正当な行政目的の範囲を逸脱して第三者に開示又は公表される具体的な危険が生じ得る」としながらも、「番号利用法に基づく特定個人情報の利用、提供等に関して法制度上又はシステム技術上の不備があり、そのために特定個人情報が法令等の根拠に基づかずに又は正当な行政目的の範囲を逸脱して第三者に開示又は公表される具体的な危険が生じているということもできない」とした。
 以上のことから、「行政機関等が番号利用法に基づき特定個人情報の利用、提供等をする行為は、個人に関する情報をみだりに第三者に開示又は公表するものということはできない。したがって、上記行為は、憲法13条の保障する個人に関する情報をみだりに第三者に開示又は公表されない自由を侵害するものではないと解するのが相当であ」り、「番号利用法に基づき上告人らの特定個人情報の利用、提供等をする行為は上告人らのプライバシー権を違法に侵害するものであるとする上告人らの主張にも理由がない」として、本件上告を棄却した。

３．検討
 住基ネットに関する最高裁判決では、個人情報をみだりに第三者に開示または公表しない権利が憲法13条で保障されているものと理解した上で、行政目的が正当であり、対象が秘匿性の高い情報でないこと、そして、法制度上またはシステム技術上の不備により不当に行政目的の範囲から逸脱して第三者に開示または公開する具体的危険性がないことから、住基ネットによる個人情報の収集、管理、利用は、当該権利を侵害するものではないとして合憲であるとしている。
 本判決も、基本的な考え方は同じであると考えられるが、住基ネットの事案とは異なり、秘匿性の高い情報が含まれない点への言及はない。それは、本件事案であるマイナンバー制度の場合には、「特定個人情報の中には、個人の所得や社会保障の受給歴等の秘匿性の高い情報が多数含まれる」からであると考えられる。したがって、本判決は、行政目的が正当であり、法制度上またはシステムの技術上の不備により不当に行政目的の範囲から逸脱して第三者に開示または公開する具体的危険性がなければ、秘匿性の高い情報でも、本人の同意なしに、収集、保存、利用できるものと読むことができ、個人情報保護という点では、住基ネット等の関する従来の最高裁判決よりも後退した判決ということもできるだろう※3。
 また、行政目的の正当性の判断について、「行政運営の効率化、給付と負担の公正性の確保、国民の利便性向上を図る」といっても、国民である本人の同意を前提としない以上、本来は国民の利便性で正当化することは難しいはずであり、その意味では、主に行政側の都合によるものであり、そうであるとすれば、本判決の説明の程度で、憲法上の権利の制限に係る行政目的の正当性を肯定して良いのかどうかについても疑問がないわけではない。
 さらに、憲法学では、一般に自己情報コントロール権説が通説とされているが、しかし、正確には、本判決も含めて最高裁判決の考え方がそれと異なっていることは、あらためて指摘しておくべきだろう。
 つまり、一般に、自己情報コントロール権説では、「個人に関する情報をみだりに第三者に開示又は公表する」だけでなく、本人が同意することなく、個人に関する情報の収集、保存、利用することも権利侵害、あるいは制限するものと理解している。しかしながら、最高裁の考えでは、憲法13条で保障する権利は、あくまで「個人に関する情報をみだりに第三者に開示又は公表されない自由」であり、「個人に関する情報をみだりに第三者に開示又は公表」の具体的な危険性を生じるに至らない個人に関する情報の収集、保存、利用は、権利の侵害や制限とはならないのである。
 自己情報コントロール権説が提唱されて、すでに半世紀ほど経っており、しかも、当時とは比べものにならないぐらいに情報社会が進展している。そのことを踏まえた場合、最高裁の考え方をどのように評価すべきかについては、1つの重要な論点になるものと思われる。また、もちろん、仮に憲法学の通説である自己情報コントロール権説の立場で考える場合でも、それは無制限に認められる権利ではないため、マイナンバー制度を合憲と判断する余地はあるものと考えられる。ただし、その場合には、行政目的の正当性等の判断基準は、これまでよりも高く設定されるべきだろう。
 そして、最高裁の考え方には、法令上の決まりと罰則があれば、当然にその決まりが遵守されるとする楽観主義的な思考があるものと考えられる。もし、そうした思考で良いのであれば、罪刑法定主義を前提とする社会においては、おそらく犯罪行為は存在しないだろう。逆にいえば、罪刑法定主義を前提とする社会でも犯罪行為が存在する現実が、こうした楽観主義の限界を示しているものと思われる。加えて、情報漏洩を導く技術も日進月歩であることからすれば、システム技術上も、どこまで安心して良いものか、疑問が残る。したがって、法令やシステム技術上のセキュリティによって、特定個人情報の漏洩や目的外使用等の危険性が軽減できるとしても、その「危険性は極めて低い」と評価して良いものかは判断の難しいところであるといえよう。そうであるとすれば、はたして、「特定個人情報が法令等の根拠に基づかずに又は正当な行政目的の範囲を逸脱して第三者に開示又は公表される具体的な危険が生じているということもできない」といい切ることができるのだろうか。本判決は、「行政機関等が番号利用法に基づき特定個人情報の利用、提供等をする行為は、個人に関する情報をみだりに第三者に開示又は公表するものということはできない」ことを前提に合憲判断を導いているが、しかし、情報技術の急速な展開を踏まえれば、むしろ、「個人に関する情報をみだりに第三者に開示又は公表する」可能性を認めた上で、それでもなお、「行政機関等が番号利用法に基づき特定個人情報の利用、提供等をする行為」が必要であり正当であることを説明することを求めるべきではないだろうか。
 以上のように、自己情報コントロール権説との関係を除くとしても、行政目的の正当性の基準は、もっと高く設定されるべきであろう。

４．おわりに
 そして、「個人に関する情報をみだりに第三者に開示又は公表する」可能性を認めた上で判断するとすれば、個人に関する情報をみだりに第三者に開示又は公表された場合（つまり、漏洩や目的外使用が行われた場合）の事後救済制度を整備することも、合わせて求められるのではないだろうか。しかも、個人情報の漏洩や目的外利用等のリスクも、行政機関によるものばかりでなく、マイナンバーカードの紛失等に伴う私人によるものも考えられるはずだが、本判決では、その点を十分に考慮していない。また、本判決がいうように、仮に個人情報の漏洩等は抽象的な可能性に留まるものであるとしても、万が一、それが現実になった場合の労力も含めた損失の大きさを考えれば、具体的な危険性がないということで終わらせて良いのかどうかは大いに疑問である。現実になった場合の損失が大きい場合には、たとえ損失が生じる可能性が低い場合であったとしても、具体的な危険性を認めるべきではないだろうか。つまり、損失の生じる可能性と、現実になった場合の損失の大きさの相関関係で具体的な危険を理解すべきではないだろうか※4。
 マイナンバーカードの取得が進まなかった要因は、おそらく、当該制度の行政目的が国民の権利・利益を制限するほどには十分に納得されていない（つまり、説明の水準が満たされていない）ことに加えて、万が一、個人情報の漏洩等が生じた場合の損失（本人がマイナンバーカードを紛失する等、行政機関以外に起因するものも含む）への懸念があるからだと思われる。そうであるとすれば、多くの国民が納得して安心できる制度にするためには、今回の最高裁判決でよしとするのではなく、今後、当該制度の行政目的に関して、国民の権利・利益を制限するほどに十分な説明がなされるべきであり、万が一の個人情報の漏洩等に関する事後救済制度の整備も進められなければならないものと思われる※5。

＊本研究は、JSPS科研費JP22K01139の助成を受けたものです。
 This work was supported by JSPS KAKENHI Grant Number JP22K01139.

（掲載日　2023年3月24日）