平成16年(ワ)第16702号 損害賠償請求事件
原 告 ○○○○ 外118名
被 告 西東京市

              準 備 書 面 (4)

 平成17年6月10日
東京地方裁判所 民事第7部 合B通係 御中

                  原告ら訴訟代理人弁護士  清水 勉
                                                                      
                    同      弁護士  増田利昭
                                                                      
                    同      弁護士  鈴木雅人
                                                                      
                    同      弁護士  佐 渡 島   啓
                                                                      
                    同      弁護士  結城大輔
                                                                      
                    同      弁護士  冨田千鶴
                                                                      
                    同      弁護士  関口正人



1. プライバシー権の権利性について
 他者に知られたくない個々人の私生活上の情報がみだりに他者に開示された
り,他者が私事に属する領域に侵入してくる場合には,個人の私生活における
平穏が侵害されるのみならず,自らの生き方を自らが決定するという人格的自
律を脅かされることとなるから,このような,私事の公開・私生活への侵入か
らの自由としてのプライバシーの権利は,憲法の基本原理の一つである「個人
の尊重」を実現する上での要となる権利の一つであって,いわゆる人格権の一
内容として,憲法13条によって保障されていると解すべきである。
 ところで,近年,IT(情報技術)の急速な発達により,コンピュータによ
る膨大な量の情報の収集,蓄積,編集,伝達が可能となり,またインターネッ
ト等によって多数のコンピュータのネットワーク化が可能となった。公権力や
一般企業においては,これらを利用して広範な分野にわたる個人情報が収集,
蓄積,利用,伝達されているところ,このようなデジタル情報は,半永久的に
劣化しないで保存できること,瞬時に複製,伝達できて,短時間に爆発的に増
殖させることができること,複製されても,そのことが容易には判らず,伝達
先を把握することはほとんど不可能であること,書き換えも容易であり,書き
換えられていることが外観上は判らないこと等の特性があり,一般の住民の間
には,自己の個人情報が自己の知らぬ間に収集,利用されることについては,
これが漏洩等によって拡散し,悪用され,自己の私生活上の平穏が侵害される
ことへの不安が高まっており,実際に,個人情報の大量漏洩や個人データの不
正な売買といった事案が相次いで社会問題化しており,住民の間に強い不安を
もたらしている。このような社会状況に鑑みれば,私生活の平穏や個人の人格
的自律を守るためには,もはや,プライバシーの権利を,私事の公開や私生活
への侵入を拒絶する権利と捉えるだけでは充分ではなく,自己に関する情報の
他者への開示の可否及び利用,提供の可否を自分で決める権利,すなわち自己
情報をコントロールする権利を認める必要があり,プライバシーの権利には,
この自己情報コントロール権が重要な一内容として含まれると解するべきであ
る(甲6)。
      
2.行政と住民・国民の相互関係
 従来,行政と住民・国民との相互関係は,法令・条例等に基づく命令にしろ
便益の供与にしろ,行政から住民・国民に対して一方的に行為することが前提
となっており,住民・国民の行政に対する行為は直ちに法的効力を生じるもの
ではなく,行政の具体的な行為を引き出すためのきっかけに過ぎなかった。
 このような関係との比較からすると,個人情報保護制度は従来の行政と住民・
国民の相互関係に重大な変化を生じさせている。そこでは,住民・国民は一方
的な受身の存在ではなく,自分の意思に基づいて積極的に行政に働きかける権
利(開示請求権等)を有し,行政は原則としてこれに応じる法的義務を負って
いる。
 なぜ,このような変化が生じたのか。
 行政は多種多様な個人情報を日々大量に扱っている。このことは特に住民・
国民の生活にとって身近な存在である基礎自治体(市区町村)に当てはまる。
行政が住民・国民に対して公平かつ迅速な行政を行おうとするとき,住民・国
民に関する正確な情報を取得していることが前提条件となる。しかし,行政に
おいて常に的確に把握し得ているとは限らない。意図せずに誤った情報や古く
なった情報等々によって実情にそぐわない判断評価をしてしまうおそれがある。
 他方,そのような判断評価によって最も深刻な不利益を受けるのは当該情報
に対応している個人である。この最も利害関係の深い個人にこそ当該個人の情
報をチェックすることを権利として保障し,誤った情報や古い情報,必要なく
なっている情報などを発見し排除することは,当該個人にとっても行政にとっ
ても極めて合理的な対処法だということができる。
 行政が住民・国民の個人情報を多方面において扱うことが常態となっている
今日の社会にあっては,住民・国民にこのような権利を認めることは必要不可
欠になっている。
      
3. 現行法体系における自己情報コントロール権保護の施策
(1) はじめに
 自己情報コントロール権という用語は憲法に明記されているわけではないし,
法令,条例等において明記されているわけでもない。しかし,この用語が使わ
れているかどうかということと,自己情報コントロール権で保障しようとする
内容が具体的に規定されているかどうかということとは別である。自己情報コ
ントロール権という用語が使われていなくても,その内容を具体的に規定して
いるものであるならば,自己情報コントロール権を保障していると理解すべき
である。
 以下にみるとおり,西東京市個人情報保護条例(平成13年1月21日条例第13
号,改正平成17年3月30日条例第2号)(以下,「本件条例」という。)(乙
2),『行政機関の保有する個人情報の保護に関する法律』(平成15年5月30
日法律第58号)(以下,「行政機関個人情報保護法」という。),『個人情報
の保護に関する法律』(平成15年5月30日法律第57号)(以下,「個人情報保
護法」という。)は,いずれもその内実において自己情報コントロール権を保
障する内容になっている。
(2) 本件条例
 本件の被告である西東京市は,本件条例に基づいて個人情報の取扱いを行う
立場にあるので,同条例の規定の仕方こそが本件においては最も重要である。
本件条例1条では,「この条例は,西東京市における個人情報の適正な取扱い
についての必要な事項を定め,個人情報を保護するとともに,自己に関する個
人情報の開示請求等の権利を保護することにより,市民の基本的人権を擁護す
ることを目的とする」と定めている。ここに言う「自己に関する個人情報の開
示請求等の権利」とは,自己情報コントロール権の内容を言い換えたものであ
り,まさしく自己情報コントロール権を保障するというものであり,そのこと
を通じて「市民の基本的人権を擁護すること」を目的とする旨明記している
(甲7)。そして,具体的な権利内容として,開示請求権(13〜14条,18条,
19条),訂正請求権(15条),削除請求権(16条)および中止請求権(17条)
を規定している。
 被告作成の本件条例の運用に関する手引(甲6)においても,「『市民の基
本的人権を擁護することを目的とする。』とは,この条例に定められた手続に
従って個人情報の保護対策を講じることにより,日本国憲法に基づく基本的人
権としてのプライバシーの権利を守ることが,本条例の目的である旨を明記し
たものである。」(11頁)と説明している。ここに言う「プライバシー」こそ
が自己情報コントロール権である。
本件条例が住民に自己の情報に対するコントロール権を具体的に保障した条例
であることは,明らかである。
(3) 合併前の条例
 西東京市は保谷市と田無市が合併してできた自治体である。合併前の保谷市
の個人情報保護条例(平成2年10月8日条例第33号)(甲7)では,条例の目
的について,「この条例は,個人情報の適正な取扱いについての必要な事項を
定め,個人情報を保護するとともに,自己に関する個人情報(以下「自己情報」
という。)の開示請求等の権利を保障することにより,市民の基本的人権を擁
護することを目的とする。」(1条)と規定している。この文言は本件条例1
条と全く同じである。そして,13条以下の規定において,開示,訂正,削除,
中止を請求権として保障している。
他方,田無市についてみると,『田無市電子計算組織に係る個人情報の保護に
関する条例』(昭和61年4月1日条例第6号)(甲8)では,条例の目的につ
いて,「この条例は,田無市の電子計算組織により処理する個人情報の保護に
ついて,必要な事項を定め,市民の基本的人権を擁護することを目的とする。」
(1条)と規定し,開示に関してはこれを請求権として規定しているものの
(14条),訂正・削除については「申請」という位置づけに止まっている(15
条)。しかし,昭和61年という時代においてはこのような規定であっても,か
なり先進的なものだったのである。
ちなみに,平成11年の改正住基法は,都道府県知事に対する個人の権利として
本人確認情報の開示請求権を規定している(30条の37)ものの,本人確認情報
の訂正については「申出」しか認めていない(30条の40)。
(4) 行政機関個人情報保護法
行政機関個人情報保護法は,国の行政機関等が保有する個人情報の扱いを問題
とする法律であるが,第1条の目的規定において,「行政の適正かつ円滑な運
営を図りつつ,個人の権利利益を保護することを目的とする」と規定するのみ
で,本件条例1条のように「自己に関する個人情報の開示請求等の権利を保護
する」ということを明記していない。
しかし,同じ行政機関である自治体と国が個人情報保護について全く異なる考
え方を採用することは考えられない。行政機関個人情報保護法においても,本
件条例と同様に,個人に対して開示請求権(12〜26条),訂正請求権(27〜35
条)および利用停止請求権(36〜41条)を保障していることからすれば,自己
情報コントロール権が保障されていると解すべきである。
(5) 個人情報保護法
個人情報保護法は,個人情報を保有する私人関係を規律する法律である。同法
3条では,「個人情報は,個人の人格尊重の理念の下に慎重に取り扱われるべ
きものであることにかんがみ,その適正な取扱いが図らなければならない。」
という基本理念を示している。
そのうえで,個人情報取扱業者(2条3項)に,正確性の確保(19条)や安全
管理(20条)などに関する義務を定める一方で,個人との関係で開示義務(25
条),訂正等義務(26条)および利用停止等義務(27条)という明記している。
これはまさに自己情報コントロール権の内容である。
(6) まとめ
以上のように,今日における個人情報に関する法令,条例等の法体系において
は,個人情報の適正取扱いを国,地方公共団体,個人情報取扱業者等,大量の
個人情報を収集,管理,流通,利用している機関に対して義務付けているだけ
でなく,開示,訂正,利用停止等の自己の情報に対するコントロール権を個人
に認める規定を整備した相互関係として成り立っている。
個人と国,個人と自治体,個人と大量の個人情報を保有する者との関係は,当
該個人情報の本人について一様に一定の権利を認めるということで定着してお
り,この権利こそ,「個人の人格尊重の理念」,「個人の権利利益」,「市民
の基本的人権を尊重」(本件条例3条1項)など,憲法13条と同一の基本原理
に基づく自己情報コントロール権というべきものである。

4. 個人識別情報の保護の必要性
(1) 4情報の保護の必要
本件では,住民票に記載された住民票コード(住基法7条13号)のプライバシ
ー侵害性を主に問題にしているのであるが,そもそも住基法が氏名,生年月日,
性別,住所の閲覧及び写しの交付を広く一般的に認めていること(11条,12条)
から,氏名,生年月日,性別,住所(以下「4情報」という。)がプライバシ
ー権の対象として保護に値するのか否かが問題になる。
4情報がプライバシー情報として,みだりに収集,流通,開示されるべきでな
いものであるということは,今日の判例上も争いのないところである(宇治市
住民基本台帳データ大量漏洩事件:大阪高裁平成13年12月25日判決(甲9),
江沢民事件:最高裁平成15年9月12日判決等(甲10))。
(2) 名古屋地裁判決
これに対して,名古屋地裁平成17年5月31日判決(以下「名古屋地裁判決」と
いう)(甲11)は,「住民基本台帳の記載事項のうち,住所,氏名,生年月日
及び性別に係る部分の写しについては,従前から何人も閲覧や交付を求めるこ
とが可能であり(住基法11条1項,12条),これらの情報については,秘匿さ
れるべき必要性が必ずしも高いものということはできず」(21頁)と判断して
いる。
しかし,現に,住民基本台帳を閲覧して世帯の家族構成を調べ,母子家庭など
を探し出して訪ねて行き,強制わいせつ行為を行っていたという事件(甲12)
などが発生していることからすると,昭和42年に成立した法律の規定が広く閲
覧を認めていて改正されていないのだから,そのままでよいということにはな
らない。社会変化というものを一切無視した形式論で,プライバシー保護とい
う現実的な要請を拒絶するのは不合理である。
(3) 金沢地裁判決
他方,金沢地裁平成17年5月30日判決(以下「金沢地裁判決」という)(甲13)
では,抽象的一般論としては,「上記4情報は,一般的には個人識別情報であ
って,その秘匿の必要性が高いものではないということはできる。」(58頁)
としているものの,続けて,「しかし,このような個人識別情報であっても,
これを他者にみだりに開示されないことへの期待は保護されるべきである上,
秘匿の必要性は,個々人によって様々である。すなわち,ストーカー被害に遭
っている人にとっては住所について秘匿されるべき必要性は高いし,性同一性
障害によって生物学的な性と異なる性で社会生活を送っている人にとっては性
別について秘匿されるべき必要性は高いといわなければならない。通名で社会
生活を送っている人のうちには,それが戸籍上の氏名でないことを知られたく
ない人がいるであろうし,生年月日をむやみに人に知られたくないと思う人は
少なくあるまい。」(同頁)と述べている。
これらの事情がある人々が置かれている社会的立場ないし状況は極めて深刻で
ある。しかも,これらの事情は,DVやストーカー被害などに典型的に現れて
いるように,特定の個人にのみ生じるものではなく,いつだれに生じるかはわ
からないものであるだけに,行政機関側において個々人についてこれらの事情
を当然に把握しているはずもなく,いつだれについてこれらの事情に基づく個
別の配慮が必要になっているのかはわからない。そうだとすると,一般的には
秘匿の必要性が高くないと考えられがちな4情報であっても,プライバシー権
の対象として保護する必要性があるのである。
翻って,名古屋地裁判決が4情報の要保護性を否定した根拠規定である,住基
法11条,12条の規定については,現在,総務省でさえもが広くだれもが閲覧,
写しの交付の請求ができることを問題だと認識するに至っており,全国の市町
村に対して閲覧制限等を条例によって行うことを薦めている。そして現に,熊
本市を始めとして現在各地の市町村が独自の規制条例を制定しつつあるという
のが現状である(甲14)。

5. 本人確認情報のプライバシー情報性
本人確認情報は上記4情報のほか住民票コード(住基法7条13号)と変更履歴
を加えた情報である(30条の5第1項)。住民票コードは,最初から他者と重
複することがない10桁の数字と1桁の検査数字として作られているから,上記
4情報と異なり,特定の個人の識別が100%確実なものとなっている。被告も,
「本人確認を確実かつ効率的に行うために使用される」ものだとしている(準
備書面(1)10頁)。
(1) 名古屋地裁判決
名古屋地裁判決は次のように指摘している。
「住民票コードは,住民票の記載事項にすぎず,行政機関からの住民に対する
呼称として,氏名等に代わり住民票コードの数字が用いられるという性質のも
のではない。また,今日においては,膨大な情報を管理する便宜上,情報整理
のための番号等を用いて個人ごとの情報を管理することは,日常生活のさまざ
まな場面において通常に行われていることである。したがって,住民票コード
の割当て,あるいはその使用により,原告らの人格権あるいは何らかの人格的
利益が侵害されたものとは認められない。」(20〜21頁)
名古屋地裁判決は,「日常生活のさまざまな場面において通常に行われている」
整理番号と同じものだという理解を示している。
(2) 住基法の規定
果たしてそうだろうか。そうであるならば,住基法が住基ネットの法制化に際
して特別の規定を設けていることをどのように説明するのだろうか。
4情報については広く閲覧と写しの交付を認める規定を設けている住基法も,
住民票コードに関しては,自由閲覧制度の対象としていないばかりか(11条1
項),住民票の写しの記載内容から明確に除外されているほか(12条2項),
市町村長・都道府県知事・指定情報処理機関・国の機関等,市町村長等以外の
者に対して告知要求制限を規定し(30条の42,30条の43第1項・2項),市町
村長等以外の者に対して住民票コードの記載されたデータベースを他に提供す
ることなどを禁止しており(30条の43第3項乃至5項),4情報だけのときと
は明確に一線を画している。
これは,住民票コード及びこれを含む本人確認情報の秘匿性が高度なものであ
ることを前提としないと説明がつかない。
(3) 技術的基準
『電子通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディス
クへの記録及びその保存の方法に関する技術的基準』(以下「技術的基準」と
いう)(乙1)では,建物等への侵入の防止等(3頁),重要機能室の配置及
び構造(3頁),専用回線の使用(4頁),入退室管理(5頁),住基ネット
の管理(アクセス権限の限定,ファイアーウォールによる通信制御,電気通信
関係装置の管理,通信相手相互の認証,データの暗号化など)(5〜6頁),
電子計算機の管理(7頁),磁気ディスクの管理(7頁),データ,プログラ
ム,ドキュメント等の管理(8頁),障害時等の対応(8〜9頁),委託を行
う場合等の措置(9頁),既設ネットワークとの接続条件(9〜10頁)などに
関して様々な指示をしている。
住民票コードやこれを含む本人確認情報を,単なる整理番号と従来から自由に
閲覧できた4情報との組み合わせに過ぎないと解してよいのであれば,技術的
基準においてこのような詳細な指示を出すはずがない。
名古屋地裁判決は,住民票コードないし本人確認情報の特異性ないし問題点を
全く理解していないと言わざるを得ない。
(4) 金沢地裁判決
これに対して,金沢地裁判決は次のように指摘している。
「住民票コードは,それ自体は数字の羅列に過ぎないが,住民票コードが記録
されたデータベースが作られた場合には,検索,名寄せのマスターキーになる
ものであるから,これを秘匿する必要性は高度である(住基法30条の43によっ
て,民間において,住民票コードの告知を求めることや,他に提供されること
が予定されているデータベースを構成することが禁止されているが,本人が自
主的に住民票コードを開示し,これをもとに特定の企業内部で利用するために
データベースを構成することは禁止されていないから,民間においても,住民
票コードが広まっていく蓋然性は高い。)。更に,上記変更情報は,婚姻,離
婚,養子縁組,離縁,氏名の変更,戸籍訂正等の身分上の重要な変動があった
ことを推知させるものであるから,これらを秘匿する必要性も軽視できない。
そうすると,本人確認情報は,いずれもプライバシーにかかる情報として,法
的保護の対象となるというべきであり(早稲田大学事件最高裁判決参照),自
己情報コントロール権の対象となるというべきである。」(58〜59頁)
(5) 「名寄せ」の問題
もちろん,各行政事務は日常的に結合しているわけではないから,通常の事態
として個人情報の名寄せが行われているわけではない。
しかし,どの行政事務においても特定の個人の情報を検索するときに同じ住民
票コードを利用できることになっているならば,いずれかひとつの行政事務に
おいて特定の個人の住民票コードを知ってしまえば,他の行政事務においても
同じ住民票コードで検索できることになる。4情報を照らし合わせていたとき
に比べて,手間の点でも正確性の点でも簡単かつ正確に同一人の個人情報を検
索できる。このような環境こそが個人情報の「名寄せ」をきわめて容易にする
のである。
住民票コードを行政事務における本人確認のために使うには,法律や条例の個
別の根拠が必要だということになっている(住基法別表第1ないし5,30条の
6)が,最初の93事務を国会で決めるときも,オンライン3法によって国の機
関等の行政事務数を93から一挙に264に増やしたときも,国会では個々の行政
事務について住民票コードの必要性に関する議論を全く行っていない。法律や
条例を根拠として必要とするという仕掛けを作ったから,住民票コードを行政
事務に使用することについて十分慎重な検討がなされるという保障はない。そ
れでも構わないとしてしまうのであれば,法律や条例は住民票コードを多面的
に使うための単なる露払いでしかない。
国においても都道府県においても市町村においても,特定の個人の情報がすべ
て同一の住民票コードで管理することを住基法は禁止していないどころか,合
法的に実現できる仕組みにしてある。
(6) 民間利用
行政機関にとっては,住民票コードを含む本人確認情報は本人確認の手段とし
て極めて便利であるだけに,住基法はこれが行政機関以外に利用されることに
対して極めて慎重な配慮をしている(30条の43)。
なぜなら,本人確認情報,特に住民票コードが広く民間で利用されるようにな
ると,様々な企業や団体,個人が管理している個人情報を同一の住民票コード
で簡単かつ確実に検索できてしまうので,だれもが好き勝手に他人の個人情報
の「名寄せ」ができ,本人の知らない間に,個人情報に関して本人が丸裸にさ
れるのと同じ状態が生じうるからである。このような個人情報の商品価値はき
わめて高いので、放って置くと、あっと言う間に様々な場面で使われるように
なってしまう。
ところが,金沢地裁判決が指摘するように,「本人が自主的に住民票コードを
開示し,これをもとに特定の企業内部で利用するためにデータベースを構成す
ることは禁止されていない」(58頁)。禁止されているのは,「他に提供され
ることが予定されているもの」の構成である(30条の43第3項)。「他」の解
釈如何によっては,民間企業等において住民票コードが広範囲に利用されると
いう事態が起こり得るのである。
広く行政も民間も住民票コードによって本人確認をするようになれば,「名寄
せ」は日常的に行えるようになる。これはまさに個人が自分に関する情報を通
して丸裸にされるのと同じである。
したがって,住民票コードと住民票コードを含む本人確認情報は,4情報以上
にプライバシー権の保護の対象として強く保護されるべきである。

6.住基ネットによる本人確認の問題性
(1) 従来の本人確認の方法
住基法は,市町村における住民の居住関係の認証,並びに各種公的サービスの
提供による住民の利便の増進を目的とするものであり(1条),そのために,
個人特定のための情報として氏名,生年月日,性別,住所の4情報の登録を住
民に義務づけていた。
そして,上記の法目的からすれば,実際に公証事務および公的サービスを提供
するためには,当該市町村かぎりで本人確認情報を保有し,具体的な必要に応
じて市町村が4情報を紙情報として出力して,これを必要とする者に交付する
という対応をしてきており,それによって,本人が日常生活ないし社会生活に
おいて著しい支障を生じるということはなかったし,市町村の業務においても
特に支障はなかった。
(2) 本人の同意を欠く送信
これに対して,住基ネットでは,市町村長が各市町村で管理する住民基本台帳
(実際には既存住基CS)の個々人の住民票に新たに住民票コードを記載すると,
これに連動して住基ネットCSに送信され,市町村長は「翌運用日の業務開始ま
でに」(技術的基準第6−6(1)),住民票コード含む本人確認情報を,個々
の住民の同意を得ずに都道府県に送信し,都道府県からLASDECに送信され,そ
れぞれの場からさらに全国に流通する。
のみならず,住基ネットは,すでに原告ら準備書面(3)にて述べたように,本
人確認情報そのものをネットワークに流通させるという「流通型アーキテクチ
ャ」であるため,市町村は,当該市町村CSから外部(都道府県CS,さらには地
方自治情報センターのCS)へ送信された住民の本人確認情報については,その
利用,管理状況をチェックする権限を有しない。言い換えれば,自治事務であ
る住民基本台帳業務について,その責任主体である市町村が管理できないとい
う異常な事態に陥ってしまったということである。
『技術的基準』(乙1)によれば,市町村長は,必要に応じて,都道府県知事
に対し(第6−8(4)イ),都道府県知事を経由してLASDECに対し(第6−8
(6)エ),都道府県知事及びLASDECを経由して国の機関等や他の市町村に対し
(第6−8(1)(2)イ,(3)),「当該市町村の住民に係る本人確認情報の適切
な管理のための措置の実施状況について報告を求め,当該本人確認情報の適切
な管理のための措置の実施について要請を行うこと。」ができる旨規定してい
るが,これらは市町村長に送信しない権限を与えたものではないし,報告を求
められた相手方に報告義務を負わせるものでもない。「要請」に応じることも
法律上の義務になっているわけではない。
(3) 東京都国立市が住基ネットからの離脱を決意した経緯
平成14年8月5日に住基ネットの第一次稼動が開始された当時,国立市では,
他の全国の市町村と同様に住基ネットへの接続を行っていた。しかし,多くの
国民,市民が本人確認情報の漏えいや不正利用の不安を抱いていることから,
特に,ストーカー被害者の転居事実が住基ネットによって極めて容易にわかっ
てしまうことに気づき,この点に関する総務省の見解を質した。これに対して
総務省からの回答があったが,納得の行くものではなかった。
住基ネットによる本人確認情報の検索法は,現在,@住民票コード+氏名+住所,
又は,A住民票コード+氏名+生年月日で,できるようになっている。もともと
被害者と親密な関係になっていた時期があったストーカーやDVの加害者であれ
ば,被害者のA情報を知ってしまっている可能性がある。その場合,加害者は,
A情報をもとに被害者が住民登録した現住所地を全国どこの市町村からでも知
ることができる。このような検索法は住基ネットだからこそできることである。
このような状況も踏まえ,ストーカー・DVの被害者に対する支援の一つとして,
住民票の写し等から当該被害者らに係る記載事項を削除する手続などを要綱で
定めていた国立市では,同年12月26日,「住基ネットでは,国立市支援要綱に
沿ったストーカー等被害者の支援に支障とならない制度・運用が確立されてい
ない」「住基ネットの情報送信によって,加害者を含む第三者からストーカー
等被害者の本人確認情報に対するアクセスが可能となり,個人情報の漏えいの
恐れが生じる」ことを主な理由として,住基ネットの電気通信回線の接続を切
断した(甲15)。
ヤミ金は,ヤミ金から金を借りなければならないような事態に陥っている人に
金を貸すときに,踏み倒されることをおそれて,借主が引っ越しても住所だけ
は確実に押さえたいと考える。そのようなヤミ金にとって住民票コードは極め
て便利なものであるから,これを不正をしてでも入手するということが起こり
かねないを教えるよう言われれば当然に教えるであろうしなども容易に借り主
の所在を調査できることになる(甲16)。
かかる事態が容認されるような事態となっては,個人の生命,身体,財産等に
対する現実的かつ具体的な脅威が横行することになりかねない。
(4) まとめ
したがって,住民基本台帳に住民票コードを記載し,これを外部に送信するこ
とは,個人の自己情報コントロール権を深刻に侵害する行為に他ならない。

7.住基ネットにおける具体的なプライバシー侵害の危険性について
(1) 住基ネットにおける情報の流通と漏洩の危険について
住基ネットは,従来各市町村内で収集・取得され,完結的に管理されてきた住
民の個人情報が,コンピュータ・ネットワーク上を流通するようにしたもので
あるところ,コンピュータ・ネットワークにおいて流通する情報は,情報の大
量蓄積,即時伝達を機能とするコンピュータを使用するシステムの性格上,い
ったん漏洩すれば,その情報が大量かつ網羅的に流出し,甚大な被害が発生す
るものである。また,プライバシーはその性格上,いったん侵害されたらその
回復は不可能である。そして,住基ネットにおいては,住民票コードによる
「名寄せ」が可能であることからして,個人の情報の大量,包括的な入手集積
がなされる危険性が飛躍的に高まっている。
(2) 不正侵入・不正使用の事実の有無
 コンピュータへの不正侵入は,実際の可視的な社会で起こる出来事とちがい,
建物内へ人間が侵入して盗み出し,盗まれたあとには元の物がなくなっている
という事態が起こらず,特別な変化を生じないのでほとんどわからない。遠隔
地からコンピュータ・ネットワークを使って不正侵入して来る者の技術レベル
が高くなれば,不正侵入した形跡そのものを消してしまうので,尚更わからな
い。
対処法としては,@コンピュータを外部に接続しないか,A24時間の監視体制
を敷いて不正侵入と思われる事態が生じたら直ちに外部との接続を断って確実
に漏えいを防ぐかの,いずれかしかない。
@Aのいずれも行われていないのに,「不正侵入はなかった」と断定するのは
誤りである。せいぜい,「不正侵入がなかったと考えている」というところで
ある。その場合,不正侵入はなかったかもしれないし,あったが気づかなかっ
ただけなのかもしれない。
不正侵入が起こっていたことに気づいても,個人の面子,組織の面子のために
この事実を隠すということも起こっている。
不正使用にも同様の問題がある。
したがって、危険な状態になっているということであるならば、危険はいつ現
実になってもおかしくないのであるから、危険はすでに現実化していると考え
るべきである。
(3) 想定される危険
@ 運用関係者等による漏洩等の危険
      実際に発生している事件の圧倒的多数は内部の者による不正行為である。
住基ネットの運用に関わる職員(以下「担当職員」という。)が自己又は第三
者のために意図的に不正行為を行う場合,担当職員が第三者に騙されたりして
不正行為を行う場合,個人情報提供先である国の行政機関等で目的外利用が行
なわれる場合,自治体が住基ネットシステムの開発・管理を委託した民間委託
業者が不正行為を行う場合等,ソーシャルエンジニアリングなどに関連して個
人情報が漏洩する危険性が存在する。
 A 外部からのネットワーク侵入の危険性
      自治体のネットワークシステムがインターネットに接続している場合に
は,ハッカー等が自治体の既存システムに侵入し,そこからさらに住基ネット
CSに侵入する危険がある。住基ネットCSへの侵入が極めて難しいものとして設
定されていたとしても,住基ネットCSで管理する本人確認情報は,もともと既
存住基CSに記録された住民票情報のうちの一部であるから,既存住基CSに侵入
できれば,住基ネットCSに侵入しなくても,住民票情報の書き換えを行うこと
で,このことに気づかない担当職員によって住基ネットCSの本人確認情報を書
き換えることが可能である。
(4) セキュリティ対策の不備
以上のとおり,住基ネットの運用により原告らのプライバシーが侵害される危
険が常に存在しているが,住基ネットではこのような危険を防止するためのセ
キュリティ対策は,ハード面,ソフト面の両方において,到底充分に講じられ
ているとは言えない。
@ ハード面のセキュリティ対策の不整備
本件住基ネットの安全対策としては,専用回線(ヴァーチャル・プライベート・
ネットワーク。以下「VPN」という。),ファイアー・ウォール(以下,「FW」
という),侵入検知装置(以下「IDS」という。)が挙げられるが,それらの実
効性はいずれも疑わしいものである。
VPNは,物理的に独立した回線ではなく,他の通信と共用の通信回線において,
通信データを暗号化することによって他の通信と独立した回線を形成するもの
である。このようにすることによって,送信中のデータを傍受されることがあ
っても,これを第三者に解読できないようにするというものである。したがっ
て,送信中のデータの傍受という点に着目するならば,充分なセキュリティ対
策がとられていると言えなくはない。
しかし,VPNのデータ処理の仕組みは,送信中のデータが暗号化されていると
いうものに過ぎないから,送信前後の段階でのデータ管理がどのようになって
いるかが独自に問題になり,そこでのセキュリティが不十分ならば,個人情報
保護の目的は果たせないということになる。
FWについては,総務省の説明においてよく,「FWがあるから不正侵入の危険は
ない」という言い方がされるが,FWは通信を遮断する壁ではない。壁ならば如
何なるデータ通信もできないのであって,設置する意味がない。FWは通過条件
を満たすものならば,正規の接続でも不正侵入でも区別することなく通過させ
てしまう仕組みであるから,FWがあるから不正侵入を防げるということにはな
らない。長野県の侵入実験においても,実験者は既存住基CSへの侵入こそ果た
せなかったが,FWを通過して庁内LANには侵入したのである。
IDSは不正侵入を検知する仕組みであって,防ぐ仕組みではない。不正侵入を
防ぐには,IDSの設置に併せて2名以上の専門技術者を24時間態勢で立ち合い
監視をさせ,IDSが異常信号(どのような場合に異常信号を発するようにする
かは設定の仕方の問題なので,ひっきりなしに異常信号を発するようにするこ
ともできれば,ほとんど発しないようにすることもできる。)を発したら,即
座に対応できるようにしておく必要がある。実際にIDSが設置されているのは,
LASDECと都道府県だけであり,市町村の住基ネットにはIDSは設置されていな
い。したがって,市町村の住基ネットCSが外部から侵入されても,都道府県や
LASDECはこれに気づかないから,都道府県やLASDECが即座に対応するようには
できていない。仮に市町村が住基ネットCSを守るために独自にIDSを設置し,
2名以上の専門技術者を24時間態勢で監視作業に従事させようとしても,その
コストを全市町村が負担し切れるはずなどなく,ネットワーク全体のセキュリ
ティを高めることなど到底出来ない。
A ソフト面のセキュリティ対策の不整備
技術的基準(乙1)では,体制・規程等の整備,住基ネットの環境及び設備,
住基ネットの管理,既設ネットワークとの接続条件,住基ネットの運用を定め
ているが,これら自体の内容が抽象的であり,全国3,000余りの全市町村がこ
れらを十分に理解した上で具体的に対応できるはずがない(甲17)。
技術的基準以外にも詳細なマニュアルが市町村に対して示されているとしても,
全国の市町村の担当者がこれらをすべて読んで理解し,かつ,その理解に基づ
いてすべて実行しているということもあり得ない。
したがって,全国の市町村が技術的基準をそのとおり実行しているということ
はあり得ない。

8. 長野県侵入実験
長野県は,平成15年9月22日から26日までの間,同月29日から10月1日までの
間,同年11月24日から28日までの間,長野県内の3自治体について,「市町村
ネットワークの安全性」に関する調査(以下,「長野県侵入実験」という)を
行なった。この侵入実験の物理的な範囲は,長野県と上記3自治体との合意に
基づいて,上記3自治体の管理責任の領域内に限っているので,3自治体の住
基ネットCSを通じて長野県やLASDEC,その他の自治体の住基ネットCSへの侵入
はそもそも試みていない。
したがって,長野県の住基ネットCSなどへの侵入は「できなかった」のではな
く,「しなかった」のであり,長野県やLASDECなどの住基ネットCSについて不
正侵入ができないという意味での安全性が確認されたわけではない。
このような限られた範囲内での侵入実験ではあるが,その結果,次のような事
実が明らかになった(甲18)。
@ 既存住基システムやその他の個人情報を保存するコンピュータで構築され
る庁内LANを外部からの侵入から守るインターネット側FWを突破して庁内LA
Nに侵入することが可能であること,さらに,市町村設置FWを突破してCS端末
やCSに到達することが可能であること。
 A 「操作者識別カード」や「パスワード」がなくともCS端末やCSの管理者
権限(アクセス権限)を奪取することが可能であること。
 B CSの管理者権限が剥奪されても,地方自治情報センターは全く検知する
ことができなかったこと。
このうち,@Aは,各自治体によって条件が異なるので,このような状況下に
ある自治体もあれば,そうでない自治体もあるということができる。Bは
LASDECが設置したと説明しているIDSは,市町村の住基ネットCSへの不正侵入
を検知しない設定のされ方になっているということを示している。
また,波田町に対するインターネットからの侵入は,波田町が設置したFWを通
過して庁内LANには入っており,ただ,さらにそこから既存住基CSに侵入しよ
うとしたところ,最新のパッチがすべて当てられていたために侵入できなかっ
たというものである。この侵入実験の直前の8月,コンピュータウィルス『ブ
ラスター』(甲19)が世界的に猛威を振るい,日本国内でも企業や大学など多
くが被害を受け,総務省及び自治体においても一気にセキュリティに関する問
題意識が高まった直後に長野県侵入実験を実施したというタイミングが,侵入
実験を受け入れることにした波田町のセキュリティ対応を特に高度のものにし
たという展開が考えられる。したがって,別の機会に侵入を試みたならば成功
するかもしれないのである。侵入実験の成功不成功とはそのようなものであり,
一度,侵入されなければその後侵入されることはない,というものではない。

9. 法令の定めによるプライバシー権の制限
本件条例10条では,被告が保有する個人情報について,原則として,目的外利
用や外部提供を禁止している(1項)。原告らの本人確認情報は被告が保有す
る個人情報であるから,原則として外部提供が禁止される。
しかし,同条2項では,1項の例外として,(1)乃至(4)に該当するときは,目
的外利用又は外部提供を「することができる。」としている。「することがで
きる」という規定の仕方からして,実施機関に対して目的外利用や外部提供の
権限を与えていることは明らかだが,一般的に目的外利用や外部提供を義務づ
けているものということはできない。
(1)は「本人の同意があるとき」であるから,事故情報コントロール権の保障
という考え方に沿ったものと言える。
(3)は「市民の生命,身体又は財産に対する危険を避けるため,緊急かつやむ
を得ないとき」であるから,緊急事態として本人の同意を得ている時間的余裕
がない場合としてやむを得ないものと言える。
(4)は「前3号に掲げるもののほか,実施機関が,審議会の意見を聴いて,公
益上必要であると認めたとき」であるから,この手続過程において本人の自己
情報コントロール権の保障との関係について慎重に検討することが予定されて
いるから,この点が確実に実行されるならば,例外が認められてよいと考えら
れる。
これに対して,(2)の「法令の定めがあるとき」というのは,具体的にどのよ
うな法令のどのような規定なのか,具体的に明らかでない。しかも,自治体に
関連する法令の規定は,地方自治の本旨に基づいて,かつ,国と自治体との適
切な役割分担を踏まえたものでなければならないし(地方自治法2条11項),
自治体に関連する法令の規定の解釈運用も同様である(同条12項)。
そうだとすると,住基法の規定がここにいう「法令」に該当するというために
は,当然のことながら,本件条例が「個人情報の適正な取扱いについての必要
な事項を定め,個人情報を保護」することにより,「市民の基本的人権を擁護
することを目的とする」(1条)ことからすると,当該「法令」も,個人情報
保護について必要な事項を定めているものでなければならない。
ところが,住基法は,市町村長が住民個々人の住民基本台帳の住民票に一方的
に住民票コードを書き込んだ上,これを4情報と一緒に住基ネットCSに送信し,
そこからさらに個人情報の管理実態が分からない都道府県や他の市町村に送信
することになっている。
この点に関連して,住基法では住民票コードの利用制限(住基法30条の42,30
条の43,44条)などの規定を設けているが,すでに指摘したとおり,現状は,
国の行政事務については264事務全般にわたって本人確認情報を利用すること
が許されることになっており,しかも,行政機関個人情報保護法では,目的外
利用・第三者提供を原則的に禁止しておきながら(8条1項),行政機関にお
いて「業務の遂行に必要な限度」及び「相当の理由」という条件を充たせば,
目的外利用・第三者提供が許される(同条2項)。ここに言う必要性や相当性
の有無の判断は行政機関自らが行うのであり,かつ,いつだれのどのような個
人情報についてその判断がなされているかは外部からは窺い知ることができな
いわけであるから,個人の立場において事前に目的外利用や第三者提供が違法
であることを指摘して目的外利用や第三者提供を止めることはできない。
近時の社会保険庁における年金情報の「のぞき見」事件では,1,500人を超え
る職員が政治家等の著名人の年金情報を業務外で閲覧していた(甲20)。この
ように,行政機関における個人情報保護の意識は実際にはかなり低レベルであ
り,職員の興味本位による個人情報のデータマッチングの危険性も,決して低
いものではない。
名古屋地裁判決はこの点について何も言及していないが,金沢地裁判決は,行
政機関個人情報保護法は「データマッチングや名寄せを防止できるとする根拠
にはなり得ない。」(74頁)としている。
とするならば,現行の住基法,および行政機関個人情報保護法の規定では,個
人情報保護のための規定としては不十分であり,これらをもって「個人情報の
適正取扱いについて必要な事項を定めている法令」と解することはできないか
ら,本件条例10条2項(2)の「法令の定めがあるとき」に該当しないというべ
きである。
この点は,目黒区情報公開・個人情報保護審査会における答申についても,同
様の理由により,住基ネットにかかる住民の自己情報の利用(提供)中止請求
を認めるべきであるとしている(「目黒区個人情報保護条例第27条の規定に基
づく諮問について(答申)」(甲21)参照)。

10. 個人のプライバシー権を優越する公益目的の有無
(1) 国の事務効率
国の行政事務264について本人確認情報を使うことができるという状況は,国
の行政機関等の事務効率の点からして多少のメリットがあるであろうことは想
像できる。
しかし,これについても,全国の市町村・都道府県・国の行政機関等がコンピ
ュータ・ネットワークで繋がっていることからすれば,当事者同士が直接,交
信し合えば済むことであって,都道府県のCSやLASDECのCSを経由する必要はそ
もそもなかった。
(2) 都道府県
 住基法上,都道府県は,市町村から送信されてきた本人確認情報を,自己の
行政事務に使い,また,国の行政機関等や他の都道府県市町村からの求めに対
して提供する作業などを行なう立場である(30条の7)。しかし,実際には全
都道府県知事がLASDECに本人確認情報処理事務を行わせている(30条の10)。
そのため,内容は異なるが長野県や兵庫県のようなごく一部を除くと,住基ネ
ットに関する知識も意欲もほとんどないのが実情であり,実際はLASDECが全面
的に対応している。
 都道府県の行政事務において住基ネットはほとんど価値がない。
(3) 市町村
 住基ネットの導入によって職員の事務作業量及び自治体の運営経費は軽減し
ていない。むしろ,逆に増えている。
専門性が著しく高まったことで,担当職員は専門知識を身につけなければなら
ず,職務時間外の時間を使ってでも専門知識を習得しなければならなくなった。
誤字入力をしてしまった場合,従来であれば,既存住基CSの記録を書き換える
だけでよかったが,住基ネットでは都道府県やLASDECに送信してしまった分に
ついても書き換えの作業が必要であり,数時間以上の時間がかかってしまい,
担当職員は入力ミスをしないよう従来以上に神経を使わなければならなくなり,
また,誤字入力した後,誤字が実際に訂正されるまで神経をすり減らすことに
なる。
市町村だけの事務効率で見た場合,費用対効果(地方自治法2条14項,地方財
政法4条1項)は明らかにマイナスである。
(4) 住民
@ 全国どこででも住民票の交付を受けられる
 全国どこの市町村からでも住民票の交付を受けられるということは,そもそ
もそのような欲求を生じる者が極めて稀であり,住民にとってメリットと言え
るほどのことではない。
A 付記転入転出
 付記転入転出届による転入転出の手続の簡易化ということもメリットとして
挙げられるが,実際の引越しにおいては,単に書類上の引越し手続だけでなく,
子どもの学校の入学手続や介護制度の利用法など,これまで住んでいた自治体
から引越し先の自治体に問い合わせてもらい,引っ越したらすぐに必要な手続
をできるようにするというのが,常識的な引越しであり,このようなことをし
ないで引っ越してしまうと,引越し先の自治体の関係部署に相談するときにゼ
ロから説明しなければならず,極めて煩わしいことになる。
B 旅券申請手続の簡略化
 旅券申請手続に住民票がいらなくなるというメリットについては,初回の申
請では戸籍謄本も必要であるから,省けるのは一緒に住民票を申請しなくてよ
いというだけのことで,ほとんど意味がない。10年に1度の申請手続で住民票
を提出しなくてよいということに意義を実感する人が一体どれほどいるだろう
か,極めて疑問である。
C 住基カード
 住基カードは本人の希望に基づいて各市町村で発行するICカードであるが,
利用できる地域が当該市町村内に限られること,住基カードのサービス内容が
当該自治体の行政サービスに限られること,外国人や企業には交付されないこ
となど,様々な障害があって,住基ネットはほとんど普及していない。
今年3月時点で全国の市町村で50万枚程度しか発行していない。この発行枚数
の異常な少なさは,住基カードが必要ないものであることを示している。
住基カードを身分証明書代わりに利用するために交付申請をする人がいるが,
このような用途であれば,全国一律の仕様である住基カードである必要はなく,
当該市町村が独自に作成すれば足りることである。
(5) 長野県における試算
 住基ネットは市町村の自治事務であるにもかかわらず,ほとんどの市町村が
住基ネットの費用対効果を試算していない。これでは効率的な運用はできない。
試算の結果,市町村にとってプラスに転化しないのであれば,そのような不合
理な制度を運用していること自体が問題である。
『住民基本台帳ネットワークシステムの費用対効果再試算について』(甲22)
からも明らかなように,行政側・住民側のメリットよりも設置・管理・運営等
にかかるコスト(経費)の方が明らかに過大である。『住民基本台帳ネットワ
ークシステムの費用対効果に関する試算表≪集計≫』(甲22)によれば,長野
県においては,平成15年から29年までの15年間にわたり赤字であり,しかも平
成23年までは赤字額も毎年20億円を超える試算となっている。人口1万人未満
の自治体では住民側の利益との差し引き計算をしてもプラスになることはない。
今年2月18日,沖縄県与那原町においては,同町行政改革推進委員会から,住
基ネット接続にかかる費用対効果の観点から,切断を検討すべきとの意見が提
出されているほどである(甲23)。
このような住基ネットの状況および地方財政への過度な負担は,日本全国にお
いて見られる現状である。とすれば,そもそも住基ネットシステムの行政目的
自体に正当性があるとは認めがたいものである。
(6) まとめ
かろうじて,国の行政機関等については多少のメリットがあるかもしれないが,
それ以外の都道府県,市町村,住民にとって住基ネットはほとんど利益がない。

11. 住基ネットの必要性
このように,住基ネットシステムの行政目的には到底正当性は認められない。
それに対して,住基ネットシステムによって制限されるのは,個人の自己情報
コントロール権を中核とするプライバシー権である。しかも,住基ネットでは
個人が自分の情報をコントロールできないばかりか,セキュリティ対策が不十
分であること,個人情報を管理・利用する行政機関に対する個人情報保護規定
が不十分であること,さらには行政庁職員等の人的要因による情報漏洩の危険
性が現在していることなどからして,本人確認情報が住基ネットシステムによ
って具体的な危険に晒されていることも事実である。
 以上のように,住基ネットには,住民の便益と行政の効率化という正当な行
政目的があるとは言い難いばかりでなく,個人のプライバシー権を犠牲にして
まで実現すべき必要性が現実に存在していない。
 以上