直近のスペイン最高裁判所判決第188/2022号は、個人情報保護義務のアウトラインと、当該義務に関連し、顧客情報保護の保証に関する企業責任を明らかにした。
当該事案においては、第三者による顧客の個人情報への不正アクセスを許したミスが取り扱われている。具体的には、電話関連商品のファイナンス申請に表示された電子メールが顧客/申請者のものではなかったために、第三者が当該申請の情報(氏名、経済状況、銀行引落口座、署名)に不正アクセスすることを許容したことが違反の発端である。
スペイン個人情報保護監督庁(AEPD)は個人情報保護法第9条第1項違反、かつ、同法第44条第3項h)で定める重大な違反に該当するとして、当該会社に対し40,001ユーロの罰金を科した。この行政罰について異議申し立てがなされたが、2020年7月22日付高等裁判所判決はこれを却下したため、最高裁判所に上告がされ、本稿で検証する判決が下された。
個人情報保護法第9条第1項は「ファイルの責任者、及び該当する場合には取扱い担当者は、個人情報のセキュリティーを保証しその改ざんや紛失、取り扱いまたは不正アクセスを回避するために必要な技術的及び組織的措置を講じなければならない。この場合、技術の状態、保管されている情報の性質及びそれらが晒されるリスク(人為的なものなのか物理的環境又は自然環境によるものかは問わない)を考慮しなければならない。」
上告人は、個人情報保護法第9条1項が定めるのは結果(達成)の義務であり、手段(実施態様)の義務を定めるとする法令及び判例とは反していると主張した。
最高裁第三法廷は上記主張を退け、ファイル内に保存される個人情報のセキュリティーを保証する会社の義務は、結果ではなく行為の義務であることを明確にした。したがい、ここで問題となるのは、上告人が主張する客観的責任違反ではなく、「忠実」義務違反となる。
行政裁判所法廷は、当該義務は技術的に適切な手段の確立及び合理的配慮をもって当該措置を実施・運用することであると示している。同法廷は、当該措置は「保護される情報の性質及びリスクに応じて適切なレベルのセキュリティーを保証」しなければならないと加えている。この要件は「既存の技術的知識及び手段適用のための費用」と密接に関連している。
この解釈は、スペイン法制度において旧個人情報保護法(1999年法)を廃止し導入された欧州指令第95/46/CE号に準拠している。
したがって、この忠実義務は以下の2つの要素で構成されていると言える。
i) 個人情報保護のための技術的組織的手段の設計
ii) 意図された目的を達成するためのこれら手段の正しい実施及び運用
採用された手段の無謬性は不可欠であるとも要求もされておらず、当該手段の実施と、保護される情報の性質へのこれら対策の適切性が問われるのみである。
最高裁は、上告企業が入力されたメールアドレスが実際に存在しているか、及びそれが実際にデータの対象者とされているの者に属するかを確認できるセキュリティ対策が存在しないことを考慮し、個人情報保護監督庁によって適用された行政罰を追認した。また、最高裁は、違反が発生した時点で当該情報の検証を可能にするシステムが既に存在していたことを指摘し、当時の最先端技術により、情報を保護するための適切な対策を確立することができる状態であったにも関わらず、当該対策の採用をしなかったことにつき、企業に怠慢があったとした。
さらに、最高裁は当該条文の違反が従業員の過失行為の結果であるという事実は企業の責任を免除するものではなく、反対に会社のデータ取り扱いプログラムが不適切な方法で使用されたことを示すものである、と指摘した。
