個人情報の流出と企業の責任~ベネッセ事件を参考に~
Contents
はじめに
働き方改革で導入が期待された在宅勤務は、新型コロナウイルス感染拡大の影響によって、加速度的に普及してきました。
もともと、働き方改革においては、在宅勤務導入にあたって、対象者の選定はもちろん、在宅勤務環境その他諸々の検討プロセスを経ていることがモデルとされています(従来の企業内の勤務体制等の変更を伴う以上、いわばそれは当然のことでもます)。
しかし、新型コロナウイルス感染拡大の影響による在宅勤務の普及は、在宅勤務の実施ありきによる普及であり、本稿で述べる情報管理の課題や、勤怠管理等本来事前に十分な検討が行われるべき内容が、後付けで検討されているという実情も多くみるところです。
本稿では、ベネッセ事件を参考にして、個人情報が流出した場合に問われる企業の責任について、当該個人から企業に損害賠償請求された場合の損害賠償リスクについて触れたいと思います。
1 ベネッセ事件とは
ベネッセ事件とは、(株)ベネッセコーポレーション(以下「ベネッセ」といいます。)に提供した個人情報(保護者氏名、子供氏名、子供性別、子供生年月日、保護者等の住所及び電話番号、保護者メールアドレス。他に漏えいしたと主張されていた情報もありますがここでは詳細は割愛します。)が流出し、いわゆる名簿業者に売却され、重複を除くと4858万人の個人情報が漏えいした事件です。
流出の具体的経緯ですが、ベネッセは個人情報の管理をグループ会社の(株)シンフォーム(以下「シンフォーム」といいます。)に委託していたところ、シンフォームは更に再委託先に管理等を委託し,その再委託先の従業員が当該個人情報を外部に漏えいさせたというものです。
当時、再委託先の派遣社員であった者(情報漏えいを行った者)は、業務上貸与されていたPCに個人所有のスマートフォンを接続し、データ転送する方法で個人情報を取得しました(もちろん一定の安全管理措置自体は講じられていましたが、特定の方法によりデータが取得できる状態となっていました。詳細は割愛します。)。
その結果、名簿は転売されるなどし、英会話教室や、全国の学習塾、予備校、等からベネッセ会員に各社のダイレクトメールが届くという結果がもたらされました。
その後、ベネッセ会員であった保護者及び当時0歳であった者が、ベネッセやシンフォームに慰謝料請求を行うという訴訟が提起されました。
裁判では、第1審(東京地判H30.6.20)において、シンフォームについては、スマートフォンに対する書き出し制御措置を講ずべき注意義務違反がありこれを怠った過失を認めるとともに、ベネッセについても、本件漏えい当時、シンフォームに対する適切な監督をすべき注意義務がありこれを怠った過失があると認めました。
しかし、損害については、現時点では慰謝料が発生する程の精神的苦痛があると認めることはできないとして、結論として損害賠償請求については棄却しました。
一方、控訴審(東京高判令和元年6月27日)は、同様にベネッセ及びシンフォームの過失を認めるとともに、保護者らの精神的損害を認め(保護者につき2000円、子につき2000円)、その限度で損害賠償請求を認容する判決を下しました。
2 判決から考えるべき企業としての対策
(1) 慰謝料額にとどまらない企業の損失
控訴審判決によっても、認容された慰謝料請求の額は一人2000円と少額でしたが、これは、漏えいされた情報の内容如何によることも当然ですし、何よりも企業の社会的信用の失墜、事後的対応による企業の経済的損失(ベネッセ事件では約200億円以上が費やされたといわれています)が多大であることを見落としてはいけません。
(2) 個人情報保護法との関係
個人情報保護法(第20条)では、事業者は、取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置(安全管理措置)を講じなければならないとされています。そして、安全管理の具体的な方法については、個人情報保護法ガイドライン(通則編)において以下のとおり4種類の区分がなされています(「8(別添)講ずべき安全管理措置の内容」参照)
ア 組織的安全管理措置
イ 人的安全管理措置
ウ 物理的安全管理措置
エ 技術的安全管理措置
このような個人情報保護法に関する義務は、民民の権利義務を規定したものではなく、対行政、具体的には個人情報保護委員会による是正勧告等の根拠となる規制です。したがって、個人情報保護法違反=不法行為責任、ということが直ちに言える法律の立て付けにはなっていません。
しかし、実際は、企業の注意義務違反を判断するうえにおいては、個人情報保護法が定める個人データの安全管理措置を講ずべき義務や、経産省等が公表する情報セキュリティ上の脅威に関する情報などは、注意義務の判断においては必ず参照されるといって過言ではありません。
したがって、企業規模、個人情報の取り扱いの程度にもよりますが、ベネッセのような企業になれば、情報漏えいがあった時点において予見できたと認定される内容などは、上記個人情報保護法等を参考に随時社内で情報を更新していく必要があります。
(3) 在宅勤務における安全管理措置
冒頭述べましたように、在宅勤務が適切な安全管理措置を講じることのないまま先行されているケースが存します。
前記(2)記載した各措置について、改めて見直しと実施をしていくことが求められています。
個人情報の流出と近時の判例についてはこちら
グロース法律事務所によくご相談をいただく内容
・令和4年4月から施行される個人情報保護法の改正に合わせて、自社の個人情報保護規程やプライバシーポリシーを見直したい
・新規事業立ち上げに際し、プライバシーポリシーを作成したい
・これまで社内で個人情報保護法への対応を行っていなかったので、規程の整備や社内体制を構築したい
個人情報保護分野に関するグロース法律事務所の提供サービスのご紹介と費用
①令和4年4月1日改正対応
〇既存の個人情報保護規程、プライバシーポリシー等のチェック及び修正(顧問先様の場合11万円~33万円。顧問先様以外の場合はご依頼時の着手金で稼働時間5時間まで。以降1時間毎に4万1800円)
〇従業員教育に関するアドバイス・実施、窓口設置のアドバイス(5万5000円から22万円。実施については8万2500円~33万円)ただし、上記個人情報保護規程等のチェックとセットに限ります。
〇個人情報保護委員会に対する手続対応(5万5000円~16万5000円)
〇安全管理措置体制の構築に関するアドバイス・実施(22万円~55万円。ただし、顧問先様のみの受任となります。)
②個人情報保護体制の構築
個人情報保護体制が構築されていない場合又は現状の個人情報保護体制を全面的に見直したい場合へのサポートを実施いたします。
〇個人情報保護規程・プライバシーポリシー等の作成(顧問先様の場合は33万円~55万円。顧問先様以外の場合はご依頼時の着手金で稼働時間5時間まで。以降1時間毎に4万1800円)
〇従業員教育に関するアドバイス・実施、窓口設置のアドバイス(5万5000円から22万円。実施については8万2500円~33万円)ただし、上記個人情報保護規程等のチェックとセットに限ります。
〇個人情報保護委員会に対する手続対応(5万5000円~16万5000円)
〇安全管理措置体制の構築に関するアドバイス・実施(22万円~55万円。ただし、顧問先様のみの受任となります。)ただし、上記個人情報保護規程等のチェックとセットに限ります。
サポート内容及び費用についてはこちらもご参考ください。
グロース法律事務所への問い合わせ
お電話(06-4708-6202)もしくはお問い合わせフォームよりお問い合わせください。お電話の受付時間は平日9:30~17:30です。また、お問い合わせフォームの受付は24時間受け付けております。初回の法律相談については、ご来所いただける方に限り無料でご相談させていただいております(※遠方の方はオンライン会議での初回面談も承りますので、お申し付けください。また、新型コロナウイルス感染症の影響でどうしても来所ができないという方につきましても、オンライン会議で初回無料で面談を承りますので、お申し付けください。)
谷川安德
最新記事 by 谷川安德 (全て見る)
- 施行されたフリーランス取引適正化法の遵守を - 2024年11月12日
- 労働条件明示義務違反の報道について弁護士が解説 - 2024年10月31日
- 副業・兼業解禁と労働時間管理・労災の問題 - 2024年9月30日
「個人情報の流出と企業の責任~ベネッセ事件を参考に~」の関連記事はこちら
グロース法律事務所が
取り扱っている業務
新着情報
- 2024.11.12コラム
- 施行されたフリーランス取引適正化法の遵守を
- 2024.10.31コラム
- 労働条件明示義務違反の報道について弁護士が解説
- 2024.10.11セミナー/講演
- 2024年を振り返る社労士勉強会総まとめ 2024.12.12
- 2024.10.02お知らせ
- 滋賀県社会保険労務士会必須研修に登壇いたします(弁護士谷川安德)。
- 2024.09.30コラム
- 副業・兼業解禁と労働時間管理・労災の問題
