個人情報の流出と近時の判例~ベネッセ事件を参考に~
個人情報の流出と企業の責任についてはこちら
Contents
はじめに
別稿で、ベネッセ事件を参考にして、個人情報が流出した場合に問われる企業の責任について、当該個人から企業に損害賠償請求された場合の損害賠償リスクについて触れました。
個人情報に関しては、退職した社員が顧客情報を持ち出し、退職後に当該顧客に電話連絡等を行った結果、当該顧客から企業にクレームが入り、企業の対応如何によっては当該顧客から損害賠請求をする等主張されるケースの相談を受けることもあります。
情報漏えいされた個人が企業に対し何らかの対応を求めることは当然であり、情報漏えいが実際に確認された場合には、企業としては原因の確認、更なる漏えいの防止、当該顧客等への謝罪を含めた適切かつすみやかな対応が必要です。
以上が前提とはなりますが、実際に慰謝料請求がなされた場合に、裁判所がどのように判断するかということについて、本稿では、ベネッセ事件の第一審(東京地判平成30年6月20日平成26年(ワ)31476号)及び、控訴審(東京高判令和元年6月27日平成30年(ネ)3597号 )判決をもとに解説致します。
1 裁判所の判断の概要
第一審判決と控訴審判決の判断の相違は、添付の表のとおりです。
結論として、第一審判決は慰謝料請求を棄却し、控訴審判決はこれを認めました。
なお、表中、「ベクトル」で+-表記をしているところは、+が慰謝料請求を認める方向の理由、-が否定する方向の理由です。
2 判断を分けた考え方の相違
第一審・控訴審ともに、共通している判示は、「氏名、郵便番号、住所、電話番号及びメールアドレス」といったベネッセ事件で漏えいされた情報は、思想信条や性的指向等の情報に比べると、一般的に「自己が欲しない他者にはみだりに開示されたくない」私的領域の情報という性質を強く帯びているとはいえない情報とされているところです。
この点は、慰謝料請求の判断においては一般的に当該情報の内容。性質という点で、重視される内容です。
一方、第一審では、実害が証拠上認められない点や企業の事後的対応も踏まえると精神的損害が認められないと判示していますが、控訴審では、自己の了知しないところで個人情報が漏えいしたことに対する不快感及び生活の平穏等に対する不安感を生じさせることになるから,かかる不安感が具体的なものでなく抽象的なものであったとしても,何らかの精神的苦痛を生じさせることは避けられない、としたうえで、実害が発生していない点や事後的対応は、損害額を減少させる要素の一つとして考慮しています。
3 判決から読み取るべき企業の対応
判決から読み取るべき企業の対応は、慰謝料額が低額にあることではありません。別稿でも触れていますが、企業は情報漏えいが生じた場合には、社会的信用を失い、また事後的対応だけでも多額の経済的損失を被る可能性があります。
判決においても、企業が事後に行った補償対応が考慮されていますが、企業としては、万が一にでも漏えい事故が生じた場合には、すみやかに事後対応を検討することが必要です。事後的なお詫びとしての補償を行う場合においては、その額について上記東京高裁判決は一つの目安を示すものとなりました。もっとも、補償まで行うべきかどうかは、当該企業の業態、漏えいした情報の内容、企業規模等で判断することになりますので、必ずしもすべての企業に事後補償まで求められるとはいえないと考えます。
ベクトル | 第一審 平成30年 6月20日 東京地裁 判決 平26(ワ)31476号 損害賠償請求事件 | 控訴審 令和元年 6月27日 東京高裁 判決 平30(ネ)3597号 損害賠償請求控訴事件 |
- | 個人情報が外部に漏えいしてプライバシーが侵害された場合であっても,漏えいの結果,何らかの実害が生じた場合から,単に何らかの抽象的な不安感や不快感にとどまる場合まで様々であり,漏えいした個人情報の内容や個人情報を管理していた者の対応によっても精神的苦痛の発生の有無や程度が変わり得るものである。したがって,個人情報の漏えいによる精神的損害の有無及びその程度等については,流出した個人情報の内容,流出した範囲,実害の有無,個人情報を管理していた者による対応措置の内容等,本件において顕れた事情を総合的に考慮して判断すべきである。
まず,漏えいした本件個人情報は,原告X1の氏名,メールアドレス,原告X2の氏名,性別,生年月日,原告らの住所,郵便番号及び電話番号であって,これらの情報のうち,氏名,郵便番号,住所,電話番号及びメールアドレスは,いずれも原告らの個人識別情報と連絡先であり,生年月日と性別も,日常的に契約等の際に開示することが多く,特定の相手方に対してや特定の場面ではともかく,思想信条や性的指向等の情報に比べ,一般的に「自己が欲しない他者にはみだりに開示されたくない」私的領域の情報という性格は低い情報である。なお,これらの情報であっても,例えば,インターネット上において検索できるような状態にされた場合には,ストーカーや自己に敵意を持っている人物から容易に検索される可能性があるから,流出された情報の置かれた状況によっては,私的領域の情報としての性格が高まると考えられるものの,本件において,本件個人情報がかかる状況に置かれたことはうかがわれない。 |
本件個人情報は,被控訴人ベネッセが集積した顧客情報の一部を構成するものであるが,氏名,郵便番号,住所,電話番号及びメールアドレスは,いずれも控訴人らの個人識別情報と連絡先であり,生年月日と性別も,日常的に契約等の際に開示することが多く,思想信条や性的指向等の情報に比べると,一般的に「自己が欲しない他者にはみだりに開示されたくない」私的領域の情報という性質を強く帯びているとはいえない情報である。したがって,クレジットカード情報などの重要な情報と関連づけられて漏えいしていない本件のような場合,情報それ自体に重要な価値が認められるというより,顧客名簿として大量に集積されているところに価値が認められるのが通常であり,実際,本件においても,名簿業者に顧客名簿として売却され,被控訴人ベネッセの同業者に渡りダイレクトメール等に利用されたことが認められる(なお,控訴人らは,本件個人情報が,被控訴人ベネッセという教育事業を行う企業の保有していた情報として漏えいしたことから,教育に熱心であるなど一定の評価が含まれる情報である旨を主張するが,本件個人情報の流出元が被控訴人ベネッセであることから,控訴人らの教育に関する何らかの思想や信条が推知されるとは考え難い。)。 |
+ | もっとも,本件個人情報は,これらを取得した者において,これらを取得された者に対する連絡が可能となるものであるから,その使用方法いかんによっては,取得された者の私生活の平穏等に何らかの影響を及ぼすおそれがある。また,本件個人情報については,本件漏えいにより500社を超える名簿業者に漏えいしたとの発表もあるところ,実際にどこまでの範囲に広がっているか確定は不能であり,回収も不可能といわざるを得ない。したがって,本件漏えいにより自己の個人情報を取得された者に対し,自己の了知しないところで個人情報が漏えいしたことに対する不快感及び生活の平穏等に対する不安感を生じさせることになるから,かかる不安感が具体的なものでなく抽象的なものであったとしても,何らかの精神的苦痛を生じさせることは避けられないことというべきである。 | |
+ | さらに,控訴人らが被控訴人ベネッセに提供した本件個人情報について,自己の欲しない他者にみだりにこれが開示されることはないという控訴人らの期待は保護されるべきであり,控訴人らは,被控訴人ベネッセにおいて本件個人情報がみだりに流出することがないよう適切に管理されると信じて提供したのであるから,本件漏えいにより,このような期待が裏切られる結果となったことは明らかである。しかも,本件漏えいは,Wにおいて,高度な知識を応用したり,特殊な技術を駆使して行われたものではなく,単に,充電のため本件スマートフォンを市販のUSBケーブルで業務用パソコンに接続したところ,データの転送が可能であったことから,思いつかれ実行されたものである。これまで述べてきたとおり,被控訴人らにおいて,自らが導入していた本件セキュリティソフトが適切に設定されているか否かを確認さえしていれば,煩雑な事務処理や多額の費用の支出を余儀なくされることもなく,比較的容易に本件漏えいを防ぐことができたのであるから,その意味においても,控訴人らの期待を裏切った度合いは小さくないというべきである。 | |
したがって,前記6⑵のとおり,本件漏えいにより控訴人らはそのプライバシーを侵害されたものであるところ,上記認定に照らせば,控訴人らには,慰謝料の支払によって慰謝されるべき精神的損害が発生したと認めるのが相当である | ||
- | また,本件漏えいにより,500社を超える名簿業者等に情報が漏えいしたとの発表がある一方,現時点で,ダイレクトメール等が増えたような気がするという程度を超えて,原告らに何らかの実害が生じたことはうかがわれない | 一方,控訴人らは,社会に拡散された本件個人情報が控訴人らの他の情報と関連付けられて重大なプライバシー情報が引き出される可能性を指摘するが,抽象的な可能性を指摘するものにすぎず,本件個人情報が個別に着目されて何らかの重大なプライバシー情報が引き出されることは想定しにくい。したがって,現時点においては,本件個人情報の漏えいは,控訴人らにおいて望まないダイレクトメールが増えるかもしれないという危惧を抱かせるにとどまるものであり,控訴人らに何らかの実害が発生したとは認められない。 |
- | さらに,被告らにはそれぞれ注意義務違反があったことが認められるが,いずれも本件漏えい当時のガイドライン等に明確に規定されていた注意義務に違反したというものではない上,被告ベネッセの持株会社であるベネッセホールディングスは,本件漏えいの発覚後直ちに対応を開始し,情報漏えいの被害拡大を防止する手段を講じ,監督官庁に対する報告及び指示に基づく調査報告を行い,情報が漏えいしたと思われる顧客に対しお詫びの文書を送付するとともに,顧客の選択に応じて500円相当の金券を配布するなどしていたことが認められる。 | また,被控訴人ベネッセ及びその持株会社であるベネッセホールディングスは,本件漏えいの発覚後,直ちに対応を開始し,情報漏えいの被害拡大を防止する手段を講じ,監督官庁に対する報告及び指示に基づく調査報告を行った。そして,被控訴人ベネッセは,情報が漏えいしたと思われる顧客に対しお詫びの文書を送付するとともに,顧客の選択に応じて500円相当の金券を配布するなどしたことが認められるから,自己の個人情報が適切に取り扱われるであろうとの期待が侵害されたことについては,事後的に慰謝の措置が講じられていることが認められる。 |
以上本件に顕れた事情を総合的に考慮すると,少なくとも現時点においては,原告らに,民法上,慰謝料が発生する程の精神的苦痛があると認めることはできないといわざるを得ない。 | 以上のとおり,本件漏えいは,控訴人らに対し,不快感及び抽象的なものであるとはいえ不安感を生じさせるものであり,かつ,自己の個人情報が適切に管理されるであろうとの期待を裏切るものであるから,控訴人らには,慰謝料の支払によって慰謝すべき精神的損害が発生したといわざるを得ないところ,本件漏えいにより控訴人らに実害が発生したとは認められないこと,本件漏えいの発覚後,被控訴人ベネッセ及びベネッセホールディングスにおいて,直ちに被害の拡大防止措置が講じられていること,自己の個人情報が適切に扱われるであろうとの期待の侵害に対し,被控訴人ベネッセにおいて事後的に慰謝の措置が講じられていること,その他本件にあらわれた一切の事情を総合すると,控訴人らの精神的損害に対する慰謝料の額は2000円と認めるのが相当である。 | |
× | 原告らは,本件個人情報のうち,原告X2の情報は,未成年者の情報であり,成人の情報以上に保護の必要性が高いと主張するが,未成年者の情報であることから直ちに前記判断が左右されるものではない。 | なお,控訴人らは,本件個人情報のうち,控訴人X2の情報は,未成年者の情報であり,成年以上に保護の必要性が高いと主張するが,控訴人X2の情報が未成年者の情報であるか否かは,慰謝料の額を左右するものとはいえない。 |
グロース法律事務所によくご相談をいただく内容
・令和4年4月から施行される個人情報保護法の改正に合わせて、自社の個人情報保護規程やプライバシーポリシーを見直したい
・新規事業立ち上げに際し、プライバシーポリシーを作成したい
・これまで社内で個人情報保護法への対応を行っていなかったので、規程の整備や社内体制を構築したい
個人情報保護分野に関するグロース法律事務所の提供サービスのご紹介と費用
①令和4年4月1日改正対応
〇既存の個人情報保護規程、プライバシーポリシー等のチェック及び修正(顧問先様の場合11万円~33万円。顧問先様以外の場合はご依頼時の着手金で稼働時間5時間まで。以降1時間毎に4万1800円)
〇従業員教育に関するアドバイス・実施、窓口設置のアドバイス(5万5000円から22万円。実施については8万2500円~33万円)ただし、上記個人情報保護規程等のチェックとセットに限ります。
〇個人情報保護委員会に対する手続対応(5万5000円~16万5000円)
〇安全管理措置体制の構築に関するアドバイス・実施(22万円~55万円。ただし、顧問先様のみの受任となります。)
②個人情報保護体制の構築
個人情報保護体制が構築されていない場合又は現状の個人情報保護体制を全面的に見直したい場合へのサポートを実施いたします。
〇個人情報保護規程・プライバシーポリシー等の作成(顧問先様の場合は33万円~55万円。顧問先様以外の場合はご依頼時の着手金で稼働時間5時間まで。以降1時間毎に4万1800円)
〇従業員教育に関するアドバイス・実施、窓口設置のアドバイス(5万5000円から22万円。実施については8万2500円~33万円)ただし、上記個人情報保護規程等のチェックとセットに限ります。
〇個人情報保護委員会に対する手続対応(5万5000円~16万5000円)
〇安全管理措置体制の構築に関するアドバイス・実施(22万円~55万円。ただし、顧問先様のみの受任となります。)ただし、上記個人情報保護規程等のチェックとセットに限ります。
サポート内容及び費用についてはこちらもご参考ください。
グロース法律事務所への問い合わせ
お電話(06-4708-6202)もしくはお問い合わせフォームよりお問い合わせください。お電話の受付時間は平日9:30~17:30です。また、お問い合わせフォームの受付は24時間受け付けております。初回の法律相談については、ご来所いただける方に限り無料でご相談させていただいております(※遠方の方はオンライン会議での初回面談も承りますので、お申し付けください。また、新型コロナウイルス感染症の影響でどうしても来所ができないという方につきましても、オンライン会議で初回無料で面談を承りますので、お申し付けください。)
谷川安德
最新記事 by 谷川安德 (全て見る)
- 施行されたフリーランス取引適正化法の遵守を - 2024年11月12日
- 労働条件明示義務違反の報道について弁護士が解説 - 2024年10月31日
- 副業・兼業解禁と労働時間管理・労災の問題 - 2024年9月30日
「個人情報の流出と近時の判例~ベネッセ事件を参考に~」の関連記事はこちら
グロース法律事務所が
取り扱っている業務
新着情報
- 2024.11.12コラム
- 施行されたフリーランス取引適正化法の遵守を
- 2024.10.31コラム
- 労働条件明示義務違反の報道について弁護士が解説
- 2024.10.11セミナー/講演
- 2024年を振り返る社労士勉強会総まとめ 2024.12.12
- 2024.10.02お知らせ
- 滋賀県社会保険労務士会必須研修に登壇いたします(弁護士谷川安德)。
- 2024.09.30コラム
- 副業・兼業解禁と労働時間管理・労災の問題