個人情報の流出と企業の責任~ベネッセ事件を参考に~

はじめに

働き方改革で導入が期待された在宅勤務は、新型コロナウイルス感染拡大の影響によって、加速度的に普及してきました。

もともと、働き方改革においては、在宅勤務導入にあたって、対象者の選定はもちろん、在宅勤務環境その他諸々の検討プロセスを経ていることがモデルとされています(従来の企業内の勤務体制等の変更を伴う以上、いわばそれは当然のことでもます)。

しかし、新型コロナウイルス感染拡大の影響による在宅勤務の普及は、在宅勤務の実施ありきによる普及であり、本稿で述べる情報管理の課題や、勤怠管理等本来事前に十分な検討が行われるべき内容が、後付けで検討されているという実情も多くみるところです。

本稿では、ベネッセ事件を参考にして、個人情報が流出した場合に問われる企業の責任について、当該個人から企業に損害賠償請求された場合の損害賠償リスクについて触れたいと思います。

 

1 ベネッセ事件とは

ベネッセ事件とは、()ベネッセコーポレーション(以下「ベネッセ」といいます。)に提供した個人情報(保護者氏名、子供氏名、子供性別、子供生年月日、保護者等の住所及び電話番号、保護者メールアドレス。他に漏えいしたと主張されていた情報もありますがここでは詳細は割愛します。)が流出し、いわゆる名簿業者に売却され、重複を除くと4858万人の個人情報が漏えいした事件です。

流出の具体的経緯ですが、ベネッセは個人情報の管理をグループ会社の()シンフォーム(以下「シンフォーム」といいます。)に委託していたところ、シンフォームは更に再委託先に管理等を委託し,その再委託先の従業員が当該個人情報を外部に漏えいさせたというものです。

当時、再委託先の派遣社員であった者(情報漏えいを行った者)は、業務上貸与されていたPCに個人所有のスマートフォンを接続し、データ転送する方法で個人情報を取得しました(もちろん一定の安全管理措置自体は講じられていましたが、特定の方法によりデータが取得できる状態となっていました。詳細は割愛します。)。

その結果、名簿は転売されるなどし、英会話教室や、全国の学習塾、予備校、等からベネッセ会員に各社のダイレクトメールが届くという結果がもたらされました。

その後、ベネッセ会員であった保護者及び当時0歳であった者が、ベネッセやシンフォームに慰謝料請求を行うという訴訟が提起されました。

裁判では、第1審(東京地判H30.6.20)において、シンフォームについては、スマートフォンに対する書き出し制御措置を講ずべき注意義務違反がありこれを怠った過失を認めるとともに、ベネッセについても、本件漏えい当時、シンフォームに対する適切な監督をすべき注意義務がありこれを怠った過失があると認めました。

しかし、損害については、現時点では慰謝料が発生する程の精神的苦痛があると認めることはできないとして、結論として損害賠償請求については棄却しました。

一方、控訴審(東京高判令和元年627日)は、同様にベネッセ及びシンフォームの過失を認めるとともに、保護者らの精神的損害を認め(保護者につき2000円、子につき2000円)、その限度で損害賠償請求を認容する判決を下しました。

 

2 判決から考えるべき企業としての対策

(1) 慰謝料額にとどまらない企業の損失

控訴審判決によっても、認容された慰謝料請求の額は一人2000円と少額でしたが、これは、漏えいされた情報の内容如何によることも当然ですし、何よりも企業の社会的信用の失墜、事後的対応による企業の経済的損失(ベネッセ事件では約200億円以上が費やされたといわれています)が多大であることを見落としてはいけません。

(2) 個人情報保護法との関係

個人情報保護法(第20条)では、事業者は、取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置(安全管理措置)を講じなければならないとされています。そして、安全管理の具体的な方法については、個人情報保護法ガイドライン(通則編)において以下のとおり4種類の区分がなされています(「8(別添)講ずべき安全管理措置の内容」参照)

    ア 組織的安全管理措置

    イ 人的安全管理措置

    ウ 物理的安全管理措置   

    エ 技術的安全管理措置

このような個人情報保護法に関する義務は、民民の権利義務を規定したものではなく、対行政、具体的には個人情報保護委員会による是正勧告等の根拠となる規制です。したがって、個人情報保護法違反=不法行為責任、ということが直ちに言える法律の立て付けにはなっていません。

しかし、実際は、企業の注意義務違反を判断するうえにおいては、個人情報保護法が定める個人データの安全管理措置を講ずべき義務や、経産省等が公表する情報セキュリティ上の脅威に関する情報などは、注意義務の判断においては必ず参照されるといって過言ではありません。

したがって、企業規模、個人情報の取り扱いの程度にもよりますが、ベネッセのような企業になれば、情報漏えいがあった時点において予見できたと認定される内容などは、上記個人情報保護法等を参考に随時社内で情報を更新していく必要があります。

(3) 在宅勤務における安全管理措置

冒頭述べましたように、在宅勤務が適切な安全管理措置を講じることのないまま先行されているケースが存します。

前記(2)記載した各措置について、改めて見直しと実施をしていくことが求められています。

 

個人情報の流出と近時の判例についてはこちら

The following two tabs change content below.
谷川安德

谷川安德

大阪府出身。立命館大学大学院法学研究科博士前期課程(民事法専攻)修了。契約審査、労務管理、各種取引の法的リスクの審査等予防法務としての企業法務を中心に業務を行う。分野としては、使用者側の労使案件や、ディベロッパー・工務店側の建築事件、下請取引、事業再生・M&A案件等を多く取り扱う。明確な理由をもって経営者の背中を押すアドバイスを行うことを心掛けるとともに、紛争解決にあたっては、感情的な面も含めた紛争の根源を共有すること、そこにたどり着く過程の努力を惜しまないことをモットーとする。
谷川安德

最新記事 by 谷川安德 (全て見る)

現在、初回のご相談は、ご来所いただける方に限り無料とさせていただいております現在、初回のご相談は、ご来所いただける方に限り無料とさせていただいております
  • サービスのご紹介
  • 二つの理由
  • 顧問契約活用事例
  • 顧問先の声

グロース法律事務所が
取り扱っている業務

新着情報

 TOP