企業の個人情報漏洩と損害賠償というリスク
企業経営を取り巻くリスクには、経営危機、企業側の安全配慮義務違反による事故などがありますが、近年は、個人情報の漏洩とそれによる損害賠償のリスクも大きな問題となっています。
東京商工リサーチは、2019年に上場企業とその子会社で個人情報の漏洩・紛失事故を公表したのは66社、事故件数は86件、漏えいした個人情報は903万1734人分に達したと報告しています。これに、未上場企業や海外企業、官公庁・自治体・学校等を加えると、天文学的な数に膨れ上がる可能性もあります。
個人情報の漏洩・紛失事故のうち、過去最大のものは依然として、2014年7月に発覚したベネッセホールディングス(ベネッセコーポレーション)の、委託先社員による顧客情報の不正取得で個人情報3504万人分が漏洩したものですが、2019年にこの事件をめぐる裁判のいくつかで、新しい展開が見られました。
ベネッセの問題を整理しつつ、企業の個人情報漏洩と損害賠償というリスクについて考えてみます。
この記事の目次
ベネッセ個人情報流出事件とは
2014年6月頃、ベネッセの顧客に通信教育「ジャストシステム」社からダイレクトメールが届くようになり、ベネッセのみに登録した個人情報を用いているのではないか、ベネッセから個人情報が漏洩しているのではないかという問い合わせが急増しました。
6月27日にベネッセは社内調査を開始し、同月30日には警察と経済産業省に報告、7月9日に記者会見し、進研ゼミ等の、子供や保護者の氏名、住所、電話番号、性別、生年月日などの個人情報が漏洩したことを発表しました。
7月17日、ベネッセ関連会社で顧客情報管理を請け負っていたシンフォーム社が再委託した業者から派遣されて同社のデータベースシステムの管理を担当し、顧客情報にアクセスする権限があった39歳のシステムエンジニアが個人情報を持ち出し、名簿業者に売却していたとして、逮捕されました。
9月になってベネッセは記者会見を開き、顧客情報漏洩件数を3504万件と公表し、すでに個人情報漏洩被害者へ補償として200億円の原資を準備しているとしていましたが、改めて、漏洩が確認された顧客らにお詫び文書を送付し、顧客らの選択に従って、500円分の金券(電子マネーギフト又は全国共通図書カード)を送付する、又は漏洩1件当たり500円を本件漏洩を受けて子供たちへの支援等を目的として設立した財団法人ベネッセこども基金に寄付する、という方法による補償を実施すると発表しました。
これに対して、被害者の一部により、複数の弁護団が結成され集団訴訟が提起されましたが、2019年にこれに関していくつかの動きが見られました。なお、刑事事件としては、個人情報を持ち出したとして、不正競争防止法違反(営業秘密の複製、開示)に問われたシステムエンジニアに対する刑事裁判では、2017年3月21日東京高等裁判所判決で、懲役2年6カ月、罰金300万円の執行猶予無しの実刑判決が確定しています。
最高裁の判断と差戻し控訴審
男性と子供の名前、住所、電話番号などが流出して精神的苦痛を受けたとして、男性が個人で慰謝料10万円をベネッセに求めた訴訟で、最高裁判所は原審である大阪高等裁判所判決を破棄し、審理を尽くさなかったとして、差戻しをしました。
差戻し前の1審である神戸地方裁判所姫路支部は2015年12月2日、ベネッセが管理する男性の氏名が漏洩したことを争いのない事実として認定した上で、これがベネッセの過失によるものであることを基礎付けるに足りる具体的事情の主張立証がないとして、男性の請求を棄却しました。
これに対し、男性が控訴した控訴審(大阪高等裁判所2016年6月29日判決)は、被控訴人の管理する控訴人の子供の氏名、性別、生年月日、郵便番号、住所、電話番号、保護者名(控訴人の氏名)が漏洩したことを認定し、これをもって、控訴人の氏名・郵便番号、住所、電話番号及びその家族である者の氏名、性別、生年月日という控訴人自身の個人情報が漏洩したものということができるとしたうえで、上記の控訴人の個人情報の漏洩は、通常人の一般的な感覚に照らして、不快感のみならず、不安を抱くことがあるものであると認めながら、そのような不快感等を抱いただけでは、これを被侵害利益として、直ちに損害賠償を求めることはできないものと解されるとして、上記の不快感等を超える損害を被ったことについての主張立証がないことを理由に控訴を棄却しました。
最高裁の判断
控訴人が、これに対して上告受理を申し立てたところ、最高裁はこれを受理した上で、本件漏洩によって控訴人はそのプライバシーを侵害されたといえるのに、大阪高等裁判所はプライバシーの侵害による控訴人の精神的損害の有無及びその程度等について十分に審理することなく、不快感等を超える損害の発生についての主張立証がされていないということのみから直ちに控訴人の請求を棄却すべきものとしたものであり、そのような原審の判断は、不法行為における損害に関する法令の解釈適用を誤った結果上記の点について審理を尽くさず違法であるとして、原判決を破棄し、被控訴人の過失の有無並びに控訴人の精神的損害の有無及びその程度等について更に審理させるために、本件を高等裁判所に差し戻しました(最高裁判所2017年10月23日判決)。
差戻し控訴審の判断
差戻し審で大阪高等裁判所(2019年11月20日判決)は、本件従業員は、MTPに対応したスマートフォンを業務用パソコンのUSBポートにUSBケーブルを用いて接続してMTP通信でデータを転送する方法により、個人情報を不正に取得して名簿業者に売却したのですが、シンフォーム社はMTP対応スマートフォンを上記の執務室内に持ち込んで、本件個人情報に接することのないようにするなど適切な措置を採るべき注意義務を負っていたのにこれを怠ったことについて過失があり、ベネッセは、管理する当該個人情報の利用を認めたシンフォーム社に対する適切な監督義務に違反した結果、従業員による漏洩を生じさせたものと認められるから、これによって生じた損害について不法行為責任を負うとして、2社の共同不法行為に当たる(民法719条1項前段)としました。
そして、個人情報保護法22条の、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」との規定に反し、プライバシーを侵害されたと認めつつ、控訴人の住所・氏名・電話番号はホームページなどで開示されていたことなどを踏まえて、損害賠償金として1000円の支払いを命じました。
この裁判は、ベネッセの賠償責任を認めた3例目です。本記事の冒頭で「2019年にこの事件をめぐる裁判のいくつかで、新しい展開が見られました」と書きましたが、ベネッセの賠償責任を認めた3つの判決が、いずれも2019年に出されています。
ベネッセの責任を認めた初めての裁判例
第1審の判断
ベネッセが自身と妻、息子の個人情報を外部に漏洩させたことにより、精神的苦痛を被ったと主張して不法行為に基づき、男性が慰謝料の支払を求めた控訴審判決で、初めて、ベネッセの責任が認められました。
第1審(横浜地方裁判所2017年2月16日判決)は、ベネッセの注意義務違反は認めましたが、個人データの取扱状況を把握する義務に違反していたと認めるに足りる具体的な事実の立証がないとして、ベネッセに対する請求を棄却したことから、男性らが控訴しました。
第1審では、ベネッセが経済産業大臣から個人情報保護法20条及び22条の義務を怠り、本件情報漏洩を発生させたとして同法34条1項の規定に基づく勧告を受けているものの、同条項に基づく勧告は、個人の権利利益を保護するため必要があると認めるときになされるものであって、情報漏洩発生の時点における結果予見義務や結果回避義務の存在やその違反を要件とするものではないから、その勧告がなされたというだけでは、本件情報漏洩発生の時点において、ベネッセに民法709条の過失があったことを認めるには足りないと判示しました。
控訴審の判断
これに対し、控訴審である東京高等裁判所(2019年6月27日判決)は、高度な知識を応用したり、特殊な技術を駆使したりして行われたものではなく、単に、充電のためスマートフォンを市販のUSBケーブルで業務用パソコンに接続したところ、データの転送が可能であったことから思いつき、実行された単純な犯罪であるという事実を前提として、シンフォーム社にはMTP対応スマートフォンに対する書き出し制御措置を講ずべき注意義務があったのにこれを怠った過失があったと認められ、大量の個人情報の運用管理を委託していたベネッセには、漏洩当時、個人情報の管理について委託先に対する適切な監督をすべき注意義務があったのにこれを怠った過失があったと認められるとし、2社によるこれらの不法行為は、共同不法行為(民法719条1項前段)に当たるとしました。
そして、「控訴人らが、これらの本件個人情報について、自己が欲しない他者にはみだりに開示されたくないと考えることは自然なことであるから、本件個人情報は、控訴人らのプライバシーに係る情報として法的保護の対象となるものであり、本件漏洩によって、控訴人選定者らは、そのプライバシーを侵害されたというべきである」とし、その上で、漏洩の発覚後直ちに対応を開始し、情報漏洩の被害拡大を防止する手段を講じ、監督官庁に対する報告及び指示に基づく調査報告を行った。また、情報が漏洩したと思われる顧客に対しお詫び文書を送付するとともに、選択に応じて500円相当の金券を配布するなどしており、控訴人らもそれぞれ電子マネーギフト500円分を受領していることを踏まえて、ベネッセに対し、それぞれに2000円の損害賠償金を支払うよう命じました。
ベネッセの責任を認めた2つ目の裁判例
顧客13人が同社と関連会社に計98万円の損害賠償を求めた訴訟の判決が2019年9月6日に東京地裁であり、ベネッセとシンフォーム社に1人当たり3000円(1人は3300円)、計4万2300円の支払いが命じられました。
裁判所は、原告らが求めたベネッセのシンフォーム社に対する使用者責任は、別法人であるとして認めませんでしたが、シンフォーム社はセキュリティソフトの設定を見直さず、その結果として業務用パソコンからMTP対応スマートフォンへのデータの転送が可能となっていたのであるから、情報書き出し制御措置義務に違反した過失があったというべきであり、ベネッセは本件システムの開発等のために大量の顧客情報の取扱いを委託するに当たり、原告らを含む顧客等に対しても、信義則上、委託先選定監督義務を負っていたというべきであるとして、共同不法行為(民法719条1項前段)を認め、連帯して原告らに対して損害賠償金を支払うことを命じました。
この判決においても、個人情報保護法22条に、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」との規定が引用され、また平成21年経産省ガイドラインの「必要かつ適切な監督」には、委託先を適切に選定すること、委託先に個人情報保護法20条に基づく安全管理措置を遵守させるために必要な契約を締結すること、委託先における委託された個人データの取扱状況を把握することが含まれる旨の記載があることが指摘されています。
まとめ
ベネッセは当初、被害者への補償として200億円の原資を準備していたのですが、それでは不足することになりました。2014年11月、日本情報経済社会推進協会は、ベネッセホールディングスが取得していた、個人情報を適切に管理する企業に与えられるプライバシーマークを取り消しました。2015年4月の「進研ゼミ」「こどもちゃれんじ」の会員数は271万人で前年同月比94万人の減少となり、4~6月期の連結決算は売上高が前年同期比7%減、営業利益が同88%減となり、営業損益は前年同期の39億1000万円の黒字から、4億3000万円の赤字になりました。個人情報漏洩に伴う損害賠償というリスクは、企業にとって、死活問題となりかねません。
カテゴリー: IT・ベンチャーの企業法務
