エステティックサロンのホームページから個人情報が流失した事案
事案の概要
Y社はエステティックサロンを経営する会社であり,自社のウェブサイトの制作及び管理をA社に委託していた。Xら(個人)は,Y社のウェブサイトで募集していた無料体験に応募し,氏名,年齢その他の個人情報を登録した。
その後,A社がウェブサイトのメンテナンス作業を行った際,当該個人情報が自由にアクセスできる状態になったため,流出し,電子掲示板(2ちゃんねる)に貼り付けられたり(具体的には「おなごの個人情報とかスリーサイズ丸見えじゃん」などといった書込みがされた。),迷惑メール等がXらに届くこととなった。
そのため,Xら14人が不法行為責任に基づいて,慰謝料100万円,弁護士費用15万円の支払を求めて提訴した。一審(東京地判平19.2.8判タ1262-270)では,Yの責任を認め,1名あたり3万5000円の損害賠償を命じた。XYともに控訴した。
なお,本件流出事故は,個人情報保護法が施行される前に起こったものである。
ここで取り上げる争点
Yの責任を前提とした損害の額
裁判所の判断
慰謝料30000円,弁護士費用5000円という原審判断が維持された。
この金額算定において重視した事情として,以下を挙げる。
顧客であるXらが、エステティックサービスを受けるために、自らの氏名、住所、電話番号、年齢、職業といった個人識別情報とともに、エステティック特有の身体的もしくは美的感性に基づく価値評価をくだすべき身体状況に係るものである個人情報を提供することは、まさにX各人が誰にも知られたくない種類の価値観に関係した個人情報を申告するものにほかならない。
こうした個人情報の申告を受けるYは、エステティック産業を営む企業体として、かかる情報管理の厳密さに関する信頼を前提にして、その申込みを勧誘するなどの業務を行い、その後、すでに提供された情報などを前提としてエステティックサービスを行うことに照らせば、(略)一層慎重な配慮のもとに顧客の個人情報を厳密な管理下で扱わなければならないと解すべきである。
以上によれば、個人識別情報のほかにエステティック固有の事情に関する情報は、全体として、顧客が個人ごとに有する人格的な法的利益に密接なプライバシーに係るものといえ、控訴人のサービス業務に関係しない何人に対しても秘匿すべき必要が高く、また、顧客の合理的な期待としても強い法的保護に値するものというべきである。
つまり,単なる個人情報ではなく,エステ利用に関わる情報であるからこそ秘匿性が高く,これが流出した場合には,法益侵害の程度が高いという判断がなされている。
若干のコメント
個人情報の流出に関する他の事件では,ISPの会員個人情報(クレジットカード情報等は含まない)が外部の者により不正に取得された事件でISPに1人あたり6000円の損害賠償責任を認めた事件(大阪地判平18.5.19判タ1230-227)や,江沢民講演会出席情報を不正に開示した事件で1人あたり5000円の損害賠償責任を認めた事件(最判平15.9.12判タ1134-98の差戻審)などがあるが,これらの事件と比べると1人当たりの賠償額が高く認定された。
こうした個人情報の流出による損害のほとんどは慰謝料であり,形式的に算出することは難しい。しかし,以下のような要素が考慮していると思われる。
- 情報の性質(氏名,住所等の基本的な情報に加えて,病歴,思想信条や,本件のような身体,美容に関する情報が加わると,高額な慰謝料になりやすい。)
- 流出の態様(外部の不正行為によって流出した場合でも,十分なセキュリティ体制が採られていなければ高額になりやすい。)
- 事故後の対応(迅速に被害拡大防止に動いたり,謝罪,報告等の対応が採られていると慰謝料は低下しやすい。)
- 二次的被害の有無(迷惑メール等が来たりする場合には高額になりやすい。)
このうち,流出の態様,事故後の対応については,事前に十分なセキュリティ対策を採用したり,従業員や委託先の教育,訓練を行っていくことでリスクをヘッジすることがしやすい要素である。
