個人情報を預かっていた開発者のPCがウィルスに感染し,個人情報が流出した事件。
事案の概要
個人事業主Yは,Xから継続的に業務を受託していた。XY間で締結された業務委託契約には,個人情報を善良な管理者による注意を以って管理すること,秘密を保持すること等が定められていた。
Xは,Z(経済産業省)から受注したウェブサイトのデザイン部分をYに再委託した。YのPCには,P2Pソフトがインストールされており,当該ソフトをターゲットとしたウィルスに感染したため,Xから管理を委託されていた個人情報(氏名,所属,住所,電話番号等)1700件と,FTPサーバからダウンロードしていたメールの情報,見積書等を外部に流出させた。
Z及びXは,当該流出事故の内容をウェブサイト上で発表し,その中にはYの名称も掲載されていた。XはYに対し,本件流出事故によって生じた損害,約1100万円の賠償を求めたところ,Yは反訴としてXによる発表がYの名誉を毀損するとして800万円の賠償を求めた。
ここで取り上げる争点
(1)Yの債務不履行の有無
(2)損害の有無,額
(3)過失相殺の可否,割合
裁判所の判断
争点(1)については,Yの債務不履行責任をあっさり認めた。
Yは,Xに対し,当該情報を善良な管理者の注意をもって管理する義務を負っていたと解するのが相当である。
そして,P2Pファイル交換ソフト「Share」がインストールされたパソコンは,ウイルス感染によって情報を流出させる危険性があることは一般的に知られていることであり,また,Yは,Xから,委託を受けた業務で使用するパソコンにウィニー等のP2Pファイル交換ソフトをインストールすることを禁止されていたにもかかわらず,「Share」がインストールされた私有のパソコンに本件情報を保管し,結果として本件情報を流出させてしまったのだから,上記善管注意義務に違反したものとして,Xに対する債務不履行責任を免れないというべきである。
争点(2)について。
宿泊費については,流出事故がなければ発生しない性質のものであったとはいえないとして認めなかったが,交通費,日当などの約18万円を流出事故によって生じた損害だと認めた。
また,データ解析費用として,HDDの解析費用約200万円,2ちゃんねるの監視費用約15万円も損害として認められた。
Xが主張していた従業員の時間外費用約286万円のうち,Xが当然行うべき業務によって生じたものも含まれているとし,140万円の限度で認めた。
そのほかに,謝罪に要した費用約54万円も損害として認め,それらの合計約430万円が流出事故によって生じた損害とされた。
争点(3)について,裁判所は,下記のように述べて,Xの過失割合は3割だとした。
本件情報流出によって流出した情報の多くは,Xの社員が,社内規程に反してFTPサーバを社外に設け,Yを含む協力会社に対し,コンテンツ制作に必要な原稿・素材を当該サーバを経由して相互にやり取りさせていた際に,Yにも渡っていた情報であること,本件情報流出によって,Xのセキュリティ管理の対象から漏れていたメーリングリストで送信された情報も流出していることからすると,Xが情報管理を厳しく行い,Yに対して提供する情報を限定していれば,本件情報流出によって流出した情報も限られたものとなり,損害もある程度回避できた可能性が高かったにもかかわらず,Xの情報管理が十分でなかったために,本件情報流出によって流出した情報が増え,損害を拡大させたというべきであり,この点はXの過失として斟酌すべきである。
これに対し,Xは,本件情報流出によって流出した原子力情報誌の送付先である個人情報は,Yが当該雑誌の表紙デザインを考案するために必要な情報であったと主張する。たしかに,雑誌の表紙をデザインするに際しては,読者層を意識する必要があるといえるが,本件情報流出によって流出した本件雑誌の送付先である個人情報は,読者の氏名のみならず,住所や電話番号も含まれているのであって,これらは雑誌の表紙デザインを考案するに際して必要な情報とまでは言い難いことは明らかであるから,上記Xの主張は直ちには採用できない。
すなわち,Xの管理体制がずさんである上,本来不要な情報を交付していたことなどを考慮し,Xの過失割合を比較的高く評価した。
その結果,上記の430万円から3割を減じ,Yが支払うべき金額が約300万円とされた。