再委託先従業員の不注意によってファイル共有ソフト経由で住民情報が漏えいしたという事故について再委託に対する損害賠償が認められた事例。
事案の概要
Xは,自治体Zから,平成15年4月17日に,町村合併に伴う総合住民情報のシステムへの移行及び統合データ作成の業務を請け負った。さらに,Xは,平成16年8月5日,自己が請け負った業務を,Yに委託する下請契約(本件契約)を締結した。
平成19年5月14日になって,合併後のA町の個人情報が漏えいしていることが発覚した。その原因は,本件契約に基づく業務に携わっていたYの従業員が,個人情報を含むデータ(本件データ)が格納された作業用のPCを自宅に持ち帰り,家族のデスクトップPCと接続し,そのPCに本件データをコピーして保存していたところ,当該デスクトップPCにインストールされていたファイル交換ソフト(ウィニー)を経由して漏えいしていたというものであった。
Xは,Yに対し,自治体Zに対して賠償した金銭のほか,自ら生じた損害を主位的に不法行為(民法715条),予備的に債務不履行に基づく損害賠償請求として合計約1500万円を請求した。
ここで取り上げる争点
(1)漏えいに関するYの責任の有無
(2)損害額
裁判所の判断
争点(1)について。
まず,Yについて,個人情報保護法制定前から,安全管理のための必要かつ適切な措置を講ずる義務を負っていたとし,業務終了後は個人情報を消去する義務を負っていたとした。
前記認定した事実によれば,情報技術の発展により,電子計算機により個人情報が大量に,かつ迅速に処理されるようになった反面,個人情報の安全な管理の重要性も意識されるようになり,事業者間では,個人情報の安全管理に必要かつ適切な措置を講ずることが個人情報を取り扱う業者としての義務であるとの認識が一般化し,平成15年には個人情報の安全管理について個人情報保護法の制定及びこれに伴う法整備が行われたことが認められ,これらの事実によれば,個人情報保護法制定以前において,すでに,個人情報を取り扱う事業者には,個人情報の安全管理のための必要かつ適切な措置を講ずる義務があったと認めるのが相当である。したがって,平成16年8月5日に,Xとの間で本件契約を締結し,本件業務を遂行したYにも,同業務で取り扱った合併前町村の住民の個人情報の安全管理のための必要,かつ適切な措置を講ずる義務を負っていたというのが相当である。そして,同義務を遂行するために,Yから,本件業務終了後は貸与パソコンに保存していた住民の個人情報を消除すべきとの指示を受けていたY従業員も,同指示に従い,同業務終了後は,貸与パソコンから住民の個人情報を消去し,消去するまでは漏洩,不正使用がないよう住民の個人情報を安全に管理する義務を負っていたというべきである。
続いて,認定した事実によれば,Yは民法715条による損害賠償責任を負うとした。
本件従業員は,本件業務終了後,本件業務遂行過程において貸与パソコンに保存した住民の個人情報を消去せず,かえって,無断で,本件業務によって作成され北九州事務所のサーバに保存されていた本件統合データを貸与パソコンに保存し,同パソコンを自宅に持ち帰り,本件統合データを自宅にあった夫のデスクトップ型パソコンに移して保存していたため,後に夫が前記夫のパソコンにファイル交換ソフトであるウィニーをインストールしていたところ,同パソコンがウイルスに感染し,本件漏洩が発生したのであるから,本件従業員が,本件統合データを無断で貸与パソコンに保存した行為は,個人情報保護のため業務終了後は個人情報を消去するという前記義務に違反する行為であり,また,前記認定事実によれば,当時,既にウィニーによる情報の漏洩事故が多発していることは周知の事実であったのであるから,夫のパソコンに本件統合データを保存したのであれば,同データを消去するまでは,同データを安全に管理する義務があったというべきであり,本件データを夫のパソコンに移し,保存したまま放置したことは,同義務に違反する行為というべきであって,本件従業員には,前記のとおり本件データを安全に管理する義務に違反する過失があったと認められ,Y従業員の係る行為は,本件漏洩により後記損害を被ったXに対する不法行為に該当するというべきである。
そして,本件従業員が,貸与パソコンに本件統合データを保存した行為は,前記認定事実によれば,北九州事務所内において,業務執行中に行われたものと認められ,また,貸与パソコンを自宅に持ち帰ることについては,当該従業員の判断に任されていたのであるから,本件従業員が本件統合データを貸与パソコンに保存し,自宅に持ち帰ったとしても,業務のため貸与パソコンに保存された同データを管理していたというべきであり,同データを前記自宅にあった夫のパソコンに保存する行為もまた本件業務の遂行に際し行われたと解するのが相当である。したがって,Yは,民法715条により,Xに対し,本件漏洩によるXの損害を賠償する責任があるというべきである。
Yは必要な指導や監督を実施したと反論したが,裁判所はこれを否定した。
Yは,個人情報の安全管理のための指導・監督を十分行っており,また,当時ウィニーによる情報の漏洩事故の発生は余り知られておらず,本件従業員が貸与パソコンに保存していた個人情報を夫のパソコンに移すとか,本件従業員の夫が,同パソコンにウィニーをインストールすることまでは予見不可能であり,それを前提とする指導・監督をすることまでは求められていない旨主張する。しかしながら,本件従業員が,貸与パソコンのデータを夫のパソコンに取り入れた当時には,既にウィニーによる情報漏洩事故は多発しており,そのことは少なくとも個人情報を取り扱う事業者の周知するところとなっていたと認められるから,ウィニーによる個人情報の漏洩も予見できたというべきであり,それにもかかわらず,前記認定事実によれば,個人情報の安全管理については,北九州事務所における管理体制を定め,従業員に対しても一般的な個人情報の安全管理についての指導はしていたものの,本件業務に関しては,住民の個人情報に関するデータが入った貸与パソコンを帯出するについて,帯出ごとにデータの確認や個別の情報管理に関する指示・指導を行っておらず,同パソコンの帯出も当該従業員の判断に委ねられており,貸与パソコンに保存されたデータの消去についても,一般的な指導として,貸与パソコンに取り入れたデータは作業完了後は消去するように指導していたものの,本件従業員に貸与していたパソコン内のデータを消去したのは,前記のとおり,平成17年8月ころに本件従業員の担当業務が変更となり,Yの指示により本件従業員が貸与パソコンを返還してからであったのであるから,Yの本件業務における個人情報保護のための安全管理については,なお,問題があったといわざるを得ず,個人情報管理のための本件従業員に対する指導・監督を怠っていないということはできないというべきである。
争点(2)について。
(詳細は判例DBからは不明だが)Xは,自治体Zに対し,自治体Zから求められた賠償額(別紙「情報漏えいに係る損害内訳明細書」に内訳あり)1453万2000円全額を支払っており,さらにX自身の出費として,漏えい問題への対応のための関係先訪問費用約20万円,新聞への謝罪広告費用約49万円が支払われたことが認められた。
しかし,その上で,次のように述べて,Xに生じた損害のうち,4割はX自身の過失によるものだとした。
以上によれば,Xは,本件漏洩問題に対処するため,A町が負担した費用を含めて合計1522万9820円の支払いを余儀なくされたものであるが,前記争点1で述べたように,Xは個人情報取扱業者として個人情報の安全管理義務を負っていたにもかかわらず,本件業務に関して得たA町の住民に関する個人情報の管理については,A町の現役場で行われた本件業務に先立ち,個人情報は作業完了後は直ちに消去するようY従業員らに注意をしたのみで,Y従業員が,A町の現役場で収集したデータを貸与パソコンに保存し,北九州事務所に持ち帰って本件業務を行っていたにもかかわらず,貸与パソコンによって持ち出すA町住民の個人情報の管理については,専らYに任せ,Xは前記のとおり,本件業務を始めるに際し,注意を与えたのみであったのであるから,Xにもまた個人情報取扱業者として,本件業務によって得たA町の住民の個人情報に関する安全管理管理(ママ)義務を怠った過失があったというべきであり,同過失も本件漏洩の原因の一端を担っているというべきである。したがって,Yに,Xが本件漏洩問題に対処するためA町に対する損害賠償として支払った金員を含む合計1522万9820円全額につき,Xに対する損害賠償義務を認めるのは相当ではなく,X及び本件従業員の過失の内容,Yの従業員に対する指導・監督の懈怠の内容及びそれらの程度並び本件記録に顕れた諸般の事情を考慮し,上記費用のうち,4割に相当する609万1928円は,Xの前記過失によるものとし,Yには,残りの6割に相当する913万7892円の限度で不法行為に基づく損害賠償義務を認めるのが相当である。
として,約900万円の限度で損害賠償責任を認めた。
