事案の概要

有名な事件なのであらためて説明するまでもないが，最高裁の判決文から引用する（一部編集）。

(1) Xは，未成年者であるＢの保護者であり，Yは，通信教育等を目的とする会社である。
(2) Yが管理していたＢの氏名，性別，生年月日，郵便番号，住所及び電話番号並びにＢの保護者としてのXの氏名といったXに係る個人情報（以下「本件個人情報」と総称する。）は，遅くとも平成２６年６月下旬頃までに外部に漏えいした（以下「本件漏えい」という。）。
(3) 本件漏えいは，Yのシステムの開発，運用を行っていた会社の業務委託先の従業員であった者が，Yのデータベースから被上告人の顧客等に係る大量の個人情報を不正に持ち出したことによって生じたものであり，上記の者は，持ち出したこれらの個人情報の全部又は一部を複数の名簿業者に売却した。

原審では，このような事実関係の下でXのYに対する損害賠償請求を棄却した。その理由は，最高裁の判決文によれば，「本件漏えいによって，Xが迷惑行為を受けているとか，財産的な損害を被ったなど，不快感や不安を超える損害を被ったことについての主張，立証がされていない」というものだった。

裁判所の判断

最高裁は，原審破棄，差戻しとした。

本件個人情報は，Xのプライバシーに係る情報として法的保護の対象となるというべきであるところ（最高裁平成１４年（受）第１６５６号同１５年９月１２日第二小法廷判決・民集５７巻８号９７３頁参照），上記事実関係によれば，本件漏えいによって，Xは，そのプライバシーを侵害されたといえる。

しかるに，原審は，上記のプライバシーの侵害によるXの精神的損害の有無及びその程度等について十分に審理することなく，不快感等を超える損害の発生についての主張，立証がされていないということのみから直ちにXの請求を棄却すべきものとしたものである。そうすると，原審の判断には，不法行為における損害に関する法令の解釈適用を誤った結果，上記の点について審理を尽くさなかった違法があるといわざるを得ない。

引用されている最高裁判例は，いわゆる早稲田大学江沢民事件。

若干のコメント

すでにこの事件に関しては，漏えいの被害者からいくつもの訴訟が提起されています*1。これまで，「本件個人情報」と同様の氏名，住所，電話番号といったプレーンな情報が漏えい・流出した事件においても，裁判所は，精神的損害として慰謝料の賠償を認めてきました（例えば，ヤフーBB情報漏洩事件（大阪高判平19.6.21）では，一人当たり5000円）。

ところが，本件の原審（判決文は確認していません）では，損害の発生について主張，立証がないとして請求棄却していたため，違和感がありました。差戻しとなったため，今後，大阪高裁で損害額について審理が行われますが，10年以上前に発生した事件・事故においても5000円の慰謝料だったこと，その後も情報の価値・プライバシーへの意識が高まっていることを考えると，これを超えてくることも予想されるため，注目です。

なお，拙書「システム開発紛争ハンドブック」255頁以下でも，個人情報漏えい事故における損害について検討しています。そこでは，慰謝料算定に影響を与える要素として「情報の性質」「漏えいの範囲」「事故後の対応」「二次的被害の有無」を挙げています。

情報漏えい事故が起きると，事業者側は500円相当のポイント，QUOカードなどを送ってクローズするということが少なくないですが，これは上記の裁判例等に照らせば，プライバシー侵害による損害賠償額としては明らかに足りていません。事業者もそのことを承知で行っているフシがありますが，裁判例による相場が確立され，訴訟コストが下がれば対応を変えざるを得ないでしょう。