IT・システム判例メモ

弁護士 伊藤雅浩が,システム開発,ソフトウェア,ネットなどのIT紛争に関する裁判例を紹介します。

個人情報保護法20条・22条違反と不法行為(ベネッセ事件)千葉地判平30.6.20金商1548-48

2014年に起きた大量の個人情報漏えい事件関連の民事訴訟の一つで,千葉で提起されたもの。個人情報保護法の規定の違反と,不法行為責任の関係や,セキュリティ対策についての具体的義務の水準について触れた点が注目された。

事案の概要

あらためて説明するまでもないが,最小限度に説明しておく。通信教育等を目的とするYは,a社にシステム開発・運用を委託していた。a社の業務委託先の従業員Bは,Yの顧客等の個人情報を抽出し,Bが使用していたPCに保存した上で,USBケーブルを経由してB所有のスマートフォンに転送するなどして個人情報を取得した。Bは,取得した個人情報を複数の名簿業者に売却した。この事故により,Xらにかかる個人情報(氏名,性別,生年月日,郵便番号,住所,電話番号等)が漏えいした。


Xらは,Yに対し,不法行為(715条または709条)に基づいて,一人当たり2万円ないし3万円の損害賠償の支払いを求めた。

ここで取り上げる争点

争点(1)使用者責任民法715条)の有無
争点(2)一般不法行為責任(民法709条)の有無

裁判所の判断

争点(1)に関しては,Yは,aを監督していたこと,aとBとが実質的な指揮監督関係があったとの主張にとどまり,Yの指揮監督関係がBに及んでいたことの事情が主張されていないとして,主張自体失当だとされた。


争点(2)に関してはやや詳細に論じている。まず少なくともYには予見可能性があり,少なくともa社において結果回避義務はあったとする。

MTPスマートフォンへのデータの書き出しを防止するには,従来のスマートフォンとは異なる対策を講じる必要があるということは,本件事故当時,一般的に認識されていなかったことが認められるから,Yは,a社において,正規のアクセス権限を有していた者が,その所有するスマートフォンをクライアントパソコンにUSBケーブルで接続することによりクライアントパソコンからスマートフォンにデータを転送する方法によって,個人情報を不正に取得することを予見することはできなかったということができる。

イ もっとも,スマートフォンの転送形式やソフト開発は日進月歩であり,ある時点では本件書き出し制御システムが有効に機能しているとしても,その後の新たな技術等の開発によって,容易に当該システムが機能しなくなる可能性は当然に予見できるものであり,その他,Yは,a社において,正規のアクセス権限を有していた者が,本件データベースから個人情報を大量に取得し,それを何らかの方法で外部へ持ち出し,漏えいする可能性があること自体については予見可能であったということができる。したがって,これを踏まえて,少なくとも,a社においては,通常の企業に要求された一般的水準における,情報漏えいの結果を回避すべき義務があるというべきである。


そのうえで,上記下線部「通常の企業に要求された一般的水準」の認定にあたっては,当時の「個人情報保護法についての経済産業分野を対象とするガイドライン」(甲ガイドライン)と,IPA策定の組織における内部不正防止ガイドライン1.1版(乙ガイドライン1)と,事故後に改訂された2.0版(乙ガイドライン2)の位置づけを検討した上で,甲ガイドラインの規定は通常の企業に要求された一般的水準となり得るとしつつも,乙ガイドライン2のうち,乙ガイドライン1に規定がないものは,本件事故当時における通常の企業に要求された一般的水準であるということはできず,その規定をもってYの過失を基礎づけることはできないとした。さらには,乙ガイドライン1も,組織における内部不正の防止のために策定されたものであるから,その違反によって直ちにYの過失を基礎づけるものとはいえないとした。


Xは,Yが講じるべき具体的義務違反の内容として,(1)アラートシステムの対象範囲の確認や動作確認を怠ったこと,(2)書き出し制御システムが機能していなかったこと,(3)モバイル端末の持ち込みを制限していなかったこと,(4)アクセス権限を細分化して設定していなかったこと,(5)ログを定期的に確認していなかったこと,(6)管理者・運用責任者を設定するなどの役割と責任を明確化していなかったことなどを挙げた。しかし,これらの点について,甲ガイドラインにおいて具体的な監視措置について定めていないことや,乙ガイドライン1で「望まれます」と規定しているに過ぎないことなどから,いずれもYにおいて裁量の範囲を逸脱したということはないとした。


さらには,Xは,本件事故直後にYが経済産業省から個人情報保護法20条,22条に違反することを理由に勧告を受けた事実が,Yの過失を裏付けると主張したが,裁判所は次のように述べてそれも否定した。

Yが受けた本件勧告では,個人情報のダウンロードを監視する情報システムの対象範囲を監査の対象としていなかったことが個人情報保護法22条に違反すること及びYの業務の全過程においてYが保有する個人情報の利用・管理に責任を持つ部門を設置しなかったことが同法20条に違反することが勧告の原因となる事実とされていることが認められる。

しかし,Yの過失の前提として,Yがいかなる注意義務に違反したかについては,Xが主張立証責任を負うものであり,個人情報保護法20条及び22条は,Yの具体的な注意義務を基礎付けるものではないから,Yがこれらの規定に違反することを内容とする本件勧告を受けたことをもって,直ちに,本件事故についてYに過失があるということはできない。


よって,Xらの請求はいずれも棄却された。

若干のコメント

この事件を巡っては,多くの民事訴訟が提起され,すでに一部の判決も出ています(最判平29.10.23など)。法律構成がそれぞれ異なっていることもあり,判断が分かれていますが,本件はYの責任なしとされています(a社が被告だった場合には,場合によっては715条の責任が認められた可能性は残ります。)。


本判決で注目すべき点の1つめとしては,Yが構築・運用すべきセキュリティの水準として,(旧)個人情報保護法ガイドラインIPAガイドラインが挙げられて具体的に検討されたことが挙げられます。同種の判断枠組みとしては,事案は異なるもののクレジットカード情報の漏えいに関するSQLインジェクション事件(東京地判平26.1.23)が想起されます。


サービス提供者としては,契約書,SLA等の記載がなくても,一般的に適用されるガイドラインの内容を(特に「望ましい」等の表現の規定ぶりにも留意して)把握・実践しておく必要が出てくるでしょう。


そしてもう1つは,個人情報保護法20条(安全管理措置),22条(委託先監督)の義務違反と不法行為責任の関係です。本判決では,これらの違反を理由に勧告を受けたことを以って,ただちに(不法行為上の)過失があるということはできないとしました。その判示部分に誤りはないとしても,法の究極目標が「個人の権利利益を保護する」としながら(1条),これに違反したことを理由に(滅多に出されない)勧告が出ても不法行為責任なしとしたことについては疑問があります。