平成26年6月に起きた大量の個人情報持ち出し事件(ベネッセ事件)に関し、原審の判断を覆してベネッセの責任を認めた事例(弁護団事件の一つ)。
事案の概要
著名な事案なので、よく知られているところであるが、通信教育事業を営む被告ベネッセに提供されていた個人情報の管理を委託された被告シンフォームがさらに多重に再委託され、その従業員Aが私物スマートフォンを用いて大量の個人情報を不正に取得し、第三者に売却して漏えいさせたという事案である。
4000万件ともいわれる大量の漏えい事故により、各地で多数の損害賠償請求訴訟が起きた。また、刑事事件では、Aが不正競争防止法違反で有罪判決を受けている(顧客情報の管理(ベネッセ事件刑事控訴審)東京高判平29.3.21(平28う974) - IT・システム判例メモ)。
初期に出された判決の中には、損害の立証がないとして請求を棄却した判決もあったが(大阪高判平28.6.29)、その上告審では審理不尽の違法があるとして差し戻しとなった(ベネッセ事件最高裁 最判平29.10.23(平28受1892) - IT・システム判例メモ )。差戻審(大阪高判令元.11.20)では、慰謝料として原告1人あたり1000円の損害賠償を認めた。
本件は、「ベネッセ個人情報漏えい被害対策弁護団*1」が提起した多数の訴訟のうち、第2次・第5次訴訟と言われる事件の控訴審判決である。原審(東京地判平30.12.27(平27ワ2486、平27ワ2767、平27ワ32497)は、被告ベネッセの責任は否定したが、被告シンフォームの責任を認め、原告1人あたり3300円の損害賠償を認めた。
なお、Aが行った漏えいの手法は、貸与されていたPCからデータベースにアクセスし、個人情報をPC内に保存した後、USBケーブルを用いて、MTP(メディア・トランスファー・プロトコル)によって私物のスマートフォンに転送したというものである。なお、USB機器とPCとの通信方法には、MTPのほかMSC(マス・ストレージ・クラス)もあった。Aが貸与されたPCでは、MSCによる通信方法は制限されていたが、MTPは制限されていなかった。
ここで取り上げる争点
(1)漏えいに関する被告らの予見可能性
(2)被告シンフォームの過失責任
(3)被告ベネッセの過失責任
(4)損害の額
裁判所の判断
争点「(1)漏えいに関する被告らの予見可能性」について
裁判所は、下記の点を挙げて、MTPによる通信方法も含めてスマートフォンを用いた個人データの転送はあり得ることが想定できた、として予見可能性を肯定した。
争点「(2)被告シンフォームの過失責任」について
原告が挙げる義務違反のいくつかについては否定した。
- 執務室へのスマートフォンの持込み禁止をしなかったことについては、平成25年に出されたIPAのガイドラインなどでは、私用の機器の持込み制限について記載があったものの、私物スマートフォンの持込みを禁止すべき注意義務までは認められないとした。
- 業務用PCにUSB接続禁止措置をすべきであったことについては、USBポートに制限を加えることは他の代替手段があることに照らすと過度な制約であって、必ずしもそのような禁止措置を取るべき注意義務があるとまでは認められないとした。
他方で、以下の点について注意義務違反を認めた。
- MTP対応のスマートフォンからは情報漏えいが生じうることについて予見可能性があったところ、USB接続禁止やスマートフォン持込み禁止という過度な制約を課さずとも、情報の書出し制御をかけることが実効的であったから、これを講ずべき注意義務があった。
また、下記の点については、原告が主張する措置を講じたとしても本件個人情報の流出を防止できたとはいえないとした。
- アラートシステムの設置については、具体的にどのようなアラートを設定すればよいかは明らかではない。
- より高精度な監視カメラを設置したとしても、本件個人情報の流出が防止できたかどうかは明らかではない。
争点「(3)被告ベネッセの過失責任」について
個人情報の利用・管理に責任を持つ組織が存在していれば、より組織的な対応ができた可能性はあるものの、本件漏えいを回避できたとまでは認められないから、その点に関する注意義務違反はないとしたが、以下のとおり、裁判所は、被告シンフォームに対する適切な監督をすべき注意義務の点に違反があったと認めた。結論部分を引用する。
一審被告ベネッセには,本件当時,一審被告シンフォームにおける個人情報の管理につき,本件セキュリティソフトの設定・変更について適切に監督をすべき注意義務があったというべきであり,それにもかかわらず,一審被告ベネッセは,本件当時,業務用パソコンのセキュリティソフトウェアの変更をすべき旨を指摘することなく放置していた(更新すらされていなかった)結果,本件漏えいを回避できなかったのであるから,前記注意義務に違反したといわざるを得ない。なお,本件勧告においても,一審被告ベネッセが,一審被告シンフォームに対して行う定期的な監査の際に本件データベースを監査の対象としていなかった等,委託先に対する必要かつ適切な監視を怠っていたことが個人情報保護法22条に反すると指摘されていたところである。
以上のとおり,一審被告ベネッセには,本件当時,一審被告シンフォームに対する適切な監督をすべき注意義務があり,これを怠った過失があったというべきである。
争点「(4)損害の額」について
以下の各要素を挙げて、慰謝料として1人あたり3000円と、それ加えて弁護士費用300円の合計3300円の限度で認容した。
- 情報の性質について
本件漏えいによって,一審原告らの氏名,性別,生年月日,郵便番号,住所,電話番号,ファクシミリ番号,メールアドレス,出産予定日及び保護者の氏名といった情報が漏えいしたものであるところ,このうち,氏名及び郵便番号・住所,電話番号,ファクシミリ番号及びメールアドレスについては,これらの情報を取得した者において,これらを取得された者に対する連絡が可能となり,また,同情報の使用方法によっては,取得された者の私生活の平穏等に一定の影響が及ぶおそれがある。(略)これらの情報が不正に漏えいした場合には,自己の了知しないところで自己の個人情報が漏えいしたことへの私生活上の不安,不快感及び失望感を生じさせたものとして,精神的損害が生じたと認めるのが相当である。
もっとも,出産予定日を除くこれらの情報は,人が社会生活を営む上で一定の範囲の他者に開示することが予定されている個人を識別するための情報又は個人に連絡をするために必要な情報でもあるため,思想・信条,病歴,信用情報等とは異なり,個人の内面等に関わるような秘匿されるべき必要性が高い情報とはいえない。また,出産予定日については,予定日にすぎないので,秘匿されるべき必要性の程度が相対的に低い。(略)
なお,一審原告らは,未成年の一審原告らに関しては,不安,不快感がこれから一生付きまとうなどして,精神的苦痛は成年者とは異なるとも主張するが,本件漏えいによる影響の期間は,成年者であるか未成年者であるかを問わず,個別の事情によるところが大きい一方,自己の了知しないところで自己の個人情報が漏えいしたことへの不安,不快感の程度は,成年者であるか未成年者であるかは問わず,異なるものとはいえないため,成年原告と未成年原告とで精神的損害の程度を格別に扱う理由までを見いだすのは困難であるので,同主張は採用しない。
- 漏えい範囲・実害について
本件漏えいにより,教育関連会社等500社を超える会社に情報が流出したとの報道がされている上,本件漏えいの発覚経緯が,一審被告ベネッセの顧客から,一審被告ベネッセに対し,一審被告ベネッセと異なる通信教育事業者から一審被告ベネッセに提供していた氏名を名宛人とした書面が送付されているとの指摘が多数寄せられ,しかも,その氏名の中には,一審被告ベネッセだけに提供していた戸籍上の氏名と異なるものがあるとの指摘が含まれていることに鑑みると,本件漏えいに係る情報も同通信教育事業者に流出した可能性があるといえるものの,一審原告らもダイレクトメールやセールス電話が一審原告ら全員に生じているとまでは主張しておらず,前記の流出の可能性を超えて,現時点で,ダイレクトメール等が増えたような気がするという程度以上に財産的損害その他の実害が一審原告らに生じたことはうかがわれない。
- 漏えい後の対応について
そして,一審被告ベネッセの持ち株会社である株式会社ベネッセホールディングスは,本件漏えいの発覚後に直ちに対応を開始し,情報漏えいの被害拡大を防止する手段を講じ,監督官庁に対する報告及び指示に基づく調査報告を行い,情報が漏えいしたと思われる顧客に対し,本件通知書を送付するとともに,顧客の選択に応じて500円相当の謝罪品の交付を申し出るなどしている。
若干のコメント
前記注の弁護団ブログによれば、本判決は上告棄却、上告受理申立て不受理の決定がなされており、確定している模様です。
委託先のシンフォームと、その親会社のベネッセについて、どのような注意義務違反があるのかが丁寧に認定されていて、実務上の参考になります。
本判決により、原審では否定されていたベネッセの監督責任が認められたのは大きいとは思うものの、慰謝料の額が3000円では、あまりにも低いという印象があります。過去の住民基本台帳(大阪高判平13.12.25)では1万円、Yahoo!BB(大阪高判平19.6.21)でも5000円だったことを考えると、個人データの重要性が増してきて、不正利用の危険性も高くなっているなかで、慰謝料の額が下がってしまうというのはいかがなものかと思います(冒頭で挙げた平成29年最高裁の差戻審では1000円です)。
