25 コンプライアンス, 危機管理, 民法・商法, 個人情報保護法

はじめに

企業の個人情報漏えいをめぐるトラブルは今年1年だけを見ても多く発生しています。

個人情報漏洩事件・被害事例一覧

個人情報の保護に関する法律（以下、個人情報保護法）によれば、個人情報を取り扱う企業(≒個人情報取扱事業者。個人情報保護法2条)は、個人情報の漏えいを事前に防ぐために必要な措置を講じなければなりません（個人情報保護法20～22条）。

企業が、個人情報保護の為に必要な措置を講じることなく（＝過失）或いは故意に個人情報を漏えいしてしまった場合、企業は顧客に対して不法行為に基づく損害賠償責任を負うことになり、顧客から民事訴訟を提起される恐れがあります。

そこで今回は、顧客の個人情報が漏えいした場合における損害賠償額について、これまで起こった個人情報漏えい事件の裁判例を紹介します。

法務・コンプライアンス担当者が個人情報保護の為の安全管理体制を構築する際に、参考にしていただければ幸いです。

過去の裁判例

① 宇治市住民基本台帳事件（大阪高判平成13年12月25日）

【事件の概要】

宇治市が管理する住民基本台帳上の個人データを使用した乳幼児健診システムの開発の為に、システム開発業務を民間業者に委託したところ、再々委託先の従業員が個人データを不正にコピーした上で、そのデータを名簿業者に売却。更に名簿業者が漏えいした個人データの購入をインターネット広告により勧誘し、販売するなどした。
宇治市の住民であった原告らは、宇治市に対して国家賠償法1条または不法行為の使用者責任（民法715条）に基づく損害賠償を請求した。

【漏えいした情報】

住民基本台帳上の個人データ
（住民の住民番号、住所、氏名、性別、生年月日、転入日、転入先、世帯主名、世帯主の続柄など）

【判決内容】

宇治市に対し、一人当たり慰謝料1万円、弁護士費用5000円の支払いを命じた。

【メモ】

・住民の損害として「プライバシーに属する本件データがＤ社，Ｅ社，Ｆ社及びデータネットへ流出し，インターネット上で同データの購入を勧誘する広告が掲載されたこと及び同データの回収が完全であるか否かについての不安・精神的苦痛」を認定した。

・損害額につき、「被控訴人らのプライバシーの権利が侵害された程度・結果は，それほど大きいものとは認められ」ず、また宇治市が「本件データの回収等に努め，また市民に対する説明を行い，今後の防止策を講じたことを含め，本件に現れた一切の事情を考慮」して、慰謝料一人当たり1万円、弁護士費用5000円を相当とした。

判決文全文（PDF）

② 早稲田大学江沢民講演会名簿提出事件（控訴審）（東京高判平成14年1月16日）

【事件の概要】

早稲田大学（被控訴人）が、大学内の講堂において講演会の開催を計画し、講演会への参加を申し込んだ学生ら（控訴人）に参加者名簿を書かせた後、学生らに無断で、本件講演会の警備に当たる警視庁の警備活動に協力するため、参加者名簿を警視庁に提出した。これにより控訴人らのプライバシーなどが侵害されたとして、不法行為に基づく損害賠償としてそれぞれ慰謝料３０万円及び弁護士費用３万円を請求した。

【漏えいした情報】

氏名，学籍番号，住所及び電話番号

【判決内容】

早稲田大学に対し、一人当たり１万円＋遅延損害金の支払いを命じた。

【メモ】

・本件で流出した情報につき「基本的には個人を識別する単純な情報の範囲に留まるものであって，思想信条や結社等とは無縁のものであり，しかも，他人に知られたくないと感ずる度合いの低い性質」のものであるとし、「控訴人らの被った不利益は，現実的，具体的なものではなく，控訴人らの自己に関する情報の開示について自ら決定する利益が侵害されたという観念的，抽象的なものであるにとどまり，その程度も大きなものということはできない」と判示した。

・しかし、「大学が本件個人情報の開示について控訴人らの同意を得なかったことは，ひとえに本件大学の手抜かりによるもので配慮に欠けるものであったといわざるを得ず，同意を得ないことがやむを得ないと考えられるような事情があったということはできない」とし、違法性を認めている。

・損害額につき、本件個人情報を開示すること自体には本件講演会の警備等の正当の理由があったこと、本件個人情報の開示の違法性が肯定されれば、X らの被った精神的損害のほとんどは回復されるものと考えられる事などを踏まえて、慰謝料１万円の支払いを命ずることで足りるものとした。

判決文全文（PDF）

③ Yahoo！BB事件（大阪地判平成18年5月16日）

【事件の概要】

総合電気通信サービスの会員であった原告らが、同サービスの顧客情報として保有管理されていた原告らの個人情報が外部からの不正アクセスにより漏えいしたことについて、被告ら（BBテクノロジー株式会社及びヤフー株式会社）が個人情報の適切な管理を怠った過失等によりプライバシーが侵害されたとして、被告らに対し不法行為ないし共同不法行為に基づく損害賠償を請求した。

【漏えいした情報】

氏名、住所、電話番号、メールアドレス等

【判決内容】

BBテクノロジー株式会社に対し、一人あたり慰謝料5000円＋弁護士費用1000円及び遅延損害金の支払い

ヤフー株式会社に対する請求は棄却。

【メモ】

・具体的な二次流出の発生は認定されなかった。

・損害額につき、「原告らの個人情報は秘匿されるべき必要性が必ずしも高いものではな」い一方、ＢＢテクノロジーが「顧客情報の社外流出について発表を行い，不正取得されたことが確認できた顧客に対してその旨連絡するとともに，本件サービスの全会員に５００円の金券を交付するなどして謝罪を行う一方，顧客情報についてのセキュリティ強化等の対策をとっていること…（中略）…といった本件に現れた一切の事情を考慮」して算定している。

・その後、控訴審（大阪高判平成19年6月21日）では、ヤフーの過失を認め、被告らの共同不法行為であるとした。

判決文全文（PDF）

④ TBC事件（東京高判平成19年8月28日）

【事件の概要】

エステティックサロンを経営する企業である控訴人（TBC）が被控訴人（原審原告）らの個人情報をインターネット上において第三者による閲覧が可能な状態に置き、実際に第三者が個人情報にアクセスしてその情報を流出させたことにより、迷惑メール、ダイレクトメール及びいたずら電話等といった二次被害を被ったとして、被控訴人が控訴人に対し、不法行為による損害賠償請求権に基づき、それぞれ慰謝料等を請求した。

【漏えいした情報】

氏名、住所、電話番号、メールアドレス、職業、年齢、性別、関心を有していたエステコース名、スリーサイズ等（※注1）を含むアンケート回答

【判決内容】

TBCに対し、一人当たり慰謝料3万円＋弁護士費用5000円の支払いを命じた。

【メモ】

・被控訴人らが「自らの氏名、住所、電話号、年齢、職業といった個人識別情報とともに」、関心のあるエステコース名やアンケート内容といった「エステティック特有の身体的もしくは美的感性に基づく価値評価をくだすべき身体状況に係るものである個人情報」を提供することは、「全体として、顧客が個人ごとに有する人格的な法的利益に密接なプライバシーに係る」と判示。

・損害額につき、流出した情報が「流出データ回収の完全性に対する不安ないしは精神的苦痛に対する慰謝料請求(※筆者注：事件①参照)や大学在籍に係る個人識別情報の開示に関する慰謝料請求（※筆者注：②事件参照）につき判定されるべき場合よりは、通常、より高い保護を与えられてしかるべき種類の情報であ」り、「情報の性質，流出の態様と程度に照らして」、慰謝料3万円を妥当な額であるとした。

※注1：J-CAST ニュース参照のこと
　　　

参考記事:
日経 xTECH①

日経 xTECH②

⑤ ベネッセ事件（東京訴訟）（東京地判平成30年12月27日）

【事件の概要】

通信教育事業等を目的とする会社である被告１（ベネッセ）から委託を受けて原告らの個人情報を分析するシステムの開発・運営等をしていた被告２（被告１のグループ関連企業）の従業員が、故意に原告らの個人情報を外部名簿業者に売却したことにより精神的苦痛を被ったとして、被告１・２に対し不法行為等に基づき損害賠償を求めた。

【漏えいした情報】

氏名、性別、生年月日、郵便番号、住所、電話番号、保護者（原告）氏名

【判決内容】

被告1に対する請求棄却。

被告2に対し、一人当たり慰謝料3000円、弁護士費用300円の支払いを命じた。

【メモ】

・「現時点で，ダイレクトメール等が増えたような気がするという程度以上に財産的損害その他の実害が原告らに生じたことはうかがわれない。」として、具体的な二次被害を認定しなかった。

・「自己の了知しないところで自己の個人情報が漏えいしたことへの不快感・不安感の程度は，成年者であるか未成年者であるかは問わず，異なるものとはいえない」とし、プライバシー侵害による精神的損害の程度につき、成年者と未成年者とで区別しなかった。

・被告1の持株会社が「本件漏えいの発覚後に直ちに対応を開始し，情報漏えいの被害拡大を防止する手段を講じ，監督官庁に対する報告及び指示に基づく調査報告を行い…（中略）…情報が漏えいしたと思われる顧客に対し…（中略）…顧客の選択に応じて５００円相当の本件謝罪品の交付を申し出る」等事後対応を含めた「本件に現れた一切の事情を総合考慮」した結果、慰謝料３０００円を相当とした。

・本件には既に先行訴訟（最判平成29年10月23日判例タイムズ1442号46頁）が存在している。先行訴訟の原々審では被告らの過失が認められず請求棄却となった。又、原審では氏名や性別、生年月日等の情報が名簿業者に売却されて漏えいした際に生じる不快感や不安は被侵害利益として直ちに損害賠償を求めることが出来ないとして損害の発生を否定。最高裁は被告らの過失の有無及び損害論につき更に審理させるため、原審に差し戻した。

判決文全文（PDF）

これらの裁判例を見ると、漏えいした情報の種類・内容や事業者の事業内容、具体的な二次発生の有無だけでなく、漏えい後の対応によっても賠償額が変動する傾向があると考えられます。

法務担当者は、損害賠償を軽減するために、個人情報の漏えいを未然に防ぐのみならず、事後の対応についても適切に行えるよう予め報告連絡体制を構築し、社内に周知徹底しておく必要があるといえるでしょう。

※漏えい後に採るべき対応として、参考記事
個人情報保護委員会がアマゾンに行政指導、情報漏えい後に企業が採るべき対応について（企業法務ナビ）

参考文献

谷山智光「個人情報の流出に対する損害賠償」御池ライブラリー25号33頁(御池総合法律事務所・2007年)
（PDF）
中山布紗「個人識別情報の漏えいによる不法行為の成否 ――ベネッセコーポレーション個人情報漏えい損害賠償請求事件―― (最高裁平成29年10月23日判決判タ1442号46頁)」立命館法学380号259頁
（PDF）

メルマガ会員登録