中小企業の法律相談

福岡の弁護士、近江法律事務所が提供している法律コラムです。

個人情報を流出させた場合の賠償責任

個人情報保護法改正と情報漏えい時の報告・通知

令和2年6月に改正個人情報保護法が成立しました。改正点は多岐にわたり、例えば、同法により保護される保有個人データの範囲が拡大した(6カ月以内に消去されるデータも保有個人データに該当)ことや、オプトアウト規定により第三者に提供できる個人データの範囲が限定されたこと等、個人情報を取り扱う事業者に影響するポイントが少なくありません。

また、これまで個人情報漏えい事故発生時の報告や本人への通知が推奨されていましたが、改正により、漏えいや滅失、毀損が生じた際には速やかに内閣府外局の個人情報保護委員会へ報告し、本人に通知することが義務付けられました。どのような規模・性質の漏えい等の場合に報告義務・通知義務が発生するかは、規則等で今後定められることになっています。

今回は、もし個人情報を流出させてしまった場合に、企業がどんな賠償責任を負うのか考えてみたいと思います。

個人情報を流出させた場合の賠償責任

ベネッセ顧客情報漏えい事件

平成26年に発生したベネッセ顧客情報漏えい事件は記憶に新しいところです。通信教育を業とする同社は、顧客情報を統合・分析するシステムの開発を他社に委託していたところ、委託先企業の従業員が同社のサーバコンピュータに不正アクセスして顧客情報データを取得し、複数の名簿業者に売却しました。不正に流出した顧客情報は3000万件以上と言われています。顧客情報には、未成年者の氏名や性別、生年月日、住所、電話番号、保護者氏名などの個人情報が含まれていました。この事件を巡り、多数の慰謝料請求訴訟が提起されています。

平成28年6月29日の大阪高裁判決は、情報漏えいされた保護者の請求を棄却しました。漏えいによって迷惑行為や財産的被害などの損害を被ったわけではなく、単に不快感や不安を覚えたというだけでは損害とは認められないというのが理由でした。これに対し、最高裁は、漏えいによりプライバシー侵害が生じたことを認め、プライバシー侵害による精神的損害の有無や程度について審理を尽くす必要があるとして、審理を大阪高裁に差し戻しました(平成29年10月23日第二小法廷判決)。そして、差戻審(大阪高裁令和元年11月20日判決)は、個人情報を回収不能なほどに流出させており、私生活上の平穏を害する態様の侵害行為であるとし、慰謝料の賠償責任が生じるとしました。そのうえで、流出した個人情報の内容、流出の範囲、実害の有無、事後の対応措置の内容等を総合的に考慮して判断すべきとし、結論として同社に対し1000円の支払を命じました。わずかな金額と思われるかもしれません。しかし、流出件数が3000万件超であることを考えると、企業は、単純計算で300億円以上の巨額の賠償義務を負ったともいえます。お詫び状送付などで莫大な謝罪コストを負担するうえに賠償義務を負うわけですから、情報流出が経営に与える影響は計り知れません。

なお、同じ流出事件に関する訴訟の中には、一人当たり3300円の賠償を命じた裁判例もあります(東京地裁平成30年12月27日判決)。

他の流出事案との比較~情報の属性の観点から

他方で、過去の大量流出事件の裁判例と比べてみると、ベネッセ事件での慰謝料額は、比較的少額に留まった印象です。

例えば、平成14年に発覚したエステティックサービス会社の個人情報流出事件(TBC事件)では、一人あたり3万5000円という高額賠償が命じられました。平成16年のインターネット接続サービス会社の個人情報流出事件(ヤフーBB事件)では、一人あたり5500円の賠償が命じられています。

TBC事件での流出情報には、エステティック特有の身体的状況に関する個人情報が含まれており、より保護されるべき種類の情報だったといえます。しかも、情報が「2ちゃんねる」掲示板に掲載され、迷惑メールやダイレクトメールが送られる等の二次被害が生じていたことが、賠償額を高額化させた要因と考えられます。

ヤフーBB事件は、個人の住所・氏名・電話番号・メールアドレスなどの情報が流出したものですが、これらは個人の識別を行うための基礎的な情報で、秘匿されるべき必要性が高いとはいえないものです。このため、TBC事件に比べて賠償額は低額になりました。

ベネッセ事件でも、流出したのは住所や氏名、生年月日などの個人の識別のための基本的な情報に留まっていました。たしかに、流出元が通信教育に関する大手企業ですから、単なる氏名住所であっても、そこに「教育に関心が高い」という個人の属性を読み取ることができます。とはいえ、そのことも秘匿性が高いものとまではいえないという判断が働き、上述の慰謝料評価となったと思われます。

情報流出後の対応が考慮される

これらの情報流出事件では、流出後の対応が慰謝料額の算定に当たり考慮されています。

ベネッセ事件では、漏えい発覚後に直ちに対応を開始し、被害拡大を防止する手段を講じ、監督官庁に報告して指示を仰ぎ、顧客にお詫び文を送付、さらに顧客の選択に応じて500円相当の金券を配布しました。判決ではこれらの事情が慰謝料算出にあたり考慮されており、流出後の適切な対応のために慰謝料が低額に留まったともいえるのです。

TBC事件においては、企業が謝罪メールを送信、全国紙に謝罪の社告を掲載、事故対策室を設置し、発信者情報開示請求訴訟などの対応をとりました。ヤフーBB事件では、情報を不正取得した者が流出元の親会社を恐喝するという事件が発生して情報流出が発覚したのですが、その直後から顧客情報の流出を発表、情報流出した顧客にその旨連絡し、全会員に500円の金券を交付し謝罪するなどしました。判決文を読むと、これらの事後対応が慰謝料算定事情として考慮されていますので、仮に対応が適切になされていなければもっと高額の慰謝料になっていたかもしれません。

情報セキュリティを強化し、情報流出を予防することは当然ですが、万一の流出事故の際には、これらの裁判例を参考に適切な対応をすることが企業の賠償責任を最小限にとどめることにつながります。短期間のうちに様々な対応を行う必要がありますので、平時からマニュアル作成や報告連絡体制整備等の措置を講じておくことが望ましいでしょう。

R03.03掲載

※掲載時点での法律を前提に、記事は作成されております。