ベネッセ個人情報流出事件、最高裁弁論の意義とポイント

IT・情報セキュリティ

 ベネッセコーポレーションの顧客情報流出事件の上告審弁論が9月29日、最高裁第二小法廷で開かれた。
 個人情報が漏えいしたとして顧客の男性がベネッセ側に10万円の損害賠償を求めた訴訟で、1審、2審共に男性が敗訴していたが、最高裁によってどのような判断がされるか注目を集めている。

 弁論において、原告側は「過去の判例で、氏名、住所なども法的保護の対象とされている」こと、「通信教育などに関わる情報はセンシティブ性が高い」ことを踏まえ「今回の漏えいは名簿業者に売却され、回収不能となっている点を考えると他の事件に比べても精神的被害の程度が高い」と主張。
 対して被告側は「情報が漏えいしたという漠然とした不安感は、賠償による救済の対象とはならない。今回漏えいした基本情報は生活環境の中で、登記情報のように他者に開示されて拡散することがありえるような情報」としたうえで、「現代社会では、日々努力を尽くしたとしても流出を完璧に防ぐことは不可能であり、誰でも流出の当事者になる可能性がある。基本情報が漏えいしたことで、損害賠償請求を認めるのであれば、社会において大きな混乱を招くことになりかねない」と主張した。10月23日に判決が言い渡される。

 2014年に発生した情報流出事件によって漏えいした顧客情報の総件数は3,000万件を超え、お詫びの金券(500円)の支払いで同社には巨額の損失が発生。現在、原告の数10,000人以上の集団訴訟や株主代表訴訟が進んでおり、最高裁の判決はその裁判の判断に影響を与えることも考えられる。

 最高裁において弁論が行われた意義について、個人情報保護の実務に詳しい牛島総合法律事務所の影島 広泰弁護士、企業の内部統制に詳しい山口 利昭弁護士に聞いた。  

最高裁の弁論が行われた意義

最高裁の弁論が行われた意義はどこにありますか。

影島

 高裁判決が変更される可能性が高いことになります。

 報道によれば、漏えいした情報は、原告の氏名、郵便番号、住所、電話番号、ならびに原告の子ども(10歳未満)の氏名、性別、生年月日であったとされています。これを前提に、高裁は、「個人情報を漏えいされて不快感や不安を抱いただけでは、直ちに損害賠償を求めることは出来ない。迷惑行為をうけているとか、財産的な被害を被ったなど、不快感や不安を超える損害を被ったことへの主張がない。」と判断したとされています。
 この高裁の判断を前提にすると、今後、自らの個人情報が漏えいした場合に、漏えいさせた事業者を相手に損害賠償請求する途は非常に狭くなるものと考えられます。なぜなら、個人情報が漏えいした場合、本人は「不快感や不安」を抱くことにはなるものの、それを超えた実害が発生するケースは非常に少ないからです。
 他方で、事業者の側から見ると、個人情報の漏えい・紛失などの事件は年間数千件も発生していますので、単に漏えいして「不快感や不安」を抱いただけで損害賠償請求されるとなれば、損害賠償請求を受けるリスクを常に背負うことになります。

 したがって、この点について最高裁の判断が示されることは、我が国において情報管理体制を整備することの重要性や、講じるべき措置の程度に対して、大きな影響を与えることになると考えられます。

山口

 不正実行者は三次請負業者の従業員だったので、ベネッセのグループ会社に対して安易に使用者責任(民法715条)を問うことはできません。判決が出ていないので推測に過ぎませんが、不正実行者とベネッセグループとの実質的な指揮監督関係があったのかどうかの判断、ベネッセの過失、つまり情報漏えいを防止すべき内部統制が構築されていたかどうかの判断、そして個人情報が不正利用されることへの漠然とした不安が果たして損害といえるかどうかの判断が最高裁でなされる意義は大きいと思います。差し戻しによってさらなる審議が求められる可能性もありえます。  

これまでの裁判例の流れとは異なる判断

原告の主張についてどう評価しますか。

影島

 原告側の主張は、今までの裁判例を基準にしてオーソドックスな組み立てをしていれば認められる可能性が高いはずのものです。
 この点に関する著名な事件を、2件紹介します。

京都府宇治市事件(大阪高裁平成13年12月25日判決)

 京都府宇治市の住民基本台帳等のデータ約22万件が漏えいした事件です(参考:裁判所ウェブサイト)。住民番号、住所、氏名、性別、生年月日、転入日、転出先、世帯主名、世帯主との続柄等の個人情報が漏えいしました。
 この事件の当時は、住民基本台帳の情報は誰でも閲覧することができる情報ではありましたが、大阪高裁は「氏名、年齢、性別及び住所と各世帯主との家族構成までも整理された形態で明らかになる性質のもの」であり、「明らかに私生活上の事柄を含むもの」「一般通常人の感受性を基準にしても公開を欲しないであろうと考えられる事柄であり、いまだ一般の人に知られていない事柄」であるとして、これらの情報は「プライバシーに属する情報であり、それは権利として保護されるべきものである」と判断しました。

 そのうえで、被害とは「不安・精神的苦痛をいうものであり、それ以上に、被控訴人らが具体的に何らかの被害を被ったことは、主張立証されていない」としながらも、「不特定の者にいつ購入されていかなる目的でそれが利用されるか分からないという不安感を被控訴人らに生じさせたことは疑いないところ」であり、「慰謝料をもって慰謝すべき精神的苦痛を受けたというべき」として1人あたり1万円の慰謝料が相当と判断し、「不安感」による慰謝料請求を認めています。  

Yahoo!BB事件(大阪地裁平成18年5月19日判決)

 この事件は、2004年に、ソフトバンクBB(BBテクノロジー社)の元関係者が、外部から顧客データベースに不正アクセスし、約1,100万件の会員の個人情報(住所、氏名、電話番号、メールアドレス、ヤフーID、ヤフーメールアドレス、申込日)を取得した事案です(参考:裁判所ウェブサイト)。その後、この者らが、親会社のソフトバンクから金員を脅し取ろうとした恐喝未遂で有罪判決を受けています。

 この事件で漏えいの対象となった本人が、ソフトバンクBB(BBテクノロジー社)らに対して損害賠償請求をした裁判で、大阪地裁は、漏えいした個人情報について「個人の識別等を行うための基礎的な情報であって、その限りにおいては、秘匿されるべき必要性が高いものではない」としつつも、「このような個人情報についても、本人が、自己が欲しない他者にはみだりにこれを開示されたくないと考えることは自然なことであり、そのことへの期待は保護されるべきものであるから、これらの個人情報は、原告らのプライバシーに係る情報として法的保護の対象となるというべき」と述べ、プライバシーに係る情報として法的保護の対象となると明確に判断しています。
 そのうえで、「原告らの個人情報は、恐喝未遂という犯罪に用いられたものであり、恐喝以外の手段に原告らの個人情報を利用した危険性はあったものと考えられる」としつつ、データの回収状況から二次流出があったとは認められないため、「原告らの不安感は、さほど大きいものとは認められない」こと、サービスの全会員に500円の金券を交付するなどして謝罪を行い、顧客情報についてのセキュリティ強化等の対策をとっていることを踏まえて、「不安感」についても損害賠償の対象となると判断し、1人あたり5,000円の慰謝料を認めています。

 このような裁判例を前提にすれば、ベネッセ事件において、「氏名、郵便番号、住所、および電話番号、ならびに原告の子ども(10歳未満)の氏名、性別、および生年月日」が漏えいしたため、「不快感や不安を抱いた」と主張・立証すれば、「迷惑行為をうけているとか、財産的な被害を被ったなど、不快感や不安を超える損害を被ったことへの主張がない」としても損害賠償請求は認められるというのが、これまでの一般的な発想であったように思われます(不安感の程度によって慰謝料の額が変わることはあり得るとしても)。  

被告の主張についてはどう判断しますか。

影島

 以上に述べた裁判例を踏まえると、逆に、被告の主張が一審と控訴審で認められてきたことが、エポックメイキングなことであったと評価できるように思われます。
 自らの氏名や住所等の情報と子供の氏名、性別、生年月日が名簿業者に売却され、名簿業者間を売買によって転々流通したうえで、それを入手した企業からダイレクトメールが送付された事例も多数存在する状況下で、基本的な情報が漏えいし「不快感や不安」を抱いただけであるから慰謝すべき精神的苦痛は存在しない、という判断を勝ちとってきたことになるからです。一審、控訴審共にこれまでの裁判例の流れとは異なる判断になっているように思われます。

山口

 単なる氏名などの情報といっても、ベネッセのような企業が有している個人情報だからこそ価値があり、マーケティングの効率性を考えると、ベネッセが保有している情報だからこそ買いたいと思う業者も多いと思います。また、被告が主張したように、情報漏えいはどんなに努力しても完全に防ぐことはできないかもしれませんが、早期に不正を発見することは可能なはずです。不正の早期発見にどれだけベネッセが尽力していたかという点にも注目すべきでしょう。

ベネッセ事件が個人情報の取り扱いに与える影響

今後、企業は個人情報の取り扱いについてどのような注意を払えばよいのでしょうか。

影島

 個人データの漏えいを防止するための措置を講じる必要性が高いという一般論は、当然申し上げるべきことと思います。最高裁(あるいは差戻後の高裁)が、情報漏えいに対するベネッセ側の「過失」について、どの点を捉えて過失と認定するのかは、注目に値するところです。
 そのうえで、本件の教訓は、ログの確認の重要性にあると考えています。
 本件では、委託先の技術者は、情報の持ち出しを始めたにもかかわらず会社側が気づかなかったため、段々とエスカレートしていって、最終的に合計3,000万件を超える個人データを持ち出したといわれています。一方、会社側は、約1年間にわたり情報の持ち出しに気づかず、結局2014年6月に、顧客から、不審なダイレクトメールが届いたという問い合わせがあって初めて漏えいに気づいています。この約1年間に3,000万件以上の個人データが漏えいしているのです。
 もし、会社側がもっと早い時期に漏えいに気づいていれば、漏えいの数はずっと少なくなっていたでしょうし、名簿業者への売却も阻止できた可能性もあります。

 実際、ログを日次で確認していたため、外部からの不正アクセスによる情報漏えいの可能性にいち早く気づき、大きな漏えい事件になることを防いだ事案もあります。

 この点、個人情報保護委員会の個人情報保護法の通則ガイドラインでは、「ログ等の定期的な分析により、不正アクセス等を検知する」という手法が技術的安全管理措置の一環として例示されています。また、金融分野のガイドライン実務指針では「不正が疑われる異常な記録の存否を定期的に確認しなければならない」と義務づけられています。
 このように、ログの定期的な確認は、実務的にも重要な対策ですし、ガイドラインにも明記されている対策ですので、本件の重要な教訓として、社内のルールの整備やソリューションの導入等を積極的に検討すべきと考えられます。

山口

 改正個人情報保護法が施行され、今後はさらに情報漏えい事件が企業に与えるインパクトは強まるでしょう。どうすれば情報漏えいを防ぐことができるか、ということだけでなくどうすれば情報漏えいの事実を早期に発見し、これに対処できるかという点への対策も重要な内部統制のひとつです。

コンテンツの更新情報、法改正、重要判例をもう見逃さない!メールマガジン配信中!無料会員登録はこちらから
  • facebook
  • Twitter

関連する特集