なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:漏洩

kojinjouhou_rouei_businessman
1.事案の概要
1か月以上たっても公表・通知などを実施していない?
「プレジデントオンライン」サイトの7月13日付の記事「人材派遣のアスカが最大3万件の個人情報を流出」などによると、人材派遣業の株式会社アスカは、自社システムに仮登録されていた派遣社員の個人情報が最大3万件分が本年5月中旬にサイバー攻撃により漏洩したにもかかわらず、1か月以上経過しても公表、被害者本人への連絡などを行っていないそうです(7月16日現在)。

取材に対して、アスカ側は「調査を行っている途中」などと回答しているそうですが、1か月以上も個人情報の大規模な漏洩事故があったのに公表などを行わないことは法的に許されるのかが問題となります。

・人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず|プレジデントオンライン

2.法的に考えてみる
(1)労働者派遣法
労働者派遣法24条の3は、派遣元事業者の個人情報保護について規定しています。そして、「派遣元事業主が講ずべき措置に関する指針」(平成11年労働省告示第137号・平成30年厚生労働省告示第427号)の「11 個人情報等の保護」は、個人情報の収集、利用、保管、安全管理などともに、「(3)個人情報の保護に関する法律の遵守等」において、個人情報保護法「第4章第1節に規定する義務を遵守しなければならない」と規定しています。

(2)個人情報保護法
個人情報保護法第4章第1節は、個人情報を取り扱う事業者の義務を定めていますが、同法20条から22条までは、事業者の安全管理措置、従業員への監督、委託先への監督を規定しています。そして、個人情報保護委員会の個人情報保護法ガイドライン(通則編)は安全管理措置について規定しています。その上で、同委員会の「個人データの漏えい等の事案が発生した場合等の対応について」は、個人データの漏洩などの事故が発生した場合の対応についてつぎのように規定しています。

■個人データ漏洩事故が発覚した場合の対応(概要)
①事業者内部における報告及び被害の拡大防止
②事実関係の調査及び原因の究明
③影響範囲の特定
④再発防止策の検討及び実施
⑤影響を受ける可能性のある本人への連絡
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、 事実関係等について、「速やかに」本人へ連絡し、又は本人が容易に知り得る状態に置く。
⑥事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、 事実関係及び再発防止策等について、「速やかに」公表する。
⑦個人情報保護委員会または監督官庁への報告
扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、「速やかに」報告する
このように個人情報保護委員会の「個人データの漏えい等の事案が発生した場合等の対応について」は、個人データ漏洩事故が発生した場合には「速やかに」、⑤本人に連絡し、⑥事実関係などを自社サイトや記者会見などで公表し、⑦個人情報保護委員会や監督官庁に報告することを事業者に求めています。

ここで、「速やかに」の文言の意味が問題となりますが、多くの業法・行政法規が個人情報漏洩事故が発生した場合に、その発覚から1か月以内の報告を求めていることとの整合性から、少なくとも1か月以内に⑤本人に連絡し、⑥記者会見などで公表し、⑦個人情報保護委員会や監督官庁に報告しないと、事業者は同委員会の通達の趣旨に違反していることになると思われます(例えば保険業法127条など)。当該事業者は、個人情報保護法の趣旨に違反しているおそれがあることになります。

そもそも、このように個人情報漏洩事故が発生した場合にスピード感をもった本人への連絡や公表、監督官庁などへの報告の対応を事業者に法令が求めて趣旨・目的は、「二次被害の防止、類似事案の発生の防止」です。つまり例えば、顧客の個人情報が拡散してしまうことやクレジットカード情報などが第三者に利用されてしまうリスクの防止や、同じ業界で類似のサイバー犯罪が行われてしまうようなリスクの防止です。そうすると、個人情報漏洩事故が発覚したのに漫然と事業者が何週間も、あるいは何か月も対応を行わないことは、個人情報保護法の趣旨にも反しますし、顧客の信頼を裏切ることにもなります。

もし事業者が事実確認などに何週間もかかってしまうということになったら、当該事業者は「第一報」や「暫定版」などの連絡・報告・公表などを随時行うべきです(段階的な報告)。

こう考えると、個人情報漏洩事故が発覚してから1か月以上も顧客への連絡などを行っていない株式会社アスカは、個人情報保護法に違反しているおそれがあります。

(なお、EUのGDPR(一般データ保護規則)33条は、個人データ漏洩事故が発覚した事業者に対して72時間以内の個人データ保護当局への報告を義務付けています。EU国籍の顧客の個人データなどを取扱っている事業者はより迅速な対応が求められます。)

(3)個人情報保護法上の違反があった場合
上でみたように、労働者派遣法23条の3などは派遣元事業者に対して個人情報保護法上の事業者の義務を遵守することを求めています。

そして、同法などの違反があった場合について、労働者派遣法50条、51条は厚労大臣は派遣元事業者に対して報告徴求と立入検査を行う権限があることを定めています。さらに同法48条、49条は、厚労大臣は派遣元事業者に対して、指導・助言および改善命令・業務停止命令などを発出する権限があることを規定しています。 また、個人情報保護法も、同法40条以下において個人情報保護委員会は事業者に対して報告徴求、立入検査を行う権限があり、また個人情報保護に関して指導・助言を行う権限があることを規定しています。

(4)まとめ
つまり、個人情報漏洩事故を起こし、漫然と顧客への連絡や事実の公表などを1か月以上実施していない株式会社アスカは、監督官庁である厚労省だけでなく個人情報保護委員会から報告徴求、指導・助言などの行政指導等を受ける行政上の法的リスクが存在することになります。

(5)個人情報漏洩の場合の対応の法的義務化
なお、7月15日付の日経新聞によると、政府は2022年にも一定規模以上の個人情報漏洩事故が発生した場合に、事業者に対して顧客への連絡・通知を行うことを義務付ける方針であるとのことです(日経新聞「サイバー被害、全員に通知 個人情報漏洩で企業に義務」2020年7月15日付)。

■参考文献
・岡村久道『個人情報保護法 第3版』235頁
・小向太郎・石井夏生利『概説GDPR』106頁

個人情報保護法〔第3版〕

概説GDPR

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

ベネッセトップ
(ベネッセのウェブサイトより)

1.はじめに
本日の日経新聞によると、2014年のベネッセの個人情報漏洩事件に関する個人情報が漏洩した被害者約180人による損害賠償を求める民事訴訟において、東京地裁は「慰謝料が発生するほどの精神的苦痛は発生していない」として被害者側の訴えを退けたとのことです(東京地裁平成30年6月20日判決)。これには驚いてしまいました。

・個人情報流出「慰謝料生じず」ベネッセ事件で東京地裁、賠償請求退ける|日経新聞

■関連するブログ記事
・ベネッセの個人情報漏洩事故につき経産省ガイドラインの法的拘束力を認めるも情報処理推進機構のガイドラインの拘束力は認めなかった裁判例-千葉地判平成30・6・20

2.ベネッセ事件に関する平成29年10月の最高裁判決
このベネッセの個人情報漏洩事故に関しては、別の被害者らによる民事の損害賠償請求訴訟が提起されており、地裁・高裁が被害者側の主張を認めなかったところ、最高裁はつぎのように述べて被害者側の主張を認め、事案を大阪高裁に差し戻しているところです(最高裁平成29年10月23日判決)。

『本件個人情報は、上告人らのプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照)、上記事実関係によれば、本件漏えいによって、上告人は、そのプライバシーを侵害されたといえる。
 しかるに、原審は上記のプライバシーの侵害による上告人の精神的損害の有無およびその程度について十分に審理(していない。)』

3.早稲田大学講演会リスト提供事件
この平成29年の最高裁判決が引用している最高裁平成15年9月12日第二小法廷判決とは、早稲田大学で当時の中国の元首が講演をした際にそれを聴講した学生らの氏名、住所などのリストを大学当局が学生らに無断で警察当局に提供したという事件です。

この平成15年の最高裁判決は、ごくおおまかに要約すると、「たとえ氏名、住所などの情報は私的な情報として秘匿されるべき程度が低いとしても、それらの情報と、中国の要人の講演会に出席していたという情報がセットで第三者に提供されたことにより、本人の思想・信条などが推知されることとなるので、プライバシー権の侵害はあったといえる」というものです。

つまり、平成29年10月の最高裁は、平成15年の早大講演会リスト提供事件の判例を引用することにより、「氏名、住所などの情報は個人情報として保護されるべき程度が低い」と言い切ってしまったかつての住基ネット訴訟における最高裁判決とは違った立場をとっているのです。

4.本日の東京地裁判決を考える
今回のベネッセ個人情報漏洩事件においても、顧客の生徒・その親などの氏名、住所などが漏洩しただけでなく、それらの個人情報が、ベネッセの会員であった、ベネッセの〇〇の講座を受講していた等の情報とセットで漏洩してしまっています。

その結果、生徒やその親がベネッセの会員であり、進学に関心をもっていることなどの秘匿されるべきプライベートな事柄がセットで漏洩してしまっているのですから、従来の住基ネット訴訟判決ではなく早大講演会リスト提供事件の判断枠ぐみを採用すべきことは明らかです。

ところが、本日出された東京地裁の判決は、住基ネット訴訟の「氏名、住所などの個人情報はかりに漏洩しても私的な情報として価値が低い」という点を重視しているようであり、法的判断を誤っています。もし大学法学部の憲法の期末試験などで学生がこんな答案を書いたら単位はもらえないでしょう。

5.出産予定日などの情報の漏洩
なお、今回のベネッセ個人情報漏洩事件においては、妊娠中の女性の出産予定日というデリケートな個人情報も漏洩してしまっています。近年改正された個人情報保護法は、病歴などのセンシティブ情報を「要配慮個人情報」として明文化しました(2条3項)。妊娠している事実や出産予定日などは病歴ではありませんが、それに準じるセンシティブな個人情報です。

このようなデリケートでプライベートな度合いの高い個人情報が漏洩しているのに、「精神的損害は発生していない」とする本日の東京地裁が正しいとは、この点でも思えません。

6.お詫び料と損害賠償
さらに、本東京地裁判決は、ベネッセが被害者の顧客らに対して一人あたり500円の「お詫び料」を支払っていることも総合考量において重視して、「原告らに精神的損害はない」との判断をしているようです。しかしこの点も正しくありません。

お詫び料とは、あくまでも加害者企業が被害者顧客に対して「誠意の意思」を示すことや、「企業イメージの低下を防ぐため」に出捐する金銭であって、損害賠償とは性質が異なります。東京地裁は考慮してはならない事項を考慮して判決を出しているので、この点も間違っています。

本日の東京地裁判決に関しては、原告らが即日控訴したそうであり、東京高裁などがまともな判断を出すことが待たれます。

7.具体的な損害額の値段
ところで、上級審がベネッセ側の損害賠償責任を認めたとして、具体的な損害賠償額がいくらとなるかも気になる点です。

この点、大組織による個人情報漏洩事故における被害者の損害が争点となったリーディングケースである、宇治市住基台帳漏洩事件においては、被害者一人あたり1万円の損害が認定されました(大阪高裁平成13年12月25日判決)。

また、上でみた早稲田大学事件においては、被害者一人あたり5000円の損害が認定されています。

さらに、女性のスリーサイズなどの情報を含む個人情報の漏洩が問題となった、TBC事件においては、被害者一人あたり1万7000円または3万円の損害が認定されています。

したがって、つぎの東京高裁が被害者側の損害の発生を認めた場合、その金額は、出産予定日などのセンシティブな個人情報が漏洩してしまった被害者については1万7000円~3万円、それ以外の被害者については5000円~1万円の損害が認定されるのではないかと思われます。東京高裁のまともな判断が待たれます。

■関連するブログ記事
・ベネッセの個人情報流出事件の民事訴訟(最高裁平成29年10月23日)ー損害賠償額はいくらに?

■参考文献
・竹内朗・鶴巻暁『個人情報流出対応にみる実践的リスクマネジメント』37頁
・棟居快行「講演会参加者リストの提出とプライバシー侵害」『憲法判例百選Ⅰ 第6版』44頁
・日経コンピュータ『あなたのデータ、「お金」に換えていいですか?』60頁、61頁

個人情報流出対応にみる実践的リスクマネジメント (別冊NBL (No.107))

プライバシー大論争 あなたのデータ、「お金」に換えてもいいですか?

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ