なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:ベネッセ

クラブハウス
スイスの情報セキュリティ研究者のMarc Ruef氏(@mruef)などのTwitterの7月24日の投稿によると、音声SNSのClubhouseの日本を含む38億件電話番号データベースがダークウェブのオークションで売りに出されている可能性があるそうです。(【追記】Clubhouse側や他の研究者たちはこの情報漏洩を否定していることを記事末に追記しました。)

クラブハウス情報販売
(Marc Ruef氏(@mruef)のTwitterより)
https://twitter.com/mruef/status/1418693478574346242

Clubhouseのアプリは、自動的にスマホユーザーのアドレス帳に登録されたすべての電話番号を収集するので、自分自身はClubhouseを利用していなくても、自分の電話番号を知っている人間がClubhouseを利用していれば、電話番号等の個人情報が流出している可能性があるとのことです。

これがもし本当にClubhouseを運営するAlpha Exploration(AE)社の保有する個人情報データベースから何らかの方法で出された電話番号データベースであるのなら、日本の個人情報保護法上、電話番号のみのでも「個人情報データベース等」(法2条4項)のデータの一部に該当し、つまり「個人データ」(法2条6項)に該当し、つまりそれは「個人情報」(法2条1項1号)に該当することになります。

個人データの第三者提供には原則、本人の同意が必要であり(法23条1項)、また第三者提供には個人情報が提供された際のトレーサビリティ(追跡可能性)の確保のために、記録作成義務記録確認義務が課されます(法24条、法25条)。(そのため、こういう個人データが大っぴらに転売されることは難しいように思われます。)

AE社は米企業のようですが、もし日本であれば、2014年のベネッセ個人情報漏洩事件のような個人情報漏洩事故なので、安全管理措置(法20条)の懈怠の問題としてAE社は個人情報保護委員会から行政指導等を受けたり(法41条、42条)、ユーザーなどから損害賠償請求訴訟を提起されるリスクがあります。販売等の目的などで個人データを持ち出した人間・法人は罰則も科されます(法84条)。

もしClubhouseがEU圏のユーザーも利用してるなら、AE社はGDPR(EU一般データ保護規則)最高2000万ユーロまたは前会計年度の全世界年間売上高の4%のいずれか大きい額の制裁金が科されるリスクもあります(GDPR83条)。また同様に、もしClubhouseがEU圏のユーザーも利用してるなら、GDPR33条は事業者等が自社の個人情報の漏洩を知った場合、72時間以内の所轄のデータ保護当局への報告という厳しいタイムアタックを要求しているので、AE社はこの義務を履行しなければなりません。

(なお、2022年4月施行予定の日本の令和2年改正の個人情報保護法22条の2は、個人情報漏洩が発覚した場合、原則として、事業者は速やかに個人情報保護委員会に速報を報告し、30日以内に報告書を提出しなければならないことになるので、日本の事業者も個人情報漏洩があった場合には迅速な対応が要求されることになります。)

聞くところによると、一時期大きな注目を浴びたClubhouseも、最近はめっきり利用者が減少しているそうですが、AE社の保有する個人データの取扱や管理の在り方が、いろいろと気になるところです。

■追記(2021年7月26日2:00)
情報セキュリティの専門家の高梨陣平氏(@jingbay)より、この件に関しては、つぎの記事のように、Clubhouse側や他の研究者たちが電話番号の情報漏洩を否定しているとのご教示をいただきました。高梨様、ありがとうございました。
・Clubhouse denies data breach, experts debunk claims of leaked phone numbers|TechZimo
















このエントリーをはてなブックマークに追加 mixiチェック

ベネッセトップ

1.はじめに
2014年に発覚したベネッセホールディングの1000万件超の大規模な個人情報漏洩事故について、個人情報を漏えいされた被害者側がベネッセに対して損害賠償を請求する民事訴訟が各地で行われています。そのなかで、経産省の個人情報保護ガイドラインの法的拘束力を認めつつ、独立行政法人情報処理推進機構(IPA)のガイドラインの法的拘束力を認めなかった興味深い裁判例が出されています(千葉地裁平成30年6月20日判決、金融・商事判例1548号48頁、銀行法務21第834号70頁)。

■関連するブログ記事
・東京地裁のベネッセ個人情報漏洩事件の損害賠償請求訴訟で被害者側が敗訴-東京地判平成30・6・20

2.千葉地裁平成30年6月20日判決(請求棄却・確定)
(1)事案の概要
(ア)概要
本件は、通信教育業大手のベネッセコーポレーションの大規模な個人情報漏えい事故について、その被害者側が不法行為に基づく損害賠償を求めた訴訟の一つである。

(イ)当事者
原告Xは、妻A、XとAの未成年の子BおよびCの選定当事者である(民事訴訟法30条)。D社は被告Y(ベネッセコーポレーション)のシステムの開発・運用を行っていたYのグループ会社であり、EはD社の業務委託先のシステムエンジニアであり、本件の大量の個人データをYの情報システム(データベース)より持ち出し名簿業者に販売した者であった。

(ウ)本件個人情報漏えい事故
Eは、平成26年6月27日までに、D社においてYの個人情報データベース(本件データベース)に保管されていたYの顧客など合計1000万件以上の個人データを抽出し、本件データベースのアクセスを許可されたパソコンでEが業務において使用していたもの(本件パソコン)に保存したうえで、USBケーブルを用いてE所有のスマートフォンに転送し、取得した個人データを名簿業者に販売した。なお、Eのスマートフォンは、メディアトランスファープルトコル(MTP)に対応したものだった(MTPスマートフォン)。

本件個人情報漏えい事故により、Yの管理していたXらに関する氏名、性別、生年月日、郵便番号、住所、電話番号のほか、Aについては旧姓、B・Cについては保護者氏名などの個人情報(本件個人情報)が漏えいした。

(エ)D社の情報セキュリティ体制
D社は個人データが保管されたサーバーとパソコンとの間の通信量が一定量を超えると管理者にアラートが送信されるアラートシステムと、社内のパソコンのデータの外部の電子記録媒体への書き出しを制御するシステム(本件書き出し制御システム)を導入していたが、本件個人情報漏えい事故においてはこれらのシステムは有効に機能しなかった。(本件書き出し制御システムはMTPスマートフォンに対応していなかった。)

(オ)経済産業省および情報処理推進機構(IPA)の個人情報保護ガイドライン
本件個人情報漏えい事故の当時は、個人情報保護法のもと、経産省の「個人情報保護法についての経済産業分野に関するガイドライン」(平成21年10月9日改正のもの。甲ガイドライン)および独立行政法人情報処理推進機構(IPA)の「組織における内部不正防止ガイドライン」(平成25年5月7日改正の1.1版があった。乙ガイドライン1)

本件個人情報漏えい事故を受けて、経産省の甲ガイドラインは一部改正され、①書き出し制御システムについては、特定の業務上の用途にしか使用されない端末について、講じることが望ましいと記載され、②入退館の際における業務上許可を得ていない記録機能を持つ媒体および機器の持ち込みおよび持ち出しの禁止と検査については、個人データの盗難等の防止を行うために講じることが望ましい事例として記載された。

(2)判旨
『甲ガイドラインは、同法を踏まえ、経済産業分野における事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援する具体的な指針として定められたものであるから、甲ガイドラインの規定は、通常の企業に要求された一般的水準となり得るということができる。』

『乙ガイドライン1は、(略)組織における内部不正の防止を推進するために策定されたものであって、Xが主張するような、多くの企業で既に実践されている対策を取りまとめたものとは認められないから、乙ガイドライン1の規定が、直ちに、本件事故当時に一般的な企業に求められていた水準であるとして、同規定の違反をもって、直ちにYの過失を基礎づけるということはできない。』

『乙ガイドライン1は、重要情報の格納サーバやアクセス管理サーバ等が設置されているサーバルームへの個人所有のモバイル機器等の持込みを制限する旨規定しているにすぎないことに加え(略)本件事故当時、私物のスマートフォンの持込み禁止を採用している企業は特定の職場を除きほぼ存在せず(略)、Yが、本件事故当時、サーバルーム以外の重要情報を取り扱う業務フロア等への個人所有のモバイル機器等の持込みを制限する義務を負っていたということはできない。』

このように判示して、本件判決はXらの主張をしりぞけています。

3.検討
 本件判決に反対。

(1)経産省の個人情報保護ガイドラインの法的性質
個人情報保護法は、ベネッセなどの個人情報取扱事業者に対して、保有する個人データを安全に管理する措置(安全管理措置)をとることを義務付けています(法20条、21条、22条)。

そして、同法6条、7条は、政府は「個人情報の(略)保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずる」と規定しており、この条文を受けて経産省などの中央官庁は所管する分野に関する個人情報保護ガイドラインを策定しています。つまり、経産省などの個人情報保護ガイドラインは、個人情報保護法の条文の細目・解釈指針を示したものです。

この点、本判決が、経産省の個人情報保護ガイドラインについて“個人情報取扱事業者が遵守すべき一般的水準”、すなわち不法行為に基づく損害賠償請求訴訟における民事的効力を認めたことは妥当であると思われます。(ただし、本判決は、経産省の個人情報保護ガイドラインに照らしてベネッセの安全管理は違法とはいえないとしています。)

(2)情報処理推進機構のガイドラインの法的性質
ところが、本判決は、情報処理推進機構のガイドラインの一つである「組織における内部不正防止ガイドライン」については一転して民事的効力を否定してしまっています。これは妥当な判断といえるのでしょうか。

情報処理推進機構は経産省傘下の独立行政法人であり、情報セキュリティや個人情報保護に関して各種のガイドライン・指針を制定し公表している公的な組織です。本訴訟の「組織における内部不正防止ガイドライン」の制定においても経済産業省サイバーセキュリティ課がオブザーバーとして参加しています。

また、経産省の旧・個人情報保護ガイドラインはその冒頭で、「事業者団体等が、当該事業の実態を踏まえ、当該団体傘下企業を対象とした自主的ルールである、事業者団体ガイドラインを策定又は改正することもあり得る。これらの場合、それらに該当する個人情報を取り扱うに当たっては、当該更なる措置、個人情報保護指針及び事業者団体ガイドラインに沿った対応を行う必要がある。」と解説しており、情報処理推進機構のガイドラインは何ら効力のないものという姿勢は示していません。

さらに裁判例をみると、事業会社Xの発注によりシステム開発会社Yが設計・作成した通信販売に関するアプリケーションのSQLインジェクションの脆弱性により、Xの顧客の個人情報が漏洩した事件において、東京地裁は、経産省の個人情報保護ガイドラインだけでなく、情報処理推進機構のSQLインジェクションに関するガイドラインについても、システム開発会社が遵守すべき法的性質を認め、Yの損害賠償責任を認定しています(東京地裁平成26年1月23日、判例時報2221号71頁、岡村久道『個人情報保護法 第3版』220頁)。そのため、本件判決が、情報処理推進機構のガイドラインに法的効力を認めない判断を示した点には疑問があります。

(3)「安全管理のために必要かつ適切な措置」
ここで考えるに、個人情報保護法20条は事業者がとるべき安全管理措置について、「安全管理のために必要かつ適切な措置」と規定するにとどまり、当該措置は一律に定まるものではありませんが、官庁や事業者団体などのガイドラインなどを踏まえつつ、「社会情勢、日進月歩のIT・ICTの特質を踏まえて時代により変化しうる」ものであり、「医療過誤訴訟における医療水準論と同様に、IT等の現場における水準を考慮して、その時点におけるIT等の実践におけるセキュリティ水準を基準とすべき」とされています(岡村・前掲219頁)。

この点、ベネッセコーポレーションは1000万件超の非常に大量の個人データを保有する事業者であるところ、安全管理の実践において要求されるセキュリティ水準は、同じく数千万件単位の大量の個人データを保有する金融機関に準じたものと考えるべきです。

金融機関をはじめ、そのような大量の個人データを扱う事業者においては、従来よりサーバールームだけでなく、一般の職場のクライアントパソコンも、USB媒体を物理的に接続できない状態にしているであるとか、あるいは個人データなどの重要情報を扱うクライアントパソコンからは生データとしてパソコン外部にデータを持ち出せない仕組み等になっているのが通常です。

本件のベネッセの個人情報漏えい事故が起きた2014年より前の2013年ごろには、すでにベネッセが採用した本件書きだし制御システムにおいても、MTPスマートフォンに対応したシステムが開発・販売されており、また、MTPスマートフォンによるシャドーITの危険を解説するIT系のニュース記事も現れています。

(4)最高裁平成29年10月23日判決
なお、ベネッセの個人情報漏洩事故について損害賠償責任を追及する別の訴訟においては、最高裁が「原審は被害者に関するプライバシー侵害について審理を十分に尽くしていない」として高裁に差戻しを行っています(最高裁平成29年10月23日)。Xらのプライバシー侵害をまったく審理していない本件訴訟は最高裁の判断にも反しています。

3.まとめ
このような事柄を考慮すると、本件個人情報漏えい事故が発生した2014年現在、ベネッセは大量の個人データを保有する個人情報取扱事業者として講じるセキュリティ水準を達成しておらず、十分な安全管理措置をとっておらず、その結果として本件個人情報漏えい事故の発生を許したものであって、Xらに対する損害賠償責任を負うと考えられます。また本件訴訟はXらに発生したプライバシー侵害についても審理していません。このように、ベネッセの損害賠償責任を否定した本件判決は妥当ではないと考えます。

■参考文献
・金融・商事判例1548号48頁
・銀行法務21第834号70頁
・宇賀克也『個人情報保護法の逐条解説 第6版』99頁
・岡村久道『個人情報保護法 第3版』219頁、220頁

個人情報保護法〔第3版〕

個人情報保護法の逐条解説--個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法 第6版

このエントリーをはてなブックマークに追加 mixiチェック

ベネッセトップ
(ベネッセのウェブサイトより)

1.はじめに
本日の日経新聞によると、2014年のベネッセの個人情報漏洩事件に関する個人情報が漏洩した被害者約180人による損害賠償を求める民事訴訟において、東京地裁は「慰謝料が発生するほどの精神的苦痛は発生していない」として被害者側の訴えを退けたとのことです(東京地裁平成30年6月20日判決)。これには驚いてしまいました。

・個人情報流出「慰謝料生じず」ベネッセ事件で東京地裁、賠償請求退ける|日経新聞

■関連するブログ記事
・ベネッセの個人情報漏洩事故につき経産省ガイドラインの法的拘束力を認めるも情報処理推進機構のガイドラインの拘束力は認めなかった裁判例-千葉地判平成30・6・20

2.ベネッセ事件に関する平成29年10月の最高裁判決
このベネッセの個人情報漏洩事故に関しては、別の被害者らによる民事の損害賠償請求訴訟が提起されており、地裁・高裁が被害者側の主張を認めなかったところ、最高裁はつぎのように述べて被害者側の主張を認め、事案を大阪高裁に差し戻しているところです(最高裁平成29年10月23日判決)。

『本件個人情報は、上告人らのプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照)、上記事実関係によれば、本件漏えいによって、上告人は、そのプライバシーを侵害されたといえる。
 しかるに、原審は上記のプライバシーの侵害による上告人の精神的損害の有無およびその程度について十分に審理(していない。)』

3.早稲田大学講演会リスト提供事件
この平成29年の最高裁判決が引用している最高裁平成15年9月12日第二小法廷判決とは、早稲田大学で当時の中国の元首が講演をした際にそれを聴講した学生らの氏名、住所などのリストを大学当局が学生らに無断で警察当局に提供したという事件です。

この平成15年の最高裁判決は、ごくおおまかに要約すると、「たとえ氏名、住所などの情報は私的な情報として秘匿されるべき程度が低いとしても、それらの情報と、中国の要人の講演会に出席していたという情報がセットで第三者に提供されたことにより、本人の思想・信条などが推知されることとなるので、プライバシー権の侵害はあったといえる」というものです。

つまり、平成29年10月の最高裁は、平成15年の早大講演会リスト提供事件の判例を引用することにより、「氏名、住所などの情報は個人情報として保護されるべき程度が低い」と言い切ってしまったかつての住基ネット訴訟における最高裁判決とは違った立場をとっているのです。

4.本日の東京地裁判決を考える
今回のベネッセ個人情報漏洩事件においても、顧客の生徒・その親などの氏名、住所などが漏洩しただけでなく、それらの個人情報が、ベネッセの会員であった、ベネッセの〇〇の講座を受講していた等の情報とセットで漏洩してしまっています。

その結果、生徒やその親がベネッセの会員であり、進学に関心をもっていることなどの秘匿されるべきプライベートな事柄がセットで漏洩してしまっているのですから、従来の住基ネット訴訟判決ではなく早大講演会リスト提供事件の判断枠ぐみを採用すべきことは明らかです。

ところが、本日出された東京地裁の判決は、住基ネット訴訟の「氏名、住所などの個人情報はかりに漏洩しても私的な情報として価値が低い」という点を重視しているようであり、法的判断を誤っています。もし大学法学部の憲法の期末試験などで学生がこんな答案を書いたら単位はもらえないでしょう。

5.出産予定日などの情報の漏洩
なお、今回のベネッセ個人情報漏洩事件においては、妊娠中の女性の出産予定日というデリケートな個人情報も漏洩してしまっています。近年改正された個人情報保護法は、病歴などのセンシティブ情報を「要配慮個人情報」として明文化しました(2条3項)。妊娠している事実や出産予定日などは病歴ではありませんが、それに準じるセンシティブな個人情報です。

このようなデリケートでプライベートな度合いの高い個人情報が漏洩しているのに、「精神的損害は発生していない」とする本日の東京地裁が正しいとは、この点でも思えません。

6.お詫び料と損害賠償
さらに、本東京地裁判決は、ベネッセが被害者の顧客らに対して一人あたり500円の「お詫び料」を支払っていることも総合考量において重視して、「原告らに精神的損害はない」との判断をしているようです。しかしこの点も正しくありません。

お詫び料とは、あくまでも加害者企業が被害者顧客に対して「誠意の意思」を示すことや、「企業イメージの低下を防ぐため」に出捐する金銭であって、損害賠償とは性質が異なります。東京地裁は考慮してはならない事項を考慮して判決を出しているので、この点も間違っています。

本日の東京地裁判決に関しては、原告らが即日控訴したそうであり、東京高裁などがまともな判断を出すことが待たれます。

7.具体的な損害額の値段
ところで、上級審がベネッセ側の損害賠償責任を認めたとして、具体的な損害賠償額がいくらとなるかも気になる点です。

この点、大組織による個人情報漏洩事故における被害者の損害が争点となったリーディングケースである、宇治市住基台帳漏洩事件においては、被害者一人あたり1万円の損害が認定されました(大阪高裁平成13年12月25日判決)。

また、上でみた早稲田大学事件においては、被害者一人あたり5000円の損害が認定されています。

さらに、女性のスリーサイズなどの情報を含む個人情報の漏洩が問題となった、TBC事件においては、被害者一人あたり1万7000円または3万円の損害が認定されています。

したがって、つぎの東京高裁が被害者側の損害の発生を認めた場合、その金額は、出産予定日などのセンシティブな個人情報が漏洩してしまった被害者については1万7000円~3万円、それ以外の被害者については5000円~1万円の損害が認定されるのではないかと思われます。東京高裁のまともな判断が待たれます。

■関連するブログ記事
・ベネッセの個人情報流出事件の民事訴訟(最高裁平成29年10月23日)ー損害賠償額はいくらに?

■参考文献
・竹内朗・鶴巻暁『個人情報流出対応にみる実践的リスクマネジメント』37頁
・棟居快行「講演会参加者リストの提出とプライバシー侵害」『憲法判例百選Ⅰ 第6版』44頁
・日経コンピュータ『あなたのデータ、「お金」に換えていいですか?』60頁、61頁

個人情報流出対応にみる実践的リスクマネジメント (別冊NBL (No.107))

プライバシー大論争 あなたのデータ、「お金」に換えてもいいですか?

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ