なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報流出

ベネッセトップ
(ベネッセのウェブサイトより)

1.はじめに
本日の日経新聞によると、2014年のベネッセの個人情報漏洩事件に関する個人情報が漏洩した被害者約180人による損害賠償を求める民事訴訟において、東京地裁は「慰謝料が発生するほどの精神的苦痛は発生していない」として被害者側の訴えを退けたとのことです(東京地裁平成30年6月20日判決)。これには驚いてしまいました。

・個人情報流出「慰謝料生じず」ベネッセ事件で東京地裁、賠償請求退ける|日経新聞

■関連するブログ記事
・ベネッセの個人情報漏洩事故につき経産省ガイドラインの法的拘束力を認めるも情報処理推進機構のガイドラインの拘束力は認めなかった裁判例-千葉地判平成30・6・20

2.ベネッセ事件に関する平成29年10月の最高裁判決
このベネッセの個人情報漏洩事故に関しては、別の被害者らによる民事の損害賠償請求訴訟が提起されており、地裁・高裁が被害者側の主張を認めなかったところ、最高裁はつぎのように述べて被害者側の主張を認め、事案を大阪高裁に差し戻しているところです(最高裁平成29年10月23日判決)。

『本件個人情報は、上告人らのプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照)、上記事実関係によれば、本件漏えいによって、上告人は、そのプライバシーを侵害されたといえる。
 しかるに、原審は上記のプライバシーの侵害による上告人の精神的損害の有無およびその程度について十分に審理(していない。)』

3.早稲田大学講演会リスト提供事件
この平成29年の最高裁判決が引用している最高裁平成15年9月12日第二小法廷判決とは、早稲田大学で当時の中国の元首が講演をした際にそれを聴講した学生らの氏名、住所などのリストを大学当局が学生らに無断で警察当局に提供したという事件です。

この平成15年の最高裁判決は、ごくおおまかに要約すると、「たとえ氏名、住所などの情報は私的な情報として秘匿されるべき程度が低いとしても、それらの情報と、中国の要人の講演会に出席していたという情報がセットで第三者に提供されたことにより、本人の思想・信条などが推知されることとなるので、プライバシー権の侵害はあったといえる」というものです。

つまり、平成29年10月の最高裁は、平成15年の早大講演会リスト提供事件の判例を引用することにより、「氏名、住所などの情報は個人情報として保護されるべき程度が低い」と言い切ってしまったかつての住基ネット訴訟における最高裁判決とは違った立場をとっているのです。

4.本日の東京地裁判決を考える
今回のベネッセ個人情報漏洩事件においても、顧客の生徒・その親などの氏名、住所などが漏洩しただけでなく、それらの個人情報が、ベネッセの会員であった、ベネッセの〇〇の講座を受講していた等の情報とセットで漏洩してしまっています。

その結果、生徒やその親がベネッセの会員であり、進学に関心をもっていることなどの秘匿されるべきプライベートな事柄がセットで漏洩してしまっているのですから、従来の住基ネット訴訟判決ではなく早大講演会リスト提供事件の判断枠ぐみを採用すべきことは明らかです。

ところが、本日出された東京地裁の判決は、住基ネット訴訟の「氏名、住所などの個人情報はかりに漏洩しても私的な情報として価値が低い」という点を重視しているようであり、法的判断を誤っています。もし大学法学部の憲法の期末試験などで学生がこんな答案を書いたら単位はもらえないでしょう。

5.出産予定日などの情報の漏洩
なお、今回のベネッセ個人情報漏洩事件においては、妊娠中の女性の出産予定日というデリケートな個人情報も漏洩してしまっています。近年改正された個人情報保護法は、病歴などのセンシティブ情報を「要配慮個人情報」として明文化しました(2条3項)。妊娠している事実や出産予定日などは病歴ではありませんが、それに準じるセンシティブな個人情報です。

このようなデリケートでプライベートな度合いの高い個人情報が漏洩しているのに、「精神的損害は発生していない」とする本日の東京地裁が正しいとは、この点でも思えません。

6.お詫び料と損害賠償
さらに、本東京地裁判決は、ベネッセが被害者の顧客らに対して一人あたり500円の「お詫び料」を支払っていることも総合考量において重視して、「原告らに精神的損害はない」との判断をしているようです。しかしこの点も正しくありません。

お詫び料とは、あくまでも加害者企業が被害者顧客に対して「誠意の意思」を示すことや、「企業イメージの低下を防ぐため」に出捐する金銭であって、損害賠償とは性質が異なります。東京地裁は考慮してはならない事項を考慮して判決を出しているので、この点も間違っています。

本日の東京地裁判決に関しては、原告らが即日控訴したそうであり、東京高裁などがまともな判断を出すことが待たれます。

7.具体的な損害額の値段
ところで、上級審がベネッセ側の損害賠償責任を認めたとして、具体的な損害賠償額がいくらとなるかも気になる点です。

この点、大組織による個人情報漏洩事故における被害者の損害が争点となったリーディングケースである、宇治市住基台帳漏洩事件においては、被害者一人あたり1万円の損害が認定されました(大阪高裁平成13年12月25日判決)。

また、上でみた早稲田大学事件においては、被害者一人あたり5000円の損害が認定されています。

さらに、女性のスリーサイズなどの情報を含む個人情報の漏洩が問題となった、TBC事件においては、被害者一人あたり1万7000円または3万円の損害が認定されています。

したがって、つぎの東京高裁が被害者側の損害の発生を認めた場合、その金額は、出産予定日などのセンシティブな個人情報が漏洩してしまった被害者については1万7000円~3万円、それ以外の被害者については5000円~1万円の損害が認定されるのではないかと思われます。東京高裁のまともな判断が待たれます。

■関連するブログ記事
・ベネッセの個人情報流出事件の民事訴訟(最高裁平成29年10月23日)ー損害賠償額はいくらに?

■参考文献
・竹内朗・鶴巻暁『個人情報流出対応にみる実践的リスクマネジメント』37頁
・棟居快行「講演会参加者リストの提出とプライバシー侵害」『憲法判例百選Ⅰ 第6版』44頁
・日経コンピュータ『あなたのデータ、「お金」に換えていいですか?』60頁、61頁

個人情報流出対応にみる実践的リスクマネジメント (別冊NBL (No.107))

プライバシー大論争 あなたのデータ、「お金」に換えてもいいですか?

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

個人情報保護委員会

1.森永乳業で12万件の個人情報流出事故が発覚
毎日新聞などによると、森永乳業は5月9日、同社の健康食品通販サイトで、クレジットカードや銀行振り込みなどで商品を購入した、最大約12万人分のカード情報や個人情報が流出した恐れがあると発表しました。カード会社からサイトの複数の利用者に不正使用の被害が生じていると連絡を受けてこの個人情報流出事故が発覚したそうです。

・健康食品通販サイトにおけるお客さま情報の流出懸念に関するお知らせ|森永乳業

・森永乳業 顧客情報流出の恐れ 通販サイト 最大12万人|毎日新聞

2.個人情報保護委員会の個人データ漏えい事案発生時の対応に関する告示
個人情報保護委員会が平成28年に制定した、「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下「ガイドライン(通則編)」という)の「4 漏えい等の事案が発生した場合等の対応」は、「漏えい等の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から、個人情報取扱事業者が実施することが望まれる対応については、別に定める」と規定しており、それを受けて、同委員会は平成29年に告示「個人データの漏えい等の事案が発生した場合等の対応について」を策定しました(以下「個人データ漏えい事案発生時の対応に関する告示」とする)。

・個人データの漏えい等の事案が発生した場合等の対応について(平成 29 年個人情報保護委員会告示第1号)|個人情報保護委員会

この「個人データ漏えい事案発生時の対応に関する告示」は、個人情報流出事故が発覚した場合の民間企業等がとるべき対応をつぎのように規定しています。

①事業者内部における報告及び被害の拡大防止のための措置の実施
②事実関係の調査及び原因の究明
③影響範囲の特定
④再発防止策の検討及び速やかな実施
⑤影響を受ける可能性のある本人への連絡
⑥事実関係及び再発防止策等の公表
⑦個人情報保護委員会や監督官庁への速やかな報告

3.個人情報保護委員会や監督官庁への速やかな報告
⑦の、「個人情報保護委員会や監督官庁への速やかな報告」については、個人情報保護法改正前の金融庁や総務省の個人情報ガイドラインが監督官庁に「直ちに」報告することを規定していたため、個人情報漏洩事故が発生した企業は、迅速な報告が求められます。そのため金融業界などは、②の事実関係の調査及び原因究明である程度の事実が判明した段階で、監督官庁には第一報を報告すべきです。

なお、EU一般データ保護規則(GDPR)33条は、個人情報流出事故が発生してから72時間以内に監督官庁に報告することを要求しています。例えば欧州のユーザーにスマホアプリなどを提供している事業者などは、迅速な対応が要求されます。

また、不正アクセスなどが原因の場合は、警察への報告も必要です。

4.事実関係及び再発防止策等の公表
⑥の「事実関係及び再発防止策等の公表」については、できれば経営陣が公表したくないと悩むところでしょう。しかし、「ガイドライン(通則)」が、「二次被害の防止、類似事案の発生防止等」の観点から上の①から⑦までの対応を求めていることを考えると、やはり個人情報流出事故により、顧客に二次被害の発生するおそれがあったり、類似の個人情報流出事故の発生のおそれがあるような場合は、事業者は速やかに記者会見やウェブサイトへのプレスリリースの掲載などの公表を実施すべきです。

今回の雪印乳業の事案のように、すでにクレジットカード情報が流出し、その不正利用が発生している状況では、さらなる二次被害を防止するため、公表はやむを得ないでしょう。

5.報告を要しない場合
なお、「個人データ漏えい事案発生時の対応に関する告示」は後半で、例外として「報告を要しない場合」をいくつか列挙しています。

ただし、たとえば「漏えい等事案に係る個人データについて高度な暗号化等の秘匿化がされている場合」という規定について、個人情報保護法ガイドラインQ&Aをみると、「適切な評価機関等により安全性が確認されている電子政府推奨暗号リストや ISO/IEC18033 等に掲載されている暗号技術が用いられ、それが適切に実装されていること」(Q&A12-10)と解説されており、必ずしも公表しなくてよいハードルが下がったとはいえないように思われます。

・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A|個人情報保護委員会

■参考文献
・岡村久道『個人情報保護法 第3版』235頁
・竹内朗・鶴巻暁など『個人情報流出対応における実践的リスクマネジメント』17頁、19頁

個人情報保護法〔第3版〕

個人情報流出対応にみる実践的リスクマネジメント (別冊NBL (No.107))

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ