1.はじめに
2014年に発覚したベネッセホールディングの1000万件超の大規模な個人情報漏洩事故について、個人情報を漏えいされた被害者側がベネッセに対して損害賠償を請求する民事訴訟が各地で行われています。そのなかで、経産省の個人情報保護ガイドラインの法的拘束力を認めつつ、独立行政法人情報処理推進機構(IPA)のガイドラインの法的拘束力を認めなかった興味深い裁判例が出されています(千葉地裁平成30年6月20日判決、金融・商事判例1548号48頁、銀行法務21第834号70頁)。
■関連するブログ記事
・東京地裁のベネッセ個人情報漏洩事件の損害賠償請求訴訟で被害者側が敗訴-東京地判平成30・6・20
2.千葉地裁平成30年6月20日判決(請求棄却・確定)
(1)事案の概要
(ア)概要
本件は、通信教育業大手のベネッセコーポレーションの大規模な個人情報漏えい事故について、その被害者側が不法行為に基づく損害賠償を求めた訴訟の一つである。
(イ)当事者
原告Xは、妻A、XとAの未成年の子BおよびCの選定当事者である(民事訴訟法30条)。D社は被告Y(ベネッセコーポレーション)のシステムの開発・運用を行っていたYのグループ会社であり、EはD社の業務委託先のシステムエンジニアであり、本件の大量の個人データをYの情報システム(データベース)より持ち出し名簿業者に販売した者であった。
(ウ)本件個人情報漏えい事故
Eは、平成26年6月27日までに、D社においてYの個人情報データベース(本件データベース)に保管されていたYの顧客など合計1000万件以上の個人データを抽出し、本件データベースのアクセスを許可されたパソコンでEが業務において使用していたもの(本件パソコン)に保存したうえで、USBケーブルを用いてE所有のスマートフォンに転送し、取得した個人データを名簿業者に販売した。なお、Eのスマートフォンは、メディアトランスファープルトコル(MTP)に対応したものだった(MTPスマートフォン)。
本件個人情報漏えい事故により、Yの管理していたXらに関する氏名、性別、生年月日、郵便番号、住所、電話番号のほか、Aについては旧姓、B・Cについては保護者氏名などの個人情報(本件個人情報)が漏えいした。
(エ)D社の情報セキュリティ体制
D社は個人データが保管されたサーバーとパソコンとの間の通信量が一定量を超えると管理者にアラートが送信されるアラートシステムと、社内のパソコンのデータの外部の電子記録媒体への書き出しを制御するシステム(本件書き出し制御システム)を導入していたが、本件個人情報漏えい事故においてはこれらのシステムは有効に機能しなかった。(本件書き出し制御システムはMTPスマートフォンに対応していなかった。)
(オ)経済産業省および情報処理推進機構(IPA)の個人情報保護ガイドライン
本件個人情報漏えい事故の当時は、個人情報保護法のもと、経産省の「個人情報保護法についての経済産業分野に関するガイドライン」(平成21年10月9日改正のもの。甲ガイドライン)および独立行政法人情報処理推進機構(IPA)の「組織における内部不正防止ガイドライン」(平成25年5月7日改正の1.1版があった。乙ガイドライン1)
本件個人情報漏えい事故を受けて、経産省の甲ガイドラインは一部改正され、①書き出し制御システムについては、特定の業務上の用途にしか使用されない端末について、講じることが望ましいと記載され、②入退館の際における業務上許可を得ていない記録機能を持つ媒体および機器の持ち込みおよび持ち出しの禁止と検査については、個人データの盗難等の防止を行うために講じることが望ましい事例として記載された。
(2)判旨
『甲ガイドラインは、同法を踏まえ、経済産業分野における事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援する具体的な指針として定められたものであるから、甲ガイドラインの規定は、通常の企業に要求された一般的水準となり得るということができる。』
『乙ガイドライン1は、(略)組織における内部不正の防止を推進するために策定されたものであって、Xが主張するような、多くの企業で既に実践されている対策を取りまとめたものとは認められないから、乙ガイドライン1の規定が、直ちに、本件事故当時に一般的な企業に求められていた水準であるとして、同規定の違反をもって、直ちにYの過失を基礎づけるということはできない。』
『乙ガイドライン1は、重要情報の格納サーバやアクセス管理サーバ等が設置されているサーバルームへの個人所有のモバイル機器等の持込みを制限する旨規定しているにすぎないことに加え(略)本件事故当時、私物のスマートフォンの持込み禁止を採用している企業は特定の職場を除きほぼ存在せず(略)、Yが、本件事故当時、サーバルーム以外の重要情報を取り扱う業務フロア等への個人所有のモバイル機器等の持込みを制限する義務を負っていたということはできない。』
このように判示して、本件判決はXらの主張をしりぞけています。
3.検討
本件判決に反対。
(1)経産省の個人情報保護ガイドラインの法的性質
個人情報保護法は、ベネッセなどの個人情報取扱事業者に対して、保有する個人データを安全に管理する措置(安全管理措置)をとることを義務付けています(法20条、21条、22条)。
そして、同法6条、7条は、政府は「個人情報の(略)保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずる」と規定しており、この条文を受けて経産省などの中央官庁は所管する分野に関する個人情報保護ガイドラインを策定しています。つまり、経産省などの個人情報保護ガイドラインは、個人情報保護法の条文の細目・解釈指針を示したものです。
この点、本判決が、経産省の個人情報保護ガイドラインについて“個人情報取扱事業者が遵守すべき一般的水準”、すなわち不法行為に基づく損害賠償請求訴訟における民事的効力を認めたことは妥当であると思われます。(ただし、本判決は、経産省の個人情報保護ガイドラインに照らしてベネッセの安全管理は違法とはいえないとしています。)
(2)情報処理推進機構のガイドラインの法的性質
ところが、本判決は、情報処理推進機構のガイドラインの一つである「組織における内部不正防止ガイドライン」については一転して民事的効力を否定してしまっています。これは妥当な判断といえるのでしょうか。
情報処理推進機構は経産省傘下の独立行政法人であり、情報セキュリティや個人情報保護に関して各種のガイドライン・指針を制定し公表している公的な組織です。本訴訟の「組織における内部不正防止ガイドライン」の制定においても経済産業省サイバーセキュリティ課がオブザーバーとして参加しています。
また、経産省の旧・個人情報保護ガイドラインはその冒頭で、「事業者団体等が、当該事業の実態を踏まえ、当該団体傘下企業を対象とした自主的ルールである、事業者団体ガイドラインを策定又は改正することもあり得る。これらの場合、それらに該当する個人情報を取り扱うに当たっては、当該更なる措置、個人情報保護指針及び事業者団体ガイドラインに沿った対応を行う必要がある。」と解説しており、情報処理推進機構のガイドラインは何ら効力のないものという姿勢は示していません。
さらに裁判例をみると、事業会社Xの発注によりシステム開発会社Yが設計・作成した通信販売に関するアプリケーションのSQLインジェクションの脆弱性により、Xの顧客の個人情報が漏洩した事件において、東京地裁は、経産省の個人情報保護ガイドラインだけでなく、情報処理推進機構のSQLインジェクションに関するガイドラインについても、システム開発会社が遵守すべき法的性質を認め、Yの損害賠償責任を認定しています(東京地裁平成26年1月23日、判例時報2221号71頁、岡村久道『個人情報保護法 第3版』220頁)。そのため、本件判決が、情報処理推進機構のガイドラインに法的効力を認めない判断を示した点には疑問があります。
(3)「安全管理のために必要かつ適切な措置」
ここで考えるに、個人情報保護法20条は事業者がとるべき安全管理措置について、「安全管理のために必要かつ適切な措置」と規定するにとどまり、当該措置は一律に定まるものではありませんが、官庁や事業者団体などのガイドラインなどを踏まえつつ、「社会情勢、日進月歩のIT・ICTの特質を踏まえて時代により変化しうる」ものであり、「医療過誤訴訟における医療水準論と同様に、IT等の現場における水準を考慮して、その時点におけるIT等の実践におけるセキュリティ水準を基準とすべき」とされています(岡村・前掲219頁)。
この点、ベネッセコーポレーションは1000万件超の非常に大量の個人データを保有する事業者であるところ、安全管理の実践において要求されるセキュリティ水準は、同じく数千万件単位の大量の個人データを保有する金融機関に準じたものと考えるべきです。
金融機関をはじめ、そのような大量の個人データを扱う事業者においては、従来よりサーバールームだけでなく、一般の職場のクライアントパソコンも、USB媒体を物理的に接続できない状態にしているであるとか、あるいは個人データなどの重要情報を扱うクライアントパソコンからは生データとしてパソコン外部にデータを持ち出せない仕組み等になっているのが通常です。
本件のベネッセの個人情報漏えい事故が起きた2014年より前の2013年ごろには、すでにベネッセが採用した本件書きだし制御システムにおいても、MTPスマートフォンに対応したシステムが開発・販売されており、また、MTPスマートフォンによるシャドーITの危険を解説するIT系のニュース記事も現れています。
(4)最高裁平成29年10月23日判決
なお、ベネッセの個人情報漏洩事故について損害賠償責任を追及する別の訴訟においては、最高裁が「原審は被害者に関するプライバシー侵害について審理を十分に尽くしていない」として高裁に差戻しを行っています(最高裁平成29年10月23日)。Xらのプライバシー侵害をまったく審理していない本件訴訟は最高裁の判断にも反しています。
3.まとめ
このような事柄を考慮すると、本件個人情報漏えい事故が発生した2014年現在、ベネッセは大量の個人データを保有する個人情報取扱事業者として講じるセキュリティ水準を達成しておらず、十分な安全管理措置をとっておらず、その結果として本件個人情報漏えい事故の発生を許したものであって、Xらに対する損害賠償責任を負うと考えられます。また本件訴訟はXらに発生したプライバシー侵害についても審理していません。このように、ベネッセの損害賠償責任を否定した本件判決は妥当ではないと考えます。
■参考文献
・金融・商事判例1548号48頁
・銀行法務21第834号70頁
・宇賀克也『個人情報保護法の逐条解説 第6版』99頁
・岡村久道『個人情報保護法 第3版』219頁、220頁
 |
 |
