個人情報が流出した場合の損害について

（丸の内中央法律事務所報№26, 2015.1.1）

　平成２６年夏号（丸の内中央法律事務所報№25, 2014.8.1）では、平成２６年７月に発覚した株式会社ベネッセコーポレーション（以下「ベネッセ」といいます）の顧客情報（①郵便番号、②顧客（子どもと保護者）の氏名、③住所、④電話番号（固定電話または携帯電話）、⑤子どもの生年月日、性別、⑥出産予定日（一部の利用者）、メールアドレス（一部の利用者））合計約２８９５万件が外部に漏えいした事件を題材に、コンプライアンスの実践のための対策について、取り上げました。この事件において、ベネッセは、当初金銭的補償はしないとしていましたが、社会的な批判を浴びるなどして２００億円の補償をすると方針転換し、５００円の電子マネーギフト、図書カード等補償策を打ち出しました。

　この対応に対し、平成２６年１１月に、被害者の一人がベネッセに対して１３万円の損害賠償を求める損賠賠償の訴訟が提起し、また、他の被害者の中にも集団訴訟を　提起しようとする動きがありますことから、今回は、個人情報が流出した場合の損害額について、過去のケースを参考にして検討してみたいと思います。

　Ｕ市事件

　この事件は、個人情報が流出した場合の損害賠償金額についてのリーディングケースの判例です。地方公共団体Ｕ市が管理する住民基本台帳の個人情報のデータ（住所、氏名、性別、生年月日、転出入日、世帯主名、世帯主との続柄等）が、委託先（再々委託先のアルバイトの従業員）を介して流出した事件で、裁判所は、Ｕ市に対し、一人当たり1万5,000円（慰謝料1万円、弁護士費用5,000円）の損害賠償を命じました（最決平成14年7月11日、原審大阪高判平成13年12月25日判例自治265号10頁）。氏名、住所、生年月日、世帯主名、世帯主との続柄といった基本的な情報流出に対して、裁判所は、慰謝料を１万円と認定しました。

　Ｔ事件

　エステティックサロンを経営する業者が開設したホームページで実施したアンケート等を通じて提供された個人情報（氏名、職業、年齢、性別、住所、電話番号、メールアドレス、関心を有していたコース名、回答内容等）が閲覧可能な状況になり、第三者が個人情報を流出させた事件で、裁判所は、業者に対し、一人当たり2万2,000　円（慰謝料1万7,000円、弁護士費用5,000円）～3万5,000円（慰謝料3万円、弁護士費用5,000円）の損害賠償を命じました（東京高判平成19年8月28日、原審東京地判平成19年2月8日判例時報1964号113頁）。

　この事件では、電話番号やメールアドレス、自分が関心のあるコースなどよりプライバシー性が高い情報が流出した上、いやがらせのメールなども送られてきたという事案で、前述の住民基本台帳の情報が流出した場合と比べて賠償金額が高くなっております。

　Ｍ証券事件

　この事件は、大手証券会社Ｍの元部長代理が、平成21年1月に、同社の顧客情報約149万件を、社員のIDに不正にアクセスして社外に持ち出し、名簿業者に約5万件の個人情報を売却した事件です。この事件では、Ｍ社の顧客の氏名、住所、電話番号、性別、生年月日という基本的な情報以外に、職業、年収区分、勤務先名、勤務先住所等の個人情報が流出し、名簿を取得した不動産投資関連の業者などから顧客に対し電話勧誘などが行われました。この事件でＭ社は、金融庁より内部管理体制が不十分として業務改善命令を受けたばかりか、被害を被った約５万人の顧客に対し、お詫びとして一人当たり１万円のギフト券を提供するなどしました。

　この事件では、勤務先、勤務先の住所、年収区分という顧客の情報を預かる証券会社としては守秘しなければならない情報が流出しており、Ｍ証券は、前述のとおり自主的に１万円のギフト券を提供しましたが、裁判になっていた場合には、これまでの裁判例からすると、慰謝料として一人１万円以上の認定がなされた可能性が高かったと思われます。

　このようにみてきますと、流出した情報の種類・内容、特にプライバシー性の高い情報ほど、賠償する金額が多くなっている傾向にあるといえます。収入・負債、病歴、犯罪歴といった秘匿性の高い情報の場合は、慰謝料はさらに高額になるものと思われます。

　ベネッセの事件では、これから成長していく子どもの情報が流出しており、今後、中学校入学、高校進学、大学進学といった成長過程に伴い長期間にわたって情報が利用される恐れが高く、その点が慰謝料にどのように反映されるのかが注目されるところです。また、前記の訴訟では親権者である親が、子どもの慰謝料のみならず、親自身の慰謝料も請求しておりますので、親自身の慰謝料の可否、金額も争点になり、この点でも、注目に値します。

　なお、本稿をお読みの中には、慰謝料の金額が意外に低く、流出させた損害も思ったほどではないとお感じになる方もいらっしゃるかもしれませんが、現代では大量の個人情報がデータで管理されており、流出が発覚した場合、１件のみ流出したということはまず考えられず、流出数は膨大なものとなります。冒頭のベネッセでは、約２８９５万件が流出しておりますので、一人一人の慰謝料は高くないとしても、その集積如何では、億単位の賠償になることは容易に想像できます。ベネッセの事件では、ベネッセが、自主的に流失した会員に対し一人５００円の補償で合計約２００億円の補償をするとしておりますが、裁判になった場合、これまでの裁判例に照らし、一人５００円で十分であるとはいえないのでしょう。

　さらに、個人情報の流出は、また、財務的なダメージだけにとどまらず、個人情報を適正に管理できないということで、行政処分や重要取引先との取引停止、顧客の喪失など、組織が個人情報を流出させたときに受けるダメージは、はかりしれません。

　このようにみてきますと、個人情報の適正な管理は、今日の組織にとって、業種･業態を問わず、最も重要な課題だといえます。そして、ベネッセの事件では、スマートフォンが盲点であったように、ＩＴは日々猛烈なスピードで進化しており、一度対策をしたからといって、決して安心はしてはならないのです。

　平成１５年に個人情報保護が施行され、既に１０年以上経過したにもかかわらず、残念ながら個人情報の流出事例は後を絶ちません。ＩＴの進展に伴い、業務遂行上、個人情報をどこでも迅速に閲覧・活用できる要請が高まっている反面、流出した場合に被る損害は個人、組織とも深刻で、そこには大きなアンバランスがあるように思われます。ＩＴの進化に、それを取り扱う人間が、うまく対応できていないないのではないかと思います。

　いまや多くの人が、様々な個人情報を様々なサイトに当たり前のように登録しており、もはやインターネットなしでの生活は考えられなくなっております。

　このような情報通信社会における個人情報をいかに適正に管理していくべきか、議論はまだはじまったばかりで、継続的・粘り強く取り組むべき課題だといえます。

　最後までお読みいただきまして、ありがとうございました。