企業からの個人情報漏洩と保険による 損害填補

企業からの個人情報漏洩と保険による 損害填補

損害の分類と保険の法的問題を中心に

千 手 崇 史

■アブストラクト

企業が保有する個人情報を漏洩させた場合の謝罪・賠償額は巨額にのぼる ため，保険への加入を検討することも多い。しかし，填補すべき損害の性質 や保険の法的な問題にはまだ未解明の部分が多い。そこで，本稿は，重要な 事件や現行の保険商品を題材に検討を行った。その結果，まず，謝罪費用等

⽛一次損害⽜は額や上限が定まりやすいので保険が関与しやすい反面，現行 の主要保険商品ではまだ十分な額の給付がなされていない問題が判明した。

一方，訴訟を経て支払う賠償金など⽛二次損害⽜は，保険事故をどう捉える かの他に，全容がつかめず拡大する性質にどう対処するかが問題となる。検 討の結果，被害者全員が請求をしないという前提に立つと，現行の主要保険 商品で十分にカバーできるが，個人情報保護法改正による請求・訴訟や賠償 額の増加可能性に注意が必要である点，相当因果関係がある損害はどこまで なのかを理論的に解明するのが課題である点を指摘した。

■キーワード

個人情報漏洩，損害賠償請求，個人情報漏洩保険

＊平成28年⚓月18日の日本保険学会九州部会報告による。

/ 平成29年⚗月10日原稿受領。

⚑．はじめに

⑴ 個人情報の収集・利活用と漏洩

企業活動の過程で，顧客等の個人情報¹⁾を収集することが欠かせないが，

一旦情報が漏洩すると拡散を続け，顧客や会社に莫大な損害を及ぼし続ける。

被害を早急に填補するためには，保険に入っておくことが有益であるが，個 人情報漏洩と保険との関係性について，法的な観点から直接取り扱った論稿 はまだ少ない²⁾。

特に，不正アクセス等によるデジタル情報の漏洩が重要である。データは 無限にコピーでき，多量の情報を瞬時に移転させることが可能であるため，

その漏洩被害は甚大で，近年多い紛争類型でもある³⁾からである。

観点として，漏洩予防⁴⁾(内部統制システムや漏洩防止義務（契約）），漏 洩時の責任（損害賠償責任等），漏洩後の処理（保険による填補）などいず れも重要だが，本稿は特に賠償責任との関連で個人情報漏洩保険の問題を取 り扱う。以下に検討する通り，個人情報漏洩事件は⽛莫大な損害が生じ，拡 大を続ける⽜という性質があり，これと保険との関連は理論的に未解明の部 分が多いからである。このような⽛個人情報漏洩と保険⽜の問題の入り口と

1) なお，個人情報は，営業秘密としての側面も併有する（高野一彦・情報法コ ンプライアンスと内部統制〔第⚒版〕199頁（ファーストプレス，2008））が，

その性質は本稿では取り扱わない。

2) 鈴木哲史⽛個人情報漏洩保険の種類と戦略的活用法⽜経理情報 No. 1397，59 頁（2014），赤堀勝彦・企業の法的リスクマネジメント55頁以下（法律文化社，

2010），大塚和成ほか⽛個人情報流出対応にみる実践的リスクマネジメント⑷⽜

NBL 811号87頁（2005）等。

3) 独立行政法人情報処理推進機構⽛情報セキュリティ白書2016⽜162頁以下

（独立行政法人情報処理推進機構，2016）参照。

4) 瓜生・後掲注10)69頁参照。なお，個人情報漏洩と内部統制システムの関わ りに関しては，田路至弘＝松原崇弘⽛情報漏えいと取締役の内部統制システム 構築義務⽜商事2117号11頁（2016），高野・前掲注1)39頁以下，65頁以下，171 頁以下など。

して，本稿は，損害の性質を整理し，そこに保険が関与する場合の問題点を 整理する。なお，既に個人情報漏洩に備える各種の保険が出されているの で⁵⁾，それにも配慮する。

⑵ 前提問題 プライバシーと個人情報

前提問題として，個人情報と混同されがちなプライバシーにつき簡単に言 及する。わが国では，いわゆる⽛宴のあと⽜事件判決⁶⁾が，私生活をみだり に公開されないことを内容とする⽛プライバシーの権利（憲法13条）⽜に私 法的な救済を初めて与えた。その後，市の管理する個人情報（氏名，年齢，

住所等）が名簿業者に転売された漏洩事件⁷⁾にもプライバシー権の保護が拡 張され，やがて，本人の同意を得ずに個人情報を取得・管理等する住基ネッ トの違憲性が争われた訴訟⁸⁾で⽛個人に関する情報をみだりに第三者に開示 又は公表されない自由（自己情報コントロール権）⽜を内容とする権利とし て捉えられるに至った。個人の私生活の保護から情報そのものの保護へ，ま た，消極的な理解から積極的な理解へと変化している。現在支持を集める自

5) 東京海上日動⽛個人情報漏えい保険⽜（http://www.tokiomarine-nichido.co.

jp/hojin/baiseki/roei/），三井住友海上⽛情報漏えいプロテクター⽜（http://

www.ms-ins.com/pdf/business/indemnity/pd-protector.pdf），損保ジャパン日 本興亜⽛個人情報取扱事業者保険⽜（http://www.sjnk.co.jp/hinsurance/risk/

liability/information/），AIU 社⽛個人情報漏洩保険⽜（http://www.aiu.co.jp/

business/product/liability/kojin_joho/ippan/index.htm）など参照（いずれも，

2017/08/07最終アクセス。なお，約款はいずれも非公開とされているので，本 稿は公開された情報に限って参照した）。

6) 東京地裁昭和39年⚙月28日下民集15巻⚙号2317頁。

7) 大阪高裁平成13年12月25日裁判所ウェブサイト（宇治市住民票データ流出事 件）。

8) 最判平成20年⚓月⚖日民集62巻⚓号665頁（住基ネット訴訟（結論・合憲））。

芦部信喜著，高橋和之補訂・憲法〔第⚖版〕124頁（岩波書店，2015）もこの 判決を自己情報コントロール権として捉えるが，判決のコメント（判タ1268号 111頁）は，その権利内容について判断を示すまでもないと述べる。

己情報コントール権の解釈は，後述する個人情報の概念とも大きく重なる⁹⁾。 この流れと並行して，個人の住所や電話番号，クレジットカード番号などの 個人情報の要保護性が個人情報保護法（本稿で，⽛基本法⽜という)¹⁰⁾におい て明確にされた¹¹⁾。基本法において保護される個人情報とは，原則として

⽛個人に関する情報⽜であることに加え，⽛生存者性¹²⁾⽜⽛個人識別性¹³⁾⽜の要 件を満たす必要がある（基本法⚒条¹⁴⁾）。個人情報を含む情報の集合物を，

電子計算機等を用いて検索することができるように体系的に構成したもの等 を⽛個人情報データベース等（基本法⚒条⚔項）⽜と定義し，個人情報デー タベース等を事業の用に供する⽛個人情報取扱事業者¹⁵⁾⽜（⚒条⚕項）が，

9) なお，ビッグデータに対応した新しい概念を提唱するものとして，宮下紘・

プライバシー権の復権 自由と尊厳の衝突 ・328頁（中央大学出版部・2015）。

10) 成立は平成15年(2003年)である。文献として，右崎正博ほか編・新基本法コ ンメンタール情報公開法・個人情報保護法・公文書管理法（情報関連⚗法）・

164頁以下〔小町谷育子＝三宅弘〕（日本評論社，2013）など。なお，最新の平 成27(2015)年改正の内容を盛り込んだものとして，宇賀克也著・個人情報保護 法の逐条解説〔第⚕版〕（有斐閣，2016），瓜生和久編著・一問一答平成27年改 正個人情報保護法（商事法務，2015）。なお，本法制定の経緯について，赤 堀・前掲注2)55頁以下。なお，本稿で⽛基本法⽜という場合は，平成27年改正 法を指す。

11) 宇治市住民票データ漏洩事件など，個人情報の流出事件が続発していたこと，

また，民間部門の個人情報保護法制が存在していないことなどを直接の理由と して，同法は平成17(2005)年に全面施行された（赤堀・前掲注2)59-60頁）。

12) 死者情報が基本的に除外される（右崎ほか・前掲注10)174頁）。

13) 氏名，生年月日などがこれを満たすほか，役職名や病歴など特定個人を識別 できる情報が広く含まれる。また，他の情報と照合することで個人を識別でき るものも対象である（右崎ほか・前掲注10)175頁）。

14) 身体の特徴をデータ化したもの（指紋等）や，マイナンバー・旅券番号・運 転免許証番号など制令で定める一定のものが⽛個人識別符号⽜として単体で個 人情報に該当する（瓜生・前掲注10)10-11頁）。

15) その団体の内容・規模を問わず，営利・非営利を問わない（右崎ほか・前掲 注10)178-179頁）。なお，平成27年改正前は⽛小規模事業者⽜に該当する場合

（過去⚖か月以内のいずれの時点でも取扱個人情報⚕千人分以下）の適用除外 規定が存在した（平成27年改正前基本法⚒条⚓項⚕号）。平成27年改正は，イ

個人情報データベースの構成要素たる⽛個人データ⽜（⚒条⚖項）の取扱い 等に関して，基本法第⚔章の義務を負うとされ，大量漏洩の危険が高まるデ ジタル情報を主に念頭においている¹⁶⁾。義務内容として，個人情報全般に関 する，取得時の利用目的の特定（基本法15条）やそれの通知等（18条）不正 目的による取得禁止（17条）等が挙げられる。次に，個人データ特有の義務 として，データ内容の正確性の確保（基本法19条），安全管理措置（漏洩，

滅失，毀損の防止など；20条）等が挙げられる。これら基本法の義務に違反 すると，一定の場合，勧告，命令，刑事罰の対象とされるが，民事責任の規 定はないため，債務不履行（民法415条）や不法行為（民法709条）の規定の 問題となる¹⁷⁾。なお，その漏洩により保険給付がなされうる⽛個人情報⽜に 関しては，基本法の定義を基礎にしつつ，各社ともアレンジを加えて特色を 出している¹⁸⁾。

以上のように，基本法上の個人情報の定義を見ると，プライバシー権の概 念との重なりもあり，また，基本法の義務内容は自己情報コントロール権の 発想に近い。もっとも，プライバシー権は判例法・学説上発達してきた概念

ンターネットを通じて情報が瞬時に拡散する危険性から，当該適用除外を廃止 した（瓜生・前掲注10)33頁以下）。なお，管理する情報の件数が⚕千人分以下 の中小規模事業者の安全管理措置として要求される水準は大企業のそれほど高 くはない（個人情報保護委員会⽛個人情報の保護に関する法律についてのガイ ドライン（通則編）⽜http://www.ppc.go.jp/files/pdf/guidelines01.pdf（最終ア クセス2017/08/07）86頁以下。

16) 宇賀・前掲注10)68頁。

17) 情報を取得する際の合意・契約などに⽛個人情報保護法を守る⽜点が明示・

黙示に含まれる（債務不履行）⽛個人情報⽜を被侵害利益と考える，取締法規 である基本法への違反を⽛違法性

，

⽜として考慮する（不法行為）などと考える ことができる。なお，プライバシー情報と個人情報は別物であると捉えると，

理論上はそれぞれについて損害賠償請求をすることが可能となる（竹内朗＝鶴 巻暁＝田中克幸＝大塚和成著・個人情報流出対応にみる実践的リスクマネジメ ント（別冊 NBL No. 107）46頁以下（商事法務，2006）参照。

18) 前掲注5)参照。なお，損保ジャパン日本興亜・同は，死者の個人情報も含め る。AIU 社・同は，退職者や入社希望者の情報も対象とする。

であり，定義や効果が明確に定まっていない一方で，個人情報は制定法上明 確な定義があり，その義務内容も明確である。また，基本法上，個人情報は 企業等に同意して譲り渡すことが基本となっているが，プライバシーはそう ではない等，根本的な違いもあり，両者の関係につきまだ争いが続いてい る¹⁹⁾。本稿は基本法に照らすと個人情報に当てはまる情報が漏洩した事例を 主に扱う。個人情報とプライバシーの概念とは，重なりは大きいものの一応 別であると考える。基本法制定にプライバシー権の議論が強い影響を与えた ことが推察されるため，これら概念の関係については，判例法理の蓄積や議 論の深化を引き続き注意深く見守る必要がある。

⚒．裁判例などの紹介と分析

次に，保険の検討の前提として，近年問題となった事件の中から，重要な ものを紹介し，発生した損害の態様を簡単に分析する²⁰⁾。

⑴ 企業の保有する個人情報の漏洩事件

一つ目は，従業員の持ち出しのケースである Yahoo! BB 事件²¹⁾(大阪地判 19) 基本法の個人情報と判例法上のプライバシーが包含関係にないと指摘するも のとして，中野友貴⽛IoT ビジネスに関する法務上の注意点⽜会社法務 A2Z 2016年11月号28頁。自己情報コントロール権侵害への救済として，情報の開示 請求や訂正・削除の請求などをするには基本法の存在を前提とする（曽我部真 裕ほか著・情報法概説176頁（弘文堂，2016））として，両者の（効果の側面で の）重なりを示唆する見解もある。損害賠償に関しては，流出した個人情報が プライバシー情報等にも該当する場合は，漏洩元事業者などは二重の責任を負 いうるとの説（岡村久道⽛個人情報保護法と企業の対応―損害保険分野を例と して⽜予防時報216号43頁参照）がある一方で，不法行為責任との関連で，個 人情報の漏洩のみでは足りず，それがプライバシー権を侵害する必要があると する説もある（竹内ほか・前掲注17)49頁）。

20) 従業員持ち出しと不正アクセスは典型的事例として保険が想定している（前 掲注5)）。他に，⽛車上荒らし等による情報の盗難⽜⽛メール誤送信⽜⽛コンピュ ータウイルス被害⽜などが想定されている。

21) Yahoo ! BB 事件に関する評釈として，神作裕之⽛判批⽜廣瀬久和＝河上正

平成18年⚕月19日判時1948号122頁）である。これは，インターネット接続 サービスを展開するＹ社ら複数の会社が，顧客Ｘらと結んだインターネット 接続サービスに関する契約に基づき保有・管理するに至った個人情報を，メ ンテナンス時に漏洩させた事件である。当該個人情報は社内サーバーに記録 されていたが，メンテナンスのために一時リモートアクセスが可能な状態と され，ユーザー名・パスワードによって一部の社員が外部からアクセスする ことが可能な状態に置かれていた。ところが業務委託先からＹ社へ派遣され，

顧客データベースの管理業務に従事していたＡが，退職後にユーザー名・パ スワードがまだ利用可能であることを奇貨として，外部から当該情報を取得 し，その後拡散させた。当該情報の主である顧客Ｘらは，Ｙ社らに対して，

ユーザー名・パスワードの定期的変更や削除を行っていなかった点などが過 失に当たると主張し，不法行為責任を追及した。大阪地裁は，基本法20条

（事件当時未施行）の規定などを指摘し，リモートアクセスが外部からの不 正アクセスの危険を高めること，そのため不必要な範囲にリモートアクセス を認めず，認める場合は不正アクセス防止のために相当な措置を講ずる注意 義務を負っていたこと，その唯一の手段であるユーザー名・パスワードの管 理が極めて不十分であったことを指摘し，電気通信事業者であるＹ社らが不 正アクセス防止・個人情報漏えい防止等に関して必要な措置をとる注意義務 に違反したとし，加えて不正取得の予見も結果回避も可能であったことを認 定し，不法行為責任を認めた。なお，流出した情報（住所，氏名，電話番号，

メールアドレス，ヤフー ID，ヤフーメールアドレス，申込日）は，必ずし も秘匿する必要が高くはないものではあるが⽛本人が，自己が欲しない他者 にはみだりにこれを開示されたくないと考えることは自然なことであり，そ のことへの期待は保護されるべきものであるから，これらの個人情報は，原 告らのプライバシーに係る情報として法的保護の対象となるというべきであ 二編・消費者法判例百選236頁（有斐閣・2010），田中宏⽛判批⽜リマークス36 号（2007年）67頁（2007）。なお，三井住友海上・前掲注5)等大半の保険がこ のような事態を想定して作られている。

る。⽜として，判決はその要保護性を認め，Ｙ社らの過失によりＸらの権利 が侵害されたことにつき，一人あたり6000円の限度で認容した。その他，判 決文からは，正確な流出件数は分からない²²⁾。なお，控訴審である大阪高裁 平成19年⚖月21日（公刊物未登載)²³⁾は，基本的に一審を支持しているが，

謝罪のために送った郵便為替支払通知書を控除して損害額をわずかに減額調 整している。

二つ目に，第三者のアクセスにより情報が漏洩した TBC 事件²⁴⁾(東京高 判平成19年⚘月28日判タ1264号299頁）を紹介する。被告Ｙ社がＺ社との間 でサーバーレンタル契約を結んで，ウェブサイトを開設していた。原告Ｘら 顧客14名は，平成12年から14年の間にＹ社の無料体験に募集し，個人情報を 登録していた。この時点ではＺ社により，これら個人情報が第三者からアク セスされない設定がなされていたが，アクセス増加に伴いＺ社らが専用サー バーにデータを移した際，第三者からのアクセスが可能な状態に置かれ，個 人情報（氏名，住所，年齢，性別，職業，電話番号，メールアドレス及びス リーサイズ・希望コース名など）が⚕万件以上流出（原告主張）し，これら 情報がインターネット掲示板に掲載等され，顧客に迷惑メールや DM が届 くようになった。Ｘら顧客14名はＹ社に対して，不法行為または使用者責任

（民法715条）に基づいて各々慰謝料100万円等の損害賠償の支払いを求めた。

裁判所はＹ社がウェブサイトの内容を決定し，動作確認や不具合の対応協議 22) 日弁連の調査によれば，660万件程度である（高橋郁夫⽛コンピュータ委員 会シンポジウム ’04⽛個人情報漏洩事件とその対策⽜報告⽜日弁連法務研究財 団ホームページ（https://www.jlf.or.jp/jlfnews/vol25_5.shtml（最終アクセス 2017/08/07））参照）。なお，451万件流出したとの記載もある（遠山光貴⽛個 人情報をインターネット上に流出させた事業者の責任に関する近時の裁判例の 動向⽜金判1287号10頁）。

23) 岡村久道・情報セキュリティの法律〔改訂版〕106頁（商事法務・2011）参 照。

24) 評釈として，浦川道太郎⽛判批⽜リマークス38号66頁（2009）。なお，東京 海上日動・前掲注5)，三井住友海上・同などの商品もこのような事態を想定し ている。

していた点などから指揮監督関係を認めた上で，流出情報が⽛個々人の美的 感性の在り方や，そうしたものに関する悩み若しくは希望といった個人的，

主観的な価値に結び⽜つきうる情報であることから，一人あたり35000円

（うち弁護士費用5000円）でも高額に過ぎることはないと述べて，請求を認 容した。

三つ目に，同じく不正アクセスにより情報漏洩した，東京地裁平成26年⚑

月23日判時2221号71頁掲載²⁵⁾(以下，平成26年東京地判という）を紹介する。

これは，インテリア商材の卸売り・通販を手がけるＸ社が，システムを専門 とするＹ社に商品受注システムを発注したところ，Ｙ社の提供したシステム に著しい脆弱性²⁶⁾があり，第三者の不正アクセスにより，個人情報が9482件，

クレジットカード情報が7316件流出した可能性があるとされた事案である

（痕跡の残らない方法で不正アクセスされた）。本件流出により，Ｘ社は顧客 に対して調査・謝罪（QUO カードの送付）等の損害が生じた。裁判では，

適切な対策が採られたアプリケーションを提供すべき債務，カード情報を暗 号化する債務などの不履行が主に問題とされた。顧客への賠償ではなく，責 任を負うべき事業者間での責任分担が争点とされた点が特徴的である。裁判 所は，経産省や情報処理推進機構（IPA）が推奨する不正アクセスの対策方 法を行わずシステムを提供したＹ社の債務不履行責任を認めた²⁷⁾。なお，上

25) 評釈として，遠藤元一⽛判批⽜横浜法学24巻⚒・⚓号191頁（2016），滝澤孝 臣⽛判批⽜リマークス51号30頁（2015），上山浩⽛判批⽜NBL1055号34頁

（2015）。なお，この事件は漏洩の件数や規模等，東京海上日動・前掲注5)の想 定と近い。

26) 当時は SQL インジェクション（滝澤・前掲注25）31頁，独立行政法人情報 処理推進機構⽛安全なウェブサイトのつくり方⽜https://www.ipa.go.jp/secur- ity/vuln/websecurity.html（最終アクセス2017/08/07））という不正アクセス被 害が多発していたため，IPA・経済産業省が対策として⽛バインド機構の使 用・エスケープ処理⽜の対策を注意喚起していたが，Ｙ社提供のシステムには これが施されていなかった。

27) カード情報の暗号化に関しては，IPA・経産省も義務とは解していなかった 点，作業・負担の量などから，債務を負っていなかったと判示した。

記債務不履行によって生じた損害を，本件ウェブ受注システム委託契約に関 連して支払った代金のうち，27万5625円，QUO カード送付など顧客への謝 罪関係費用1863万7440円，顧客からの問合せ等の対応費用493万8403円など をはじめ，相当細かく見積もり，合計額は3231万9568円とした。その上で，

Ｘ側のシステム担当者も何ら対策を講じずにこれを放置した点に⚓割の過失 があるとして過失相殺をなし，2262万3697円の限りで請求を一部認容し，そ の余を棄却した²⁸⁾。

これら裁判例の他に，新聞報道等された大きな事件として，ベネッセ個人 情報漏洩事件（以下，ベネッセ事件という)²⁹⁾が注目される。これは，顧客 のもとにダイレクトメール（DM）が届くという苦情が，教育ビジネスを展 開する会社のもとに頻繁に寄せられ，調査により2000万件～3500万件程度の 個人情報（子供と保護者の名前，電話番号，住所等）の漏洩が発覚した事案 である。なお，派遣されていたシステムエンジニアが，名簿業者にベネッセ の個人情報データベースを数百万円で売り，その後複数の名簿業者を通じて 情報が拡散した。ベネッセは，DM 大量郵送の見直し，従業員の教育やセキ ュリティ対策等の措置をとることを記者会見で表明し，顧客に対して情報⚑

件あたり500円の金券を配布した。しかし，10729名程度の顧客から，一人あ たり55000円の損害賠償を求めて提訴されている³⁰⁾。

28) 顧客への謝罪関係費用は1863万7440円とされ，これが個人情報漏洩による顧 客損害に相当する。16798件の顧客の個人情報が流出したとされ，一人あたり に支払った費用は1109円程度と試算できる。

29) 日経新聞（電子版）2014年⚗月16日⽛派遣 SE⽛データ数百万円で売った⽜

ベネッセ漏洩⽜，同2014年⚙月11日⽛ベネッセ漏洩3504万件に DM 営業，徹底 見直し⽜，など参照。なお，この事件を契機として，基本法2015年改正におい て，個人情報データベース等提供罪（83条）が新設された（柴野相雄⽛判批⽜

木目田裕＝佐伯仁志編・実務に効く 企業犯罪とコンプライアンス判例精選 221-222頁（有斐閣，2016））。なお，現行の保険商品（前掲注5)参照）のいず れにおいても想定事故例として挙げられている。

30) ベネッセ個人情報漏洩事件被害者の会（http://www.benesse-saiban.com/pc/

index.html）（最終アクセス2017/08/07）参照。

⑵ 個人情報漏洩事件の問題点

以上の事件を参考に，特徴をまとめると，一つ目に，莫大な損害が容易に 発生しうる点を挙げることができる。いずれの事案においても，保有されて いた個人データは一瞬にして漏洩した。また，不正アクセスの事案では加害 者の特定が困難である。従業員持ち出しのケースでは加害者は特定されうる が，この者への求償は資力の面から期待できない。漏洩元企業に過失があれ ば，その莫大な損害の賠償をほぼ全面的に担うこととなる。二つ目に，損害 額（総額）算定の困難性・損害の拡大化である。DM や勧誘電話など軽微な ものもあれば，クレジットの不正使用³¹⁾，架空請求詐欺など大きな顧客損害 へつながるものもある。慰謝料まで問題とすると損害額の算定はさらに複雑 となる³²⁾。加えて，流出した情報の正確な件数がつかめず，顧客に対して支 払うべき補償・損害賠償の総額が分からない状況が生じる。三つ目に，どの 裁判例も事業者の負っていた義務とその違反（過失）の部分を丁寧に認定し ており，原告も細かな主張・立証をしているが，今後同様の事件が起これば，

その必要はなく，基本法の規定する詳細な義務に違反し，基本法の保護する

⽛個人情報⽜を漏洩させた（基本法20条など参照）という点が主たる争点と なるであろう。過失責任であることに変わりはないが，その義務内容を詳細 に基本法が提供しているため，主張が事実上しやすくなる。また，前掲注 15)に掲げた基本法の改正状況（件数に関係なくすべての事業者に適用）を 重ね合わせると，今後，訴訟が増加する可能性がある。

31) なお，クレジットカード番号も基本法の保護を受けうるが，巨額にのぼりう るからか，この漏洩による賠償は特約扱いする保険が多い（東京海上日動・前 掲注5)，AIU 社・同など）。

32) なお，竹内ほか・前掲注17)54頁以下は，個人情報漏洩後第三者の知覚する 状態となった時点での慰謝料を⽛一次被害⽜，その後の架空請求や執拗な電話 など，当該情報を第三者が知ったこと，また，本人が詐欺や恐喝にあって財産 を失ったことなどの被害を⽛二次被害⽜と呼んで分類する。

⚓．個人情報漏洩事件と保険に関係する諸問題

⑴ 損害の分類

先述の問題のうち，保険との関係では⽛損害額確定の困難性⽜が最も重要 である。保険給付をするためには損害額の確定が必要となるからである。今 一度，諸損害を分類して考えてみたい。

第一に，情報漏洩によってまず損害を受けるのは，その個人情報の主であ る顧客らである。顧客が被る損害を本稿では，後述の企業に生ずる損害と区 別するために⽛顧客損害⽜と呼ぶ。なお，漏洩・拡散の時点でこの損害は抽 象的に発生しているが，顧客らがこの事実に気づくのは，当該企業が情報漏 洩した事実を公表・報道した後であることが殆どである。情報の伝播ととも に拡大する可能性があり，訴訟等を通じて後述する⽛二次損害⽜等として企 業に転嫁される。

第二に，漏洩元企業へと視点を移す。上記事例等を参照しても，まず，情 報漏洩が起こった場合の初動として，漏洩元企業が自主的に調査・事実確認 を行い，⽛謝罪⽜⽛お詫び⽜などの形で顧客損害の填補に努めている。平成26 年東京地判のように，システムの改修をすることも考えられる。それら，初 動にかかる費用をその企業に生ずる⽛一次損害⽜と呼ぶ。これの主たるもの は謝罪費用であるが，上記 Yahoo ! BB 事件やベネッセ事件等企業が自主的 対応をした事例では，情報一件あたり500円分の補償が相場であり³³⁾，漏洩 被害を受けた疑いのある顧客全員にこれを配布する。その他，調査費用，シ ステム改修費用等も算定は可能である。総じて，⽛一次損害⽜は巨額になる かもしれないが，一応算定可能である。

第三に，個人情報の拡散に付随して顧客損害が拡大し，それを損害賠償請 求される（判決や和解，その他訴訟対応）などして企業は賠償金等を支払わ 33) 日経新聞（電子版）2014年⚗月20日⽛顧客情報漏洩，過去の補償⽛⚑人500 円⽜めだつ⽜参照。なお，この額に合わせて設計されている保険もある（三井 住友海上・前掲注5)）。

ねばならない場合が生ずる。このように，情報漏洩後，情報が伝播すること で追加的に生じるものも含め，訴訟等において企業に転嫁される場合の損害 やそれに付随する諸費用を⽛二次損害⽜と呼ぶ。このうち，例えば顧客への 賠償額は，一般に裁判例となっている事件において，5000円～50000円程度 と幅広い³⁴⁾。この二次損害は，提訴人数，請求額，認容額の予測ができない ため，全容をつかみにくい上，逐次インターネット等で情報が伝播するにつ れ拡大する可能性がある。つまり，企業が被る莫大な損害のうち一次損害は 算定が可能，二次損害は算定が難しいことがわかる。では，改めて，これら に保険はどう関与すればよいか。

⑵ 一次損害との関係

個人情報を漏洩させた企業は，現に生じた顧客損害を早急に補償する必要 がある³⁵⁾。その際に，変更可能情報の変更を含めた注意喚起をするべきだ が³⁶⁾，不正アクセスの場合にはより強固なシステム改修も必要となろう³⁷⁾。 これら諸費用は全て一次損害に分類される。もし，対応が遅れれば，情報は 拡散を続け，企業の信用も低下し，訴訟を起こされるリスクが高まる（二次 損害の拡大）。ここで，保険給付の後ろ盾は漏洩元企業へより早い対処を促

34) 牧野和夫⽛個人情報漏えい事件と具体的企業対応⽜会社法務 A2Z 2014年11 月号16頁，池辺吉博⽛個人情報漏洩と企業のコスト⽜NBL 794号12頁（2004）。

なお，Yahoo ! BB 事件では，一人あたり6000円，TBC 事件では，⚓万5000円 が裁判で認容されていた（損害額を高額化させる情報が漏洩したため）。

35) なお，ベネッセ事件等においては補償をなしたにも関わらず訴えを提起され ている。補償が不充分だと感じる者等が，不充分な補償をきっかけに損害賠償 請求の意欲を起こしてしまう可能性がある一方，不必要な支出と評価されれば，

取締役が善管注意義務を問われるなど，難しい問題である（竹内ほか・前掲注 17)37頁参照）。

36) 通知・公表していたにもかかわらず，顧客が放置していて損害が拡大した場 合などは過失相殺の問題となる（竹内ほか・前掲注17)55頁参照）。

37) 平成26年東京地判は，⽛一次損害⽜に関して相当詳細な認定をしており，参 考になる。

進し，結果的にコンプライアンスに寄与する面も大きい³⁸⁾。一次損害に対応 するのが，損害保険であれば実損填補が原則となる³⁹⁾が，実務では費用保 険⁴⁰⁾として提供されている⁴¹⁾。実際に，⽛謝罪・会見費用⽜⽛お詫び状・見舞 金等送付⽜などが対象となる⁴²⁾。しかし，実際必要となる補償額と主要保険 商品を比較すると，新たな問題点が見えてくる。まず，事件における顧客へ の謝罪費用だけ（前提；500円分全員に補償）を計算すると，Yahoo ! BB 事 件では451万件（日弁連の調査；660万件）の漏洩で22億5500万円（日弁連；

33億円），ベネッセ事件では，3500万件の漏洩で175億円となる。平成26年東 京地判では，調査費用・謝罪費用・システム改修など全て見積もって1863万 7440円と認定されている。ここで，既存の保険商品のうち費用保険部分を見 ると，最高でも⚑億円⁴³⁾，⚑事故につき⚕億円（ただし，賠償損害の支払限 度額の50％以内)⁴⁴⁾等とされている。大規模な漏洩を想定すると，これでは 不十分である。

⑶ 二次損害との関係

一方，二次損害を填補するのは責任保険であるが，各社とも前記費用保険 38) 情報漏洩保険の必要性に関して，竹内ほか・前掲注17)41頁。

39) 山下友信・保険法〔初版第⚔刷〕355頁（有斐閣，2010）。

40) 山下・前掲注39)52頁参照。

41) なお，コンピュータ等をデータの詰まった⽛物⽜と捉え，コンピュータシス テム全体やデータの毀損・滅失時に再作成費用等を補償する保険商品は既に存 在する（例えば，損保ジャパン日本興亜⽛IT&S 保険⽜（http://www.its-pc.

net/hosho.html#option（最終アクセス2017/08/25））。

42) 各社ともこれら費用保険を，賠償責任保険とセットにして提供している（前 掲注⚕）参照）。なお，三井住友海上・前掲注⚕）だけは，これら費用損害が 保険本体に含まれず，特約扱いとなっている。企業の信用低下に伴う株価下落 や風評被害等も考慮しうるが，補償対象外ないし免責金額とされている（同）。

情報漏洩後のシステム復旧・改修費用等については，基本的には含まれていな い（東京海上日動・同参照）。

43) 東京海上日動・前掲注5)参照。

44) 三井住友海上・前掲注5)参照。

と賠償責任保険，争訟費用（権利保護）保険等をセットにして販売してい る⁴⁵⁾。責任保険部分については，そもそも被保険者が被害者にいくら賠償す るかが確定しなければ保険給付が行えない他⁴⁶⁾，何を保険事故とみるかとい う理論的問題を検討せねばならない。損害保険においては⽛火災保険におけ る火災⽜等という形で保険事故を明らかにできるのに対して，損害保険の一 種でもある責任保険では保険事故らしく見える事象が多くある。先行研究同 様，自動車事故を例にとると，❞自動車で他人をひき，怪我を負わせる，

❟加害者に過失があったため，被害者に対して法的責任を負担する，❠被 害者が加害者に損害賠償請求をする，❡確定判決などにより損害賠償責任 が確定し履行する，という段階を経る⁴⁷⁾。学説として⁴⁸⁾は，❞を保険事故と みる損害事故説，❟を保険事故とみる責任負担説（通説），❠を保険事故と みる請求説が大きく対立している。一方，実務では，❟の段階を保険事故 とする⽛責任負担方式（責任負担説に対応）⽜，❠を保険事故とする⽛請求 事故方式（請求説に対応）⽜の他に，損害事故発生ではなく，その発見をも って保険事故と捉える⽛発見方式⁴⁹⁾⽜とがあり，責任負担方式が原則，他は 45) 責任保険部分に関し，本稿で紹介した保険商品のいずれも，損害賠償請求を 受けた金額・訴訟費用・弁護士費用を含めている（前掲注5)参照）。これら争 訟費用等を責任保険に含める理由は，被保険者が請求を争って勝訴した場合に もその費用部分だけでも給付することが実際の要求に合致するからである（田 辺・後掲注54)46頁参照）。なお，国外で提起された裁判を含めるとした場合は，

賠償額の著増や，法の抵触による複雑な訴訟運営を強いられるため，免責事 由・免責金額としている保険が多い（東京海上日動・同，三井住友海上・同参 照）。

46) 山下・前掲注39)424頁。

47) 責任保険が問題となる場面では，責任の基礎となる損害事実の発生と賠償責 任の発生する事実は同時となる（山下友信ほか編・論点体系保険法⚑・401頁

〔平沼大輔執筆〕（第一法規，2014）参照）。その他，山下・前掲注39)422頁，

塩崎勤ほか・保険関係訴訟・67頁（民事法研究会，2009）。

48) 学説の全体的な整理に関して，山下・前掲注39)422頁，山下ほか・前掲47) 401頁。

49) 学説の損害事故説をベースとしているが，医療業務においては損害事故の把 握が困難であるため，発見方式が採用された（山下ほか・前掲注47)参照）。も

例外である⁵⁰⁾。理論的にどの立場が妥当か。

第一に，請求説⁵¹⁾(請求事故方式）は，被害者から加害者への請求がなさ れたことを保険事故とみる見解である。実際に，責任保険一般を考えると，

被保険者に全く過失がなくても被害者から請求を受けることがあり，その防 御費用等を填補できる利点がある。しかし，保険期間との関係で問題を生ず る他⁵²⁾，数千人から数千万人にまで至る被害者をうむ個人情報漏洩を想定す ると，理論的には請求の時点ごとに保険事故があることとなる。実務におい て基本的にこの方式をとるものもあり⁵³⁾，TBC 事件のように請求をする人 数が少ない場合や，ベネッセ事件のように原告がまとまって訴えを提起する 場合にはこの方式でも対処が可能であるかもしれないが，前述の基本法改正 の影響などから同種の訴訟が増加し，被害者が個々に請求や提訴をする状態 となった場合にもこの立場を貫くと，極めて複雑な状態となる。個人情報漏 洩の場面では何らかの工夫が必要であろう。そこで，第二に，被保険者の請 求を生ぜしめうる可能性のある事実を保険事故とする損害事故説⁵⁴⁾を検討す る。これは一般的に，保険期間内に保険事故が起こったかどうかが明確であ り，訴訟費用などいわゆる権利保護給付が含まれることを無理なく説明でき るのが特長である⁵⁵⁾。もっとも，請求がなされていない場合でも保険事故が っとも，この理論の前提自体や基準としての曖昧性に対する批判も多い（大羽 宏一⽛医療に従事する専門職業人を対象とする賠償責任保険の保険事故につい て⽜損保研究65巻⚓・⚔号122-123頁（2004）参照）。

50) 山下・前掲注39)422頁，山下ほか・前掲注47)402頁参照。

51) なお，主唱者である西島教授は，加害行為の前後で加害者の財産状態が変化 しないようにすることが責任保険の役割だとした上で，過失責任主義の存在や，

保険者の免責等のためにそれが実現しない損害事故説を主に批判する（西島梅 治⽛責任保険の保険事故⽜熊本法学⚕巻39頁以下（1965））。

52) 保険期間後に請求がなされた場合は保険給付の対象とならならず，また，事 故が起こってから請求がなされるまでの間に加害者が⽛駆け込み契約⽜で加入 する問題である（田辺・後掲注54)50頁）。

53) AIU 社・前掲注5)，三井住友海上・同。

54) 田辺康平⽛責任保険の保険事故について⽜保険学雑誌432号43頁（1966）。

55) 田辺・前掲注54)54頁。

あることになる点を批判され，それへの再反論として，被害者の請求を生ぜ しめるべき蓋然性を根拠に損害事故と請求の密接性を指摘する⁵⁶⁾。また，被 保険者の過失行為（原因事故）と結果発生（結果事故）との間隔が開く場合 にも原因事故を保険事故とするが，原因事故の時点を捉えることが困難な場 合は結果事故を保険事故と捉える⁵⁷⁾。個人情報漏洩ではどう考えるべきか。

まず，通常漏洩時点（情報を抜き出した時点）に近接した時間に顧客損害が 発生（情報がインターネットを通して拡散）すると思われるが，時間差があ る場合も考えうる。こと，漏洩時点（原因事故）の特定が難しい場合には，

情報拡散の時点（結果事故）を保険事故とするのが適切だが，上記の通り，

漏洩の後この情報が拡散を続け，様々な被害を顧客に与える（DM や勧誘電 話，クレジットの不正使用等）ことに伴い，保険事故も内容を変えるという 困難な問題を生ずる⁵⁸⁾。既述の通り，被保険者の負担する損害の確定がなけ れば保険給付が行えないが，ここにいう⽛責任を生ぜしめる損害事故⽜が何 かという点は，漏洩の事実と相当因果関係のある事実はどこまでか，という 議論に深く関係すると思われる。とすると，損害事故説は，個人情報漏洩分 野の裁判例や学説等において，相当因果関係の議論がある程度進展すれば，

保険事故を捉える基準として機能する。なお，現時点で，前掲注 5)で紹介 した商品では，この説をそのまま採用するものはない。第三に，被保険者が 第三者に財産的給付をなすべき法的責任を負担することを保険事故とみる責

56) 田辺・前掲注54)54-55頁。

57) 田辺・前掲注54)55頁。

58) 特に不正アクセスの場合には原因事故の痕跡が残りにくい。なお，結果事故 の特定も容易ではない場合があるが，例えば平成26年東京地判は⽛平成23年⚔

月，本件サーバーに外部から不正アクセスがあり本件流出が発生したことに加 えて，三菱 UFJ ニコス及び株式会社ジェーシービーが，同月20日，Ｘ社に対 し，Ｘ社からクレジットカード情報が流出した疑いがあると判断して警告を行 ったこと（中略）からすれば，同日までに本件流出が発生したと認められる。⽜

と認定しており，厳密な時点とはいかなくとも，日時の特定は一定程度可能だ と思われる。

任負担説⁵⁹⁾(責任負担方式）がある。この立場も，被保険者に責任が生じな かった場合（被保険者が勝訴した場合など）にかかった防御費用等への保険 給付が認められないという点を批判され⁶⁰⁾，権利保護保険との組み合わせを 要請される。自動車事故のように，事故と同時に不法行為責任が発生する場 合には，損害事実と責任負担の時点が一致する⁶¹⁾。個人情報漏洩の場合も，

漏洩したことに過失があれば，賠償責任は発生しているので同様に考えられ る。とすると，損害事故説との違いは，権利保護給付を責任保険の本質と捉 えるか否かという理論的な点に帰着する。損害事故説は，責任負担説とは異 なり，結果的に被保険者の責任がないこととなった場合，請求がなく責任が 問題とならなかった場合にも保険事故ありとして権利保護給付を認め⁶²⁾，一 元的な説明が可能となる点簡明である。しかし，個人情報漏洩に関していえ ば，争訟等の費用をまかなう権利保護保険（費用保険）がついた商品が殆ど であり⁶³⁾，二つの説で大きな違いは生じない。損害額を算定できなければ保 険給付を行えず，相当因果関係を問題としなければならない点も損害事故説 と共通する。

以上をまとめると，請求説（請求事故方式）は個人情報漏洩に適用すると 複雑すぎる一方，損害事故説と責任負担説（責任負担方式）は，漏洩と相当 因果関係のある損害・責任は何かという議論が進展すれば，その機能を発揮

59) 大森忠夫・保険法218頁（有斐閣，1964）。

60) 田辺・前掲注54)52頁。

61) 山下ほか・前掲注47)401頁参照。

62) 田辺・前掲注54）49頁。なお，田辺教授は，田辺康平⽛責任保険における保 険事故 特に⽛権利保護機能⽜との関連においての考察 ⽜田辺康平著・保険 契約の基本構造240-242頁（1979）において，損害事故説をベースとして，権 利保護機能の限界を論じており，こと，被害者が誤信した請求や虚構による請 求をなした場合などは，責任保険としての事故発生とは何も関係のない言いが かりであるので，権利保護機能の限界を超えると指摘する。

63) 前掲注5)参照。なお，責任負担方式をとる東京海上日動，損保ジャパン日本 興亜のみならず，請求事故方式をとる AIU 社，三井住友海上も全て権利保護 給付を付す。

しうる^{64), 65)}。

なお，Yahoo ! BB 事件では⚓名のみが原告となり，認容額は6000円ずつ

（計18000円），TBC 事件は14名が原告となり，認容額はそれぞれ35000円で ある（計49万円）（いずれも遅延損害金等は除く）。現在係属中のベネッセ事 件は，かなり大規模ではあるが，前掲注 30)の情報を前提に全部の請求が認 容されたら⚕億9009万5000円程度となる。漏洩の危険も漏洩時の損害も多種 多様であるために，保険金・保険料とも一律には定められていないが，賠償 責任部分の最高限度額は10億円とされるものが多い⁶⁶⁾。楽観は慎むべきでは あるが，被害者全員が訴えを提起しないという前提に立つと⁶⁷⁾，責任保険部 分に関し，現在リリースされている保険商品で十分にカバーできている。し かし，先述の通り基本法改正の影響によって請求，訴訟や提訴人数が増加す る可能性があるので，注意が必要である。

⚔．まとめと課題

以上の検討により，次の点が明らかになった。まず，一次損害は総額を確 64) なお，前掲注5)の各商品は，故意による漏洩や法令違反，戦乱や災害，国外

の裁判所で提起された訴訟，株価変動や風評被害等を免責事由としている。

65) 相当因果関係につき判断をしている事例は，Yahoo ! BB 事件と TBC 事件の みである。もっとも，前者は弁護士費用についての判示である。後者の原審

（東京地裁平成19年⚒月⚘日判タ1262号270頁）では，原告が迷惑メール，ダイ レクトメール，いたずら電話，勧誘電話，訪問販売等の被害を被ったと主張し て賠償を求めていたが，うち，治療費及び休業損害，携帯電話の割引特典及び 解約手数料，パソコン代金，ルータ代金，電話工事費用，ADSL 初期費用及 び使用料等について，相当因果関係がないと判示されている。基本法違反の個 人情報漏洩についても参考にはなるが，事例の蓄積はまだ不充分である。

66) 東京海上日動・前掲注5)，三井住友海上・同参照。

67) なお，TBC 事件（⚓万7000件流出という報道を前提）において，全員の請 求が認容された場合の賠償額は理論上12億円以上，同様に Yahoo ! BB 事件

（451万件流出）において，全員の請求が認容された場合の賠償額は理論上248 億円以上だと試算されている（遠山・前掲注22)10-11頁参照）。基本法改正等 において訴訟が増加するかどうか，また，被害者のうち，どのぐらいの比率の 原告がいくら請求して訴えるかというデータの蓄積も欠かせない。

定しやすく，費用保険による填補が既になされている。しかし，全被害者に 支出する謝罪費用は極めて大きく，現行の保険金額では不充分な場合も生じ うる。一方，全容がつかめず拡大性質を持つ二次損害は，現行の保険商品で 十分カバーできるが，訴訟の増加可能性に注意が必要である。保険事故の問 題については，損害事故説に立つか，責任負担説に立って権利保護給付も加 える方法が妥当であると考えるが，いずれにせよ漏洩と相当因果関係にある 損害とは何かという点を今後明確にする必要がある。

筆者の現時点での能力と紙幅との関係で，本稿は⽛個人情報漏洩⽜と⽛保 険⽜の関係に関して，上記の通り，極めて初歩的・表面的な問題点の指摘を するに止まった。個別具体的場面において，保護されるべき個人情報とは何 かという問題⁶⁸⁾，実務的なさらなる調査，個人情報・保険分野の両面にわた る諸外国の法制度の検討等，本稿の積み残した課題は多い。技術の発達とと もに情報を漏洩させる手段も多様化していること，改正によってほぼ全ての 事業主に個人情報保護法が適用されうることからすると，企業は漏洩防止や 漏洩したときの処理をさらに真剣に考えねばならなくなる。今後さらに活発 な議論が必要な分野であると認識している。上記積み残した課題も含め，個 人情報漏洩のテーマにつき，今後とも様々な角度から意欲的に研究を進めた い。

（筆者は福岡工業大学社会環境学部助教)

68) 基本法制定の上記経緯からか，極めて広い範囲の⽛個人情報⽜が保護されて いるが，今後は保護する必要性の高いものと低いものという観点からの選り分 けも必要であろう。