─ 25─
情報漏えいと企業の民事責任
牛 丸 達 夫
はじめに
1.当事者構造と訴訟類型 11.関係する当事者 12.訴訟の類型
2.プライバシー権と個人情報 21.学説の状況
22.判例の状況
23.個人情報の特徴と早稲田大学名簿提供事件判決 3.検討対象の裁判例とその位置づけ
31.情報漏えいを引き起こした企業の責任が問題となった裁判例 32.各裁判例の位置づけ
4.企業責任の法的根拠
5.民法709条構成による責任追及 51.概説
52.過失概念との関係
53.情報漏えい防止義務の認定に当たり参照される規範 54.漏えいの態様(自発的 内部犯 外部犯)
55.技術上の特性
56.損害額の算定に影響を与える要素 56.漏えいした情報の内容と損害額 56.損害が発生していないと評価される問題 6.民法715条構成による責任追及
61.使用者責任適用に関する判例の態度 62.使用関係縦の競合に関する問題 63.不明確な契約の性質から生じる問題 64.個人情報保護法との関係
65.現代的当事者構造と使用者責任適用の限界 7.会社法350条構成による責任追及
8.おわりに
(参考資料)分析判例の一覧
は じ め に
個人情報を取り扱う企業からの情報流出が多発している。
東京商工リサーチが公表した2020年度の「上場企業の個人情報漏えい・
紛失事故」調査 によると,紛失事故を公表した会社数は88社にのぼり,
調査を開始した2012年以降最多となった。
同調査が指摘するように,機械的に膨大な情報を抜き取るサイバー犯罪 は,紙媒体が中心の「紛失・誤廃棄」などに比べ,事故1件あたりの情報 漏えい・紛失件数がケタ違いに大きく,漏えい時の被害もより深刻化する 傾向にある。
加えて,情報処理を外部企業にアウトソーシングすることが一般的であ ることも,責任の所在の不明確化を招いている。
製造委託以外の分野における情報処理関連の外部委託比率(2018年度)
は,65% であるが,データ処理・分析を含む IT 業務委託契約時に, イ ンシデント発生時の対応を記載している委託元の割合は半数に過ぎず, また,膨大なシステム開発業務を下請け業者らに任せている大手金融機関 では,こうした実態を全て把握しきれていないとされる。
─ 26─
東京商工リサーチ「「上場企業の個人情報漏えい・紛失事故」調査(2020年)」
(2021年1月)(https://www.tsr-net.co.jp/news/analysis/20210115_01.html(最 終アクセス(以下同):2021年2月10日))。
総務省「情報通信業基本調査結果2019年情報通信業基本調査(2018年度実 績)」(https://www.meti.go.jp/statistics/tyo/joho/result-2/r01/
2019kakugaiyo.pdf(2021年2月))。
IPA「IT サプライチェーンにおける情報セキュリティの責任範囲に関する調 査」(2019年4月)63頁(https://www.ipa.go.jp/files/000073412.pdf(2021年 2月10日))。
『読売新聞』2021年4月16日 朝刊1面。
情報漏えい事故は,情報が漏えいした被害者たる顧客を原告に対して,
被告となりうる相手方は,顧客が契約した企業のみならず,その企業が情 報処理を外部委託していた場合は,その委託先企業も責任の主体となりう るため,当事者関係が複雑化する。
本稿では,我が国における企業が被告とされた情報漏えい事件に関する 裁判例の分析を通して,民法709条, 民法715条,会社法350条に基づく各 責任に関して検討を加え,情報漏えいを起こした企業が負う法的問題を明 らかにする。
1.当事者構造と訴訟類型
11.関係する当事者
企業が直面する情報セキュリティ侵害の典型的な例は,顧客と直接契約 関係にある企業が情報漏えい事件を起こし,被害を被ったと主張する顧客
(被害者)が,その企業を訴えるというものである。
この場合, 関係する当事者として,(Ⅰ)直接的に侵害行為を行った者 と,(Ⅱ)企業が考えられる。
(Ⅰ)直接的に侵害行為を行った者はさらに,従業員など企業の[内部 者]と,ハッカーなど企業の[外部者]とに分けることができる。
(Ⅱ)企業についても,[顧客と直接契約関係にある企業]と,その企業 の[委託先や下請け企業(以下,この2つをまとめて「関連企業」という 場合がある。)および親会社]に分けることができる。
12.訴訟の類型
これらの関係を前提として,紛争が起こった場合における当事者の組み 合わせとして,()被害にあった顧客と企業との間における争いと,()
─ 27─
企業同士の争いとに大別することができる。
()被害にあった顧客と企業との間における争いの具体的場面として は,まず〈顧客と直接契約関係にある企業が,顧客(被害者)に対して負 う場合〉が考えられる。さらに,〈顧客と直接契約関係にある企業の親会 社が,被害者に対して負う場合〉も想定できる。仮に関連企業に業務委託 などがなされていた場合は,〈関連企業が,被害者に対して負う場合〉が 考えられる。
これらの場合における民事責任の法的根拠は以下のとおりである。
〈顧客と直接契約関係にある企業が,顧客(被害者)に対して負う責任〉
・不法行為責任(民法709条,710条)
・侵害行為を行った従業員および,関連企業の行為に基づく,使用者責任
(民法715条)
なお,代表者が侵害行為を行った場合については会社法350条
・債務不履行責任(民法415条)
〈関連企業が,被害者に対して負う責任〉
・不法行為責任(民法709条,710条)
・侵害行為を行った従業員の行為に基づく,使用者責任(民法715条)
なお,代表者が侵害行為を行った場合については会社法350条
〈顧客と直接契約関係にある企業の親会社が,被害者に対して負う責任〉
・侵害行為を行った子会社の行為に基づく,使用者責任(民法715条)
・子会社の法人格を否認する法理の適用によって親会社が負う,子会社の 責任
()次に,企業同士の争いの具体的場面としては,〈関連企業が,顧客 と直接契約関係にある企業に対して負う場合〉が想定される。顧客と直接 契約関係にある企業が,関連企業にシステムを発注したが,そのシステム
─ 28─
が不完全であったがゆえに,情報漏えいなどが発生し,顧客と直接契約関 係にある企業に損害が生じた場合に,関連企業に契約上の責任を追及する 場合がこれに当たる。また,関連企業の従業員による違法行為が情報漏え いの原因であれば,顧客と直接契約関係にある企業が不法行為責任を追及 する場合も考えられる。
これらの場合における民事責任の法的根拠は以下のとおりである。
〈関連企業が,顧客と直接契約関係にある企業に対して負う責任〉
・不法行為責任(民法709条)
・債務不履行責任(民法415条)
これらを図にまとめたものが以下である。
そのほかに,上述した企業が負う責任に関係して,以下の責任が問題と なりうるが,本稿では取り上げない。
〈侵害行為を行った者が,情報漏えいの被害者に対して負う責任〉
・不法行為責任(民法709条,710条)
〈顧客と直接契約関係にある企業の取締役が, 顧客(被害者)に対して負
─ 29─
う責任〉
・取締役の第三者に対する責任(会社法429条)
〈顧客と直接契約関係にある企業の取締役が,会社に対して負う責任〉
・取締役の任務懈怠に基づく責任追及のための株主代表訴訟(会社法423 条,847条)
これらを図にまとめたものが以下である。
2.プライバシー権と個人情報
後ほど取り上げる情報漏えいを引き起こした企業の責任が問題となった 判例を検討するにあたっては,これらの判例が,プライバシー権に関する 判例との関係でどのように位置づけられるかという点が重要になってくる ため,まずは,プライバシー権に関する判例・学説の状況について確認し ておきたい。
21.学説の状況
1890年に米国で「そっとしておいてもらう権利」として提唱されたプラ
─ 30─
イバシーの権利は当初,私生活に干渉されない権利としてとらえられた。
その後の判例理論の展開の中で,避妊などの私的生活領域における「自己 決定権」をも含めた権利として,より広義にとらえられるようになる。さ らに情報化社会にともない, より積極的に「自己に関する情報をコント ロールする権利」としてプライバシー権が把握されることになった。
我が国においても,人格権の1つとして「私事をみだりに公開されない 権利」を認めた「宴のあと」事件 以後,憲法上の権利として,主に「そっ としておいてもらう権利」としてのプライバシー権が認められてきた。
しかし,「宴のあと」事件で示された3要件 を前提とするプライバシー 権は,その人の行為内容や存在のあり方を対象とするものであり,氏名や 住所と言った単なる情報の保護を対象にするものではなかった。
その後の前科照会事件 以降,情報をコントロールする権利としてのプ ライバシー権が問題となる事件が現れた。いわゆる自己情報コントロール 権と呼ばれるこの権利は,情報化社会に伴う人権保護の要請から生まれた 新たな権利であり,プライバシーの権利における通説的地位を占めるよう になった。
この権利が提唱されるようになった時代背景には,個人情報が経済的価 値を有するようになり,個人情報を他者が無断で収集・管理・利用する事 例が増加したことが挙げられる。
─ 31─
東京地判昭和39年9月28日 判タ165号184頁 判時385号12頁。
小林孝輔・芹沢斉編『基本法コンメンタール[第5版]憲法』(日本評論社,
2006年)86頁。
()私生活上の事実または私生活上の事実らしく受け取られるおそれのある 事柄であること。
()一般人の感受性を基準にして当該私人の立場に立った場合,公開を欲し ないであろうと認められる事柄であること。
()一般の人々に未だ知られていない事柄であること。
最判昭和56年4月14日 民集35巻3号672頁。
この結果,従来の人格権を軸とした「そっとしておいてもらう権利」と しての伝統的なプライバシー権は,「自己情報コントロール権」として,
財産権的色彩を帯びた権利へと変質することになる。
もっとも,人格権を軸としながらも財産権的な側面を併せ持つ権利とい うのは新しいものではない。例えば,主として有名人が,自己の氏名や肖 像を広告宣伝やキャラクターの商品化などに用いて,その財産的価値を利 用する場合,パブリシティ権として法的な権利が認められる が,この権 利は,氏名や肖像といった人格権を基礎としつつも財産的・商業的な価値 を把握する財産権とが融合した権利として位置づけられる。
しかしながら,この通説に対して,民法学では批判が根強い。 用語が 曖昧であるがゆえに,コントロールの対象が漠然としているとの批判や,
憲法13条の人格権を起点とした権利であるにもかかわらず,財産的権利を 把握する性質として論じられることへの批判など,いささかの混乱状態に あるのが現状である。
そこで, プライバシーについて,「自分の情報を相手に預けるときに,
ある種の信託的な関係を取り結ぶ」という構成 や,「プライバシーは個人 の意思に基づいて結果を発生させる主観的権利としてではなく,……客観
─ 32─
有名な事例として,氏名・肖像をテレホンカードなどに無断使用したおニャ ン子クラブ事件(東京高判平成3年9月26日 判時1400号3頁 判タ772号246頁)
があり, 芸能人の氏名・肖像が持つ顧客吸引力は「独立した経済的利益ないし 価値」であり,「排他的に支配する財産的権利」であると判示している。
三浦正広「パブリシティの権利と『有名人』概念」青山社会科学紀要22巻1 号(1994年)19頁。
村上康二郎『現代情報社会におけるプライバシー・個人情報の保護』(日本評 論社,2017年)40頁。
臼井雅子「個人情報保護,プライバシー権および権利主体の行方に関する一 考察」中央学院大学法学論叢24巻1・2号(2011年)203頁。
山本理顕ほか「復興の原理としての法, そして建築」駒村圭吾=中島徹編
『3.11で考える 日本社会と国家の現在』(日本評論社,2012年)202頁。
的絆に似たものとして把握する」といった構成 が提案されている。
22.判例の状況
プライバシーの保護について示した判例法理は近時,以下の3つの潮流 に集約されつつある。
・類型1:公権力との関係で「私生活上の自由」を保護するもの
憲法13条を根拠とするもので,公権力の活動が制限される局面でのみ言 及される。 具体的な内容としては,「みだりにその容ぼう・姿態を撮影さ れない自由」,「みだりに指紋の押なつを強制されない自由」などがある。
・類型2:法益の比較衡量により「人格的利益」を保護するもの
プライバシーに属する事実(情報)」の私人による公表について,「人格 的利益」の保護が判断されたとみられるものであり,この類型の判例であ る長良川事件判決 が示した基準によれば,「事実を公表されない法的利益 とこれを公表する利益とを比較衡量し,前者が後者に優越する場合」に不 法行為が成立する。
・類型3:情報の管理に対する「合理的な期待」を保護するもの
自己情報コントロール権のような人格的権利ではなく,当事者間の信頼 関係に基づく「合理的な期待」を保護するものである。
この類型の判例である早稲田大学名簿提供事件 では,「学籍番号,氏
─ 33─
長谷部恭男『憲法の論理』(有斐閣,2017年)115頁。
斉藤邦史「信認義務としてのプライバシー保護」情報通信学会誌36巻2号
(2018年)129頁。
最判平成15年3月14日 民集57巻3号229頁。
最判平成15年9月12日 民集57巻8号973頁 判タ1134号98頁。
早稲田大学において,当時の中国の国家主席であった江沢民氏の講演会開催 に際し,大学が警備のために無断で参加者の名簿を警視庁に対して提供した行 為につき,原告らがプライバシーの侵害に基づく不法行為責任を追及した事案。
名,住所及び電話番号は,……個人識別等を行うための単純な情報であっ て,その限りにおいては,秘匿されるべき必要性が必ずしも高いものでは ない」とした上で,「上告人らに無断で本件個人情報を警察に開示した同 大学の行為は,上告人らが任意に提供したプライバシーに係る情報の適切 な管理についての合理的な期待を裏切るものであり,上告人らのプライバ シーを侵害するものとして不法行為を構成する」と判示した。
23.個人情報の特徴と早稲田大学名簿提供事件判決
近年問題とされる個人情報の漏えい事件において対象となる個人情報の 多くは,次のような特徴を有するといえる。
1.住所などのいわゆるプライバシー外延情報であること。
2.もっぱら自らが提供した情報であること。
早稲田大学名簿提供事件判決では,原告の請求を認めたものの,1 及び 2の性質を起因とした問題を指摘する反対意見がついていた。
プライバシー性の低さゆえに保護の対象となりうるのかという1の問題 については,プライバシー外延情報の性質が,個人の内面が他人の知りう るところとなり人格的自立が困難になるといったものではないために,類 型3の判例がでる以前の判例法理,すなわち,類型1や2に分類される判 例の基準からすると保護の程度は低いものとなる。したがって,原告の救 済を図るためには,問題となっているプライバシー外延情報を法的保護の
─ 34─
差戻し審(東京高判平成16年3月23日 判時1855号104頁)では精神的損害とし て一人5,000円の賠償を認めた。
日野辰哉「情報化社会における市民のプライバシー保護~労働者の私用メー ルに対する監視と不法行為責任を中心に~」人文社会論叢 社会科学篇19号
(2008年)87頁では,多数意見の判断は,本人同意手続の不存在→特別の支障の 有無→不法行為成立という過程を踏み,いわば 「自己情報コントロール方式」
という新たな判断枠組みを提示しているとする。
対象として取り込むための新たな理論構成が必要な状況であったというこ とがいえる。
早稲田大学名簿提供事件判決は私人間での信頼関係を基準に,「情報の 適切な管理についての合理的な期待を裏切る」行為を不法行為の原因とし て構成することで,内面の人格的自立の保護との関連性の度合いを基準と せず,プライバシー権の実態を単なる「第三者提供の本人同意」という手 続き問題としてとらえた。さらに,プライバシーに「属する」事実(情 報)という表現により,プライバシー外延情報を保護の対象に含めること を明らかにした。これらのことから,本判決は,上記1及び2に起因する 問題を克服するために構成された,「プライバシー侵害についての軽量な 新基準」 として位置づけられる。
3.検討対象の裁判例とその位置づけ
31.情報漏えいを引き起こした企業の責任が問題となった裁判例
LEX/DB において「個人情報 漏えい」をキーワードにして検索し,
ヒットした中から個人情報の漏えいに起因して企業が提訴された事件を網 羅的に抽出した以下の事件を中心に検討する。
これらの事件は,平成2年から令和1年の期間にわたっており,長期的 な視点で裁判例の変遷を評価する上で意義を有するものと思われる。
①東急コミュニティ事件
マンション販売業者(東急百貨店)がマンション購入申込書の記載を基
─ 35─
棟居快行「判批」長谷部恭男=石川健治=宍戸常寿編『憲法判例百選Ⅰ〔第 6版〕』(有斐閣,2013年)45頁。
同上。
東京地判平成2年8月29日 判タ751号161頁 判時1382号92頁。
に,購入者である原告の勤務先の名称及び電話番号を記載した購入者名簿 を,マンションの管理を委託することが予定されている会社(東急コミュ ニティ)に開示した行為が原告のプライバシーを侵害するとして,不法行 為に基づく損害賠償を請求した原告の請求が棄却された事例。勤務先の名 称及び電話番号がプライバシーとして保護されるか否かが争いとなった事 例として初めて公刊物に表れた裁判例である。
判決は,原告の勤務先の名称及び電話番号を開示したことはプライバ シーの侵害に当たるとの前提を示したが,プライバシーの開示も正当な理 由に基づくものであるときは違法性を欠くことになるとしたうえ,マン ションの購入者の勤務先の名称及び電話番号の開示を求めることは,マン ションの管理上必要な措置として合理的であること,東急コミュニティに 本件マンションの管理を委託することは全購入者が承諾していたことから,
東急百貨店が東急コミュニティに原告の勤務先の名称及び電話番号を開示 したことは違法でないとした。
②東洋信託事件
東洋信託が積水ハウスと共催したアパート経営勉強会の案内状を発送す る際に宛名ラベルを貼付した封筒の投函を積水ハウスに依頼した行為につ いて,原告が,東洋信託に対し,守秘義務違反を原因とする債務不履行及 び,プライバシーの侵害による不法行為に当たると主張し,かつ積水ハウ スの行為が不法行為に当たると主張し,損害賠償を請求したが棄却された 事例。預金者の預金内容にプライバシー性を肯定し,これに対応する銀行 の守秘義務を論じた初の裁判例である。
─ 36─
原審:東京地判平成3年3月28日 判タ766号232頁 金法1295号68頁 金判880号 31頁 判時1382号99頁。
控訴審:東京地判平成4年2月3日 金法1347号27頁。
判決は,①本件のアパート経営勉強会は被告らの共同事業として企画さ れ,その参加者もそれぞれ独自の基準で決め,東洋信託銀はその従業員に より宛名ラベルを封筒に貼付し,積水ハウスに投函だけを依頼したという 事実関係があるから,東洋信託が顧客情報を第三者である積水ハウスの事 業目的のために利用させたものとはいえない。②銀行は,職務上知り得た 顧客情報を正当な理由なく不特定多数人に公表し,第三者に漏えいした場 合には,債務不履行又は不法行為責任を負うと解されるところ,本件では 宛名ラベルの記載に関心を持たなかったという積水ハウスの封筒保管目的 を考慮すると,漏えいとみることはできないと判示した。
③ TBC 事件
エステティックサロンを経営している TBC が,インターネット上のウェ ブサイトを通じて原告らから提供された個人情報を,インターネット上に おいて第三者による閲覧が可能な状態に置いたところ,第三者がこれを閲 覧して個人情報を流出させたことにより,原告らがプライバシーを侵害さ れたとして提起した不法行為に基づく慰謝料等の請求が認容された事例。
判決は,個人情報がみだりに開示されないことへの期待は一定の限度で 保護されるべきものであって,一般に知られていない事柄でもある上,社 会一般の人々の感受性に照らし,他人に知られたくないと考えることは,
これまた自然のことであるから,これらの情報全体がプライバシーに係る 情報として法的保護の対象となるとして,本件情報のプライバシー該当性 を認めた。また,TBC の不法行為責任については,TBC と訴外Zとの間に は実質的指揮監督関係があるとして TBC の使用者責任を認め,損害につい ては,本件情報が氏名,住所等の基本的な識別情報のみの場合と比較して,
一般人の感受性を基準にしても秘匿されるべき必要性が高いことは否定で
─ 37─
東京地判平成19年2月8日 判時1964号113頁 判タ1262号270頁。
きないなどの事情を考慮し,1
人当たりの慰謝料として3万円を認めた。
④ Yahoo ! BB 事件
被告ヤフー及び BB テクノロジーが提供するインターネット接続等のサー ビスを受けていた原告らが,ヤフーの管理していた顧客情報が外部から不 正に取得されたことについて,被告らが個人情報の適切な管理を怠った過 失があり,これによって原告らの自己の情報をコントロールする権利が侵 害されたとして提起された共同不法行為に基づく損害賠償の請求が認容さ れた事例。インターネットを通じた個人情報流出を引き起こした企業に損 害賠償が認容された初の裁判例である。
判決は,まず,個人情報の管理一般について,不正取得当時の電気通信 事業における個人情報保護に関するガイドラインや,個人情報保護法20条 の規定を指摘し,ヤフーは個人情報の適切な管理のために必要な措置を講 ずべき注意義務を負っていたと述べた。
そして,ヤフーにおけるリモートアクセスの管理体制は,ユーザー名と パスワードによる認証以外に外部からのアクセスを規制する措置がとられ ていない上,肝心のユーザー名及びパスワードの管理が極めて不十分で あったとして,1
人あたり5,000円の賠償を認めた。
⑤ベネッセ事件(単独訴訟)
通信教育等を目的とする会社であるベネッセにおいて管理していた原告
─ 38─
地裁:大阪地判平18年5月19日 判時1948号122頁 判タ1230号227頁。
高裁:大阪高判平成19年6月21日(平18(ネ)1704号)。 地裁:神戸地判平27年12月2日 判タ1442号50頁 判時2351号11頁。
高裁:大阪高判平28年6月29日 判タ1442号48頁 判時2351号9頁。
最高裁:最判平29年10月23日 判時2351号7頁 判タ1442号46頁 NBL1109号25頁。
差戻し審:大阪高判令和1年11月20日。
の個人情報が過失によって外部に漏えいしたことにより精神的苦痛を被っ たと主張して,原告が不法行為に基づく慰謝料の支払を求めた事例。
1審は,被告の過失によるものであることを基礎付けるに足りる具体的 事情の主張立証がないとして,原告の請求を棄却した。
原審は,原告の個人情報が名簿業者に売却されて漏えいすると,通常人 の一般的な感覚に照らして,不快感のみならず,不安を抱くことがあるも のと認められるが,そのような不快感等を抱いただけでは,直ちに損害賠 償を求めることはできないとして原告の請求を棄却した。
これに対し上告審では,原審が,プライバシーの侵害による原告の精神 的損害の有無及びその程度等について十分に審理することなく,不快感等 を超える損害の発生についての主張,立証がされていないということのみ から直ちに請求を棄却すべきものとしたものであり,審理を尽くさなかっ た違法があるとして原判決を破棄差し戻した。
差戻し審で,ベネッセとシンフォームの共同不法行為及び,1,000円の賠 償を認めた。
⑥ベネッセ事件(集団訴訟)
上記単独訴訟と同様の前提事実の下,複数の原告によって訴えがなされ た事案。なお,複数の訴訟が継続しており,法律データベースに現れてい ないものがある可能性があるが,現在確認できている判決は以下のとおり である。
・高裁判決:
東京高判令和1年6月27日(平成29年(ネ)第1296号)―以下,集団訴 訟①という。
東京高判令和1年6月27日(平成30年(ネ)3597号)―以下,集団訴訟
─ 39─
東京高判令和1年6月27日(平29(ネ)1296号)。
②という。
東京高判令和2年3月25日(平成30年(ネ)3660号)(平成31年(ネ)
第1058号)―以下,集団訴訟③という。
・地裁判決:
千葉地判平成30年6月20日―以下,集団訴訟④という。
東京地判平成31年4月25日―以下,集団訴訟⑤という。
東京地判令和1年9月6日―以下,集団訴訟⑥という。
その他に,株主代表訴訟である広島高裁の高裁判決(令和1年10月18日)
がある。
32.各裁判例の位置づけ
東急コミュニティ事件や,東洋信託事件はともに,自発的な第三者提供 を行った事例であり,守秘義務違反がその問題の中心であった。
企業の情報漏えいという問題について,早くから論じられてきたテーマ は, 銀行の守秘義務と情報開示を巡る問題であり, 上記2つの事件もそ の流れで示された裁判例の一つである。
このような自発的な第三者提供については, 今日,個人情報保護法に よって適法な個人情報の利用方法であることが定められており,立法的に は一応解決が図られているといえる。
─ 40─
木下正俊「銀行の守秘義務と情報開示を巡る最近の動向」広島法科大学院論 集第6号(2010年)1頁。
その中心は,銀行間の信用照会に伴う問題や銀行に対する税務調査等に基づ く預金者情報等の開示請求といった相続問題であったが,最近では,従来から みられる預金取引履歴や預金者情報のほかに,貸出稟議書や自己査定資料等の いわゆる銀行の情報生産活動の成果物に争いの対象が移ってきている。
個人情報保護法23条は,あらかじめ本人の同意を得ないで,個人データを第 三者に提供してはならないと定めている(第三者提供の制限)。本件では,被告
代わって頻出するようになった問題が不正アクセスによる情報漏えいの 事案である。TBC 事件,Yahoo ! BB 事件,ベネッセ事件はいずれも,こ の問題が争われた事件である。
プライバシー概念の規範が早稲田大学名簿提供事件を前提としたものに 移行する過渡期の判例である TBC 事件のみ,争いの対象となっている情 報のプライバシー該当性について,「宴のあと」事件の3要件を用いるな ど,従前の判例の影響が残っている ものの,早稲田大学名簿提供事件判 決以降に出されたこれらの判決は全て,同判決で示された「個人情報につ いて,自己が欲しない他者にはみだりに開示されたくないと考えることは 自然なことである」との規範を引用している。
これらのことから,プライバシーの保護について示した判例法理との関 係では,プライバシーを比較衡量型の枠組みで判断する東急コミュニティ 事件及び,東洋信託事件は類型2に分類される判例であるが,その後の,
早稲田大学名簿提供事件判決を引用する TBC 事件,Yahoo ! BB 事件,ベ
─ 41─
がマンションの管理会社となることについて購入者の承諾を得ていたことから 同法上の違反には当たらない。また,そもそも,委託先への提供・個人データ の共同利用・事業承継による提供の場合は,これらの主体が個人データを提供 しようとする事業者と一体のものとして取り扱われる合理性があると考えられ ることから,第三者に該当しないとされており,結果的に個人データの提供に ついて本人の同意は不要である。(同条4項)被告らの利用方法は,これらの内
「共同利用」であると評価される可能性が高く,その場合,第三者提供にも当た らないとの帰結になろう。
この点について,「本件情報が個人識別等を行うための単純な情報に限られ ず,エステティックサロンを経営する被告に情報を提供したこと自体に秘匿性 を認め得るという点が影響していると考えることも可能である」とするもの
(判タ1264号299頁)や,「本件では,無断公開された個人情報がエステに関する 個人的な関心に係わっている点で私事たる性格が強いため,「宴のあと」事件の 要件を適用したものと解され,最高裁の定義を意識的に避けたわけではない」
といった評価(浦川道太郎「インターネット上の個人情報の流出とホームペー ジ開設者の使用者貴任」私法判例リマークス38号(2009年)66頁)がなされて いる。
ネッセ事件は,全て類型3に分類されるものであり,秘匿性の低い情報の 流出であってもプライバシーによる法的保護の対象であるとする裁判所の 態度は固まっていると言える。
前述のように,情報の処理を外部に委託する慣行が一般化した現代にお いて,Yahoo ! BB 事件,ベネッセ事件にみられる委託先からの情報流出 という要素は,今日の情報流出事件の特徴の一つと言える。
この中で,ベネッセ事件については複数の訴訟が提起されており,比較 を容易にするために整理しておきたい。
最終的に,単独訴訟,高裁判決である集団訴訟①,②,③では全て,ベ ネッセ及び委託先のシンフォームの共同不法行為責任が認められた。一方 で地裁判決では判断が分かれていた。集団訴訟①,②の地裁判決 及び,
集団訴訟④では原告の請求が棄却されているが,集団訴訟⑤,⑥の判決で は,請求が認められている。
そして,被告らの責任が認められた判決における争点及び判示内容は概 ね以下の通りである。
・委託先シンフォームの過失,ベネッセの過失
集団訴訟③地裁判決 を除き,委託先シンフォーム及びベネッセの予見 可能性は認めた。例えば,集団訴訟①では,以下の様に判示している。す なわち,
「本件漏えい以前から,一般的に,経済産業分野ガイドライン等の中で,
外部記憶媒体をパソコン等に接続する方法による情報漏えいのリスクが指 摘されていたが,本件漏えいは,B(筆者注:実行行為者)において,通
─ 42─
それぞれ,横浜地判平成29年2月16日(平27(ワ)3214),東京地判平成30年 6月20日(平26(ワ)31476号)。
東京地判平成30年12月27日(第1事件:平成27年(ワ)第2486号)(第2事 件:平成27年(ワ)第2767号)(第3事件:平成27年(ワ)第32497号)判タ1460 号209頁 金商判例1564号38頁。
常想定できないような特別な知識や技術を使用して行われたものでない」
「デバイスや OS は,バージョンアップにより高機能化していくものであ るから,それに応じて,接続されるデバイスを制御してデータの漏えいを 防いでいく必要があるところ,被控訴人らは,本件セキュリティソフトを 導入していたことに照らすと,このような必要性を具体的に認識していた と認めるのが相当である。」
「以上によれば,被控訴人ら(筆者注:委託先シンフォーム及びベネッ セ)には,MTP(筆者注:メディア転送プロトコル(Media Transfer Proto- col)の略称)対応の本件スマートフォンを使用した本件漏えいについて,
予見可能性があったというべきである」としている。
一方,集団訴訟③地裁判決においては,
「本件行為の前に MTP 通信を利用したスマートフォンへの情報書き出し の事例がないこと,本件当時前における同情報書き出しの危険性に関する 専門家の認識の状況,その危険性に関する指摘の公表及び行政機関その他 の団体の基準等の不存在の状況などを総合考慮すると,……本件当時にお いて,スマートフォンをパソコンの USB ポートに接続して個人情報を不 正に取得される可能性を予見する可能性があるといえても,MTP 対応の スマートフォンをパソコンの USB ポートに接続することにより MTP 通 信を利用して個人情報を不正に取得されることを予見する可能性があった とまでは認められない」と判示している。
・委託先シンフォームの,実行行為者に対する使用者責任
委託先シンフォームの,実行行為者に対する使用者責任については,集
─ 43─
PC と Android スマートフォンを繋いだ際, 追加のドライバなどのインス トールをすることなく,さまざまな種類のデータを容易に転送できるようにす る技術仕様。
団訴訟①,②,③,⑥では認められていない。
例えば,集団訴訟①では,以下の様に判示している。
「シンフォームは, 被控訴人(筆者注:ベネッセ)から委託を受けた業 務について,外部の会社に再委託し,同社の従業員であったB(筆者注:
実行行為者)が本件漏えいを行ったものであるところ,シンフォームとB の間には雇用関係はなく,Bがシステムエンジニアとしてシンフォームに 派遣され,シンフォームC事務所で被控訴人の情報システムの開発等の業 務に従事していたからといって直ちに,シンフォームとBの間に指揮監督 関係があったとはいえない。」
一方で,集団訴訟③地裁判決,集団訴訟⑤では使用者責任が認められた。
例えば,後者の判決では以下の様に判示している。
「被告シンフォームは, A(筆者注:実行行為者)から,業務上知り得 た個人情報及び機密情報を開示,漏えいしない旨記載された「個人情報の 取扱いに関する同意書」を受領しているほか,……Aに対し,業務に従事 する前に情報セキュリティ研修及びその内容を踏まえたテストを実施し,
その後も年1回情報セキュリティ研修を実施していたと認められるけれど も,これらの事実だけでは,被告シンフォームがAの選任及び事業の監督 について相当の注意をしたというには足りない。」
・ベネッセの責任について
ベネッセの責任について,集団訴訟①,②,③,⑥ではシンフォームと の共同不法行為責任を認めた。一方で,集団訴訟③地裁判決,集団訴訟⑤ では,責任なしと判断された。
親子会社の責任として考えられる組み合わせと併せて,これらを整理し たものが以下の図である。
─ 44─
このようにまとめてみると,ベネッセ事件における被告の責任は,違 法行為を行った従業員について,子会社の使用者責任を認め,親会社のベ ネッセには責任を認めなかったもの(集団訴訟③地裁,集団訴訟⑤)と,
使用者責任は認めずに,子会社と親会社の共同不法行為責任を認めるも の(集団訴訟①②③高裁,集団訴訟⑥)とに大別することができる。
4.企業責任の法的根拠
企業責任を追及する際の根拠は,不法行為責任と債務不履行責任とに大 別できる。不法行為責任はさらに,企業そのものを行為者としてとらえる 民法709条構成の他に, 代位責任として, 被用者が事業の執行について不 法行為を行った場合に会社が責任を負う民法715条構成及び,取締役の不 法行為について会社が責任を負う会社法350条構成が考えられる。(下図参 照)
─ 45─
上述した5つの事件では,債務不履行,民法709条,715条を根拠にして 争いがなされている。もっとも,債務不履行について争われた東洋信託事 件では,傍論で銀行に求められる守秘義務の一内容に,被告の行為が含ま れるかを示したに過ぎず,他の事件では主張すらなされてない。
今日ほど情報漏えいが問題とされていなかった90年代初頭の東急コミュ ニティ事件や東洋信託事件においては,あらかじめ個人情報保護の取り決 めがなされていなかったことが推察されるが,その他の事件が起きた2000 年後半以降の時期においては,各社なんらかのプライバシーポリシーや指 針,あるいは約款等に個人情報を適切に取り扱う旨を定めていたと思われ る。それにもかかわらず,いずれの事件においてもこれらの違反を根拠と した債務不履行ではなく,不法行為に基づいて責任追及がなされている点 は一つの特徴として指摘することができる。
訴訟において債務不履行責任が追及されない理由としては,1
.時効の 起算点や,関連会社といった顧客と直接契約関係にない相手方を訴えるこ とができないなど,不法行為責任構成の方が有利であると実務上考えられ ている,2
.約款等に記載されている個人情報を適切に取り扱う義務が,
─ 46─
立証責任に関して,債務者が自らに帰責事由がないことについて証明責任を 負う点をもって,債務不履行責任構成は不法行為責任構成に比して原告に有利 とされている。
しかし,例えば医療過誤訴訟の分野では,実務上,履行が不完全であるとい うためには,被告が履行すべき債務を原告が立証しなければならないとされて いる。このことは,過失の証明に等しく,立証はなんら軽減されていないこと から, 両構成における証明責任についてあまり差はないと言われている(張瑞 輝「医療過誤訴訟における過失の証明と認定―日中の比較法的考察に基づく
債務の本旨であるとの主張が認められないと原告側が判断したから,と いったものが考えられる。
企業自体の不法行為については,従業員の不法行為についての代位責任 として負う民法715条構成の他に,従業員個人の行為の違法性の程度が低 く,一人一人の落ち度はさしたる程度ではないと評価できる場合,つまり,
従業員個人の不法行為が成立するとまでは言えない一方で,企業そのもの を不法行為者としてとらえる民法709条構成が考えられる。どちらを根拠
─ 47─
中国法の新たな解釈論の展開―」法政論集252号(2013年)406頁,窪田充見
『不法行為法 民法を学ぶ(第2版)』(有斐閣,2018年)84頁)。
同様の議論は,使用者が従業員に対して負う安全配慮義務に違反した場合の 責任についても見られる。例えば,国の国家公務員に対する安全配慮義務の違 反が問題となった事案において,「原告が,右義務の内容を特定し,かつ,義務 違反に該当する事実を主張・立証する責任を負う」とした最高裁判例がある
(最判昭和56年2月16日 民集35巻1号56頁)。
契約上の義務については,当該義務の指向する利益から,主たる給付義務,
従たる給付義務,付随的義務に分けて理解されているところ,付随的義務は,
その違反があっても給付結果が実現される場合もあり,それが「給付結果の不 完全」(給付義務違反)と評価されてはじめて問題とされ独自では帰責根拠とは ならない点で給付義務と相違するとされる(長坂純「債務不履行による損害賠 償― 「民法(債権関係)の改正に関する中間試案」を受けて―」『法律論 叢 第八六巻 第二・三合併号』(2013)25頁)。
個人情報の漏えいを防ぐ義務については,個人情報の内容や個人情報を提供す ることによって受けようとしている契約内容によって評価が異なると思われる。
例えばエステティックを主たる給付義務とする契約において, 体の悩みに関 する情報を他に漏らさないことは,主たる給付義務ないしは付随的義務として の評価が可能であろうことから情報漏えいの発生を根拠に債務不履行の主張が 認められる余地はあるといえる。しかし,通信教育のサービスを主たる給付義 務とする契約において情報漏えいが発生した場合,「通信教育のサービスを適切 に享受できれば良く,情報漏えいについては気にしない」と考える利用者と,
「情報漏えいを起こさないことも,通信教育のサービスに付随する義務である」
として,結果的に通信教育サービスという主たる給付義務違反であると考える 利用者が存在することが考えられる。したがって,このことを念頭に置くと,
個人情報の漏えいを防ぐ義務を一概に債務の本旨であると主張するのは無理が あると考える。
とするかについては,不法行為の行為者を特定することが困難か否か,企 業活動そのものによって発生したものかといった要素によって分類される。
例えば,勧誘した行為者を特定することが可能な金融取引では,圧倒的多 数の裁判例が民法715条を根拠としており,企業活動そのものが不法行為 と考えられる公害については民法709条を根拠としている裁判例が多いと される。5
つの前掲判例の内,ベネッセ事件を除いた他の全ての事件で は, 漏えいの原因を直接引き起こした企業に対して,民法709条を根拠と した責任追及がなされている。
一方で民法715条を根拠とした判例は, その手段の目的から次のように 2つに分類することが出来る。
1.情報を持ち出した従業員に対する代位責任を追及する手段として用 いられたもの:ヤフー BB 事件,ベネッセ事件(集団訴訟)
2.情報漏えいを引き起こした関連企業に対する代位責任を追及する手 段として用いられたもの:TBC 事件,ベネッセ事件(集団訴訟)
これらをまとめると以下のことが指摘できる。まず,漏えいの原因を直 接引き起こした企業は基本的に民法709条構成によって責任が追及されて いる。これは(仮に従業員という内部犯に起因するものであったとしても)
漏えいを引き起こさないような体制を作っておくべきであった企業自体の 過失として認識さているからであろう。その上で,情報を持ち出した従業 員が具体的に特定できる場合は,民法715条による責任追及が合わせてな されている。そして,これらの実際に情報漏えいを起こした企業を被用者 として使用(委託や下請け)している立場にある企業は, 民法715条ない し民法709条を根拠に責任が追及されている。
─ 48─
藤村和夫『使用者責任の法理と実務 学説と判例の交錯』(三協法規出版,
2013年)232頁。
5.民法 7 0 9
条構成による責任追及51.概説
法人に対する責任追及の手段として,法が元々予定していた手段は「使 用者責任(民法715)」ないしは,「代表者の行為についての不法行為(会 社法350)」であったが,これらの構成による責任追及には以下の限界が指 摘されていた。
すなわち,民法715条・会社法350条の責任を追及する際には,被害者の 側で,被用者・代表者の過失を特定して主張立証しなければならず,被害 者に負担を強いること。また,民法715条・会社法350条を通じて事業主体 に対する責任追及を強化する場合,被用者・代表者の過失を厳しく認定し なければならず,その結果,事業主体と並んで被用者・代表者個人も,民 法709条による責任追及を受けることになる,といったものである。
その後,公害訴訟 や製造物訴訟 を中心に,「法人自体の不法行為 構成」が現れ,この構成に対して反対する有力学説 やいくつかの裁判 例 はあるものの,多数の学説によって支持された。
─ 49─
神田孝夫『不法行為責任の研究』(一粒社,1988年)4頁,18頁。
水俣病:熊本地判昭和54年3月28日 判時927号15頁,大気汚染(川崎製鉄): 千葉地判昭和63年11月17日 判時平成元年8月5日号161頁など。
薬害スモン事件:東京地判昭和53年8月3日 判時899号48頁など。
平井宜雄『債権各論Ⅱ』(弘文堂,1992年)29頁,227頁。
クロロキン薬害事件:東京地判昭和57年2月1日 判時1044号19頁,東京地判 昭和62年5月18日 判時1231号3頁,東京高判昭和63年3月11日 判時1271号3 頁。
信楽高原鉄道事件:大阪地判平成11年3月29日 判時1688号3頁。
加藤一郎「企業責任の法理」ジュリスト578号(1975年)45頁,神田孝夫「『企 業ないし組織体の不法行為』の法理」山田卓生編集代表『新・現代損害賠償法 講座4』(日本評論社,1997年)31頁,田上富信『使用関係における責任規範の 構造』(有斐閣,2006年)382頁など。
これらの学説は,根拠の一つとして以下を指摘する。すなわち,事業上 の意思決定には取締役だけでなく多数の補助者も関与する以上,企業活動 による加害が生じた場合であっても,それを特定の被用者や取締役の過失 に帰することが難しい状況がありうるが,このような場合にも民法709条 構成をとれば法人の責任を追及することが可能となる,というものである。
そして,この場合を具体的に分析したものによると,以下の2場面が挙 げられている。
①下位者からの情報・意思伝達の仕組みが予定どおりに機能せず,必要な 情報・分析が取締役のもとに集約されず,取締役が不相当に危険な操業 を決定したことをもって,取締役の過失といいがたい場面。
②操業過程において予定外の事故が発生するなどの,その原因となった被 用者の過誤行為を過失といいがたい場面(鉄道事故,製造物の製造上の 欠陥,医療事故,労働災害など)。
これらの方向性は前者について会社法350条を拡張するもの,後者につ いては,民法715条を拡張するものとして特徴づけられる。
52.過失概念との関係
各事件における裁判では不法行為を根拠として争われていることから,
まず過失概念の変遷を確認しておきたい。
不法行為の要件の一つである過失について,今日の不法行為が極めて高 度な企業活動をも含んでいることを考えると,内心の心理状態を問題とす る主観的過失概念で対応することは困難であり,客観的過失概念が適合的
─ 50─
橋本佳幸「日本民法における法人の不法行為責任」京都大学・国立台湾大学 第2回共催シンポジウム(法学分科会)(2014年)6頁。
同上。
であるとされる。
すなわち,「損害の発生が予見可能であり, それを回避すべき行為義務 があったにもかかわらずそれを怠った」ことと,定義される。もっとも,
予見可能性や行為義務の概念をめぐっては,どちらを重視するかで説の対 立がある一方で, 両説の実質的な差は大きくないとの見解も示されてい る。
そこで最近では,両者を結合して例えば,過失とは「その終局において,
結果回避義務の違反を言うのであり,かつ具体的状況のもとにおいて,適 正な回避義務を期待しうる前提として,予見義務に裏付けられた予見可能 性の存在を必要としうるもの」である,とされる。
この考えに立つと,予見義務及び結果回避義務の内容が問題となるが,
予見義務については,先にも述べたように,今日の企業活動において何ら かの損害が予見可能だからといって当然に回避できるわけではなく,ある 程度の損害が生ずることは避けられないことが多い(例えば今日の IT 社 会において,PC をインターネットに接続した以上,外部から攻撃を受け たり,内部の者が情報を持ち出したりする可能性が少なくとも存在するこ とから,このような事態が発生することは,経験則上容易に予見可能であ ると評価されるであろう)ことから,結果回避義務の内容がその議論の中 心となる。
以下,各事件において結果回避義務と過失について,いかなる要素に基 づいて判断されたのかを中心に分析を行いたい。
53.情報漏えい防止義務の認定に当たり参照される規範
これまでに挙げた各裁判例は,情報漏えい防止義務の認定に際して,以
─ 51─
内田貴『民法Ⅱ債権各論』(東京大学出版会,2001年)316頁。
東京地判昭和53年8月3日 判時899号48頁。
下の公的規範を根拠に判断を行った。
・Yahoo ! BB 事件
被告 BB テクノロジーの責任について,個人情報保護に関しては,
「個人情報保護法」
「電気通信事業における個人情報保護に関するガイドライン」
リモートアクセスの危険性に関しては,
「JIS 規格」
「コンピュータ不正アクセス対策基準」
・TBC 事件
訴外ネオナジーに対する不法行為の成否に関する説示ではあるが,
安全対策を講ずる法的義務の根拠として,
「OECD のガイドライン」
「電子計算機処理に係る個人情報保護に関するガイドライン」
・ベネッセ事件(集団訴訟)
被告シンフォームに対する情報漏えいの予見可能性の判断に,
「情報システム安全対策基準」
「組織における内部不正防止ガイドライン」
「データセンターセキュリティガイドブック」
「個人情報保護マネジメントシステム―要求事項(JIS Q 15001:2006)」
「JIS Q 15001:2006をベースとした個人情報保護マネジメントシステ ム実施のためのガイドライン」
被告ベネッセが負う委託先に対する適切な監督をすべき注意義務の 判断に,
「個人情報保護法」
過失の認定に際しては予見可能性の有無が問題となるが,専門性が高い
─ 52─
分野における訴訟では,この判断を行うに際して,事件当時における技術 水準の確定が必要となる。ガイドラインは,その当時における技術水準を 反映するものであり,注意義務を導く際の重要な指針となっている。また,
企業に対して,取引や行動の結果についての計算可能性を与えることで,
情報漏えい事件の被告となることを回避するための役割を果たしている。
こうした各種ガイドラインは,自主規制であったり民間に対する注意喚 起の呼びかけであったりするにすぎず,民事上の注意義務を直接構成する ものでない。TBC 事件の第一審判決でも,これらのガイドラインは「直 ちに不法行為における注意義務を構成するものではない」との前置きがな されているところである。
しかし同時にこれらは,少なからず公的性質を有するもの,あるいはそ れに近い性質のものでもある。個人情報保護法も公法上の業規制にすぎず,
直接的には民事上の注意義務を構成するものではないが,その利益を侵害 した行為は不法行為法上の違法性があると評価される。
例えば,TBC 事件の第一審判決では,「(ガイドライン)で要請されてい る個人情報保護の必要性にかんがみると,……個人情報を取り扱う企業に 対しては,その事業内容等に応じて,個人情報保護のために安全対策を講 ずる法的義務が課せられていた」と指摘している。
ただし,ガイドラインはあくまで守るべき最低ラインを定めるもので あって,遵守すれば,過失が免れるものではないという点には注意が必要 であろう。Yahoo ! BB 事件高裁判決では,事件当時,同業他社における コールバック機能の採用率が低かったために,これを採用しなったことに つき過失はないとする被告側の主張について,裁判所は採用しなかった正
─ 53─
宇賀克也『個人情報保護の理論と実務』(有斐閣,2009年)61頁。
遠藤浩『基本法コンメンタール[第4版]債権各論Ⅱ』(日本評論社,2002 年)42頁。
当化理由にはならないとして認めなかった。
54.漏えいの態様(自発的 内部犯 外部犯)
原告と直接契約関係にある企業に着目すると,情報漏えいの態様には次 の3つの場合が考えられる。なおカッコ内はその類型に当てはまる判例で ある。
A. 自発的に関連企業へ情報を流す場合(東急コミュニティ事件,東洋 信託事件)
B. 企業の内部の者が違法に外部に流す場合(Yahoo ! BB 事件,ベネッ セ事件)
C. 外部の者からの不正アクセスによって情報が流れる場合(TBC 事 件)
類型Aの事件に関して,東急コミュニティ事件及び,東洋信託事件では ともに原告の請求は棄却されているが,それぞれの事件の判断枠組みは若 干異なっている。前者の事件では, 被告の開示行為について,プライバ シーの「公表」であり,侵害行為に当たるとしつつも,正当な理由に基づ く違法性阻却の場合に当たるとしたが,後者の事件では,そもそも漏えい した情報が法的保護の対象ではないと判断された。もっとも,仮に保護の 対象であるとしても,被告の態様からして違法ではないとも示されており,
前者の事件同様,最終的には違法性が阻却されるとする価値判断では共通 している。
このように企業が自発的に関連企業に対して情報を流す場合,形式的に はプライバシーの侵害に当たると判断される可能性があるものの違法性が 阻却されることになる。これは情報を流す目的が事務的な必要性から来る ものであり,あくまでも情報を提供した顧客の利益のためであるという側
─ 54─
面が強いからであろう。
では次に類型Bと類型Cすなわち違法な行為が内部者を起因とするもの か,外部者を起因とするものかによる違いは企業責任の判断にどのような 影響を及ぼすか。特に外部者による不正アクセスで情報が漏えいする類型 Cの場合,不正アクセスを受けた企業もまた被害者としての側面もあるこ とは否定できない。
これらの類型ではともに,ガイドラインなどを参照にして,不正アクセ スに対する予見可能性と講じられていた対策の妥当性が判断されることに なるが,一般論としては,内部者による不正アクセスの方が,採るべき対 策の想定が容易であるのに対して,外部者による不正アクセス対策は,相 対的にその対策が困難である。このことは,顧客が契約した企業が他社に 情報を委託している場合において若干の違いを生み出す。
類型Bの事例であるベネッセ事件と,類型Cの事例である TBC 事件を 比較すると,委託先企業の不法行為判断には類型の違いによる影響は見ら れない。しかし,委託元企業に対する過失の認定について,TBC 事件では 使用者責任のみを認め,被告 TBC 自体を共同不法行為者としては認定し ていない。
これに対して,ベネッセ事件(集団訴訟①)判決では,被告ベネッセの 過失について,被告シンフォームの監督にかかる注意義務違反を認め, 被告らの共同不法行為責任を認めている。
ベネッセにとって,委託先においてセキュリティソフトがアップデート
─ 55─
個人情報保護法が定める委託先に対する監督義務は,当時の経済産業分野ガ イドライン(経済産業省42頁において,適切な委託先の選定,委託契約の 締結,委託先における個人データの取扱状況の把握の3つが挙げられており,
本件では,の取扱状況の把握に関する義務違反に反した「過失」に当たると 思われる。なお,現在の通則ガイドライン(個人情報保護委員会)(43頁)でも 内容は同じ。
されていなかったという基本的な対策は,上記義務に伴う監査で把握すべ きであった点であるとは言えるものの,判決では,MTP 機能を利用した スマートフォンへの情報の書き出しが無効になっているか否かという細か い安全管理措置の実施状況の把握までを義務としている。さらに,裁判所 も認めているように,被告らは,当時のガイドライン等に明確に規定され ていた注意義務に違反したわけではなく,類推的に違反が認められたもの である点や,再々委託先の従業員の行為という,委託元と距離のある関係 性である点を併せて考えると,委託元にはかなり高度な監督レベルを求め るものである。
この違いは,後で検討を加えるように,委託元企業と委託先企業との間 の指揮監督関係を認めることに対する一定の限界に起因するものであると 考えることもできるが,それに加えて,実行行為者が内部者か外部者かと いう違いが,委託元の責任の軽重に影響を及ぼした可能性も否定できない。
換言すると内部行為者に由来する事案の場合,委託元企業にはより高い基 準の不正アクセス対策が求められるとみるのが妥当であろう。
55.技術上の特性
漏えいに際して問題となった技術上の特性は責任の判断に当たって,ど のような影響を与えるか。
例えば,Yahoo ! BB 事件判決では BB テクノロジーがとるべきであっ た対策としてコールバック機能 やアカウントの変更が挙げられている。
アカウントの適切な管理というのは情報システムの基本であるにも関わら
─ 56─
セキュリティ機能の一種。サーバーがクライアントから呼び出されて接続が 確立した後,クライアントとの接続を一度切り,改めてクライアントを呼び戻 す機能。仮に, 不正に ID とパスワードが入手されサーバーとの接続に成功し ても,登録済みのクライアントでなければ呼び戻せないため,不正アクセス対 策として機能する。
ず,これが守られていなかった以上この判断については妥当であると評価 できる。一方で,コールバック機能について他社の採用割合が決して高く ない機能であったとしても,被告が実施するべき対策の一つとして挙げて いる。他社での採用率が低い対策を求めることは,換言すると,より高い レベルの対策を求めることになるが,本件でこの判断がなされた要因の一 つとしてリモートアクセスを利用してサーバーへアクセスを行っていた点 が挙げられる。 判決でも, これ自体,「当該サーバーに対する外部からの 不正アクセスの危険を高めるものである」……「リモートアクセスを可能 にするに当たっては,不正アクセスを防止するための相当な措置を講ずべ き注意義務を負っていた」と言及されているように,危険性の高い手段を 用いている場合は一般的に採られている対策よりもさらに高度な対策が求 められることを示している。
同様の判示はベネッセ事件(集団訴訟①)地裁判決でも見られる。すな わち, 判決では,MTP 対応スマートフォンによる情報漏えいの危険性に つき,ガイドライン等に記載がなかったことや同様の措置を採っている会 社が少なかったとしても,被告シンフォームの予見可能性は否定されない と判断している。
このように,一般的に採られている対策というものが責任回避のために 採るべき最善の対策とは必ずしも言えないということを判例は示している が,こうした裁判所の判断が,必ずしも企業側に過度な対応を求めるもの であるとは言い切れない。 上述したように,Yahoo ! BB 事件では不正ア クセスの危険性が増加するリモートアクセスを利用していたという事情が あったし,ベネッセ事件においても,被告らによる MTP 対応スマートフォ ンによる情報漏えいの危険性の予見可能性を認める根拠として,ガイドラ インにおいて,外部記録媒体をパソコン等に接続する方法による情報漏え いのリスクが指摘されていることを挙げている。情報を取り扱う企業とし
─ 57─
