報道等をもとに日本の裁判官の情報を収集、掲載しています。

PDF

平成29(ネ)2612  損害賠償請求控訴事件
令和元年11月20日  大阪高等裁判所  神戸地方裁判所  姫路支部
主文
1原判決を次のとおり変更する。
被控訴人は,控訴人に対し,1000円及びこれに対する平成26
年11月28日から支払済みまで年5分の割合による金員を支払え。
控訴人のその余の請求を棄却する。
2訴訟費用は,差戻し前一審,差戻し前控訴審,上告審(上告提起事件
を除く。)及び差戻し後の控訴審(当審)を通じ,これを100分し,
その1を被控訴人の負担とし,その余を控訴人の負担とする。

事実及び理由
第1控訴の趣旨
1原判決を取り消す。
2被控訴人は,控訴人に対し,10万円及びこれに対する平成26年11月2
8日から支払済みまで年5分の割合による金員を支払え。
第2事案の概要
1事案の骨子及び訴訟経緯
事案の骨子
本件は,控訴人が,被控訴人において管理をしていた控訴人の個人情報を
含む顧客らの個人情報を,被控訴人から委託を受けて個人情報を分析するシ
ステム(以下「本件システム」という。)の開発をしていた株式会社Aの委
託先の従業員であるBが外部に漏えいさせたことから,精神的苦痛を被った
と主張して,被控訴人に対し,選択的に,被控訴人には,控訴人の個人情
報の管理に注意義務違反があったとして被控訴人の不法行為(民法709条)
また,被控訴人には,株式会社A(株式会社Aには,株式会
社A自体に個人情報の管理に注意義務違反があった(民法709条),ある
いはBによる漏えい行為が株式会社Aの事業の執行につきなされたとして
その使用者責任があった(民法715条1項本文)。)の選任監督に係る注
意義務違反があったとして株式会社Aとの共同不法
行為(民法719条1項前段)に基づき,さらに,株式会社Aは被控訴人
の被用者であり,株式会社Aの上記の不法行為は被控訴人の事業の
執行につきなされたとして,使用者責任に基づき(民法715条1項本文),
慰謝料10万円及び不法行為後の日である平成26年11月28日(訴状送
達日の翌日)から支払済みまで民法所定の年5分の割合による遅延損害金の
支払を求めた事案である。
訴訟の経緯
ア本件の差戻し前の1審
号)は,被控訴人の管理する控訴人の氏名が漏えいしたことのみを争い
のない事実として認定した上で,これが被控訴人の過失によるものであ
ることを基礎付けるに足りる具体的事情の主張立証がないとして,控訴
人の請求を棄却した。
イこれに対し,控訴人が控訴したところ,差戻し前の控訴審(大阪高等裁
は,被控訴人の管理する控訴人の子であるC
の氏名,性別,生年月日,郵便番号,住所,電話番号,保護者名(控訴人
の氏名)が漏えいしたことを認定した上で,これをもって,控訴人の氏名
・郵便番号,住所,電話番号及びその家族である者の氏名,性別,生年月
日という控訴人自身の個人情報が漏えいしたものということができるとし
たうえで,上記の控訴人の個人情報の漏えいは,通常人の一般的な感覚に
照らして,不快感のみならず,不安を抱くことがあるものであると認めな
がら,そのような不快感等を抱いただけでは,これを被侵害利益として,
直ちに損害賠償を求めることはできないものと解されるとして,上記の不
快感等を超える損害を被ったことについての主張立証がないことを理由に
控訴を棄却した。
ウ控訴人が,これに対して上告受理を申し立てたところ,最高裁は,これ
を受理した上,本件の事実関係の下では,本件漏えいによって控訴人はそ
のプライバシーを侵害されたといえるところ,原審は,上記のプライバシ
ーの侵害による控訴人の精神的損害の有無及びその程度等について十分に
審理することなく,不快感等を超える損害の発生についての主張立証がさ
れていないということのみから直ちに控訴人の請求を棄却すべきものとし
たものであり,そのような原審の判断には,不法行為における損害に関す
る法令の解釈適用を誤った結果,上記の点について審理を尽くさなかった
違法があるとして,原判決を破棄し,被控訴人の過失の有無並びに控訴人
の精神的損害の有無及びその程度等について更に審理させるために本件を
当審に差し戻した。
2前提事実(当事者間に争いのない事実並びに掲記の証拠及び弁論の全趣旨に
より容易に認定できる事実)
当事者
ア控訴人は,被控訴人の講座を受講したことがある未成年者・Cの保護者
(父親)である。
イ被控訴人は,通信教育,模擬試験の実施や雑誌の発行・通販事業を行う
株式会社であり,通信教育講座「進研ゼミ」や「こどもちゃれんじ」など
を展開し,その顧客の個人情報(個人情報保護法2条1項1号)として,
子供の氏名,性別,生年月日,住所,電話番号,保護者名などを,個人情
報データベース(同法2条4項)として事業の用に供している個人情報取
扱事業者(同法2条5項)である。
ウ控訴人は,Cが被控訴人の講座を受講するに際し,本件個人情報を含む
Cの個人情報を被控訴人に提供し,被控訴人は,これらの個人情報を事業
活動に使用する目的で管理していた。(弁論の全趣旨)
エ株式会社Aは,被控訴人のいわゆるグループ会社(平成26年6月当時
は被控訴人のいわゆる100%子会社)で,被控訴人から委託を受けてシ
ステム開発及び運用を行っている株式会社である。
オ被控訴人は,従前,主に,顧客管理のシステム及び販売管理のシステム
に大別される複数のデータベースに顧客情報を集積して事業活動に活用し
ていたが,事業の拡大に伴い,顧客情報が集積されているデータベースが
大量になったため,平成24年4月頃,そのリスク管理や上記の個人情報
データベースを基にそれを統合して分析に用いるためのシステム(本件シ
ステム)を開発することとして,本件システム開発等の業務を株式会社A
に委託した。
カBは,同年1月に株式会社Aの業務委託先の会社の従業員(システムエ
ンジニア)となり,同年4月頃から,同社従業員として,株式会社A東京
支社多摩事業所(以下「株式会社A多摩事業所」という。)において,被
控訴人の情報システムの開発等の業務に従事し,業務遂行の必要から,控
訴人の本件個人情報を含む被控訴人の受講者の個人情報の集まり及び開発
中の本件システムのデータベース(以下,これらを併せて「本件データベ
ース」という。)が記録された被控訴人のサーバコンピュータ(以下「本
件サーバ」という。)に株式会社Aから貸与された業務用パーソナルコン
ピュータ(以下「業務用PC」という。)からアクセスするためのID及
びパスワード等(業務用アカウント等)を付与されていた。
本件漏えい
アBは,平成26年6月17日及び同月27日に,株式会社A多摩事業所
内の執務室において,2度にわたり,業務用PCを操作して,被控訴人
が管理する顧客情報が記録された本件サーバにアクセスし,合計約29
89万件の受講者の個人情報のデータをダウンロードして業務用PCに
保存した上,これとUSBケーブルで接続した自己のスマートフォン
(平成24年12月頃に発売されたモデルで,OSは同年6月27日に
リリースされた「Android4.1」を搭載しており(甲20),
MTP(MediaTransferProtocolの略。パー
ソナルコンピュータとスマートフォンなどの外部機器を接続する際の規
格(甲9))に対応している。以下「本件スマートフォン」という。)
の内臓メモリ又はマイクロSDカードにこれを記録させて複製する方法
により,上記顧客情報を領得した上,名簿業者に送信して売却した(以
下「本件漏えい」という。)。(甲17,68,87)
イBが漏えいした顧客情報のうちには,控訴人の子であるCの氏名,性別,
生年月日,郵便番号,住所,電話番号,保護者名(控訴人の氏名)及び控
訴人とCとの続柄(以下では,C及び控訴人の個人情報を併せて「本件個
人情報」という。)が含まれていた。(甲1,2)
ウ本件漏えいの発覚等
被控訴人は,同年6月下旬頃,顧客から,被控訴人に登録した個人情報
が漏えいしているのではないかとの問い合わせが急増したことから,調
査を行い,Bが本件漏えいをしたことを特定し,直ちに同年7月9日,
被控訴人の持株会社である株式会社ベネッセホールディングス(以下
「ベネッセホールディングス」という。)のD(役職名省略)が記者会
見し,本件漏えい事故を公表し,その原因を徹底的に明らかにすると共
に,被控訴人の顧客からの信用回復のため,事故調査報告書をまとめさ
せ,考え得る再発防止策を提言することを言明した。(甲1,2)
被控訴人による事後措置
ア被控訴人は,平成26年7月10日,経済産業大臣から,個人情報保護
法32条に基づく報告を命じられた。(甲3)
イ被控訴人は,同月11日以降,お詫びと本件漏えいの対策状況を新聞広
告によって公表した。
ウ被控訴人は,同月14日以降,漏えいの確認された顧客らにお詫びの文
書を送付し,その後,漏えいの確認された顧客らの選択に従って,当該顧
客らに対してお詫びの品として500円分の金券(電子マネーギフト又は
全国共通図書カード)を送付する方法又は漏えい1件当たり500円を
「財団法人ベネッセこども基金」(被控訴人が本件漏えいを受けて子らへ
の支援等を目的として設立した基金)に寄付する方法による補償を実施し
た(甲18の3)。控訴人(C)は,上記500円の金券を得る方法を選
択しなかった(甲4)。
エD(役職名省略)は,同月15日,その諮問機関として,本件漏えいに
関する事実及び原因等の調査並びに再発防止策の提言を目的として,個人
情報漏えい事故調査委員会(以下「本件調査委員会」という。)を設置し
た(乙3の2)。
本件調査委員会は,事故調査報告書を取りまとめ,同年9月12日に
ベネッセホールディングスに提出し,被控訴人は,同月17日,最終報
告書を経済産業省に報告するとともに,同月25日,本件調査委員会に
よる調査報告の概要を公表した(甲6)。
上記事故調査報告書には,「第2章調査結果」の「敬埓宜坩拇の
原因(不正行為を防げなかったシステムの問題点)」において,「1.
不正行為等の原因となった情報処理システム」として,アラートシス
テム,クライアントPC上のデータのスマートフォンへの書出し制御
設定,アクセス権限の管理,データベース内の情報管理が指摘され,
次のとおりの記載がされている(甲6)。
アラートシステム
クライアントPCとサーバとの間の通信量が一定の閾値を超えた場合,
データベースの管理者である株式会社Aの各担当部門の部長に対して,
メールでアラートが送信される仕組みが採用されていたが,そのアラー
トシステムの対象範囲が明確に定められていなかったことなどから,B
による不正行為が行われた当時,クライアントPCと本件データベース
との通信を上記アラートシステムの対象として設定する措置が講じられ
ていなかった。
クライアントPC上のデータのスマートフォンへの書出し制御設定
株式会社Aでは,クライアントPCを含む社内PC内のデータを外部
メディアに書き出すことを禁止し,同行為を制御するシステムが採用さ
れていたが,当該システムをバージョンアップさせる際に,特定の新機
種のスマートフォンを含む一部の外部メディアへの書出しについて,書
出し制御機能が機能しない状態が生じていた。
アクセス権限の管理
株式会社Aにおいては,付与済みのアクセス権限の見直しが定期的に
行われていない状況が多く見受けられた。
データベース内の情報管理
株式会社Aは,本件データベース内の個人情報をより細分化又は階層
化しグルーピングした上で,異なるアクセス権限を設定する等の対策ま
では講じていなかった。また,本件データベースは,主としてマーケテ
ィング分析のために使用されていたが,その目的に照らして,必要にし
て十分な程度までの個人情報の抽象化及び属性化は行われていなかった。
3争点及びこれに関する当事者の主張
控訴人は,本件訴訟において,選択的に,被控訴人の不法行為に基づく損害
賠償請求(民法709条),被控訴人と株式会社Aとの間の共同不法行為に基
づく損害賠償請求(民法719条),被控訴人の株式会社Aを被用者とする使
用者責任に基づく損害賠償請求(民法715条。株式会社Aの不法行為責任な
いしBを被用者とする使用者責任を前提とする。)を理由として,被控訴人に
対して損害賠償を請求している。
(民法719条1項,同法715条に基づく各請求)
本件漏えいについて株式会社Aの過失の有無
【控訴人の主張】
アBによる本件漏えいは,外部と繋がるインターネット環境を利用し,被
控訴人の情報セキュリティを掻い潜って個人情報を盗み出したという態
様のものではなく,もともと被控訴人から大量の個人情報についてアク
セス権限を与えられていた者が,監視のない中で,自由に持ち込んだ個
人所有のスマートフォンを,USBケーブルを使用して株式会社Aが管
理する業務用PCと繋げ,被控訴人が管理する個人情報をダウンロード
したうえ,アラートシステムが対応しない状況下で盗み出したという単
純な手法により実行されたものであり,株式会社A及び被控訴人の過失
は明らかである。
イ本件漏えいの予見可能性
以下の各基準等からすれば,本件漏えいの当時,外部記録媒体へ個人
情報を保存する方法による情報漏えいのリスクや,それを防止するため
の対策の必要性,その対策として外部記録媒体の持込み自体を禁止する
などの方法の存在が,個人情報を取り扱う事業者において広く認識され
ている状況にあった。
ゝ貭名産業省(現経済産業省)「情報システム安全対策基準」
(平成9年。以下「安全対策基準」という。甲16)は,情報シス
テムの利用者が実施する対策項目を列挙し,「情報システムの運用
に関連する各室の搬出入物は必要なものに限定すること」「搬出入
物は,内容を確認し,記録をとること」と記載されていた。
日本工業標準調査会「個人情報保護マネジメントシステム−要求事
項(JISQ15001:2006)」(平成18年。以下「J
ISQ15001」という。)及び旧財団法人日本情報処理開発協会
(現一般財団法人日本情報経済社会推進協会)プライバシーマーク推
進センター「JISQ15001:2006をベースとした個人
情報保護マネジメントシステム実施のためのガイドライン第2版」
(平成22年8月25日。以下「マネジメントシステム実施ガイドラ
イン」という。甲21)においては,「事業者は,その取り扱う個人
情報のリスクに応じて,漏えい,滅失又はき損の防止その他の個人情
報の安全管理のために必要かつ適切な措置を講じなければならない。」
と規定し,その対策として,個人情報の取得・入力及び利用・加工の
各場面において,外部記録媒体を接続できないようにすることが掲げ
られていた。
「個人情報の保護に関する法律についての経済産業分野を対象とす
るガイドライン」(平成21年10月9日厚生労働省・経済産業省告
示第2号。以下「経済産業分野ガイドライン」という。甲8,乙11)
は,「個人データを入力できる端末に付与する機能の業務上の必要性
に基づく限定(例えば,個人データを入力できる端末では,CD−R,
USBメモリ等の外部記録媒体を接続できないようにする。)」が望
ましいと規定されていた。
独立行政法人情報処理推進機構(IPA)「組織における内部不正
防止ガイドライン」(平成25年3月25日。以下「内部不正防止ガ
イドライン」という。甲14)においては,「重要情報を取り扱う業
務フロア内の領域に個人の情報機器及び記録媒体を持ち込まれると,
個人の情報機器や記録媒体に重要情報を格納して持ち出される恐れが
あること」がリスクとして具体的に指摘されており,その対策として,
重要情報の格納サーバやアクセス管理サーバ等が設置されているサー
バルームでは,個人所有のノートPCやタブレット端末,スマートフ
ォン等のモバイル機器の持込み・利用を厳しく制限すること,個人所
有のUSBメモリ等の携帯可能な記録媒体等の持込みを制限し,記録
媒体等の利用は会社貸与品のみとすること,重要情報を扱う物理的区
画内の行動についてはカメラ等で監視するとともに監視している旨を
伝えることが記載されていた。
日本データセンター協会「データセンターセキュリティガイドブッ
クVer1.0」(平成25年8月28日。以下「データセンターセ
キュリティガイドブック」という。甲7)においては,データセンタ
ーにおけるUSBメモリ等の情報記録媒体や携帯電話の持込み・持ち
出し制限及び画像監視システムをセキュリティ対策として挙げられて
いた。
また,株式会社Aは,毎年,正社員及び業務委託先の従業員の全員を
対象とした情報セキュリティ研修を実施し,その中で,顧客情報の大量
持ち出し事例の紹介やスマートフォンを含む外部記録媒体への書出し制
御が実施されている旨を周知させており,大量の個人情報を保有するも
のとして,その対策の必要性を認識し,その徹底を指示していたのであ
るから,本件漏えい当時,スマートフォンが外部記録媒体として機能す
ること及びそのような手法による情報漏えいのリスクを十分把握してい
た。
Bが本件漏えいを行った際に使用した本件スマートフォンは,平成2
4年12月頃に発売が開始され,通信方式がMTPであるスマートフォ
ン(以下「MTP対応スマートフォン」という。)であった。スマート
フォン・タブレット向けオペレーティングシステム(OS)である「i
OS」及び「Android」のうち,「iOS」はMTPに対応して
おらず,「Android」は平成23年5月10日に公表された「A
ndroid3.1」においてMTPに対応したものであるが,平成2
5年7月から同年9月までの3か月間のスマートフォン販売台数のOS
別シェアは,「Android」が50.0%,「iOS」が47.2
%であり,平成26年7月から同年9月までのそれは,「Androi
d」が64.5%,「iOS」が31.3%であった。
また,代表的なセキュリティソフトがWPD(MTP)使用制限機能
に対応した時期は,平成19年7月から平成25年8月にかけてであっ
た。
したがって,株式会社Aは,本件漏えい当時,本件漏えいの方法で個
人情報を不正に取得できることを予見できた。
ウ株式会社Aには,本件個人情報の漏えいを防止するため,以下のとおり,
注意義務があったにもかかわらず,これを怠った過失がある(各主張はい
ずれも選択的)。
私物スマートフォンの持込みに係る注意義務違反
株式会社Aは,億単位の件数にのぼるベネッセ顧客情報を取り扱う企
業であり,その顧客情報の中には,子供に関する個人情報も多数含まれ
るところ,上記イのとおり,種々のガイドラインにおいて,外部記録
媒体の持込み制限がセキュリティ対策として上げられている。よって,
平成26年当時には,外部記録媒体へ格納する方法による情報漏えいの
リスクや,それを防止するための対策の必要性,その対策として外部記
録媒体の持込みを禁止する方法の存在が,個人情報を取り扱う事業者に
おいて広く認識されている状況にあった。そして,上記イ
株式会社Aは,毎年,正社員及び業務委託先の従業員の全員を対象とし
た情報セキュリティ研修を実施し,その中で,顧客情報の大量持出し事
例の紹介や,スマートフォンを含む外部記録媒体への書出し制御が実施
されている旨周知していたというのであるから,株式会社A自身,スマ
ートフォンが外部記録媒体として機能することや,スマートフォンに顧
客情報を書き出す手法による情報漏えいリスクを十分に把握していたも
のである。
さらに,株式会社Aの業務用PCから本件データベース内の顧客情報
にバッチサーバ経由でアクセスするには,テラターム(フリーソフト)
が必要であったが,テラタームのインストール及びその利用は容易であ
ったから,業務用アカウントを教示されている従業者であれば,テラタ
ームをインストールすることにより顧客情報にアクセスすることが可能
な状況にあったものであり,そうであれば,株式会社Aとしては,アク
セスした顧客情報をスマートフォン等に書き出すような事態が万が一に
も発生しないよう,細心の注意を払うべきであった。
また,株式会社Aにおいて,個人のスマートフォンを業務上利用させ
る必要性は全くなかった。すなわち,電話やインターネット閲覧等が必
要なのであれば,株式会社Aにおいてそのための機器を別途準備すれば
足りたし,私物の外部機器の持込みを制限することは,コストも手間も
かからない最も容易かつ効果の絶大な不正対策であった。
以上のとおり,株式会社Aは,私物スマートフォン等の持込みを禁止
する措置を採るべき注意義務があったのに,私物スマートフォン等の持
込みを禁止していなかった過失がある。
業務用PCに対するUSB接続禁止措置(USBポートにUSBメ
モリ等の外部記録媒体を接続することを禁止する措置)に係る注意義務
違反
上記イのとおり,経済産業分野ガイドラインに「個人データを入力
できる端末に付与する機能の業務上の必要性に基づく限定(例えば,個
人データを入力できる端末では,CD−R,USBメモリ等の外部記録
媒体を接続できないようにする。)」が望ましい措置であると規定され,
内部不正防止ガイドラインでは,個人の情報機器や外部記録媒体を持ち
込まれた場合の情報書出しのリスクを具体的に指摘した上,外部記録媒
体の業務利用を制限することを対策のポイントとして掲げている。また,
マネジメントシステム実施ガイドラインでは,取得・入力及び利用・加
工の各場面において,外部記録媒体を接続できないようにすることを,
業務上の必要性に基づく限定対策として掲げている。このように,平成
26年当時には,外部記録媒体へ書き出す方法による情報漏えいのリス
クや,それを防止するための対策の必要性,その対策として外部記録媒
体を接続できないようにする方法の存在が,個人情報を取り扱う事業者
において広く認識されている状況にあった。
その上,,株式会社A自身,スマートフォンが外部記
録媒体として機能することや,スマートフォンへ顧客情報を書き出す手
法による情報漏えいリスクを十分に把握していた上,業務用アカウント
を教示されている業務担当者であれば,容易に顧客情報にアクセスでき
る状況であったことからすれば,株式会社Aとしては,アクセスした顧
客情報をスマートフォン等に書き出すような事態が万が一にも発生しな
いよう,細心の注意を払うべきであった。
さらに,USBポートを物理的に壅塞する器具は,遅くとも平成17
年には発売されており,これを使用することは情報漏えい対策として古
典的かつ一般的なものであったから,機密情報を扱う部署において,業
務用PCのUSBポートに接続できる状態にしておくことはほとんどな
かった。また,自治体でも,既に平成20年には,千葉県袖ヶ浦市でU
SBポートを物理的に壅塞する方法が検討されていた。そして,USB
ポートを物理的に壅塞したり,少なくとも接続を禁止するルールを設け
たりすることは,コストも手間もかからない容易かつ効果的な不正防止
対策である。
以上のとおり,株式会社Aは,業務用PCに対し,USB接続禁止措
置を採るべき注意義務があったのに,USBポートを物理的に壅塞する
措置も執らず,また,業務用PCに充電のために個人のスマートフォン
などを接続することが日常的に見られる光景であったにもかかわらず,
漫然とこれを放置して,それを禁止するルールを設けなかった過失があ
る。
情報書出し制御措置・デバイス使用制御措置に係る注意義務違反
上記イのとおり,内部不正防止ガイドラインでは,個人の情報機器
及び外部記録媒体を持ち込まれた場合の情報書出しのリスクを具体的に
指摘されていることからすると,平成26年当時には,外部記録媒体へ
書き出す方法による情報漏えいのリスクや,それを防止するための対策
の必要性が,個人情報を取り扱う事業者において広く認識されている状
況にあったし,上記イのとおり,株式会社A自身,スマートフォンが
外部記録媒体として機能することや,スマートフォンに顧客情報を書き
出す手法による情報漏えいリスクを十分に把握していた。
そして,Bが本件漏えいに使用した本件スマートフォンは,平成24
年12月ころに発売が開始されたMTP対応スマートフォンであったと
ころ,上記イのとおり,代表的なセキュリティソフトにおいては,既
に平成19年7月から平成25年8月にかけて,WPD(MTP)使用
制限機能に対応していたし,スマートフォン向けOSのうち,Andr
oidについては,平成23年5月10日に公表されたAndroid
3.1においてMTPに対応した。一方で,iOSについては,MTP
に対応していなかったが,平成26年当時,iOSとAndroidそ
れぞれのシェアは,後者の方が大きかった。
よって,スマートフォンへ顧客情報を書き出す手法による情報漏えい
リスクに対応するためには,WPD(MTP)使用制限機能のあるセキ
ュリティソフトを業務用PCに採用しておく必要があったところ,代表
的なセキュリティソフトは,全て平成25年8月までにはそれに対応し
ていた。
ところが,株式会社Aは,業務用PCにセキュリティソフトウェアを
導入していたものの,平成23年夏を最後に同ソフトウェアのバージョ
ンアップを行っておらず,しかも,株式会社Aが導入していたセキュリ
ティソフトウェア「秘文」(株式会社日立ソリューションズ製,以下
「本件セキュリティソフト」という。)は,MTPデバイスを含むあら
ゆるデバイスのすべてを制御する機能を有していたのに,株式会社Aが
MTPデバイスを制御の対象から外していたうえ,MTPによる通信に
ついて,書き出し制御の対象となっていない同ソフトウェアを使用し続
けていたために,Bによる顧客情報の領得を許容したものである。
以上のとおり,株式会社Aには,本件漏えい当時,業務用PCにWP
D(MTP)使用制限機能に対応したセキュリティソフトを搭載するこ
とにより,情報の書出し制御措置あるいはMTP使用制限措置を採るべ
き注意義務があったにもかかわらず,通信方式がMTPである機器への
情報書出し制御措置機能のない本件セキュリティソフトを使用し続け,
かつ,同セキュリティソフトに備わっていたWPD(MTP)使用制限
機能を使用できる状態に設定する措置を採ることを怠った過失がある。
アラートシステム設定に係る注意義務違反
上記イのとおり,内部不正防止ガイドラインは,個人の情報機器及
び外部記録媒体を持ち込まれた場合の情報書出しのリスクを具体的に指
摘しており,平成26年当時には,外部記録媒体へ通信する方法による
情報漏えいのリスクや,それを防止するための対策の必要性が,個人情
報を取り扱う事業者において広く認識されている状況にあった。
その上,前記イで述べたとおり,株式会社A自身,スマートフォン
が外部記録媒体として機能することや,スマートフォンへ顧客情報を書
き出す手法による情報漏えいリスク,ひいては顧客情報を大量に持ち出
す事例が存在することを十分に把握していた。
株式会社Aとしては,業務用PCに接続した私物スマートフォンに顧
客情報を書き出す手法により,本件データベース内の大量の顧客情報が
漏えいする可能性が高かったのであるから,業務用PCから本件データ
ベースにアクセスされ,それが通常業務における以上の通信量と認めら
れた場合,その通信を許容するかを確認するアラートシステムを設定す
べき注意義務があった。ところが,株式会社Aは,既存のシステムのデ
ータベースサーバについては,一定時間中にサーバと業務用PCとの間
の通信量が一定の基準値を超えた場合に,当該業務用PC使用者の所属
長等に電子メールで確認を求めるアラートシステムを稼働させていたが,
本件システム開発中のデータベースサーバに関しては,本格的運用開始
前であったことを理由に,アラートシステムを設定していなかった過失
がある。
監視カメラ等の画像による監視義務違反
上記イのとおり,内部不正防止ガイドラインでは,重要情報を扱う
物理的区画のセキュリティ強化の対策として,カメラ等で監視するとと
もに監視している旨を伝えることが記載されていたし,データセンター
セキュリティガイドブックでは,実施されるセキュリティ対策として,
画像監視システム(監視カメラ)が挙げられていたから,平成26年当
時には,内部情報漏えいのリスクや,それを防止するための対策として
情報を扱う執務室の監視カメラ等による監視の必要性が,個人情報を取
り扱う事業者において広く認識されている状況にあった。
その上,上記イとおり,株式会社Aは,顧客情報の大量持出し事
例を紹介するなど,情報漏えいリスクを十分に把握していたし,また,
主要な入退出口には防犯カメラを設置していた。
株式会社Aとしては,業務用PCに接続した私物スマートフォンに顧
客情報を書き出す手法により,本件データベースの大量の顧客情報が漏
えいする可能性が高かったのであるから,情報漏えいを防ぐために,監
視カメラ等により執務室を監視し,それを従業員等に伝えるべきであっ
た。
以上のとおり,株式会社Aには,監視カメラ等により執務室を監視し,
それを従業員等に伝えるべき注意義務があったのに,執務室の監視を行
っていなかった過失がある。
【被控訴人の主張】
ア株式会社Aには,本件漏えいについての予見可能性は認められず,次の
とおり,結果を回避すべき注意義務違反も認められないから,過失はな
い。
イ本件漏えいの予見可能性
MTP対応スマートフォンを利用した個人情報流出のリスクについては,
本件漏えい事件が発生するまで,情報セキュリティの専門家においても
ほとんど認識されておらず注意喚起もされていなかった。また,MTP
対応スマートフォンに対する個人情報の書出しのリスクについて,本件
漏えい事件が発生するまで,経済産業省等の行政機関や独立行政法人情
報処理推進機構(IPA)からの注意喚起は一切なかった。本件漏えい
の時点におけるMTP対応スマートフォンの国内シェアは小さかったこ
とや本件漏えいの時点におけるセキュリティソフトのうちMTP使用制
御機能に対応したものは皆無であったことは,当時の状況を顕現してい
る。本件漏えい事件によって初めてスマートフォンを利用した個人情報
不正取得の危険性が認識されたのである。
株式会社Aにおいても,本件漏えい以前に,業務用PCから外部記録媒
体に書出しがされ外部に情報が持ち出されるなどの事故やトラブルが発
生したこともなければ,充電のため業務用PCにスマートフォンを接続
する従業員はそれまでにもいたにもかかわらずスマートフォンに書出し
ができる等の報告等がされたことも一切なく,特定の機種のスマートフ
ォンに対して書出しができて個人情報が持ち出される可能性があるとい
うことを疑わせる事情は一切なかった。そして,外部記録媒体に情報を
書き出すことを制限する本件セキュリティソフトを導入していたため,
執務室内の業務用PCから情報が書き出されることはないという認識を
有していた。
ウスマートフォンの持込み禁止にかかる注意義務違反について
各基準について
安全対策基準
安全対策基準は,そもそも現代のセキュリティ状況や執務室を前提
に策定された基準ではなく,本件漏えい当時,情報セキュリティの分
野において,既に基準としての実質的意味を有していなかったもので
あり,株式会社Aの注意義務の根拠たり得ない。また,安全対策基準
中の「搬出入物」は,各自の身の回りの携行品・私物品を指すのでは
なく,業務上の必要性から,対象室(現在でいえば,サーバルームや
データセンターに相当するもの)内から搬出する設備や荷物等,ある
いは搬入して設置する設備や荷物等を指している。また,安全対策基
準では「搬出入物」の用語のほかに,「記録媒体」の用語も使用され
ているのであるから,「搬出入物」は「記録媒体」とは別の概念であ
ることも明らかである。なお,安全対策基準の最終改正がなされた平
成9年時点において,スマートフォンは発売されていなかった。
したがって,控訴人が,安全対策基準で指摘する部分は,私物スマー
トフォンの持込み禁止措置を義務付けるものではない。
内部不正防止ガイドライン
内部不正防止ガイドラインを定めたIPAは,経済産業省の外郭団
体にすぎず,内部不正防止ガイドラインは,対策例を紹介するにとど
まり,法規範性を持たず,その中で紹介されている対策が実施される
べき法的義務として位置付けられていたものでもない。
また,内部不正防止ガイドラインは,「USBメモリ等の記録媒体」
と「スマートフォン等のモバイル機器」とを区別しており,「スマー
トフォン等のモバイル機器」については,重要情報の格納サーバやア
クセス管理サーバ等が設置されている「サーバルーム」のみを対象と
してその持込み・利用を制限する運用を推奨していたのであって,
「サーバルーム」以外の執務室等は対象としていなかった。
したがって,控訴人が,本件漏えい当時の内部不正防止ガイドライ
ンで指摘する部分は,私物スマートフォンの持込み禁止措置を義務付
けるものではない。
データセンターセキュリティガイドブック
データセンターセキュリティガイドブックは,そもそも執務室の情
報セキュリティ対策としてみるには不適当な性質のものであり,被控
訴人の注意義務の根拠たり得ない。また,控訴人が,同ガイドブック
で指摘する部分は,私物スマートフォンの持込み禁止措置を義務付け
るものではない。
その他のガイドライン等
上記以外に,控訴人が手掛かりとするほかのガイドラインには,ス
マートフォンの持込み禁止について触れられていない。本件漏えい当
時の基準として参考となりうるとすれば,経済産業分野ガイドライン
の他にないが,これについては,平成26年当時,私物スマートフォ
ンの持込み禁止について,義務的事項として記載していなかったこと
はもちろん,望ましい事項としても何ら言及していなかったのであり,
個人情報保護法上,私物スマートフォンの持込み禁止措置を採るべき
ことは要求されていなかったものである。
また,「私物スマートフォン等の持込み禁止」は,本件漏えい当時,
一般の企業において,例外的な場合を除き採用されていなかったのみな
らず,本件漏えい後においても,プライバシーマークやISMS認証
(ISMS適合性評価制度〔国際的に整合性のとれた情報セキュリティ
マネジメントシステムに対する第三者認証制度〕に基づく認証)を取得
しようとする企業や金融業界のシステムにおいてさえ標準的なセキュリ
ティ対策にはなっていない。
現在,セキュリティ意識の高い企業でも,私物スマートフォンの持
込み制限をしていない理由は,このような措置が,これを徹底しない限
りその実効性がない一方で,これを徹底すると業務阻害性が著しく高く
なって現実的ではないという点にある。私物スマートフォンの持込み禁
止は,現実的に考えて,一般の職場においては個人情報の漏えい対策と
して採り得ない措置と言わざるを得ない。
エUSB接続禁止措置にかかる注意義務違反について
各基準について
経済産業分野ガイドライン
本件漏えい当時,業務用PCに対するUSB接続禁止措置について
は,経済産業分野ガイドラインにおいても,義務的事項として記載さ
れていなかったばかりか,望ましい事項としても言及されていなかっ
た。また,本件漏えい後に改訂された経済産業分野ガイドラインでも,
上記措置は,「個人データを入力できる端末」において,望ましい事
項として言及されたにすぎないところ,Bの使用する業務用PCはか
かる端末ではなかった。
内部不正防止ガイドライン
内部不正防止ガイドラインは,「スマートフォン等のモバイル機器」
ないし「個人の情報機器」を業務用PCに接続することを禁止しなけ
ればならないことを述べているのではなく,むしろ接続する場合があ
ることを前提としているのであるから,控訴人が内部不正防止ガイド
ラインに関して指摘する部分は,業務用PCに対するUSB接続禁止
措置を義務付けるものではない。
マネジメントシステム実施ガイドライン
マネジメントシステム実施ガイドラインは,そもそも,法の要求事
項を超えた高い保護レベルを前提としたガイドラインであるから,法
規範性を有するものではない。
本件漏えい当時,業務用PCに対するUSB接続禁止措置を採ってい
る企業はごく少なかったのみならず,本件漏えい後においても,プライ
バシーマークやISMS認証を取得しようとする企業でさえ,かかるセ
キュリティ対策をとっている会社は数%程度しかなく,その他ほとんど
の企業ではかかるセキュリティ対策をとっていなかったのであるから,
業務用PCに対するUSB接続禁止措置は標準的な措置であったとはい
えない。
また,USBポートを物理的に壅塞する器具は取り外し可能である
し,パソコンには,マウスやキーボード,業務上利用されるUSBデバ
イス(株式会社Aでは,一定の要件のもとに許可されたUSBメモリ)
等を接続するためのUSBポートが必要であって,全てのUSBポート
を壅塞できないから,結局のところ,USBポートを物理的に壅塞する
ことは,個人情報の漏えいに対する有効な対策とはならない。
オ書出し制御措置にかかる注意義務違反について
各基準について
内部不正防止ガイドライン
内部不正防止ガイドラインは,前記のとおり,経済産業省の外郭団
体であるIPAが作成したものであって法規範性を有するものではな
く,また,その名称からも明らかなとおり,組織における内部不正の
防止を推進する目的で定められたものであり,その対象となる「内部
不正」には,違法行為だけではなく,情報セキュリティに関する内部
規程違反等の違法とまではいえない不正行為も含まれているのであっ
て,違法行為とはいえない行為をも広くその対象に含めた防止策を提
示するものであるから,株式会社Aの注意義務の根拠たり得ない。
また,内部不正防止ガイドラインが言及するのは,個人情報機器及
び外部記録媒体の業務利用及び持込みの制限であって,情報書出し制
御措置については記載されていない。
その他ガイドライン等について
その他いずれのガイドライン等にも,本件漏えい当時,書出し制御
措置について記載されていない。
また,本件漏えい当時,プライバシーマークやISMS認証を取得し
ようとする企業であっても,書出し制御措置を採っていないものが過半
であり,書出し制御措置は,標準的なセキュリティ対策にはなっていな
かった。
そうした状況の中で,株式会社Aは,平成17年から,後記のとお
り,その業務用PCに導入していた本件セキュリティソフトにより,書
出し制御措置を採っていたところ,本件漏えい当時,MTP対応スマー
トフォンに対しては有効に書出しを制御することはできなかった。しか
し,株式会社Aとしては,外部記録媒体に書き出すことを技術的に制御
する高度なセキュリティを導入していたため(株式会社Aが導入してい
たセキュリティソフトは,MTPを含む,PCにおいて使用される複数
のデバイスについて,当該デバイスからPCへのデータの読取りも,P
Cから当該デバイスへのデータの書出しもできないようにする機能を有
していた。),株式会社Aの執務室内のクライアントPCから情報が書
き出されることはないという認識を有していたものであり,それまでそ
の業務用PCから外部記録媒体に対する書出しがなされて外部に持ち出
された等の外部記録媒体に対する書出しが制御されていないことを疑わ
せるような事故やトラブルが発生したこともなければ,業務用PCにス
マートフォンを接続して書き出しができるといった報告がされたことも
なく,特定の機種のスマートフォンに対して書出しができ,この結果と
して情報が持ち出される可能性があることを疑わせる事情は一切なかっ
たことから,本件漏えい当時,MTP対応のスマートフォンに対しては
有効に書出しを制御することができないものであることを知りえなかっ
た。この点について控訴人は,代表的な商用デバイス制御ソフトにおい
ては,既に平成19年7月から平成25年8月にかけて,MTP使用制
限機能に対応していた(甲10)と主張するが,そもそも本件漏えい当
時,WPD(MTP)デバイスに対して使用制限機能を設定しなければ
情報漏えいが発生するリスクがあるということは知られていなかったも
ので,通常人(合理的な平均人)の一般的な水準に照らして,これに対
応する措置を採っていなかったことによる過失責任を生ずるものではな
い。なお,株式会社Aは,当時,PCに外部機器を接続することによっ
て情報流出する場合に想定されていたのがMSCデバイスであったこと
から,通信方式がMSCであるスマートフォン,3.5型フロッピーデ
ィスク,リムーバブルディスク(USBメモリ,MO,フラッシュメモ
リ,SDメモリーカード及びスマートメディア等の外部記録媒体)等の
リムーバブルメディアのほか,外付けハードディスク(USB接続,I
EEE接続,PCMCIA接続及びSCSI接続),CD及びDVDに
ついては,書出し制御措置を採っており,それらディスクへの書き込み
を禁止することができた。
カアラートシステムにかかる注意義務違反について
各基準について
内部不正防止ガイドライン
内部不正防止ガイドラインは,前記のとおり,法規範性を有するも
のではなく,また,違法行為とはいえない行為をも広くその対象に含
めた防止策を提示するものであるから,株式会社Aの注意義務の根拠
たりえない。
その他ガイドライン等について
その他いずれのガイドライン等にも,本件漏えい当時,アラートシ
ステムについて記載されていなかった。
なお,本件漏えい後に,経済産業省が被控訴人に対して個人情報保護
法に基づく勧告を行ったところ,同勧告は,「委託先(株式会社A)に
おいて,今回の不正書出しの対象となったデータベースが,個人情報の
ダウンロードを監視する情報システムの対象として設定されていなかっ
た」ことに言及しているが,これは,同省が,個人情報保護法上アラー
トシステムを設定すべき義務があると解していることを意味するもので
はない。本来,アラートシステムを設置していないとしても個人情報保
護法違反になることはあり得ないはずであるにもかかわらず,同省より,
経済産業分野ガイドラインにおける記載と相反すると思われるような勧
告が出されたのは,本件の社会的影響の大きさに鑑み,行政官庁として,
個人情報保護に対する強い姿勢を打ち出す必要があるとの政策的判断に
よるものと思われる。
本件漏えい当時,高度な情報セキュリティ対策をとっていた企業であ
っても,アラートシステムを採用していたものは少数であって,アラー
トシステムの設置が標準的に採られていた措置とはいえない。なお,本
件漏えい後の現在であってさえ,プライバシーマークやISMS認証を
取得するような企業であっても,アラートシステムを採用していないも
のが大半で,金融業界のシステムにおいてさえ標準的なセキュリティ対
策にはなっていない。
また,アラートシステムは,正当な業務による通信であっても,設
定された条件を満たせば,その理由如何にかかわらず自動的に発令され
る仕組みであるため,一方で,その対象を広範に(すなわち閾値を低く)
設定すれば,頻繁にアラートが発せられて,日常業務に支障が生じ,運
用に耐えないものとなり,他方で,意図的に不正を働く場合には,複数
回に分割してダウンロードないし通信することで予想される閾値を超え
ないようにすることが容易であり,個人情報の漏えい対策としての実効
性に乏しい。本件漏えい当時,本件データベースをアラートシステムの
対象とすることはおよそ現実的ではなく,アラートシステムが設定され
ていなかったことは,見落としによるものではない。
キ監視カメラにかかる注意義務違反について
各基準について
内部不正防止ガイドライン
内部不正防止ガイドラインは,前記のとおり,法規範性を有するも
のではなく,また,違法行為とはいえない行為をも広くその対象に含
めた防止策を提示するものであるから,株式会社Aの注意義務の根拠
たりえないし,控訴人が,内部不正防止ガイドラインに関して指摘す
る部分は,執務室を想定しているものではなく,具体的措置について
も「対策のヒント」という扱いであるから,監視カメラ等の画像によ
る監視義務があることの根拠にはならない。
データセンターセキュリティガイドブック
データセキュリティガイドブックでは,「画像監視システム」とし
て「サーバー室内」での「画像監視システム」は「証跡としての役割
を果たすことが挙げられます」とされ,侵入者や不正行為の監視・記
録を目的とするとされており,通常,人が出入りしない空間であるこ
とを前提にする画像監視システムであって,日々大勢の従業員が執務
している執務室内への監視カメラ設置とは異なる目的のものであり,
全く本件に適合していない。
そもそも監視カメラは,常時,監視員が監視している場合でなければ,
不審な動きが見られた時点でそれを把握することは不可能であり,結局
のところ,何かが起こった場合に,後から監視カメラを見て人の特定等
をするために設置されるものである。また,執務室内で,従業員が業務
用PCに向かって業務をしているところが撮影されているとして,それ
が通常の業務をしているのか,あるいは情報を不正に閲覧や保存等をし
ているのかは,外形的に変わらないから,業務用PCからの個人情報の
漏えいを防止するために監視カメラを設置してもほとんど実効性はない。
さらに,執務室内への監視カメラの設置は,従業員に対して不快な思い
を生じさせかねず,プライバシーの侵害ではないかなどと問題視される
可能性もないとはいえないというデメリットもある。
そして,本件漏えい当時,高度な情報セキュリティ対策を採ってい
た企業であっても,執務室内に監視カメラを設置していたものは少数で
あって,かかる措置が標準的に採られていたとはいえない。本件漏えい
後の現在であってさえ,プライバシーマークやISMS認証を取得する
ような企業であっても,執務室内に監視カメラを設置していないものが
大半で,標準的なセキュリティ対策にはなっていない。
なお,株式会社Aでは,入退室管理の一環として執務室を含む施設
の出入口に監視カメラを設けていたほか,執務室内についても,おおむ
ねその全体を見渡せる位置に監視カメラを設けていた。
ク以上のとおりであるから,株式会社Aには,本件漏えいについての予見
可能性がなく,また,本件漏えいを回避することについて注意義務違反
(過失)は認められない。
本件漏えいについて被控訴人の過失の有無
【控訴人の主張】

件漏えいによって控訴人に損害を生じさせたことについて過失がある。
ア本件漏えいの予見可能性
争点の控訴人の主張イに同じ。
イ被控訴人には,本件個人情報の漏えいを防止するため,以下のとおりの
注意義務があったにもかかわらず,これを怠った過失がある(各主張はい
ずれも選択的)。
個人情報の利用・管理に責任を持つ部門設置にかかる注意義務違反
個人情報保護法20条は,「個人情報取扱事業者は,その取り扱う個
人データの漏えい,滅失又はき損の防止その他の個人データの安全管理
のために必要かつ適切な措置を講じなければならない。」と規定し,経
済産業分野ガイドラインは,「講じなければならない事項」として,個
人データの安全管理措置を講じるための組織体制の整備」を掲げている。
また,内部不正防止ガイドラインは,「統括責任者の任命と組織
横断的な体制構築」の項で,「内部不正の対象となる重要情報は組織内
の多岐にわたる部門に存在するため,組織横断的な管理体制が構築でき
ないと,組織として効果的・効率的な対策や情報管理ができないだけで
なく,対策や情報管理が徹底されないおそれがあり,対策や情報管理が
徹底されていないと,内部不正が発生してしまう危険がある」旨をリス
クとして具体的に指摘し,対策のポイントとして,組織横断的な管理体
制の構築では,統括責任者が対策実施の管理・運営の要員として各部門
の部門責任者や担当者を任命することなどを求めている。
さらに,実際上も,個人情報を取り扱うにあたって,利用・管理の責
任を持つ部門が存在しない場合には,保有する情報を統括して管理する
ことができず,取扱いや管理が杜撰となって流出や漏えいが生じる蓋然
性が高まることは容易に認識し得る上,被控訴人の事業規模からすれば,
同部門を設置することは可能かつ容易なことであった。
そして,被控訴人が取得した顧客情報は,極めて大量である上,慎重
な取扱いが求められる情報が含まれることや,本件システムの開発業務
を株式会社Aに委ね,株式会社Aが同業務の一部をさらに第三者に委託
し,被控訴人の顧客情報に接触する者が別会社の従業員を含め多岐にわ
たる状況,さらには,後記のとおり,被控訴人には顧客情報の取扱いの
委託先に対して必要かつ適切な監督を行わなければならない義務がある
こと等に鑑みれば,被控訴人には,保有する個人情報の利用・管理に責
任を持つ部門を設置すべき注意義務があった。
しかし,被控訴人は,顧客情報の利用・管理に責任を持つ部門を設置
せず,IT戦略部,個人情報課などいくつかの部門が本件データベース
に関与し,各部門間の責任の所在や管理の方法が不十分となっており,
このことが,株式会社Aに対する適切な監督を妨げ,株式会社Aの不十
分な情報管理体制の放置に繋がったものであるから,本件漏えいについ
て過失があった。
私物スマートフォンの持込み等に係る注意義務違反
被控訴人は,本件システムの開発・運用を株式会社Aに委託していた
ものの,元々が株式会社Aの親会社であったものが,ベネッセホールデ
ィングスを持株会社とするグループ企業に再編された経緯があり,株式
会社Aの役員に被控訴人の役員が就任していた状況からすると,被控訴
人は,実質的には株式会社Aを自社の一部門と同様の状態で事業を行っ
ていたものであるから,株式会社Aと一体となって,組織的な事業とし
て本件データベースを管理し,本件システムの開発を行い,顧客情報を
取り扱っていたものと評価できる。
そうすると,被控訴人自身が,私物スマートフォンの持込み禁止措置
義務,業務用PCに対するUSB接続禁止措置義務,情報書出し制御措
置義務,アラートシステム設定義務及び監視カメラ設置義務を負うにも
かかわらず,これらの注意義務を怠ったのであるから,本件漏えいにつ
いて過失があった。
委託先選任及び監督にかかる注意義務違反
被控訴人は,本件データベースの管理及び本件システムの開発や保守
管理を株式会社Aに委託していたところ,個人情報保護法22条は,
「個人情報取扱事業者は,個人データの取扱いの全部又は一部を委託す
る場合は,その取扱いを委託された個人データの安全管理が図られるよ
う,委託を受けた者に対する必要かつ適切な監督を行わなければならな
い。」と規定しているのであるから,被控訴人は,個人情報保護法上,
株式会社Aに対する必要かつ適切な監督を実施する義務を負っていた。
したがって,被控訴人は,株式会社Aから契約内容の遵守について定
期的に報告を受けたり,株式会社Aに対して不定期に立入検査を行った
りするなどにより,当該契約内容が遵守されているかどうかを監督しな
ければならない。また,再委託や再々委託が行われていたから,そのよ
うな再委託等を禁止したり,再委託先等を限定したり(プライバシーマ
ークを取得しているものに限る等),委託先が再委託先等に対して必要
かつ適切な監督を行っているかも監督しなければならない。
そして,経済産業分野ガイドラインによれば,「必要かつ適切な監督」
には,委託先を適切に選任すること,委託先に個人情報保護法20条に
基づく安全管理措置を遵守させるために必要な契約を締結すること,委
託先における委託された個人データの取り扱い状況を把握することが含
まれるものとされ,JISQ15001は,「3.4.3.4委託先
の監督」において,「事業者は,個人情報の取扱いの全部または一部を
委託する場合は,十分な個人情報の保護水準を満たしている者を選任し
なければならない。このため,事業者は,委託を受ける者を選任する基
準を確立しなければならない。」,「事業者は,個人情報の取扱いの全
部又は一部を委託する場合は,委託する個人情報の安全管理が図られる
よう,委託を受けた者に対する必要,かつ,適切な監督を行わなければ
ならない。」,「事業者は,次に示す事項を契約によって規定し,十分
な個人情報の保護水準を担保しなければならない。a委託者及び受託
者の責任の明確化b個人情報の安全管理に関する事項c再委託
に関する事項d個人情報の取扱状況に関する委託者への報告の内容
及び頻度e契約内容が遵守されていることを委託者が確認できる事
項f契約内容が遵守されなかった場合の措置g事件・事故が発
生した場合の報告・連絡に関する事項」等と規定し,マネジメントシス
テム実施ガイドラインでは,「審査の着眼点」として,「委託先を選定
する基準として,該当する業務については少なくとも自社と同等以上の
個人情報保護の水準にあることを客観的に確認できること,選定基準は
具体的で運用なものであること」等を例示していた。
これに,前記のとおり,被控訴人が取得した顧客情報は,極めて大量
である上,慎重な取扱いが求められる情報が含まれること等を併せ考慮
すれば,被控訴人は,業務委託先を選任するにあたって適切に個人情報
を管理する体制にある業者を選任する義務とともに,その選任された委
託先において,個人情報保護法20条の安全管理措置が適切に運用され
ているかを監督する義務を負っていた。
しかし,被控訴人は,株式会社Aが,本来,私物スマートフォン等の
持込み禁止措置,業務用PCに対するUSB接続禁止措置,情報書出し
制御措置,アラートシステム設定及び監視カメラによる監視を行うべき
であるにもかかわらず,それを怠り,適切に個人情報を管理する体制を
講じていなかったことを知りながら,または少なくとも過失によりかか
る体制であることを把握せずに委託先に株式会社Aを選任した。
また,被控訴人は,株式会社Aとの間で,個人情報の取扱いに関して
契約書等を取り交わし,ミーティングを行うなどの形式的な管理体制を
整えていたものの,株式会社Aによる被控訴人の顧客情報の具体的な取
扱い状況について正確に把握していなかった。そのため,被控訴人は,
株式会社Aにおいて,私物スマートフォンの持込み禁止措置,業務用P
Cに対するUSB接続禁止措置及び情報書出し制御措置が採られていな
いこと,アラートシステムの対象範囲の設定が適正に行われていないこ
と,執務室の監視もされていないことを把握しておらず,そのような状
況を改善するなどの対応をしなかった。
したがって,被控訴人は,以上のような株式会社Aの不十分な情報セ
キュリティ管理の実態を把握することなく,同社を委託先として選任し,
さらに株式会社Aによる再委託などを許していた結果,数社の派遣会社
を経て,結局は,どこの会社の従業員であるのかも分からないBに重要
な個人情報であるデータについて,保管システムのアクセス権限を与え
ていたものであるから,被控訴人には,本件漏えいについて委託先の選
任及び監督に係る過失があった。
ウ以上によれば,本件システム開発は,被控訴人と株式会社Aが一体とな
って取り組んでいた事業であり,個人情報の管理・運用において,事業と
しての一体性が認められるところ,被控訴人は,監督義務違反等の個別の
義務違反に基づき,固有の不法行為責任を負うもので(民法709条),
当該不法行為は,被控訴人が保有・管理していた個人情報を株式会社Aに
利用させたことによって生じたものであって,客観的に関連していること
が明らかであるから,被控訴人と株式会社Aは,共同不法行為者としての
責任を負うことになる(民法719条1項)。
【被控訴人の主張】
被控訴人には,本件漏えいについての予見可能性はなく,結果を回避す
べき注意義務違反も認められないから,過失がない。
ア本件漏えいの予見可能性について
争点の被控訴人の主張イに同じ。
イ個人情報の利用・管理に責任を持つ部門設置にかかる注意義務違反につ
いて
被控訴人は,個人情報保護の最高責任者としてCPO(ChiefP
rivacyOfficer〔最高個人情報責任者〕)を選任し,その
下に,全社的な個人情報保護活動を推進する専門部署である個人情報保護
課を設置していたのであるから,控訴人の主張はその前提を欠くものであ
る。
また,個人情報保護法が,個人情報取扱事業者に対して,主務大臣との
関係では,顧客情報の利用・管理に責任を持つ部門を設置すべきことを義
務づけていたとしても,それは個人情報取扱業者に対して義務を課す行政
法規であって,それを設置しなかったことが第三者(顧客等)に対する私
法上の義務違反となるものではなく,また,そもそも,個人情報保護法上,
「個人データの安全管理措置を講じるための組織体制の整備」が義務付け
られているとしても,顧客情報の利用・管理に責任を持つ部門を設置する
ことまで義務付けられているものではない(経済産業分野ガイドライン上
も,あくまで望ましい手法にとどまる。)し,本件漏えいとの間に相当因
果関係は認められない。
ウ私物スマートフォンの持込みにかかる注意義務違反等について
法人格が異なる者については別個独立の権利義務の主体として取り扱う
べきであり,例外的に,厳格な要件のもとで法人格否認の法理によって,
事案解決に必要な限度で法人格が否定されることがあるに過ぎない。控訴
人が根拠として挙げている事情は,我が国のグループ企業内ではごく普通
のものであり,そのような事情があるからといって法人格が否認されるこ
とはあり得ないから,仮に,株式会社Aが私物スマートフォンの持込みに
係る注意義務を負うとしても,被控訴人が同様に注意義務を負うというこ
とはできない。
エ委託先選任及び監督にかかる注意義務違反について
そもそも,株式会社Aにおいて,控訴人が主張する各措置を採るべき
義務(私物スマートフォンの持込み禁止に係る注意義務,USB接続禁
止に係る注意義務,書出し制御に係る注意義務,アラートシステム設定
に係る注意義務,監視カメラによる監視に係る注意義務)は存在しなか
ったから,株式会社Aがかかる措置を採っていなかったからといって,
被控訴人に委託元としての選任監督の注意義務違反はない。
株式会社Aが本件漏えい当時採用していた情報セキュリティ対策は,
社会的に高い情報セキュリティ管理レベルを期待される,製造,流通,
電子商取引,金融の各業界において国内大手ないし国内を代表すると目
される企業と比較しても遜色ないものであった。また,当時における経
済産業省ガイドラインの「2−2−3−2.安全管理措置(法第20条
関連)」において望ましいとされていた事項まで全て網羅しており,経
済産業分野ガイドラインに適合する状況にあった。さらに,株式会社A
は,本件漏えい時まで,ISMS認証を取得してその継続・更新を繰り
返しており,情報セキュリティマネジメントシステムに関する第三者機
関から,十分な情報セキュリティ体制を構築しているとのお墨付きも与
えられていた。このように,株式会社Aは,当時の経済産業分野ガイド
ラインからしても,また,当時の情報セキュリティ対策の一般的な水準
からしても,明らかに高度な水準で情報セキュリティ対策を整えていた
ものであり,被控訴人がこのような法人を委託先として選任したことに
つき,注意義務違反はなかった。
被控訴人は,本件漏えい当時,当時の経済産業分野ガイドラインから
しても,また,当時の情報セキュリティ対策の一般的な水準からしても,
明らかに高度な水準でセキュリティ対策を採っていた委託先である株式
会社Aに対して,必要な監督を実施していた。
オ以上のとおりであるから,被控訴人には,本件漏えいについて予見可能
性がなかったもので,これを回避するについての注意義務(株式会社Aに
対する選任及び監督についての注意義務)違反は認められない。
カ控訴人による被控訴人の不法行為(民法709条)及び株式会社Aとの共
同不法行為(同法719条1項)の主張は争う。
民法715条の使用者責任に基づく請求)
ア株式会社Aは,Bによる本件漏えい(不法行為)について使用者責任を負
うか否かア)
【控訴人の主張】
株式会社Aの使用者性
民法715条の要件である使用者関係の有無を判断するにあたっては,
使用者責任の根拠に鑑み,Bに対して実質的な指揮・監督関係があるか
どうかによって判断することになる。
本件においては,株式会社AとBとの間に直接の雇用関係はないが,
Bは,システムエンジニアとして株式会社Aに派遣され,株式会社A多
摩事業所で被控訴人の情報システムの開発等に関する業務に従事し,日
常的に株式会社Aの社員から指示を受けていた。また,株式会社Aは,
Bに対し,株式会社Aの顧客分析課長等の許可を受けた社員を通じて業
務用アカウントを教示し,また,業務用PCを貸与し,業務のための入
館証発行に当たっては研修を受けさせ,それ以降,毎年研修を実施して
いた。このような具体的な事情からすれば,株式会社Aは,本件システ
ム開発に関する事業について,Bを実質的に指揮監督する関係にあった
ということができる。
事業執行性
Bによる本件漏えいは,被控訴人から株式会社Aが委託を受けた本件
システム開発等の業務を,株式会社A多摩事業所においてBが行ってい
る際にされたものであるが,Bは本件データベースを業務上利用し,同
データベースへのアクセス権限を広汎に付与されており,そのアクセス
権限を用いて本件個人情報を入手したものであるから,本件漏えいは,
株式会社Aの「事業の執行」に該当する。
したがって,株式会社Aは,Bによる本件漏えいについて使用者責任
を負う。なお,選任監督上の相当の注意をしていたとの被控訴人の主張
は争う。
【被控訴人の主張】
株式会社Aの使用者性について
株式会社Aとその委託先会社の間では,契約上,業務遂行上の指示・管
理その他指揮命令は全て委託先会社の指示命令者が行うものとされ,例外
的に,緊急時やトラブル時に,株式会社Aが委託先会社の要員に必要な範
囲で直接依頼をすることができることとされていた。そして,実際に,B
を含む委託先会社の要員に対する業務遂行上の指示・管理その他指揮命令
は,委託先会社の指示命令者がこれを行っていたものであるから,株式会
社Aは,Bを実質的に指揮監督する関係にはなかった。
事業執行性について
システムの開発,運用及び保守等を受託する企業の作業者が委託元のシ
ステムのアクセス権限を与えられ,そのシステムの開発等のために実際に
当該システムにアクセスすることは,システムの開発,運用及び保守等を
行う以上当然のことであり,そのことから受託業務の遂行が委託元の事業
の執行であるかのような外観を当然に有することにはならない。Bによる
本件漏えいは,あたかも委託先会社における職務の範囲に属するかのよう
な外観を有することがあったとしても,株式会社Aにおける職務の範囲に
属するような外観を当然に有することになるわけではない。
また,控訴人は,Bの不法行為として「・・・顧客情報を自己のスマー
トフォンに書き出して名簿業者に売却する行為」を主張している。しかし,
このような行為は,そもそも株式会社Aの事業ではあり得ないし,Bの職
務の範囲内であることもおよそ考えられない。
選任監督上の相当の注意をしていたこと
本件において,株式会社Aは,Bから,業務上知り得た個人情報及び機
密情報を保秘する旨の同意書を受領していたほか,Bを含む業務従事者全
員を対象に,毎年,情報セキュリティ研修及びその内容を踏まえたテスト
を実施していた。このように,株式会社Aは,同社とBとの関係に照らし
て選任監督上の相当の注意をしていた。
イ被控訴人は,株式会社Aの不法行為について使用者責任を負うか否か(争
点)
【控訴人の主張】
事業執行性
本件システムは,被控訴人の商品・サービス開発やマーケティングのた
めにベネッセ顧客情報を統合して分析に使用するためのシステムであり,
その開発業務は,被控訴人の「事業の執行」に該当する。
使用者関係(実質的指揮監督関係)の存在
使用関係の有無を判断するにあたっては,実質的な指揮・監督関係があ
るかどうかによって判断することになる。
本件においては,被控訴人と株式会社Aとの間の業務委託契約では,被
控訴人が,被控訴人が行っている安全管理措置と同等の措置が株式会社A
でも採られるように監督することや,株式会社Aが受託業務を再委託する
場合には,事前に被控訴人の承諾を求めることとしていた(甲18の3:
最終報告書12頁)。また,被控訴人は,株式会社Aに対し,その従業員
に対する研修等に関する指示を行っていた。
また,被控訴人は,月次で「アウトソーシングレポート報告会」を開催
し,委託業務全般の進捗状況の確認を行うほか,規模の大きな開発・運用
案件については週1回以上のペースで定例ミーティングを実施していた
(甲第18号証の3:最終報告書30頁)。被控訴人は,本件データベー
スの運用にあたり,開発中の本件システムの動作状況を確認し,株式会社
Aに対してミーティング等でシステムの障害や不具合の改善を指示してい
た。
さらに,被控訴人は,個人情報の保護要件が変更になった場合には,説
明会を実施して株式会社Aの幹部社員に説明を行うほか,ミスやトラブル
が発生した場合には,その都度株式会社Aのセキュリティの設定状況の確
認を行っていた。
また,本件漏えい当時,株式会社Aは,被控訴人の100%子会社の関
係にあったものであり,本件システム開発以前から,被控訴人の指示のも
と,被控訴人の事業に関するシステムの開発・運用を担当していた。また,
被控訴人は,同社の取締役または監査役が株式会社Aの役員に就任するな
ど,ベネッセグループとして株式会社Aと一体で事業を行っていた。さら
に,被控訴人は,株式会社Aに本件システムを開発させるにあたり,被控
訴人のIT戦略部においてベネッセグループの情報システムを担当してい
た従業員を,平成25年1月から平成26年3月まで株式会社AのITソ
リューション部の部長として兼務させていた。
このような具体的な事情からすれば,被控訴人は,本件システム開発に
関する事業について,株式会社Aを実質的に指揮監督する関係にあったと
いうことができる。
さらに,被控訴人と株式会社Aとの間の平成21年10月1日付業務委
託基本契約(甲42,以下「本件業務委託契約」という。)の内容は,
本件システムの具体的内容の決定権限が委託者(被控訴人)にあること,
∨楫錺轡好謄爐虜能的な動作確認の権限が委託者(被控訴人)にあるこ
と,受託者(株式会社A)が随時,委託者(被控訴人)の担当者に対し
て運用に関する報告を行うこと,ぞ祿欧簓垓餽腓発生した場合には,受
託者(株式会社A)と委託者(被控訴人)の担当者との間で原因調査や対
応策について協議を行うこととされており,本件システムの具体的な内容
を発注者である被控訴人が決定することとなっていた。また,株式会社A
は,被控訴人の発注書等に従って委託業務を処理する義務を負っており
(第3条第1項),本件システムの開発やプログラム作成業務が完成した
場合,株式会社Aは,その旨を被控訴人に通知し,被控訴人の検査を受け
なければならないものとされ(第8条第1項),被控訴人は,同検査の結
果合格と認定したもののみを引き受けるもとされていた(第8条第2項)。
そして,同検査が不合格となった場合には,株式会社Aは,その内容を修
正の上被控訴人に再提出し,被控訴人の再検査を受けなければならないも
のとされ(第9条第1項),また,同検査が不合格のために発注書等の目
的が達成できないときには,被控訴人は株式会社Aとの業務委託契約を解
除することができるものとされていた(第9条第3項)。
これらによれば,本件システムの具体的内容の決定権限及び本件システ
ムの最終的な動作確認の権限が委託者(被控訴人)にあったことが認めら
れ,被控訴人と株式会社Aとの間の実質的な指揮監督関係の存在が認めら
れる。
【被控訴人の主張】
被控訴人の事業の執行ではないこと
被控訴人は株式会社Aに本件システム開発の業務を委託し(本件業務委
託契約),株式会社Aは同契約に基づいて業務を行っていたものであるか
ら,それが被控訴人の業務を執行していたことにはならない。
使用関係(実質的指揮監督関係)がないこと
被控訴人と株式会社Aとの間の本件業務委託契約には,控訴人の主張で
指摘される契約文言や事実関係が存するが,これらは,被控訴人が個人情
報保護法上委託元に求められる委託先の監督を行ったものに過ぎず,民法
715条の要件である指揮監督関係の根拠となるものではない。
また,被控訴人は,月次でアウトソーシングレポート報告会を開催し,
委託業務全般の進捗状況の確認を行うほか,規模の大きな開発・運用案件
については週1回以上のペースで定例ミーティングを実施していたが,被
控訴人が委託元として委託業務の進捗を確認したものに過ぎない。また,
被控訴人は,個人情報の保護要件が変更になった場合には,説明会を実施
して株式会社Aの幹部社員に説明を行うほか,ミスやトラブルが発生した
場合には,その都度株式会社Aのセキュリティの設定状況の確認を行って
いたことについても,被控訴人が委託元として,個人情報保護のための情
報提供や監督を行ったに過ぎず,民法715条の要件である指揮監督関係
の根拠となるものではない。株式会社Aと被控訴人は独立した法人であり,
独立した組織のもと,独自の事業遂行を行っていたのであって,両者は一
体となっていたわけではない。
民法715条1項本文の「ある事業のために他人を使用する」とは,自
らの事業のため他人を補助者として使用していたと同視しうる場合や使用
者と被用者との関係と同視し得る関係がある場合を指すものであるところ,
上記のとおり,本件業務委託契約における被控訴人と株式会社Aとの関係
は,標準的なシステム開発契約における委託者と受託者との関係を超える
ものではない。標準的なシステム開発契約においては,受託者は,独立し
た立場で,契約に従って業務を遂行しているのであって,何ら委託者の補
助者であるとか被用者であるなどとみられる余地はない。
以上のとおり,被控訴人と株式会社Aとの間に実質的な指揮監督関係が
あると認める余地はなく,被控訴人に使用者責任が成立することはない。
選任及び監督についての相当の注意について
なお,仮に,被控訴人と株式会社Aとの間に使用関係が認められるとし
ても,被控訴人が株式会社Aの選任及び監督について「相当の注意」(民
法715条1項但書)をしていたといえる。すなわち,仮に,本件におけ
るような委託関係によって発生する程度の関わりをもって実質的な指揮監
督関係があると認めるとするならば,委託先に対するものとして社会通念
上適切な選任・監督があることをもって,相当な注意をしていたと評価さ
れるべきである。したがって,被控訴人に使用者責任は成立しない。
控訴人に生じた損害の有無及び数額
【控訴人の主張】
ア被控訴人が漏えいした情報は,個人識別のための基本情報のみならず,続
柄も含まれており,これにより,家族関係が一定程度明らかとなる。家族関
係の情報は,社会的差別の原因となりかねない家柄の情報に繋がり得るもの
であり,極めてセンシティブな情報であるといえる。
イそればかりか,被控訴人が漏えいした情報により,被漏えい者の多くが,
子どもの教育に熱心な(少なくとも関心がある)家族の構成員である可能性
が高いという属性が明らかになっている。
このような情報は,入手を欲する者にとっては,ターゲットを絞った効率
的な営業活動等に利用できるから,極めて高い経済的価値を持つ一方,被漏
えい者にすれば,営業活動の一環としての不招請な迷惑勧誘を受けることに
つながる情報であり,通常開示を欲しない情報である。
ウ更に,現代においては,典型的なデータベースソフトウェアが把握・蓄積
・運用・分析できる能力を超えたサイズのデータ(ビッグデータ)を企業間
で共同利用・解析すること等により,一定の属性の者の行動や趣味嗜好,思
想等の分析がなされている。かかるビッグデータは匿名化がなされているこ
とが多く,本来特定の個人と結びつかないデータとなっているが,個人情報
を突合することにより,個人が特定されるおそれがあり,基本情報の流出に
過ぎない場合であっても,その流出は,個人の特定だけでなく,その者の行
動や趣味嗜好,ひいては思想等の把握につながる可能性があるものである。
エ被控訴人が漏えいした個人情報の流出先は,報道によれば,平成27年3
月の時点で約500社にもなっており,流出の範囲は極めて広いばかりか,
もはやその回収が不可能な状況となっている。また,流出先からの再流出の
懸念も大きい。
これにより,控訴人は,将来にわたり,個人特定や更なる個人情報の引出
しが行われる不安はもとより,家柄が特定されたり,行動や趣味嗜好が把握
される不安も付きまとうほか,不招請な営業行為を受けるリスクも絶えない
状況になっている。
オ更に,この情報により,被漏えい者の小中高校等の入学・卒業や成人式な
どのイベントのある時期が特定され,今後とも長期間にわたり,不招請な勧
誘を受ける危険性がある。なお,例えばアメリカ合衆国の「児童オンライン
プライバシー保護法(COPPA)では,13歳未満の児童を対象としたウ
ェブサイト事業者やオンラインサービス事業者で,自らが収集する情報の主
体が児童であることにつき現実の認識を有している者は,その児童の個人情
報を収集,利用,開示する際に,その児童の親に対して通知をしなければな
らず,親の検証可能な同意を義務付けている。このように,児童の個人情報
はより重要なものとして保護すべきであるとされている。
カまた,被控訴人が漏えいした本件個人情報は,続柄や電話番号にも及ぶた
め,所謂オレオレ詐欺のような個人情報を利用した詐欺の勧誘に使われたり,
子供の誘拐にも利用されるおそれがあるから,被漏えい者の不安感は重大で
あるし,長期間継続することになる。
キ以上のような事情を踏まえれば,控訴人に対する慰謝料は,10万円を下
ることはない。
【被控訴人の主張】
ア本件漏えいの対象となった控訴人の本件個人情報は,そもそも人が社会生
活を営む上で他者に開示することが当然に予定されている個人識別情報であ
って(実際に控訴人は,自己の住所・氏名をインターネットに公開してい
た。),基本情報とされるものであり,不法行為法上の被侵害利益として法的
保護の対象となる伝統的なプライバシーの範疇に入るものではない。また,
住所や電話番号などの情報は,変わることがあり得るものである。
そして,たとえ本件漏えいが個人に関する情報をみだりに第三者に開示さ
れないという利益を侵害するもので,不法行為法の被侵害利益の侵害にあた
るとしても,株式会社A及び被控訴人の責任は,故意によるものではなく,
過失によるに過ぎないものである。
イ控訴人には,本件漏えいにより,具体的損害,実質的損害は一切発生して
おらず,また具体的損害,実質的損害が将来発生する蓋然性もない。控訴人
の住所や電話番号は,もともと過去に発行された電話帳(紙媒体)に掲載さ
れていたため,本件漏えい当時において,控訴人の住所や氏名は,インター
ネットにおいて公開されており,現時点でも公開中である(乙89)。また
控訴人の住所氏名は不動産登記情報としても公開されている(乙90)。本
件漏えいにより,控訴人の個人情報(基本情報)が流出したとしても,その
流出先は名簿業者であって,広く全世界に公開されているわけではなく,ま
た,本件漏えい当時,控訴人の名前や住所はすでに名簿に登載されて名簿業
界にあったことは確実であるから,本件漏えいによって,控訴人の置かれて
いる状況が実質的に変わったものでは全くない。控訴人が,損害として主張
するのは,抽象的な不安感や不快感に過ぎない。
もっとも,プライバシーに係る情報が侵害されたことにより抽象的な不安
感や不快感を抱く場合について,一律に損害を否定することはできないとし
ても,それらが違法として損害賠償の問題となるかは一般的平均的な人の感
性を基準として判定されるべきものである。そして,損害賠償制度は,損害
の回復を目的とするものであるから,損害がないか,それが日常ありうる程
度の軽微なものであれば,賠償による救済の対象となりえない。
本件で,本件個人情報が名簿業者に漏えいしたことで想像される事態は,
郵便,電話,メールという公共通信インフラを利用する接触形態によって勧
誘等が行われることであるが,それは日常ごくありふれた行為で,かような
勧誘等は一般に許容されており,その事態をもって,不快感,不安が生じ,
平穏な生活を送る利益が害されるとは,一般に考えられていない。また,事
業者がする広告,宣伝物の送付,電話による勧誘は,事業者にとってはもち
ろん,消費者にとっても商品,役務についての知見を得,取引の便宜が図ら
れる利益があり,ひいては取引機会の増大,経済の活性化の効用をもってい
るのであって,負の側面を強調することは正当ではない。要するに住所,氏
名,電話番号といった情報の名簿業者への流出は,それにより営業や宣伝に
かかる郵便物が増加し,架電がなされることはあり得るが,しかしそれは紙
ゴミが増加し,または一言半句の応答で足る負担をもたらす程度でしかなく,
些細な不快があったとしても日常ありうる程度の軽微なものといえ,それゆ
え,それを超えた不快感,不安感を抱く人があるとすれば,それはその人に
とっての主観的な不快感,不安であって,一般的平均的な人の感性を基準と
したものを超えていると評すべきものである。
ウ早稲田大学江沢民事件(最高裁平成15年9月12日第二小法廷判決・民
集57巻8号973頁)は,プライバシーに係る情報が開示されたことによ
る具体的な損害の発生がないところで,精神的損害(慰謝料)発生を認めた
ものであるが,本件は,同事件と異なって精神的損害(慰謝料)を認めるべ
きではない。すなわち,早稲田大学江沢民事件では,本件と異なり,故意に,
プライバシーに係る情報が無断開示され,また,当該プライバシーに係る情
報はより保護すべき必要性が高く,その開示について違法性が高いという特
別な事情がある点で,本件事案とは全く異なるし,同事件の差戻審判決は,
「本件個人情報の開示が違法であることが本件訴訟において肯定されるなら
ば,控訴人らの被った精神的損害のほとんどは回復されるものとも考えられ
る」とも判示するように,実質的にはてん補されるべき損害の発生があると
は考えておらず,違法を宣伝する効果を与えるために名目的金額として損害
を認定したと考えられている。本件のように,秘匿性が高いものではない情
報が流出した事案において,流出による具体的な損害の発生がなく,抽象的
な不安感・不快感のみが問題となる場合には,開示行為が故意である場合な
どを除き,慰謝料が発生する程度の精神的損害を認める必要はなく,また,
流出後に行為者が相応の対応をとる場合には精神的苦痛は慰撫されるとみて,
慰謝料の発生を認めるべきではない。
特に本件においては,控訴人の住所・氏名等は,控訴人の意思に関わりな
く流通し,名簿業界内はもちろんのこと,全世界に向けて公開されている現
状にあるなか,故意でもない本件事故を理由にして,控訴人に「損害」を認
め,被控訴人の行為を違法と評価することは,控訴人の被害填補や救済の効
果があるものではなく,控訴人が,その意のままに特定の行為のみ取り上げ
て罰を与え“制裁”を課すことを許すようなものであり,不法行為法の目的
に適うものではなく,その弊害は著しいと言わざるを得ない。
第3当裁判所の判断
1認定事実
前記第2の2(前提事実)のほか,後掲各証拠及び弁論の全趣旨によれば,
次の事実が認められる。
被控訴人および株式会社A(甲42,70)
ア被控訴人は,通信教育,模擬試験の実施や雑誌の発行・通販事業を行う
株式会社である。株式会社Aは,被控訴人のいわゆるグループ会社(本
件漏えい当時は被控訴人の100%子会社)であり,被控訴人から委託
を受けてシステム開発及び運用を行っている株式会社である。(前提事
イ被控訴人は,同社の講座等を利用する顧客から会員情報として個人情報
の提供を受け,こうした情報をデータベースとして管理しており,これら
の個人情報を,顧客に対する通信教育講座などの勧誘を目的とした手紙や
電話等による情報提供のための営業情報として利用するなどしていた(甲
18の2,70,73)。
控訴人は,未成年者であるCが被控訴人の講座等を利用するに際し,被
控訴人に対して本件個人情報を提供したもので,被控訴人が,同社の行
う事業活動のために当該情報を利用することについては承諾していた
(弁論の全趣旨)。
ウ被控訴人は,従前,主として顧客管理のシステム及び販売管理のシステ
ムに大別される複数のデータベースに顧客情報を集積して事業活動に利
用していたが,事業の拡大に伴い,顧客情報が集積されているデータベ
ースが大量になったことから,そのリスク管理等のため,平成24年4
月頃,別個に集積されていた顧客情報を統合してその分析に使用するシ
ステム(本件システム)を構築することとして,本件システム開発等の
業務を株式会社Aに委託した(本件業務委託契約)。
被控訴人は,本件業務委託契約において,株式会社Aに対し,本件シス
テム開発に必要な範囲で,本件個人情報を含む被控訴人が管理する個人
情報について株式会社Aの委託業者の従業員がアクセスすることを認め
ていた(弁論の全趣旨)。
エ株式会社Aは,本件業務委託契約に基づいて委託された業務を,被控訴
人の承諾を得て,複数の外部業者に分散して再委託し,再委託を受けた業
者が,さらに別の業者に再々委託することを認めていた。
そして,株式会社Aは,これら再委託先等の業者の従業員(以下,これ
らの者を含めて,単に「業務委託先の従業員」ということがある。)が,
開発業務上必要がある場合に,株式会社Aが貸与した業務用PCから本
件データベースにアクセスすることを認めていた(甲70)。
もっとも,株式会社Aは,本件システム開発業務を行っている従業員が,
再委託先業者に所属する従業員なのか,再々委託先業者に所属する従業
員であるのかといった,株式会社Aとどのような契約関係にある会社の
従業員であるのかを明確に把握しておらず,そのような従業員に対して
も本件データベースに保存された個人情報等に広範囲にアクセスする権
限を付与する場合があり,このため,業務委託先業者の担当者に対する
業務の分配や,付与するアクセス権限を必ずしも適切にコントロールす
ることができていなかった(甲6・7頁)。
なお,Bは,株式会社Aの再委託先業者から業務委託を受けた再々業務
委託先の従業員として当該業務に従事する者であったが,本件システム
開発業務を行うに際し,許可なく,被控訴人及びその顧客の機密情報並
びに個人情報に関する資料を持ち出したり,同情報を複写・複製したり
してはならないことを約していた(甲17)。
本件個人情報の漏えい
業務委託先の従業員であったBは,平成24年4月頃から,株式会社A多
摩事業所において,本件システム開発等の業務に従事するようになった。そ
こで,Bは,本件システムの開発,運用及び保守に関連する業務に従事する
者として本件システムやそれに連携される既存のシステム(以下「連携シス
テム」という。)のデータベース内の顧客情報にアクセスするために必要な
アカウントを教示され,かつ,株式会社Aから貸与された業務用PCを用い
て,本件システム開発等の業務に従事していた。
Bは,平成26年6月17日及び同月27日,株式会社A多摩事業所の執
務室内において,業務用PCから,テラターム(バッチサーバを経由して本
件データベースにアクセスする場合に必要なフリーソフトであり,インター
ネット接続により無償でダウンロードされる[甲19]。)を用いて,バッチ
サーバ経由で本件データベースにアクセスし,本件データベース内に保管さ
れていた,本件個人情報を含む個人情報を抽出の上,業務用PCに保存し,
同PCからUSBケーブルを用いてB所有の本件スマートフォンに転送し,
その内蔵メモリに保存する等の態様により本件個人情報を含む大量の個人情
報を不正に取得した。(前提事実ア)
当時,株式会社A多摩事業所の執務室内においては,業務委託先業者の従
業員が個人で所有する従来型の携帯電話やスマートフォンが日常的に使用さ
れており,これらが,充電のために業務用PCにUSBケーブルで接続され
ることもしばしば行われていた。
Bは,不正に取得した本件個人情報を含む上記個人情報を,名簿業者に売
却した。Bは,上記日時に係る本件漏えいのほかにも不正に取得した顧客等
に関する個人情報があり,これらも併せると不正に取得した個人情報は延べ
約2億1639万件となり,同一人物と見られる個人情報を名寄せして重複
を解消したとしても,約4858万人分という大量のものであった。(甲6)
本件スマートフォン
本件スマートフォンは,通信方式がMTP(メディアトランスファープロ
トコル〔MediaTransferProtocol〕の略。パソコ
ンとスマートフォン等を接続する際に用いられる規格〔甲9〕)に対応して
いた。MTPは,デジタルカメラの画像転送プロトコルをベースに,音楽や
動画ファイルなどを転送することを可能としたデータ転送の一つの規格であ
り,デジタルカメラやICレコーダーなどに採用されており,ファイルシス
テムの管理はこれらデバイス側で行われる。本件スマートフォンがPC(W
indowsをOSとして使用)に接続されると,デバイスドライバや対応
するアプリケーションソフトをインストールすることなく,WPDデバイス
として認識され,同デバイスにデータを転送することが可能となるものであ
った(甲9,99,以下,通信方式にMTPを採用するデバイスを,単に
「WPDデバイス」ともいう。)。
本件漏えい当時に株式会社Aが採用していた安全管理措置(甲70,71,
乙1)
アインターネットとの接点
株式会社Aは,データセンターに設置されている本件サーバ(株式会社
Aが管理する被控訴人のサーバ)と株式会社Aの執務室内の業務用PC
との間を専用回線で繋いでおり,インターネット回線を使用しないこと
として,インターネット環境でのセキュリティ侵害の脅威を可及的に排
除する方針を採っていた。
もっとも,インターネットと接する場面の生じることは避けられないか
ら,株式会社Aは,インターネットと接する部分について,以下のとお
り対策を実施していた。
ファイアウォールを導入し,必要最小限の通信のみ許可(申請ベー
スで変更)する通信制御を実施していた。
不正アクセスについて,外部業者に委託してリアルタイムで監視を
行い,攻撃を検知し,かつ,システムに影響が出ると判断した場合は,
直ちにインシデント対応を実施することとしていた。
リモート接続について,申請制により最小限の人にのみ許可し,か
つ,重要なシステムはアクセスできないという制御を実施していた。
インターネット接続が可能なURLについて,業務で必要なサイト
のみ許可していた。
社外への電子メールを全て保存していた。
イ物理的境界
個人情報が保管されている本件サーバは,隔離されたデータセンターに
設置され,同室への入退室に対して厳しい管理(入館の事前申請・入館
制限《入館許可証の発行又は臨時入館許可証の貸与を受けた者のみ入室
できる。》,私物持込み不可,機器持出し不可及び監視カメラ設置等)
が行われていた。また,個人情報を取り扱う業務の執務室への入退室に
ついても管理(申請制にて入退室制限,入退室記録の保存,監視カメラ
設置等)が行われていたが,個人所有のスマートフォンの持込みや充電
のために業務用PCにUSBケーブルを用いて個人所有のスマートフォ
ンを接続することは認容されていた。
ウ内部ネットワーク
本件データベース内の領域が本番環境と開発環境に分離されて,個々の
領域にアクセスするには,それぞれ別個に設定されたアカウントが必要で
あり,業務上必要なデータベースのみへのアクセスが可能なようにアクセ
ス制御が行われるとともに,私物パソコンの社内ネットワーク接続が禁止
され,全業務従事者個々人に対して,所定の設定がされた業務用PCが貸
与されており,その業務用PCについても,セキュリティ目的で,アクセ
ス及びダウンロードについて全てネットワーク通信記録を取得することに
よる監視が行われていた。
エサーバ(甲6,70)
本件サーバに関しては,アカウント管理が行われ,また「踏み台サーバ」
(直接にサーバにアクセスさせないことにより,外部からの侵入リスクを
軽減させるサーバ)としてバッチサーバを経由させた上で本件サーバにロ
グインすることとし,これらについて個人が特定できる形でサーバへのア
クセスログの記録が保管されていた。
業務用PCと連携システムのデータベースサーバとの間の通信量が一定
の閾値を超えた場合,連携システムのデータベースの管理者である株式会
社Aの各担当部門の部長に対して,メールでアラートが送信されるように
なっていた。しかし,業務用PCと本件データベースとの通信については,
本件システム開発中であったことから,Bによる本件漏えいの当時,上記
アラートシステムの対象として設定する措置は採られていなかった。
オ業務用PCに対するセキュリティ対策(甲74ないし76)
管理者業務で使用するパソコンとそれ以外の業務で使用する業務用P
Cとを分け,担当者に対して専用のパソコンとして貸与し,それぞれ利
用場所を制限していた。また,業務用PCについて設定されていたセキ
ュリティ対策としては,ウイルス対策ソフトの搭載,URLフィルタリ
ングツール(業務に必要なファイルのみ接続を許可する。)の搭載,メ
ールフィルタ(個人情報を記載したメールと判断されたものについての
通信を差し止める。)の設定,その他標準として選定したソフトウェア
の搭載と個人による標準仕様の変更の制限,パスワードの設定等があっ
た。
業務用PCには,前記のほか,セキュリティソフト「秘文」(本件セ
キュリティソフト)が導入されており,その主な機能は,操作ログの記
録,USB等の外部記録媒体への書き込み制御,ディスクの暗号化など
であった。
本件セキュリティソフトは,リムーバブルメディア,CD,DVD,
外付けHDDのほか,イメージングデバイス,WPDデバイス,その他
の制御デバイスなどについて個々にその使用をできなくするように制御
することが可能であった(甲74)。そして,株式会社Aでは,自由に
それら「個々のデバイスについて使用制御措置」をオンにすることがで
きたが,リムーバブルメディア,CD,DVD,外付けHDDについて
制限措置を採っていたものの,WPDデバイスについて,その使用を制
御する措置は採られていなかった(甲75,76)。
また,同ソフトの「書出し制御機能」については,リムーバブルメデ
ィア,CD,DVD,外付けHDDについては可能であったが,それ以
外のWPDデバイスなどについてはできなかった(甲75)。したがっ
て,MTP対応の本件スマートフォン(WPDデバイス)への書出しを
制御することはできず,制御されていなかった。なお,従前のスマート
フォン(データの通信方式にMSCが採られている。)はリムーバブル
メディアとして認識されたから,書出し制御の対象とすることができた
し,実際にも書出し制御されていた(甲75)。
ところで,本件セキュリティソフトにつき,株式会社Aは,平成23
年8月にバージョンアップをしてその設定を完了していたが,それ以降,
平成26年7月までの間,上記セキュリティソフトのバージョンアップ
を行っていなかった。もっとも,本件漏えい時点での最新のバージョン
に設定されていたとしても,本件セキュリティソフトには,通信方式が
MTPのデバイス(WPDデバイス)についての書出し制御機能はなか
った(甲76)。
株式会社Aは,本件漏えい後,本件セキュリティソフトのバージョン
アップをするとともに,その設定を見直し,平成26年7月22日以降
は,リムーバブルメディア,CD,DVD,外付けHDDについては従
前どおり書出し制御の措置を採り,他のデバイスについては,プリンタ,
ネットワークドライブ,無線LAN,パラレル/シリアルポート以外の
ものについて,使用可否制御をすることにより使用することができない
設定とした。これにより,本件スマートフォンのようなMTP対応機器
(WPDデバイス)を接続しても,これらを使用することができなくな
り,それらの機器を外部記録媒体として,データを書き出すこともでき
なくなった。(甲76)
カデータ
本件サーバ上の一定の重要なデータについては暗号化し,また,SQL
ログの記録(データベースにアクセスした記録)を全て取得して保管し
ていた。
キ顧客情報の機密指定,研修等
株式会社Aでは,同社が取り扱う被控訴人の顧客情報を区分し,それら
をそれぞれ機密情報として位置付けていた(被控訴人においても,被控
訴人の顧客情報を機密情報と位置付けていた。)。また,株式会社Aで
は,就業の条件として,個人情報及び機密情報の開示,第三者提供,又
は漏えい等を行わないことを誓約する内容の同意書の提出を求め,さら
に,毎年,業務従事者(株式会社Aの社員であるかどうかにかかわらな
い。)の全員を対象とした情報セキュリティ研修を実施し,セキュリテ
ィソフトによる外部記録媒体への書出し制御の実施等の告知を行うなど
して,個人情報や機密情報の漏えい防止のための注意喚起等を行った上,
研修内容を踏まえたテストを実施していた。
2本件個人情報の被侵害利益性
本件漏えいによって流出した本件個人情報の内容は,Cの氏名,性別,生
年月日,郵便番号,住所,電話番号,保護者名(控訴人の氏名)及び控訴人
とCとの続柄であるところ,まず,Cの郵便番号,住所,電話番号は,Cが
本件漏えい当時10歳に満たない未成年者であったことからすると,控訴人
自身の郵便番号,住所,電話番号でもあると推認できること,また,Cの氏
名,性別,生年月日は,控訴人の個人情報そのものではないとしても,控訴
人の家族関係を表す情報といえることから,本件個人情報は,控訴人の氏名
はもちろんのこと,その他の情報も控訴人の個人情報であると認められる。
そして,本件個人情報は,これを全体としてみれば,控訴人のプライバシ
ーに係る情報として法的保護の対象となるというべきである(本件上告審判
決及び最高裁平成15年9月12日第二小法廷判決・民集57巻8号973
頁参照)。
そして,被控訴人から本件業務委託契約に基づいて本件業務を委託された
株式会社Aの業務委託先の従業員であったBは,被控訴人(株式会社A)が
控訴人から提供を受けてその業務に使用する目的で管理していた控訴人の本
件個人情報を,故意に,名簿業者に売却する意図のもとに不正に取得し,他
の個人情報と一括して名簿業者に売却したものであるから,控訴人のプライ
バシーとして法的保護の対象となる利益を違法に侵害したものと認められる。
3(本件漏えいについての株式会社Aの過失の有無)について
本件漏えいの予見可能性について
ア証拠(甲7,8,16,19,21)によれば,安全対策基準(旧
通商産業省の平成9年のもの)は,情報システムの利用者が実施する対
策項目を列挙し,「情報等の運用に関連する各室の搬出入物は,必要な
物に限定するとともに,その内容を確認し,記録をとること」と記載さ
れていたこと,平成18年のJISQ15001及び平成22年のマ
ネジメントシステム実施ガイドラインにおいては,「事業者は,その取
り扱う個人情報のリスクに応じて,漏えい,滅失又はき損の防止その他
の個人情報の安全管理のために必要かつ適切な措置を講じなければなら
ない。」と規定し,その対策として,個人情報の取得・入力及び利用・
加工の各場面において,外部記録媒体を接続できないようにすることが
掲げられていたこと,平成21年の経済産業分野ガイドラインには,
「個人データを入力できる端末に付与する機能の業務上の必要性に基づ
く限定(例えば,個人データを入力できる端末では,CD−R,USB
メモリ等の外部記録媒体を接続できないようにする。)」が望ましいと
規定されていたこと,平成25年の内部不正防止ガイドラインにおい
ては,「重要情報を取り扱う業務フロア内の領域に個人の情報機器及び
記録媒体を持ち込まれると,個人の情報機器や記録媒体に重要情報を格
納して持ち出される恐れがあること」がリスクとして具体的に指摘され
ており,その対策として,重要情報の格納サーバやアクセス管理サーバ
等が設置されているサーバルームでは,個人所有のノートPCやタブレ
ット端末,スマートフォン等のモバイル機器の持込み・利用を厳しく制
限すること,個人所有のUSBメモリ等の携帯可能な記録媒体等の持込
みを制限し,記録媒体等の利用は会社貸与品のみとすること,重要情報
を扱う物理的区画内の行動についてはカメラ等で監視するとともに監視
している旨を伝えることが記載されていたこと,平成25年のデータ
センターセキュリティガイドブックにおいては,データセンターにおけ
るUSBメモリ等の情報記録媒体や携帯電話の持込み・持ち出し制限及
び画像監視システムがセキュリティ対策として挙げられていたことが認
められ,これらによれば,本件漏えい以前から,外部記録媒体をパソコ
ン等に接続する方法による情報漏えいのリスクが指摘されていたことが
認められる。
また,前記認定のとおり,株式会社Aは,複数のアカウントの設定や
監視など厳重なセキュリティ対策を講じていた上,毎年,正社員及び業
務委託先の従業員の全員を対象とした情報セキュリティ研修を実施し,
その中で,顧客情報の大量持ち出し事例の紹介やスマートフォンを含む
外部記録媒体への書出し制御が実施されている旨を周知させており,大
量の個人情報を保有するものとして,その対策の必要性を認識し,その
徹底を指示していたし,本件漏えい時点において,MTP対応のスマー
トフォン以外の外部記録媒体に対して,書出し制限措置ないしデバイス
使用制御措置を採っていたことが認められる。
これからすると,株式会社A自身も,本件漏えい当時,少なくとも,
MTPに対応していない通信方式のスマートフォン(通信方式がMSC
である従来型のスマートフォン)については,それが業務用PCのUS
Bポートに接続されることにより個人情報を不正に取得される可能性が
あることを認識していたことが認められる。
また,証拠(甲10,50,51,乙36)によれば,平成25年1
月時点において,OSが「Android」であるスマートフォンの契
約数2570万件のうち半数を超える1235万件以上が「Andro
id4.0」以上のバージョンの「Android」端末(MTP対応
のスマートフォン)であったこと,当時の一般的なセキュリティソフト
がWPD使用制限機能(通信方式がMTPである機器はPCのウィンド
ウズ上ではWPDデバイスとして扱われるので,MTP対応機器を使用
制限するには,WPDデバイスの使用を制限する設定とすることで可能
となる。)に対応した時期は,別紙(添付省略)のとおりであり,また,
それら各製品の国内市場におけるシェアが,本件漏えいのあった平成2
6年6月時点で合計すると43.5%以上であったことが認められる
(なお,株式会社Aが業務用PCに導入していた本件セキュリティソフ
トは,MTP制御機能として,未登録デバイスの使用制御ができるもの
であったが,読み取り専用の設定とすることはできないものであった
《乙36》。)。
そして,株式会社Aは,被控訴人から委託された本件システム開発
等の業務について,他社に対して再委託を行い,それらの会社による再
々委託を認め,これら業務委託先の従業員に対し,業務上の必要に応じ
て,事業用PCから本件個人情報を含む大量の個人情報にアクセスする
ことを認めていたうえ,これらの業務委託先の従業員が,株式会社A多
摩事業所の執務室内に私物のスマートフォンを持ち込んで,事業用PC
にUSBを接続して充電を行うことを容認していたのであるから,その
ような従業員の中には,MTP対応スマートフォンを使用する者がいる
であろうことを認識し,あるいは認識しえたと認められる。
そうであるとすれば,株式会社Aは,本件漏えいの時点(平成26
年6月時点)において,通信方式がMSCであるスマートフォンについ
ては個人情報を不正に取得されることがないように本件セキュリティソ
フトによって書出し制御の措置を採っていたというのであるから,スマ
ートフォンを業務用PCのUSBポートに接続して個人情報を不正に取
得される可能性があること自体は認識していたもので,当時,多数のM
TP対応スマートフォンが国内市場に出回っていたのであるから,執務
室内で作業する従業員が,MTP非対応スマートフォン(通信方式がM
SCであるスマートフォン)だけでなく,MTP対応スマートフォンを
執務室内に持ち込んで業務用PCのUSBポートに接続することにより
個人情報を不正に取得される可能性があることを認識し得たものと認め
られる。
イこの点,被控訴人は,本件漏えいの時点におけるMTP対応スマート
フォンの国内シェアは小さかった,本件漏えいの時点におけるセキュリ
ティソフトのうちMTP使用制御機能に対応したものは皆無であった,
本件漏えいによって初めて,スマートフォンを利用した個人情報不正取得
の危険性が認識されたもので,株式会社Aには本件漏えいについての予見
可能性は認められないと主張するので,以下検討する。
「携帯電話端末におけるMTP普及率についての調査報告」(乙35)
には,スマートフォンと従来の携帯電話を併せた台数に対するスマート
フォンの割合は,平成24年3月末で22%,平成25年3月末で36
%,平成26年3月末で48%であり,MTP対応のスマートフォン
(「Android4.0」以降のOSを搭載したもの)のスマートフ
ォン全体における割合は,平成24年6月時点で0.69%,平成25
年6月時点で19.88%,平成26年6月時点で21.41%であっ
たこと,また,平成26年のスマートフォンの出荷台数が2770万台
であったことが記載されている。これによれば,平成26年6月頃のM
TP対応のスマートフォンの台数は,593万台余りあったということ
になる。そして,スマートフォンの契約件数が増加傾向にあり,同年1
2月末の時点で6544万件になることが見込まれていたこと(乙35
の資料1)や,前記アにおいて認定したとおり,MTP(WPD)対応
のセキュリティソフトの国内販売シェアが4割以上であったことからす
ると,本件漏えいの時点におけるMTP対応スマートフォンの国内シェ
アは小さかったとする被控訴人の主張によっても,株式会社Aが,MT
P対応スマートフォンを業務用PCのUSBポートに接続することによ
り個人情報を不正に取得される可能性があることを認識し得たという前
記判断が左右されるものとはいえない。
端末管理・セキュリティ製品におけるMSC・MTP制御機能につい
ての調査報告(乙36)には,平成26年6月当時販売されていた主要
な端末管理・セキュリティ製品について,実用的なMTP制御機能は,
国内市場シェアが高い製品については全く搭載されておらず,実用的な
MTP制御機能を搭載していたと認められる製品は,国内市場シェアが
微少な1製品(ハミングヘッズ株式会社)にとどまり,かつ初期設定で
はMTP制御機能は無効とされていた旨の記載がある。しかし,同報告
においては,「実用的」の意味を「少なくとも読み取り専用の設定(リ
ムーバブルメディアから業務用PCにデータを転送することは可能であ
るが,パソコンからリムーバブルメディアにデータを転送することは不
可能とする設定)ができる場合」と定義し,「実用的」でない製品につ
いてはMTP制御機能を搭載していないものとして扱っているところ,
上記定義に該当するような設定ができれば便宜ではあるが,かならずし
もそれがないことをもって実用的でないと評価し得るものではなく,そ
もそも一般的なWPDデバイスの使用制御機能は前記アにおいて認定し
たとおり,国内シェアの合計が4割を超える日本電気株式会社等の7つ
の商品が本件漏えい以前の時期に備えていたし,また,通信方式がMT
Pである機器はPCのウィンドウズ上ではWPDデバイスとして扱われ
るので,MTP対応機器を使用制限するには,WPDデバイスを使用制
限することで可能となるのであるから,上記報告をもって,MTP使用
制御機能に対応したものは皆無であったとすることはできず,被控訴人
の主張は採用できない。
被控訴人は,経済産業分野ガイドラインにおいて,本件漏えい当時に
は,MTP対応スマートフォンに対して何らかの対策を講じるべきとの
具体的記載がなされておらず,本件漏えい事件が発生した結果,そのよ
うな対策が追加されることになったことから,本件漏えい当時,MTP
対応スマートフォンに対して制御措置を採るべき注意義務はなかったと
主張する。そして,特定非営利活動法人日本ネットワークセキュリティ
協会で(役職名省略)を務めるとともに一般社団法人日本スマートフォ
ンセキュリティ協会で(役職名省略)を務めるEの意見書(乙33「わ
が国におけるPCの外部記憶媒体とスマートフォンの歴史について」)
には,本件漏えいは,それが発生する以前には一般に認識されていなか
ったセキュリティの脆弱性によって発生したもので,本件漏えい事件に
よって初めて,リムーバブルメディアとしての携帯電話(スマートフォ
ンを含む。)が外部記録媒体として使用される危険性があることが認識
され,セキュリティ業界がその対策をとるようになったのであり,大手
セキュリティベンダーでさえ予見できていなかったものを,ユーザーで
ある株式会社Aが予見することは不可能であった旨が記載されているほ
か,情報セキュリティの専門家等の記事(乙37,38)にもその旨の
記載がされている。
しかし,経済産業分野ガイドライン等の記載内容が,直ちに,被控
訴人及び株式会社Aの注意義務の存否の判断を基礎づけるものではない
ことは被控訴人も認めるとおりであり,本件漏えいの時点における状況
に照らして,株式会社Aが,MTP非対応スマートフォンだけでなく,
MTP対応スマートフォンを業務用PCのUSBポートに接続すること
により個人情報を不正に取得される可能性があることを認識し得たこと
は前記アで認定したとおりであって,これらの点は,前記判断を左右す
るものではない。したがって,これらの被控訴人の主張は採用できない。
なお,前記認定のとおり,本件システム開発業務が行われていた株
式会社A多摩事業所の執務室内には,株式会社Aの業務委託先の従業員
による私物の携帯電話やスマートフォンの持込み及び使用が自由に行わ
れており,これらを,充電のために業務用PCのUSBポートに接続す
ることもしばしば行われていたものであるところ(なお,Bが自己所有
の本件スマートフォンが外部記録媒体となり得ることに気付いたのも,
同スマートフォンを充電のために業務用PCにUSBケーブルを接続し
たことによるものであった。),株式会社Aは,自己の事業所内の執務
室で行われていた以上のような業務委託先の従業員による私物スマート
フォンの使用等の状況を当然に認識していたものと認められる。
そして,前記認定のとおり,株式会社Aは,自己の従業員以外の業務
委託先の従業員に株式会社A多摩事業所の執務室内で委託業務を行わせ,
これらの従業員が執務室内の業務用PCを使用して本件個人情報を含む
大量の個人情報にアクセスすることを認めていたのであるから,以上に
よれば,株式会社Aは,個人情報にアクセスすることができる業務用P
Cに,業務委託先の従業員が,個人所有のスマートフォンをUSBポー
トに接続することについては,これを容認していたものであるといわざ
るを得ない。
ところで,株式会社Aが,本件漏えい当時,少なくとも,通信方式が
MSCであるスマートフォンについては,それが業務用PCのUSBポ
ートに接続されることにより個人情報を不正に取得される可能性がある
ことを認識した上で不正取得を防止するための対応をとっていたことは
前記認定のとおりであり,そのような中で,株式会社Aにおいて,上記
のように個人所有のスマートフォンを業務用PCに接続することを容認
する以上は,本件漏えい当時,業務委託先の従業員が持ち込む可能性の
あるすべての私物スマートフォンについて,それが業務用PCのUSB
ポートに接続されることで個人情報を不正に取得されるリスクがあるか
否かを日常的に調査確認し,そのリスクがあれば,これを防止する措置
を講ずべき必要性を認識していたものと認められる。
そして,本件漏えい当時においても,株式会社Aが,以上の点につい
て必要な調査確認を行っていれば(本件セキュリティソフトの製作業者
に確認するなど),MTP対応のスマートフォンが流通していたことを
容易に把握することができたと認められ,このようなスマートフォンが
業務用PCのUSBポートに接続されることによって個人情報を不正に
取得されるリスクがあることや,本件セキュリティソフトによって,そ
のリスクを回避できるか否かを容易に認識しえたと認められるから,そ
の意味においても,株式会社Aには,本件漏えいの危険性について予見
可能性があったというべきである。
ウ以上によれば,株式会社Aは,本件漏えい当時,本件漏えいに用いられ
た方法であるMTP対応のスマートフォンを業務用PCのUSBポートに
接続する方法で,本件個人情報が不正に取得されるリスクがあることを予
見し得たというべきである。
次に,被控訴人は,株式会社Aに,本件漏えいのリスク
があることについて予見可能性が認められる場合においても,控訴人の主張
する各措置を講ずべき義務を負うものではないと主張するので,この点につ
いて検討する。
本件漏えいは,本件システム開発等の業務委託先の従業員であったBが,
被控訴人ないし株式会社Aが管理していた本件個人情報を含む大量の個人情
報を不法に取得して第三者に売却することを意図して行った故意の不法行為
であるところ,被控訴人ないしは株式会社Aが,本件システム開発等の目的
から,Bら業務委託先の従業員に,本件個人情報を含む大量の個人情報への
アクセスを認めていたことが要因となって本件漏えいを生じたものと認めら
れる(なお,本件において,控訴人が,本件個人情報を被控訴人に提供する
において,同情報を被控訴人以外の第三者に取り扱わせることを包括的に承
認していたとの事情は認められない。)。
そして,本件漏えいは,外部と繋がるインターネット環境を利用した不正
アクセス等によって行われたという態様ではなく,被控訴人ないし株式会社
Aから株式会社A多摩事業所の執務室内で個人情報に接することを許された
株式会社Aの業務委託先の従業員であるBによって行われた,犯罪者が特定
されることを意に介さずになされた情報侵奪とその漏えい事案であったもの
で,このような者による本件漏えいを防止するためには,そもそも犯罪抑止
効果を狙ってのセキュリティシステムである監視カメラやアラートシステム
の設定といった措置は効果がないというべきであって,このような者に対応
した予防措置としては,株式会社Aにおいて,スマートフォンの持込み禁止
の措置,書出し制御措置(WPDデバイス使用制御措置),物理的にUSB
ポートを塞ぐなどの接続禁止措置を採るべき義務を負っていたといえるかど
うかが問題となる。なお,最後のUSBポートを塞ぐといった物理的な措置
は,例えばUSBデバイスであるマウスやキーボードさえもが接続すること
ができなくなり,制約として過度なものであって,現実的措置とはいえない。
そこで,株式会社Aが,本件漏えいという結果を回避するために,それ以外
の2つの措置を採るべき義務を負っていたと認められるかについて検討する。
アスマートフォンの持込み禁止
株式会社Aは,本件漏えい当時,委託先の
従業員が私物のMTS対応スマートフォンを株式会社A多摩事業所の執
務室内に持ち込み,業務用PCのUSBポートに接続することによって
本件個人情報を含む大量の個人情報を取得するリスクがあることを予見
しえたと認められるところ,株式会社A多摩事業所の執務室内における
私物のスマートフォンの持込み制限措置を採ることは,株式会社Aにと
って,コストも手間もかからない最も容易かつ効果の大きい不正防止対
策であったと認められ,株式会社Aが,Bが執務していた執務室内に,
同人の私物のスマートフォン(本件スマートフォン)を持ち込むことを
禁止する措置を採ってさえいれば,本件漏えいを回避することができた
といえる。
そうすると,株式会社Aは,本件漏えい当時,被控訴人から業務上の
必要によって利用することを許されていた本件個人情報を含む大量の個
人情報について,業務委託先の従業員に業務用PCを利用してアクセス
することを認めていたところ,これらの従業員が業務用PCに個人所有
のスマートフォンを接続することを容認していたというのであるから,
業務委託先の従業員がMTP対応スマートフォンを執務室内に持ち込ん
で,上記個人情報に接することのないように適切な措置を採るべき注意
義務を負っていたというべきであり,これを怠ったことについて過失が
あるというべきである。
付言するに,確かに,Bの担当していた業務が,機密性の高い個人
情報等の情報を扱う業務というよりも,基本的には通常の事務作業であ
るというようなものであったならば,私物のスマートフォンの持込みを
一切禁止するというのは,当該執務環境において従事する者にとって,
非常に大きな制約となる場合があると思われる。しかし,Bの担当して
いた業務の内容は,本件サーバにアクセスして,本件データベースを扱
って本件システムを開発するというものであり,機密性の高い個人情報
に直接,頻繁に接する業務であった。そのような業務の内容からして,
Bが本件システムを開発する業務と同時に,それ以外の通常の事務作業
を並行して遂行する必要はなかったし,その業務を行うにおいて,私物
のスマートフォンを使用する必要性が高いものであったことを認めるに
足りる証拠もない。そうすると,Bは,その執務していた場所こそ執務
室であったが,基本的にはサーバルーム内での作業と遜色ない内容の業
務を,執務室から本件サーバにアクセスして遂行していたものというこ
とができる。これは,外部記録媒体になり得るスマートフォンの持込み
を制限する措置を採ることを検討するべき業務を執務室内で担当してい
たものといえ,執務室内にスマートフォンの持込みを禁止したとしても,
その業務に支障を生じるものであったとはいえない。なお,Bが作業し
ていた同じ執務室内で他の従業員がどのような業務を担っていたのかは
明らかでなく,仮に他の従業員が通常の事務作業を行っていたとしても,
少なくともBについては,機密性の高い個人情報である本件データベー
スを扱って本件システムを開発する業務を行っていたのであるから,同
人がその私物のスマートフォン(外部記録媒体になり得る。)を持ち込
むことを許してはならず,株式会社Aにおいて,本件漏えい当時,Bの
ように本件システム開発作業に従事させている者との関係でも,執務室
内に私物のスマートフォンの持込みを禁止する措置を講ずべき注意義務
があったというべきである(なお,仮に,執務室内でのスマートフォン
の使用が必要な事情があれば,私物のスマートフォンを禁止したうえで,
株式会社Aが貸与するスマートフォンを利用させる方法も考えられると
ころである。)。
そして,以上のとおり,株式会社Aにスマートフォン持込み禁止の
注意義務を認めることは,以下のとおり,安全対策基準には,「搬出
入物」について,「情報システム等の運用に関連する各室の搬出入物は,
必要な物に限定すること。」との記載があり,内部不正防止ガイドラ
インには,個人のノートパソコンやスマートデバイス等のモバイル機器
及び携帯可能なUSBメモリ等の外部記録媒体の業務利用及び持込みを
制限しなければならない旨の指摘があることにも沿うものといえる。
a安全対策基準について
安全対策基準(甲16)には,「搬出入物」について,「情報シス
テム等の運用に関連する各室の搬出入物は,必要な物に限定するこ
と。」と記載されている。この点,被控訴人は,安全対策基準が改正
されたのが平成9年が最後であるところ,同年当時は未だスマートフ
ォンが市場で流通していなかったから,安全対策基準が具体的にスマ
ートフォンを念頭に置いて策定されたとはいえないと主張する。しか
し,その時点では存在しない機器であっても,既に,セキュリティ保
全のためには,搬出入物は必要な物に限定するという基準が置かれて
いるのであるから,その趣旨に沿わない物は,将来的に開発される機
器を含めて,その持込みを排除すべきとの趣旨には合理性が認められ,
当時,スマートフォンが流通していないことをもって,安全対策基準
の想定する対象物から除外すべきものと解することはできない。
b内部不正防止ガイドラインについて
内部不正防止ガイドライン(甲14)においては,個人のノートパ
ソコンやスマートデバイス等のモバイル機器及び携帯可能なUSBメ
モリ等の外部記録媒体の業務利用及び持込みを制限しなければならな
いとの指摘があるが,他方で,対策のポイントとして,「持込み制限」
については,「その場所で扱う重要情報の重要度及び情報システムの
設置場所等を考慮する必要がある」旨の,また,「重要情報の格納サ
ーバやアクセス管理サーバ等が設置されているサーバルームでは,個
人所有のノートPCやタブレット端末,スマートフォン等のモバイル
機器の持込み,利用を厳しく制限します。」との記載がされている。
この点,被控訴人は,内部不正防止ガイドラインは,「USBメモ
リ等の記録媒体」と「スマートフォン等のモバイル機器」とを区別し
ており,「スマートフォン等のモバイル機器」については「サーバル
ーム」のみを対象としてその持込み・利用を制限する運用を推奨して
いたのであって,「サーバルーム」以外の執務室等は対象としていな
かった旨主張する。
確かに,重要な情報が直接格納されているサーバの所在する場所で
は,外部記録媒体をサーバ等の機器に直接接続することが可能であり,
当該情報に直接アクセスすることが可能となることから,そのような
可能性を高い確率で制限できる措置を採る必要があると考えられるの
に対し,通常の執務室のように,別のサーバや機器を経由して,当該
情報に接することができるにすぎない場合には,必ずしも,同様の厳
しい制限をすることまで要求されていないと解することも可能ではあ
る。しかし,上記ガイドラインの趣旨は,重要情報に接触することが
できる業務に際しては,当該情報にアクセスすることによりそれが流
出することを防止するという点にあることは明らかであり,そのため
に,個人所有の外部記録媒体を持ち込むことを禁じているのであるか
ら,スマートフォン等のモバイル機器を持込み禁止とすべきかどうか
については,重要情報に接触する業務を行う場所であるか否かをもっ
て判断されると解するのが合理的である。上記ガイドラインがサーバ
ルームを記載するのは,重要情報に接触する機会が多いのがサーバル
ームであるから,それを例示的に取り上げているものと解され,サー
バルーム以外の場所を対象外とする趣旨ではないと解される。
そうすると,内部不正防止ガイドラインもまた,重要情報に接触
する業務を行う場所である場合には,私物のスマートフォンの執務室
内への持込みを禁止すべき注意義務があることを認めないとするもの
ではないというべきである。
cデータセンターセキュリティガイドブック
なお,データセンターセキュリティガイドブック(甲7)では,
共有区画として,オフィスとサーバルームに区別され,サーバルーム
については,脅威として情報の不正持ち出しの指摘があり,管理策と
して記録媒体の持込み禁止ルールの記載があるが,他方で,オフィス
について,その脅威として不正侵入の指摘があるのみで,管理策とし
て画像監視システムと入退管理システムの記載があるにとどまること
に照らすと,データセンターセキュリティガイドブックの記載は,場
所により区分しているものと解されるが,オフィスであっても,通常
業務が行われている場所だけとは限らず,本件の業務委託のように,
専ら本件システム開発業務のために,サーバにアクセスして重要な情
報に接続可能な状態で委託業務を遂行している場面においては,おの
ずからそのセキュリティ対策の程度に差異が生じるのであって,Bの
担っていた本件システム開発業務は,サーバルーム内での業務と何ら
遜色のないものであったと考えられるから,上記の基準を作業場所の
名称だけをもって単純に当てはめるのでは,セキュリティ保全を図る
上記基準の趣旨を損なうものになることは否めない。したがって,デ
ータセンターセキュリティガイドブックの記載をもって,上記判断を
左右することはできない。
イ書出し制御措置及びWPDデバイス使用制御措置について
ところで,控訴人の注意義務違反の主張は選択的であるから,本件に
おいては,その余の義務違反については検討するまでもないところであ
るが,株式会社Aにおいて,他の結果回避措置を採ることで義務違反を
免れることもできる関係にあるから,書出し制御措置を講じる義務を負
っていたかについても検討する。
前記株式会社Aにおいては,本件漏えい当時,
MTP対応スマートフォンによる個人情報の漏えいの危険性を認識し得
たのであるから,仮に,執務室内への私物スマートフォンの持込み禁止
措置を行わないのであれば,情報漏えいを防ぐのに実効性が高く,かつ
業務従事者に対して必要以上に制約が生じない方法でもあった情報の書
出し制御措置ないしWPDデバイス使用制御措置を採るべき義務があっ
たと解される。
確かに,被控訴人が本件漏えい当時使用していた本件セキュリティソ
フトには,MTP対応スマートフォン(WPDデバイス)への書出し制
御機能が備わっていなかったことが認められるが,前記イ記載のとお
り,MTP対応スマートフォン(WPDデバイス)への書出し制御機能
を有するセキュリティソフトは,本件漏えい当時,日本国内で入手可能
な状況にあったし,WPD使用制御機能は被控訴人が使用していた当時
のバージョンの本件セキュリティソフトにも搭載されていたことが認め
られるのであるから,上記対策を採ることに特段の支障はなかったとい
うべきである。
そうであるのに,株式会社Aは,リムーバブルディスク,CD/D
VD,外付けハードディスクについてのみ使用制御の措置を採っていた
だけで,本件スマートフォンを含むMTP対応の他の種々のWPDデバ
イスについては,これを接続して使用することが可能な状態にしており,
それらを外部記録媒体として使うことによって,情報を書き出すことが
可能な状態にしていたことが認められ,このことを調査確認によって容
易に認識しえたにもかかわらず,本件セキュリティソフトにより,特定
のUSBメモリ以外は全てが使用できなくなっていると思っていたため
に(甲75),上記対策をとることを怠っていたことが認められる。
この点,被控訴人は,本件漏えい当時,MTP対応スマートフォ
ンを含むスマートフォンに対する書出し制御措置を採るべきと明示して
いたガイドライン等はなかった,株式会社Aや被控訴人の情報セキュ
リティ対策は高度なものであり,他社の情報セキュリティ対策と比較し
ても,十分なものであったと主張する。
しかし,被控訴人(株式会社A)は,本件個人情報を含む大量の個人
情報を扱っていたものであるところ,上記認定のとおり,本件漏え
い当時,MTP対応スマートフォンによる情報漏えいの危険性を予見で
き,これを回避するための書出し制御措置ないしWPDデバイス使用制
御措置を採ることができたものと認められるのであるから,ガイドライ
ン等に記載がなかったことや同様の措置を採っている企業や法人が少な
かったとしても,前記判断が左右されるものではない。
確かに,本件セキュリティソフトには,MTP対応スマートフォンへ
の書出しを制御することができる機能は備わっていなかったから,書出
しを制御するためには,WPDデバイスの使用を制御することにならざ
るを得ず,したがって,デジカメやオーディオプレーヤーといったWP
Dデバイスは総じて使用することができなくなるという不便を生じるこ
とになる。しかし,株式会社Aにおいて,本件システム開発等の業務を
遂行するにつき,Bが使用する業務用PCにWPDデバイスを使用する
ことができなくすることによって,その業務遂行が行えなくなるなどの
弊害が生じるということの主張立証はない(株式会社Aや被控訴人のス
タンスとして,広く制御するという考え方をとっていなかったというに
すぎない。)。現実にも,本件漏えい後の平成26年7月14日以降,
株式会社Aは,対応策として,WPDデバイス,イメージングデバイス
その他の制御対象デバイスの使用を制御する措置を採ったというのであ
るから,本件システム開発業務において,業務用PCにWPDデバイス
を接続してデータを通信する必要性があったものとは認められず,そう
であれば,本件漏えい以前からこれと同じ対策を講ずることができたと
いうことができる。そして,仮に,本件システム開発業務を行う従業員
において,特定の機器(WPDデバイス)を接続する必要性が生じた場
合には,その都度,株式会社Aの承認の下に,当該機器についてだけ上
記制御措置を解除して接続することも可能であったから,上記の単なる
不便さが生じることをもって,WPDデバイスに対する使用制御措置を
採らなかったことを正当化し得る理由とはならない。
なお,株式会社Aにおいて,WPDデバイスに対する使用制御措置を
採ることが困難な事情が認められるのであれば,それに代えて,上記の
とおり,本件スマートフォンを執務室内に持ち込むことを禁止する措置
を採るべきであったと認められる。
以上,株式会社Aは,本件漏えい当時,MTP対応スマートフォンを
含むWPDデバイスに対する使用制御措置(書出し制御措置を含む。)
を採っていなかったことについて注意義務違反(過失)があったといわ
ざるを得ない。
以上のとおり,本件漏えい当時,株式会社Aには,本件漏えいを予見でき
たのに,MTP対応スマートフォンの持込みを禁止すべき注意義務ないしは
これに対するデバイス使用制御措置(書出し制御措置を含む。)を採るべき
注意義務に違反して,本件漏えいを生じさせた過失があったと認められる。
そうである以上,株式会社Aは,上記の各注意義務に違反して本件個人情
報をBに利用させたことにより,Bの故意による本件漏えいを生じさせたも
のであり,控訴人に対し,Bと共同して不法行為責任を負うべき立場にある
と認められる。
4本件漏えいについての被控訴人の過失)について
本件漏えいの予見可能性
本件個人情報を含む大量の個人情報を管理して営業に利用してきた被控訴
人においても,本件漏えい当時,本件漏えいの方法で個人情報を不正に取得
できる可能性があることを予見できたことは,前記3において,株式会社
Aについて記載したところと同様である。
そこで,以下,被控訴人が,控訴人の主張する各措置を採らなかったこと
について,注意義務違反が認められるかを検討するに,控訴人が主張する個
人情報の利用・管理に責任を持つ部門の設置義務については,かかる組織が
あったとしても,当該組織が本件漏えいの発生を回避するためにどのような
具体的対応をすることができたのかは主張としても不明といわざるを得ず,
当該組織を設置しただけで,本件漏えいを回避できたとは認められない。ま
た,株式会社Aに対するのと同様のスマートフォン持込み禁止等にかかる種
々の注意義務については,本件漏えい当時,株式会社Aが被控訴人の100
%子会社であったというだけでは,株式会社Aの過失を被控訴人の過失と同
視することはできないから,これらの点において被控訴人の過失をいう控訴
人の主張は理由がなく,結局,委託先選任及び監督にかかる注意義務違反が
あるか否かを検討することになる。
委託先選任及び監督にかかる注意義務違反について
ア被控訴人は,本件個人情報を含む大量の個人情報を顧客から提供を受け
て管理し,これを個人情報提供者の了解の下に,営業目的等に使用して
いたところ,本件システム開発等の業務に必要であるとして,業務委託
先である株式会社A及びその再委託先等の従業員が委託業務に必要な範
囲でこれらの個人情報に接することを認めていたものである(なお,被
控訴人が,業務委託先の従業員に上記個人情報へのアクセスを認めるこ
とについて,個人情報提供者から明示の承諾を得ていたことを認めるに
足りる証拠はない。)。
イところで,個人情報保護法22条は,「個人情報取扱事業者は,個人デ
ータの取扱いの全部又は一部を委託する場合は,その取扱いを委託され
た個人データの安全管理が図られるよう,委託を受けた者に対する必要
かつ適切な監督を行わなければならない。」と規定し,経済産業分野ガ
イドライン(甲8)には,「必要かつ適切な監督」に関し,委託先を適
切に選任すること,委託先に個人情報保護法20条に基づく安全管理措
置を遵守させるために必要な契約を締結すること,委託先における委託
された個人データの取扱い状況を把握することが含まれる旨の記載があ
り,JISQ15001(甲21)は,「3.4.3.4委託先の監
督」において,「事業者は,個人情報の取扱いの全部または一部を委託
する場合は,十分な個人情報の保護水準を満たしている者を選任しなけ
ればならない。このため,事業者は,委託を受ける者を選任する基準を
確立しなければならない。」,「事業者は,個人情報の取扱いの全部又
は一部を委託する場合は,委託する個人情報の安全管理が図られるよう,
委託を受けた者に対する必要,かつ,適切な監督を行わなければならな
い。」等と規定し,マネジメントシステム実施ガイドラインは,「審査
の着眼点」として,「委託先を選定する基準として,該当する業務につ
いては少なくとも自社と同等以上の個人情報保護の水準にあることを客
観的に確認できること,選定基準は具体的で運用可能なものであること」
等を例示している。
そして,以上によれば,大量の個人情報の運用管理を株式会社Aに委託
していた被控訴人には,本件漏えい当時,個人情報の管理について,委
託先に対する適切な指導監督をすべき注意義務があったところ,前記
記載のとおり,被控訴人は,本件漏えい当時,本件漏えいの方法による
個人情報の漏えいの危険性を予見し得たにもかかわらず,株式会社Aに
対し,本件セキュリティソフトがMTP対応スマートフォンに対する書
出し制御機能等を備えているか否か,株式会社Aの業務委託先の従業員
が,被控訴人が管理する個人情報にアクセスすることができる業務用P
CのUSBポートに個人の所有するスマートフォンを接続できる状況に
あったかどうかについて適切に報告を求めていなかったもので,これら
について適切に指導監督を行っていれば,MTP対応スマートフォンに
対する書出し制御機能に対応したセキュリティソフトへの変更を指示す
るか,あるいは,本件セキュリティソフトのままであっても,MTP対
応スマートフォン(WPDデバイス)に対する使用制御措置を採るよう
に指示することができたものであり,それが困難であったとしても,株
式会社Aに対し,業務委託先の従業員が本件個人情報を含む大量の個人
情報に接することができる執務室内に,個人のスマートフォンを持ち込
むことを禁止するよう指示することができたというべきで,このような
指導監督を行うことについて,被控訴人に過度の負担が生じるというこ
とはなかったと認められる。
そうすると,被控訴人には,本件漏えい当時,株式会社Aにおける被控
訴人の有する個人情報の管理につき,セキュリティソフトの変更やWPD
デバイスの使用制御措置の設定変更,執務室内への個人スマートフォンの
持込み禁止について適切に監督をすべき注意義務があったというべきであ
り,それにもかかわらず,被控訴人は,本件漏えい当時,これらについて
指示することなく放置していた結果,本件漏えいを回避することができな
かったのであるから,上記注意義務に違反したといわざるを得ない。なお,
経済産業大臣作成の平成26年9月26日付け「個人情報の保護に関する
法律第34条第1項の規定に基づく勧告について」と題する書面において
も,被控訴人が,株式会社Aに対して行う定期的な監査において,当該情
報システムの対象範囲を監査の対象としていなかった等,委託先に対する
必要かつ適切な監視を怠っていたことが同法22条に反すると指摘されて
いる(甲24の2)。
ウこの点,被控訴人は,本件漏えい当時,経済産業分野ガイドラインや情
報セキュリティ対策の一般的な水準からしても,明らかに高度な水準で株
式会社Aに対する委託先監督を実施していた旨主張する。しかし,被控訴
人は,大量の個人情報の運用管理を株式会社Aに委託して,被控訴人と直
接の契約関係のない株式会社Aの業務委託先の従業員が本件個人情報を含
む大量の個人情報に接することを容認していたもので,本件漏えい当時,
MTP対応スマートフォンによる情報漏えいの危険性を予見でき,株式会
社Aに対する監督によって本件漏えいを回避することができたと認められ
るのであるから,ガイドライン等に具体的に記載がなかったことや同様の
措置を採っている会社が少なかったとしても,前記判断が左右されるもの
ではない。
以上のとおり,被控訴人は,個人情報提供者から提供を受けた個人情報を
適切に管理すべき立場にあるところ,本件漏えいのリスクを予見できたのに,
当該個人情報の利用を認めた株式会社Aに対する適切な監督義務に違反した
結果,Bによる本件漏えいを生じさせたものと認められるから,控訴人に対
し,これによって生じた損害について不法行為責任(民法709条)を負う
ものと認められる。
そして,被控訴人と株式会社Aの不法行為(及びBの本件漏えいによる不
法行為)は,被控訴人が保有し,その管理を株式会社Aに委託して管理させ
ていた本件個人情報の漏えいに関するものであり,客観的に関連することは
明らかであるから,共同不法行為に当たると認められる(民法719条1項
前段)。
そうである以上,控訴人が選択的に主張する被控訴人の株式会社Aに対す
る使用者責任(争点)並びにBの本件漏えい行為を不法行為としてそれ
に対する株式会社A及び被控訴人それぞれの使用者責任アイ)を問
う主張については,いずれも判断する必要がない。
5争点(控訴人に生じた損害の有無及び数額)について
前記2で判断したとおり,本件個人情報は,控訴人のプライバシーに係る
情報として法的保護の対象となるというべきであるから(本件上告審判決及
び最高裁平成15年9月12日第二小法廷判決・民集57巻8号973頁参
照),上記認定事実によれば,本件漏えいによって,控訴人はそのプライバ
シーを侵害されたと認められる。
そして,本件漏えいは,経済的に困窮したBが,本件個人情報を含む大量
の個人情報を名簿業者に売却して金銭を得る目的で行ったものであるところ,
個人情報が外部に漏えいしてプライバシーが侵害された場合に,当該被漏え
い者が精神的苦痛を被ったか否か及び被った精神的損害を慰藉するに相当な
額を検討するに当たっては,流出した個人情報の内容,流出した範囲,実害
の有無,個人情報を管理していた者による対応措置の内容等,本件において
顕れた事情を総合的に考慮して判断すべきである。
本件で流出した個人情報の内容は,Cの氏名,性別,生年月日,郵便番号,
住所,電話番号,保護者名(控訴人の氏名)及び控訴人とCとの続柄である
ところ,まず,Cの郵便番号,住所,電話番号は,Cが本件漏えい当時10
歳に満たない未成年者であったことからすると,控訴人自身の郵便番号,住
所,電話番号でもあると推認できること,また,Cの氏名,性別,生年月日
は,控訴人の個人情報そのものではないとしても,控訴人の家族関係を表す
情報といえることから,本件個人情報は,控訴人の氏名はもちろんのこと,
その他の情報も控訴人の個人情報であると認められることは前記2で判断し
たとおりである。
次に,これらの情報のうち,控訴人の氏名,郵便番号,住所及び電話番号
は,いずれも控訴人の個人識別情報と連絡先であり,自らが生活する領域に
おいては,必要に応じて第三者に開示される性質の情報であって,こうした
情報だけでは,個人の職業等の社会的地位,資産等の経済的な情報や思想信
条等の情報と一体となっている情報に比べると,一般的に「自己が欲しない
他者にはみだりに開示されたくない」私的領域の情報としての性質は低いと
いえる(実際に,証拠《乙89及び90》によれば,控訴人の住所・氏名及
び電話番号はホームページ上に開示されており,その住所及び氏名は不動産
登記情報にも記載されている。)。もっとも,こうした情報も,今日のよう
に,情報ネットワークが多様化,高度化し,容易に入手可能なさまざまな情
報を組み合わせることによって趣味嗜好や思想等まで把握されかねない危険
性のあることが危惧されていることにも鑑みると,本件個人情報は,個人特
定の基本となるベース情報として機能し,それを基に情報集積がされかねな
いものとしては重要な価値を持つものと評価すべきである。また,子の氏名,
性別,生年月日及び控訴人との続柄については,これらも日常的に開示され
ることが多いものであるとはいえ,家族関係が一定程度明らかになる情報や
教育に関心が高いという属性が含まれており,前者に比してより私的領域性
の高い情報ということができる。
ところで,本件個人情報は,情報流出元が被控訴人という教育関係の会社
であったことや控訴人の年齢等から今後の学業生活等に関する支出が見込ま
れる顧客情報として,それらに関係する業者からは価値のある情報として有
望視されることは避けられないものといえ,控訴人にとって,それら業者等
からの広告,販売活動を受け,それに煩わしさや不快を感じる機会が増大す
ることが予想される。もっとも,控訴人においても,現時点では,個人情報
を利用した詐欺などの具体的な金銭被害は生じていないとし,ダイレクトメ
ールや勧誘の電話が増加することは顕著な事実であると主張するだけで(控
訴人第4準備書面),現実にそれらが増えたという主張はなく,したがって,
ダイレクトメールが増大するなどして,控訴人に何らかの実害が生じたこと
はうかがわれない(なお,もともと,本件個人情報は,Cの個人情報として
被控訴人に提供されたものであり,本件漏えいによってC個人に生ずる精神
的苦痛による損害も想定されるところ,Cと控訴人が同居していることを踏
まえても,これを控訴人の損害として考慮することは相当ではない。)。
しかし,その流出範囲については,本件漏えいにより,二次的拡散も発生
しており500社を超える名簿業者等に情報が漏えいしたとの発表があり
(甲46),被控訴人においてもそれを確認する術がない状況にあって,流
出した情報の全てを回収して抹消させることは不可能な状況となっていると
いわざるを得ない。被控訴人に個人情報を開示した顧客の一人である控訴人
にとって,控訴人の承諾もないままにBによって故意かつ営利目的を持って
本件個人情報が流出したこと自体が精神的苦痛を生じさせるものである上,
その流出した先の外縁が不明であることは控訴人の不安感を増幅させるもの
であって,このような事態は,一般人の感受性を基準にしても,その私生活
上の平穏を害する態様の侵害行為であるというべきである。
この点,被控訴人は,本件漏えいでは,本件個人情報が流出しただけであ
って,抽象的な不安感にとどまるから,損害賠償請求の対象となり得る損害
に該当しないなどと主張する。しかし,具体的に名簿利用による勧誘や電話
により日常生活に支障を及ぼすなどの損害が発生したときには,それが本件
漏えいと相当因果関係のある損害であることを立証して損害賠償請求できる
ことはもちろん,それに至らない場合であっても,本件個人情報を利用する
他人の範囲を控訴人が自らコントロールできない事態が生じていること自体
が具体的な損害であり,控訴人において予め本件個人情報が名簿業者に転々
流通することを許容もしていないのであるから,上記のような現状にあるこ
と自体をもって損害と認められるべきである。
他方,被控訴人の持株会社であるベネッセホールディングスは,本件漏え
いの発覚後直ちに対応を開始し,情報漏えいの被害拡大を防止する手段を講
じ,監督官庁に対する報告及び指示に基づく調査報告を行い,情報が漏えい
したと思われる顧客に対しお詫びの文書を送付するとともに,顧客の選択に
応じて500円相当の金券を配布するなどしていたことが認められる。
そうすると,控訴人のプライバシー権の侵害態様,侵害された本件個人情
報の内容及び性質,流出した範囲,実害の有無,個人情報を管理していた者
による対応措置の内容のほか,本件個人情報が控訴人の子であるCの個人情
報として被控訴人に対して提供されたもので,控訴人の住所・氏名・電話番
号はホームページなどで開示されていたことなど,本件に顕れた一切の事情
を考慮すれば,控訴人の被った精神的損害を慰謝するには1000円を支払
うべきものと認めるのが相当である。
第4結論
以上によれば,控訴人の請求は,1000円の支払を求める限度で理由があ
るから,その範囲で認容し,その余は理由がないから棄却すべきところ,これ
と異なり,控訴人の請求を全部棄却した原判決は失当であって,本件控訴の一
部は理由があるから,原判決を上記のとおりに変更することとして,主文のと
おり判決する。
大阪高等裁判所第13民事部
裁判長裁判官 木納敏和
裁判官 山本善彦
裁判官 木上寛子

コメントをかく


「http://」を含む投稿は禁止されています。

利用規約をご確認のうえご記入下さい

もくじ

名前で検索


 あ行

 か行

 さ行

 た行

 な行

 は行

 ま行

 や行

 ら行?

 わ行

 

管理人/副管理人のみ編集できます