報道等をもとに日本の裁判官の情報を収集、掲載しています。

ベネッセ本体に初の賠償命令 情報漏洩事件で東京高裁

 2014年に発覚したベネッセコーポレーションの顧客情報流出事件の被害にあった顧客2人が損害賠償を求めた訴訟の控訴審判決で、東京高裁(萩原秀紀裁判長)は28日までに、同社と関連会社「シンフォーム」に1人当たり2千円の支払いを命じた。同事件でベネッセ本体に賠償命令が出るのは初。個人情報の漏洩被害への損害賠償を広く認める姿勢を示した。
(2019/6/28 11:07 日経新聞)

二審でベネッセに賠償命令 個人情報流出巡り東京高裁

 ベネッセコーポレーション(岡山市)の情報流出事件を巡り、顧客らが同社側に損害賠償を求めた2件の訴訟の控訴審で、東京高裁は請求を棄却した1審判決を変更し、ベネッセと個人情報を管理する業務委託先のグループ会社「シンフォーム」(岡山市)に対し、顧客ら計5人に1人当たり2000円の支払いを命じる判決を言い渡した。判決は27日付。
 萩原秀紀裁判長は「顧客の私生活の平穏に影響を及ぼす恐れがあり、精神的苦痛が生じることは避けられない」と指摘した。
 東京地裁と横浜地裁の1審判決はそれぞれ、「具体的な被害が確認されておらず、慰謝料が必要な精神的苦痛はなかった」として、ベネッセ側の賠償責任は否定し、請求を棄却した。
 事件では、シンフォームのシステムエンジニアが顧客の個人情報を持ち出し、名簿業者に売却。平成26年に流出が発覚した。
(2019.6.29 10:55 産経新聞)

PDF

主文
1原判決を次のとおり変更する。
被控訴人らは,控訴人Aに対し,連帯して2000円及びこれに対する被控
訴人株式会社ベネッセコーポレーションについては平成27年1月11日か
ら,被控訴人株式会社シンフォームについては同月14日から各支払済みま
で年5分の割合による金員を支払え。
被控訴人らは,控訴人Bに対し,連帯して2000円及びこれに対する被控
訴人株式会社ベネッセコーポレーションについては平成27年1月11日か
ら,被控訴人株式会社シンフォームについては同月14日から各支払済みま
で年5分の割合による金員を支払え。
控訴人らのその余の請求をいずれも棄却する。
2訴訟費用は第1,2審を通じて15分し,その1を被控訴人らの,その余を控
訴人らの負担とする。
事実及び理由
第1控訴の趣旨
1原判決を取り消す。
2被控訴人らは,控訴人Aに対し,連帯して3万円及びこれに対する被控訴人株
式会社ベネッセコーポレーションについては平成27年1月11日から,被控
訴人株式会社シンフォームについては同月14日から各支払済みまで年5分の
割合による金員を支払え。
3被控訴人らは,控訴人Bに対し,連帯して10万円及びこれに対する被控訴人
株式会社ベネッセコーポレーションについては平成27年1月11日から,被
控訴人株式会社シンフォームについては同月14日から各支払済みまで年5分
の割合による金員を支払え。
第2事案の概要(用語の略称及び略称の意味は,特に断りのない限り原判決に従う。
以下同じ。)
1本件は,被控訴人ベネッセに個人情報を提供した控訴人らが,被控訴人ベネッ
セが被控訴人シンフォームにその管理を委託し,被控訴人シンフォームが更に
外部業者に再委託し,再委託先の従業員が当該個人情報を外部に漏えいさせた
こと(本件漏えい)につき,“鏐義平佑蕕砲いて控訴人らの個人情報の管理に
注意義務違反があった,被控訴人シンフォームは上記従業員の使用者であり,
上記従業員の行為は被控訴人シンフォームの事業の執行についてされた,H
控訴人ベネッセは被控訴人シンフォームの使用者であり,被控訴人シンフォー
ムの注意義務違反は被控訴人ベネッセの事業の執行についてされたものであり,
本件漏えいにより控訴人らは精神的苦痛を被ったと主張して,被控訴人らに対
し,共同不法行為に基づき,連帯して,慰謝料として控訴人Aについて3万円及
び控訴人Bについて10万円並びにこれらに対する各訴状送達の日の翌日であ
る被控訴人ベネッセについては平成27年1月11日から,被控訴人シンフォ
ームについては同月14日から各支払済みまで民法所定の年5分の割合による
遅延損害金の支払を求めた事案である。
原審は,本件漏えい当時,被控訴人シンフォームには,MTP対応スマートフ
ォンに対する書き出し制御措置を講ずべき注意義務があり,これを怠った過失
が,被控訴人ベネッセには,被控訴人シンフォームに対する適切な監督をすべき
注意義務があり,これを怠った過失がそれぞれ認められるから,被控訴人らには
共同不法行為が成立するが,控訴人らに慰謝料請求権を認め得るほどの精神的
苦痛が生じたと認めることはできないとして,控訴人らの請求を棄却した。そこ
で,控訴人らがこれを不服として控訴した。
2前提事実,争点及びこれに関する当事者の主張は,次のとおり原判決を補正す
るほかは,原判決の「事実及び理由」の第3及び第4に記載のとおりであるから,
これを引用する。
原判決2頁26行目の「掲記の証拠」の次に「(以下,枝番がある書証は枝
番を含めて表記することがある。)」を加える。
原判決3頁16行目の「業務」の次に「(以下「本件業務」という。)」を加
える。
原判決6頁8行目及び13頁7行目の各「業務委託先」をいずれも「再委託
先である外部業者」と改める。
原判決7頁1行目から2行目にかけての「これらが,充電のために業務用の
パソコンにUSBケーブルで接続されていた」を「充電のために,スマートフ
ォンを業務用パソコンにUSBケーブルで接続することも許容されていた」
と改める。
原判決9頁17行目から同頁23行目の末尾までを削る。
原判決10頁26行目の「子らへの」を「子どもたちへの」と,11頁3行
目の「V1」を「V」とそれぞれ改める。
原判決12頁8行目及び14頁16行目の各「各自」をいずれも「各室」と,
同頁20行目の「データセキュリティガイドブック」を「データセンターセキ
ュリティガイドブック」とそれぞれ改める。
原判決17頁5行目の「業務用パソコン」から同頁6行目の「搭載していれ
ば」までを「セキュリティソフトにより,MTPでデータを転送するデバイス
を業務用パソコンで使用できないようにするなど,業務用パソコンからデバ
イスへのデータの書き出しを制御する措置を講じていれば」と改める。
原判決17頁19行目から同頁24行目までを次のとおり改める。
「被控訴人らが導入していたセキュリティソフトにおいては,MTPをデ
ータの転送に使用するデバイスであるWindowsポータブルデバイス
(以下「WPD」という。)を使用禁止とすることが可能であったのである
から,これにより,業務用パソコンから本件スマートフォンへのMTPによ
るデータの書き出しを制御することができたのであり,このような措置を
講じていなかった被控訴人シンフォームには注意義務違反がある。」
原判決20頁3行目の「現代」を「現在」と,21頁5行目及び6行目の各
「データセキュリティガイドブック」をいずれも「データセンターセキュリテ
ィガイドブック」とそれぞれ改める。
原判決24頁19行目末尾の次を改行して次のとおり加える。
「ウ控訴人らは,被控訴人らが導入していたセキュリティソフトにおいて
は,WPDについて使用禁止とすることが可能であり,これによりMTP
による書き出しを制御することできたと主張するが,MTPを使用する
機器として念頭に置かれていたのは,デジタルカメラや携帯音楽プレイ
ヤーなど,情報漏えいのリスクと考えられていなかった機器であり,これ
らのデバイスであるWPDを使用禁止にしなかったことは,被控訴人ら
の義務違反を構成するものではない。MTPに対応したスマートフォン
による情報漏えいのリスクは,本件漏えいに至るまで情報セキュリティ
の専門家ですら気づいていなかったものであり,このような状況で,被控
訴人らにおいて,セキュリティソフトでMTPによる通信を制御する義
務を負うと解することはできない。」
原判決26頁18行目及び21行目の各「データセキュリティガイドブッ
ク」をいずれも「データセンターセキュリティガイドブック」と改める。
原判決32頁4行目の「関関する」を「関する」と改め,同頁10行目から
11行目にかけての「選定基準は具体的で運用なものであること」を削る。
原判決37頁9行目から10行目にかけての「本件シンフォームデータベ
ース」を「本件データベース」と改め,39頁23行目の「株式会社」を削る。
原判決44頁8行目の「原告らの」を「控訴人Bの」と改める。
第3当裁判所の判断
1当裁判所は,本件漏えい当時,被控訴人シンフォームには,業務用パソコンか
らMTP対応スマートフォンへのデータの書き出し(持ち出し)を制御する措置
を講ずべき注意義務があったにもかかわらず,これを怠った過失があり,被控訴
人ベネッセには,被控訴人シンフォームに対する適切な監督をすべき注意義務
があったにもかかわらず,これを怠った過失があり,被控訴人らの不法行為は客
観的に関連するから共同不法行為が成立し,これにより控訴人らが受けた精神
的損害に対する慰謝料は各2000円と認めるのが相当であると判断する。そ
の理由は,次のとおり原判決を補正するほかは,原判決の「事実及び理由」の第
5に記載のとおりであるから,これを引用する。
原判決46頁8行目から47頁7行目末尾までを次のとおり改める。
「ア前記前提事実,後掲の証拠及び弁論の全趣旨によれば,次の事実が認め
られる
MTP・MSCなどについて
本件スマートフォンは,MTPに対応していたが,当時,スマートフ
ォンなどのデバイスをUSBケーブルでパソコンに接続してデータの
転送を行う規格には,他にMSC(USBマスストレージクラス〔Ma
ssStrageClass〕の略。パソコンとデバイスの接続に
用いられる規格。以下「MSC」という。)があった。
MTPでもMSCでも,パソコンにスマートフォンなどのデバイス
をUSBケーブルで接続してデータの転送をすることが可能である点
で違いはない。MSCでは,ファイルシステムの管理などはパソコン側
のOSで行われ,接続されたデバイスは,USBに接続された外部記憶
装置(USBメモリや外付けHDDなど)と同等に管理・利用される。
これに対し,MTPは,デジタルカメラの画像転送プロトコル(PTP)
をベースに,音楽・動画ファイルなどの転送を可能にした規格であり,
デジタルオーディオプレイヤーやデジタルメディアプレイヤーに音楽
ファイルや動画ファイルを転送する目的で設計され,これらのプレイ
ヤー等に採用されており,ファイルシステムの管理などはデバイス側
で行われるという違いがある。そして,接続されたデバイスは,WPD
などとしてパソコン側のOSであるWindowsには認識される。
Windowsの場合,OS自体がMTPに対応しているので,デバ
イスドライバや対応するアプリケーションをインストールすることな
しに,MTPに対応するデバイスにデータを転送することが可能であ
った。(甲4,92,乙97,100ないし102)
被控訴人らが導入していたセキュリティソフトについて
被控訴人らが,業務用パソコンに導入していたセキュリティソフト
は,株式会社日立ソリューションズ製であった(以下「本件セキュリテ
ィソフト」という。)。平成23年7月ころには,本件セキュリティソ
フトによって,リムーバブルメディア,CD/DVD,外付けHDDの
ほか,終端機器としてイメージングデバイス,WPD,その他制御デバ
イス等,通信機器として無線LAN,モデム,赤外線等について使用可
否制御が可能となっていた。そして,これらのデバイスの全てを制御し
て使用を禁止した場合,PCからのデータの書き出しは不可能であっ
た。
本件セキュリティソフトにおいては,リムーバブルメディア,CD/
DVD,外付けHDDについては,データの書き出しを禁止できる持ち
出し制御が可能であり,リムーバブルメディアについては,組織で管理
していないUSBメモリのデータの読み書きを禁止できるUSBメモ
リの個体識別制御が可能であった。また,読み書きを個別に許可された
USBメモリについては,書き出されたデータは暗号化された。
被控訴人らは,本件セキュリティソフトで,書き出し制御が行われて
いるリムーバブルメディア,CD/DVD,外付けHDD以外は,全て
のUSBデバイスが使用禁止されていると考えていたが,実際には,リ
ムーバブルメディア,CD/DVD,外付けHDDだけが書き出し制御
の対象とされ,データの書き出しが禁止とされる設定になっていた。
個々のデバイスの制御は,自由に変更することが可能であり,作業手
順さえ踏めば被控訴人シンフォームにおいて自由に変更することがで
きた。平成23年8月に被控訴人シンフォームに納品された本件セキ
ュリティソフトのパラメータシートには,「デバイス制御設定」欄の「
デバイス使用可否制御を有効にする,▲妊丱ぅ晃賃亮永明御を有効
にする,8賃亮永魅蹈阿僚侘呂鰺効にする」の3つの項目のチェック
欄にチェックがされておらず,設定がされていないことが表示されて
いた。
スマートフォンは,Windowsにおいて,リムーバブルメディ
ア,WPD,イメージングデバイス,その他制御デバイスのいずれか
で認識されるが,本件漏えい当時の本件セキュリティソフトの設定で
は,スマートフォンがリムーバブルメディアとして認識される場合
(データの転送にMSCを使用する場合)にのみ,書き出し制御の対
象となるが,本件スマートフォンのようにデータの転送にMTPを使
用しWPDで認識される場合は,デバイスの使用は許可されており,
書き出されたデータの暗号化もされなかった。
被控訴人シンフォームは,本件漏えい後に,本件セキュリティソフト
のバージョンアップをするとともに,その設定を見直し,平成26年7
月22日以後は,リムーバブルメディア,CD/DVD,外付けHDD
について従前どおりデータの書き込みを禁止し,他のデバイスについ
ては,プリンタ,ネットワークドライブ,無線LAN,パラレル/シリ
アルポート以外を,使用可否制御により使用禁止とし,上記パラメータ
シートの「.妊丱ぅ校藩儔槌歙御を有効にする,▲妊丱ぅ晃賃亮永
制御を有効にする,8賃亮永魅蹈阿僚侘呂鰺効にする」の3つの項目
のチェック欄にチェックを入れた。(甲66,70ないし72)
Wによる本件漏えいについて
Wは,本件漏えい当時,経済的な苦境状態にあり,本件業務で扱って
いる被控訴人ベネッセの顧客情報を名簿業者に販売することを考えて
いたが,USBメモリ等が書き出し制御の対象とされていることを認
識していたので,これを諦めていた。そのような時に,Wは,本件スマ
ートフォンを充電のために業務用パソコンに市販のUSBケーブルで
接続したところ,外部記憶媒体として認識され,業務用パソコンから本
件スマートフォンにファイルを移動することができることを知った。
そこで,Wは,被控訴人ベネッセコーポレーションの顧客情報を書き出
し,本件漏えいに及んだものであり,本件漏えいにおいて,ファイルの
転送にはMTPが使用された。(甲64,88)
イ上記アの事実認定を踏まえ,本件漏えいに対する被控訴人らの予見可
能性の有無について検討する。
本件漏えい以前から,一般的に,経済産業分野ガイドライン等(甲
3,9,12)の中で,外部記憶媒体をパソコン等に接続する方法に
よる情報漏えいのリスクが指摘されていたが,本件漏えいは,Wにお
いて,通常想定できないような特別の知識や技術を使用して行われ
たものでないことは,上記認定のとおりである。当時において,スマ
ートフォンをUSBケーブルでパソコンと接続してデータのやり取
りをすることが可能であることは,一般的に知られており,MTPも,
データの転送に用いる規格として新規で特殊なものとはいえない。
本件では,本件スマートフォンが,従来使用していた規格であるM
SCではなく,それまで音楽ファイルや動画ファイルの転送を主な
目的としてOSであるWindowsが対応していた規格であるM
TPに対応したために,データの転送が可能となったものである。デ
バイスやOSは,バージョンアップにより高機能化していくもので
あるから,それに応じて,接続されるデバイスを制御してデータの漏
えいを防いでいく必要があるところ,被控訴人らは,本件セキュリテ
ィソフトを導入していたことに照らすと,このような必要性を具体
的に認識していたと認めるのが相当である。
以上によれば,被控訴人らには,MTP対応の本件スマートフォン
を使用した本件漏えいについて予見可能性があったというべきであ
る。」
原判決47頁8行目の「イ」を「ウ」と,51頁4行目の「ウ」を「エ」と
それぞれ改める
原判決48頁10行目から49頁6行目までを次のとおり改める。
「しかしながら,仮に上記の報告のとおりであったとしても,MTP対応の
スマートフォンは,平成24年頃から急速に普及してきていたこと,本件漏
えい当時において,多数のMTP対応のスマートフォンが市中に出回るよ
うになっていたことなどが認められる。そうすると,本件漏えい当時のMT
P対応スマートフォンの国内シェアに関する上記報告によって,MTPに
対応するスマートフォンを使用した本件漏えいについて,被控訴人らに予
見可能性があったと認める上記判断を覆すことはできないというべきであ
る。」
原判決49頁20行目の「情報セキュリティ」から50頁2行目末尾までを
「前記アのとおり,被控訴人らが導入していた本件セキュリティソフト
は,MTPに対応するデバイスについて,使用可否制御により使用禁止するこ
とが可能であった。そうすると,上記の定義は,被控訴人らが導入していた本
件セキュリティソフトをもMTP制御機能を搭載しないものとして扱うもの
であるから,相当とはいい難く,上記報告は,報告書としてその前提を誤った
ものと評価せざるを得ない。」
原判決50頁8行目の「本件漏えい当時,」を削る。
原判決50頁24行目から51頁3行目末尾までを次のとおり改める。
「しかしながら,本件漏えいの以前にはMTP対応のスマートフォンを使
用した情報漏えいの事例が報告されていなかったというだけで,その危険
性について予見可能性がなかったといえるものではなく,上述したとおり,
デバイスやOSは,バージョンアップにより高機能化していくものである
から,それに応じて,接続されるデバイスを制御してデータの漏えいを防い
でいく必要がある。被控訴人らは,本件セキュリティソフトを導入していた
ことからして,このような必要性を具体的に認識していたものと認められ,
また,本件漏えいは,一般的にいっても,特殊な知識や技術を用いた予見が
困難な態様のものではなく,むしろ,デバイスやOSの高機能化によって発
生する危険の範囲内のものというべきであるから,予見可能性は否定され
ない。」
原判決51頁4行目の「被告シンフォーム」を「被控訴人ら」と,同頁26
行目の「データセキュリティガイドブック」を「データセンターセキュリティ
ガイドブック」とそれぞれ改める。
原判決55頁22行目から56頁26行目までを次のとおり改める。
「前記アのとおり,被控訴人シンフォームにおいては,本件セキュリテ
ィソフトの使用可否制御により,MTPを使用するデバイスを使用禁止に
しておけば,MTP対応のスマートフォンによるデータの書き出しを防止
することは可能であったことが認められる。また,被控訴人らは,本件セキ
ュリティソフトにより,リムーバブルメディア,CD/DVD,外付けHD
Dのみが使用できると認識していたものであったほか,本件漏えい後に,本
件セキュリティソフトの設定を見直し,リムーバブルメディア,CD/DV
D,外付けHDDについて従前どおりデータの書き込みを禁止し,他のデバ
イスについては,プリンタ,ネットワークドライブ,無線LAN,パラレル
/シリアルポート以外を,使用可否制御により使用禁止としたものである
から,本件業務において,業務用パソコンについてMTPを使用してデータ
の転送を行う必要性はなかったと認められる。
そうすると,本件において,MTPを使用するデバイスの使用が許可され
ていたのは,単に被控訴人シンフォームにおいて,本件セキュリティソフト
の設定の確認を失念ないし怠っていたことによるものというべきである。
そして,被控訴人シンフォームは,本件漏えいまでにMTP対応スマートフ
ォンに対する書き出し制御措置を講ずることが可能であったから,そのよ
うな措置を講ずべき注意義務があったにもかかわらず,これを怠った点に
過失があったと認めるのが相当である。」
原判決58頁21行目から同頁22行目までを次のとおり改める。
「被控訴人シンフォームだけでなく被控訴人ベネッセにも,本件漏えいに
ついて予見可能性があったと認められることは,前記1で認定したとお
りである。」
原判決60頁3行目の「株式会社」を削る。
原判決60頁20行目から61頁2行目までを次のとおり改める。
「被控訴人ベネッセが被控訴人シンフォームを委託先として選任したのは,
平成24年4月であり,前記1のとおり,被控訴人シンフォームが平成2
3年7月に導入した本件セキュリティソフトの設定が適切でなかったとい
う問題があることは認められるが,被控訴人シンフォームは,機能的には本
件漏えいを防止することの可能な本件セキュリティソフトを導入している
のであり,その設定が適切でなかったことをもって,委託先として選任した
ことが不適当であったということはできない。」
原判決61頁23行目の「選定基準は具体的で運用的なものであること」を
削る。
原判決62頁2行目の「予見し得たものであって」から同頁16行目の「い
わざるを得ない」までを「予見し得たものである。そして,前記1のとおり,
被控訴人シンフォームにおいて,本件セキュリティソフトの設定を適切に行
っていれば,本件漏えいは防止できたことが認められる。他方,被控訴人ベネ
ッセにおいて,被控訴人シンフォームに対し,MTP対応スマートフォンに対
する書き出し制御措置が講じられているか否かを確認すべく,本件セキュリ
ティソフトの設定状況について適切に報告を求めていれば,MTP対応スマ
ートフォンに対する書き出し制御が十分でないことを知り,本件セキュリテ
ィソフトの使用可否制御を指示することができたと認められるところ,この
ような監督を行うことについて,被控訴人ベネッセに過度の負担が生じると
は思われない。そうすると,被控訴人ベネッセは,被控訴人シンフォームが,
本件セキュリティソフトの適切な設定を行っているか否かを監督する注意義
務を負っていると解されるところ,被控訴人ベネッセにおいて本件セキュリ
ティソフトについて適切な設定が行われていると誤信していたことにより,
適切な監督を行うことができなかったものであるから,上記注意義務に違反
した過失があると認めるのが相当である」と,同頁26行目の「危険性を予見
でき」を「危険性があることにつき予見可能性が認められ」とそれぞれ改める。
原判決64頁3行目から同頁4行目までを次のとおり改める。
「この点につき,Wは,自身の刑事事件において,被控訴人シンフォーム多
摩事務所においては,被控訴人シンフォームの社員から日常的に指示を受
け,指揮監督を受けていた旨を述べている。しかしながら,一方で,Wは,
再委託先の従業員に対し,自身が不在期間中の業務の代替人員の人選を依
頼したことや,W自身の被控訴人シンフォームにおける稼働時間の状況報
告をしていた可能性があったことを認めており,また,被控訴人シンフォー
ムにおいて本件業務に関わっていたX及びYは,再委託先の要員に関して
は,再委託先の管理者を通じて指揮監督を行っていた旨を供述しており,こ
れらを裏付けるメールも残されていることからすると,被控訴人シンフォ
ームが,Wに対し,その業務について具体的に指揮命令をしていたとまでの
事実を認めることはできない。(甲64,65,67,74,乙114ない
し124)」
原判決66頁23行目から68頁20行目までを次のとおり改める。
「本件個人情報は,被控訴人ベネッセが集積した顧客情報の一部を構成
するものであるが,氏名,郵便番号,住所,電話番号及びメールアドレス
は,いずれも控訴人らの個人識別情報と連絡先であり,生年月日と性別も,
日常的に契約等の際に開示することが多く,思想信条や性的指向等の情
報に比べると,一般的に「自己が欲しない他者にはみだりに開示されたく
ない」私的領域の情報という性質を強く帯びているとはいえない情報で
ある。したがって,クレジットカード情報などの重要な情報と関連づけら
れて漏えいしていない本件のような場合,情報それ自体に重要な価値が
認められるというより,顧客名簿として大量に集積されているところに
価値が認められるのが通常であり,実際,本件においても,名簿業者に顧
客名簿として売却され,被控訴人ベネッセの同業者に渡りダイレクトメ
ール等に利用されたことが認められる(なお,控訴人らは,本件個人情報
が,被控訴人ベネッセという教育事業を行う企業の保有していた情報と
して漏えいしたことから,教育に熱心であるなど一定の評価が含まれる
情報である旨を主張するが,本件個人情報の流出元が被控訴人ベネッセ
であることから,控訴人らの教育に関する何らかの思想や信条が推知さ
れるとは考え難い。)。
もっとも,本件個人情報は,これらを取得した者において,これらを取
得された者に対する連絡が可能となるものであるから,その使用方法い
かんによっては,取得された者の私生活の平穏等に何らかの影響を及ぼ
すおそれがある。また,本件個人情報については,本件漏えいにより50
0社を超える名簿業者に漏えいしたとの発表もあるところ,実際にどこ
までの範囲に広がっているか確定は不能であり,回収も不可能といわざ
るを得ない。したがって,本件漏えいにより自己の個人情報を取得された
者に対し,自己の了知しないところで個人情報が漏えいしたことに対す
る不快感及び生活の平穏等に対する不安感を生じさせることになるから,
かかる不安感が具体的なものでなく抽象的なものであったとしても,何
らかの精神的苦痛を生じさせることは避けられないことというべきであ
る。
さらに,控訴人らが被控訴人ベネッセに提供した本件個人情報につい
て,自己の欲しない他者にみだりにこれが開示されることはないという
控訴人らの期待は保護されるべきであり,控訴人らは,被控訴人ベネッセ
において本件個人情報がみだりに流出することがないよう適切に管理さ
れると信じて提供したのであるから,本件漏えいにより,このような期待
が裏切られる結果となったことは明らかである。しかも,本件漏えいは,
Wにおいて,高度な知識を応用したり,特殊な技術を駆使して行われたも
のではなく,単に,充電のため本件スマートフォンを市販のUSBケーブ
ルで業務用パソコンに接続したところ,データの転送が可能であったこ
とから,思いつかれ実行されたものである。これまで述べてきたとおり,
被控訴人らにおいて,自らが導入していた本件セキュリティソフトが適
切に設定されているか否かを確認さえしていれば,煩雑な事務処理や多
額の費用の支出を余儀なくされることもなく,比較的容易に本件漏えい
を防ぐことができたのであるから,その意味においても,控訴人らの期待
を裏切った度合いは小さくないというべきである。
したがって,前記6のとおり,本件漏えいにより控訴人らはそのプラ
イバシーを侵害されたものであるところ,上記認定に照らせば,控訴人ら
には,慰謝料の支払によって慰謝されるべき精神的損害が発生したと認
めるのが相当である。
他方,控訴人らは,社会に拡散された本件個人情報が控訴人らの他の情
報と関連付けられて重大なプライバシー情報が引き出される可能性を指
摘するが,抽象的な可能性を指摘するものにすぎず,本件個人情報が個別
に着目されて何らかの重大なプライバシー情報が引き出されることは想
定しにくい。したがって,現時点においては,本件個人情報の漏えいは,
控訴人らにおいて望まないダイレクトメールが増えるかもしれないとい
う危惧を抱かせるにとどまるものであり,控訴人らに何らかの実害が発
生したとは認められない。
また,被控訴人ベネッセ及びその持株会社であるベネッセホールディ
ングスは,本件漏えいの発覚後,直ちに対応を開始し,情報漏えいの被害
拡大を防止する手段を講じ,監督官庁に対する報告及び指示に基づく調
査報告を行った。そして,被控訴人ベネッセは,情報が漏えいしたと思わ
れる顧客に対しお詫びの文書を送付するとともに,顧客の選択に応じて
500円相当の金券を配布するなどしたことが認められるから,自己の
個人情報が適切に取り扱われるであろうとの期待が侵害されたことにつ
いては,事後的に慰謝の措置が講じられていることが認められる。
以上のとおり,本件漏えいは,控訴人らに対し,不快感及び抽象的なも
のであるとはいえ不安感を生じさせるものであり,かつ,自己の個人情報
が適切に管理されるであろうとの期待を裏切るものであるから,控訴人
らには,慰謝料の支払によって慰謝すべき精神的損害が発生したといわ
ざるを得ないところ,本件漏えいにより控訴人らに実害が発生したとは
認められないこと,本件漏えいの発覚後,被控訴人ベネッセ及びベネッセ
ホールディングスにおいて,直ちに被害の拡大防止措置が講じられてい
ること,自己の個人情報が適切に扱われるであろうとの期待の侵害に対
し,被控訴人ベネッセにおいて事後的に慰謝の措置が講じられているこ
と,その他本件にあらわれた一切の事情を総合すると,控訴人らの精神的
損害に対する慰謝料の額は2000円と認めるのが相当である。
なお,控訴人らは,本件個人情報のうち,控訴人Bの情報は,未成年者
の情報であり,成年以上に保護の必要性が高いと主張するが,控訴人Bの
情報が未成年者の情報であるか否かは,慰謝料の額を左右するものとは
いえない。
8まとめ
以上のとおり,控訴人らの請求は,被控訴人らに対し,連帯して,それぞ
れ2000円及びこれらに対する遅延損害金の支払を命じる限度で理由が
あるから認容し,その余の請求はいずれも理由がないから棄却するのが相
当である。
2よって,控訴人らの請求をいずれも棄却した原判決は相当でないから変更す
ることとし,上記の限度で控訴人らの請求を一部認容し,その余の請求をいずれ
も棄却することとして,主文のとおり判決する(なお,控訴人らは,控訴の趣旨
において仮執行宣言を求めていない。)。
東京高等裁判所第16民事部
裁判長裁判官 萩原秀紀
裁判官 馬場純夫
裁判官 杉山順一

コメントをかく


「http://」を含む投稿は禁止されています。

利用規約をご確認のうえご記入下さい

もくじ

名前で検索


 あ行

 か行

 さ行

 た行

 な行

 は行

 ま行

 や行

 ら行?

 わ行

 

管理人/副管理人のみ編集できます