弁護士法人ITJ法律事務所

裁判例


戻る

主文
1被告BBテクノロジー株式会社は,甲事件原告らそれぞれに対し,600
0円及びこれに対する平成16年5月29日から支払済みまで年5分の割合
による金員を支払え。
2被告BBテクノロジー株式会社は,乙事件原告らそれぞれに対し,600
0円及びこれに対する平成17年6月3日から支払済みまで年5分の割合に
よる金員を支払え。
3原告らの被告BBテクノロジー株式会社に対するその余の請求及び被告ヤ
フー株式会社に対する請求をいずれも棄却する。
4訴訟費用の負担は以下のとおりとする。
(1)原告らに生じた費用の2分の1と被告BBテクノロジー株式会社に生じ
た費用の合計額のうち,10分の1を同被告の負担とする。
(2)(1)を除く全ての費用は原告らの負担とする。
5この判決は,第1,2項に限り仮に執行することが出来る。
事実及び理由
第1請求
1被告らは,甲事件原告らそれぞれに対し,各自10万円及びこれに対する平
成16年5月29日から支払済みまで年5分の割合による金員を支払え。
2被告らは,乙事件原告らそれぞれに対し,各自10万円及びこれに対する平
成17年6月3日から支払済みまで年5分の割合による金員を支払え。
第2事案の概要
本件は,インターネット接続等の総合電気通信サービスである「Yaho
o!BB」の会員であった原告らが,同サービスの顧客情報として保有管理さ
れていた原告らの氏名・住所等の個人情報が外部に漏えいしたことについて,
共同して同サービスを提供している被告らが個人情報の適切な管理を怠った過
失等により,自己の情報をコントロールする権利が侵害されたとして,被告ら
に対し,共同不法行為に基づく損害賠償として慰謝料等の支払を求めた事案で
ある。
1争いのない事実等(争いのない事実を除き,認定に用いた証拠は括弧内に示
す。)
(1)当事者
ア原告らは,いずれも「Yahoo!BB」と称する,非対称加入者線伝
送(ADSL)方式等を用いたインターネット接続サービス及びこれに付
随するメールサーバーのレンタル等の総合電気通信サービス(以下,「本
件サービス」という。)の会員である。
イ被告らは,「Yahoo!BB」の統一名称を用いて,電気通信事業法
にいう電気通信事業に当たる本件サービスを顧客に対して提供している株
式会社である(乙3)。
(2)原告らはいずれも平成16年1月までに,被告らそれぞれとの間で,本件
サービスに係る契約を締結し,本件サービスに入会した。
(3)本件サービスに係る契約締結の際に,被告らは,原告らを含む顧客それぞ
れの住所・氏名等の個人情報を取得し,顧客に関して,以下の情報を保有し,
管理していた。
ア被告BBテクノロジー株式会社(以下,「被告BBテクノロジー」とい
う。)
住所・氏名・電話番号・メールアドレス・ヤフーメールアドレス・ヤフ
ーID・申込日・性別・回線タイプ等の回線の接続に関する情報。
イ被告ヤフー株式会社(以下,「被告ヤフー」という。)
住所・氏名・電話番号・メールアドレス・ヤフーメールアドレス・ヤフ
ーID・申込日・クレジットカード番号・銀行口座番号・パスワード・取
引実績に関する情報。
(4)被告BBテクノロジーにおいては,従業員が利用する端末(クライアン
ト)とは別に,被告BBテクノロジー本社の施設内にサーバーを設置してい
た。(3)アの顧客情報は,顧客データベース(以下,「本件顧客データベー
ス」という)に記録されており,これは,被告BBテクノロジーのサーバー
の一つ(以下,「本件顧客データベースサーバー」という。)に格納されて
いたものである。これらのデータベースを格納するサーバーでは,OS(基
本ソフト)は,ほとんどが米マイクロソフト社製Windowsのサーバー
用OSを使用していた。
(5)リモートメンテナンスサーバーの設置
被告BBテクノロジーは,平成14年12月,社外のパソコンから社内の
サーバーのメンテナンス作業を可能とするためのリモートメンテナンスサー
バー(以下,「本件リモートメンテナンスサーバー」という。)を設置し,
これにより被告BBテクノロジーのサーバーに,社外からインターネットを
通じてアクセスすること(以下,「リモートアクセス」という。)が可能と
なった。
(6)リモートアクセスの手法
アリモートメンテナンスサーバーには,米マイクロソフト社のWindo
wsのサーバー用OSが導入されており,インターネットを通じてリモー
トメンテナンスを行う方法には,サーバー用のWindowsが標準で備
えている「ターミナルサービス」という機能が用いられた。
イターミナルサービスとは,Windowsがインストールされたクライ
アントPCから,クライアントソフトウェア(無償)を起動して,LAN
などのネットワークを通じてサーバーを遠隔操作することを可能にする機
能である。
現在市販されているパソコンのほとんどで使われているクライアント向
けWindowsの最新版であるWindowsXPには,ターミナルサ
ービスからサーバーに必要な機能を省略した「リモートデスクトップ接
続」というソフトウェア(以下,「リモートデスクトップ」という。)が
標準でインストールされており,WindowsXPであれば,追加のソ
フトウェアを入手することなくターミナルサービスを利用することが可能
となっている。
ウリモートデスクトップを用いて本件リモートメンテナンスサーバーに接
続する際には,接続先である同サーバーのIPアドレスを特定した上で,
ユーザー名とパスワードを正しく入力すれば,同サーバーに,ユーザー認
証を受けてログオンすることが可能であり,一旦リモートデスクトップに
よるログオンを行ってしまえば,社外からネットワークを介していても社
内で当該サーバーを直接操作しているのと全く変わらない状態となる。
エ本件リモートメンテナンスサーバーへログオンした後,本件リモートメ
ンテナンスサーバーから,さらにリモートデスクトップを用いて,本件顧
客データベースサーバー等へログオンすることができるが,その場合,当
該サーバーに接続するためのユーザー名・パスワードが必要である(甲1
1の4)。
(7)本件リモートメンテナンスサーバー等のユーザー名及びパスワード
本件リモートメンテナンスサーバーには,ログオンするためのユーザー名
とパスワードとして,ユーザー名「genbatai」・パスワード「ge
nbatai」が設定されており(以下,併せて「本件アカウント」とい
う。),これは,社外からサーバーのメンテナンス業務を行う複数の担当者
に与えられていた。
本件アカウントは,本件顧客データベースサーバーを含め被告BBテクノ
ロジーが管理する複数のサーバーについて,各種メンテナンスのために必要
なファイル操作や設定変更,データやプログラムの変更を行う権限があるも
のとして登録されていた。
(8)本件顧客情報の不正取得
アAは,平成14年5月16日から,平成15年2月末日までの間,被告
BBテクノロジーの業務委託先から同被告に派遣され,本件顧客データベ
ースのメンテナンスや,同被告のサーバー群の管理を行う業務に従事して
いた者である(甲10の1,18の2)。
Aは,社外からメンテナンスを行う担当者の一人であり,本件アカウン
トを与えられていた。
イAは知人のBと共に,平成15年6月,本件アカウント等を使用して,
インターネットカフェのパソコンからターミナルサービスを利用してリモ
ートメンテナンスサーバーにログオンした上で,本件顧客データベースサ
ーバーにアクセスし,本件顧客データベースに含まれる顧客情報を外部に
転送し,Bが持ち込んだハードディスクに保存して不正に取得した(以下,
この際の不正取得を「6月の不正取得」という。)。
ウBは,平成16年1月,再度,同様の手法で,被告BBテクノロジーの
保有する顧客情報を不正に取得した(以下,この際の不正取得を「1月の
不正取得」,イ,ウの不正取得を併せて「本件不正取得」という。)。
エAが被告BBテクノロジーでの業務を終える(以下,Aの同被告におけ
る業務の終了を「退職」ともいう。)際に,被告BBテクノロジーは,本
件アカウントを含め,Aが利用し又は知り得たユーザー名の削除やパスワ
ードの変更を行わず,本件リモートメンテナンスサーバーを設置した平成
14年12月から平成16年1月まで,本件リモートメンテナンスサーバ
ーに設定されていたユーザー名についてパスワードの定期的変更を行わな
かった。
(9)本件不正取得に係る被告BBテクノロジーの顧客情報は,Bを通じて,恐
喝の実行犯であるCらに渡り,Cが,被告BBテクノロジー及び関連会社で
あるソフトバンク株式会社に対する恐喝未遂事件(以下,「本件恐喝未遂事
件」という。)で検挙された際に,本件不正取得の事実が判明した。
(10)Cが取得した被告BBテクノロジーの顧客情報には,原告らの個人情報
が含まれており,その内容としては,①住所②氏名③電話番号④メールアド
レス⑤ヤフーID⑥ヤフーメールアドレス⑦申込日を含むものであった(乙
7の6,乙7の7)。
2争点
(1)被告BBテクノロジーの過失の有無
(原告らの主張)
ア個人情報の管理に関する一般的な注意義務
被告BBテクノロジーは,その事業に原告らの個人情報を利用している
ところ,これらの個人情報を適切に管理し,漏えいすることのないよう対
策をする信義則上の義務を負っている。
また,被告らは,社会のインフラを提供するインターネットサービスプ
ロバイダーの事業者として,業務上管理する個人情報の管理につき,一般
企業よりも重い注意義務を負っている。本件サービスは,電気通信事業に
該当するところ,電気通信事業者に対しては,個人情報の保護に関する法
律(以下,「個人情報保護法」という。)が成立する以前より,個人情報
保護に関する各種ガイドラインが定められており,被告BBテクノロジー
は,これらに基づき,社内の情報漏えいを防止する適切な措置を講じる義
務を有していた。
イリモートアクセスに関しての注意義務違反
(ア)現代のIT社会において,企業活動にコンピュータの利用は不可欠
であるが,まさに被告らが企業活動として行っているような急速なブロ
ードバンドの普及によりインターネットへ接続する人口が急増し,これ
に伴い,インターネットに接続することに伴う脅威も増加・深刻化して
いることは周知のとおりである。
被告BBテクノロジーにおいては,平成14年12月以前は,サーバ
ー管理を担当する者が,インターネットを通じて外部から管理を行うこ
とは一切許可されていなかった。被告BBテクノロジーは,1(5)のとお
り,平成14年12月に本件リモートメンテナンスサーバーを設置し,
リモートアクセスを可能にしたものであるが,リモートアクセスを可能
にすること自体,情報漏えいの危険を高める行為であり,その危険性に
鑑みて,リモートアクセスについては,JIS規格などで各種の規定が
なされているところである。
したがって,リモートアクセスを可能にするには,リモートアクセス
することの必要性がある場合に,必要な範囲に限って,相当な措置を施
した上でのアクセスが許されると解するべきである。
(イ)リモートアクセスの必要性とその範囲
a多数の会員に関する重大な個人情報を大量に含む本件顧客データベ
ースを,その従業員にインターネットを通じて操作させることはこれ
自体危険なことであり,情報セキュリティの確保の点から厳に慎まな
ければならない。
被告BBテクノロジーのシステムの障害が深夜・休日を問わず発生
するとしても,このような事態は業務に付随して当然予想できること
に過ぎず,担当者の常駐等で十分対応できる事項である。本件サービ
スは,大規模に業務を展開していたのであり,個人情報が漏えいした
時の危険性に鑑みれば,リモートアクセスを可能とするには強度の合
理性を必要とするところ,そのような合理性は一切なかった。
bまた,第三者による冒用のおそれがあることから,リモートアクセ
スでユーザーが利用するサービスは,メールサービスや特定のサーバ
ーへのアクセスなどに限定されるのが普通である。リモートアクセス
において,ユーザー名に管理者権限を付与すれば,サーバーに関する
あらゆるデータの削除・複製だけでなく,ユーザー名の付与や,抹消
まで可能であり,管理者権限のあるユーザー名とパスワードが漏えい
した場合に,セキュリティに壊滅的な危機をもたらしかねないから,
特段の事情なくリモートアクセスのユーザー名に管理者権限を付与す
ることは許されない。
本件アカウントは,本件リモートメンテナンスサーバーに対する管
理者権限を有し,また,本件リモートメンテナンスサーバーを経由し
て管理の対象となる全ての被告BBテクノロジーのサーバーに対する
管理者権限も有していた。このような強大な権限を有するユーザー名
をリモートアクセスで許容していたのは,余りにも無謀かつ危険であ
る。
(ウ)相当な措置
被告BBテクノロジーは,以下のとおり,リモートアクセスを可能に
する際の相当な措置を採っていなかったものである。
aファイアーウォール等によるアクセス規制
被告BBテクノロジーは,外部から本件リモートメンテナンスサー
バーへのアクセスに際して,ファイアーウォール等を利用して,あら
かじめ登録しておいた特定のコンピュータからの接続しか受け付けな
い等,権限ある者による正当なアクセスのみを許容するアクセス規制
を一切行っていなかった。
1(6)ウのとおり,被告BBテクノロジーは,本件リモートメンテナ
ンスサーバーのIPアドレスさえ判明してしまえば,何らのアクセス
規制を受けることなく,インターネットカフェ内のパソコン等,世界
中のどこからでも本件リモートメンテナンスサーバーへログオン認証
を試みることが可能な状況を作出していた。
bユーザー名・パスワード管理
被告BBテクノロジーは,前記のとおり,管理者権限を有する本件
アカウントが冒用されてしまった場合の危険性に鑑み,本件アカウン
トを含む本件リモートメンテナンスサーバーのユーザー名・パスワー
ド管理について以下の措置をとるべきであったが,これを怠った。
(a)本件アカウントの共有
被告BBテクノロジーは,本件リモートメンテナンスサーバーの
利用者のユーザー名とパスワードは利用者ごとに管理して厳格に共
有を禁止するべきであった。
しかし,被告BBテクノロジーにおいては,サーバーコンピュー
ターの構築と運用・メンテナンス等の作業を行うAら6名のメンバ
ーによる「現場隊」と呼ばれるグループがあり,被告BBテクノロ
ジーは,本件アカウントを「現場隊」のメンバーに与えていた。ま
た,「現場隊」のメンバー以外にも,サーバーコンピュータに携わ
る従業員には,本件アカウントの使用を認めていた。
(b)本件アカウントの品質
被告BBテクノロジーは,ユーザー名・パスワードについて解析
されにくい強度のものを使用すべきであったが,本件アカウントは
「現場隊」という日本語として読めること,ユーザー名とパスワー
ドが同じであるなど,品質の低いものであった。
(c)退職時の変更
被告BBテクノロジーは,本件アカウントを含むAが利用し又は
知り得たユーザー名・パスワード等について,退職後に悪用されな
いようユーザー名の削除又はパスワードの変更をすべきであった。
本件においては,サーバー群の管理を行っていた現場隊の構成メ
ンバーは,同被告のネットワークを熟知していたのであるから,A
のように現場隊のメンバーが異動・退職した場合には,同被告は,
少なくともその者が現場隊に所属していた時と同じ権限を行使でき
ないような対策をとるべきであったことは明白であった。
しかし,本件においては,被告BBテクノロジーは,1(8)エのと
おり,Aが退職した後も,本件アカウント等を何ら変更することな
く長期間放置していた。
(d)定期的な変更
被告BBテクノロジーは,本件リモートメンテナンスサーバーに
設定されたユーザー名について定期的にパスワードの変更をすべき
であったところ,1(8)エのとおりこれを行わなかったものである。
(e)不正侵入発覚後の措置
被告BBテクノロジーは,平成15年12月末ころに,Bが行っ
た本件リモートメンテナンスサーバー等に対する不正アクセスに気
付いた際に,それらの運用を停止するか,最低限,本件アカウント
を含め,現存していたユーザー名を全て破棄すべきであったところ,
そのような対策をとらず,Bによって変更されたパスワードを変更
前のものに戻している。
ウ本件不正取得についての予見可能性及び結果回避可能性
(ア)予見可能性
Aは,1(8)アのとおり,平成15年2月末日に被告BBテクノロジー
を退職したが,退職の直前にAと同被告との間に何らかのトラブルがあ
ったか,少なくともAにとって同被告を退職することは,極めて不本意
なものであったことが強く推測される。このような状況においては,被
告BBテクノロジーは,同被告に不平を持っていたAが退職後に本件ア
カウントやその他Aが知り得たユーザー名・パスワードを用いて本件リ
モートメンテナンスサーバーへのアクセスを行うことを予見し,又は予
見可能であったというべきである。
また,本件が犯罪行為であるから予見不可能であるということはでき
ない。
(イ)結果回避可能性
被告BBテクノロジーにおいて,Aの知り得たユーザー名を全て削除
したり,ファイアーウォール等によりアクセス制御を施す等の措置をと
ることで,Aによる本件リモートメンテナンスサーバーへのアクセスを
防止することは可能であった。
エ以上のとおり,被告BBテクノロジーは,保有する個人情報を適切に管
理し,その漏えいを防ぐために適切な措置を講ずべき注意義務を怠ったも
のであり,その過失により原告らの個人情報が漏えいしたのであるから,
原告らに対して不法行為責任を負う。
(被告BBテクノロジーの主張)
ア被告BBテクノロジーが,個人情報についての管理義務に違反し,この
過失により原告らの個人情報が漏えいしたとの主張については争う。
イリモートアクセスに関する注意義務違反
(ア)原告らも主張するとおり,リモートアクセスについては,リモート
アクセスすることの必要性がある場合に,必要な範囲に限って,相当な
措置を施した上でのアクセスは許されると解すべきであるところ,本件
当時の被告BBテクノロジーにおいては,リモートアクセスする必要が
あり,必要な範囲に限って,相当な措置を講じた上で,リモートアクセ
スを認めていたものである。
(イ)リモートアクセスの必要性とその範囲
a被告BBテクノロジーが管理していた本件顧客データベースには何
百万件もの個人情報が記録されており,単なる住所・氏名だけではな
く,本件サービスの提供に必要な電話回線の回線タイプや接続先であ
るNTT局舎名等の顧客が使用する接続に関する情報も記録されてい
る。また,日々加入した顧客を新規登録する必要があり,住所変更や,
電話番号変更等,本件顧客データベースに登録されている情報が変更
された場合には,即座にそれらの情報を変更する必要があるので,ひ
とたび本件顧客データベースを含むシステムに不具合が生じた場合に,
至急対応して復旧しなければ顧客に対するサービスを提供することが
できない。
顧客データベースを含む被告BBテクノロジーのシステムは24時
間常に稼働しており,システムトラブルは,当然,深夜・休日など時
間を問わず発生するため,外部からでもメンテナンスを行うためリモ
ートアクセスの必要性があった。
b1(7)のとおり,本件アカウントには,被告BBテクノロジーが管理
するサーバーについてメンテナンス等を行う権限が与えられていたが,
これは被告BBテクノロジーが管理するサーバー全体の5分の1強の
サーバーについてであり,本件アカウントに全てのサーバーの管理者
権限が与えられていた訳ではない。
本件アカウントに,被告BBテクノロジーが管理するサーバーのメ
ンテナンスに必要なファイル操作や設定変更,データやプログラムを
変更する権限を与えていたのは,24時間体制で,社外からもメンテ
ナンス業務を行うためのものであるから当然である。
(ウ)相当な措置
aファイアーウォール等によるアクセス規制
被告BBテクノロジーにおいても,本件リモートメンテナンスサー
バーへのアクセスについては,ユーザー名とパスワードによる認証を
行っており,何らのアクセス規制もなく,本件リモートメンテナンス
サーバーに接続を試みることはできなかった。
また,本件リモートメンテナンスサーバーのIPアドレスを第三者
が特定することは困難である。
bユーザー名・パスワード管理
(a)本件アカウントの共有
本件リモートメンテナンスサーバーに接続できる人数については,
13人に限られており,ユーザー名等は,被告BBテクノロジーの
担当者によって管理されていたものである。
本件当時は,個人情報保護法も施行されておらず,現在ほど各企
業ともに個人情報の管理を厳密に行っていなかったのであり,ユー
ザー名を共有しないことは義務づけられていなかった。
(b)本件アカウントの品質
「現場隊」という名称については,メンテナンス業務を行うため
に組織されたチームの通称にすぎず,被告BBテクノロジー社内の
一部のもので知られているにすぎなかったものであるから,「ge
nbatai」という本件アカウントについて,外部の者が簡単に
類推できるようなものではなかった。
(c)退職時の変更
従業員個人に与えたユーザー名について,退職後速やかに抹消す
べきことについては認める。
ただ,本件当時のガイドラインにおいては,アクセス権限者が異
動した場合や退職した場合にユーザー名を直ちに無効にするべきで
あるとまでは規定されていなかったものである。
(d)定期的な変更
1(8)エのとおり,被告BBテクノロジーは,約1年間,ユーザー
名及びパスワードの定期的な変更をしなかったことは認めるが,こ
れをもって過失ということはできない。
(e)不正侵入発覚後の措置
被告BBテクノロジーは,何者かによって改ざんされた本件アカ
ウントを平成16年1月8日に使用停止にしている。
ウ本件不正取得についての予見可能性及び結果回避可能性
(ア)本件不正取得は,通常の情報管理体制によっては,防御しようのな
い社外の第三者の犯罪行為という特異な事情によるものである以上,被
告BBテクノロジーにおいては予見可能性及び結果回避可能性がなく,
過失はない。
(イ)予見可能性
従業員や派遣社員が会社に対して不平を抱いていたことから,被告B
Bテクノロジーが,不正アクセス等の犯罪行為が行われることを予見し,
又は予見可能であったとすることはできない。
(ウ)結果回避可能性
本件においては,侵入に用いられたのは本件アカウントのみではなく,
A及びBが,本件アカウントを利用して顧客データベースにアクセスし,
原告らの個人情報を持ち出しているかは明らかではない。平成16年1
月13日に個人情報が不正に取得されるに先立ち,同月8日には,被告
BBテクノロジーは,何者かによって改ざんされた本件アカウントを使
用停止にしている。したがって,本件アカウントを厳重に管理していた
としても,Aによる不正アクセスを防止することは困難であった。
(2)被告ヤフーの責任の有無
(原告らの主張)
ア管理義務違反に基づく不法行為責任
被告ヤフーは,被告BBテクノロジー同様,個人情報についての管理義
務に違反した過失があり,この過失により,被告ヤフーの管理する原告ら
の個人情報が漏えいしたものであるから,原告らに対して,不法行為責任
を負う。
イ監督義務違反等に基づく共同不法行為責任
仮に,原告らの個人情報を含む顧客情報について,被告ヤフーの主張す
るとおり,被告BBテクノロジーと被告ヤフーが別個に管理し,被告ヤフ
ーが管理していた情報が,一切持ち出されていないとしても,以下の点で,
被告ヤフーに過失が認められ,被告BBテクノロジーと共同不法行為責任
を負う。
(ア)被告らはいずれもソフトバンク株式会社の子会社であり,ソフトバ
ンクグループに属している。被告ヤフーは,被告BBテクノロジーと一
体となって顧客と本件サービスの契約を締結している当事者であり,外
形的に一体となって本件サービスを提供しており,本件サービスの顧客
の情報についても利用料金の徴収等で一体の利用環境にあったものであ
る。
このような本件サービスの全体から合理的に考えれば,被告ヤフーと
被告BBテクノロジーは一体として個人情報を適切に管理する義務を負
っており,受領した個人情報を被告ヤフーのサーバーに保存しているか,
被告BBテクノロジーのサーバーに保存しているかは,被告ら内部での
職務分掌にすぎない。したがって,被告ヤフーは,自己の管理するサー
バだけではなく,被告BBテクノロジーの管理するサーバーに保存され
ている個人情報についても適切に管理する義務があった。
また,少なくとも,被告ヤフーは,被告BBテクノロジーが個人情報
を適切に管理するように監督する作為義務を負っていたものである。
(イ)本件では,原告らは,被告ら両者との間で,本件サービスを受ける
ための契約を締結するとともに,その利用に必要な個人情報の管理を委
託する旨合意し,被告らから不可分一体のサービスの提供を受けて,そ
の対価である利用料金を被告ヤフーに対して払っている。
被告らの会社の沿革,資本関係,共同して本件サービスを提供し,顧
客に対し,外形上被告らが一体として認識されていることに鑑みれば,
被告らに客観的関連共同性が認められることは明らかである。
(被告ヤフーの主張)
ア管理義務違反に基づく不法行為責任
被告ヤフーと被告BBテクノロジーは,法人格が異なるのはもちろんの
こと,被告BBテクノロジーが回線等のハード面のサービスを提供し,被
告ヤフーがホームページ等のソフト面のサービスを提供しており,別個独
立のサービスを「Yahoo!BB」の統一名称を用いて行っているに過
ぎない。
被告ヤフー及び被告BBテクノロジーは,必要となる顧客情報が異なる
ことから,原告らの個人情報を含む顧客情報(内容は1(3)のとおり)を別
のサーバーに別個に管理しており,共有しているわけではない。被告ヤフ
ーが保有していた顧客情報は,一切,外部に持ち出されていない。
イ監督義務違反等に基づく共同不法行為責任
原告らの主張は,否認ないし争う。
(3)権利侵害の有無
(原告らの主張)
ア被告らの不法行為により,原告らの個人情報を含む大量の個人情報の漏
えいという重大な結果を招き,原告らの自己の情報をコントロールする権
利(自己情報コントロール権)が侵害されている。
また,本件のBによる情報漏えいについては,Bは,当初から恐喝を目
的として顧客情報を取得しておらず,顧客情報を取得した後に,当該顧客
情報の処分先として紹介されたDが恐喝を企図し,Cらと共謀するに至っ
たという事案であるから,仮に,捜査機関により原告らの個人情報が記録
されたDVD-R等が押収されるなどしていたとしても,自己の情報が得
体の知れない反社会的集団の手に渡ったこと自体が,原告らの自己情報コ
ントロール権の侵害である。
イ二次流出について
(ア)本件においては,A及びBとは無関係な第三者であるDやCら本件
恐喝未遂事件の関係者に,Bを通じて,原告らの個人情報を含む顧客情
報が渡ったこと自体が二次流出というべきである。
(イ)また,原告らの個人情報を含む被告BBテクノロジーの顧客情報が
記録されたDVD-RとCD-Rを受け取ったDがこれをCに渡した後,
当該DVD-RとCD-Rがいかなる経過をたどったのかについては不
明である。この点,喝取金の受領を確実にするため原本以外にコピーを
作成・保管しておくのは恐喝の常套手段であり,デジタルデータは容易
に複製が可能であることからすれば,本件のような恐喝事案では,個人
情報が何らかの手段で複製された可能性が高いというべきであり,結局,
本件不正取得によって漏えいした個人情報がすべて回収されたという確
証はない。
(ウ)また,平成16年末ころ,被告BBテクノロジーの顧客情報が出版
社に持ち込まれたり,インターネットのホームページ上で公開されたり
するという事件が発生したと報道されており,被告BBテクノロジーも,
流出した情報については,平成15年3月11日から同月22日時点に
おける同社の顧客情報の一部と符合すること,及びその母数が約8万6
000件であったとのプレスリリースを出しており,本件不正取得に係
る顧客情報が本件恐喝未遂事件の関係者以外に一般に流通していた疑い
は極めて強い。
(被告らの主張)
原告らの主張は否認する。
ア(ア)個人情報については,その情報内容について,現に文字としてモニ
ターに表示されるか,又は,プリントアウトされるなどして直ちに情報
の意味内容を第三者が読みとれる状態(認識可能な状態)で開示されて
初めて,当該個人の権利が侵害されたというべきである。
(イ)本件では,被告BBテクノロジーから顧客情報のデータを持ち出し
たA及びBは,そのデータをハードディスク,CD-R,DVD-Rと
いった媒体に記録したまま保有しており,Cが恐喝に用いるためにプリ
ントアウトした極めて一部の顧客に関する情報を除いて,原告らの個人
情報を含め,一度も外部から認識可能な状態に置かれたことはなく,A
や恐喝犯らを含め原告らの個人情報を現に認識した者もおらず,このよ
うな状態で,原告らの権利が侵害されたとはいえない。
Bが被告BBテクノロジーから不正に持ち出した顧客情報は,CD-
R,DVD-Rといった媒体に保存された状態のまま,Bの共犯者であ
るE,D,Cの手に渡っているだけであり,外部の第三者はもちろんの
こと不正取得した犯人たちでさえ原告らの情報を読みとることがないま
ま,後述のとおり,当該情報が記録された記録媒体は破棄されるなどし
ている。上記記録媒体には,原告ら以外の顧客の情報も含め合計数百万
人分もの顧客のデータが記録されていたのであるから,実際上,原告ら
を含む個々の顧客の個人情報が着目され,個別に認識されることなど到
底あり得なかった。
(ウ)また,上記のとおり,本件においては,原告らの私的事項が一切
「公表」,「開示」されていないことから,原告らのプライバシーの権
利が侵害されたともいえない。
イ二次流出について
(ア)被告BBテクノロジーが,顧客情報のデータが外部に持ち出された
ことを迅速に発表したため,犯行の発覚をおそれたA及びBは,それぞ
れ顧客情報のデータを破壊し,顧客情報の入っていたハードディスクを
破棄した。また,BがDに渡したCD-RとDVD-Rは警察に領置さ
れ,既に回収されているのであって,現在に至るまで二次流出は確認さ
れていない。
(イ)被告BBテクノロジーが,原告らの主張するプレスリリースを出し
たことは認めるが,原告らのデータは,前記の最大8万6000件の個
人情報の中には含まれていない。
また,マスコミに持ち込まれた経緯や,インターネットに流出した経
緯については不明であり,A・Bによる情報漏えい事件によって漏えい
したものであるとの裏付けはない。
(4)損害
(原告らの主張)
原告らには,自己情報コントロール権が侵害されたことそれ自体に対する
精神的苦痛及び不特定の第三者にいついかなる目的でそれが利用されるか分
からないという不安感という精神的苦痛を受けており,これに基づく精神的
損害が生じていることは明らかである。
今回漏えいした情報は,個人を特定し,また,本人と連絡を取るために不
可欠な情報であり,現在,実在するメールアドレスや電話番号は,架空請求
などのために利用されていることが問題となっている。原告らは,今後,架
空請求や詐欺等の被害に怯えて暮らさなければならず,原告らに対する架空
請求等の実際の被害の発生の有無にかかわらず,その不安感だけでも精神的
負担・損害は甚大である。
よって,原告らが被った損害は,1人あたり慰謝料100万円,弁護士費
用としてその24%相当額の24万円の合計124万円は下らない。
原告らは,全損害の内金として,請求の趣旨記載の金員(一人あたり10
万円)の支払を求める。
(被告らの主張)
原告らの主張は,否認する。
原告らの主張は,広範囲に個人情報が出回っている可能性が高いことを前
提とするものであるが,前記のとおり,本件では原告等の個人情報が二次流
出したとの事実はない。原告らの主張は,外部に不正に持ち出された顧客情
報がすべて回収された確証がなく漠然たる不安があると述べるものであって,
原告らに損害はない。
また,本件において,漏えいした原告らの個人情報としては,氏名,住所,
電話番号,メールアドレス程度の基礎的な情報しか記録されていなかったの
であり,その持ち出しが直ちに損害を構成するものではない。
第3判断
1本件不正取得の経緯等
前記の争いのない事実等に証拠(甲10の1~2,11の1~5,12,13
の1~4,14~16,18の1~7,19の1~11,20の1~28,2
4の1~12)及び弁論の全趣旨を総合すれば,本件不正取得の経緯等につい
て,以下の事実が認められる(認定事実の末尾に,当該事実の認定に用いた主
な証拠を掲記する。)。
(1)被告BBテクノロジーのサーバー管理体制
ア現場隊
被告BBテクノロジーにおいては,平成14年11月末頃に,本件顧客
データベースサーバーのデータにトラブルが発生したことが契機となり,
同年12月ころ,社内に,同社の従業員であるFをリーダーとして,Aを
含む合計6名のメンバーで構成される通称「現場隊」というグループを発
足させた(甲11の2,11の5,18の2,18の6)。
現場隊の業務は,被告BBテクノロジー内のデータベース等のサーバー
コンピュータの構築と運用,メンテナンス,サーバーコンピュータ内の記
録データのバックアップ作業等,多岐に渡り,情報処理本部が使用してい
た50台以上のサーバーを管理していた(甲11の2,11の5)。
イリモートメンテナンスサーバーの設置
(ア)本件リモートメンテナンスサーバーが設置される以前は,被告BB
テクノロジーにおいては,社内ネットワークの一部にはインターネット
を通じてアクセスできるようにしていたが,セキュリティの関係で,イ
ンターネットを通じてアクセスした場合にデータベースの入ったサーバ
ーには,アクセスができないようにしていた(甲11の1)。
(イ)現場隊の業務は,顧客や各部署からの要望に常時対応する必要があ
り,被告BBテクノロジーは,平成14年12月27日,本件リモート
メンテナンスサーバーを設置し,顧客データベースへのリモートアクセ
スを認めることになった。これは,夜間や休日に緊急にサーバーのメン
テナンスの必要が生じた場合に社外からインターネットを通じてサーバ
ーのメンテナンスを行う目的で,年末年始の休みが近づいていたことか
ら設置されたものであった(甲11の1,11の5,13の2)。
(ウ)なお,本件リモートメンテナンスサーバーのほかに,被告BBテク
ノロジーは,サーバー群を監視するためのサーバーを一台設置しており
(以下,「本件監視サーバー」という。),平成15年2月ないし3月
ころから,本件監視サーバーに対しても,リモートデスクトップを用い
て,外部からログオンすることが可能であった(甲11の3,11の5,
13の1)。
ウ本件リモートメンテナンスサーバーへのアクセスの許可状況
平成16年1月12日までに,本件リモートメンテナンスサーバーに登
録されていた利用者の総数は65名であり(甲13の2),登録されてい
るユーザー名には,本件アカウントを含め,ユーザー名とパスワードが同
じものが多数存在していた(甲18の2~3,20の22)。
エ本件アカウントの権限
(ア)本件アカウントには,本件リモートメンテナンスサーバーの管理者
権限(アドミニストレータ権限)が与えられていた。
管理者権限は,サーバーについて,データの消去や変更,アカウント
の追加登録作業,各種設定追加変更,ハードウェアのメンテナンス,障
害監視等が行える権限であり,現場隊の業務として,サーバーのハード
ウェアのメンテナンス,障害監視等があったため,本件アカウントに管
理者権限が与えられていたものであった(甲11の2,13の2)。
(イ)また,本件リモートメンテナンスサーバー同様に,現場隊がメンテ
ナンスしていた各サーバーコンピュータにも,管理者権限が与えられた
ユーザー名として本件アカウントを登録することが認められていた(甲
11の2,13の2)。
(ウ)本件アカウントは,現場隊のメンバーがグループで使用していたグ
ループアカウントであるが,現場隊以外には,サーバーに携わる社員に
限り,サーバーのメンテナンスのために本件アカウントを利用すること
が認められており,平成16年1月30日までに,延べ13名がこの使
用を認められていた(甲13の2)。
なお,A個人に対しては,本件リモートメンテナンスサーバーのユー
ザー名とパスワードは与えられていなかった(甲11の1,18の2)。
(エ)本件アカウントで本件リモートメンテナンスサーバーにログオンし
た場合には,同サーバーに登録されているユーザー名の一覧を確認する
ことができ,それらの削除等を行うことができた。また,本件アカウン
ト以外で本件リモートメンテナンスサーバーにログオンした場合にも,
登録されているユーザー名の一覧を確認することができた(甲20の2
5,20の28)。
オ本件顧客データベースの保管状況
(ア)本件顧客データベースの原本は,本件顧客データベースサーバーに
保管されていた。また,Aが,被告BBテクノロジーで業務を行ってい
た際に,本件顧客データベースのバックアップを採ったデータを,別の
サーバー(以下,「旧バックアップサーバー」という。)に保管してい
たことがあった。
本件不正取得当時は,毎日,データのバックアップを採って,最新の
データを本件リモートメンテナンスサーバーの中に保存しており,旧バ
ックアップサーバーは使用されていなかったが,稼働はしていた。
Aは,被告BBテクノロジーで業務を行っていた際,本件顧客データ
ベースサーバー及び旧バックアップサーバーのメンテナンス業務を担当
していた(甲12,14,18の1)。
(イ)本件顧客データベースサーバーのユーザー名について
本件顧客データベースサーバーには,データベース管理用のユーザー
名(以下,「本件データベースアカウント」という。)が本件アカウン
ト以前から設定されており,Aはこれを知っていた。
本件顧客データベースサーバーにも,本件アカウントは登録されてい
た(甲18の3,18の6~7)。
(2)6月の不正取得
アAは,退職後の平成15年5月ころ,被告BBテクノロジーのサーバー
から,本件顧客データベースのデータを取得することを考え,知人のBに
相談した(甲18の1)。
Bは,相談された当初は乗り気ではなかったものの,次第に興味を抱き,
同月末ころ,Aと共に被告BBテクノロジーのリモートメンテナンスサー
バーへ侵入することに合意した(甲18の1,20の2,20の16)。
両名は,この計画を行うに際して,身元が判明しないようにするためイ
ンターネットカフェのパソコンを利用すること,利用者に対する監視や身
分確認が甘い店舗を選択すること,侵入に際してはグローバルIPアドレ
スが付与されたパソコンで行う必要があること等を打ち合わせた(甲20
の2,20の21。)
イ本件顧客データベースのデータの取得経緯
Aは,Bと共に,同年6月13日,同月20日,同月27日,インター
ネットカフェに赴き,被告BBテクノロジーのサーバーにアクセスした。
本件顧客データベースサーバー内から本件顧客データベースのデータをA
らが取得した経緯は,以下のとおりである。
(ア)6月20日のアクセス
a6月20日,Aは,Bと共に,インターネットカフェに行き,店内
のパソコンから,リモートデスクトップを用いて,本件リモートメン
テナンスサーバーのIPアドレス及び本件アカウントを入力して,本
件リモートメンテナンスサーバーにログオンした(以下,リモートデ
スクトップを用いて,接続先のサーバーを特定し,ユーザー名とパス
ワードを入力してサーバーにログオンすることを,単に「サーバーに,
リモートデスクトップでログオンする」という。)(甲18の4)。
bAは,本件リモートメンテナンスサーバーから,さらに,リモート
デスクトップで他のサーバーにログオンした。Aは,本件顧客データ
ベースサーバーの中に,最新の顧客データベースのバックアップファ
イルを見つけ,ファイル圧縮ソフトを使用して,同ファイルの圧縮作
業を開始したが,圧縮作業に時間が掛かることから,その状態で,被
告BBテクノロジーのサーバーへの接続を切断した(甲18の4,1
8の6)。
(イ)6月27日のアクセス
a6月27日,Aは,Bと共に,インターネットカフェに行き,店内
のパソコンから,本件アカウントを用いて,本件リモートメンテナン
スサーバーにリモートデスクトップで接続した(甲18の4,18の
6)。
bAは,さらに,(ア)bの圧縮作業を行ったサーバーにリモートデス
クトップでログオンし,圧縮結果を確認した上で,同ファイルを,被
告BBテクノロジーのサーバーから,店内のパソコンに接続した外付
けハードディスクに転送する作業を開始した。
この外付けハードディスクは,Bが用意したもので,Aらが,イン
ターネットカフェに持ち込み,店内のパソコンに接続していたもので
あった(以下,このハードディスクを「本件外付けハードディスク」
という。)(甲18の4,18の6)。
cファイルの容量が大きく,ファイル転送に約2日かかる計算であっ
たため,Bが店員に交渉して,Aらが使用しているパソコンを誰も使
えないようにしてもらった上で,Aらは店を出た(甲18の4,18
の6)。
(ウ)6月30日の顧客情報の取得
Aの仕事の都合があったため,Bは,6月30日,(イ)のアクセスの
際と同じインターネットカフェに一人で赴き,(イ)bの転送の結果を確
認したところ,ファイルの転送は完了しており,店内のパソコンに接続
していた本件外付けハードディスクを取り外して,自宅へ持ち帰った
(以下,この際にBが取得したデータを「6月のデータ」という。)
(甲20の21)。
ウBは,6月13日のアクセス以前は,本件リモートメンテナンスサーバ
ーを通じて,被告BBテクノロジーのサーバーにアクセスする方法を知ら
なかった。しかし,同月13日,20日,27日のアクセスの際に,Aが
パソコンを操作するのを見たり,Aからの説明を受けたことを通じて,
・本件リモートメンテナンスサーバーのIPアドレス
・本件アカウントや本件データベースアカウント
・本件アカウントが,リモートメンテナンスサーバー以外のサーバーに
も設定されていること
・本件リモートメンテナンスサーバーに登録されているユーザー名の中
に,ユーザー名とパスワードが同じものが多数存在すること。
・本件顧客データベースサーバーや,本件バックアップサーバーの存在
等を知ったものである。
エなお,Aは,6月20日のアクセスの際に,6月のデータ以外に,被告
BBテクノロジーのサーバー内の幾つかのファイルを本件外付けハードデ
ィスクに転送して入手した。また,その際に,旧バックアップサーバーか
ら,本件顧客データベースの古いバックアップファイルの取得を試みたが,
Aが旧バックアップサーバーから転送したバックアップファイルは,後日
確認した結果,データの圧縮・転送に失敗しており,復元ができないこと
が確認された(甲18の4,20の3,20の21)。
(3)Bによる6月のデータの復元と独占
アBは,6月のデータの取得後,これの転送が完了した旨をAに報告した
が,両名は,すぐに顧客情報を処分すれば,被告BBテクノロジーが不正
アクセスに気付くのではないかと考え,しばらくの間,同ファイルをその
ままに置いておくことにした。そのため,Bが回収した本件外付けハード
ディスクは,そのままBが保管することとなった(甲18の4,20の2
1)。
イBは,平成15年9月中旬ころ,自己のパソコンを用いて,6月のデー
タの復元を試みたところ,復元に成功し,6月のデータには,471万6
788人分の個人情報が含まれていることを確認した。
当初,AとBの間では,被告BBテクノロジーから取得した顧客情報を
第三者へ処分し,その利益を分配する予定であったが,Bは6月のデータ
を独り占めしようと考えた(甲20の4,20の6,20の17,20の
21)。
ウ同年10月ころ,Aが,Bに連絡し,6月のデータの復元作業を行うこ
ととなったが,Bは,既に復元に成功したことをAに告げず,さらに顧客
データベースの一部を故意に破損させ復元が不可能となったデータベース
ファイルをAに手渡し,Aに本件顧客データベースサーバーからの転送が
失敗したと誤信させた(甲18の4,20の21)。
(4)BとEの接触
Bは,平成15年10月初めころ,知人の紹介で,右翼団体関係者である
Dの娘婿であるEと会い,Eに6月のデータの売却等の処分先の仲介を依頼
した(甲19の2,20の17)。
Bは,6月のデータの一部を印刷し,Eに渡したが,見づらいものであっ
たため,6月のデータを,データの項目を絞り込んだ上で,マイクロソフト
社のデータベースソフトであるアクセスを用いて見やすい表にして印刷し,
同年11月下旬ころに,再度Eに渡した。Dは,6月のデータの処分の話を
Eから聞いており,それらの資料は,EからDへと渡った(甲19の3~4,
19の10,20の6~7,20の17,24の7)。
(5)Aによる再度のアクセスとBによる本件アカウントの消去等
ア本件顧客データベースのデータの取得に失敗したと信じていたAは,平
成15年11月中旬ころから,Bに対し,なおも本件顧客データベースの
データの取得を持ちかけてくるようになり,Bはこれに応じることにした。
両者は,同年12月29日に再度,被告BBテクノロジーのサーバーにア
クセスを試みることにした(甲18の5,20の21)。
イBは,同年11月24日,インターネットカフェのパソコンから,本件
アカウントを用いて,本件リモートメンテナンスサーバーにリモートデス
クトップでログオンし,本件アカウント等が変更されていないことを確認
した(甲20の21)。
ウ12月27日の本件アカウントの消去
Bは,Aによる顧客情報の取得を妨害するため,同年12月27日,イ
ンターネットカフェ内のパソコンから,本件アカウントを用いて,本件リ
モートメンテナンスサーバーにリモートデスクトップでログオンした。B
は,ログオン後,本件リモートメンテナンスサーバーから,本件アカウン
トを消去した(甲20の21)。
エ12月29日のAとBのアクセス
同月29日,AとBは,インターネットカフェに行った。Aは,店内の
パソコンから,本件アカウントを用いて,リモートデスクトップで本件リ
モートメンテナンスサーバーにログオンしようとしたが,ログオンするこ
とができなかった。そのためAは,知っている別のユーザー名とパスワー
ドを入力し,本件リモートメンテナンスサーバーにリモートデスクトップ
でログオンすることに成功した。
Aは,本件顧客データベースサーバー内の最新のバックアップファイル
を圧縮する作業を開始した上,被告BBテクノロジーのサーバーとの接続
を切り,AとBはインターネットカフェから出た(甲18の5,20の2
1)。
オBによる圧縮作業の中断と,パスワード変更
(ア)Bは,Aが新たに顧客情報のデータを取得すれば,既に自らが保有
しているデータの価値が下がってしまうと考え,12月29日,Aと別
れた後に再度インターネットカフェに行った。そして,店内のパソコン
から,本件アカウントを消去する際にユーザー名の一覧で見て記憶して
いた別のユーザー名(このユーザー名は,ユーザー名とパスワードが同
一であった。)を用いて,本件リモートメンテナンスサーバーにリモー
トデスクトップでログオンし,Aの行った圧縮作業を中断した(甲20
の21)。
(イ)Bは,同日,さらに,本件リモートメンテナンスサーバーに登録さ
れているユーザー名のうち,Aが知っていると思われる複数のユーザー
名のパスワードを変更し,Aのデータ取得を妨害した(甲20の21,
20の25)。
(ウ)Bは,12月31日にも,インターネットカフェのパソコンから,
同様に,本件リモートメンテナンスサーバーに登録されているユーザー
名のうち,ユーザー名とパスワードが同じものについて,パスワードを
変更した(甲20の22,20の25)。
(エ)12月29日と31日の作業の際には,Bは,本件監視サーバーに
も,本件アカウントを用いて,リモートデスクトップでログインした上
で,登録されているユーザー名を確認し,そのパスワードを変更した
(甲20の25)。
(6)BとDの接触
Bは,12月31日,Eに誘われて,Dの忘年会に出席し,その際に,D
に初めて会った。Bは,Dによる被告BBテクノロジー等を恐喝する計画に
ついて,それまで聞かされていなかった。
翌日の平成16年1月1日に,Dは,BとEに,被告BBテクノロジー等
を恐喝する計画であることを告げ,Bに,被告BBテクノロジー内に存在す
る新たなデータや6月のデータよりも重要なデータを取得すること,被告B
Bテクノロジーのサーバーに侵入したのが中国人であるように見せかけるこ
となどを指示した(甲19の7,19の10,20の18,24の8)。
(7)被告BBテクノロジーのパスワード変更等への対処
アBが,(5)オ(イ)のとおり,本件リモートメンテナンスサーバーに登録さ
れていたユーザー名のパスワード変更を行ったため,平成15年12月3
0日,被告BBテクノロジーの従業員が,本件リモートメンテナンスサー
バーへログオンできない事態が生じた(甲11の4,13の1)。
Fは,本件リモートメンテナンスサーバーと,本件監視サーバーに登録
されていたパスワードが変更されていることに気付き,その旨の社内メー
ルを送信して注意を喚起した。また,Fは,パスワードが書き換えられて
ログオンできなかったユーザー名については,書換え前のものにパスワー
ドの再設定を行った(甲11の4)。
イまた,平成16年1月5日,本件リモートメンテナンスサーバーに,被
告BBテクノロジーの従業員がログオンできない事態が生じた。その際の
調査で,本件リモートメンテナンスサーバーについて,本件アカウントが
削除されていること,アで再設定したパスワードが再び書き換えられてい
ることが確認された(甲11の4,13の1)。
(8)1月の不正取得
アBによるパスワード変更の有無の確認
Bは,平成16年1月1日及び8日,(5)のパスワード変更等に,被告B
Bテクノロジーが気付いて対応しているかを確認するため,インターネッ
トカフェのパソコンから,自分がパスワードを変更したユーザー名を用い
て,変更後のパスワードを入力して,本件リモートメンテナンスサーバー
にログオンを試みた(甲20の22)。
同月1日には,変更後のパスワードでログオンできたが,8日には,変
更後のパスワードで,ログオンすることができず,Bは,被告BBテクノ
ロジーがパスワードの変更に気付いたことが分かった。Bは,8日のアク
セスの際に,念のため,変更前のパスワードでログオンすることを試み,
変更前のパスワードでログオンが可能であり,一部のユーザー名のパスワ
ードがBによって変更される以前のものに戻されていただけであることを
確認し,Bは再度パスワードを変更した(甲20の22,20の25)。
イ中国人のアクセスに見せかけるための工作
1月10日,Bは,インターネットカフェ内のパソコンから,本件リモ
ートメンテナンスサーバーにリモートデスクトップでログオンし,本件リ
モートメンテナンスサーバー内に,中国人の犯行に見せかけるための英文
のテキストファイルを作成・保存した(甲20の10,20の25)。
ウ1月13日のアクセス
(ア)本件顧客データベースからのデータの抽出・圧縮
1月13日,Bは,インターネットカフェのパソコンから,本件リモ
ートメンテナンスサーバーに,リモートデスクトップでログオンし,さ
らに本件顧客データベースサーバーにリモートデスクトップでログオン
した。本件顧客データベースサーバーにログオンする際には,Bは,本
件アカウントではなく,本件データベースアカウントを使用した。
Bは,本件顧客データベースサーバー内にあったデータベースを操作
するソフトを用いて,本件顧客データベースの中から,顧客情報を抽出
する作業を行い,抽出したデータを圧縮した(甲20の22,20の2
7)。
(イ)圧縮後のデータの転送
同日,Bは,(ア)とは別のインターネットカフェに行き,本件リモー
トメンテナンスサーバーにリモートデスクトップで接続し,本件顧客デ
ータベースサーバーとは別のサーバーに(ア)の圧縮したデータをコピー
した上で,同サーバーに本件アカウントでリモートデスクトップで接続
し,そのサーバーから,(ア)の圧縮したデータを,店内のパソコンに接
続した外付けハードディスクに転送した(以下,この際にBが取得した
データを「1月のデータ」という。)。
1月のデータには,約650万件の顧客情報が含まれていた。
この外付けハードディスクは,本件外付けハードディスクとは別のハ
ードディスクで,Bが,自宅のパソコンで6月のデータの復元作業に使
用していたものを取りだして,外付け用のケースに入れたものであった
(甲20の13,20の22,20の27)。
(ウ)同日のアクセスの際に,Bは,本件顧客データベースサーバー内に,
被告BBテクノロジーが提供するIP電話サービス「BBフォン」の通
話記録データの一部を発見し,1月のデータと同様に,このデータも抽
出・圧縮した上で,被告BBテクノロジーのサーバーから,インターネ
ットカフェのパソコンに接続した外付けハードディスクに転送した(甲
15,16,20の22,20の27)。
エなお,同月11日,12日にも,Bは,本件リモートメンテナンスサー
バーにリモートデスクトップでログオンしており,被告BBテクノロジー
からデータを転送するためのテスト等を行い,12日には,13日と同様
の方法で,顧客データの転送を試みたが,何らかの原因で転送が失敗した
ものであった(甲20の22,20の26,20の27)。
(9)DVD-R等の作成・Dらによる入手
ア1月21日ころ,Dは,Eを通じて,Bに対し,取得した顧客情報のデ
ータそのものを引き渡すように指示した(甲19の6,24の11)。
イBはDの指示を受けて,同月22日に,1月のデータをアクセスで加工
した上で,CD-Rに10万人分,DVD-Rに450万人分の顧客情報
を記録し(以下,それぞれ「本件CD」「本件DVD」という。),同月
23日,これらをDに渡した(甲20の12,20の19,20の22,
20の27)。
ウなお,Bは,同月,6月のデータの一部を抽出して印刷したものや,
(8)ウ(ウ)の通話記録の一部を印刷したものも,EないしDに渡している
(甲19の5,20の11~12,20の14,20の27,24の1
2)。
エ1月23日,Dは,本件CD及び本件DVDを,本件恐喝未遂事件の実
行犯であるCに渡した(甲24の5,24の12)。
(10)A・Bらによる顧客情報等の処分
アAは,平成16年1月3日,インターネットカフェのパソコンから本件
リモートメンテナンスサーバーへリモートデスクトップでログオンしよう
としたがログオンできず,不正アクセスが被告BBテクノロジーに発覚し
ていると思ったため,被告BBテクノロジーから入手したデータの入って
いたハードディスクは破棄し,Bから預かっていた本件外付けハードディ
スクは,動画データを何度も上書きして,元のデータが復元できないよう
にした(甲18の5~6)。本件外付けハードディスクはその後,Aの自
宅から押収された(甲18の4,20の24)。
イBは,同月23日,本件DVD及び本件CDを渡した後に,被告BBテ
クノロジーの顧客情報を保存していたハードディスクを電子レンジにかけ
て,中のデータを破壊し,そのハードディスクを捨てた(甲20の15,
20の19)。
ウ本件CD及び本件DVDは,同月23日,Cから被告BBテクノロジー
に渡り,その後,同被告から警察に提出されて,警察が領置した(甲10
の2,20の12,24の5)。
2被告BBテクノロジーの過失について
(1)注意義務の内容
ア個人情報の管理に関する一般的な注意義務
本件サービスが電気通信事業法上の電気通信事業に当たることは争いが
なく,被告BBテクノロジーは同法にいう電気通信事業者に当たると認め
られる(乙3)ところ,本件不正取得が行われた当時,電気通信事業にお
ける個人情報保護に関するガイドライン(平成10年12月2日郵政省告
示570号)5条4項は,「電気通信事業者が個人情報を管理するに当た
っては,当該情報への不正なアクセス又は当該情報の紛失,破壊,改ざん,
漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずる
ものとする。」と定めていた。
また,被告BBテクノロジーは,第2の1(3)ア,(4)のとおり,原告ら
を含む本件サービスの顧客の個人情報をデータベースとして保有,管理し
ており,個人情報保護法にいう個人情報取扱事業者に当たると解されると
ころ,同法20条は,「個人情報取扱事業者は,その取り扱う個人データ
の漏えい,滅失又はき損の防止その他の個人データの安全管理のために必
要かつ適切な措置を講じなければならない。」と定めている(なお,同法
は,平成15年5月30日に成立したが,本件不正取得が行われた当時は,
まだ施行されていなかった。)。
これらの点に鑑みると,被告BBテクノロジーは,本件不正取得が行わ
れた当時,顧客の個人情報を保有,管理する電気通信事業者として,当該
情報への不正なアクセスや当該情報の漏えいの防止その他の個人情報の適
切な管理のために必要な措置を講ずべき注意義務を負っていたと認められ
る。
イリモートアクセスに関する注意義務
上記のとおり,本件においては,本件リモートメンテナンスサーバーを
通じて,本件顧客データベースサーバーにリモートアクセスが可能な状態
となっていた。
リモートアクセスについては,JIS規格や,コンピュータ不正アクセ
ス対策基準(平成8年通商産業省告示第362号)で,その危険性が指摘
され,不正アクセスへの対策について各種の規定がされているところであ
り(規定の内容については被告らも争わない。),これらの規定等の存在
が示すように,あるサーバーに対してリモートアクセスを可能にすること
は,それ自体,当該サーバーに対する外部からの不正アクセスの危険を高
めるものであるといえる。
被告BBテクノロジーは,個人情報の管理に関してアのとおりの注意義
務を負うのであるから,本件顧客データベースサーバーについて,そもそ
も必要性がない場合又は必要性のない範囲にリモートアクセスを認めるこ
とは許されず,また,リモートアクセスを可能にするに当たっては,不正
アクセスを防止するための相当な措置を講ずべき注意義務を負っていたと
いうべきである。
(2)リモートアクセスに関する注意義務違反の存否
アリモートアクセスの必要性及びその範囲の相当性
(ア)被告BBテクノロジーが,平成14年12月に本件リモートメンテ
ナンスサーバーを設置して,本件顧客データベースサーバーへのリモー
トアクセスを可能にしたのは,前記のとおり,休日や夜間に社外からサ
ーバーのメンテナンスを行う必要からというものであった。
乙6の1によれば,同年12月当時の本件サービスの利用状況につい
ては,同月末の接続回線数が約169万件であり,前月に比べ約23万
件の増加をしていたと認められ,同月当時,新規加入の顧客情報の入力
や,登録された情報の変更等の作業は相当な量に上るものと推認でき,
顧客データベースに不具合が生じた場合に至急復旧する必要性もあった
と認められる。また,本件顧客データベースサーバーについて,前記の
とおり,同年11月に実際にトラブルが生じていることにも照らせば,
同年12月当時,被告BBテクノロジーにおいて,社外からメンテナン
スを行うため,リモートアクセスを認める必要性がなかったとはいえな
い。
(イ)また,本件アカウントに,本件リモートメンテナンスサーバーや,
本件顧客データベースサーバーを含むその他のサーバーについての管理
者権限を与えていたことについても,前記のとおり,社外からのメンテ
ナンス作業を行うためにこれを付与していたと認められるから,メンテ
ナンス作業に必要な範囲を超えた権限を与えていたとはいえない。
イ不正アクセス防止のための相当な措置
(ア)アクセス管理の体制
前記のとおり(第2の1(6)ウ),本件リモートメンテナンスサーバー
については,そのIPアドレスを特定して,登録されたユーザー名・パ
スワードを入力すれば,リモートデスクトップでログオンすることが可
能であって,被告BBテクノロジーは,本件リモートメンテナンスサー
バーに対するアクセス管理として,ユーザー名とパスワードによる認証
を行っていたが,特定のコンピュータ以外からはリモートアクセスがで
きないようにする措置はとられていなかったものと認められる。
なお,証拠(甲25,26,乙7の16)及び弁論の全趣旨によれば,
本件不正取得当時において,リモートアクセスを認める場合に,ユーザ
ー名とパスワードによる認証以外に,コールバック機能等を使用するこ
とによって,特定のコンピュータからのアクセスしか認めないというよ
うなアクセス規制をする方法は存在したものと認められる。
(イ)ユーザー名とパスワードの管理
本件においては,前記のとおり,本件リモートメンテナンスサーバー
に登録されているユーザー名とパスワードについて,被告BBテクノロ
ジーは,①本件アカウントを共有アカウントとしてAに与えていたこと,
②平成15年2月末にAが退職した際に,本件アカウントを含めAが知
り得たユーザー名を削除したりそのパスワードを変更したりしなかった
こと,③本件リモートメンテナンスサーバーの設置から平成16年1月
までの約1年間,登録されているユーザー名について,パスワードの定
期的な変更を行わなかったことが認められる。
また,前記のとおり,④平成15年12月30日と平成16年1月5
日に,本件リモートメンテナンスサーバーに登録されていたユーザー名
のパスワードが変更されていたり,本件アカウントが削除されていたり
したことに気付いていたものの,パスワードが変更されていたユーザー
名について元のパスワードに戻して,その使用を継続させていた。
(ウ)以上の被告BBテクノロジーにおけるリモートアクセスの管理体制
は,ユーザー名とパスワードによる認証以外に外部からのアクセスを規
制する措置がとられていない上,肝心のユーザー名及びパスワードの管
理が極めて不十分であったといわざるを得ず,同被告は,多数の顧客に
関する個人情報を保管する電気通信事業者として,不正アクセスを防止
するための前記注意義務に違反したものと認められる。
なお,同被告は,本件リモートメンテナンスサーバーのIPアドレス
を第三者が特定することは困難であると主張する。しかし,同被告は,
退職した元従業員等,もともと本件リモートメンテナンスサーバーのI
Pアドレスを知り得る立場にある者による不正アクセスについても,こ
れを防止するための相当な措置を講ずべきであると解されるから,IP
アドレスの特定の困難性は上記判断に影響を与えるものではない。
(3)予見可能性及び結果回避可能性について
ア予見可能性
前記のとおり,Aは,被告BBテクノロジーにおいて,本件顧客データ
ベースサーバーを含むサーバー管理業務を行っており,又,リモートアク
セスを業務上認められていた。また,乙10によれば,被告BBテクノロ
ジーは,Aが被告BBテクノロジーでの業務を始めるに当たって,被告B
Bテクノロジーの営業上ないし技術上の情報についての秘密保持等に関す
る誓約書を書かせていたことが認められる。
被告BBテクノロジーがAに行わせていた業務の内容,与えていた権限
の内容に,前記誓約書を書かせていたことを総合すれば,Aが業務を終え
る際に同被告とトラブルがあったか否かにかかわらず,同被告は,Aが業
務を終えた後に,業務中に知り得たパスワード等の情報を用いたり,他人
にそれらの情報を漏らしたりすることによる不正アクセスについては,予
見可能であったというべきであり,本件不正取得についても予見可能であ
ったと認められる。
イ結果回避可能性
本件において,後記のとおり原告らの個人情報が含まれていたと認めら
れるのは1月のデータであるが,Bによる1月のデータの不正取得につい
ては,それまでに,被告BBテクノロジーが,本件アカウントを含むユー
ザー名・パスワードの適切な管理等,不正アクセスを防止するための相当
な措置を採っていれば防ぎ得たといえるから,結果回避可能性も認められ
る。
この点,被告BBテクノロジーは,Aはその他のパスワード等によって
被告BBテクノロジーのサーバーに侵入することも可能であった等として,
本件アカウントについて,いくら厳重に管理していても,Bによる1月の
データの取得は防止できなかったと主張する。
確かに,前記本件不正取得の経緯のとおり,Bは,平成15年12月2
7日,本件リモートメンテナンスサーバーから,本件アカウントを削除し
ており,その後は,本件リモートメンテナンスサーバーにリモートデスク
トップでログオンする際には,自らがパスワードを変更したユーザー名を
用いるなどして,本件アカウントを使用していない。
しかし,本件リモートメンテナンスサーバーに多数のユーザー名・パス
ワードを登録している状況において,不正アクセスを防止するための相当
な措置をとるためには,本件アカウントを含め,それら全体について適切
な管理を行うべきことは当然である。1月のデータの不正取得については,
前記の本件不正取得の経緯に照らし,例えば,本件アカウントのみならず,
サーバー管理業務を行っていたAが知り得たと思われるユーザー名につい
て,Aの退職時にこれを削除したり,パスワードを変更することによって
防げた可能性が高いし,パスワードについての定期的な変更を行ったり,
又は,平成16年1月に第三者によってパスワードが変更されていること
に気付いた際など,全面的なパスワード変更を少なくとも1回行うことに
よっても防ぎ得たといえるから,この点についての被告BBテクノロジー
の主張は採用できない。
(4)以上によれば,被告BBテクノロジーは,本件リモートメンテナンスサー
バーを設置して本件顧客データベースサーバー等のサーバーへのリモートア
クセスを行うことを可能にするに当たり,外部からの不正アクセスを防止す
るための相当な措置を講ずべき注意義務を怠った過失があり,同過失により
本件不正取得を防ぐことができず,原告らの個人情報が第三者により不正に
取得されるに至ったというべきである。したがって,同被告は,原告らに対
し,本件不正取得により原告らの被った損害を賠償すべき不法行為責任があ
る。
3被告ヤフーの過失及び共同不法行為責任について
(1)自己の保管する個人情報に対する管理義務違反
証拠(甲10の1,21の1,乙3)及び弁論の全趣旨によれば,被告ヤ
フーと被告BBテクノロジーは,その管理している情報の範囲も異なり(被
告ヤフーのみが利用料の徴収業務を行い,クレジットカード番号等の決済情
報を保有していた。),顧客情報をそれぞれ別個に管理していたものと認め
られ,本件全証拠によっても,被告ヤフーが管理していた顧客情報が流出し
たとは認められない。
したがって,被告ヤフーが自らの管理していた顧客情報に対する管理義務
に違反し,同被告の管理する原告らの個人情報が漏えいしたとの事実は認め
られず,この点に関する原告らの主張は理由がない。
(2)被告BBテクノロジーに対する監督義務違反等
ア監督義務違反等による過失の有無について
証拠(甲10の1,乙3)及び弁論の全趣旨によれば,被告らは,原告
らを含む顧客と,それぞれ別個の契約を締結し,それぞれが顧客から個人
情報の提供を受け,別個のサービスを提供していたものと認められ,また,
前記のとおり,その管理している情報の範囲も異なり,別個のサーバーに
保管管理していたものである。
確かに,証拠(甲10の1,21の1,乙1の2,2~4)及び弁論の
全趣旨によれば,原告らの主張するように,被告らは,共に株式会社ソフ
トバンクの子会社であり,本件サービスの契約手続などにおいて外形上一
体のものとして本件サービスを提供していたものであり,また,利用料の
徴収のため,被告BBテクノロジーは,回線使用料のデータ等を被告ヤフ
ーに送っていたこと,申込者のデータの入力の作業の際に,申込時に提供
された個人情報が被告ヤフーを通じて被告BBテクノロジーに送られてい
たことが認められる。
しかし,これらの事情を総合したとしても,本件において,被告ヤフー
が,被告BBテクノロジーが別個に保管していた顧客情報について,適切
に管理すべき義務を負っていたとは認められない。また,同様に,被告ヤ
フーが,被告BBテクノロジーが顧客情報を適切に管理するよう監督すべ
き義務を負っていたともいえない。
以上のとおりであって,被告BBテクノロジーの管理する情報が不正取
得されたことについて,被告ヤフーの過失は認められない。
イしたがって,その余の点について判断するまでもまく,上記過失を前提
として,被告ヤフーが被告BBテクノロジーと共同不法行為責任を負うと
の主張には理由がない。
4原告らの権利侵害について
(1)不正取得された原告らの個人情報
前記のとおり,Cが取得した顧客データは,1月のデータの一部を本件D
VD及び本件CDに記録したものと認められ,その中に,原告らの個人情報
が含まれていたことは争いがないから,1月のデータに原告らの個人情報が
含まれていたことが認められる。
A及びBは,前記のとおり,1月のデータの他にも,6月のデータや通話
記録等を被告BBテクノロジーのサーバーから不正に取得しているが,本件
全証拠によっても,これらに,原告らの個人情報が含まれていたとは認めら
れない。
(2)1月のデータの流通範囲(二次流出の有無)
1月のデータは,前記のとおり,Bが取得し,本件DVD及び本件CDに
記録され,Dを通じてCに渡り,Cから被告BBテクノロジーに渡ったこと
が認められる。また,1月のデータの処分については,前記のとおり,これ
が入ったハードディスクはBにより,電子レンジにかけて破壊された上で破
棄されていること,本件DVD及び本件CDは押収されていることが認めら
れる。
原告らは,この点,本件DVD及び本件CDをCらが複製した可能性があ
る旨主張する。しかし,証拠(甲10の2,24の5,24の12)及び弁
論の全趣旨によれば,Cが本件DVD及び本件CDを取得したのは,被告B
Bテクノロジー側と接触する直前であり,Cは,その日の接触の際にこれら
を被告BBテクノロジー側に渡しているのであって,複製作業等を行う時間
的余裕があったとは考えがたく,本件全証拠に照らしても,このような複製
の事実を認めることはできない。
また,インターネットやマスコミに流出したデータについては,本件全証
拠に照らしても,1月のデータであるとは認められず,また,それらの中に
原告らのデータが含まれているとも認められない。
以上のとおりであり,本件において,1月のデータが,B及びCら本件恐
喝未遂関係者からさらに他の者に流出(以下,「二次流出」という。)した
とは認められない。
(3)権利侵害
ア上記のとおり,B,Cらが取得した1月のデータは原告らそれぞれの個
人情報を含み,その内容は,①住所②氏名③電話番号④メールアドレス⑤
ヤフーID⑥ヤフーメールアドレス⑦申込日を含むものであった。
イ上記①~⑥の住所・氏名・電話番号・メールアドレス等の情報は,個人
の識別等を行うための基礎的な情報であって,その限りにおいては,秘匿
されるべき必要性が高いものではない。また,本件サービスの会員である
ということ及びその申込日についても同様である。
しかし,このような個人情報についても,本人が,自己が欲しない他者
にはみだりにこれを開示されたくないと考えることは自然なことであり,
そのことへの期待は保護されるべきものであるから,これらの個人情報は,
原告らのプライバシーに係る情報として法的保護の対象となるというべき
である。
ウ被告らは,本件において二次流出は確認できず,原告らの個人情報が文
字としてモニターに表示されたり印刷されたりして外部から認識可能な状
態で開示されたことがない等として,原告らの権利は侵害されていないと
主張する。
しかし,1月のデータは,前記のように,Bによって不正に取得され,
Bがアクセスを用いて加工し,原告らの個人情報を含むその一部を記録し
た本件DVD及び本件CDがD及びCに渡っているのであって,二次流出
が認められなくても,これらのこと自体によって原告らのプライバシーの
権利は侵害されたものといえる。
5損害について
(1)前記のとおり,被告BBテクノロジーの過失により,1月のデータが不正
取得され,原告らのプライバシーの権利が侵害されたというべきであるから,
被告BBテクノロジーは,これによって原告らが被った精神的苦痛について,
原告らに対して,損害賠償責任を負うものである。
(2)原告らは,損害の内容として,不正取得された原告らの個人情報が不特定
の第三者にいついかなる目的でそれが利用されるか分からないという不安感
を主張する。
確かに,本件においては,原告らの個人情報は,Dらの手に渡り,恐喝未
遂という犯罪に用いられたものであり,それらの者が,自己の利益を図るた
めに,恐喝以外の手段に原告らの個人情報を利用した危険性はあったものと
考えられる。
しかし,1月のデータの回収状況については,4(2)のとおり,二次流出が
あったとは認められない状況であり,その意味で,1月のデータの流出につ
いての原告らの不安感は,さほど大きいものとは認められない。
(3)これらの事情のほか,1月のデータに含まれていた原告らの個人情報は秘
匿されるべき必要性が必ずしも高いものではなかったこと,被告BBテクノ
ロジーが,本件恐喝未遂事件後,顧客情報の社外流出について発表を行い,
不正取得されたことが確認できた顧客に対してその旨連絡するとともに,本
件サービスの全会員に500円の金券を交付するなどして謝罪を行う一方,
顧客情報についてのセキュリティ強化等の対策をとっていること(乙7の1
~16,弁論の全趣旨)といった本件に現れた一切の事情を考慮すると,原
告らの精神的苦痛に対する慰謝料としては一人あたり5000円と認めるの
が相当である。
弁論の全趣旨によれば,原告らは,甲・乙事件訴訟代理人弁護士らに本件
訴訟の提起・追行を委任しており,これに対する報酬の支払を約したと認め
られ,被告BBテクノロジーの不法行為と相当因果関係のある弁護士費用は
一人あたり1000円と認めるのが相当である。
6結論
よって,原告らの本訴請求は,被告BBテクノロジーに対し,それぞれ60
00円及びこれに対する甲事件原告らについては平成16年5月29日から,
乙事件原告らについては平成17年6月3日からそれぞれ支払済みまで民法所
定の年5分の割合による遅延損害金の支払を求める限度で理由があるから認容
し,同被告に対するその余の請求及び被告ヤフーに対する請求は理由がないか
らこれを棄却し,訴訟費用の負担につき民事訴訟法61条,64条本文,65
条1項本文を,仮執行宣言につき同法259条1項をそれぞれ適用して,主文
のとおり判決する。
大阪地方裁判所第11民事部
裁判長裁判官山下郁夫
裁判官横路朋生
裁判官矢野紀夫

戻る



採用情報


弁護士 求人 採用
弁護士募集(経験者 司法修習生)
激動の時代に
今後の弁護士業界はどうなっていくのでしょうか。 もはや、東京では弁護士が過剰であり、すでに仕事がない弁護士が多数います。
ベテランで優秀な弁護士も、営業が苦手な先生は食べていけない、そういう時代が既に到来しています。
「コツコツ真面目に仕事をすれば、お客が来る。」といった考え方は残念ながら通用しません。
仕事がない弁護士は無力です。
弁護士は仕事がなければ経験もできず、能力も発揮できないからです。
ではどうしたらよいのでしょうか。
答えは、弁護士業もサービス業であるという原点に立ち返ることです。
我々は、クライアントの信頼に応えることが最重要と考え、そのために努力していきたいと思います。 弁護士数の増加、市民のニーズの多様化に応えるべく、従来の法律事務所と違ったアプローチを模索しております。
今まで培ったノウハウを共有し、さらなる発展をともに目指したいと思います。
興味がおありの弁護士の方、司法修習生の方、お気軽にご連絡下さい。 事務所を見学頂き、ゆっくりお話ししましょう。

応募資格
司法修習生
すでに経験を有する弁護士
なお、地方での勤務を希望する先生も歓迎します。
また、勤務弁護士ではなく、経費共同も可能です。

学歴、年齢、性別、成績等で評価はしません。
従いまして、司法試験での成績、司法研修所での成績等の書類は不要です。

詳細は、面談の上、決定させてください。

独立支援
独立を考えている弁護士を支援します。
条件は以下のとおりです。
お気軽にお問い合わせ下さい。
◎1年目の経費無料(場所代、コピー代、ファックス代等)
◎秘書等の支援可能
◎事務所の名称は自由に選択可能
◎業務に関する質問等可能
◎事務所事件の共同受任可

応募方法
メールまたはお電話でご連絡ください。
残り応募人数(2019年5月1日現在)
採用は2名
独立支援は3名

連絡先
〒108-0023 東京都港区芝浦4-16-23アクアシティ芝浦9階
ITJ法律事務所 採用担当宛
email:[email protected]

71期修習生 72期修習生 求人
修習生の事務所訪問歓迎しております。

ITJではアルバイトを募集しております。
職種 事務職
時給 当社規定による
勤務地 〒108-0023 東京都港区芝浦4-16-23アクアシティ芝浦9階
その他 明るく楽しい職場です。
シフトは週40時間以上
ロースクール生歓迎
経験不問です。

応募方法
写真付きの履歴書を以下の住所までお送り下さい。
履歴書の返送はいたしませんのであしからずご了承下さい。
〒108-0023 東京都港区芝浦4-16-23アクアシティ芝浦9階
ITJ法律事務所
[email protected]
採用担当宛