弁護士法人ITJ法律事務所

裁判例


戻る

主文
1被告らは,連帯して,原告甲に対し,2690円及びこれに対する
平成27年1月29日から支払済みまで年5分の割合による金員を支払
え。
2原告らのその余の請求をいずれも棄却する。5
3訴訟費用は,原告甲と被告らとの間では,これを20分し,その1
を被告らの,その余を原告甲の負担とし,原告乙及び原告丙と被告らと
の間では,原告乙及び原告丙の負担とする。
4この判決は,1項に限り,仮に執行することができる。
事実及び理由10
第1請求
1被告らは,連帯して,原告甲に対し,5万1690円及びこれに対する平成
27年1月29日から支払済みまで年5分の割合による金員を支払え。
2被告らは,連帯して,原告乙に対し,3万円及びこれに対する平成27年1
月29日から支払済みまで年5分の割合による金員を支払え。15
3被告らは,連帯して,原告丙に対し,10万円及びこれに対する平成27年
1月29日から支払済みまで年5分の割合による金員を支払え。
第2事案の概要
以下の「民法」は,いずれも平成29年法律第44号による改正前のもので
ある。また,以下,次のとおり表記する。20
略語もとの表記
原告甲原告甲
原告乙原告乙
原告丙原告丙
被告ベネッセ被告株式会社ベネッセコーポレーション25
被告シンフォーム被告株式会社シンフォーム
ベネッセホールディングス株式会社ベネッセホールディングス
丁丁
1事案の骨子
⑴主たる請求
被告ベネッセは,原告らの個人情報を含む顧客らの個人情報を管理し,平行し5
て,被告シンフォームに対し,個人情報を分析するシステム(以下「本件システ
ム」という。)の開発を委託した。被告シンフォームの委託先の従業員である丁は,
上記各情報を,外部に漏えいさせた。
本件は,原告らが,これにより精神的損害を受けたなどと主張し,以下の根拠に
基づき,損害賠償を求めた事案である。請求額は,原告甲につき5万1690円,10
原告乙につき3万円,原告丙につき10万円である。原告らは,被告らの行為が共
同不法行為であり,不真正連帯債務が成立すると主張する。
ア被告ベネッセに対する請求(選択的)
不法行為(民法709条)(原告らの個人情報の管理に注意義務違反があった
との主張に基づく。)15
使用者責任(民法715条1項本文)(丁による漏えい行為又は被告シンフォ
ームの過失行為が被告ベネッセの事業の執行につきされたとの主張に基づく。)
イ被告シンフォームに対する請求(選択的)
不法行為(民法709条)(被告シンフォーム自体に個人情報の管理に注意義
務違反があったとの主張に基づく。)20
使用者責任(民法715条1項本文)(丁による漏えい行為が被告シンフォー
ムの事業の執行につきされたとの主張に基づく。)
⑵附帯請求
各原告とも,附帯請求は,主たる請求に対する支払済みまでの民法所定の
年5分の割合による遅延損害金であり,その初日は,平成27年1月29日25
(不法行為の後の日〔訴状送達の日の翌日〕)である。
2前提事実(当事者間に争いのない事実並びに証拠〈甲1ないし5,23,31,3
2,39,64,乙17,97,98のほか後掲の各証拠〔特記のない限り,枝番
の記載は省略する。〕〉及び弁論の全趣旨により容易に認定できる事実。別の訴訟
の判決もあるが,認定に供した限度では,被告らからは,反対の主張立証がない。以
下同じ。>)5
当事者
ア原告らの身分関係
原告甲は,未成年者である原告丙の父親であり,原告乙は,原告丙の母親で
ある。原告丙は,後記本件漏えい当時,3歳であった(甲8)。
イ被告ベネッセによる個人情報の取得10
被告ベネッセは,通信教育,模擬試験の実施や雑誌の発行・通販事業を行う株
式会社であり,通信教育講座「こどもちゃれんじ」などを実施し,その顧客の個
人情報(個人情報保護法2条1項1号)として,子供や保護者の氏名,性別,生
年月日,住所,郵便番号,電話番号を,個人情報データベース(同法2条4項)
として事業の用に供している個人情報取扱事業者(同法2条5項)である。15
ウ漏えいした個人情報
原告甲は,原告丙が被告ベネッセの上記通信教育講座を受講するに際し,少な
くとも原告甲の漢字氏名,フリガナ,住所及び電話番号並びに原告丙の漢字氏名,
フリガナ,生年月日及び性別(以下「本件個人情報」という。)を被告ベネッセ
に提供し,被告ベネッセは,これらの個人情報を事業活動に使用する目的で管理20
していた(甲5)。
エ被告シンフォーム
被告シンフォームは,被告ベネッセのいわゆるグループ会社(被告らは,いず
れもベネッセホールディングスの100%子会社であり,以前は,被告シンフォ
ームは被告ベネッセの100%子会社であった。)であり,被告ベネッセから委25
託を受けてシステム開発・運用を行っている株式会社である。
オ被告ベネッセによるシステム開発
被告ベネッセは,従前,主に,顧客管理のシステム及び販売管理のシステムに
大別される複数のデータベースに顧客情報を集積して事業活動に活用していたが,
事業の拡大に伴い,顧客情報が集積されているデータベースが大量になったため,
平成24年4月頃,そのリスク管理や上記の個人情報データベースを基にそれを5
統合して分析に用いるためのシステム(本件システム)を開発することとして,
本件システム開発等の業務を被告シンフォームに委託した。
カ丁
丁は,被告シンフォームの業務委託先の会社の従業員(システムエンジニア)
として,平成24年4月頃から,被告シンフォーム東京支社多摩事業所(以下10
「被告シンフォーム多摩事業所」という。)において,被告ベネッセの情報シス
テムの開発等の業務に従事し,業務遂行の必要から,本件個人情報を含む被告ベ
ネッセの受講者の個人情報及び開発中の本件システムのデータベース(以下,こ
れらを併せて「本件データベース」という。)が記録された被告ベネッセのサー
バコンピュータ(以下「本件サーバ」という。)に被告シンフォームから貸与さ15
れた業務用パーソナルコンピュータ(以下「業務用PC」という。)からアクセ
スするための業務用アカウントを付与されていた。
本件漏えい
ア本件漏えいの具体的方法
丁は,平成26年6月17日及び同月27日に,被告シンフォーム多摩事業所20
内の執務室において,2度にわたり,業務用PCを操作して,被告ベネッセの顧
客情報が記録された本件サーバにアクセスし,合計約2989万件の受講者の個
人情報のデータをダウンロードして業務用PCに保存した上,これとUSBケー
ブルで接続したMTP(MediaTransferProtocolの略。パーソナルコンピュー
タとスマートフォンなどの外部機器を接続する際の規格)に対応している自己の25
スマートフォン(以下「本件スマートフォン」という。)の内臓メモリ又はマイ
クロSDカードにこれを記録させて複製する方法により,上記顧客情報を領得し
た上,名簿業者に送信して売却した(以下「本件漏えい」という。)。
MTPは,携帯機器とパソコンとの間で,動画・音楽などのマルチデータを簡
便に共有・連携するニーズに対応するために開発された規格であり,平成23年
10月18日に販売が開始されたAndroid4.0をOSとするスマートフ5
ォンから搭載されるようになった。
イ本件個人情報の漏えい
丁が漏えいした顧客情報のうちには,本件個人情報が含まれていた(甲5)。
ウ本件漏えいの発覚等
被告ベネッセは,同年6月下旬頃,顧客からの問い合わせにより,被告ベネッ10
セの顧客の情報が社外に漏えいしている可能性を認識したことから,調査を行い,
丁が本件漏えいをしたことを特定し,同年7月15日,本件漏えいについての刑
事告訴を行った。丁は,同月17日,警察に逮捕された。
被告ベネッセの持株会社であるベネッセホールディングス及び被告ベネッセは,
同月9日及び同月17日に記者会見をするなどして本件漏えいを公表し,その原15
因を徹底的に明らかにすると共に,被告ベネッセの顧客からの信用回復のため,
事故調査報告書をまとめさせ,考え得る再発防止策を提言することを言明した。
(甲2,乙4,8)
被告ベネッセによる事後措置
ア金券の提供等20
被告ベネッセは,同月14日以降,漏えいの確認された顧客らにお詫びの文書
を送付し,その後,漏えいの確認された顧客らの選択に従って,当該顧客らに対
してお詫びの品として500円分の金券(電子マネーギフト又は全国共通図書カ
ード)を送付する方法又は漏えい1件当たり500円を「財団法人ベネッセこど
も基金」(被告ベネッセが本件漏えいを受けて子らの支援等を目的として設立し25
た基金)に寄付する方法による補償を実施した(甲1)。原告甲は,いずれの方
法も選択せず,被告ベネッセからの上記提案に応じることはできない旨の文書を
返送した(甲8)。
イ調査
ベネッセホールディングスは,同月15日,その会長兼社長である戊の諮問機
関として,本件漏えいに関する事実及び原因等の調査並びに再発防止策の提言を5
目的として,個人情報漏えい事故調査委員会(以下「本件調査委員会」とい
う。)を設置した(甲2,39)。
本件調査委員会は,事故調査報告書(最終報告書)を取りまとめ,同年9月1
2日にべネッセホールディングスに提出し,被告ベネッセは,同月17日,上記
報告書を経済産業省に提出するとともに,同月25日,本件調査委員会による調10
査報告の概要を公表した(甲2,39)。
上記調査報告の概要には,「第2章調査結果」の「Ⅲ不正行為等の原因
(不正行為を防げなかったシステムの問題点)」において,「1.不正行為等の
原因となった情報処理システム」として,アラートシステム,クライアント
PC(業務用PC)上のデータのスマートフォンヘの書出し制御設定,アクセ15
ス権限の管理,データベース内の情報管理が指摘され,次のとおりの記載がさ
れている(甲2)。
アラートシステム
業務用PCとサーバとの間の通信量が一定の閾値を超えた場合,データベー
スの管理者である被告シンフォームの各担当部門の部長に対して,メールでア20
ラートが送信される仕組みが採用されていたが,そのアラートシステムの対象
範囲が明確に定められていなかったことなどから,丁による不正行為が行われ
た当時,業務用PCと本件データベースとの通信を上記アラートシステムの対
象として設定する措置が講じられていなかった。
業務用PC上のデータのスマートフォンへの書出し制御設定25
被告シンフォームでは,業務用PCを含む社内PC内のデータを外部メディ
アに書き出すことを禁止し,同行為を制御するシステム(セキュリティソフ
ト)が採用されていたが,当該システム(セキュリティソフト)をバージョン
アップさせる際に,特定の新機種のスマートフォンを含む一部の外部メディア
への書出しについて,書出し制御機能が機能しない状態が生じていた。
アクセス権限の管理5
被告シンフォームにおいては,付与済みのアクセス権限の見直しが定期的に
行われていない状況が多く見受けられた。
データベース内の情報管理
被告シンフォームは,本件データベース内の個人情報をより細分化又は階層
化しグルーピングした上で,異なるアクセス権限を設定する等の対策までは講10
じていなかった。また,本件データベースは,主としてマーケティング分析の
ために使用されていたが,その目的に照らして必要にして十分な程度までの個
人情報の抽象化及び属性化は,行われていなかった。
3争点及びこれに関する当事者の主張(なお,原告らのうち,原告乙は,平成28年
1月20日の本件第6回弁論準備手続期日に出頭した後は,本件の口頭弁論期日にも15
弁論準備手続期日にも出頭しておらず,原告乙及び原告丙の主張は上記出頭した期日
までの概括的な主張に限られるため,以下の具体的な主張(概ね平成29年5月10
に基づくも
の)は,いずれも原告甲に限って主張したものと認めるのが相当である。)
争点(民法719条1項・709条〔対被告シンフォーム〕,同法715条20
〔対被告ベネッセ〕に基づく各請求)
本件漏えいについての被告シンフォームの過失の有無
【原告甲の主張】
ア本件漏えいの予見可能性
以下の各基準等からすれば,本件漏えいの当時,外部記録媒体へ個人情報を25
格納する方法による情報漏えいのリスクや,それを防止するための対策の必要
性,その対策として外部記録媒体の持込み自体を禁止するなどの方法の存在が,
個人情報を取り扱う事業者において広く認識されている状況にあった。
a旧通商産業省(現経済産業省)「情報システム安全対策基準」(平成9年。
以下「安全対策基準」という。甲13)は,情報システムの利用者が実施す
る対策項目を列挙し,「情報システムの運用に関連する各室の搬出入物は必5
要なものに限定すること」「搬出入物は,内容を確認し,記録をとること」
との対策を要求していた。
b日本工業標準調査会「個人情報保護マネジメントシステム‐要求事項(J
ISQ15001:2006)」(平成18年。以下「JISQ15001」とい
う。)及び旧財団法人日本情報処理開発協会(現一般財団法人日本情報経済10
社会推進協会)プライバシーマーク推進センター「JISQ15001:20
06をベースにした個人情報保護マネジメントシステム実施のためのガイドラ
イン第2版」(平成22年8月25日。以下「マネジメントシステム実施
ガイドライン」という。甲19)においては,「事業者は,その取り扱う個
人情報のリスクに応じて,漏えい,滅失又はき損の防止その他の個人情報の15
安全管理のために必要かつ適切な措置を講じなければならない。」と規定し,
その対策として,個人情報の取得・入力及び利用・加工の各場面において,
外部記録媒体を接続できないようにすることが例示されていた。
c「個人情報の保護に関する法律についての経済産業分野を対象とするガイ
ドライン」(平成21年10月9日厚生労働省・経済産業省告示第2号。以20
下「経済産業分野ガイドライン」という。甲10)は,「個人データを入力
できる端末に付与する機能の,業務上の必要性に基づく限定(例えば,個人
データを入力できる端末では,CD-R,USBメモリ等の外部記録媒体を
接続できないようにする。)」が望ましいと規定されていた。
d独立行政法人情報処理推進機構(IPA)「組織における内部不正防止ガ25
イドライン」(平成25年3月25日。以下「内部不正防止ガイドライン」
という。甲18)においては,「重要情報を取り扱う業務フロア内の領域に
個人の情報機器及び記録媒体を持ち込まれると,個人の情報機器や記録媒体
に重要情報を格納して持ち出される恐れがあること」がリスクとして具体的
に指摘されており,その対策として,重要情報格納サーバやアクセス管理サ
ーバ等が設置されているサーバルームでは,個人所有のノートPCやタブレ5
ット端末,スマートフォン等のモバイル機器の持込み・利用を厳しく制限す
ること,個人所有のUSBメモリ等の携帯可能な記録媒体等の持込みを制限
し,記録媒体等の利用は会社貸与品のみとすること,重要情報を扱う物理的
区画内の行動についてはカメラ等で監視するとともに監視している旨を伝え
ることが記載されていた。10
e日本データセンター協会「データセンターセキュリティガイドブックVe
r1.0」(平成25年8月28日。以下「データセンターセキュリティガ
イドブック」という。甲20)においては,データセンターにおけるUSB
メモリ等の情報記録媒体や携帯電話の持込み・持ち出し制限及び画像監視シ
ステムがセキュリティ対策として挙げられていた。15
また,被告シンフォームは,毎年,正社員及び業務委託先の従業員の全員
を対象とした情報セキュリティ研修を実施し,その中で,顧客情報の大量持
出事例の紹介やスマートフォンを含む外部記録媒体への書出し制御が実施さ
れている旨を周知させており(乙17),大量の個人情報を保有するものと
して,その対策の必要性を認織し,その徹底を指示していたのであるから,20
本件漏えい当時,スマートフォンが外部記録媒体として機能すること及びそ
のような手法による情報漏えいのリスクを十分把握していた。
丁が本件漏えいを行った際に使用した本件スマートフォンは,平成24年1
2月頃に発売が開始され,通信方式がMTPであるスマートフォン(以下「M
TP対応スマートフォン」という。)であった。スマートフォン・タブレット25
向けオペレーティングシステム(OS)のうち,「iOS」は,MTPに対応
しておらず,「Android」は,平成23年5月10日に公表された「A
ndroid3.1」において,MTPに対応した。平成25年7月から同年
9月までの3か月間のスマートフォン販売台数のOS別シェアは,「Andr
oid」が50.0%,「iOS」が47.2%であり,平成26年7月から
同年9月までのそれは,「Android」が64.5%,「iOS」が31.5
3%であった。
また,代表的な商用セキュリティソフトがMTP使用制限機能に対応した時
期は,平成19年7月から平成25年8月にかけてであった。
したがって,被告シンフォームは,本件漏えい当時,本件漏えいの方法で個
人情報を不正に取得できることを予見できた。10
イ結果回避のための注意義務違反
被告シンフォームには,本件個人情報の漏えいを防止するため,以下のとおり,
注意義務があったにもかかわらず,これを怠った過失がある。
私物スマートフォンの持込禁止に関する注意義務違反
被告シンフォームは,億単位の件数にのぼるベネッセ顧客情報を取り扱う企15
業であり,その顧客情報の中には,子供に関する個人情報も多数含まれるとこ
ろ,前記アのとおり,種々のガイドラインにおいて,外部記録媒体の持込み
制限がセキュリティ対策として挙げられている。よって,平成26年当時には,
外部記録媒体へ格納する方法による情報漏えいのリスクや,それを防止するた
めの対策の必要性,その対策として外部記録媒体の持込みを禁止する方法の存20
在が,個人情報を取り扱う事業者において広く認識されている状況にあった。
そして,前記アのとおり,被告シンフォームは,毎年,正社員及び業務委託
先の従業員の全員を対象とした情報セキュリティ研修を実施し,その中で,顧
客情報の大量持出事例の紹介や,スマートフォンを含む外部記録媒体への書出
し制御が実施されている旨周知していたというのであるから,被告シンフォー25
ム自身,スマートフォンが外部記録媒体として機能することや,スマートフォ
ンに顧客情報を導き出す手法による情報漏えいリスクを,十分に把握していた。
さらに,被告シンフォームの業務用PCから本件データベース内の顧客情
報にバッチサーバ経由でアクセスするには,テラターム(フリーソフト)が
必要であったが,テラタームのインストール及びその利用は容易であったか
ら,業務用アカウントを教示されている従業者であれば,テラタームをイン5
ストールすることにより容易に顧客情報にアクセスすることが可能な状況に
あった。そうであれば,被告シンフォームとしては,アクセスした顧客情報
をスマートフォン等に書き出すような事態が万が一にも発生しないよう,細
心の注意を払うべきであった。
また,被告シンフォームにおいて,個人のスマートフォンを業務上利用さ10
せる必要性は,全くなかった。すなわち,電話やインターネット閲覧等が必
要なのであれば,被告シンフォームにおいてそのための機器を別途準備すれ
ば足りたし,私物の外部機器の持込みを制限することは,コストも手間もか
からない最も容易かつ効果の絶大な不正対策であった。
以上のとおり,被告シンフォームには,私物スマートフォン等の持込みを15
禁止する措置を採るべき注意義務があったのに,私物スマートフォン等の持
込みを禁止していなかった過失がある。
業務用PCに対するUSB接続禁止措置(USBポートにUSBメモリ等
の外部記録媒体を接続することを禁止する措置)に関する注意義務違反
前記アのとおり,経済産業分野ガイドラインに「個人データを入力でき20
る端末に付与する機能の,業務上の必要性に基づく限定(例えば,個人デー
タを入力できる端末では,外部記録媒体を接続できないようにする。)」が
望ましい措置であると規定され,内部不正防止ガイドラインでは,個人の情
報機器や外部記録媒体を持ち込まれた場合の情報書出しのリスクを具体的に
指摘した上,外部記録媒体の業務利用を制限することを対策のポイントとし25
て掲げている。また,マネジメントシステム実施ガイドラインでは,取得・
入力及び利用・加工の各場面において,外部記録媒体を接続できないように
することを,業務上の必要性に基づく限定対策として掲げている。このよう
に,平成26年当時には,外部記録媒体へ格納する(書き出す)方法による
情報漏えいのリスクや,それを防止するための対策の必要性,その対策とし
て外部記録媒体を接続できないようにする方法の存在が,個人情報を取り扱5
う事業者において広く認識されている状況にあった。
その上,上記のとおり,被告シンフォーム自身,スマートフォンが外部
記録媒体として機能することや,スマートフォンヘ顧客情報を書き出す手法
による情報漏えいリスクを十分に把握していた上,業務用アカウントを教示
されている業務担当者であれば,容易に顧客情報にアクセスできる状況であ10
ったことからすれば,被告シンフォームとしては,アクセスした顧客情報を
スマートフォン等に書き出すような事態が万が一にも発生しないよう,細心
の注意を払うべきであった。
さらに,USBポートを物理的に壅塞する器具は,遅くとも平成17年に
は発売されており,これを使用することは情報漏えい対策として古典的かつ15
一般的なものであったから(甲21),機密情報を扱う部署において,業務
用PCのUSBポートに接続できる状態にしておくことはほとんどなかった。
そして,USBポートを物理的に壅塞したり,少なくとも接続を禁止するル
ールを設けたりすることは,コストも手間もかからない容易かつ効果的な不
正防止対策である。20
以上のとおり,被告シンフォームは,業務用PCに対し,USB接続禁止
措置を採るべき注意義務があったのに,USBポートを物理的に壅塞する措
置も採らず,また,業務用PCにUSBケーブルで接続することが社内で見
られる光景であったにもかかわらず,漫然とこれを放置して,それを禁止す
るルールを設けなかった過失がある。25
情報書出し制御措置・デバイス使用制御措置に関する注意義務違反
前記アのとおり,内部不正防止ガイドラインでは,個人の情報機器及び
外部記録媒体を持ち込まれた場合の情報持ち出しのリスクを具体的に指摘さ
れていることからすると,平成26年当時には,外部記録媒体へ格納する
(書き出す)方法による情報漏えいのリスクや,それを防止するための対策
の必要性が,個人情報を取り扱う事業者において広く認識されている状況に5
あったし,前記アのとおり,被告シンフォーム自身,スマートフォンが外
部記録媒体として機能することや,スマートフォンに顧客情報を書き出す手
法による情報漏えいリスクを十分に把握していた。
MTP方式の通信規格による情報書出しの危険性についても,本件当時ま
でに具体的に言及した記事が公表されていたし,大手ベンダーを含むセキュ10
リティ製品情報としての記事も公開されていた。本件当時,人気の高いスマ
ートフォンの一つである「GALAXYSⅡ」の取扱説明書においても,
パソコンとのデータ転送方式としてMTPが明記されており,このような状
況において,既にスマートフォン・スマートデバイスへのシフトやその危険
性が議論されていた。そして,平成24年12月発売の一般消費者向け雑誌15
においては「スマホならより簡単なMTPを使うとよい。」との記事も掲載
されていた。したがって,MTPに限定したとしても,その対策が必要であ
ることについて予見可能性があったことは,明らかである。スマートフォン
あるいはWPDからの情報漏えいについても同様である。
そして,丁が本件漏えいに使用した本件スマートフォンは,平成24年120
2月ころに発売が開始されたMTP対応スマートフォンであった。前記ア
のとおり,代表的な商用セキュリティソフトにおいては,既に平成19年7
月から平成25年8月にかけて,MTP使用制限機能に対応していたし,ス
マートフォン向けOSのうち,Androidについては,平成23年5月
10日に公表されたAndroid3.1においてMTPに対応した。一方25
で,iOSについては,MTPに対応していなかったが,平成26年当時,i
OSとAndroidそれぞれのシェアは,後者の方が大きかった。
よって,スマートフォンへ顧客情報を書き出す手法による情報漏えいリス
クに対応するためには,MTP使用制限機能のあるセキュリティソフトを業
務用PCに採用しておく必要があった。そして,代表的な商用セキュリティ
ソフトは,全て平成25年8月までにはそれに対応していた。5
ところが,被告シンフォームは,業務用PCにセキュリティソフトウェア
を導入していたものの,平成23年夏を最後に同ソフトウェアのバージョン
アップを行っておらず,しかも,被告シンフォームが導入していたセキュリ
ティソフトウェア「秘文」(株式会社日立ソリューションズ製,以下「本件
セキュリティソフト」という。)は,MTPデバイスを含むあらゆるデバイ10
スのすべてを制御する機能を有していたのに(甲49),被告シンフォーム
がMTPデバイスを制御の対象から外していたために,丁による顧客情報の
領得を許容したものである。
以上のとおり,被告シンフォームには,本件漏えい当時,業務用PCに搭
載していたセキュリティソフトに備わっていたMTP使用制限機能を使用で15
きる状態に設定する措置を採ることを怠った過失がある。
なお,被告らに要求されるセキュリティ対策の水準は,通常の企業に要求
されるものではなく,被告らと同様の質・量の個人情報を扱い被告らと同様
の企業規模の企業に要求される水準であり,クレジットカード会社や金融機
関と同程度かそれ以上であるから,一般通常人を基準とすべきとの被告らの20
主張は,採用できない。
また,被告シンフォームは,既に導入していたセキュリティソフトの設定
を変更すれば足りるから,費用は,かからない。結果回避義務があることも,
明らかである。被告シンフォームのように,3年もの間更新すらしていない
というのは,異常である。25
アラートシステム設定に関する注意義務違反
前記アのとおり,内部不正防止ガイドラインは,個人の情報機器及び外
部記録媒体を持ち込まれた場合の情報書出しのリスクを具体的に指摘してお
り,平成26年当時には,外部記録媒体へ通信する方法による情報漏えいの
リスクや,それを防止するための対策の必要牲が,個人情報を取り扱う事業
者において広く認識されている状況にあった。5
その上,前記アで述べたとおり,被告シンフォーム自身,スマートフォ
ンが外部記録媒体として機能することや,スマートフォンへ顧客情報を書き
出す手法による情報漏えいリスク,ひいては顧客情報を大量に持ち出す事例
が存在することを十分に把握していた。
被告シンフォームとしては,業務用PCに接続した私物スマートフォンに10
顧客情報を書き出す手法により,本件データベース内の大量の顧客情報が漏
えいする可能性が常に存していたのであるから,業務用PCと本件データベ
ースとの間に通常業務における以上の通信量が認められた場合,その通信を
許容するかを確認するアラートシステムを設定すべき注意義務があった。と
ころが,被告シンフォームは,既存の連携システムのデータベースサーバに15
ついては,一定時間中にサーバと業務用PCとの間の通信量が一定の基準値
を超えた場合に,当該業務用PC使用者の所属長等に電子メールで確認を求
めるアラートシステムを稼働させていたが,本件システム開発中のデータべ
-スサーバに関しては,本格的運用開始前であったことを理由に,アラート
システムを設定していなかった過失がある。20
監視カメラによる監視義務違反
前記アのとおり,内部不正防止ガイドラインでは,重要情報を扱う物理
的区画のセキュリティ強化の対策として,カメラ等で監視するとともに監視
している旨を伝えることが記載されていたし,データセンターセキュリティ
ガイドブックでは実施されるセキュリティ対策として,画像監視システム25
(監視カメラ)が挙げられていたから,平成26年当時には,内部情報漏え
いのリスクや,それを防止するための対策として情報を扱う執務室の監視カ
メラ等による監視の必要性が,個人情報を取り扱う事業者において広く認識
されている状況にあった。
その上,前記アのとおり,被告シンフォームは,顧客情報の大量持出し
事例を紹介するなど,情報漏えいリスクを十分に把握していたし,また,主5
要な入退出口には防犯カメラを設置していた。
被告シンフォームとしては,業務用PCに接続した私物スマートフォンに
顧客情報を書き出す手法により,本件データベースの大量の顧客情報が漏え
いする可能性が高かったのであるから,情報漏えいを防ぐために,監視カメ
ラ等により執務室を監視し,それを従業員等に伝えるべきであった。10
以上のとおり,被告シンフォームには,監視カメラ等により執務室を監視
し,それを従業員等に伝えるべき注意義務があったのに,執務室の監視を行
っていなかった過失がある。
【被告らの主張】
ア総論15
被告シンフォームには,本件漏えいについての予見可能性は認められず,次の
とおり,結果を回避すべき注意義務違反も認められないから,過失はない。
イ本件漏えいの予見可能性
MTP対応スマートフォンを利用した個人情報流出のリスクについては,本件
漏えい事件が発生するまで,情報セキュリティの専門家においても,ほとんど認20
識されておらず,注意喚起もされていなかった。また,MTP対応スマートフォ
ンに対する個人情報の書出しのリスクについて,本件漏えい事件が発生するまで,
経済産業省等の行改機関や独立行政法人情報処理推進機構(IPA)からの注意
喚起は,一切なかった。本件漏えいの時点におけるMTP対応スマートフォンの
国内シェアは,小さかった。本件漏えいの時点における商用セキュリティソフト25
のうち,実用的なMTP使用制御機能に対応したものは,ほとんどなかった。本
件漏えい事件によって初めて,スマートフォンを利用した個人情報不正取得の危
険性が,認織されたのである。
被告シンフォームにおいても,本件漏えい以前に,クライアントPCから外部
記録媒体に書出しがされ外部に情報が持ち出されるなどの事故やトラブルが発生
したことはなく,特定の機種のスマートフォンに対して書出しができて個人情報5
が持ち出される可能性があるということを疑わせる事情は,一切なかった。そし
て,被告シンフォームは外部記録媒体に情報を書き出すことを制限する本件セキ
ュリティソフトを導入していたため,執務室内の業務用PCから情報が書き出さ
れることはないという認識を有していた。
ウスマートフォンの持込み禁止に関する注意義務違反について10
各基準について
a安全対策基準
安全対策基準は,そもそも現代のセキュリティ状況や執務室を前提に策定
された基準ではなく,本件漏えい当時,情報セキュリティの分野において,
既に基準としての実質的意味を有していなかったものであり,被告シンフォ15
ームの注意義務の根拠たり得ない。また,安全対策基準中の「搬出入物」は,
各自の身の回りの携行品・私物品を指すのではなく,業務上の必要性から,
対象室(現在でいえば,サーバルームやデータセンターに相当するもの)内
から搬出する設備や荷物等,あるいは搬入して設置する設備や荷物等を指し
ている。また,安全対策基準では「搬出入物」の用語のほかに,「記録媒20
体」の用語も使用されているのであるから,「搬出入物」が「記録媒体」と
は別の概念であることも,明らかである。なお,安全対策基準の最終改正が
された平成9年時点において,スマートフォンは,発売されていなかった。
したがって,原告甲が,安全対策基準で指摘する部分は,私物スマートフ
ォンの持込み禁止措置を義務付けるものではない。25
b内部不正防止ガイドライン
内部不正防止ガイドラインを定めたIPAは,経済産業省の外郭団体にす
ぎず,内部不正防止ガイドラインは,対策例を紹介するにとどまり,法規範
性を持たず,その中で紹介されている対策が実施されるべき法的義務として
位置付けられていたものでもない。
また,内部不正防止ガイドラインは,「USBメモリ等の記録媒体」と5
「スマートフォン等のモバイル機器」とを区別しており,「スマートフォン
等のモバイル機器」については,重要情報格納サーバやアクセス管理サーバ
等が設置されている「サーバルーム」のみを対象としてその持込み・利用を
制限する運用を推奨していたのであって,「サーバルーム」以外の執務室等
は対象としていなかった。10
したがって,原告甲が,本件漏えい当時の内部不正防止ガイドラインで指
摘する部分は,私物スマートフォンの持込み禁止措置を義務付けるものでは
ない。
cデータセンターセキュリティガイドブック
データセンターセキュリティガイドブックは,そもそも執務室の情報セキ15
ュリティ対策の基準としてみるには不適当な性質のものであり,被告らの注
意義務の根拠たり得ない。また,原告甲が,同ガイドブックで指摘する部分
は,私物スマートフォンの持込み禁止措置を義務付けるものではない。
dその他のガイドライン等
上記以外に,原告甲が手掛かりとするほかのガイドラインには,スマート20
フォンの持込み禁止について触れられていない。本件漏えい当時の基準とし
て参考となりうるとすれば,経済産業分野ガイドラインの他にないが,これ
については,平成26年当時,私物スマートフォンの持込み禁止について,
義務的事項として記載していなかったことはもちろん,望ましい事項として
も何ら言及していなかったのであり,個人情報保護法上,私物スマートフォ25
ンの持込み禁止措置を採るべきことは,要求されていなかった。
また,「私物スマートフォン等の持込み禁止」は,本件漏えい当時,一般の
企業において,例外的な場合を除き採用されていなかったほか,本件漏えい後
においても,プライバシーマークやISMS認証(ISMS適合性評価制度
〔国際的に整合性のとれた情報セキュリティマネジメントシステムに対する第
三者認証制度〕に基づく認証)を取得しようとする企業や金融業界のシステム5
においてさえ,標準的なセキュリティ対策にはなっていなかった。
現在,セキュリティ意識の高い企業でも,私物スマートフォンの持込み制限を
していない理由は,このような措置が,これを徹底しない限りその実効性がない
一方で,これを徹底すると業務阻害性が著しく高くなって現実的ではないという
点にある。私物スマートフォンの持込み禁止は,現実的に考えて,一般の職場に10
おいては,個人情報の漏えい対策として採り得ない措置と言わざるを得ない。
エUSB接続禁止措置に関する注意義務違反について
各基準について
a経済産業分野ガイドライン
本件漏えい当時,業務用PCに対するUSB接続禁止措置については,経15
済産業分野ガイドラインにおいても,義務的事項として記載されていなかっ
たばかりか,望ましい事項としても言及されていなかった。また,本件漏え
い後に改訂された経済産業分野ガイドラインでも,上記措置は,「個人デー
タを入力できる端末」において,望ましい事項として言及されたにすぎない。
丁の使用する業務用PCは,このような端末ではなかった。20
b内部不正防止ガイドライン
内部不正防止ガイドラインは,「スマートフォン等のモバイル機器」ない
し「個人の情報機器」を業務用PCに接続することを禁止しなければならな
いことを述べているのではなく,むしろ接続する場合があることを前提とし
ているから,原告甲が内部不正防止ガイドラインに関して指摘する部分は,25
業務用PCに対するUSB接続禁止措置を義務付けるものではない。
cマネジメントシステム実施ガイドライン
マネジメントシステム実施ガイドラインは,そもそも,法の要求事項を超
えた高い保護レベルを前提とするから,法規範性を有しない。
対策の一般性,有効性
本件漏えい当時,業務用PCに対するUSB接続禁止措置を採っている企業5
は,ごく少なかった。本件漏えい後においても,プライバシーマークやISM
S認証を取得しようとする企業でさえ,このようなセキュリティ対策をとって
いる会社は,数%程度しかなく,その他ほとんどの企業は,このようなセキュ
リティ対策をとっていなかった。そうすると,業務用PCに対するUSB接続
禁止措置が標準的な措置であったとはいえない。10
また,USBポートを物理的に壅塞する器具は取り外し可能であるし,パソ
コンには,マウスやキーボード,業務上利用されるUSB(被告シンフォーム
では,一定の要件のもとに許可されたUSB)等を接続するためのUSBポー
トが必要であって,全てのUSBポートを壅塞できないから,結局のところ,
USBポートを物理的に壅塞することは,個人情報の漏えいに対する有効な対15
策とはならない。
オ書出し制御措置に関する注意義務違反について
各基準について
a内部不正防止ガイドライン
内部不正防止ガイドラインは,前記のとおり,経済産業省の外郭団体であ20
るIPAが作成したものであって法規範性を有するものではなく,また,そ
の名称からも明らかなとおり,組織における内部不正の防止を推進する目的
で定められたものであり,その対象となる「内部不正」には,違法行為だけ
ではなく,情報セキュリティに関する内部規程違反等の違法とまではいえな
い不正行為も含まれているのであって,違法行為とはいえない行為をも広く25
その対象に含めた防止策を提示するものであるから,被告シンフォームの注
意義務の根拠たり得ない。
また,内部不正防止ガイドラインが言及するのは,個人情報機器及び外部
記録媒体の業務利用及び持込みの制限であって,情報書出し制御措置につい
ては記載されていない。
bその他ガイドライン等について5
その他いずれのガイドライン等にも,本件漏えい当時,書出し制御措置に
ついて記載されていない。
被告シンフォームの対策
また,本件漏えい当時,プライバシーマークやISMS認証を取得しようと
する企業であっても,書出し制御措置を採っていないものが過半であり,書出10
し制御措置は,標準的なセキュリティ対策にはなっていなかった。
そうした状況の中で,被告シンフォームは,平成17年から,後記のとおり,
その業務用PCに導入していた本件セキュリティソフトにより,書出し制御措
置を採っていたところ,本件漏えい当時,MTP対応スマートフォンに対して
は有効に書出しを制御することはできなかった。しかし,被告シンフォームと15
しては,外部記録媒体に書き出すことを技術的に制御する高度なセキュリティ
を導入していたため(被告シンフォームが導入していたセキュリティソフトは,
MTPを含む,PCにおいて使用される複数のデバイスについて,当該デバイ
スからPCへのデータの読取りも,PCから当該デバイスへのデータの書出し
もできないようにする機能を有していた。),被告シンフォームの執務室内の20
業務用PCから情報が書き出されることはないという認識を有していた。それ
まで,その業務用PCから外部記録媒体に対する書出しがされて外部に持ち出
された等の,外部記録媒体に対する書出しが制御されていないことを疑わせる
ような事故やトラブルが発生したこともなければ,業務用PCに充電のためス
マートフォンを接続する従業員はそれまでにもいたにもかかわらず,スマート25
フォンに書出しができるといった報告がされたこともなく,特定の機種のスマ
ートフォンに対して書出しができて情報が持ち出される可能性があることを疑
わせる事情は,一切なかった。被告シンフォームは,本件漏えい当時,本件セ
キュリティソフトにおいて,MTP対応スマートフォンに対しては有効に書出
しを制御することができなかったことを知りえなかった。この点について,原
告甲は,代表的な商用デバイス制御ソフトにおいては,既に平成19年7月か5
ら平成25年8月にかけて,MTP使用制限機能に対応していた(甲12)と
主張するが,そもそも本件漏えい当時,WPD(MTP)デバイスに対して使
用制限機能を設定しなければ情報漏えいが発生するリスクがあるということは
知られておらず,そのような危険を指摘する専門家もいなかったから,通常人
(合理的な平均人)の一般的な水準に照らして,これに対応する措置を採って10
いなかったことによる過失責任は,生じない。なお,被告シンフォームは,当
時,PCに外部機器を接続することによって情報流出する場合に想定されてい
たのがMSCデバイスであったことから,通信方式がMSCであるスマートフ
ォン,3.5型フロッピーディスク,リムーバブルディスク(USBメモリ,
MO,フラッシュメモリ,SDメモリーカード及びスマートメディア等の外部15
記録媒体)等のリムーバブルメディアのほか,外付けハードディスク(USB
接続,IEEE接続,PCMCIA接続及びSCSI接続),CD及びDVD
については,書出し制御措置を採っており,それらディスクへの書き込みを禁
止することができた。
カアラートシステムに関する注意義務違反について20
各基準について
a内部不正防止ガイドライン
内部不正防止ガイドラインは,前記のとおり,法規範性を有するものでは
なく,また,違法行為とはいえない行為をも広くその対象に含めた防止策を
提示するものであるから,被告シンフォームの注意義務の根拠たりえない。25
bその他ガイドライン等について
その他いずれのガイドライン等にも,本件漏えい当時,アラートシステム
について記載されていなかった。
なお,本件漏えい後に,経済産業省が被告ベネッセに対して個人情報保護
法に基づく勧告を行ったところ,同勧告は,「委託先(被告シンフォーム)
において,今回の不正持ち出しの対象となったデータベースが,個人情報の5
ダウンロードを監視する情報システムの対象として設定されていなかった」
ことに言及しているが,これは,同省が,個人情報保護法上アラートシステ
ムを設定すべき義務があると解していることを意味するものではない。本来,
アラートシステムを設置していないとしても個人情報保護法違反になること
はあり得ないはずであるにもかかわらず,同省より,経済産業分野ガイドラ10
インにおける記載と相反すると思われるような勧告が出されたのは,本件の
社会的影響の大きさに鑑み,行政官庁として,個人情報保護に対する強い姿
勢を打ち出す必要があるとの政策的判断によるものと思われる。
アラートシステムの一般性,有効性
本件漏えい当時,高度な情報セキュリティ対策をとっていた企業であっても,15
アラートシステムを採用していたものは少数であって,アラートシステムの設
置が標準的に採られていた措置とはいえない。なお,本件漏えい後の現在であ
ってさえ,プライバシーマークやISMS認証を取得するような企業であって
も,アラートシステムを採用していないものが大半で,金融業界のシステムに
おいてさえ標準的なセキュリティ対策にはなっていない。20
また,アラートシステムは,正当な業務による通信であっても,設定された
条件を満たせば,その理由如何にかかわらず自動的に発令される仕組みである
ため,一方で,その対象を広範に(すなわち閾値を低く)設定すれば,頻繁に
アラートが発せられて,日常業務に支障が生じ,運用に耐えないものとなり,
他方で,意図的に不正を働く場合には,複数回に分割してダウンロード又は通25
信することで予想される閾値を超えないようにすることが容易であり,個人情
報の漏えい対策としての実効性に乏しい。本件漏えい当時,本件データベース
をアラートシステムの対象とすることはおよそ現実的ではなく,アラートシス
テムが設定されていなかったことは,見落としによるものではない。
キ監視カメラに関する注意義務違反について
各基準について5
a内部不正防止ガイドライン
内部不正防止ガイドラインは,前記のとおり,法規範性を有するものでは
なく,また,違法行為とはいえない行為をも広くその対象に含めた防止策を
提示するものであるから,被告シンフォームの注意義務の根拠たりえないし,
原告甲が,内部不正防止ガイドラインに関して指摘する部分は,執務室を想10
定しているものではなく,具体的措置についても「対策のヒント」という扱
いであるから,監視カメラ等の画像による監視義務があることの根拠にはな
らない。
bデータセンターセキュリティガイドブック
データセンターセキュリティガイドブックでは,「画像監視システム」と15
して「サーバー室内」での「画像監視システム」は「証跡としての役割を果
たすことが挙げられます」とされ,侵入者や不正行為の監視・記録を目的と
するとされる。これは,通常,人が出入りしない空間であることを前提にす
る画像監視システムであって,日々大勢の従業員が執務している執務室内へ
の監視カメラ設置とは異なる目的のものであり,全く本件に適合していない。20
監視カメラの有効性
そもそも監視カメラは,常時,監視員が監視している場合でなければ,不審
な動きが見られた時点でそれを把握することは不可能であり,結局のところ,
何かが起こった場合に,後から監視カメラを見て人の特定等をするために設置
されるものである。また,執務室内で,従業員が業務用PCに向かって業務を25
しているところが撮影されているとして,それが通常の業務をしているのか,
あるいは情報を不正に閲覧や保存等をしているのかは,外形的に変わらないか
ら,業務用PCからの個人情報の漏えいを防止するために監視カメラを設置し
てもほとんど実効性はない。さらに,執務室内への監視カメラの設置は,従業
員に対して不快な思いを生じさせかねず,プライバシーの侵害ではないかなど
と問題視される可能性もないとはいえないというデメリットもある。5
そして,本件漏えい当時,高度な情報セキュリティ対策を採っていた企業で
あっても,執務室内に監視カメラを設置していたものは少数であって,このよ
うな措置が標準的に採られていたとはいえない。本件漏えい後の現在であって
さえ,プライバシーマークやISMS認証を取得するような企業であっても,
執務室内に監視カメラを設置していないものが大半で,標準的なセキュリティ10
対策にはなっていない。
なお,被告シンフォームでは,入退室管理の一環として執務室を含む施設の
出入口に監視カメラを設けていたほか,執務室内についても,おおむねその全
体を見渡せる位置に監視カメラを設けていた。
クまとめ15
以上のとおりであるから,被告シンフォームには,本件漏えいについての予見
可能性がなく,また,本件漏えいを回避することについて注意義務違反(過失)
は,認められない。
争点民法719条1項,同法709条の各請求)
本件漏えいについての被告ベネッセの過失の有無20
【原告甲の主張】
前記の原告甲の主張と同様の理由で,被告ベネッセには本件漏えいによって
原告甲に損害を生じさせたことについて過失がある。
ア本件漏えいの予見可能性
争点の原告甲の主張アに同じ。25
イ被告ベネッセには,本件個人情報の漏えいを防止するため,以下のとおりの
注意義務があったにもかかわらず,これを怠った過失がある(各主張はいずれも
選択的)。
個人情報の利用・管理に責任を持つ部門設置に関する注意義務違反
個人情報保護法20条は,「個人情報取扱事業者は,その取り扱う個人デー
タの漏えい,滅失又はき損の防止その他の個人データの安全管理のために必要5
かつ適切な措置を講じなければならない。」と規定し,経済産業分野ガイドラ
インは,「講じなければならない事項」として,「個人データの安全管理措置
を講じるための組織体制の整備」を掲げている。
また,内部不正防止ガイドラインは,「統括責任者の任命と組織横断的
な体制構築」の項で,「内部不正の対象となる重要情報は組織内の多岐にわた10
る部門に存在するため,組織横断的な管理体制が構築できないと,組織として
効果的・効率的な対策や情報管理ができないだけでなく,対策や情報管理が徹
底されないおそれがあり,対策や情報管理が徹底されていないと,内部不正が
発生してしまう危険がある」旨をリスクとして具体的に指摘し,対策のポイン
トとして,組織横断的な管理体制の構築では,統括責任者が対策実施の管理・15
運営の要員として各部門の部門責任者や担当者を任命することなどを求める。
さらに,実際上も,個人情報を取り扱うにあたって,利用・管理の責任を持
つ部門が存在しない場合には,保有する情報を統括して管理することができず,
取扱いや管理が杜撰となって流出や漏えいが生じる蓋然性が高まることは容易
に認識し得る上,被告ベネッセの事業規模からすれば,同部門を設置すること20
は,可能,かつ,容易なことであった。
そして,被告ベネッセが取得した顧客情報は,極めて大量である上,慎重な
取扱いが求められる情報が含まれることや,本件システムの開発業務を被告シ
ンフォームに委ね,被告シンフォームが同業務の一部をさらに第三者に委託し
被告ベネッセの顧客情報に接触する者が別会社の従業員を含め多岐にわたる状25
況,さらには,後記のとおり,被告ベネッセには顧客情報の取扱いの委託先に
対して必要かつ適切な監督を行わなければならない義務があること等に鑑みれ
ば,被告ベネッセには,保有する個人情報の利用・管理に責任を持つ部門を設
置すべき注意義務があった。
しかし,被告ベネッセは,顧客情報の利用・管理に責任を持つ部門を設置せ
ず,IT戦略部などのいくつかの部門が本件データベースに関与し,各部門間5
の責任の所在や管理の方法が不十分となっており,このことが,被告シンフォ
ームに対する適切な監督を妨げ,被告シンフォームの不十分な情報管理体制の
放置に繋がったものであるから,本件漏えいについて過失があった。
私物スマートフォンの持込禁止に関する注意義務違反
被告ベネッセは,本件システムの開発・運用を被告シンフォームに委託して10
いたものの,元々が被告シンフォームの親会社であったものが,ベネッセホー
ルディングスを持株会社とするグループ企業に再編された経緯があり,被告シ
ンフォームの役員に被告ベネッセの役員が就任していた状況からすると,被告
ベネッセは,実質的には被告シンフォームを自社の一部門と同様の状態で事業
を行っていたから,被告シンフォームと一体となって,組織的な事業として本15
件データベースを管理し,本件システムの開発を行い,顧客情報を取り扱って
いたものと評価できる。
そうすると,被告ベネッセ自身が,私物スマートフォンの持込み禁止措置義
務,業務用PCに対するUSB接続禁止措置義務,情報書出し制御措置義務,
アラートシステム設定義務及び監視カメラ設置義務を負うにもかかわらず,こ20
れらの注意義務を怠ったのであるから,本件漏えいについて過失があった。
委託先の選任及び監督に関する注意義務違反
被告ベネッセは,本件データベースの管理及び本件システムの開発や保守管
理を被告シンフォームに委託していたところ,個人情報保護法22条は,「個
人情報取扱事業者は,個人データの取扱いの全部又は一部を委託する場合は,25
その取扱いを委託された個人データの安全管理が図られるよう,委託を受けた
者に対する必要かつ適切な監督を行わなければならない。」と規定しているの
であるから,被告ベネッセは,個人情報保護法上,被告シンフォームに対する
必要かつ適切な監督を実施する義務を負っていた。
したがって,被告ベネッセは,被告シンフォームから契約内容の遵守につい
て定期的に報告を受けたり,被告シンフォームに対して不定期に立入検査を行5
ったりするなどにより,当該契約内容が遵守されているかどうかを監督しなけ
ればならない。また,再委託や再々委託が行われていたから,そのような再委
託等を禁止したり,再委託先等を限定したり(プライバシーマークを取得して
いるものに限る等),委託先が再委託先等に対して必要かつ適切な監督を行っ
ているかも監督しなければならない。10
そして,経済産業分野ガイドラインによれば,「必要かつ適切な監督」には,
委託先を適切に選任すること,委託先に個人情報保護法20条に基づく安全管
理措置を遵守させるために必要な契約を締結すること,委託先における委託さ
れた個人データの取り扱い状況を把握することが含まれるものとされ,JIS
Q15001は,「3.4.3.4委託先の監督」において,「事業者は,個人15
情報の取扱いの全部または一部を委託する場合は,十分な個人情報の保護水準
を満たしている者を選任しなければならない。このため,事業者は,委託を受
ける者を選任する基準を確立しなければならない。」,「事業者は,個人情報
の取扱いの全部又は一部を委託する場合は,委託する個人情報の安全管理が図
られるよう,委託を受けた者に対する必要,かつ,適切な監督を行わなければ20
ならない。」,「事業者は,次に示す事項を契約によって規定し,十分な個人
情報の保護水準を担保しなければならない。a委託者及び受託者の責任の明
確化b個人情報の安全管理に関する事項c再委託に関する事項d個
人情報の取扱状況に関する委託者への報告の内容及び頻度e契約内容が遵
守されていることを委託者が確認できる事項f契約内容が遵守されなかっ25
た場合の措置g事件・事故が発生した場合の報告・連絡に関する事項」等
と規定し,マネジメントシステム実施ガイドラインでは,「審査の項目とその
着眼点」として,「委託先を選定する基準として,該当する業務については少
なくとも自社と同等以上の個人情報保護の水準にあることを客観的に確認でき
ること」等を例示していた。
これに,前記のとおり,被告ベネッセが取得した顧客情報は,極めて大量で5
ある上,慎重な取扱いが求められる情報が含まれること等を併せ考慮すれば,
被告ベネッセは,業務委託先を選任するにあたって適切に個人情報を管理する
体制にある業者を選任する義務とともに,その選任された委託先において,個
人情報保護法20条の安全管理措置が適切に運用されているかを監督する義務
を負っていた。10
しかし,被告ベネッセは,被告シンフォームが,本来,私物スマートフォン
等の持込み禁止措置,業務用PCに対するUSB接続禁止措置,情報書出し制
御措置,アラートシステム設定及び監視カメラによる監視を行うべきであるに
もかかわらず,それを怠り,適切に個人情報を管理する体制を講じていなかっ
たことを知りながら,または少なくとも過失によりこのような体制であること15
を把握せずに委託先に被告シンフォームを選任した。
また,被告ベネッセは,被告シンフォームとの間で,個人情報の取扱いに関
して契約書等を取り交わし,ミーティングを行うなどの形式的な管理体制を整
えていたものの,被告シンフォームによる被告ベネッセの顧客情報の具体的な
取扱い状況について正確に把握していなかった。そのため,被告ベネッセは,20
被告シンフォームにおいて,私物スマートフォンの持込み禁止措置,業務用P
Cに対するUSB接続禁止措置及び情報書出し制御措置が採られていないこと,
アラートシステムの対象範囲の設定が適正に行われていないこと,執務室の監
視もされていないことを把握しておらず,そのような状況を改善するなどの対
応をしなかった。25
したがって,被告ベネッセは,以上のような被告シンフォームの不十分な情
報セキュリティ管理の実態を把握することなく,同社を委託先として選任し,
さらに被告シンフォームによる再委託などを許していた結果,数社の派遣会社
を経て,結局は,どこの会社の従業員であるのかも分からない丁に重要な個人
情報であるデータについて,保管システムのアクセス権限を与えていたもので
あるから,被告ベネッセには,本件漏えいについて委託先の選任及び監督に関5
する過失があった。
ウ以上によれば,本件システム開発は,被告ベネッセと被告シンフォームが一
体となって取り組んでいた事業であり,個人情報の管理・運用において,事業
としての一体性が認められるところ,被告ベネッセは,監督義務違反等の個別
の義務違反に基づき,固有の不法行為責任を負うもので(民法709条),当10
該不法行為は,被告ベネッセが保有・管理していた個人情報を被告シンフォー
ムに利用させたことによって生じたものであって,客観的に関連していること
が明らかであるから,被告ベネッセと被告シンフォームは,共同不法行為者と
しての責任を負うことになる(民法719条1項)。
【被告ベネッセの主張】15
被告ベネッセには,本件漏えいについての予見可能性はなく,結果を回避すべ
き注意義務違反も認められないから,過失がない。
ア本件漏えいの予見可能性について
争点の被告らの主張イに同じ。
イ個人情報の利用・管理に責任を持つ部門設置に関する注意義務違反について20
被告ベネッセは,個人情報保護の最高責任者としてCPO(ChiefPrivacy
Officer〔最高個人情報責任者〕)を選任し,その配下に,全社的な個人情報保
護活動を推進する専門部署である個人情報保護課を設置していたから,原告甲の
主張は,その前提を欠くものである。
また,個人情報保護法が,個人情報取扱事業者に対して,主務大臣との関係で25
は,顧客情報の利用・管理に責任を持つ部門を設置すべきことを義務づけていた
としても,それを設置しなかったことが第三者(顧客等)に対する私法上の義務
違反となるものではなく,また,そもそも,個人情報保護法上,「個人データの
安全管理措置を講じるための組織体制の整備」が義務付けられているとしても,
顧客情報の利用・管理に責任を持つ部門を設置することまで義務付けられている
ものではない(経済産業分野ガイドライン上も,あくまで望ましい手法にとどま5
る。)。このような部門の不設置と本件漏えいとの間の相当因果関係は,認めら
れない。
ウ私物スマートフォンの持込み禁止に関する注意義務違反等について
法人格が異なる者については別個独立の権利義務の主体として取り扱うべきで
あり,例外的に,厳格な要件のもとで法人格否認の法理によって,事案解決に必10
要な限度で法人格が否定されることがあるに過ぎない。原告甲が根拠として挙げ
ている事情は,我が国のグループ企業内ではごく普通のものであり,そのような
事情があるからといって法人格が否認されることはあり得ないから,仮に,被告
シンフォームが私物スマートフォンの持込みに関する注意義務を負うとしても,
被告ベネッセが同様に注意義務を負うということはできない。15
エ委託先の選任及び監督に関する注意義務違反について
そもそも,被告シンフォームにおいて,原告甲が主張する各措置を採るべき
義務(私物スマートフォンの持込み禁止に関する注意義務,USB接続禁止に
関する注意義務,書出し制御に関する注意義務,アラートシステム設定に関す
る注意義務,監視カメラによる監視に関する注意義務)は存在しなかったから,20
被告シンフォームがこのような措置を採っていなかったからといって,被告ベ
ネッセに委託元としての選任監督の注意義務違反はない。
被告シンフォームが本件漏えい当時採用していた情報セキュリティ対策は,
社会的に高い水準の情報セキュリティ管理レベルを期待される,製造,流通,
EC(電子商取引),金融の各業界において国内大手ないし国内を代表すると25
目される企業と比較しても遜色ないものであった。また,同対策は,当時にお
ける経済産業省ガイドラインの「2-2-3-2.安全管理措置(法第20条関
連)」において望ましいとされていた事項まで全て網羅しており,経済産業分
野ガイドラインに適合する状況にあった。さらに,被告シンフォームは,本件
漏えい時まで,ISMS認証を取得してその継続・更新を繰り返しており,情
報セキュリティマネジメントシステムに関する第三者機関から,十分な情報セ5
キュリティ体制を構築しているとのお墨付きも与えられていた。このように,
被告シンフォームは,当時の経産省ガイドラインからしても,また,当時の情
報セキュリティ対策の一般的な水準からしても,明らかに高度な水準で情報セ
キュリティ対策を整えていたものであり,被告ベネッセがこのような法人を委
託先として選任したことにつき,注意義務違反はなかった。10
被告ベネッセは,本件漏えい当時,当時の経産省ガイドラインからしても,
また,当時の情報セキュリティ対策の一般的な水準からしても,明らかに高度
な水準で,委託先である被告シンフォームに対して,必要な監督を実施してい
た。
被告ベネッセには,そもそも本件漏えいについて予見可能性がなく,注意義15
務がなかった。
オ以上のとおりであるから,被告ベネッセには,本件漏えいについて予見可能性
がなかったから,これを回避するについての注意義務(被告シンフォームに対す
る選任及び監督についての注意義務)違反は認められない。
カ原告甲による被告ベネッセの不法行為(民法709条)及び被告シンフォーム20
との共同不法行為(同法719条1項)の主張は争う。
ア及びイ(民法715条の使用者責任に基づく請求)
ア被告シンフォームは,丁による本件漏えい(不法行為)について使用者責任を
負うか否か(争点ア)
【原告甲の主張】25
被告シンフォームの使用者性
民法715条の要件である使用者関係の有無を判断するにあたっては,使
用者責任の根拠に鑑み,丁に対して実質的な指揮・監督関係があるかどうか
によって判断することになる。
本件においては,被告シンフォームと丁との間に直接の雇用関係はないが,
丁は,システムエンジニアとして被告シンフォームに派遣され,被告シンフ5
ォーム多摩事業所で被告ベネッセの情報システムの開発等に関する業務に従
事し,日常的に被告シンフォームの社員から指示を受けていた。また,被告
シンフォームは,丁に対し,被告シンフォームの顧客分析課長等の許可を受
けた社員を通じて業務用アカウントを教示し,また,業務用PCを貸与し,
業務のための入館証発行に当たっては研修を受けさせ,それ以降,毎年研修10
を実施していた。このような具体的な事情からすれば,被告シンフォームは,
本件システム開発に関する事業について,丁を実質的に指揮監督する関係に
あったということができる。
事業執行性
丁による本件漏えいは,被告ベネッセから被告シンフォームが委託を受け15
た本件システム開発等の業務を,被告シンフォーム多摩事業所において丁が行
っている際にされた。丁は,本件データベースを業務上利用し,同データベー
スへのアクセス権限を広汎に付与されており,そのアクセス権限を用いて本件
個人情報を入手した。そうすると,本件漏えいは,被告シンフォームの「事業
の執行」に該当する。20
したがって,被告シンフォームは,丁による本件漏えいについて使用者責
任を負う。選任監督上の相当の注意をしていたとの被告らの主張は争う。
【被告シンフォームの主張】
被告シンフォームの使用者性について
被告シンフォームとその委託先会社の間では,契約上,業務遂行上の指示25
・管理その他指揮命令は全て委託先会社の指示命令者が行うものとされ,例
外的に,緊急時やトラブル時に,被告シンフォームが委託先会社の要員に必
要な範囲で直接依頼をすることができることとされていた。そして,実際に,
丁を含む委託先会社の要員に対する業務遂行上の指示・管理その他指揮命令
は,委託先会社の指示命令者により行われたから,被告シンフォームは,丁
を実質的に指揮監督する関係にはなかった。5
事業執行性について
システムの開発,運用及び保守等を受託する企業の作業者が委託元のシス
テムのアクセス権限を与えられ,そのシステムの開発等のために実際に当該
システムにアクセスすることは,システムの開発,運用及び保守等を行う以
上当然のことであり,そのことから受託業務の遂行が委託元の事業の執行で10
あるかのような外観を当然に有することにはならない。丁による本件漏えい
は,あたかも委託先会社における職務の範囲に属するかのような外観を有す
ることがあったとしても,被告シンフォームにおける職務の範囲に属するよ
うな外観を当然に有することになるわけではない。
また,原告甲は,丁の不法行為として「・・・顧客情報を自己のスマート15
フォンに書き出して名簿業者に売却する行為」を主張している。しかし,こ
のような行為は,そもそも被告シンフォームの事業ではあり得ないし,丁の
職務の範囲内であることもおよそ考えられない。
選任監督上の相当の注意をしていたこと
本件において,被告シンフォームは,丁から,業務上知り得た個人情報及び20
機密情報を保秘する旨の同意書を受領していたほか,丁を含む業務従事者全員
を対象に,毎年,情報セキュリティ研修及びその内容を踏まえたテストを実施
していた。このように,被告シンフォームは,同社と丁との関係に照らして選
任監督上の相当の注意をしていた。
イ被告ベネッセは,被告シンフォーム又は丁の不法行為について使用者責任を負25
うか否か(争点イ)
【原告甲の主張】
事業執行性
本件システムは,被告ベネッセの商品・サービス開発やマーケティングのた
めにベネッセ顧客情報を統合して分析に使用するためのシステムであり,その
開発業務は,被告ベネッセの「事業の執行」に該当する。5
使用者関係(実質的指揮監督関係)の存在
使用関係の有無は,実質的な指揮・監督関係の有無により判断される。
本件においては,被告ベネッセと被告シンフォームとの間の業務委託契約で
は,被告ベネッセが,被告ベネッセが行っている安全管理措置と同等の措置が
被告シンフォームでも講じられるように監督することや,被告シンフォームが10
受託業務を再委託する場合には,事前に被告ベネッセの承諾を求めることとし
ていた。また,被告ベネッセは,被告シンフォームに対し,その従業員に対す
る研修等に関する指示を行っていた。
被告ベネッセは,月次で「アウトソーシングレポート報告会」を開催し,委
託業務全般の進捗状況の確認を行うほか,規模の大きな開発・運用案件につい15
ては週1回以上のペースで定例ミーティングを実施していた。
さらに,被告ベネッセは,被告シンフォームに本件システムを開発させるに
あたり,被告ベネッセのIT戦略部においてベネッセグループの情報システム
を担当していた従業員を,平成25年1月から平成26年3月まで被告シンフ
ォームのITソリューション部の部長として兼務させていた(甲25の1ない20
し4,乙17)。
このような具体的な事情からすれば,被告ベネッセは,本件システム開発に
関する事業について,被告シンフォームを実質的に指揮監督する関係にあった
ということができる。丁についても同じである。
【被告ベネッセの主張】25
被告ベネッセの事業の執行ではないこと
被告ベネッセは被告シンフォームに本件システム開発の業務を委託し(本
件業務委託契約),被告シンフォームは同契約に基づいて業務を行っていた
ものであるから,それが委託元である被告ベネッセの業務を執行していたこ
とにはならない。
使用関係(実質的指揮監督関係)がないこと5
被告ベネッセと被告シンフォームとの間の本件業務委託契約には,原告甲
の主張で指摘される契約文言や事実関係が存するが,これらは,被告ベネッ
セが個人情報保護法上委託元に求められる委託先の監督を行ったものに過ぎ
ず,民法715条の要件である指揮監督関係の根拠となるものではない。
それ以外の原告甲の主張も,上記の根拠となるものではない。10
被告シンフォームと被告ベネッセは独立した法人であり,独立した組織の
もと,独自の事業遂行を行っていたから,両者は,一体となっていたわけで
はない。
以上のとおり,被告ベネッセと被告シンフォームとの間に実質的な指揮監
督関係があると認める余地はなく,被告ベネッセに使用者責任が成立するこ15
とはない。
被告ベネッセと丁との間にも,実質的な指揮監督関係はない。
選任及び監督についての相当の注意について
なお,仮に,被告ベネッセと被告シンフォームとの間に使用関係が認められ
るとしても,被告ベネッセが被告シンフォームの選任及び監督について「相当20
の注意」(民法715条1項ただし書)をしていたといえる。すなわち,仮に,
本件におけるような委託関係によって発生する程度の関わりをもって実質的な
指揮監督関係があると認めるとするならば,委託先に対するものとして社会通
念上適切な選任・監督があること,すなわち個人情報保護法上の委託先の選任
・監督義務と同程度の水準をもって,相当な注意をしていたと評価されるべき25
である。したがって,被告ベネッセに使用者責任は成立しない。
争点全請求)原告らに生じた損害の有無及び数額
【原告らの主張】
ア原告甲
被告らの上記共同不法行為等は,原告甲のプライバシーに属する本件個人情報
につき名簿業者等の数十社に拡散させ,それによって不特定の者にいつ購入され5
ていかなる目的でそれが利用されるか分からないという不安感・不快感を原告甲
に生じさせるものであり,原告甲は,これによって,慰謝料5万円相当の精神的
苦痛を受けた。
被告らが漏えいした情報は,個人識別のための基本情報のみならず,続柄も含
まれており,これにより,家族関係が一定程度明らかとなる。家族関係の情報は,10
社会的差別の原因となりかねない家柄の情報に繋がり得るものであり,極めてセ
ンシティブな情報であるといえる。
そればかりか,被告らが漏えいした情報により,被漏えい者の多くが,子ども
の教育に熱心な(少なくとも関心がある)家族の構成員である可能性が高いとい
う属性が明らかになっている。このような情報は,入手を欲する者にとっては,15
ターゲットを絞った効率的な営業活動等に利用できるから,極めて高い経済的価
値を持つ一方,被漏えい者にすれば,営業活動の一環としての不招請な迷惑勧誘
を受けることにつながる情報であり,通常開示を欲しない情報である。
さらに,現代においては,典型的なデータベースソフトウェアが把握・蓄積・
運用・分析できる能力を超えたサイズのデータ(ビッグデータ)を企業間で共同20
利用・解析すること等により,一定の属性の者の行動や趣味嗜好,思想等の分析
がされている。このようなビッグデータは匿名化がされていることが多く,本来
特定の個人と結びつかないデータとなっているが,個人情報を照合することによ
り,個人が特定されるおそれがあり,基本情報の流出に過ぎない場合であっても,
その流出は,個人の特定だけでなく,その者の行動や趣味嗜好,ひいては思想等25
の把握につながる可能性があるものである。
被告ベネッセが漏えいした個人情報の流出先は,報道によれば,平成27年3
月の時点で約500社にもなっており,流出の範囲は極めて広いばかりか,もは
やその回収が不可能な状況となっている。また,流出先からの再流出の懸念も大
きい。
これにより,原告甲は,将来にわたり,個人特定や更なる個人情報の引出しが5
行われる不安はもとより,家柄が特定されたり,行動や趣味嗜好が把握される不
安も付きまとうほか,不招請な営業行為を受けるリスクも絶えない状況になって
いる。
さらに,この情報により被漏えい者の小中高校等の入学・卒業や成人式などの
イベントのある時期が特定され,今後とも長期間にわたり,不招請な勧誘を受け10
る危険性がある。
また,被告らが漏えいした本件個人情報は,続柄や電話番号にも及ぶため,所
謂オレオレ詐欺のような個人情報を利用した詐欺の勧誘に使われたり,子供の誘
拐にも利用されるおそれがあるから,被漏えい者の不安感は重大であるし,長期
間継続することになる。15
以上のような事情を踏まえれば,原告甲に対する慰謝料は,5万円を下ること
はない。
また,原告甲は,平成26年7月12日付けで被告ベネッセ宛に漏えいした項
目を確認するための内容証明郵便を送付し,その送料として1260円を要し,
また,被告ベネッセからの「お詫び」として500円相当の金券を用意する旨の20
案内に対する異議申立てを簡易書留で送付し,その送料として430円を要した。
これらの合計1690円も,原告甲の損害として認められるべきである。
イ原告乙
被告らの上記共同不法行為等は,原告乙のプライバシーに属する本件個人情報
につき名簿業者等の数十社に拡散させ,それによって不特定の者にいつ購入され25
ていかなる目的でそれが利用されるか分からないという不安感・不快感を原告乙
に生じさせるものであり,原告乙は,これによって,慰謝料3万円相当の精神的
苦痛を受けた。
ウ原告丙
原告丙はまだ幼く,上記不安感・不快感がこれから一生つきまとい,学校の入
学・卒業・受験などの多くの場面で業者に利用されるだけでなく,その幼さから5
犯罪の利用も警戒しなければならない。また,行政・病院・幼稚園などの公的団
体を除くと,原告丙の個人情報を提供した団体は被告ベネッセが初めてであり,
民間事業者に知らせた唯一の個人情報が漏れたことになるのであって,その不安
感による精神的苦痛は,大人の比ではない。原告丙は,これによって,慰謝料1
0万円相当の精神的苦痛を受けた。10
【被告らの主張】
ア本件漏えいの対象となった本件個人情報(続柄は含まれていない。)は,そも
そも人が社会生活を営む上で他者に開示することが当然に予定されている個人識
別情報であって,基本情報とされるものであり,プライバシーに関する情報の中
で,その保護の程度は,最も低い。15
イ原告らには,本件漏えいにより,具体的損害,実質的損害は一切発生しておら
ず,また,住所や電話番号などの情報は変わることがあり得るものであり,実際,
原告らは,本訴提起後,転居し,その住所及び電話番号の変更があった。そのた
め,本件個人情報は,原告らの現在及び将来の住所や電話番号を示すものではな
く,原告らに具体的損害,実質的損害が将来発生する蓋然性もない。20
本件漏えいにより,本件個人情報(基本情報)が流出したとしても,その流出
先は名簿業者であって,また,必ずしも500社に渡ったというわけではない。
原告らが,損害として主張するのは,抽象的な不安感や不快感に過ぎない。
プライバシーに関する情報が侵害されたことにより抽象的な不安感や不快感を
抱く場合について,一律に損害を否定することはできないとしても,それらが違25
法として損害賠償の問題となるかは一般的平均的な人の感性を基準として判定さ
れるべきものである。そして,損害賠償制度は,損害の回復を目的とするもので
あるから,損害がないか,それが日常ありうる程度の軽微なものであれば賠償に
よる救済の対象となりえない。
本件個人情報が名簿業者に漏えいしたことで想像される事態は,郵便,電話,
メールという公共通信インフラを利用する接触形態によって勧誘等が行われるこ5
とであるが,それは日常ごくありふれた行為で,そのような勧誘等は一般に許容
されており,その事態をもって,不快感,不安が生じ,平穏な生活を送る利益が
害されるとは,一般に考えられていない。また,事業者がする広告,宣伝物の送
付,電話による勧誘は,事業者にとってはもちろん,消費者にとっても商品,役
務についての知見を得,取引の便宜が図られる利益があり,ひいては取引機会の10
増大,経済の活性化の効用をもっているのであって,負の側面を強調することは
正当ではない。結局,住所,氏名,電話番号といった情報の名簿業者への流出は,
営業や宣伝に関する郵便物の増加や電話をもたらすことはあり得るが,それは,
紙ゴミの増加又は一言半句の応答で足る負担をもたらす程度でしかなく,些細な
不快があったとしても,日常ありうる程度の軽微なものということができる。そ15
れを超えた不快感,不安感を抱く人があるとすれば,それはその人にとっての主
観的な不快感,不安であって,一般的平均的な人の感性を基準としたものを超え
ていると評すべきものである。
ウ早稲田大学江沢民事件(最高裁平成15年9月12日第二小法廷判決・民集5
7巻8号9173頁)は,プライバシーに関する情報が開示されたことによる具20
体的な損害の発生がないところで,精神的損害(慰謝料)発生を認めたものであ
るが,本件は,同事件と異なるから,精神的損害(慰謝料)を認めるべきではな
い。すなわち,早稲田大学江沢民事件では,本件と異なり,故意にプライバシー
に関する情報が無断開示され,また,当該プライバシーに関する情報はより保護
すべき必要性が高く,その開示について違法性が高いという特別な事情がある点25
で,本件とは全く異なるし,同事件の差戻審判決は,「本件個人情報の開示が違
法であることが本件訴訟において肯定されるならば,控訴人らの被った精神的損
害のほとんどは回復されるものとも考えられる」とも判示するように実質的には
てん補されるべき損害の発生があるとは考えておらず,違法を宣伝する効果を与
えるために名目的金額として損害を認定したと考えられている。本件のように,
秘匿性が高くない情報が流出した事案において,流出による具体的な損害の発生5
がなく,抽象的な不安感・不快感のみが問題となる場合には,開示行為が故意で
ある場合などを除き,慰謝料が発生する程度の精神的損害を認める必要はなく,
また,流出後に行為者が相応の対応をとる場合には精神的苦痛は慰謝されるとみ
て,慰謝料の発生を認めるべきではない。
第3当裁判所の判断10
1認定事実
前記第2の2(前提事実)のほか,後掲各証拠及び弁論の全趣旨によれば,次の事
実が認められる。一部,前提事実を再掲する。
被告ベネッセ及び被告シンフォーム
ア概説15
被告ベネッセは,通信教育,模擬試験の実施や雑誌の発行・通販事業を行う株
式会社である。被告シンフォームは,被告ベネッセのいわゆるグループ会社(被
告らはいずれもベネッセホールディングスの100%子会社であり,以前は,被
告シンフォームは被告ベネッセの100%子会社であった。)であり,被告ベネ
ッセから委託を受けてシステム開発及び運用を行っている株式会社である。20
(前提事実イ,エ)。
イ被告ベネッセによる個人情報の取得と管理
被告ベネッセは,同社の講座等を利用する顧客から会員情報として個人情報の
提供を受け,こうした情報をデータベースとして管理しており,これらの個人情
報を,顧客に対する通信教育講座などの勧誘を目的とした手紙や電話等による情25
報提供のための営業情報として利用するなどしていた。
原告甲は,未成年者である原告丙が被告ベネッセの講座等を利用するに際し,
被告ベネッセに対して本件個人情報を提供したもので,被告ベネッセが,同社の
行う事業活動のために当該情報を利用することについては承諾していたと推認で
きる。
(甲31,乙17)。5
ウ新システムの構築
被告ベネッセは,従前,主として顧客管理のシステム及び販売管理のシステム
に大別される複数のデータベースに顧客情報を集積して事業活動に利用していた
が,事業の拡大に伴い,顧客情報が集積されているデータベースが大量になった
ことから,そのリスク管理等のため,平成24年4月頃,別個に集積されていた10
顧客情報を統合してその分析に利用するシステム(本件システム)を構築するこ
ととして,本件システム開発等の業務を被告シンフォームに委託した(本件業務
委託契約)(前提事実オ)。
被告ベネッセは,本件業務委託契約において,被告シンフォームに対し,本件
システム開発に必要な範囲で,本件個人情報を含む被告ベネッセが管理する個人15
情報について被告シンフォームの委託業者の従業員がアクセスすることを認めて
いた(甲32)。
エ被告シンフォームは,本件業務委託契約に基づいて委託された業務を,被告ベ
ネッセの承諾を得て,複数の外部業者に分散して再委託し,再委託を受けた業者
が,さらに別の業者に再々委託することを認めていた。そして,被告シンフォー20
ムは,これら再委託先等の業者の従業員(以下,これらの者を含めて,単に「業
務委託先の従業員」ということがある。)が,開発業務上必要がある場合に,被
告シンフォームが貸与した業務用PCから本件データベースにアクセスすること
を認めていた(甲32,39)。
もっとも,被告シンフォームは,本件システム開発業務を行っている従業員が,25
再委託先業者に所属する従業員なのか,再々委託先業者に所属する従業員である
のかといった,被告シンフォームとどのような契約関係にある会社の従業員であ
るのかを明確に把握しておらず,そのような従業員に対しても本件データベース
に保存された個人情報等に広範囲にアクセスする権限を付与する場合があり,こ
のため,業務委託先業者の担当者に対する業務の分配や,付与するアクセス権限
を必ずしも適切にコントロールすることができていなかった(甲2・7頁)。5
なお,丁を雇用した会社は,被告シンフォームから直接再委託を受けたのでは
なく,被告シンフォームとA社,A社とB社,B社と丁を雇用した会社,という,
順次の業務委託契約があったが,丁は,被告シンフォームに対し,丁が行ってい
た業務の内容や性質,丁が業務上知り得た個人情報及び機密情報を保秘する旨の
同意書を提出し,本件システム開発業務を行うに際し,許可なく,被告ベネッセ10
及びその顧客の機密情報並びに個人情報に関する資料を外部に持ち出したりして
はならないことを約していた(甲32〔13頁〕,48)。
本件漏えい
ア丁の本件漏えい時の執務環境,私物スマートフォンの持ち込み,充電等
丁は,平成24年4月頃から,被告シンフォーム多摩事業所において,本件シ15
ステム開発等の業務に従事するようになった。このため,丁は,本件システムの
開発,運用及び保守に関連する業務に従事する者として,本件システムやそれに
連携される既存のシステム(以下「連携システム」という。)のデータベース内
の顧客情報にアクセスするために必要なアカウントを教示され,かつ,被告シン
フォームから貸与された業務用PCを用いていた。20
当時,被告シンフォーム多摩事業所の執務室内においては,丁を含む業務委託
先業者の従業員が個人で所有する従来型の携帯電話やスマートフォンが日常的に
使用されており,これらが,充電のために業務用PCにUSBケーブルで接続さ
れることも行われていた。丁は,平成25年7月ころ,充電目的で丁のスマート
フォンを業務用PCに接続したところ,スマートフォンへのデータの書出しが可25
能な状態にあることに気づいた。
(前提事実甲32〔4頁〕,乙17,97)
イ本件漏えいの実行
丁は,金銭的に窮し,平成26年6月17日及び同月27日,被告シンフォー
ム多摩事業所の執務室内において,業務用PCからバッチサーバ経由で本件デー
タベースにアクセスし,本件データベース内に保管されていた本件個人情報を含5
む個人情報を抽出して業務用PCに保存し,同PCからUSBケーブルを用いて
丁所有の本件スマートフォンに転送し,その内蔵メモリに保存する等の態様によ
り,本件個人情報を含む大量の個人情報を不正に取得した(前提事実ア)。
ウ丁による個人情報の使用
丁は,不正に取得した本件個人情報を含む上記個人情報を,名簿業者に売却し10
た。丁は,上記日時における本件漏えいのほかにも,相当期間にわたって,顧客
に関する個人情報を不正に取得した。これらも併せると,不正に取得した個人情
報は,延べ約2億1639万件となり,同一人物と見られる個人情報を名寄せし
て重複を解消したとしても,約4858万人分という,大量のものであった。
(甲2,39)15
本件スマートフォン
本件スマートフォンは,従来のスマートフォンの用いていた大容量ストレージ
(MSC)という通信方式とは異なり,MTPという通信方式に対応していた。
MTPは,デジタルカメラの画像転送プロトコルをベースに,音楽や動画ファイ
ルなどを転送することを可能としたデータ転送の一つの規格であり,デジタルカメ20
ラやICレコーダーなどに採用されており,ファイルシステムの管理は,これらデ
バイス側で行われる(MSCではパソコン側で行われる。)。そのため,本件スマ
ートフォンがパソコン(WindowsをOSとして使用)に接続されると,デバ
イスドライバや対応するアプリケーションソフトをインストールすることなく,W
PDデバイスとして認識され,同デバイスにデータを転送することが可能となった25
(以下,通信方式にMTPを採用するデバイスを,単に「WPDデバイス」ともい
う。)。
(甲11)
本件漏えい当時に被告シンフォームが採用していた安全管理措置
アインターネットとの接点
被告シンフォームは,データセンターに設置されている本件サーバ(被告シン5
フォームが管理する被告ベネッセのサーバ)と被告シンフォームの執務室内の業
務用PCとの間を専用回線で繋いでおり,インターネット回線を使用しないこと
とした上で,やむなくインターネットと接する部分について,以下のとおり対策
を実施していた。
ファイアウォールを導入し,必要最小限の通信のみ許可(申請ベースで変10
更)する通信制御を実施していた。
不正アクセス検知は,外部業者に委託してリアルタイムで監視を行い,攻
撃を検知し,かつ,システムに影響が出ると判断した場合は直ちにインシデ
ント対応を実施することとしていた。
リモート接続について,申請制により最小限の人にのみ許可し,かつ,重15
要なシステムはアクセスできないという制御を実施していた。
インターネット接続が可能なURLについて,業務で必要なサイトのみ許
可していた。
社外への電子メールを全て保存していた。
(甲2,乙1,乙97)20
イ物理的境界
個人情報が保管されている本件サーバは,隔離されたデータセンターに設置さ
れ,同室への入退室に対して厳しい管理(入館の事前申請・入館制限,私物持込
み不可,機器持出し不可及び監視カメラ設置等)が行われていた。また,個人情
報を取り扱う業務の執務室への入退室についても管理(申請制にて入退室制限,25
入退室記録保存,監視カメラ設置等)が行われていたが,個人所有のスマートフ
ォンの持込みや充電のために業務用PCにUSBケーブルを用いて個人所有のス
マートフォンを接続することは,認容されていた。
(甲2)
ウ内部ネットワーク
本件データベース内の領域が本番環境と開発環境に分離されて,個々の領域に5
アクセスするには,それぞれ別個に設定されたアカウントが必要であり,業務上
必要なデータベースのみへのアクセスが可能なようにアクセス制御が行われると
ともに,私物パソコンの社内ネットワーク接続が禁止され,全業務従事者個々人
に対して,所定の設定がされた業務用PCが貸与されており,その業務用PCに
ついても,セキュリティ目的で,アクセス及びダウンロードについて全てネット10
ワーク通信記録を取得することによる監視が行われていた。
(甲2,乙17)
エサーバ
本件サーバに関しては,アカウント管理が行われ,また「踏み台サーバ」(直
接にサーバにアクセスさせないことにより,外部からの侵入リスクを軽減させる15
サーバ)としてバッチサーバを経由させた上で本件サーバにログインすることと
し,これらについて個人が特定できる形でサーバへのアクセスログの記録が保管
されていた。
業務用PCと連携システムのデータベースサーバとの間の通信量が一定の閾値
を超えた場合,連携システムのデータベースの管理者である被告シンフォームの20
各担当部門の部長に対して,メールでアラートが送信されるようになっていたが,
業務用PCと本件データベースとの通信については,本件システム開発中であっ
たことから,丁による本件漏えいの当時,上記アラートシステムの対象として設
定する措置は,採られていなかった。
(甲2,乙17)25
オ業務用PCに対するセキュリティ対策
管理者業務で使用するパソコンとそれ以外の業務で使用する業務用PCとを分
け,担当者に対して専用のパソコンとして貸与し,それぞれ利用場所を制限して
いた。また,業務用PCについて設定されていたセキュリティ対策としては,ウ
イルス対策ソフトの搭載,URLフィルタリングツール(業務に必要なURLの
み接続を許可する。)の搭載,メールフィルタ(個人情報を記載したメールと判5
断されたものについての通信を差し止める。)の設定,その他標準として選定し
たソフトウェアの搭載と個人による標準仕様の変更の制限,パスワードの設定等
があった。
(甲2,乙97)
カセキュリティソフトによる書出し制御等10
業務用PCには,前記のほか,平成21年6月30日に発売されたセキュリテ
ィソフト「秘文Ver.9」(本件セキュリティソフト)が導入されていた。そ
の主な機能は,操作ログの記録,USB等の外部記録媒体への書き込み制御,デ
ィスク暗号化などであった。
本件セキュリティソフトは,リムーバブルメディア,CD,DVD,外付けH15
DDのほか,イメージングデバイス,WPDデバイス,その他の制御デバイスな
どについて個々にその使用をできなくするように制御することが可能であった。
被告シンフォームでは,本件セキュリティソフトを平成23年8月にバージョ
ンアップさせる際に,業務用PC上のデータを外部記録媒体へ書き出すことを制
御する機能の見直しを行い,通信方式がMSCのスマートフォンを含む一部の外20
部記録媒体については制御する措置が採られていた。被告らは,これにより,業
務用PCからスマートフォン一般へのデータの書出しができなくなっていると理
解していた。しかし,上記制御する措置は,通信方式がMTPのWPDデバイス
については採られていなかった(弁論の全趣旨〈被告準備書面24p4〉)。
被告シンフォームにおける本件セキュリティソフトのバージョンアップは,上25
記平成23年8月の後,平成26年7月までの間,行われなかった。
なお,被告シンフォームは,本件漏えい後,遅くとも平成26年9月17日ま
でに本件セキュリティソフトの設定を見直し,スマートフォンを含む書出し機能
を持つ可能性のある全ての外部メディアについて,業務端末からの書出しができ
ない設定とした。
(甲2,12,39,49,乙97)5
キ顧客情報の機密指定,研修等
被告シンフォームでは,同社が取り扱う被告ベネッセの顧客情報を区分し,そ
れらをそれぞれ機密情報として位置付けていた(被告ベネッセにおいても,本件
個人情報を機密情報と位置付けていた。)。
また,被告シンフォームでは,就業の条件として,個人情報及び機密情報の開10
示,第三者提供,又は漏えい等を行わないことを誓約する内容の同意書の提出を
求め,毎年,業務従事者(被告シンフォームの社員であるかどうかにかかわらな
い。)の全員を対象とした情報セキュリティ研修を実施し,セキュリティソフト
による外部記録媒体への書出し制御の実施等の告知を行うなどして,個人情報や
機密情報の漏えい防止のための注意喚起等を行った上,研修内容を踏まえたテス15
トを実施していた。
(甲2,乙17)
2本件個人情報の被侵害利益性及び丁の不法行為責任
⑴本件個人情報の被侵害利益性
本件漏えいによって流出した本件個人情報の内容は,原告甲の漢字氏名,フリガ20
ナ,住所及び電話番号並びに原告丙の漢字氏名,フリガナ,生年月日及び性別であ
るウ)。
なお,原告甲は,原告甲のメールアドレスや原告甲と原告丙の続柄も漏えいした
旨主張するが,これらも漏えいしたと認めるに足りる証拠はない。
まず,原告甲の住所,電話番号は,原告丙が本件漏えい当時3歳の未成年者であ25
ったことからすると,原告丙自身の住所,電話番号でもあると推認できること,そ
の他のそれぞれの漢字氏名,フリガナ等も,原告甲及び原告丙の家族関係を表す情
報といえることから,本件個人情報全体が原告甲及び原告丙の個人情報であると認
められる。なお,これらを照らし合わせれば,原告甲と原告丙の続柄も容易に推測
できるから,この点も漏えいしたのと同視できる。
そして,本件個人情報は,これを全体としてみれば,原告甲及び原告丙のプライ5
バシーに関する情報として法的保護の対象となるというべきである(最高裁平成2
9年10月23日第二小法廷判決及び最高裁平成15年9月12日第二小法廷判決
・民集57巻8号973頁参照)。
もっとも,原告乙についての個人情報そのものが明らかになったことを認めるに
足りる証拠はない。原告乙が原告甲及び原告丙の同居の家族であることを考慮して10
も,本件個人情報が原告乙の関係でもプライバシーに関する情報として法的保護の
対象となるということはできない。
⑵丁の不法行為責任
丁は,平成26年6月当時,被告シンフォームの業務委託先の従業員であり,同
月,被告シンフォームが被告ベネッセから提供を受けてその業務に使用する目的で15
管理していた本件個人情報を,故意に,名簿業者に売却する意図のもとに不正に取
得し,他の個人情報と一括して名簿業者に売却したから,原告甲及び原告丙のプラ
イバシーとして法的保護の対象となる利益を違法に侵害したと認められる。
丁は,原告甲及び原告丙に対し,それぞれ,損害が認められる限り,本件漏えい
につき,不法行為による損害賠償責任を負う。20
3争点(本件漏えいについての被告シンフォームの過失の有無)について
本件漏えいの予見可能性について
ア予見可能性を肯定する事情
通信方式がMSCである従来型のスマートフォンに関する認識
前提事実⑶イのとおり,本件調査委員会の事故調査報告書には,本件漏えい25
当時,外部メディアへの書出し制限がされていた旨記載されていた。証拠(甲
10,13,18,19,20,60,61)によれば,本件漏えい以前に,
複数の文献等が外部メディアへの書出しの危険性を指摘していたと認められる。
これらのことからすると,被告シンフォーム自身も,本件漏えい当時,少な
くとも,MTPに対応していない通信方式のスマートフォン(通信方式がMS
Cである従来型のスマートフォン)については,それが業務用PCのUSBポ5
ートに接続されることにより個人情報を不正に取得される可能性があることを
認識していたことが認められる。
本件漏えい当時のMTP対応スマートフォンに関する認定事実
各項末尾等に記載した証拠及び弁論の全趣旨によれば,以下の事実が認めら
れる。10
a国内のスマートフォン利用者は,平成24年11月には,2400万人を
超えていた。スマートフォンの出荷数は,平成25年で約2925万台,平
成26年で約2770万台であった。スマートフォンの契約件数は,平成2
5年3月末では約4000万件,平成26年3月末では約6000万件であ
り(乙38資料1),平成25年3月以降,OSが「Android」であ15
るスマートフォンが全体の約40パーセントであった。スマートフォン全体
のうち「Android4.0」以上のバージョンの「Android」端
末(MTP対応スマートフォン)が占める割合は,平成25年6月時点で1
9.88パーセント,平成26年6月時点で21.41パーセントであった。
(甲54,乙38,77)20
b通信方式がMTPである機器は,PCのウインドウズ上ではWPDデバイ
スとして扱われるので,MTP対応機器の使用制限は,WPDデバイスの使
用を制限する設定とすることで可能となる。当時の一般的なセキュリティソ
フトがWPD使用制限機能に対応した時期は,概ね別紙のとおりであり(た
だし,エムオーテックス(株)は平成25年10月から〈乙39〉),被告25
らが使用していた「秘文Ver9」(本件セキュリティソフト)においては,
平成21年6月であった。本件セキュリティソフトにおいては,MTP制御
機能として,未登録デバイスの使用制御ができた。
(甲12,49,50,乙39)
c「Android4.0」より前のバージョンの「Android」端末
(いわゆる旧機種)には,平成24年7月から同年11月までに,「And5
roid4.0」へのバージョンアップがキャリアから提供されており,そ
の頃発行された大手パソコン雑誌において,MSC以外にMTPによる通信
方法が紹介されていた。
また,同時期に,日本電気株式会社がスマートデバイス(スマートフォン
とタブレット端末)のMTP等の利用の制限といったセキュリティの強化を10
勧める講演を行い(甲56),WPDデバイスの制御機能を有することを明
示したセキュリティソフトの記事がネット上で公開されていた。
(甲55,56,63)
検討
被告シンフォームは,被告ベネッセから委託された本件システム開発等の業15
務について,他社に対して再委託を行い,それらの会社による再々委託を認め,
これら業務委託先の従業員に対し,業務上の必要に応じて,業務用PCから本
件個人情報を含む大量の個人情報にアクセスすることを認めていたうえ,これ
らの業務委託先の従業員が,被告シンフォーム多摩事業所の執務室内に私物の
スマートフォンを持ち込んで業務用PCにUSBを接続して充電を行うことも20
あり,これを容認していたと推認できる。このような状況からすれば,そのよ
うな従業員の中には,MTP対応スマートフォンを使用する者がいるであろう
ことを認識し,あるいは認識可能であったと推認できる。
また,被告シンフォームは,本件漏えいの時点(平成26年6月時点)にお
いて,通信方式がMSCである外部機器(スマートフォンを含む。)について25
は,業務用PCのUSBポートに接続して個人情報を不正に取得する可能性を
認識していたといえる。そして,前記認定によれば,当時,相当数のMTP対
応スマートフォンが国内市場に出回っていたと推認されるのであるから,執務
室内で作業する従業員が,MTP対応スマートフォンを執務室内に持ち込んで,
業務用PCのUSBポートに接続することにより,個人情報を不正に取得する
可能性があることを認織し得たことが,推認できる。5
イ被告らの主張の検討
被告らは,①本件漏えいの時点におけるMTP対応スマートフォンの国内シェ
アは小さかった,②本件漏えいの時点におけるセキュリティソフトのうちMTP
使用制御機能に対応したものは皆無であった,③本件漏えいによって初めて,ス
マートフォンを利用した個人情報不正取得の危険性が認識されたから,被告シン10
フォームには本件漏えいについての予見可能性は認められない,④被告らは,パ
ソコンに関しては,一般ユーザーである旨主張する。
①について
前記ア(イ)aのとおり,MTP対応スマートフォン(「Android4.
0」以降のOSを搭載したもの)のスマートフォン全体における割合は,平成15
25年6月時点で19・88%,平成26年6月時点で21・41%であった
ほか,平成26年3月末のスマートフォンの契約数は,約6000万件であっ
た。平成25年1月から平成26年6月までの出荷台数を前提に計算すれば,
平成26年6月頃のMTP対応スマートフォンの台数は,約900万台(≒
〈2925万台+2770万台÷2〉×0.2141)となり,この期間に出20
荷されたものがすべてそのまま平成26年6月に使われていたわけではないと
しても,当時,多数のMTP対応スマートフォンが使われていたと推認できる。
そして,前記ア(イ)bにおいて認定したとおり,当時の一般的なセキュリテ
ィソフトがWPD使用制限機能に対応した時期が概ね別紙のとおりであったこ
となどからすると,本件漏えいの時点におけるMTP対応スマートフォンの国25
内シェアは小さかったとする被告ベネッセの主張を考慮しても,被告シンフォ
ームが,MTP対応スマートフォンを業務用PCのUSBポートに接続するこ
とにより個人情報を不正に取得される可能性があることを認識し得たという前
記判断が左右されるとはいえない。
②について
証拠(乙39・端末管理・セキュリティ製品におけるMSC・MTP制御機5
能についての調査報告)には,平成26年6月当時販売されていた主要な端末
管理・セキュリティ製品について,実用的なMTP制御機能は,国内市場シェ
アが高い製品については全く搭載されておらず,実用的なMTP制御機能を搭
載していたと認められる製品は,国内市場シェアが微少な1製品(ハミングへ
ッズ株式会社)にとどまり,かつ初期設定ではMTP制御機能は無効とされて10
いた旨の記載がある。
しかし,同報告においては,「実用的」の意味を「少なくとも読み取り専用
の設定(リムーバブルメディアから業務用PCにデータを転送することは可能
であるが,パソコンからリムーバブルメディアにデータを転送することは不可
能とする設定)ができる場合」と定義し,「実用的」でない製品についてはM15
TP制御機能を搭載していないものとして扱っている。本件全証拠によっても,
本件システムにおいて,デジタルカメラ等を含めたWPDデバイスから業務用
PCにデータを転送する必要があったとは認められないから,読み取り専用で
なく双方向のデータのやりとりを不可としてもよいと考えられる。本件との関
係では,上記定義に該当するような設定ができないことを理由に,実用的でな20
いと評価するのは,相当でない。そして,上記調査報告の添付資料によっても,
被告らが導入していた「秘文Ver9」は,平成21年6月からデバイスの使
用制御が可能であったとされ,その国内市場シェアは17.8パーセントと2
番目に大きなものであった。なお,平成26年6月当時,国内シェアが18.
8パーセントと最も大きいエムオーテックス株式会社の「LanScope25
Cat」も特定ユーザー向けの個別カスタマイズ機能として平成25年10月
から同報告が実用的とするMTP制御機能を搭載することができたし,平成2
7年1月からは同機能を標準で搭載したとされている。また,国内シェアが5.
4パーセントと4番目に大きいクオリティソフト株式会社の「QND」も上級
パッケージには標準でデバイス制御機能が搭載されていたし,4.1パーセン
トと5番目に大きい日本電気株式会社の「InfoCagePCセキュリテ5
ィ」もデバイスの使用制御機能を有していたとされている。そして,通信方式
がMTPである機器はPCのウインドウズ上ではWPDデバイスとして扱われ
るので,MTP搭載機器を使用制限するには,WPDデバイスを使用制限すれ
ばよいことからすれば,上記報告をもって,MTP使用制御機能に対応したも
のは皆無であったとすることはできず,被告らの主張は,採用できない。10
③について
被告らは,経済産業分野ガイドラインにおいて,本件漏えい当時には,MT
P対応スマートフォンに対して何らかの対策を講じるべきとの具体的記載がさ
れておらず,本件漏えい事件が発生した結果,そのような対策が追加されるこ
とになったことから,本件漏えい当時,MTP対応スマートフォンに対して制15
御措置を採るべき注意義務はなかったとも主張する。そして,特定非営利活動
法人日本ネットワークセキュリティ協会で理事を務めるとともに一般社団法人
日本スマートフォンセキュリティ協会で理事を務める己の意見書(乙36「わ
が国におけるPCの外部記憶媒体とスマートフォンの歴史について」)には,
本件漏えいは,それが発生する以前には一般に認識されていなかったセキュリ20
ティの脆弱性によって発生したもので,本件漏えい事件によって初めて,リム
ーバブルメディアとしての携帯電話(スマートフォンを含む)が外部記録媒体
として使用される危険性があることが認識され,セキュリティ業界がその対策
をとるようになったのであり,大手セキュリティベンダーでさえ予見できてい
なかったものを,ユーザーである被告シンフォームが予見することは不可能で25
あった旨が記載されているほか,情報セキュリティの専門家等の記事(乙40
・41)にもその旨の記載がされている。
しかし,経済産業分野ガイドライン等の記載内容が直ちに被告らの注意義務
の存否の判断を基礎づけるものではないことは,被告らも認めるとおりである。
本件漏えいの時点における状況,とりわけ,被告シンフォーム自身が,大量の
個人情報を扱い,現にMTP非対応スマートフォンへの書出しによる個人情報5
漏えいの危険を認識していたこと,MTP対応スマートフォンが決して少なく
ない数になっていたこと,付与済みのアクセス権限の見直しが定期的に行われ
ず(前提事実⑶イ),被告シンフォームが従業員の所属先を明確に把握してい
ない(認定事実⑴エ)中で,業務委託先の従業員がスマートフォンを充電のた
め業務用PCに接続していたことからすると,上記被告の主張やそれに沿う証10
拠を考慮しても,平成26年当時において,丁のような者が存在しておかしく
はなく,MTP対応スマートフォンを業務用PCのUSBポートに接続するこ
とにより個人情報を不正に取得される可能性があることを認識し得たと認める
のが相当である。これらの被告らの主張は,採用できない。
④について15
被告らは,被告らが一般ユーザーであることを強調するが,被告らは膨大な
量の個人情報を扱っていたから,相応の予見,検討をすると考えられ,前記認
定判断は決して被告らに不可能を強いるものとはいえない。
ウまとめ
以上によれば,被告らの主張を考慮しても,被告シンフォームは,本件漏えい20
当時,本件漏えいに用いられた方法であるMTP対応スマートフォンを業務用P
CのUSBポートに接続する方法で,本件個人情報が不正に取得されるリスクが
あることを予見し得たというべきである。
⑵本件漏えいの回避義務
ア双方の主張25
少なくとも原告甲は,書出し制御等の回避措置をとる注意義務違反があった旨
主張する。
被告らは,被告シンフォームに,上記のとおりの本件漏えいのリスクがある
ことについて予見可能性が認められる場合においても,原告甲の主張する各措置
を講ずべき義務(結果回避義務)を負うものではないと主張する。
イ基本的検討5
丁は,金銭的に窮し,故意に,個人情報を取得し,名簿業者に売却した。それ
がすぐ露見したわけではないから,不正取得は,密かに行われたといえる。この
ような行為態様からみると,犯罪抑止効果を狙った監視カメラやアラートシステ
ムの設定には効果がないと考えられる。また,USBポートを塞ぐといった物理
的な措置は,例えばUSBデバイスであるマウスやキーボードさえも接続できな10
くなりかねず,制約として過度なものとなるから,現実的措置とはいえない。
そうすると,私物スマートフォンの持込み禁止の措置又は書出し制御措置(W
PDデバイス使用制御措置)を採るべき義務の有無を検討するのが相当である。
ウ私物スマートフォンの持込み禁止
前記で認定したとおり,被告シンフォームは,本件漏えい当時,委託先の15
従業員が私物のMTP対応スマートフォンを被告シンフォーム多摩事業所の執
務室内に持ち込み,業務用PCのUSBポートに接続することによって本件個
人情報を含む大量の個人情報を取得するリスクがあることを予見しえたと認め
られる。これまで認めた事実によれば,被告シンフォーム多摩事業所の執務室
内における私物のスマートフォンの持込み制限措置を採ることは,被告シンフ20
ォームにとって,コストも手間もかからない最も容易かつ効果の大きい不正防
止対策であったと認められ,被告シンフォームが,丁が執務していた執務室内
に,同人の私物のスマートフォン(本件スマートフォン)を持ち込むことを禁
止する措置を採っていれば,本件漏えいを回避することができたといえる。
これまで認めた事実によれば,被告シンフォームは,本件漏えい当時,被告25
ベネッセから業務上の必要によって利用することを許されていた本件個人情報
を含む大量の個人情報について,業務委託先の従業員に業務用PCを利用して
アクセスすることを認める一方で,これらの従業員が業務用PCに個人所有の
スマートフォンを接続することが少なくなく,これを容認していたと推認でき
る。このような状況下では,被告シンフォームには,業務委託先の従業員がM
TP対応スマートフォンを執務室内に持ち込んで上記個人情報に接することの5
ないように,適切な措置を採るべき注意義務を負い,これを怠ったことについ
て過失があるというべきである。
上記注意義務について具体的に述べると,以下のとおりである。
すなわち,丁の担当していた業務の内容は,本件サーバにアクセスして,本
件データベースを扱って本件システムを開発するというものであり,機密性の10
高い個人情報に直接,頻繁に接する業務であり,そのような業務の内容からし
て,丁が本件システムを開発する業務と同時に,それ以外の通常の事務作業を
並行して遂行する必要はなかったし,その業務を行うにおいて,私物のスマー
トフォンを使用する必要性が高いものであったことを認めるに足りる証拠もな
い。そうすると,丁は,基本的にはサーバルーム内での作業と遜色ない内容の15
業務を,執務室から本件サーバにアクセスして遂行していたものということが
できる。これは,外部記録媒体になり得るスマートフォンの持込みを制限する
措置を採ることを検討するべき業務を執務室内で担当していたものといえ,執
務室内にスマートフォンの持込みを禁止したとしても,その業務に支障を生じ
るものであったとはいえない。なお,被告シンフォームにおいて,本件漏えい20
当時,丁のように本件システム開発作業に従事させている者との関係でも,執
務室内に私物のスマートフォンの持込みを禁止する措置を講ずべき注意義務が
あったというべきである。
そして,以上のとおり,被告シンフォームにスマートフォン持込み禁止の注
意義務を認めることは,以下のとおり,①安全対策基準には,「搬出入物」に25
ついて,「情報システム等の運用に関連する各室の搬出入物は,必要な物に限
定すること。」との記載があり,②内部不正防止ガイドラインには,個人のノ
ートパソコンやリモートデバイス等のモバイル機器及び携帯可能なUSBメモ
リ等の外部記録媒体の業務利用及び持込みを制限しなければならない旨の指摘
があることにも沿うものといえる。
a安全対策基準(上記①)について5
安全対策基準(甲13)には,「搬出入物」について,「情報システム等
の運用に関連する各室の搬出入物は,必要な物に限定すること。」と記載さ
れている。この点,被告ベネッセは,安全対策基準が改正されたのが平成9
年が最後であるところ,同年当時は未だスマートフォンが市場で流通してい
なかったから,安全対策基準が具体的にスマートフォンを念頭に置いて策定10
されたとはいえないと主張する。しかし,その時点では存在しない機器であ
っても,既に,セキュリティ保全のためには,搬出入物は必要な物に限定す
るという基準が置かれているのであるから,その趣旨に沿わない物は,将来
的に開発される機器を含めて,その持込みを排除すべきとの趣旨には合理性
が認められ,当時,スマートフォンが流通していないことをもって,安全対15
策基準の想定する対象物から除外すべきものと解することはできない。
b内部不正防止ガイドライン(上記②)について
内部不正防止ガイドライン(甲18)においては,個人のノートパソコン
やスマートデバイス等のモバイル機器及び携帯可能なUSBメモリ等の外部
記録媒体の業務利用及び持込みを制限しなければならないとの指摘があるが,20
他方で,対策のポイントとして,「持込み制限」については,「その場所で
扱う重要情報の重要度及び情報システムの設置場所等を考慮する必要があ
る」旨の,また,「重要情報格納サーバやアクセス管理サーバ等が設置され
ているサーバルームでは,個人所有のノートPCやタブレット端末,スマー
トフォン等のモバイル機器の持込み,利用を厳しく制限します。」との記載25
がされている。
この点,被告らは,内部不正防止ガイドラインは,「USBメモリ等の記
録媒体」と「スマートフォン等のモバイル機器」とを区別しており,「スマ
ートフォン等のモバイル機器」については「サーバルーム」のみを対象とし
てその持込み・利用を制限する運用を推奨していたのであって,「サーバル
ーム」以外の執務室等は対象としていなかった旨主張する。5
確かに,重要な情報が直接格納されているサーバの所在する場所では,外
部記録媒体をサーバ等の機器に直接接続することが可能であり,当該情報に
直接アクセスすることが可能となることから,そのような可能性を高い確率
で制限できる措置を採る必要があると考えられるのに対し,通常の執務室の
ように,別のサーバや機器を経由して,当該情報に接することができるにす10
ぎない場合には必ずしも,同様の厳しい制限をすることまで要求されていな
いと解することも可能ではある。しかし,上記ガイドラインの趣旨は,重要
情報に接触することができる業務に際しては,当該情報にアクセスすること
によりそれが流出することを防止するという点にあることは明らかであり,
そのために,個人所有の外部記録媒体を持ち込むことを禁じているのである15
から,スマートフォン等のモバイル機器を持込み禁止とすべきかどうかにつ
いては,重要情報に接触する業務を行う場所であるか否かをもって判断され
ると解するのが合理的である。上記ガイドラインがサーバルームを記載する
のは,重要情報に接触する機会が多いのがサーバルームであるから,それを
例示的に取り上げているものと解され,サーバルーム以外の場所を対象外と20
する趣旨ではないと解される。
そうすると,内部不正防止ガイドラインもまた,重要情報に接触する業務
を行う場所である場合には,私物のスマートフォンの執務室内への持込みを
禁止すべき注意義務があることを認めないものではないというべきである。
cデータセンターセキュリティガイドブック25
なお,データセンターセキュリティガイドブック(甲9)では,共有区画
として,オフィスとサーバルームに区別され,サーバルームについては,脅
威として情報の不正持ち出しの指摘があり,管理策として記録媒体の持込み
禁止ルールの記載があるが,他方で,オフィスについて,その脅威として不
正侵入の指摘があるのみで,管理策として画像監視システムと入退管理シス
テムの記載があるにとどまる。データセンターセキュリティガイドブックの5
記載は,場所により区分しているものと解される。しかし,オフィスであっ
ても,通常業務が行われている場所だけとは限らず,本件の業務委託のよう
に,専ら本件システム開発業務のために,サーバにアクセスして重要な情報
に接続可能な状態で委託業務を遂行している場面においては,おのずからそ
のセキュリティ対策の程度に差異が生じるのであって,丁の担っていた本件10
システム開発業務はサーバルーム内での業務と何ら遜色のないものであった
と考えられるから,上記の基準を作業場所の名称だけをもって単純に当ては
めるのでは,セキュリティ保全を図る上記基準の趣旨を損なうものになるこ
とは否めない。したがって,データセンターセキュリティガイドブックの記
載をもって,上記判断を左右することはできない。15
エ書出し制御措置及びWPDデバイス使用制御措置について
原告甲の注意義務違反の主張は選択的であるから,持ち込み禁止以外の義務違
反については検討する必要がないといえるが,被告シンフォームにおいて,他の
結果回避措置を採ることで義務違反を免れることもできる関係にあるから,書出
し制御措置を講じる義務を負っていたかについても検討する。20
前記判断したとおり,被告シンフォームにおいては,本件漏えい当時,
MTP対応スマートフォンによる個人情報の漏えいの危険性を認識し得たので
あるから,仮に,執務室内への私物スマートフォンの持込み禁止措置を行わな
いのであれば,情報漏えいを防ぐのに実効性が高く,かつ業務従事者に対して
必要以上に制約が生じない方法でもあった情報の書出し制御措置又はWPDデ25
バイス使用制御措置を採るべき義務があったと解される。
確かに,被告らが本件漏えい当時使用していた本件セキュリティソフトには,
MTP対応スマートフォン(WPDデバイス)への書出し制御機能が備わって
いなかったことが認められるが,WPD使用制御機能は被告らが使用していた
当時のバージョンの本件セキュリティソフトにも搭載されていたことが認めら
れるのであるから,上記対策を採ることに特段の支障はなかったというべきで5
ある。
そうであるのに,被告シンフォームは,本件スマートフォンを含むMTP対
応の他の種々のWPDデバイスについては,これを接続して使用することが可
能な状態にしており,それらを外部記録媒体として使うことによって,情報を
書き出すことが可能な状態にしていたことが認められ,このことを調査確認に10
よって容易に認識しえたにもかかわらず,上記対策をとることを怠っていたこ
とが認められる。
この点,被告らは,本件漏えい当時,①MTP対応スマートフォンを含むス
マートフォンに対する書出し制御措置を採るべきと明示していたガイドライン
等はなかった,②被告シンフォームや被告ベネッセの情報セキュリティ対策は15
高度なものであり,他社の情報セキュリティ対策と比較しても,十分なもので
あったと主張する。
しかし,被告らは,本件個人情報を含む大量の個人情報を扱っていた。前記
で認定したとおり,本件漏えい当時,MTP対応スマートフォンによる情報
漏えいの危険性を予見でき,これを回避するための書出し制御措置又はWPD20
デバイス使用制御措置を採ることができたものと認められるのであるから,ガ
イドライン等に記載がなかったことや同様の措置を採っている企業や法人が少
なかったとしても,前記判断が左右されるものではない。
確かに,本件セキュリティソフトには,MTP対応スマートフォンへの書出
しを制御することができる機能は備わっていなかったから,書出しを制御する25
ためには,WPDデバイスの使用自体を制御することにならざるを得ず,した
がって,デジカメやオーディオプレーヤーといったWPDデバイスは総じて使
用することができなくなることになる。しかし,被告シンフォームにおいて,
本件システム開発等の業務を遂行するにつき,丁が使用する業務用PCにボイ
スレコーダーやデジタルカメラ,さらにはスマートフォンといったWPDデバ
イスを使用することができなくすることによって,その業務遂行が行えなくな5
るなどの弊害が生じるということの主張立証はない。
現実にも,本件漏えい後の遅くとも平成26年9月17日以降,被告シンフ
ォームは,対応策として,WPDデバイスその他の書出し機能を持つ可能性の
ある全ての外部デバイスの使用を制御する措置を採り,その後もこれを解除し
たことを認めるに足りる証拠はないから,本件システム開発業務において,業10
務用PCにWPDデバイスを接続してデータを通信する必要性があったものと
は認められず,そうであれば,本件漏えい以前からこれと同じ対策を講ずるこ
とができたということができる。そして,仮に,本件システム開発業務を行う
従業員において,特定の機器(WPDデバイス)を接続する必要性が生じた場
合には,その都度,被告シンフォームの承認の下に当該機器についてだけ上記15
制御措置を解除して接続することも可能であったから,上記の単なる不便さが
生じることをもって,WPDデバイスに対する使用制御措置を採らなかったこ
とを正当化し得る理由とはならない。
なお,被告シンフォームにおいて,WPDデバイスに対する使用制御措置を
採ることが困難な事情が認められるのであれば,それに代えて,上記のとおり,20
本件スマートフォンを執務室内に持ち込むことを禁止する措置を採るべきであ
ったと認められる。
したがって,被告シンフォームは,本件漏えい当時,MTP対応スマートフ
ォンを含むWPDデバイスに対する使用制御措置(書出し制御措置を含む。)
を採っていなかったことについて注意義務違反(過失)があったといわざるを25
得ない。
⑶まとめ
以上のとおり,本件漏えい当時,被告シンフォームは,本件漏えいを予見できた
のに,MTP対応スマートフォンの持込みを禁止すべき注意義務及びこれに対する
WPDデバイス使用制御措置(書出し制御措置を含む。)を採るべき注意義務に違
反したため,丁の故意による本件漏えいを防止できなかったといえる。被告シンフ5
ォームは,原告甲に対し,不法行為による損害賠償責任を負う。
4争点(本件漏えいについての被告ベネッセの過失の有無)について
本件漏えいの予見可能性
前記3において,被告シンフォームについて記載したところと同様に,被告ベ
ネッセにおいても,本件漏えい当時,本件漏えいの方法で個人情報を不正に取得で10
きる可能性があることを予見できたと認めるのが相当である。
回避可能性及び回避(注意)義務違反について
ア委託先の選任及び監督以外に関する注意義務違反
原告甲が主張する個人情報の利用・管理に責任を持つ部門の設置義務について
は,このような組織があったとしても,当該組織が本件漏えいの発生を回避する15
ためにどのような具体的対応をすることができたのかは主張としても不明といわ
ざるを得ず,当該組織を設置しただけで,本件漏えいを回避できたとは認められ
ない。また,被告シンフォームに対するのと同様のスマートフォン持込み禁止等
に関する種々の注意義務については,本件漏えい当時,被告シンフォームが被告
ベネッセの100%子会社であったこともあるグループ会社というだけでは,被20
告シンフォームの過失を被告ベネッセの過失と同視することはできないから,こ
れらの点において被告ベネッセの過失をいう原告甲の主張は理由がない。
以下,委託先の選任及び監督に関する注意義務違反があるか否かを検討する。
イ委託先の選任及び監督に関する注意義務違反
検討25
個人情報保護法22条は,「個人情報取扱事業者は,個人データの取扱いの
全部又は一部を委託する場合は,その取扱いを委託された個人データの安全管
理が図られるよう,委耗を受けた者に対する必要かつ適切な監督を行わなけれ
ばならない。」と規定し,証拠(甲10,19)によれば,経済産業分野ガイ
ドライン(甲10)には,「必要かつ適切な監督」に関し,委託先を適切に選
定すること,委託先に個人情報保護法20条に基づく安全管理措置を遵守させ5
るために必要な契約を締結すること,委託先における委託された個人データの
取扱い状況を把握することが含まれる旨の記載があり,JISQ15001
(甲19)には,「3.4.3.4委託先の監督」において,文書審査の項目と
して「委託先選定基準を定める手順及び見直しの手順を定めていること」とし,
ること」,「必要に応じて委託先選定基準の見直しを実施していること」と
し,現地審査の着眼点として「委託先を選定する基準として,該当する業務に
ついては少なくとも自社と同等以上の個人情報保護の水準にあることを客観的
に確認できること」などの記載があると認められる。
また,これまで認めた事実によれば,被告ベネッセは,本件個人情報を含む15
大量の個人情報を顧客から提供を受けて管理し,これを個人情報提供者の了解
の下に,営業目的等に使用していたところ,本件システム開発等の業務に必要
であるとして,業務委託先である被告シンフォーム及びその再委託先等の従業
員が委託業務に必要な範囲でこれらの個人情報に接することを認めていた。被
告ベネッセが,業務委託先の従業員に上記個人情報へのアクセスを認めること20
について個人情報提供者から明示の承諾を得ていたことを認めるに足りる証拠
はない。
以上によれば,被告ベネッセには,本件漏えい当時,預かった大量の個人情
報の管理について,その時々の情報セキュリティを取り巻く状況の変化に対応
しつつ,委託先に対する適切な指導監督をすべき注意義務があったと認めるの25
が相当である。しかし,前記記載のとおり,被告ベネッセは,本件漏えい当
時,本件漏えいの方法による個人情報の漏えいの危険性を予見し得たが,弁論
の全趣旨によれば,それにもかかわらず,被告シンフォームに対し,本件セキ
ュリティソフトがMTP対応スマートフォンに対する書出し制御機能等を備え
ているか否か,被告シンフォームの業務委託先の従業員が,被告ベネッセが管
理する個人情報にアクセスすることができる業務用PCのUSBポートに個人5
の所有するスマートフォンを接続できる状況にあったかどうかについて適切に
報告を求めていなかったことが容易に推認される。これらについて適切に指導
監督を行っていれば,本件セキュリティソフトにおけるMTP対応スマートフ
ォン(WPDデバイス)に対する使用制御措置を採るように指示することがで
き,それが困難であったとしても,被告シンフォームに対し,業務委託先の従10
業員が本件個人情報を含む大量の個人情報に接することができる執務室内に,
個人のスマートフォンを持ち込むことを禁止するよう指示することができたと
いうべきで,このような指導監督を行うことについて,被告ベネッセに過度の
負担が生じるということはなかったと認められる。
そうすると,被告ベネッセには,本件漏えい当時,被告シンフォームにおけ15
る被告ベネッセの有する個人情報の管理につき,本件セキュリティソフトのW
PDデバイスの使用制御措置の設定変更,執務室内への個人スマートフォンの
持込み禁止について適切に監督をすべき注意義務があったというべきであり,
それにもかかわらず,被告ベネッセは,本件漏えい当時,これらについて指示
することなく放置していた結果,本件漏えいを回避することができなかったの20
であるから,上記注意義務に違反したといわざるを得ない。なお,経済産業大
臣作成の平成26年9月26日付け「個人情報の保護に関する法律第34条第
1項の規定に基づく勧告について」と題する書面においても,被告シンフォー
ムにおいて,本件漏えいの対象となったデータベースが,個人情報のダウンロ
ードを監視する情報システムの対象として設定されていなかったところ,被告25
ベネッセは,被告シンフォームに対して行う定期的な監査において,当該情報
システムの対象範囲を監査の対象としていなかった等,委託先に対する必要か
つ適切な監視を怠っていたことが同法22条に反すると指摘されている(甲2
3の2)。
被告ベネッセの主張の検討
被告ベネッセは,本件漏えい当時,経済産業分野ガイドラインや情報セキュ5
リティ対策の一般的な水準からしても,明らかに高度な水準で被告シンフォー
ムに対する委託先監督を実施していたなどと主張する。
しかし,被告ベネッセは,大量の個人情報の運用管理を被告シンフォームに
委託して,被告ベネッセと直接の契約関係のない被告シンフォームの業務委託
先の従業員が本件個人情報を含む大量の個人情報に接することを容認していた10
にもかかわらず,その時々の情報セキュリティを取り巻く状況の変化に対応し
て,被告シンフォームに対し,前記認定説示の監督をしなかったのであるから,
被告ベネッセの上記主張は理由がない。このことは,被告ベネッセがプライバ
シーマークを取得していたことを考慮しても同様である。
むしろ,被告ベネッセは,本件漏えい当時,MTP対応スマートフォンによ15
る情報漏えいの危険性を予見でき,被告シンフォームに対する監督によって本
件漏えいを回避することができたと認められるのであるから,ガイドライン等
に具体的に記載がなかったことや同様の措置を採っている会社が少なかったと
しても,前記判断が左右されるものではない。
⑶まとめ20
以上のとおり,被告ベネッセは,個人情報提供者から提供を受けた個人情報を適
切に管理すべき立場にあり,本件漏えいのリスクを予見できたのに,当該個人情報
の利用を認めた被告シンフォームに対する適切な監督義務に違反した結果,丁によ
る本件漏えいを防止できなかったと認められるから,原告甲に対し,これによって
生じた損害について不法行為責任(民法709条)を負うものと認められる。25
5被告らに関する損害賠償責任の成否のまとめ
⑴原告甲関係
被告ベネッセと被告シンフォームの不法行為(及び丁の本件漏えいによる不法行
為)は,被告ベネッセが保有し,その管理を被告シンフォームに委託して管理させ
ていた本件個人情報の漏えいに関するものであり,客親的に関連することは明らか
であるから,共同不法行為に当たると認められる(民法719条1項前段)。5
また,共同不法行為と使用者責任とで損害が異なるともいえない。
そうである以上,被告シンフォームは,丁の使用者との間の委託関係の詳細を明
らかにしないが,原告甲が選択的に主張する被告ベネッセの被告シンフォームに対
する使用者責任(争点イ)並びに丁の本件漏えい行為を不法行為としてそれに対
する被告シンフォーム及び被告ベネッセそれぞれの使用者責任(争点アイ)を問10
う主張については,いずれも判断する必要がない。
⑵原告乙及び原告丙関係
原告乙及び原告丙については,原告甲の主張するような具体的な注意義務違反等
についての主張がされていない。前記第2の3冒頭のとおり,原告らのうち,原告
乙は,平成28年1月20日の本件第6回弁論準備手続期日に出頭した後は,本件15
の口頭弁論期日にも弁論準備手続期日にも出頭しておらず,原告乙及び原告丙の主
張は,それまでのものに限られる。原告乙及び原告丙は,被告らの不法行為責任は
もちろん,原告甲について検討しなかった使用者責任についても,抽象的な主張を
するにとどまる。原告乙及び原告丙に対する関係では,損害について判断するまで
もなく,被告らの責任を認めることはできない。20
6争点(原告甲に生じた損害の有無及び数額)について
⑴精神的損害
ア判断枠組み
前記2⑴で判断したとおり,本件個人情報は,原告甲のプライバシーに関する
情報として法的保護の対象となるから,上記認定事実によれば,本件漏えいによ25
って,原告甲はそのプライバシーを違法に侵害されたと認められる。
そして,個人情報が外部に漏えいしてプライバシーが侵害された場合に,当該
被漏えい者が精神的苦痛を被ったか否か及び被った精神的損害を慰謝するに相当
な額を検討するに当たっては,流出した個人情報の内容,流出した範囲,実害の
有無,個人情報を管理していた者による対応措置の内容等,本件において顕れた
事情を総合的に考慮して判断すべきである。5
イ個人情報の内容
本件で流出した個人情報の内容は,前記認定のとおり,原告甲の漢字氏名,フ
リガナ,住所,電話番号,原告丙の漢字氏名,フリガナ,生年月日,性別である。
原告丙の漢字氏名,フリガナ,生年月日,性別は,原告甲の個人情報そのもので
はないとしても,原告甲の家族関係を表す情報といえることから,本件個人情報10
は,いずれも原告甲の個人情報であると認められる(前記2⑴)。
次に,これらの情報のうち,原告甲の漢字氏名,フリガナ,住所及び電話番号
は,いずれも原告甲の個人識別情報と連絡先であり,自らが生活する領域におい
ては,必要に応じて第三者に開示される性質の情報であって,こうした情報だけ
では,個人の職業等の社会的地位,資産等の経済的な情報や思想信条等の情報と15
一体となっている情報に比べると,一般的に「自己が欲しない他者にはみだりに
開示されたくない」私的領域の情報としての性質は低いといえる。もっとも,こ
うした情報も,今日のように,情報ネットワークが多様化,高度化し,容易に入
手可能なさまざまな情報を組み合わせることによって趣味嗜好や思想等まで把握
されかねない危険性のあることが危慎されていることにも鑑みると,本件個人情20
報は,個人特定の基本となるベース情報として機能し,それを基に情報集積がさ
れかねないものとしては重要な価値を持つものと評価すべきである。また,子で
ある原告丙の漢字氏名,フリガナ,生年月日及び性別については,これらも日常
的に開示されることが多いものであるとはいえ,家族関係が一定程度明らかにな
る情報(原告甲の原告丙との続柄が開示されたに等しいことは前記認定のとおり25
である。)や教育に関心が高いという属性が含まれており,前者に比してより私
的領域性の高い情報ということができる。
ウ流出した範囲,実害の有無等
本件個人情報は,情報流出元が被告ベネッセという教育関係の会社であったこ
とや原告丙の年齢等から今後の学業生活等に関する支出が見込まれる顧客情報と
して,それらに関係する業者からは価値のある情報として有望視されることは避5
けられないものといえる。原告甲が,それら業者等からの広告,販売活動を受け,
それに煩わしさや不快を感じる機会が増大することが予想される。なお,本件に
おいては,原告甲が転居し(弁論の全趣旨),住所及び電話番号を変更したため,
そのような機会は減少したと推認されるが,それは原告甲の行動の結果であり,
そのような行動を起こす前に原告甲が被った精神的苦痛は,そのような行動を起10
こさなかった者の場合と変わるものではない。
もっとも,原告甲においても,現時点においては,いわゆる「ハレノヒ事件」
のような被害に遭うかもしれないと主張するだけで(原告ら準備書面),現実
にそのような被害に遭ったという主張はないし,ダイレクトメールが増大するな
どして,原告甲に何らかの実害が生じたという主張,立証もない。15
しかし,その流出範囲については,丁が相当期間にわたって本件漏えいを行っ
ていたこと(認定事実⑵ウ)などから,被告ベネッセにおいても確認できない状
況にあることが容易に推認され(甲27,乙17),流出した情報の全てを回収
して抹消させることは不可能な状況となっているといわざるを得ない。被告ベネ
ッセに個人情報を開示した顧客の一人である原告甲にとって,原告甲の承諾もな20
いままに丁によって故意かつ営利目的を持って本件個人情報が流出したこと自体
が精神的苦痛を生じさせるものである上,その流出した先の外縁が不明であるこ
とは原告甲の不安感を増幅させるものであって,このような事態は,一般人の感
受性を基準にしても,その私生活上の平穏を害する態様の(すなわち社会生活上
の受忍限度を超える違法な)侵害行為であるというべきである。25
この点,被告ベネッセは,本件漏えいでは,本件個人情報が流出しただけであ
って,抽象的な不安感にとどまるから,損害賠償請求の対象となり得る損害に該
当しないなどと主張する。しかし,本件個人情報を利用する他人の範囲を原告甲
が自らコントロールできない事態が生じていること自体が具体的な損害であり,
原告甲において予め本件個人情報が名簿業者に転々流通することを許容もしてい
ないのであるから,上記のような現状にあること自体をもって損害と認められる5
べきである。
エ被告ら側の対応
他方,証拠(甲8,31,39)及び弁論の全趣旨によれば,被告らの持株会
社であるベネッセホールディングスが,本件漏えいの発覚後直ちに対応を開始し,
情報漏えいの被害拡大を防止する手段を講じ,監督官庁に対する報告及び指示に10
基づく調査報告を行い,原告甲を含む情報が漏えいしたと思われる顧客に対し,
お詫びの文書を送付するとともに,顧客の選択に応じて500円相当の金券を配
布するなどしたことが認められる。
オ慰謝料額の判断
そうすると,原告甲のプライバシー権の侵害態様,侵害された本件個人情報の15
内容及び性質,流出した範囲,実害の有無,個人情報を管理していた者による対
応措置の内容のほか,本件個人情報が原告甲の子である原告丙の個人情報として
被告ベネッセに対して提供されたものであることなど,本件に顕れた一切の事情
を考慮すれば,原告甲の被った精神的損害を慰謝するには1000円を支払うべ
きものと認めるのが相当である。20
⑵財産的損害
原告甲は,平成26年7月12日付けで被告ベネッセ宛に漏えいした項目を確認
するための内容証明郵便を送付し,その送料として1260円を要し,また,被告
ベネッセからの「お詫び」として500円相当の金券を用意する旨の案内に対する
異議申立てを簡易書留で送付し,その送料として430円を要したことから,これ25
らの合計1690円も原告甲の損害として認められるべき旨主張する。
前記認定説示に加え,証拠(甲3,4,8)によれば,原告甲が主張するとおり
の経費が支出されたことが認められる。
そして,このような支出は,本件漏えいがなければ発生しなかったといえるほか,
被告らにとって予想可能な範囲であるといえる。
そうすると,上記1690円の賠償義務も認めるのが相当である。5
⑶まとめ
原告甲の人格権の侵害により生じた損害は,1000円+1690円=2690
円となる。
第4結論
以上によれば,原告甲の請求は,2690円及び対応する遅延損害金の支払を求め10
る限度で理由があるから,その限度で認容し,その余の原告甲の請求並びに原告乙及
び原告丙の各請求はいずれも理由がないから棄却するのが相当である。
京都地方裁判所第2民事部
裁判長裁判官久留島群一
裁判官鳥飼晃嗣20
裁判官浦恩城泰史

戻る



採用情報


弁護士 求人 採用
弁護士募集(経験者 司法修習生)
激動の時代に
今後の弁護士業界はどうなっていくのでしょうか。 もはや、東京では弁護士が過剰であり、すでに仕事がない弁護士が多数います。
ベテランで優秀な弁護士も、営業が苦手な先生は食べていけない、そういう時代が既に到来しています。
「コツコツ真面目に仕事をすれば、お客が来る。」といった考え方は残念ながら通用しません。
仕事がない弁護士は無力です。
弁護士は仕事がなければ経験もできず、能力も発揮できないからです。
ではどうしたらよいのでしょうか。
答えは、弁護士業もサービス業であるという原点に立ち返ることです。
我々は、クライアントの信頼に応えることが最重要と考え、そのために努力していきたいと思います。 弁護士数の増加、市民のニーズの多様化に応えるべく、従来の法律事務所と違ったアプローチを模索しております。
今まで培ったノウハウを共有し、さらなる発展をともに目指したいと思います。
興味がおありの弁護士の方、司法修習生の方、お気軽にご連絡下さい。 事務所を見学頂き、ゆっくりお話ししましょう。

応募資格
司法修習生
すでに経験を有する弁護士
なお、地方での勤務を希望する先生も歓迎します。
また、勤務弁護士ではなく、経費共同も可能です。

学歴、年齢、性別、成績等で評価はしません。
従いまして、司法試験での成績、司法研修所での成績等の書類は不要です。

詳細は、面談の上、決定させてください。

独立支援
独立を考えている弁護士を支援します。
条件は以下のとおりです。
お気軽にお問い合わせ下さい。
◎1年目の経費無料(場所代、コピー代、ファックス代等)
◎秘書等の支援可能
◎事務所の名称は自由に選択可能
◎業務に関する質問等可能
◎事務所事件の共同受任可

応募方法
メールまたはお電話でご連絡ください。
残り応募人数(2019年5月1日現在)
採用は2名
独立支援は3名

連絡先
〒108-0023 東京都港区芝浦4-16-23アクアシティ芝浦9階
ITJ法律事務所 採用担当宛
email:[email protected]

71期修習生 72期修習生 求人
修習生の事務所訪問歓迎しております。

ITJではアルバイトを募集しております。
職種 事務職
時給 当社規定による
勤務地 〒108-0023 東京都港区芝浦4-16-23アクアシティ芝浦9階
その他 明るく楽しい職場です。
シフトは週40時間以上
ロースクール生歓迎
経験不問です。

応募方法
写真付きの履歴書を以下の住所までお送り下さい。
履歴書の返送はいたしませんのであしからずご了承下さい。
〒108-0023 東京都港区芝浦4-16-23アクアシティ芝浦9階
ITJ法律事務所
[email protected]
採用担当宛