弁護士法人ITJ法律事務所

裁判例


戻る

主文
1一審原告らの控訴に基づき,原判決を次のとおり変更する。
一審被告らは,別紙控訴人目録の各「判断」欄に○と記載した
一審原告らに対し,連帯して,それぞれ3300円及びこれらに
対する平成26年7月7日から各支払済みまで年5分の割合によ
る金員を支払え。
一審原告らのその余の請求をいずれも棄却する。
2一審被告シンフォームの控訴を棄却する。
3訴訟費用は,第1,2審を通じて,別紙控訴人目録の各「判断」
欄に〇と記載した一審原告らと一審被告らとの間においては,これ
を20分し,その19を同一審原告らの負担とし,その余を一審被
告らの負担とし,同目録のその余の一審原告らと一審被告らとの間
においては,全部同一審原告らの負担とする。
4この判決は,第1項に限り,仮に執行することができる。
事実及び理由
第1控訴の趣旨
1一審原告ら
原判決を次のとおり変更する。
一審被告らは,別紙控訴人目録記載の一審原告らに対し,連帯して,それ
ぞれ同目録の「請求額(円)」欄記載の金員及びこれに対する平成26年7
月7日から各支払済みまで年5分の割合による金員を支払え。
2一審被告シンフォーム
原判決中,一審被告シンフォームの敗訴部分を取り消す。
上記敗訴部分にかかる一審原告らの一審被告シンフォームに対する請求を
いずれも棄却する。
第2事案の概要
1本件は,一審原告らが,通信教育事業等を営む一審被告ベネッセに個人情報
を提供していたところ,一審被告ベネッセからその管理を委託されていた一審
被告シンフォームが更に外部業者に再委託をし,そこから更に業務委託を受け
た先の会社の従業員において,私物スマートフォンを用いて当該個人情報を不
正に取得し,それらを第三者に売却して外部に漏えいさせたことにつき,①一
審被告らには一審原告らの個人情報の管理に係る注意義務違反があった,②一
審被告シンフォームは前記従業員の使用者であり,前記従業員の行為につき使
用者責任を負う,③一審被告ベネッセは一審被告シンフォームの使用者であり,
一審被告シンフォームの注意義務違反につき使用者責任を負うなどと主張して,
一審被告らに対し,プライバシーの侵害による共同不法行為又は使用者責任等
に基づき,連帯して,一審原告らが被った精神的苦痛に対する慰謝料等の損害
賠償金(上記漏えいの当時成年であった一審原告らにつき各5万円,未成年で
あった一審原告らにつき各10万円)及びこれに対する不法行為の後の日であ
る平成26年7月7日から支払済みまで民法所定の年5分の割合による遅延損
害金の支払を求める事案である。
2原審は,①上記漏えいが,デジタルカメラの画像転送プロコトルをベースに,
音楽・動画ファイルなどの転送を可能にした規格であるMTP(メディア・ト
ランスファー・プロトコル〔MediaTransferProtco
l〕の略)対応の私物スマートフォンを用いたものであり,一審被告らにおい
て,上記漏えいの当時,そのような方法による情報漏えいに関する予見可能性
はなかったとし,一審原告らの個人情報の管理に係る注意義務違反は認められ
ないとした上で,②上記漏えいの当時,一審被告シンフォームと上記従業員と
の間には実質的指揮監督関係があり,一審被告シンフォームには上記漏えいに
ついて使用者責任が成立すると認め,③一審被告ベネッセの使用者責任は否定
して,一審被告シンフォームに対して,別紙控訴人目録の各「判断」欄に○と
記載した一審原告らに対し,それぞれ3300円及びこれらに対する不法行為
の後の日である平成26年7月7日から各支払済みまで民法所定の年5分の割
合による遅延損害金の支払を求める限度で一審原告らの請求を認容した。
これに対して一審原告ら及び一審被告シンフォームが控訴をし,それぞれ前
記第1の1及び2のとおりの判決を求めた。
なお,一審原告らは,当審において,一審被告らに対する請求元金の額を,
上記漏えいの当時成年であった一審原告らにつき各2万円,未成年であった一
審原告らにつき各4万円に減縮した。また,別紙控訴人目録の控訴人番号36
4の控訴人については,原審において遅延損害金の請求時期について平成26
年12月9日(訴状送達の日の翌日)としていたが,当審において同年7月7
日と改めた。
3前提事実,争点及びこれに関する当事者の主張は,以下のとおり原判決を補
正し,次項のとおり当審における一審原告らの補充主張を,次々項のとおり当
審における一審被告らの補充主張を加えるほかは,原判決「事実及び理由」欄
の「第2事案の概要」の1項及び2項に記載のとおりであるから,これを引
用する。ただし,「原告」を「一審原告」に,「被告ベネッセ」を「一審被告
ベネッセ」,「被告シンフォーム」を「一審被告シンフォーム」にそれぞれ読
み替える(以下同じ。)。
一審被告ベネッセ」を
一審被告シンフォーム」
原判決4頁3行目の末尾の次に,以下のとおり加える。
「一審被告らは,いずれも株式会社ベネッセホールディングス(以下「ベ
ネッセホールディングス」という。)の子会社である。
一審被告ベネッセから一審被告シンフォームへの業務委託」
り,同行目の「被告ベネッセは」の次に
「従前,主に,顧客管理のシステム及び販売管理のシステムに大別される複
数のデータベースに顧客情報を集積して事業活動に利用していたが,事業の
拡大に伴い,顧客情報が集積されているデータベースが多くなったことから,
そのリスク管理のため,」を加える。
原判決4頁9行目の末尾の次に,以下のとおり加える。
「一審被告シンフォームにおいては,本件システムに関する開発,運用及
び保守の業務は,その顧客分析課が主な所管部署とされた。そして,一審
被告シンフォームは,毎年,一審被告シンフォームの業務に従事する者
(一審被告シンフォームの従業員であるかどうかにかかわらない。)の全
員を対象として情報セキュリティ研修を実施し,セキュリティソフトによ
る外部記録媒体への書き出し制御の実施等の告知を行うなどして,個人情
報や機密情報の漏えい防止のための注意喚起等を行った上,その研修内容
を踏まえたテストを実施していた。
一審原告らの一審被告ベネッセに対する個人情報の提供
一審原告らは,通信教育教材の取引,ベビー用品の通信販売の利用,
情報サイトへの登録及びアンケートへの回答等をする際,一審被告ベネ
ッセに対し,自ら及び未成年者の一審原告らの氏名及び住所等の個人情
報(以下「本件個人情報」という。ただし,その具体的内容については,
後記のとおり,当事者間に一部争いがある。)を提供し,本件個人情報
は,本件データベースに保存されていた。
本件システム及び本件データベースについて
ア本件システムにおいては,顧客管理のシステムや販売管理のシステ
ム等の本件システムと連携するシステム(以下「連携システム」とい
う。)に集積された顧客情報が,まず本件データベース内の「インポ
ート層」と呼ばれるデータ領域に保存され,次いで「インポート層」
内のデータの形式を揃えるなどの加工がされたデータが「DWH層」
と呼ばれるデータ領域に保存され,さらに当該データの個人を特定す
る情報を捨象して分析ソフトで分析しやすい形式にするなどの加工を
したデータ(個人情報を有しないデータ)が「マート層」と呼ばれる
データ領域に保存される仕組みとなっていた。そして,本件システム
の運用開始後は,一審被告ベネッセの事業部門は,分析ソフトを使用
し,個人を特定する情報が捨象された「マート層」に保存されたデー
タを活用することになっていた。
イ本件システムの開発作業においては,「インポート層」,「DWH
層」及び「マート層」の各層ごとに,顧客情報が保存されていたデー
タ領域である「本番環境」と運用開始前の各種テストを実施するため
に使用されるデータ領域である「開発環境」が存在したところ,「開
発環境」と「本番環境」はそれぞれ物理的に切り離されていた。そし
て,「開発環境」においては,個人情報を含んだデータの保存はされ
ず,ダミーデータやマスキングデータが用いられることになっていた。
また,ネットワークが業務単位ごとに分離され,業務上必要なサーバ
へのみアクセスが可能なようにアクセス制御が行われていた。
ウ本件システムは,更にその領域ごとにアカウント管理がされていた。
すなわち,本件データベースの「インポート層」,「DWH層」及び
「マート層」の各層における「本番環境」及び「開発環境」のいずれ
の環境にアクセスする際にも,それぞれ別個に設定されたアカウント
が必要であった(以下,各環境での作業も含め,本件システム開発等の
業務に要するアカウントを総称して,「本件システムのアカウント」
という。)。
本件システムのアカウントには,個々の業務従事者を対象に発番され
るアカウント(以下「個人用アカウント」という。)と,本件システ
ムの開発,運用及び保守等に関連する業務を対象に発番され,当該業
務に従事する複数の業務従事者が共同で使用するアカウント(以下
「業務用アカウント」という。)があり,業務用アカウントには,本
件システムに直接アクセスする際に使用されるもののほか,プログラ
ム構築等の効率化のためのバッチサーバ(バッチ処理〔一定量のデー
タを集め,一括処理する方法〕を行うサーバ)にアクセスする際に使
用されるものも存在した。
一審被告らにおいて,本件システム及び連携システムの各データベー
スに集積されている顧客情報にアクセスするには,本件システムのア
カウント使用の承認が必要であり,個人用アカウント及び業務用アカ
ウントの新規発番は,いずれも,当該システムの担当部門の上長であ
る課長が,発番の必要性等を判断し,その上位の部長の承認を受けた
上,同部門から発番を担当するインフラ部門に対して申請を行い,発
番を受けるという流れで行われていた。
本件システムのアカウントの提供を受けていたのは,一審被告シンフ
ォームにおいては,本件システムに関する開発,運用及び保守等の業
務並びに連携システムに関する業務の担当者であり,また一審被告ベ
ネッセにおいては,対応窓口となっていたIT戦略部等の本件システ
ムの担当者等であった。
本件システムの開発等の業務担当者は,本件データベースにアクセス
するために,会社から貸与された業務用パソコンから直接本件データ
ベースの顧客情報等のデータにアクセスする場合と,プログラム構築
等の効率化のためのバッチサーバを経由してアクセスする場合があっ
たところ,業務用パソコンから,本件データベース内の顧客情報に直
接アクセスする場合には訴外オラクル社のソフトウェアが,バッチサ
ーバを経由してアクセスする場合はテラターム(インターネット接続
が可能であれば,無償でダウンロード及びインストールが可能なフリ
ーソフト)というソフトウェアが,それぞれ必要であった。(甲2,
19の3)
エ前記顧客情報は,全てサーバコンピュータに記録して保管されており,
本件システムの構築作業中の平成25年1月頃から,その一部機能の
試行を開始するため,顧客情報が連携システムから本件データベース
に入り始めた。当初,本件システムは平成26年4月頃に本格的な運
用を開始することが予定されていたが,同時期になってもシステムの
不具合が続発していたため,後記の本件漏えいが発覚した同年6月頃
にも本格的運用には至っていなかった。(甲63,66,73)
a(以下「a」という。)の本件業務への従事」
原判決4頁17行目の末尾の次に,以下のとおり加える。
「一審被告シンフォームは,本件システムの運用及び保守管理に関して外部
業者に再委託をしており,aは,そのような再委託先から更に順次委託を
受けて一審被告シンフォームからみて3次委託先となる会社(以下「本件
委託先会社」という。)の従業員であった。aは,システムエンジニアと
しての経験を有していた。
aによる本件個人情報の漏えい」
括弧内を削る。
原判決4頁24行目の「という。)。」の次に,「なお,本件当時,一審
被告シンフォームの業務においては,従来型の携帯電話やスマートフォンが
日常的に使用されており,これらが,充電のために業務用のパソコンにUS
Bケーブルで接続されていた。」を加える。
原判決5頁5行目の末尾の次に,改行して次のとおり加える。
「本件漏えいの事実が発覚したことを受けて,警視庁生活経済課に対する取
材に基づき,aが不正に取得した個人情報は,教育関連会社等の約500社
に流出したという報道がされた。(甲49,50)」
原判決5頁6行目の冒頭から20行目の末尾までを次のとおり改める。
「本件漏えい当時に一審被告シンフォームが採用していた安全管理措置に
ついて
アインターネットとの接点
一審被告シンフォームは,データセンターに設置されているサーバと
一審被告シンフォームの執務室内のパソコンとの間を専用回線で繋いで
おり,インターネット回線を使用していなかった。また,一審被告シン
フォームは,インターネットと接する部分について,以下のとおり対策
を実施していた。
ファイアウォールを導入し,必要最小限の通信のみ許可(申請ベ
ースで変更)する通信制御を実施していた。
不正アクセスについて,外部業者に委託してリアルタイムで監視
を行い,攻撃を検知し,かつ,システムに影響が出ると判断した場合
は,直ちにインシデント対応を実施することとしていた。
リモート接続について,申請制により最小限の人にのみ許可し,
かつ,重要なシステムにはアクセスできないという制御を実施してい
た。
インターネット接続が可能なURLについて,業務で必要なサイ
トのみ許可していた。
社外への電子メールを全て保存していた。
イ物理的境界
個人情報が保管されているサーバは,隔離されたデータセンターに設
置され,同室への入退室に対して管理(入館の事前申請・入館制限,
私物持込み不可,機器持ち出し不可及び監視カメラ設置等)が行われ
ており,また,業務を行う執務室についても入退室管理(申請制によ
る入退室制限,入退室記録の保存及び入退室に係る箇所への監視カメ
ラの設置等)が行われていた。
ウ内部ネットワーク
本番環境と開発環境の分離がされていたほか,ネットワークが業務単
位に分離され,業務上必要なサーバへのみアクセスが可能なようにア
クセス制御が行われるとともに,拠点からは管理に必要なプロトコル
のみ許可し,私物パソコンの社内ネットワーク接続が禁止され,業務
用パソコンについてもセキュリティ目的でアクセス及びダウンロード
について全てネットワーク通信記録を取得することによる監視が行わ
れていた。
エサーバ
本件データベースのサーバに関しては,アカウント管理が行われ,
「踏み台サーバ」としてバッチサーバを経由させた上でサーバにログ
インすることとし,これらについて個人が特定できる形でサーバへの
アクセスログの記録が保管されていた。
また,一審被告シンフォームにおける連携システムのデータベースサ
ーバにつき,一審被告シンフォームの業務を行う担当者が使用するク
ライアントパソコンから個人情報が記録保管されているサーバへのア
クセスは,自動的にアクセスログ及び通信ログが記録されるように設
定されていた。
さらに,クライアントパソコンと連携システムのデータベースサーバ
の間の通信量が一定の閾値を超えた場合,連携システムのデータベー
スの管理者である一審被告シンフォームの各担当部門の部長に対し
て,メールでアラートが送信されるようになっていた。しかし,クラ
イアントパソコンと本件データベースとの通信については,aによる
本件漏えいの当時,上記アラートシステムの対象として設定する措置
が講じられていなかった。(乙1及び弁論の全趣旨)
業務用パソコンに対するセキュリティ対策について
ア一審被告シンフォームにおいては,管理者業務で使用するパソコン
とそれ以外の業務で使用する業務用パソコンとを分け,担当者に対し
て専用のパソコンとして貸与し,それぞれ利用場所を制限していた。
また,業務用パソコンについて設定されていたセキュリティ対策とし
ては,①ウイルス対策ソフトの搭載,②URLフィルタリングツール
(業務に必要なURLのみ接続を許可する。)の搭載,③メールフィ
ルタ(個人情報を記載したメールと判断されたものについての送信を
差し止める。)の設定,④その他標準として選定したソフトウェアの
搭載と個人による標準仕様の変更の制限,⑤パスワードの設定等があ
った。
イ一審被告らは,本件当時,情報漏えいを防止するため,業務用パソ
コンに株式会社日立ソリューションズ(旧商号・日立ソフトウェアエ
ンジニアリング株式会社)の製品であるセキュリティソフトウェア
「秘文Ver.9.0」(以下「本件セキュリティソフト」とい
う。)を搭載させていた。本件セキュリティソフトは,本件当時,全
てのデバイスについて,パソコンからデバイスへのデータの書き出し
及びデバイスからパソコンへのデータの読込みを制御するという接続
制御の機能を有していたが,一審被告シンフォームにおいては,本件
セキュリティソフトにMTPによる通信について接続を制御する設定
を施していなかった。(甲1,19の1ないし3,69ないし71,
乙1)
データについて
一審被告シンフォームは,一定の重要なサーバ上のデータについては
暗号化し,また,SQL(操作)ログの記録を全て取得して保管してい
た。(乙1及び弁論の全趣旨)
MTPとMSCについて」
原判決6頁11行目の末尾の次に,改行して次のとおり加える。
本件漏えい後の一審被告らの対応について
ア一審被告ベネッセは,平成26年6月下旬,顧客から,一審被告ベ
ネッセだけに登録した情報で他者からダイレクトメールが届いている
などの問合せが急増したことから,自社の顧客の個人情報が社外に漏
えいしている可能性を認識し,同月27日に調査を開始して,同月2
8日,原因究明の調査及び顧客対応等のため緊急対策本部を設置する
とともに,同月30日,経済産業省に状況を報告して対応を相談し,
警察にも対応を相談するなどした。
一審被告ベネッセは,同年7月7日,一審被告シンフォームにおいて
大量の顧客情報が漏えいした形跡があることを把握し,警察に捜査を
依頼した。
イ一審被告ベネッセは,同月8日,その保有する顧客情報を用いて作成
された名簿に基づき勧誘活動を行っている企業及び名簿を取り扱って
いる名簿業者に対して名簿の利用及び販売の中止を求める内容証明郵
便を送付し,同月9日,本件漏えいの事実を公表した。
ウ一審被告ベネッセは,同月10日,経済産業大臣から,個人情報保護
法32条に基づく報告を命じられ,また,同月11日以降,お詫びと
本件漏えいの対策状況を新聞広告によって公表した。
一審被告ベネッセは,同月14日以降,漏えいの確認された顧客らに
お詫びの文書を送付し,その後,漏えいの確認された顧客らの選択に
従って,当該顧客らに対してお詫びの品として500円分の金券(電
子マネーギフト又は全国共通図書カード)を送付する方法又は漏えい
1件当たり500円を「財団法人ベネッセこども基金」(一審被告ベ
ネッセが本件漏えいを受けて子らへの支援等を目的として設立した基
金)に寄付する方法による補償を実施した。
エ一審被告らの持株会社であるベネッセホールディングスのb会長兼
社長(当時)は,同月15日,その諮問機関として,本件漏えいに関
する事実及び原因等の調査並びに再発防止策の提言を目的として,個
人情報漏えい事故調査委員会(以下「本件調査委員会」という。)を
設置した。
本件調査委員会は,事故調査報告書を取りまとめ,同年9月12日に
ベネッセホールディングスに交付し,一審被告ベネッセは,同月17
日,最終報告書を経済産業省に報告するとともに,同月25日,本件
調査委員会による調査報告の概要を公表した。
上記事故調査報告書においては,「第2章調査結果」の「Ⅲ不正
行為等の原因(不正行為を防げなかったシステムの問題点)」におい
て,「1.不正行為等の原因となった情報処理システム」について,
①アラートシステム,②クライアントパソコン上のデータのスマート
フォンへの書き出し制御設定,③アクセス権限の管理,④データベー
ス内の情報管理が指摘された。
(以上につき,甲1,14の2及び3)
経済産業大臣の勧告について
経済産業大臣は,平成26年9月26日,一審被告ベネッセに対し,
一審被告ベネッセは,①その保有する個人情報の利用・管理に責任を持
つ部門を設定せず,その安全管理のため必要かつ適切な措置を講ずるこ
とを怠っており,個人情報の保護に関する法律(平成27年法律第65
号による改正前のもの。以下「個人情報保護法」という。)20条に違
反し,②顧客情報のシステム開発・運用に関する委託先である一審被告
シンフォームに対して行う定期的な監査において,アラートシステムの
対象範囲を監査の対象としていなかったなど,委託先に対する必要かつ
適切な監督を怠っており,個人情報保護法22条に違反するとして,個
人情報保護法34条1項に基づき,安全管理措置及び委託先に対する監
督の徹底を勧告した。(甲13の1及び2)
aの刑事事件について
aは,平成26年7月17日,警視庁によって不正競争防止法違反の被
疑事実に基づき逮捕され,その後,本件漏えいに係る行為の一部について,
一審被告ベネッセの営業秘密である顧客情報の不正領得及びその開示行為
につき不正競争防止法違反の罪で起訴された。東京地方裁判所立川支部は,
平成28年3月29日,aについて不正競争防止法違反の犯罪の成立を認
め,aは顧客情報にアクセスする権限を与えられた者としての地位や専門
的知識を悪用し,極めて大量の顧客情報を領得,開示した悪質な犯行を行
ったものであり,その犯行の結果,一審被告ベネッセ及び関連会社の事業
活動や経営状態に甚大な悪影響を与える事態となったなどとして,aを懲
役3年6月及び罰金300万円に処するとの有罪判決を宣告した。aはこ
れを不服として控訴し,控訴審である東京高等裁判所は,平成29年3月
21日,aの量刑不当の主張を容れ,aが当該犯行に及んだ背景事情とし
て,一審被告らにおける顧客情報の管理に不備があるとともに,被害が拡
大したことに一審被告らの対応の不備があり,これらの被害者側の落ち度
を考慮すべきであるのに第1審判決の量刑は重きに失するとして,第1審
判決を破棄し,aを懲役2年6月及び罰金300万円に処するとの有罪判
決(実刑)を宣告した。(甲3,10,52)
本件個人情報の漏えいの詳細」

4当審における一審原告らの補充主張
本件個人情報の漏えいにつき一審被告らには予見可能性があったことにつ
いて
以下のとおり,本件個人情報の漏えいにつき一審被告らの予見可能性を認
めなかった原審の認定判断は不当である。
すなわち,一審被告らは,本件当時,スマートフォン等の外部機器による
情報の不正取得を予見していたからこそ,そのような外部機器に対するセキ
ュリティ対策を行っていたものである。そして,USBメモリ等のUSB機
器とパソコンとの間の通信方法として知られるMSC(マスストレージクラ
ス〔MassStorageClass〕の略)とMTPによる通信方
法とが異なる規格であることは事実であるが,一般的なセキュリティソフト
ウェアにおいては,このような通信方法に着目した設定がされるわけではな
く,制御の対象となるデバイスの種別に応じて設定方法が提案されている。
このことは,本件当時,一審被告らに使用されていた本件セキュリティソフ
ト(秘文)においても同様であり,MTPによる通信方法に対応したスマー
トフォンを含め,MTPデバイスについては,ウィンドウズ・ポータブル・
デバイス(以下「WPD」という。)として書き出し制御の対象とする設定
が可能であった。
本件当時,一審被告らの導入していた本件セキュリティソフトを含め,市
販されていた多くのセキュリティソフトウェアがWPDに対する制御機能を
有しており,WPDが情報漏えいの危険性のある端末であることについては
具体的に認識されていたといえる。実際に,一審被告シンフォームの担当者
は,aの刑事事件において,捜査機関に対しWPDについても接続制御機能
が有効になっていると考えていた旨述べていたのであり,一審被告らが,W
PDによる情報持ち出しの危険性を認識していたことは明らかである。そし
て,一審被告らは,WPDを利用した情報漏えいが予見できたのであるから,
WPDの1機種であるMTP方式のスマートフォンによる情報漏えいについ
ても予見可能性があった。
なお,一審被告らは,MTPによる通信方法に対応したスマートフォンに
よる情報漏えいについては結果回避義務がないなどと主張するが,本件セキ
ュリティソフトにおいてWPDについての接続制御機能を有効にする設定を
していなかったのは,クレジットカード情報等を含めた大量の個人情報を取
り扱う業者としてリスク管理ができていなかったということにすぎず,結果
回避義務がなかったなどということはできない。
一審被告シンフォームの過失責任及び使用者責任が認められること
ア過失責任について
一審被告シンフォームの過失の有無について,原判決が以下の注意義務
違反を認めなかった点は不当である。
原判決は,私物スマートフォンの持込み禁止について,執務室(オフ
ィス)につき,持込みを禁止すべき注意義務がないなどとする合理的
な理由を説明していない。執務室内には内線電話も設置されており,
私物のスマートフォンは業務上使用する必要性がなかったのであるか
ら,持込みを制限すべきであったことは明らかである。
また,本件では,アラートシステムが機能していれば情報漏えいを食
い止めることができた。すなわち,aは,平成25年7月17日から
18日に顧客情報29万1591件を書き出してスマートフォンに保
存し,同月18日に株式会社セフティー(以下「セフティー」とい
う。)にこれを売却している。その後は,同月29日,同年8月6日
に同様の方法で情報を持ち出し,以後も繰り返しているところ,aが
セフティーに売却した個人情報の合計件数1億7897万8933件
(甲76)に比較すると,最初の漏えい件数は全体のわずか1.62
パーセントであり,その段階でアラートシステムが機能していれば相
当割合の漏えいを食い止めることができた。また,アラートシステム
が機能していることを掲示していれば,情報の持ち出しをすれば犯人
が特定されることでaの犯行の動機を失わせることもできた。
イ使用者責任について
使用者責任における指揮監督関係の有無は,実質的な観点から検討され
るべきであるところ,aは,その刑事事件における被告人質問(甲63,
64)において,①作業ごとに所属していたグループにおいては一審被告
シンフォームの従業員であるリーダーから作業を割り当てられ,打ち合わ
せへの出席指示を受け,作業スケジュールはリーダーが作成し,WBSと
呼ばれる進捗管理表にやるべき作業・担当するメンバーを書き込んでいた
こと,②aが在籍するA社では,雇用契約上,A社の従業員であるTがa
を指揮監督する者とされていたものの,aの入社後1,2か月が経過した
頃には,Tとaはそれぞれ別のリーダーの下で作業をするようになり,T
も最初は毎日一審被告シンフォーム多摩事務所に来所していたが,そのう
ちに来所が週2日程度に減り,その後は全く来なくなったりしており,例
外的に作業の問い合わせの電話連絡があった程度であったことを具体的に
供述している。
また,一審被告シンフォームの事業開発本部長兼事業開発部長であっ
たcは,aの刑事事件における証人尋問(甲73)において,一審被告
シンフォームの従業員とaのような他の委託先の従業員(以下「パート
ナー社員」ということがある。)が1対1でミーティングし,作業工程
の確認をし合うことがあることや進捗状況の確認,計画通りに作業を終
わらせるとの要望を出すことがあったこと,パートナー社員は一審被告
シンフォームに直接作業報告をしていたことなどを認めており,具体的
な指示や作業に関する監督があったといえる。
さらに,一審被告ベネッセと一審被告シンフォーム間の業務委託基本
契約書(甲38)の6条においては,一審被告ベネッセの事前の書面に
よる承諾のない業務の再委託が禁止されており,aは,本件システム開
発に関する事業について,実質的に一審被告シンフォームの従業員とし
て勤務していたというべきである。
上記の点に関する原判決の認定判断は相当であり,一審被告らの主張
には理由がない。
一審被告ベネッセの使用者責任が認められること
ア一審被告シンフォームの使用者としての責任について
原判決は,一審被告らの関係が業務委託契約に基づくものであるとい
う形式を重視して,一審被告ベネッセの使用者責任を否定したが,誤り
である。
一審被告らグループ会社は,従来,一審被告ベネッセが現在行っている
事業を行う親会社が存在し,一審被告シンフォームはその下でシステムを
担当する機能的子会社であった。実質的にみれば,持株会社制に移行する
以前は,一審被告シンフォームは,一審被告ベネッセのシステム部門がそ
のまま会社になった機能的子会社という位置付けにあり,一審被告ベネッ
セに従属する関係にあったから,実質的には一審被告ベネッセの指揮監督
下にあったといえる。実際に,aのようなパートナー社員も,一審被告ベ
ネッセの担当者から直接指示を受けていた。aは,一審被告ベネッセとの
進捗会議に案件ごとに週1回参加していたし,一審被告ベネッセの管理職
を担う者が,一審被告シンフォームの従業員を兼務して勤務していた。
イaの使用者としての責任について(当審において追加された主張)
一審被告ベネッセは,自社のサーバーにあるシステムを開発するという
業務において,aに対して直接に指揮監督しており,aの使用者にも該当
する。このことは,一審被告らが互いに出向者を在籍させ,上記アで指摘
したとおり,一審被告ベネッセの担当者が,aを含むパートナー社員に対
して直接指示をして業務を行わせていたことなどから明らかである。
違法な権利侵害が認められること
プライバシーの侵害については,正当事由がない限り一般的に違法であっ
て,本件においても違法性について別途検討する必要性はない。
一審原告らの損害が発生していること
個人情報の現代的価値や要保護性を軽視するのは相当でなく,一審原告ら
については本件漏えいによる損害が認められるというべきであり,また,原
判決が認定した損害額は不当に低額である。
早稲田大学江沢民事件でも,情報漏えいに係る不法行為の成否につき,情
報の適切な管理に関する合理的な期待を裏切るものであるかどうかが判断基
準とされ,個人情報の秘匿の程度,開示による具体的な不利益の不存在,開
示の目的の正当性と必要性などの事情が結論を左右するには足りないとの判
示がされている。
一審被告ベネッセは,本件システムの開発や運用を,一審被告ベネッセと
は契約上も関係性の希薄な者に担当させており,USBケーブルで業務に必
要のない私物スマートフォンをパソコンに接続することが常態化しているこ
とを長期にわたり黙認し,本件セキュリティソフトの設定を誤り,その見直
しも行わず放置している間に本件漏えいが行われたものである。aは,セフ
ティーに対して1億7897万8933件の個人情報を売却したことが判明
しており,他に2社の名簿業者にも個人情報を売却しているのであって,そ
こから更に情報が拡散した可能性は否定できず,捜査当局も拡散した先は5
00社を超えるものと判断している。それらの情報の回収は困難であり,ま
た,拡散した個人情報の悪用の危険性が高いことは明らかである。
5当審における一審被告らの補充主張
本件漏えいに関する一審被告らの予見可能性について
本件漏えいに関して,一審被告らの予見可能性を肯定するためには,一審
被告らが従来の一般的なスマートフォンのパソコンへの接続方式(通信規格)
はMSCであって,本件セキュリティソフトの書き出し制御措置はUSBに
よる接続方式(通信規格)がMSCであれば機能するが,MTPであれば機
能しないものであったこと,本件当時までに販売されるようになった一部の
スマートフォンはMTPによる通信方法に対応していたことを具体的に認識
していたことが必要である。
しかるところ,一審被告シンフォームが本件セキュリティソフトを導入し
書き出し制御措置を設定したのは平成23年夏であったところ,その時点で
は,MTPに初めて標準対応したスマートフォン用OSであるAndroi
d4.0を搭載したスマートフォンも発売されていなかったのであって,一
審被告シンフォームとしては,書き出し制御措置を講じることによってスマ
ートフォン一般について書き出し制御できるものと考えていた。MTPによ
りMSCデバイス制御に抜け道が生ずるという危険性については,本件当時,
情報セキュリティの専門家においても認識されていなかったのであり,一審
被告シンフォームは,本件セキュリティソフトの単なるユーザーにすぎず,
セキュリティソフト会社から一部のスマートフォンには対応できない状態に
なっているなどの注意喚起を受けることもなかったのであって,そのような
セキュリティソフトウェアの穴に気付く契機はなかった。本件当時までにM
TPによる通信方法に対応したスマートフォンへの情報書き出しの危険性に
ついて具体的に指摘した行政機関その他の団体のガイドライン等はなかった
のであり,一審被告らの予見可能性の有無については,例えば経済産業分野
ガイドラインにおいて「しなければならない」とされている事項を充足して
いたかなどの観点から検討すべきである。MTPは,もともとデジタルカメ
ラやデジタルビデオカメラ,携帯音楽プレーヤー,ボイスレコーダー等をウ
ィンドウズパソコンに簡便に接続するために用いられていた技術仕様であり,
本件当時,MTPによる通信を行う機器としては,スマートフォンは念頭に
おかれていなかった。前記機器は情報漏えいのリスクとしてとらえられてい
なかったことから,情報漏えいの対策としてMTPによる通信を制御すると
いう発想も実践もなかったのである。
仮に,①書き出し制御措置は実効性があり,②業務従事者に対して必要以
上に制約が生じない方法であることから,結果回避義務を認める判断がされ
るとすれば,これは過失をレトロスペクティブ(事後的・後方視的)に捉え,
こうすれば結果が生じなかったのだからこうすれば良かったとして,結果責
任を認めるもので誤りである。過失は,行為当時の一般的水準に照らして,
プロスペクティブ(事前的・前方視的)なものとして確定されなければなら
ない。
一審被告シンフォームの過失責任及び使用者責任について
ア本件セキュリティソフトは,そもそもMTPにより通信をするデバイス
に対する書き出し制御機能を有しておらず,MTPによる通信につき読
み取りも書き出しも不可とする接続制御機能しか有していなかった。書
き出し制御に関する注意義務違反につき,一審原告らの主張は,あらゆ
る機器へのパソコンへの接続を一律に禁止すべきであるかのようである
が,パソコンの使用によって得られる利便性を合理的根拠なく放棄すべ
きというに等しい暴論である。
イ使用者責任について
原判決は,本件当時,一審被告シンフォームとaとの間に実質的指揮監
督関係があったと判断したが,その判断の主な根拠となったのは,aの
刑事事件における供述内容のみである。
しかし,aの刑事事件における供述内容は,一審被告シンフォームにお
ける仕事の割り振りや日常的な業務指示等の具体的場面について述べる
ことなく,抽象的に,一審被告シンフォームの従業員であるリーダーが
直接,委託先要員に仕事を割り振り,日常の業務指示をしていたという
結論のみを述べるものにすぎない。
aは,刑事事件において,一審被告シンフォームから直接指揮命令を受
けていたため,一審被告シンフォーム以下の契約関係は偽装請負であり
公序良俗違反により無効であるから,aが営業秘密を管理する任務を負
っておらず無罪であるとの主張をしていたのであり,虚偽供述への強い
動機があるとみなければならない。
一審被告ベネッセの過失責任及び使用者責任について
ア一審被告ベネッセには,一審被告シンフォームに対してMTPによる通
信方法に対応したスマートフォンへの書き出し制御措置をとるよう指示
すべき義務はなかった。委託業者と受託業者は,法人として異なるので
あり,受託業者に業務遂行に当たり過失があったとしても,特段の事情
がなければ委託業者に過失があることにはならない。一審被告ベネッセ
が,一審被告シンフォームに対し,適切に報告を求めていたとしても,
一審被告ベネッセが書き出し制御措置の不十分な点に気付く可能性はな
かったから,監督義務違反は認められない。
イシステム開発やシステム保守運用その他委託元に常駐する形態の業務委
託(かかる形態をとらざるを得ないのは,業務の性質上,必然的であ
る。)について,問題が発生した場合にはすべからく委託元が指揮監督
をしていたなどと判断するのは不当である。一審被告ベネッセと一審被
告シンフォームとの関係は業務委託契約という対等な取引関係であり,
一審被告ベネッセは,一審被告シンフォームの使用者とはいえないし,
aの使用者とされる具体的根拠は存在しない。
違法な権利侵害の有無について
プライバシー侵害の事案にあっては,法益侵害の有無とは別に違法性の有
無の検討が必要である。違法性の有無の判断は,被侵害利益の性質と侵害行
為の態様を相関関係的に考量してされるものであるが,被侵害利益の要保護
性が弱く,また侵害行為の態様について社会的相当性の逸脱の程度が低いほ
ど,違法性は否定されやすくなる。本件個人情報の内容や性質は,本来社会
生活を送るうえでは当然明らかにされるべき個人識別などのための単純な情
報にとどまり,情報の利用によって初めて個人の社会関係,取引関係,法律
関係等の様々な関係が円滑に行われ得るものであって,秘匿されるべき性質
のものとはいえず,被侵害利益の要保護性は低い。一審被告らの侵害行為の
態様として悪質性がほぼ存在しないことや事後的に速やかな公表,補償,原
因究明及び再発防止策の検討と実施を含む対応措置をとったことなどを考慮
すれば,一般人の感受性を基準として,一審被告らの行為が,社会的に容認
されないものとして違法であるとみる余地はない。
一審原告らの損害の発生の有無について
一審原告らが本件漏えいによる損害として主張するのは,抽象的な不安や
不快感にすぎず,これによって平穏な生活を送る利益が害されるとは一般に
考えられない軽微なものである。本件漏えいに係る行為の前後で一審原告ら
のおかれた具体的な立場や状況には変化がなく,損害は発生していない。秘
匿性の高くない個人情報の流出に対して,具体的損害がないにもかかわらず
損害の発生を認めて安易に損害賠償を認めることは,不法行為制度の目的か
らも正当化されるものではない。
本件漏えいによって,何らかの本件個人情報を取得した漏えい先が500
件を超えるという事実については客観的根拠がなく,一審原告らの個人情報
が直接の売却先を超えて拡散した事実は何ら認められない。
第3当裁判所の判断
当裁判所は,本件漏えいについて,一審被告らには一審原告らの個人情報の
管理に係る注意義務違反があり,かつ,個人情報が漏えいした一審原告ら1人
につき各3300円の損害賠償請求(3000円の慰謝料及び300円の弁護
士費用相当額)を認めるのが相当であると判断する。その理由は,以下のとお
りである。
1認定事実(前記前提事実に加え,掲記の証拠(ただし,いずれも以下の認定
に反する部分は除く。)及び弁論の全趣旨によれば,以下の事実が認められる。
aの勤務状況と本件漏えい行為について
アaは,システムエンジニアであり,本件システム構築等の業務について
一審被告シンフォームから再委託を受けた会社から更に再々委託を受け
た会社の従業員であった。aは,平成24年4月から,一審被告シンフ
ォーム多摩事務所の執務室において稼働を開始し,顧客分析課の開発チ
ームのグループに属して作業に従事していた。
一審被告シンフォームでは,事業開発本部の下に事業開発部がおかれ,
事業開発部の中に顧客分析課が置かれており,顧客分析課が本件システ
ム構築等の業務を所管していた。顧客分析課には,平成26年6月当時,
39名が所属しており,そのうち一審被告シンフォームの従業員は11
名であり,その余の28名は,aを含む他の委託先の従業員であり,パ
ートナー又はパートナー社員と呼ばれていた。
顧客分析課の中には複数のチームがあり,各チームの中には個別案件を
効率的に進めるために少人数で構成された複数のグループがあり,各グ
ループには,一審被告シンフォームの社員であるリーダーが置かれてい
た。そして,各グループでは少なくとも毎週1回は進捗会議が開かれ,
同会議にはグループメンバー全員が参加して作業状況や作業予定等につ
いての打合せがされていた。
(以上につき,甲19の1ないし3,甲63,64,66,73,88の
1)
イaは,一審被告シンフォームの業務に従事する前に,一審被告シンフォ
ームから,業務上知り得た個人情報及び機密情報を開示・漏えいしない
ことを誓約する内容の「個人情報の取扱いに関する同意書」を提出し,
また,一審被告シンフォームが行う情報セキュリティ研修及びその内容
を踏まえたテストを受け,その後も年1回実施される情報セキュリティ
研修を受けていた。(甲2,19の1ないし3,63,
88の1)
ウaは,平成25年6月頃,経済的に困窮した状況であったことから,一
審被告ベネッセの顧客情報を名簿業者に売却して金員を得ることを思いつ
いたが,業務上用いていたパソコンには,USBメモリ等の外部記録媒体
を接続してもパソコンに認識されず,顧客情報を持ち出せない措置が講じ
られていたことから,そのようなことはできないと諦めていた。ところが,
平成25年7月頃,本件スマートフォンを充電するために市販のUSBケ
ーブルを用いて業務用パソコンのUSBポートに接続し充電していたとこ
ろ,パソコンにスマートフォンが外部記録媒体として認識され,パソコン
の画面にスマートフォン内のフォルダが表示されたことから,試しにパソ
コンからファイルを転送してみたところ,スマートフォンに保存すること
ができた。(甲63,88の1及び2)
エaは,平成25年7月頃から平成26年6月頃までの間,一審被告シン
フォーム多摩事務所において,一審被告ベネッセの顧客情報を業務用パ
ソコンから本件スマートフォンに転送し,その内蔵メモリに保存する等
の方法により個人情報を不正に取得した。
本件スマートフォンは,平成24年秋冬期に発売された「auHTC
社製HTL21」という機種であり,OSはAndroid4.1で
あった。前記スマートフォンには,データ通信方法としてMTPが初期
設定されており,前記転送はMTPを用いて行われたものであった。
(,甲11の1及び2,甲12の1及び2,
63,64,88の1及び2)
MSCとMTPについて
アMSCとMTPは,いずれもパソコンとこれに接続された各種デバイス
との間の情報通信方式(ファイル転送プロトコル)である。
MSCは,パソコンとUSBメモリやメモリカード等のデバイスである
外部記憶装置・媒体との間の情報通信方式として用いられているもので
あり,MTPは,WindowsをOSとするパソコンと携帯機器との
間で音楽・動画等のマルチメディア・データを簡便に共有・連携できる
ようにするためにマイクロソフト社が開発した規格であり,デジタルカ
メラの画像転送プロトコル(PTP)をベースに,音楽・動画ファイル
などの転送を可能にした技術仕様である。
MSCでもMTPでも,パソコンにスマートフォンなどのデバイスをU
SBケーブルで接続してデータの転送をすることが可能である点で違い
はないが,ファイルシステムの管理等について,MSCではパソコン側
のOSで行われ,接続されたデバイスはUSBに接続された外部記憶装
置(USBメモリや外付けHDDなど)と同じく認識されるのに対し,
MTPではデバイス側で行われ,接続されたデバイスはWPDなどとし
て認識される。
(以上につき,甲15,16,98の1ないし4,乙32,111)
イスマートフォンの主なOSには「iOS」及び「Android」があ
る。MTPによる通信方法は,前記アの開発経緯から,従来は音楽・映
像プレーヤーやデジタルカメラ等に利用されており,スマートフォンに
ついては,「iOS」はMTPによる通信方法に対応していないが,
「Android」については,平成23年10月18日に発売された
Android4.0以降のバージョンがMTPによる通信方法に対応
するようになった。
そして,株式会社NTTドコモ,KDDI株式会社及びソフトバンクグ
ループ株式会社が平成24年夏に発売したスマートフォンには,OSを
Android4.0とするものが多数あり,また,電気通信事業者各
社は,Android4.0より前のバージョンのスマートフォンにつ
いて,その頃以降,OSのバージョンアップを提供した。なお,同年8
月頃に発売されたサムスン製の「GALAXYSⅡWIMAXI
S11SC」の取扱説明書には,メディア転送モード(MTP)でUS
Bケーブルを用いてパソコンと当該スマートフォンを接続すると,パソ
コンに当該スマートフォンがポータブルデバイスとして認識され,当該
スマートフォンとパソコンとの間でデータのやりとりができることが明
記されている。
(以上につき,甲16,51の1ないし3,105の1ないし6,115,
乙32)
ウMTPによる通信方法に対応したスマートフォンの発売及びその普及等
について,本件当時までにメディア等に取り上げられたものとして以下の
ような記事の存在を指摘することができる。
インターネット上の「モバイルトレンド」という連載において,平成
23年4月27日に掲載された「スマートフォンのパソコン接続は大
容量デバイスからMTPへ(第164回)」と題する記事の中で,テ
クニカルライターの塩田紳二は,最近登場したAndroidスマー
トフォンやタブレットでは,パソコンとの接続にMTPを使うものが
増えてきたことを述べて,従来用いられてきたMSCによる通信方法
との違いについて説明をし,MTPを用いるメリットやデメリットに
言及した上,今後はMSCよりMTPの方が便利な通信方法としてス
マートフォンやタブレットでは,MTPを採用するものが増えていき
そうであるなどと記載をした。(甲15)
「日経PC21」という雑誌において,平成24年12月24日発売
の2013年2月号版に掲載された「スマホはパソコンと連携して使
うのが正しい!3つの方法を完全習得」と題する記事の中で,スマ
ートフォンとパソコンとの間でファイルをやりとりする3つの方法の
うち,1つがUSBケーブルを用いて接続する方法としてMTP(メ
ディア転送プロトコル)とMSC(大容量ストレージ)の2種類を指
摘することができるところ,両方の方式が使えるスマートフォンなら
より簡単なMTPを使うとよいこと,その方法によるとスマートフォ
ンとパソコンをケーブル接続するだけでスマートフォン内の記憶装置
がリムーバブルディスクとして表示されることなどが記載されていた。
前記記事は,平成25年6月5日に「日経トレンディネット」のウェ
ブサイト上にも掲載された。(甲116)
一審被告シンフォームによる安全管理措置及び本件セキュリティソフトの
設定について
ア一審被告シンフォームでは,業務での私物パソコンの使用を禁じ,全従
業者個々人に対して,所定の設定がされた業務用パソコンを貸与した上,
IDを付与し,90日に一度の頻度で変更を要するパスワードを設定さ
せて利用させていた。業務用パソコンは,業務上の必要がない限り社外
への持ち出しは禁止され,通常は施錠付きチェーンで各人のデスクに固
定されていた。その他,本件当時,一審被告シンフォームが情報管理の
記載のと
おりである。(甲19の1ないし3,乙2)
イ一審被告シンフォームは,従業員に貸与していた業務用パソコンに本件
セキュリティソフトを搭載しており,平成23年7月に前記業務用パソ
コンのOSをWindows7にバージョンアップした際,本件セキュ
リティソフトも当時の最新版である「秘文Ver.9.0」にバージョ
ンアップした。
本件セキュリティソフトは,前記のとおりバージョンアップされた際に,
「リムーバブル,CD/DVD,外付けHDD」の他,終端機器として
イメージングデバイス,WPD,ウィンドウズモバイル,ブラックベリ
ー等のデバイス,通信機器として無線LAN,モデム,赤外線等を接続
制御することが可能となっていた。前記デバイスのうち「リムーバブル,
CD/DVD,外付けHDD」については,データの書き出し制御のみ
を設定することが可能であり,リムーバブルメディアについては,組織
で管理していないUSBメモリの個体識別制御が可能であった。また,
読み書きを個別に許可されたUSBメモリについては,書き出されたデ
ータは暗号化された。WPDを含む前記以外のデバイスについては,書
き出し制御のみの設定をすることはできず,接続制御のみが可能であっ
た。そして,前記デバイスの全てを制御した場合,パソコンからデータ
の書き出しをすることは不可能な状態にすることができた。
(以上につき,甲69ないし71)
ウ本件セキュリティソフトの販売代理店は,本件セキュリティソフトのバ
ージョンアップの際,その設定作業を行ったところ,一審被告シンフォ
ームとしては,特定のUSBメモリ以外の全ての外部記録媒体への書き
出しを制御するとの方針をとっていたが,実際には,本件セキュリティ
ソフトのバージョンアップの際の設定内容は,「リムーバブル,CD/
DVD,外付けHDD」だけが書き出し制御の対象とされ,WPDを含
む他のデバイスについては接続制御機能を有効とする設定が行われなか
った。そして,前記販売代理店は,平成23年8月,一審被告シンフォ
ームに対してパラメーターシートを納品し,そこには,本件セキュリテ
ィソフトの設定内容として,「デバイス制御設定」欄の「①デバイス使
用可否制御を有効にする,②デバイス個体識別制御を有効にする,③個
体識別ログの出力を有効にする」の3つの項目のチェック欄にチェック
がされておらず,設定されていないことが明示されていた。
本件セキュリティソフトは,ユーザーにおいても作業手順を踏むことに
よって,制御可能な個々のデバイスについて,制御の有無の設定内容を
自由に変更できるものであったが,aによる本件漏えいが発覚した後の
平成26年7月に,後記エのとおり本件セキュリティソフトはWPDに
つき接続制御機能を有効とする設定に変更されたが,それまでの約3年
間は,本件セキュリティソフトの設定内容の変更はされなかった。
(以上につき,甲12の1及び2,66,69ないし71)
エ一審被告シンフォームは,本件漏えいが発覚した後の平成26年7月2
2日に本件セキュリティソフトのバージョンアップを行い,また,設定
の見直しをして,「リムーバブル,CD/DVD,外付けHDD」の書
き出し制御機能の他に,イメージングデバイス,WPD,ウィンドウズ
モバイル,ブラックベリー,無線LAN,モデム,赤外線等のデバイス
の接続制御機能を有効にした。(甲19の1ないし3)
オ商用デバイス制御ソフトの製品がMTP使用制限機能に対応した時期は,
遅くとも以下のとおりであり,下記各製品の国内市場におけるシェアは,
平成26年6月時点で合計すると43.5パーセントであったことが認め
られる。(甲16,69,96の1ないし5,97,101の1及び2,
103の1,乙35,123の1)
企業名製品名対応時期
日本電気株式会社InfoCage平成19年7月
株式会社日立ソリューション

秘文AE
Information
Fortress
平成21年6月
エムオーテックス株式会社LanScopeCat平成25年10月
日本ファインアート株式会社TotalSecurityFort平成23年8月
ハミングヘッズ株式会社Evolution/SV平成23年12月
株式会社インテリジェントウ
ェイブ
CWAT平成24年7月
富士通株式会社Systemwalker
DesktopKeeper
平成25年8月
C&Cアソシエイツ発見伝平成25年8月
クオリティソフト株式会社QNDAdvance平成25年9月
米国DeviceLock社DeviceLock平成26年2月
2本件漏えいに関する一審被告らの予見可能性について
本件漏えいに係る行為は,aにおいて,貸与されていた業務用パソコンか
ら本件データベースにアクセスし,本件データベース内に保管されていた本
件個人情報を抽出して業務用パソコンに保存した上,USBケーブルを用い
て,MTPによる通信方法に対応する本件スマートフォンに転送したという
ものである()。
このようなMTPによる通信方法を用いたデータの転送については,もと
もとMTPが,WindowsをOSとするパソコンと携帯機器との間で音
楽・動画等のマルチメディア・データを簡便に共有・連携できるようにする
ために開発された規格であり,パソコンとUSBメモリやメモリカード等の
デバイスである外部記憶装置・媒体との間の情報通信方式として,従来のス
マートフォンで多く使用されていたMSCとは異なる規格であったことに照
らすと,一審被告らの本件漏えいに関する予見可能性の有無を検討するに当
たっては,MSCに限らず,MTPによる通信方法を含め,これに対応した
スマートフォンを用いた個人情報のデータの転送があり得ることについての
認識可能性があったといえるかどうかを検討すべきものと解される。
そこで検討するに,本件当時も,スマートフォンをUSBケーブルでパソ
コンと接続しデータのやりとりをすることが可能であることは一般的に知ら
れており,本件漏えいの以前から,例えば平成21年経産省ガイドラインが,
個人情報保護法の基本理念を踏まえ,個人情報保護の推進の観点からできる
だけ取り組むことが望ましい事項の例として,「個人データを入力できる端
末に付与する機能の,業務上の必要性に基づく限定(例えば,個人データを
入力できる端末では,CD-R,USBメモリ等の外部記録媒体を接続でき
ないようにする。)」などと記載されており,外部記録媒体をパソコン等に
接続する方法による情報漏えいのリスクが指摘されていたこと(甲7,9,
乙10)が認められる。
そして,前記認定事実のとおり,MSCとMTPは,いずれもパソコンと
これに接続された各種デバイスとの間の情報通信方式(ファイル転送プロト
コル)であって,本件漏えいに係るaの行為も,本件スマートフォンを充電
するために市販のUSBケーブルを用いて業務用パソコンのUSBポートに
接続し充電していたところ,上記パソコンにスマートフォンが外部記録媒体
として認識されたため,試しに上記パソコンからファイルを転送してみたら,
スマートフォンに保存することができたというものであって,格別専門的な
知識や道具等を用いてデータの転送をしたわけではない。本件当時には,既
にMTPによる通信方法に対応したスマートフォンが多数発売され,又はM
TPによる通信方法に対応するようにバージョンアップすることも可能な状
況であったこと,情報管理に関する社会一般の認識とい
う観点からみても,株式会社日立ソリューションズを含めた相当数の大手業
者が,本件漏えいが発覚する以前からMTP使用制限機能に対応した商用デ
バイス制御ソフトの製品を販売するようになっており
一審被告シンフォームも,平成23年7月に本件セキュリティソフトをバー
ジョンアップした際には,特定のUSBメモリ以外の外部記録媒体について
も書き出しを禁止するという方針をとっていたものであること(前記認定事
,加えて,スマートフォンは,従来の通話機能のみを基本的な機能と
する携帯電話とは異なり,小型のパソコンともいえる多彩な機能を有する機
器であって,年々バージョンアップによる機能の高度化が進むデバイスであ
ることを併せ考慮すれば,一審被告らは,本件当時,MSCに限らず,MT
Pによる通信方法を含め,これに対応したスマートフォンを用いた個人情報
のデータの転送があり得ることについても,想定することができた,すなわ
ち,本件漏えいに関する一審被告らの予見可能性はあったというべきである。
これに対し,一審被告らは,①実際には,本件漏えいの時点においてMT
Pによる通信方法に対応したスマートフォンの国内シェアは小さかったし,
商用デバイス制御ソフトの製品のうちMTP使用制限機能に対応したものも
なかった,②本件漏えいによって初めて,スマートフォンを利用した個人情
報の不正取得の危険性が認識されるようになったのであり,それ以前は専門
家にとってもMTPによる通信方法を利用したデータの転送により,MSC
デバイス制御に抜け道が生ずるという危険性について一般的な認識とはなっ
ていなかった,③本件当時までにMTPによる通信方法に対応したスマート
フォンへの情報書き出しの危険性について具体的に指摘した行政機関その他
の団体のガイドライン等はなかったなどと主張する。
前記①について,一審被告らは,本件当時,MTPによる通信方法に対応
したスマートフォンの国内シェアが少なかったことに関し,株式会社インタ
ーネットプライバシー研究所が作成した「携帯電話端末におけるMTP普及
率についての調査報告」(乙34)を提出し,そこには,スマートフォンと
従来の携帯電話を併せた台数に対するスマートフォンの割合は,平成24年
3月末で22%,平成25年3月末で36%,平成26年3月末で48%で
あり,MTPによる通信方法に対応したスマートフォン(「Android
4.0」以降のOSを搭載したもの)のスマートフォン全体における割合は,
平成24年6月時点で0.69%,平成25年6月時点で19.88%,平
成26年6月時点で21.41%であったこと,また,平成26年のスマー
トフォンの出荷台数が2770万台であったことが記載されている。これに
よれば,平成26年6月頃のMTPによる通信方法に対応したスマートフォ
ンの出荷台数は,593万台余りということになる。
しかし,仮に前記の報告を前提にしたとしても,MTPによる通信方法に
対応したスマートフォンの国内シェアについては,平成23年10月18日
に発売されたAndrid4.0以降のバージョンがMTPによる通信方法
に対応するようになり,株式会社NTTドコモ,KDDI株式会社及びソフ
トバンクグループ等の大手業者が平成24年夏に発売したスマートフォンに
は,OSをAndroid4.0とするものが多数出てきていたことや,O
遅くとも本件当時までには,国内において,MTPによる通信に対応したス
マートフォンの普及率が高まり,相当多数の台数が販売されるようになって
いく状況にあったということができるのであるから,前記の報告が,MTP
による通信方法に対応したスマートフォンによるデータの転送について,一
審被告らの予見可能性を否定するものとはいい難い。
また,前記①のうち商用デバイス制御ソフトの製品のうちMTP使用制限
機能に対応したものもなかったという点について,一審被告らは,株式会社
インターネットプライバシー研究所が作成した「端末管理・セキュリティ製
品におけるMSC・MTP制御機能についての調査報告」(乙35)を提出
し,そこには,平成26年6月当時販売されていた主要な端末管理・セキュ
リティ製品について,実用的なMTP制御機能は,国内市場シェアが高い製
品については全く搭載されておらず,実用的なMTP制御機能を搭載してい
たと認められる製品は,国内市場シェアが微少な1製品にとどまり,かつ初
期設定ではMTP制御機能は無効とされていた旨の記載がある。しかし,前
記報告においては,「実用的」の意味を「少なくとも読み取り専用の設定
(リムーバルメディアからパソコンにデータを転送することは可能であるが,
パソコンからリムーバブルメディアにデータを転送することは不可能とする
設定)ができる場合」と定義し,「実用的」でない製品についてはMTP制
御機能を搭載していないものとして扱っているところ,情報セキュリティの
観点からパソコンに保存されている情報を管理したり,当該パソコンを通じ
て情報を管理したりする場面において,リムーバブルメディアからパソコン
にデータを転送すべき場合を想定する必要性に乏しく(甲15によれば,も
ともとMTPの規格は,音楽ファイル等を転送するために開発された規格で
あるとされている。),双方向の転送のいずれもが制限されることから情報
セキュリティ上「実用的」でないとすることは不合理である。したがって,
同報告は,その前提を欠くものといわざるを得ず,採用することはできない。
また,前記②について,一審被告らは,特定非営利活動法人日本ネットワ
ークセキュリティ協会で理事及び事務局長を務めるとともに一般社団法人日
本スマートフォンセキュリティ協会で理事を務めるdの意見書(乙32)を
提出し,そこには,本件漏えいによって初めて,パソコンのリムーバブルメ
ディアとしてスマートフォンを含む携帯電話が使用される危険性があること
が認識され,セキュリティ業界がその対策をとるようになったのであり,大
手セキュリティベンダーでさえ予見できていなかったものを,ユーザーであ
る一審被告シンフォームが予見することは不可能であったという趣旨の記載
がある。さらに,株式会社インターネットプライバシー研究所は,一審被告
らから依頼を受けて複数の意見書等を作成し,平成29年1月23日付け意
見書(乙24)及び平成30年9月20日付け意見書(乙96)の中では,
本件当時,MTPによる通信方法に対応したスマートフォンによる情報漏え
いのリスクは,情報セキュリティ専門家の間でもほとんど認識されていなか
ったと指摘し,平成30年9月20日付け意見書の中では,一般の企業等の
業務において,デジタルカメラやボイスレコーダー等の画像・動画・音声の
情報をMTPによる通信方法によりパソコンに取り込むことは日常的に行わ
れており,MTPによる通信について読み取りを制御すれば,業務上大きな
支障が生ずることを指摘している。そのほか,一審被告らは,本件漏えいの
方法による情報漏えいの危険性を予見できなかったことについて情報セキュ
リティの専門家等の記事(乙36,37)や工学院大学名誉教授eが作成し
た平成30年1月15日付け意見書(乙91)を提出しているところ,そこ
には,本件当時,MTPによる通信方法を利用した情報漏えいの危険性は知
られていなかったとの認識についての記載がある。
しかし,本件当時までに,MTPによる通信方法に対応したスマートフォ
ンを利用したデータの転送が可能であることについてメディア等に取り上げ
前記のとおり,ス
マートフォンは小型のパソコンともいえる多彩な機能を有する機器であって
年々バージョンアップによる機能の高度化が進むデバイスであり,実際にM
TPによる通信方法に対応したスマートフォンの普及率が高まるとともに,
MTP使用制限機能に対応した商用デバイス制御ソフトの製品が,平成19
年以降,平成25年8月頃までには多数の販売業者によって販売されている
状況下にあったこと,一審被告らも特定のUSBメモリ以外の全ての外部記
録媒体への書き出しを制御するとの方針の下で本件セキュリティソフトを搭
載していたことからすれば,MTPによる通信方法に対応したスマートフォ
ンへの情報書出しの危険性について具体的に指摘した行政機関等のガイドラ
インがなかったとしても,一審被告らにおいて,新たに登場したMTPによ
る通信方法に対応したスマートフォンに対する情報漏えいの危険性があり,
その対策の必要性があることについて認識し得たというべきである。
以上によれば,一審被告らが主張する前記②の点及び前記③の点について
考慮したとしても,本件漏えいに関する一審被告らの予見可能性についての
前記認定判断を覆すものとはいえない。
3一審被告シンフォームの過失責任について
執務室への私物スマートフォンの持込み禁止について
本件において,aが執務を行う部屋に,私物のスマートフォンを持ち込む
ことを禁止する措置をとっていれば,本件漏えいを回避できたということが
できるが,個人情報等の情報を扱う以外にも通常の業務を行うような執務環
境において,私物のスマートフォンの持込みを一切禁止するというのは,当
該執務環境において従事する者にとって,非常に大きな制約となることは明
らかであり,加えて,後記説示するとおり,同様の効果を上げられる他
の代替手段があり得ることに照らすと,一審被告シンフォームにおいて,本
件当時,執務室内に私物のスマートフォンの持込み禁止措置を講ずべき注意
義務があったということはできない。
一審原告らは,①平成9年経産省基準には,「搬出入物」について,「情
報システム等の運用に関連する各室の搬出入物は,必要な物に限定するこ
と。」との記載があり,②平成25年IPAガイドラインには,個人のノー
トパソコンやスマートデバイス等のモバイル機器及び携帯可能なUSBメモ
リ等の外部記録媒体の業務利用及び持込みを制限しなければならない旨の指
摘があり,③データセキュリティガイドブックには,共有区画として,オフ
ィスとサーバー室に区別され,サーバー室については,脅威として情報の不
正持ち出しの指摘とともに,管理策として記録媒体の持込み禁止ルールの記
載があることに照らすと,一審被告シンフォームには,本件漏えい当時,執
務室内に私物のスマートフォンを持ち込むことを禁止すべき注意義務があっ
たと主張するので,以下検討する。
ア平成9年経産省基準について
確かに,平成9年経産省基準(甲6)には,「搬出入物」について,
「情報システム等の運用に関連する各室の搬出入物は,必要な物に限定
すること。」と記載されている。
しかし,当該記載から,私物スマートフォンを上記の搬出入物の対象
としているかどうか明らかとはいえない。かえって,平成9年経産省基
準が改正されたのは,平成9年が最後であるところ,同年当時,スマー
トフォンが市場で流通していたことを認めるに足りる証拠はないから,
少なくとも,平成9年経産省基準が具体的にスマートフォンを念頭に置
いて策定されたとは考え難い。
そうすると,平成9年経産省基準から,一審被告シンフォームについ
て当然に私物スマートフォンの執務室内への持込みを禁止すべき注意義
務があるとは認められない。
イ平成25年IPAガイドラインについて
確かに,平成25年IPAガイドライン(甲9)においては,個人の
ノートパソコンやスマートデバイス等のモバイル機器及び携帯可能なU
SBメモリ等の外部記録媒体の業務利用及び持込みを制限しなければな
らないとの指摘があるが,他方で,対策のポイントとして,持込み制限
では,その場所で扱う重要情報の重要度及び情報システムの設置場所等
を考慮する必要がある旨の記載があり,また,「重要情報の格納サーバ
やアクセス管理サーバ等が設置されているサーバルームでは,個人所有
のノートPCやタブレット端末,スマートフォン等のモバイル機器の持
ち込み,利用を厳しく制限します。」とも記載されていることに照らす
と,平成25年IPAガイドラインは,いかなる業務が行われている部
屋であっても同様の持込み制限を講じる必要があるという趣旨を示すも
のではなく,その扱う情報の重要度や情報システムの設置場所に応じた
対策をとるべきとの趣旨を示すものであると解すべきである。そうする
と,重要な情報が直接格納されているサーバの所在する場所では,外部
記録媒体をより直接的にサーバ等の機器に接続することが可能であり,
当該情報により直接的にアクセスすることが可能となることから,その
ような可能性を高い確率で制限できる措置を執る必要があると考えられ
るが,通常の執務室のように,そのような直接的なアクセスではなく,
別のサーバや機器を経由して,当該情報に接することができるにすぎな
い場合には,平成25年IPAガイドラインは,必ずしもそのような厳
しい制限をすることまで要求していないと解するのが相当である。
そうすると,平成25年IPAガイドラインから,当然に私物のスマ
ートフォンの執務室内への持込みを禁止すべき注意義務があるとは認め
られない。
ウ平成25年データセンターガイドブック
確かに,平成25年データセンターガイドブック(甲20)では,共
有区画として,オフィスとサーバー室に区別され,サーバー室について
は,脅威として情報の不正持ち出しの指摘があり,管理策として記録媒
体の持込み禁止ルールの記載があるが,他方で,オフィスについて,そ
の脅威として不正侵入の指摘があるのみで,管理策として画像監視シス
テムと入退管理システム(ICカード・生体認証)の記載があるにとど
まることに照らすと,平成25年データセンターガイドブックの記載を
根拠に,当然にスマートフォンの執務室内への持込み禁止措置をとるべ
き注意義務があるとは認められない。
したがって,この点に関する一審原告らの主張は理由がない。
業務用パソコンに対するUSB接続禁止措置について
確かに,物理的にパソコンのUSBポートを塞ぐことで,業務用パソコン
を使用する者が自由にパソコンにUSB接続できないようにすれば,本件漏
えいの方法による情報漏えいを防ぐことができたということができる。
しかし,パソコンのUSBポートは,外部記録媒体の接続以外にも,マウ
スを使用する際に用いるなど,業務上必要な装置を接続することが想定され
ている。一審原告らは,マウスについて,USBポートによる接続以外の方
法での接続が可能であると主張するが,どのようなマウスであっても別の方
法での接続が可能であると認めるに足りる証拠はなく,また,仮にその点を
おくとしても,で説示するとおり,同様の効果を上げられる他の代替
手段があり得ることに照らすと,USBポートを使用できなくするという措
置は,スマートフォンの持込み禁止措置ほどではないにしても,業務に従事
する者に対する制約として過度なものであるといわざるを得ない。
したがって,一審被告シンフォームにおいて,本件漏えい当時,業務用パ
ソコンのUSB接続の禁止措置を講ずべき注意義務があったということはで
きない。
この点について,一審原告らは,①平成21年経産省ガイドラインには,
個人データを入力できる端末では,CD-R,USBメモリ等の外部記録媒
体を接続できないようにする旨の記載があること,②平成25年IPAガイ
ドラインでは,個人の情報機器及び記録媒体を持ち込まれた場合の情報持ち
出しのリスクや,外部記録媒体の業務利用を制限することを対策のポイント
として掲げていること,また,③平成22年JISガイドラインでは,平成
21年経産省ガイドラインと同様の記載があることに照らすと,一審被告シ
ンフォームには,本件漏えい当時,業務用パソコンのUSB接続の禁止措置
を講ずべき注意義務があったと主張するので,以下検討する。
ア平成21年経産省ガイドラインについて
確かに,平成21年経産省ガイドライン(甲7)には,個人データを
入力できる端末では,CD-R,USBメモリ等の外部記録媒体を接続
できないようにするとの記載があるが,これは,望まれる事項の例の中
で,「個人データを入力できる端末に付与する機能の,業務上の必要性
に基づく限定」についての例示として挙げられているものにすぎないか
ら,この記載をもって,当然に物理的にパソコンのUSBポートを塞ぐ
措置を講ずる注意義務があるということはできない。
イ平成25年IPAガイドラインについて
確かに,平成25年IPAガイドライン(甲9)では,個人の情報機
器及び記録媒体を持ち込まれた場合の情報持ち出しのリスクや,外部記
録媒体の業務利用を制限することを対策のポイントとして掲げている。
しかし,その中で,具体的な制限の方法についてまで指摘しているわけ
ではなく,平成25年IPAガイドラインの記載から,直ちにUSB接
続の禁止措置を講ずべき注意義務があるとはいえない。
ウ平成22年JISガイドラインについて
確かに,平成22年JISガイドライン(甲22)では,平成21年
経産省ガイドラインでの前記アの指摘と同様の指摘がされているが,前
記アで説示したとおり,そのことから直ちにUSBポートを塞ぐ措置を
講ずべき義務があるということはできない。
したがって,この点に関する一審原告らの主張は理由がない。
情報の書き出し制御措置について
ア一審被告らが業務用パソコンに本件セキュリ
ティソフトを搭載しており,その設定を変更して,WPDについて接続制
御する設定にすれば,業務用パソコンからWPDの一機種であるMTPに
よる通信方法に対応したスマートフォンに対するデータの書き出しを防止
することが可能であり,本件漏えいの方法による情報漏えいは防止できた
ことが明らかである。そして,一審被告シンフォームにおいて,本件当時,
MTP対応スマートフォンによる個人情報の漏えいの危険性について認識
し得たところ,前記のとおり,スマートフォンの持込み禁止措置
やUSB接続の禁止措置を講ずることは,業務従事者に対して過度の制約
となり得ること等から一審被告シンフォームに前記各措置を講ずべき注意
義務を認めることはできない中で,書き出し制御措置は実効性があり,か
つ,業務従事者に対して必要以上に制約が生じない方法であるから,一審
被告シンフォームにおいて,本件漏えい当時,MTP対応スマートフォン
を含めて書き出し制御措置を講ずべき注意義務があったというべきである。
イこれに対し,一審被告らは,①本件当時,スマートフォンに対する書き
出し制御措置を執るべきと明示していたガイドライン等はなく,一審被告
シンフォームの情報セキュリティ対策は十分に高度なものであったこと,
②本件セキュリティソフトはMTPにより通信をするデバイスに対しては
読み取りも書き出しも不可とする接続制御機能しか有していなかったので
あり,そのような接続制御をすることはパソコンの使用によって得られる
利便性を合理的根拠なく放棄するに等しいなどと主張する。
しかし,前記①について,一審被告シンフォームは,本件個人情報を
含む大量の個人情報を扱っていたところ,本件当時,MTPによる通信
方法に対応したスマートフォンによる情報漏えいの危険性を予見するこ
とができ,これを回避するための書き出し制御措置をとることができた
のであるから,ガイドライン等に記載がなかったことや同様の措置を執
っている会社が少なかったとしても,前記認定判断が左右されるもので
はない。
また,前記②について,一審被告シンフォームは,本件漏えいが発覚
した後,本件セキュリティソフトの設定を変更して,WPDにつき接続
とおりであって,これによって一審被告シンフォームの業務に特段の支
障を来したという事情もうかがわれないことからすれば,一審被告シン
フォームにおいて,WPDを業務用パソコンに接続させるデバイスとし
て用いる業務上の必要性があったとは認められず,本件当時,本件セキ
ュリティソフトによりWPDに対する接続制御措置をとることは可能で
あったということができる。
ウ一審被告シンフォームは,平成23年8月に本件セキュリティソフトの
バージョンアップがされた際に,本件セキュリティソフトの取扱説明書
の記載や設定作業を行った販売代理店からの説明等によって,本件セキ
ュリティソフトの設定内容次第であらゆるデバイスの接続制御措置をと
ることが可能であることを認識することができ,かつ,自らも作業手順
を踏むことによって設定内容の変更も可能であったにもかかわらず,平
成26年7月に本件漏えいが発覚するまでの間,その設定内容の見直し
がされた様子もなく,実際に設定内容の変更はされなかったものである
ウ)。スマートフォンの高機能化が早い速度で進み,
自らの情報セキュリティ対策の内容をそれに対応させるために一定程度
の時間が必要であることを考慮しても,MTPによる通信方法に対応し
たスマートフォンであるAndroid4.0が平成23年10月18
日に発売され,その後MTPによる通信方法に対応したスマートフォン
の普及率が高まり,これに対応した商用デバイス制御ソフトの製品数も
増加していった状況下において,遅くともaが本件個人情報を不正に取
得するに至った本件当時(平成25年7月頃から平成26年6月頃)ま
でには,本件セキュリティソフトの設定を見直し,適切な設定内容に変
更する注意義務があったというべきであり,一審被告シンフォームには
これに違反した過失があったといわざるを得ない。
アラートシステムの設定義務違反について
一審被告シンフォームは,本件当時,連携システムについてはアラートシ
ステムを設置していたことや,経済産業省の勧告(甲13の2。以下「本件
勧告」という。)でも本件データベースについてアラートシステムの対象と
なっていなかったことが指摘されていることからすると,アラートシステム
の設置が情報セキュリティ対策として一定程度有効であった可能性は否定で
きない。
しかし,情報セキュリティ対策の中には,情報漏えい等の問題を事前に防
ぐための対策から,何らかの問題が発生した場合に,その被害を最小限に食
い止めるための対策まで,種々のものがあるところ,一審原告らの主張する
アラートシステムは,一定量の情報が一度に移動した際に,責任ある立場の
者にアラート(警告)が送信され,当該状況に対してどのような対応をすべ
きかを判断する機会ができるというものであるから,情報漏えいを未然に防
ぐことができるわけではない。また,どの程度の量の情報が移動した場合に
アラートが発せられる設定とするかによって,それ以下の情報量であればア
ラートが発せられないことになり,必ずしも情報漏えいの全てを防ぐことが
できる対策ともいえない。特に,本件においては,一審被告シンフォームが,
本件データベースが保存されているサーバと業務用パソコンとの間の通信量
をアラートシステムの対象としていなかったのは,本件システムの開発が終
了しておらず,本件システムに種々の不具合が生じており,サーバと業務用
パソコンとの間で大量のデータ移動があったため,本件システムの運用開始
前に前記通信量をアラートシステムの対象としてしまうことによって本件シ
ステムの開発に支障が生じかねないという理由があったこと(甲65)から
すると,前記通信量をアラートシステムの対象にするとしても,アラートが
発生する基準値は相当高く設定せざるを得なかったと考えられるのであり,
結局のところ,アラートシステムによって,有効に本件個人情報の流出を防
止することが可能であったと断ずることはできないというほかない。
そうすると,本件において,一審原告らの主張するアラートシステムを設
置したとしても本件漏えいを回避できたとは認められないから,この点に関
する一審原告らの主張は理由がない。
監視カメラ等による監視義務違反について
確かに,情報漏えいの可能性がある執務室内に監視カメラを設置し,従業
員等の執務状況を常時監視していれば,情報漏えいの被害が発生したときに,
行為者を特定する上で効果があることは否定できない。
しかし,証拠(乙27)によれば,本件漏えい当時,執務室内の全体的な
状況を確認できる程度ではあるものの,一審被告シンフォームの執務室内に
監視カメラが設置されていたことが認められるところ,それにもかかわらず
本件漏えいを回避することができなかったものであるから,現に設置されて
いたものより高精度な監視カメラを設置したとしても,それによって本件漏
えいを回避できたのかそもそも疑問であるといわざるを得ない。また,仮に,
それをおくとしても,本件個人情報へのアクセス権限を有するaが,本件漏
えいの際に,監視カメラで確認することができ,かつ,通常の業務ではしな
いような行動をしていたのでない限り,現に設置されていたものより高精度
な監視カメラの設置によっても本件漏えいを回避できたとは認められないと
ころ,aが,本件漏えいの際に,監視カメラで確認することができ,かつ,
通常の業務ではしないような行動をしていたことを認めるに足りる証拠はな
い。
そうすると,本件において,本件漏えいの行われた執務室内に現に設置さ
れていたものより高精度な監視カメラを設置していたとしても本件漏えいを
回避できたとは認められないから,この点に関する一審原告らの主張は理由
がない。
4一審被告ベネッセの過失責任について
個人情報の利用・管理に責任を持つ部門設置に関する注意義務違反につい

証拠(甲3,7,13の1及び2)によれば,経済産
業分野ガイドラインにおいて,組織的安全管理措置の項目で,各項目を実践
するために講じることが望まれる手法の例示として,「個人情報保護管理者
(いわゆる,チーフ・プライバシー・オフィサー(CPO))の設置」が挙
げられているところ,①一審被告ベネッセは,本件漏えい以前,同社の法令
遵守状況を管理監督する機関としてコンプライアンス部を設け,コンプライ
アンス部長をCPO(最高個人情報責任者)とし,その下に,専門部署とし
て個人情報保護課を設置し,個人情報保護活動を行っていたこと,②経済産
業省は,一審被告ベネッセに対し,平成26年9月26日,同年10月24
日までに個人情報保護法20条に基づく安全管理措置及び同法22条に基づ
く委託先の監督を徹底して,具体的な内容を報告するよう勧告し,勧告の原
因として,本件漏えいの対象となったデータベースが,個人情報のダウンロ
ードを監視する情報システムの対象として設定されていなかったところ,一
審被告ベネッセは,一審被告シンフォームに対して行う定期的な監査におい
て,当該情報システムの対象範囲を監査の対象としていなかった等,委託先
に対する必要かつ適切な監視を怠っていたことが同法22条に違反し,一審
被告ベネッセの業務の全過程において同一審被告の保有する個人情報の利
用・管理に責任を持つ部門を設置せず,その安全管理のために必要かつ適切
な措置を講ずることを怠っていたことが同法20条に違反する旨を指摘して
いることが認められる。
確かに,一審被告ベネッセにおいて,前記以上に適切な情報管理体制を構
築するための組織が本件漏えいの前に存在していれば,情報セキュリティに
関する情報を一元的に集約し,より組織的な対応ができた可能性は高まった
といえるものの,より組織的な対応ができたからといって,かかる組織が本
件漏えいまでにどのような具体的対応をすることができたのかは不明といわ
ざるを得ず,本件漏えいを回避できたとは認められないから,この点に関す
る一審原告らの主張は理由がない。
私物スマートフォンの持込み禁止,USB接続禁止措置,情報の書き出し
制御措置,アラートシステムの設定及び監視カメラ等による監視に係る一審
被告シンフォームと同様の注意義務について
一審原告らは,一審被告らは形式上別法人であるが,①一審被告ベネッセ
が,元々一審被告シンフォームの親会社であったものの株式会社ベネッセホ
ールディングスを持株会社とするグループ企業に再編されたことや,②一審
被告シンフォームの役員に一審被告ベネッセの役員が就任していたことに照
らすと,個人情報の管理・運用において,事業としての一体性が見られ,不
法行為における責任主体としての一体性が認められると主張する。
しかし,持株会社内の企業間等のいわゆるグループ企業間においては,こ
のような状況は往々にして見られることであり,これらの事実が認められた
からといって直ちに,ある法人の過失が他の法人の過失と同視されるもので
はない。
したがって,一審被告シンフォームの過失は一審被告ベネッセの過失と同
視できるから一審被告ベネッセの過失が認められるという一審原告らの主張
は,その前提を欠き,理由がない。
委託先選任及び監督に関する注意義務違反について
ア委託先選任に関する注意義務違反について
一審被告ベネッセが,一審被告シンフォームを委託先として選任した
ことについて注意義務違反があったことを基礎付ける事実を認めるに足
りる証拠はなく,この点に関する一審原告らの主張は理由がない。
イ監督に関する注意義務違反について
個人情報保護法22条は,「個人情報取扱事業者は,個人データの取
扱いの全部又は一部を委託する場合は,その取扱いを委託された個人デ
ータの安全管理が図られるよう,委託を受けた者に対する必要かつ適切
な監督を行わなければならない。」と規定し,平成21年経産省ガイド
ライン(甲7)には,「必要かつ適切な監督」に関し,委託先を適切に
選定すること,委託先に個人情報保護法20条に基づく安全管理措置を
遵守させるために必要な契約を締結すること,委託先における委託され
た個人データの取り扱い状況を把握することが含まれる旨の記載があ
り,JIS基準(甲22)は,「3.4.3.4委託先の監督」にお
いて,「事業者は,個人情報の取扱いの全部又は一部を委託する場合
は,十分な個人情報の保護水準を満たしている者を選定しなければなら
ない。このため,事業者は,委託を受ける者を選定する基準を確立しな
ければならない。」,「事業者は,個人情報の取扱いの全部又は一部を
委託する場合は,委託する個人情報の安全管理が図られるよう,委託を
受けた者に対する必要,かつ,適切な監督を行わなければならない。」
等と規定し,平成22年JISガイドライン(甲22)は,「審査の着
眼点」として,「委託先を選定する基準として,該当する業務について
は少なくとも自社と同等以上の個人情報保護の水準にあることを客観的
に確認できること,選定基準は具体的で運用可能なものであること」等
を例示していることに照らせば,大量の個人情報の運用管理を一審被告
シンフォームに委託していた一審被告ベネッセには,本件漏えい当時,
個人情報の管理について,委託先に対する適切な監督をすべき注意義務
があったということができる。
そして,前記2で説示したとおり,一審被告ベネッセも一審被告シン
フォームと同様に,本件当時,本件漏えいの方法による個人情報の漏え
いの危険性を予見し得たものであって,一審被告ベネッセが,一審被告
シンフォームに対し,本件セキュリティソフトのスマートフォンに対す
る書き出しないし接続制御機能への対応状況について適切に報告を求め
ていれば,MTPによる通信方法に対応したスマートフォンに対する接
続制御機能に対応した設定・変更を指示することができたものであり,
このような監督を行うことについて,一審被告ベネッセに過度の負担が
生ずることもなかったと認められる。
そうすると,一審被告ベネッセには,本件当時,一審被告シンフォー
ムにおける個人情報の管理につき,本件セキュリティソフトの設定・変
更について適切に監督をすべき注意義務があったというべきであり,そ
れにもかかわらず,一審被告ベネッセは,本件当時,業務用パソコンの
セキュリティソフトウェアの変更をすべき旨を指摘することなく放置し
ていた(更新すらされていなかった)結果,本件漏えいを回避できなか
ったのであるから,前記注意義務に違反したといわざるを得ない。な
お,本件勧告においても,一審被告ベネッセが,一審被告シンフォーム
に対して行う定期的な監査の際に本件データベースを監査の対象として
いなかった等,委託先に対する必要かつ適切な監視を怠っていたことが
個人情報保護法22条に反すると指摘されていたところである。
以上のとおり,一審被告ベネッセには,本件当時,一審被告シンフォー
ムに対する適切な監督をすべき注意義務があり,これを怠った過失があ
ったというべきである。
5違法な権利侵害の有無について
一審原告らにおいて,本件個人情報につき,自己が開示を欲しない第三者
に対してはみだりに開示されたくないと考えることは自然なことであるから,
本件個人情報は,一審原告らのプライバシーに係る情報として法的保護の対
象となるものであり,本件漏えいの方法及び一審被告らの過失行為の内容等
に照らし,本件漏えい行為によって,一審原告らは,違法にプライバシーを
侵害されたというべきである(最高裁判所平成15年9月12日第二小法廷
判決・民集57巻8号973頁,最高裁判所平成29年10月23日第二小
法廷判決参照)。
一審被告らは,本件漏えいに係る行為が,社会通念上許容される限度を逸
脱した違法な行為であるとはいえないと主張するが,一審被告らの過失行為
の内容に加え,本件個人情報は,aによって名簿業者に対して売却された上,
当該業者から相当多数の企業に売却されたことがうかがわれ,もはやその回
収は困難であることを考慮すると,本件漏えい行為に係る一審被告らの過失
行為によって生じた本件漏えいが一審原告らの受忍限度の範囲内にとどまる
とはいえない。損害の有無及び程度の検討において一審被告らの過失行為の
内容やその経緯,事後の対応等を考慮する余地はあるとしても,一審被告ら
の過失行為によって生じた本件漏えいが,社会通念上許容される限度を超え
ておらず,違法性を欠くとはいえない。
6一審被告シンフォームの使用者責任について
aについて,本件個人情報を不正に取得してこれを名簿業者に売却した
ことにつき,一審原告らのプライバシーを侵害する不法行為が成立するこ
とは明らかである。
民法715条1項の「ある事業のために他人を使用する者」とは,いわ
ゆる報償責任を認めたとする同法の趣旨に照らせば,広く使用者の指揮・
監督の下に使用者の経営する事業に従事する者をいうと解される。
そして,一審被告シンフォームは,一審被告ベネッセから委託を受け
た業務について,外部の会社に再委託し,同社から更に再々委託を受け
た会社の従業員であったaが本件漏えいを行ったものであるところ,一
審被告シンフォームとaの間には雇用関係はなく(争いがない),aが
システムエンジニアとして一審被告シンフォームに派遣され,一審被告
シンフォーム多摩事務所で一審被告ベネッセの情報システムの開発等の
業務に従事していたからといって直ちに,一審被告シンフォームとaの
間に指揮監督関係があったとはいえない。
上記の点に関連して,aは,自らの刑事事件において,一審被告シンフ
ォームから直接指揮命令を受けていたため,一審被告シンフォーム以下
の契約関係は偽装請負であり公序良俗違反により無効であるとの主張を
するとともに,被告人質問(甲63,64)において,①所属していた
グループでは一審被告シンフォームの社員であるリーダーから作業を割
り当てられ,業務上の指示を受けていたこと,②aが在籍するA社で
は,雇用契約上,A社の従業員であるTがaを指揮監督する者とされて
いたが,aの入社後1,2か月が経過した頃にはTとaは別のリーダー
の下で作業をするようになり,数か月後にはTの一審被告シンフォーム
多摩事務所への来所が週2,3日程度に減り,その後全く来なくなった
りしていたなどの供述をしていたものである(甲10,52,63,6
4)。
しかし,上記供述内容を的確に裏付ける客観的証拠は見当たらず,かえ
って,一審被告シンフォームにおいて本件システムの開発等の業務に関
わっていたc及びfは,aの刑事事件において,再委託先であるA社の
従業員についてはA社の従業員である管理者を通じて人員や作業管理を
含めた業務上の指揮監督を行っていたという趣旨の証言をしており,実
際にそのような指揮監督が行われていたことをうかがわせるメールのや
りとりを裏付ける書証(乙98ないし108)も提出されている。aの
供述内容は,上記メールのやりとりについては記憶が曖昧であるとし,
上記のとおり一審被告シンフォームのリーダーから直接業務上の指示を
受けていた点を強調する一方で,A社の従業員である管理者に対し,一
審被告シンフォームにおける稼働時間の状況報告をしていたことや,自
らが不在期間中の業務の代替人員の人選について依頼した可能性がある
ことも供述していることなど一貫しない面があり,仮にTが一審被告シ
ンフォーム多摩事務所に来所する回数が徐々に減っていった事実がある
としても,システムエンジニアという職務の性質上,逐一相対して指示
を受けながら作業をしなければならないとも考えにくいことなどを考慮
すると,aの上記供述内容のみから,一審被告シンフォームとaとの間
で実質的な指揮監督関係があった事実を認めることは困難であるといわ
ざるを得ない。
一審原告らは,一審被告シンフォームが,aに対し,一審被告シンフォ
ームの顧客分析課長等の許可を受けた従業員を通じて業務用アカウント
を教示するとともに,業務用パソコンを貸与し,業務開始時の入館証発
行に当たっては研修を受けさせ,それ以降,毎年研修を実施していたか
ら指揮監督関係があったとも主張するが,これらの事実が認められたと
しても,aが実際に行っていた業務が,一審被告シンフォームと受託会
社(A社)との間の業務委託契約に基づき受託会社の指揮監督の下に行
われていたということと矛盾するものではなく,前記事実から直ちに,
一審被告シンフォームがaの行う業務について具体的に指揮命令をして
いたと認めることはできない。
なお,一審被告シンフォームが,委託先に対し,個人情報保護法上の
委託先の監督(同法22条)を行うことがあったとしても,ここにいう
監督は,委託先が,委託元との契約に沿って自ら業務を遂行したことに
対し,委託元が,委託先の当該業務遂行について当該契約の条項に沿っ
たものであるか,法令を遵守しているか等をチェックするものであり,
委託先の日常の業務を個別具体的に指示するものではなく,使用者責任
における指揮監督とは異なるものである。また,一審被告ベネッセと一
審被告シンフォーム間の業務委託契約において業務の再委託が原則とし
て禁止されていたとしても,上記認定判断を左右するものではない。
したがって,一審被告シンフォームの使用者責任に関するその余の争
点について判断するまでもなく,この点に関する一審原告らの主張は理
由がない。
7一審被告ベネッセの使用者責任について
一審被告シンフォームの使用者としての責任について
一審被告ベネッセと一審被告シンフォームとの間の契約は業務委託契
約であり(争いがない),原則として,受託者が委託者の指揮監督を受
ける内容のものではない。一審被告シンフォームは,従前一審被告ベネ
ッセにおいて対応していた個人情報等の情報が増加したことに伴い,一
審被告ベネッセからその管理業務の委託を受けたという経緯に照らせば,
一審被告シンフォームにおいて,専門的知見に基づいて本件システムや
本件データベースの運用管理を任されていたと認められ,一審被告ベネ
ッセから具体的な指揮監督を受けていたとは認められない。また,一審
原告らが指揮監督を基礎付ける事実として主張するものは,いずれも個
人情報保護法上の委託先の監督を基礎付ける事実とはなり得るが,前記
6で説示したとおり,同法上の委託先の監督と使用者責任における指揮
監督とは異なるものであるから,これらの事実をもって直ちに使用者責
任における実質的な指揮監督関係があったということにはならない。
一審原告らは,持株会社制に移行する以前は,一審被告シンフォーム
は,一審被告ベネッセのシステム部門がそのまま会社になった機能的子
会社という位置付けにあり,一審被告ベネッセに従属する関係にあった
などと主張するけれども,そのような事情を考慮したとしても,上記認
定判断を左右するものではない。
したがって,この点に関する一審原告らの主張は理由がない。
aの使用者としての責任について
一審被告ベネッセとaの間には雇用関係はなく(争いがない),aがシ
ステムエンジニアとして一審被告シンフォームに派遣され,多摩事務所
で一審被告ベネッセの情報システムの開発等の業務に従事していたから
といって直ちに,一審被告ベネッセとaの間に指揮監督関係があったと
ネッセが一審被告シ
ンフォームに対して実質的な指揮監督をしていたとはいい難く,また,
一審被告シンフォームがaに対して実質的な指揮監督をしていたともい
えないのであって,それらの関係とは別に,一審被告ベネッセにおいて,
一審被告シンフォームとの間の業務委託契約に基づく業務の範囲を超え
て,直接,aに対して,本件システムの開発に関わる日常業務につき具
体的な指示をするなど,実質的な指揮監督関係を及ぼしていたことを裏
付ける的確な証拠はなく,一審原告らの上記主張を認めるには足りない。
8一審被告らの共同不法行為責任について
前記2ないし5で説示したとおり,一審被告シンフォーム及び一審被告ベネ
ッセは,それぞれ,固有の責任として,一審原告らに対する不法行為責任を負
うところ,当該一審被告らの不法行為は,一審被告ベネッセが保有し,その管
理を一審被告シンフォームに委託していた本件個人情報の管理に関するもので
あり,客観的に関連することは明らかであるから,一審被告らの不法行為は,
共同不法行為(民法719条1項前段)に当たるということができる。
9一審原告らの個人情報の漏えいの有無及び範囲について
本件漏えいに係るaの行為によって一審原告らの個人情報が漏えいしたか否
か及び漏えいした場合の情報の範囲については,原判決の「第3争点に対す
る判断」の1項に記載のとおりであるから,これを引用する。
本件漏えいによる一審原告らの損害の発生の有無及びその額について
本件漏えいによって,一審原告らの氏名,性別,生年月日,郵便番号,住
所,電話番号,ファクシミリ番号,メールアドレス,出産予定日及び保護者
の氏名といった情報が漏えいしたものであるところ,このうち,氏名及び郵
便番号・住所,電話番号,ファクシミリ番号及びメールアドレスについては,
これらの情報を取得した者において,これらを取得された者に対する連絡が
可能となり,また,同情報の使用方法によっては,取得された者の私生活の
平穏等に一定の影響が及ぶおそれがある。また,一審原告らがこれらの情報
を提供した経緯及び情報の内容に照らし,これらの情報がみだりに第三者へ
の開示がされることはないとの期待が存在したものと考えられ,性別,生年
月日,出産予定日及び保護者の氏名も含め,自己の了知しないところで第三
者に流出することは欲しないものであったということができるから,これら
の情報が不正に漏えいした場合には,自己の了知しないところで自己の個人
情報が漏えいしたことへの私生活上の不安,不快感及び失望感を生じさせた
ものとして,精神的損害が生じたと認めるのが相当である。
もっとも,出産予定日を除くこれらの情報は,人が社会生活を営む上で一
定の範囲の他者に開示することが予定されている個人を識別するための情報
又は個人に連絡をするために必要な情報でもあるため,思想・信条,病歴,
信用情報等とは異なり,個人の内面等に関わるような秘匿されるべき必要性
が高い情報とはいえない。また,出産予定日については,予定日にすぎない
ので,秘匿されるべき必要性の程度が相対的に低い。さらに,一審原告らは,
本件漏えいでは,一審原告らについて,子供の教育に熱心な,若しくは関心
がある親又は教育に熱心な,若しくは関心がある親に育てられた子という属
性も流出していると主張するけれども,aはイベントで集めた情報などとし
て本件個人情報を売却しており,情報の量や質から一審被告らが保有してい
た情報として漏えいしたことが推測されていたとしても,これらの属性も,
秘匿性が高いものとはいえず,それによって,一審原告らの精神的損害の程
度が高まるものということはできない。
また,本件漏えいに係る情報は,一審原告らそれぞれでその範囲を異にし,
その内容も異なるところ,自己の提供した個人を識別するための情報や個人
に連絡するために必要な情報を漏えいされたこと自体には違いはなく,その
範囲や内容によって,自己の了知しないところで自己の個人情報が漏えいし
たことへの不安,不快感等につき,精神的損害の程度を区別して考えるほど
の違いがあるとまではいえない。
なお,一審原告らは,未成年の一審原告らに関しては,不安,不快感がこ
れから一生付きまとうなどして,精神的苦痛は成年者とは異なるとも主張す
るが,本件漏えいによる影響の期間は,成年者であるか未成年者であるかを
問わず,個別の事情によるところが大きい一方,自己の了知しないところで
自己の個人情報が漏えいしたことへの不安,不快感の程度は,成年者である
か未成年者であるかは問わず,異なるものとはいえないため,成年原告と未
成年原告とで精神的損害の程度を格別に扱う理由までを見いだすのは困難で
あるので,同主張は採用しない。
そして,本件漏えいにより,教育関連会社等500社を超える会社に情報
が流出したとの報道がされている上,本件漏えいの発覚経緯が,一審被告ベ
ネッセの顧客から,一審被告ベネッセに対し,一審被告ベネッセと異なる通
信教育事業者から一審被告ベネッセに提供していた氏名を名宛人とした書面
が送付されているとの指摘が多数寄せられ,しかも,その氏名の中には,一
審被告ベネッセだけに提供していた戸籍上の氏名と異なるものがあるとの指
摘が含まれていることに鑑みると,本件漏えいに係る情報も同通信教育事業
者に流出した可能性があるといえるものの,一審原告らもダイレクトメール
やセールス電話が一審原告ら全員に生じているとまでは主張しておらず,前
記の流出の可能性を超えて,現時点で,ダイレクトメール等が増えたような
気がするという程度以上に財産的損害その他の実害が一審原告らに生じたこ
とはうかがわれない。
一方,一審被告シンフォームは,aから,個人情報等を漏えいしない旨記
載された同意書を取得していたほか,aに対して,情報セキュリティ研修等
を受講させていた。そして,一審被告ベネッセの持ち株会社である株式会社
ベネッセホールディングスは,本件漏えいの発覚後に直ちに対応を開始し,
情報漏えいの被害拡大を防止する手段を講じ,監督官庁に対する報告及び指
示に基づく調査報告を行い,情報が漏えいしたと思われる顧客に対し,本件
通知書を送付するとともに,顧客の選択に応じて500円相当の謝罪品の交
付を申し出るなどしている。
以上のとおり,本件に現れた一切の事情を総合考慮すると,個人情報の漏
えいした一審原告らにつき本件漏えいに係る不法行為によって生じた精神的
損害に対する慰謝料として3000円を認めるのが相当である。
そして,一審原告らが一審原告ら訴訟代理人弁護士に本件訴訟の提起及び
追行を委任したことは当裁判所に顕著であるところ,その弁護士費用として
は,本件事案の難易,請求額,損害額その他諸般の事情を考慮すると,一審
原告1人当たり300円の範囲内のものが一審被告らの不法行為と相当因果
関係にある損害とみるのが相当である。
11小括
以上によれば,一審被告らは,共同不法行為(民法719条1項前段)に基
づき,連帯して,別紙控訴人目録の「判断」欄に○と記載した一審原告らに対
し,同一審原告らそれぞれにつき3300円及びこれに対する不法行為の後の
日である平成26年7月7日から支払済みまで民法所定の年5分の割合による
遅延損害金の限度で支払義務を負う。
第4結論
以上によれば,原判決中,一審原告らの一審被告ベネッセに対する請求を全
部棄却した点は相当でないからこれを変更し,上記の限度で一審原告らの請求
を一部認容し,その余の請求をいずれも棄却することとし,一審被告シンフォ
ームの控訴は棄却することとして,主文のとおり判決する。
東京高等裁判所第23民事部
裁判長裁判官白石哲
裁判官筒井健夫
裁判官加本牧子

戻る



採用情報


弁護士 求人 採用
弁護士募集(経験者 司法修習生)
激動の時代に
今後の弁護士業界はどうなっていくのでしょうか。 もはや、東京では弁護士が過剰であり、すでに仕事がない弁護士が多数います。
ベテランで優秀な弁護士も、営業が苦手な先生は食べていけない、そういう時代が既に到来しています。
「コツコツ真面目に仕事をすれば、お客が来る。」といった考え方は残念ながら通用しません。
仕事がない弁護士は無力です。
弁護士は仕事がなければ経験もできず、能力も発揮できないからです。
ではどうしたらよいのでしょうか。
答えは、弁護士業もサービス業であるという原点に立ち返ることです。
我々は、クライアントの信頼に応えることが最重要と考え、そのために努力していきたいと思います。 弁護士数の増加、市民のニーズの多様化に応えるべく、従来の法律事務所と違ったアプローチを模索しております。
今まで培ったノウハウを共有し、さらなる発展をともに目指したいと思います。
興味がおありの弁護士の方、司法修習生の方、お気軽にご連絡下さい。 事務所を見学頂き、ゆっくりお話ししましょう。

応募資格
司法修習生
すでに経験を有する弁護士
なお、地方での勤務を希望する先生も歓迎します。
また、勤務弁護士ではなく、経費共同も可能です。

学歴、年齢、性別、成績等で評価はしません。
従いまして、司法試験での成績、司法研修所での成績等の書類は不要です。

詳細は、面談の上、決定させてください。

独立支援
独立を考えている弁護士を支援します。
条件は以下のとおりです。
お気軽にお問い合わせ下さい。
◎1年目の経費無料(場所代、コピー代、ファックス代等)
◎秘書等の支援可能
◎事務所の名称は自由に選択可能
◎業務に関する質問等可能
◎事務所事件の共同受任可

応募方法
メールまたはお電話でご連絡ください。
残り応募人数(2019年5月1日現在)
採用は2名
独立支援は3名

連絡先
〒108-0023 東京都港区芝浦4-16-23アクアシティ芝浦9階
ITJ法律事務所 採用担当宛
email:[email protected]

71期修習生 72期修習生 求人
修習生の事務所訪問歓迎しております。

ITJではアルバイトを募集しております。
職種 事務職
時給 当社規定による
勤務地 〒108-0023 東京都港区芝浦4-16-23アクアシティ芝浦9階
その他 明るく楽しい職場です。
シフトは週40時間以上
ロースクール生歓迎
経験不問です。

応募方法
写真付きの履歴書を以下の住所までお送り下さい。
履歴書の返送はいたしませんのであしからずご了承下さい。
〒108-0023 東京都港区芝浦4-16-23アクアシティ芝浦9階
ITJ法律事務所
[email protected]
採用担当宛