戻る

主文
１一審原告らの控訴に基づき，原判決を次のとおり変更する。
一審被告らは，別紙控訴人目録の各「判断」欄に○と記載した
一審原告らに対し，連帯して，それぞれ３３００円及びこれらに
対する平成２６年７月７日から各支払済みまで年５分の割合によ
る金員を支払え。
一審原告らのその余の請求をいずれも棄却する。
２一審被告シンフォームの控訴を棄却する。
３訴訟費用は，第１，２審を通じて，別紙控訴人目録の各「判断」
欄に〇と記載した一審原告らと一審被告らとの間においては，これ
を２０分し，その１９を同一審原告らの負担とし，その余を一審被
告らの負担とし，同目録のその余の一審原告らと一審被告らとの間
においては，全部同一審原告らの負担とする。
４この判決は，第１項に限り，仮に執行することができる。
事実及び理由
第１控訴の趣旨
１一審原告ら
原判決を次のとおり変更する。
一審被告らは，別紙控訴人目録記載の一審原告らに対し，連帯して，それ
ぞれ同目録の「請求額（円）」欄記載の金員及びこれに対する平成２６年７
月７日から各支払済みまで年５分の割合による金員を支払え。
２一審被告シンフォーム
原判決中，一審被告シンフォームの敗訴部分を取り消す。
上記敗訴部分にかかる一審原告らの一審被告シンフォームに対する請求を
いずれも棄却する。
第２事案の概要
１本件は，一審原告らが，通信教育事業等を営む一審被告ベネッセに個人情報
を提供していたところ，一審被告ベネッセからその管理を委託されていた一審
被告シンフォームが更に外部業者に再委託をし，そこから更に業務委託を受け
た先の会社の従業員において，私物スマートフォンを用いて当該個人情報を不
正に取得し，それらを第三者に売却して外部に漏えいさせたことにつき，①一
審被告らには一審原告らの個人情報の管理に係る注意義務違反があった，②一
審被告シンフォームは前記従業員の使用者であり，前記従業員の行為につき使
用者責任を負う，③一審被告ベネッセは一審被告シンフォームの使用者であり，
一審被告シンフォームの注意義務違反につき使用者責任を負うなどと主張して，
一審被告らに対し，プライバシーの侵害による共同不法行為又は使用者責任等
に基づき，連帯して，一審原告らが被った精神的苦痛に対する慰謝料等の損害
賠償金（上記漏えいの当時成年であった一審原告らにつき各５万円，未成年で
あった一審原告らにつき各１０万円）及びこれに対する不法行為の後の日であ
る平成２６年７月７日から支払済みまで民法所定の年５分の割合による遅延損
害金の支払を求める事案である。
２原審は，①上記漏えいが，デジタルカメラの画像転送プロコトルをベースに，
音楽・動画ファイルなどの転送を可能にした規格であるＭＴＰ（メディア・ト
ランスファー・プロトコル〔ＭｅｄｉａＴｒａｎｓｆｅｒＰｒｏｔｃｏ
ｌ〕の略）対応の私物スマートフォンを用いたものであり，一審被告らにおい
て，上記漏えいの当時，そのような方法による情報漏えいに関する予見可能性
はなかったとし，一審原告らの個人情報の管理に係る注意義務違反は認められ
ないとした上で，②上記漏えいの当時，一審被告シンフォームと上記従業員と
の間には実質的指揮監督関係があり，一審被告シンフォームには上記漏えいに
ついて使用者責任が成立すると認め，③一審被告ベネッセの使用者責任は否定
して，一審被告シンフォームに対して，別紙控訴人目録の各「判断」欄に○と
記載した一審原告らに対し，それぞれ３３００円及びこれらに対する不法行為
の後の日である平成２６年７月７日から各支払済みまで民法所定の年５分の割
合による遅延損害金の支払を求める限度で一審原告らの請求を認容した。
これに対して一審原告ら及び一審被告シンフォームが控訴をし，それぞれ前
記第１の１及び２のとおりの判決を求めた。
なお，一審原告らは，当審において，一審被告らに対する請求元金の額を，
上記漏えいの当時成年であった一審原告らにつき各２万円，未成年であった一
審原告らにつき各４万円に減縮した。また，別紙控訴人目録の控訴人番号３６
４の控訴人については，原審において遅延損害金の請求時期について平成２６
年１２月９日（訴状送達の日の翌日）としていたが，当審において同年７月７
日と改めた。
３前提事実，争点及びこれに関する当事者の主張は，以下のとおり原判決を補
正し，次項のとおり当審における一審原告らの補充主張を，次々項のとおり当
審における一審被告らの補充主張を加えるほかは，原判決「事実及び理由」欄
の「第２事案の概要」の１項及び２項に記載のとおりであるから，これを引
用する。ただし，「原告」を「一審原告」に，「被告ベネッセ」を「一審被告
ベネッセ」，「被告シンフォーム」を「一審被告シンフォーム」にそれぞれ読
み替える（以下同じ。）。
一審被告ベネッセ」を
一審被告シンフォーム」
原判決４頁３行目の末尾の次に，以下のとおり加える。
「一審被告らは，いずれも株式会社ベネッセホールディングス（以下「ベ
ネッセホールディングス」という。）の子会社である。
一審被告ベネッセから一審被告シンフォームへの業務委託」
り，同行目の「被告ベネッセは」の次に
「従前，主に，顧客管理のシステム及び販売管理のシステムに大別される複
数のデータベースに顧客情報を集積して事業活動に利用していたが，事業の
拡大に伴い，顧客情報が集積されているデータベースが多くなったことから，
そのリスク管理のため，」を加える。
原判決４頁９行目の末尾の次に，以下のとおり加える。
「一審被告シンフォームにおいては，本件システムに関する開発，運用及
び保守の業務は，その顧客分析課が主な所管部署とされた。そして，一審
被告シンフォームは，毎年，一審被告シンフォームの業務に従事する者
（一審被告シンフォームの従業員であるかどうかにかかわらない。）の全
員を対象として情報セキュリティ研修を実施し，セキュリティソフトによ
る外部記録媒体への書き出し制御の実施等の告知を行うなどして，個人情
報や機密情報の漏えい防止のための注意喚起等を行った上，その研修内容
を踏まえたテストを実施していた。
一審原告らの一審被告ベネッセに対する個人情報の提供
一審原告らは，通信教育教材の取引，ベビー用品の通信販売の利用，
情報サイトへの登録及びアンケートへの回答等をする際，一審被告ベネ
ッセに対し，自ら及び未成年者の一審原告らの氏名及び住所等の個人情
報（以下「本件個人情報」という。ただし，その具体的内容については，
後記のとおり，当事者間に一部争いがある。）を提供し，本件個人情報
は，本件データベースに保存されていた。
本件システム及び本件データベースについて
ア本件システムにおいては，顧客管理のシステムや販売管理のシステ
ム等の本件システムと連携するシステム（以下「連携システム」とい
う。）に集積された顧客情報が，まず本件データベース内の「インポ
ート層」と呼ばれるデータ領域に保存され，次いで「インポート層」
内のデータの形式を揃えるなどの加工がされたデータが「ＤＷＨ層」
と呼ばれるデータ領域に保存され，さらに当該データの個人を特定す
る情報を捨象して分析ソフトで分析しやすい形式にするなどの加工を
したデータ（個人情報を有しないデータ）が「マート層」と呼ばれる
データ領域に保存される仕組みとなっていた。そして，本件システム
の運用開始後は，一審被告ベネッセの事業部門は，分析ソフトを使用
し，個人を特定する情報が捨象された「マート層」に保存されたデー
タを活用することになっていた。
イ本件システムの開発作業においては，「インポート層」，「ＤＷＨ
層」及び「マート層」の各層ごとに，顧客情報が保存されていたデー
タ領域である「本番環境」と運用開始前の各種テストを実施するため
に使用されるデータ領域である「開発環境」が存在したところ，「開
発環境」と「本番環境」はそれぞれ物理的に切り離されていた。そし
て，「開発環境」においては，個人情報を含んだデータの保存はされ
ず，ダミーデータやマスキングデータが用いられることになっていた。
また，ネットワークが業務単位ごとに分離され，業務上必要なサーバ
へのみアクセスが可能なようにアクセス制御が行われていた。
ウ本件システムは，更にその領域ごとにアカウント管理がされていた。
すなわち，本件データベースの「インポート層」,「ＤＷＨ層」及び
「マート層」の各層における「本番環境」及び「開発環境」のいずれ
の環境にアクセスする際にも，それぞれ別個に設定されたアカウント
が必要であった(以下，各環境での作業も含め，本件システム開発等の
業務に要するアカウントを総称して，「本件システムのアカウント」
という。)。
本件システムのアカウントには，個々の業務従事者を対象に発番され
るアカウント（以下「個人用アカウント」という。）と，本件システ
ムの開発，運用及び保守等に関連する業務を対象に発番され，当該業
務に従事する複数の業務従事者が共同で使用するアカウント（以下
「業務用アカウント」という。）があり，業務用アカウントには，本
件システムに直接アクセスする際に使用されるもののほか，プログラ
ム構築等の効率化のためのバッチサーバ（バッチ処理〔一定量のデー
タを集め，一括処理する方法〕を行うサーバ）にアクセスする際に使
用されるものも存在した。
一審被告らにおいて，本件システム及び連携システムの各データベー
スに集積されている顧客情報にアクセスするには，本件システムのア
カウント使用の承認が必要であり，個人用アカウント及び業務用アカ
ウントの新規発番は，いずれも，当該システムの担当部門の上長であ
る課長が，発番の必要性等を判断し，その上位の部長の承認を受けた
上，同部門から発番を担当するインフラ部門に対して申請を行い，発
番を受けるという流れで行われていた。
本件システムのアカウントの提供を受けていたのは，一審被告シンフ
ォームにおいては，本件システムに関する開発，運用及び保守等の業
務並びに連携システムに関する業務の担当者であり，また一審被告ベ
ネッセにおいては，対応窓口となっていたＩＴ戦略部等の本件システ
ムの担当者等であった。
本件システムの開発等の業務担当者は，本件データベースにアクセス
するために，会社から貸与された業務用パソコンから直接本件データ
ベースの顧客情報等のデータにアクセスする場合と，プログラム構築
等の効率化のためのバッチサーバを経由してアクセスする場合があっ
たところ，業務用パソコンから，本件データベース内の顧客情報に直
接アクセスする場合には訴外オラクル社のソフトウェアが，バッチサ
ーバを経由してアクセスする場合はテラターム（インターネット接続
が可能であれば，無償でダウンロード及びインストールが可能なフリ
ーソフト）というソフトウェアが，それぞれ必要であった。（甲２，
１９の３）
エ前記顧客情報は，全てサーバコンピュータに記録して保管されており，
本件システムの構築作業中の平成２５年１月頃から，その一部機能の
試行を開始するため，顧客情報が連携システムから本件データベース
に入り始めた。当初，本件システムは平成２６年４月頃に本格的な運
用を開始することが予定されていたが，同時期になってもシステムの
不具合が続発していたため，後記の本件漏えいが発覚した同年６月頃
にも本格的運用には至っていなかった。（甲６３，６６，７３）
ａ（以下「ａ」という。）の本件業務への従事」
原判決４頁１７行目の末尾の次に，以下のとおり加える。
「一審被告シンフォームは，本件システムの運用及び保守管理に関して外部
業者に再委託をしており，ａは，そのような再委託先から更に順次委託を
受けて一審被告シンフォームからみて３次委託先となる会社（以下「本件
委託先会社」という。）の従業員であった。ａは，システムエンジニアと
しての経験を有していた。
ａによる本件個人情報の漏えい」
括弧内を削る。
原判決４頁２４行目の「という。)。」の次に，「なお，本件当時，一審
被告シンフォームの業務においては，従来型の携帯電話やスマートフォンが
日常的に使用されており，これらが，充電のために業務用のパソコンにＵＳ
Ｂケーブルで接続されていた。」を加える。
原判決５頁５行目の末尾の次に，改行して次のとおり加える。
「本件漏えいの事実が発覚したことを受けて，警視庁生活経済課に対する取
材に基づき，ａが不正に取得した個人情報は，教育関連会社等の約５００社
に流出したという報道がされた。（甲４９，５０）」
原判決５頁６行目の冒頭から２０行目の末尾までを次のとおり改める。
「本件漏えい当時に一審被告シンフォームが採用していた安全管理措置に
ついて
アインターネットとの接点
一審被告シンフォームは，データセンターに設置されているサーバと
一審被告シンフォームの執務室内のパソコンとの間を専用回線で繋いで
おり，インターネット回線を使用していなかった。また，一審被告シン
フォームは，インターネットと接する部分について，以下のとおり対策
を実施していた。
ファイアウォールを導入し，必要最小限の通信のみ許可（申請ベ
ースで変更）する通信制御を実施していた。
不正アクセスについて，外部業者に委託してリアルタイムで監視
を行い，攻撃を検知し，かつ，システムに影響が出ると判断した場合
は，直ちにインシデント対応を実施することとしていた。
リモート接続について，申請制により最小限の人にのみ許可し，
かつ，重要なシステムにはアクセスできないという制御を実施してい
た。
インターネット接続が可能なＵＲＬについて，業務で必要なサイ
トのみ許可していた。
社外への電子メールを全て保存していた。
イ物理的境界
個人情報が保管されているサーバは，隔離されたデータセンターに設
置され，同室への入退室に対して管理（入館の事前申請・入館制限，
私物持込み不可，機器持ち出し不可及び監視カメラ設置等）が行われ
ており，また，業務を行う執務室についても入退室管理（申請制によ
る入退室制限，入退室記録の保存及び入退室に係る箇所への監視カメ
ラの設置等）が行われていた。
ウ内部ネットワーク
本番環境と開発環境の分離がされていたほか，ネットワークが業務単
位に分離され，業務上必要なサーバへのみアクセスが可能なようにア
クセス制御が行われるとともに，拠点からは管理に必要なプロトコル
のみ許可し，私物パソコンの社内ネットワーク接続が禁止され，業務
用パソコンについてもセキュリティ目的でアクセス及びダウンロード
について全てネットワーク通信記録を取得することによる監視が行わ
れていた。
エサーバ
本件データベースのサーバに関しては，アカウント管理が行われ，
「踏み台サーバ」としてバッチサーバを経由させた上でサーバにログ
インすることとし，これらについて個人が特定できる形でサーバへの
アクセスログの記録が保管されていた。
また，一審被告シンフォームにおける連携システムのデータベースサ
ーバにつき，一審被告シンフォームの業務を行う担当者が使用するク
ライアントパソコンから個人情報が記録保管されているサーバへのア
クセスは，自動的にアクセスログ及び通信ログが記録されるように設
定されていた。
さらに，クライアントパソコンと連携システムのデータベースサーバ
の間の通信量が一定の閾値を超えた場合，連携システムのデータベー
スの管理者である一審被告シンフォームの各担当部門の部長に対し
て，メールでアラートが送信されるようになっていた。しかし，クラ
イアントパソコンと本件データベースとの通信については，ａによる
本件漏えいの当時，上記アラートシステムの対象として設定する措置
が講じられていなかった。（乙１及び弁論の全趣旨）
業務用パソコンに対するセキュリティ対策について
ア一審被告シンフォームにおいては，管理者業務で使用するパソコン
とそれ以外の業務で使用する業務用パソコンとを分け，担当者に対し
て専用のパソコンとして貸与し，それぞれ利用場所を制限していた。
また，業務用パソコンについて設定されていたセキュリティ対策とし
ては，①ウイルス対策ソフトの搭載，②ＵＲＬフィルタリングツール
（業務に必要なＵＲＬのみ接続を許可する。）の搭載，③メールフィ
ルタ（個人情報を記載したメールと判断されたものについての送信を
差し止める。）の設定，④その他標準として選定したソフトウェアの
搭載と個人による標準仕様の変更の制限，⑤パスワードの設定等があ
った。
イ一審被告らは，本件当時，情報漏えいを防止するため，業務用パソ
コンに株式会社日立ソリューションズ（旧商号・日立ソフトウェアエ
ンジニアリング株式会社）の製品であるセキュリティソフトウェア
「秘文Ｖｅｒ．９．０」（以下「本件セキュリティソフト」とい
う。）を搭載させていた。本件セキュリティソフトは，本件当時，全
てのデバイスについて，パソコンからデバイスへのデータの書き出し
及びデバイスからパソコンへのデータの読込みを制御するという接続
制御の機能を有していたが，一審被告シンフォームにおいては，本件
セキュリティソフトにＭＴＰによる通信について接続を制御する設定
を施していなかった。（甲１，１９の１ないし３，６９ないし７１，
乙１）
データについて
一審被告シンフォームは，一定の重要なサーバ上のデータについては
暗号化し，また，ＳＱＬ（操作）ログの記録を全て取得して保管してい
た。（乙１及び弁論の全趣旨）
ＭＴＰとＭＳＣについて」
原判決６頁１１行目の末尾の次に，改行して次のとおり加える。
本件漏えい後の一審被告らの対応について
ア一審被告ベネッセは，平成２６年６月下旬，顧客から，一審被告ベ
ネッセだけに登録した情報で他者からダイレクトメールが届いている
などの問合せが急増したことから，自社の顧客の個人情報が社外に漏
えいしている可能性を認識し，同月２７日に調査を開始して，同月２
８日，原因究明の調査及び顧客対応等のため緊急対策本部を設置する
とともに，同月３０日，経済産業省に状況を報告して対応を相談し，
警察にも対応を相談するなどした。
一審被告ベネッセは，同年７月７日，一審被告シンフォームにおいて
大量の顧客情報が漏えいした形跡があることを把握し，警察に捜査を
依頼した。
イ一審被告ベネッセは，同月８日，その保有する顧客情報を用いて作成
された名簿に基づき勧誘活動を行っている企業及び名簿を取り扱って
いる名簿業者に対して名簿の利用及び販売の中止を求める内容証明郵
便を送付し，同月９日，本件漏えいの事実を公表した。
ウ一審被告ベネッセは，同月１０日，経済産業大臣から，個人情報保護
法３２条に基づく報告を命じられ，また，同月１１日以降，お詫びと
本件漏えいの対策状況を新聞広告によって公表した。
一審被告ベネッセは，同月１４日以降，漏えいの確認された顧客らに
お詫びの文書を送付し，その後，漏えいの確認された顧客らの選択に
従って，当該顧客らに対してお詫びの品として５００円分の金券（電
子マネーギフト又は全国共通図書カード）を送付する方法又は漏えい
１件当たり５００円を「財団法人ベネッセこども基金」（一審被告ベ
ネッセが本件漏えいを受けて子らへの支援等を目的として設立した基
金）に寄付する方法による補償を実施した。
エ一審被告らの持株会社であるベネッセホールディングスのｂ会長兼
社長（当時）は，同月１５日，その諮問機関として，本件漏えいに関
する事実及び原因等の調査並びに再発防止策の提言を目的として，個
人情報漏えい事故調査委員会（以下「本件調査委員会」という。）を
設置した。
本件調査委員会は，事故調査報告書を取りまとめ，同年９月１２日に
ベネッセホールディングスに交付し，一審被告ベネッセは，同月１７
日，最終報告書を経済産業省に報告するとともに，同月２５日，本件
調査委員会による調査報告の概要を公表した。
上記事故調査報告書においては，「第２章調査結果」の「Ⅲ不正
行為等の原因（不正行為を防げなかったシステムの問題点）」におい
て，「１．不正行為等の原因となった情報処理システム」について，
①アラートシステム，②クライアントパソコン上のデータのスマート
フォンへの書き出し制御設定，③アクセス権限の管理，④データベー
ス内の情報管理が指摘された。
（以上につき，甲１，１４の２及び３）
経済産業大臣の勧告について
経済産業大臣は，平成２６年９月２６日，一審被告ベネッセに対し，
一審被告ベネッセは，①その保有する個人情報の利用・管理に責任を持
つ部門を設定せず，その安全管理のため必要かつ適切な措置を講ずるこ
とを怠っており，個人情報の保護に関する法律（平成２７年法律第６５
号による改正前のもの。以下「個人情報保護法」という。）２０条に違
反し，②顧客情報のシステム開発・運用に関する委託先である一審被告
シンフォームに対して行う定期的な監査において，アラートシステムの
対象範囲を監査の対象としていなかったなど，委託先に対する必要かつ
適切な監督を怠っており，個人情報保護法２２条に違反するとして，個
人情報保護法３４条１項に基づき，安全管理措置及び委託先に対する監
督の徹底を勧告した。（甲１３の１及び２）
ａの刑事事件について
ａは，平成２６年７月１７日，警視庁によって不正競争防止法違反の被
疑事実に基づき逮捕され，その後，本件漏えいに係る行為の一部について，
一審被告ベネッセの営業秘密である顧客情報の不正領得及びその開示行為
につき不正競争防止法違反の罪で起訴された。東京地方裁判所立川支部は，
平成２８年３月２９日，ａについて不正競争防止法違反の犯罪の成立を認
め，ａは顧客情報にアクセスする権限を与えられた者としての地位や専門
的知識を悪用し，極めて大量の顧客情報を領得，開示した悪質な犯行を行
ったものであり，その犯行の結果，一審被告ベネッセ及び関連会社の事業
活動や経営状態に甚大な悪影響を与える事態となったなどとして，ａを懲
役３年６月及び罰金３００万円に処するとの有罪判決を宣告した。ａはこ
れを不服として控訴し，控訴審である東京高等裁判所は，平成２９年３月
２１日，ａの量刑不当の主張を容れ，ａが当該犯行に及んだ背景事情とし
て，一審被告らにおける顧客情報の管理に不備があるとともに，被害が拡
大したことに一審被告らの対応の不備があり，これらの被害者側の落ち度
を考慮すべきであるのに第１審判決の量刑は重きに失するとして，第１審
判決を破棄し，ａを懲役２年６月及び罰金３００万円に処するとの有罪判
決（実刑）を宣告した。（甲３，１０，５２）
本件個人情報の漏えいの詳細」
。
４当審における一審原告らの補充主張
本件個人情報の漏えいにつき一審被告らには予見可能性があったことにつ
いて
以下のとおり，本件個人情報の漏えいにつき一審被告らの予見可能性を認
めなかった原審の認定判断は不当である。
すなわち，一審被告らは，本件当時，スマートフォン等の外部機器による
情報の不正取得を予見していたからこそ，そのような外部機器に対するセキ
ュリティ対策を行っていたものである。そして，ＵＳＢメモリ等のＵＳＢ機
器とパソコンとの間の通信方法として知られるＭＳＣ（マスストレージクラ
ス〔ＭａｓｓＳｔｏｒａｇｅＣｌａｓｓ〕の略）とＭＴＰによる通信方
法とが異なる規格であることは事実であるが，一般的なセキュリティソフト
ウェアにおいては，このような通信方法に着目した設定がされるわけではな
く，制御の対象となるデバイスの種別に応じて設定方法が提案されている。
このことは，本件当時，一審被告らに使用されていた本件セキュリティソフ
ト（秘文）においても同様であり，ＭＴＰによる通信方法に対応したスマー
トフォンを含め，ＭＴＰデバイスについては，ウィンドウズ・ポータブル・
デバイス（以下「ＷＰＤ」という。）として書き出し制御の対象とする設定
が可能であった。
本件当時，一審被告らの導入していた本件セキュリティソフトを含め，市
販されていた多くのセキュリティソフトウェアがＷＰＤに対する制御機能を
有しており，ＷＰＤが情報漏えいの危険性のある端末であることについては
具体的に認識されていたといえる。実際に，一審被告シンフォームの担当者
は，ａの刑事事件において，捜査機関に対しＷＰＤについても接続制御機能
が有効になっていると考えていた旨述べていたのであり，一審被告らが，Ｗ
ＰＤによる情報持ち出しの危険性を認識していたことは明らかである。そし
て，一審被告らは，ＷＰＤを利用した情報漏えいが予見できたのであるから，
ＷＰＤの１機種であるＭＴＰ方式のスマートフォンによる情報漏えいについ
ても予見可能性があった。
なお，一審被告らは，ＭＴＰによる通信方法に対応したスマートフォンに
よる情報漏えいについては結果回避義務がないなどと主張するが，本件セキ
ュリティソフトにおいてＷＰＤについての接続制御機能を有効にする設定を
していなかったのは，クレジットカード情報等を含めた大量の個人情報を取
り扱う業者としてリスク管理ができていなかったということにすぎず，結果
回避義務がなかったなどということはできない。
一審被告シンフォームの過失責任及び使用者責任が認められること
ア過失責任について
一審被告シンフォームの過失の有無について，原判決が以下の注意義務
違反を認めなかった点は不当である。
原判決は，私物スマートフォンの持込み禁止について，執務室（オフ
ィス）につき，持込みを禁止すべき注意義務がないなどとする合理的
な理由を説明していない。執務室内には内線電話も設置されており，
私物のスマートフォンは業務上使用する必要性がなかったのであるか
ら，持込みを制限すべきであったことは明らかである。
また，本件では，アラートシステムが機能していれば情報漏えいを食
い止めることができた。すなわち，ａは，平成２５年７月１７日から
１８日に顧客情報２９万１５９１件を書き出してスマートフォンに保
存し，同月１８日に株式会社セフティー（以下「セフティー」とい
う。）にこれを売却している。その後は，同月２９日，同年８月６日
に同様の方法で情報を持ち出し，以後も繰り返しているところ，ａが
セフティーに売却した個人情報の合計件数１億７８９７万８９３３件
（甲７６）に比較すると，最初の漏えい件数は全体のわずか１．６２
パーセントであり，その段階でアラートシステムが機能していれば相
当割合の漏えいを食い止めることができた。また，アラートシステム
が機能していることを掲示していれば，情報の持ち出しをすれば犯人
が特定されることでａの犯行の動機を失わせることもできた。
イ使用者責任について
使用者責任における指揮監督関係の有無は，実質的な観点から検討され
るべきであるところ，ａは，その刑事事件における被告人質問（甲６３，
６４）において，①作業ごとに所属していたグループにおいては一審被告
シンフォームの従業員であるリーダーから作業を割り当てられ，打ち合わ
せへの出席指示を受け，作業スケジュールはリーダーが作成し，ＷＢＳと
呼ばれる進捗管理表にやるべき作業・担当するメンバーを書き込んでいた
こと，②ａが在籍するＡ社では，雇用契約上，Ａ社の従業員であるＴがａ
を指揮監督する者とされていたものの，ａの入社後１，２か月が経過した
頃には，Ｔとａはそれぞれ別のリーダーの下で作業をするようになり，Ｔ
も最初は毎日一審被告シンフォーム多摩事務所に来所していたが，そのう
ちに来所が週２日程度に減り，その後は全く来なくなったりしており，例
外的に作業の問い合わせの電話連絡があった程度であったことを具体的に
供述している。
また，一審被告シンフォームの事業開発本部長兼事業開発部長であっ
たｃは，ａの刑事事件における証人尋問（甲７３）において，一審被告
シンフォームの従業員とａのような他の委託先の従業員（以下「パート
ナー社員」ということがある。）が１対１でミーティングし，作業工程
の確認をし合うことがあることや進捗状況の確認，計画通りに作業を終
わらせるとの要望を出すことがあったこと，パートナー社員は一審被告
シンフォームに直接作業報告をしていたことなどを認めており，具体的
な指示や作業に関する監督があったといえる。
さらに，一審被告ベネッセと一審被告シンフォーム間の業務委託基本
契約書（甲３８）の６条においては，一審被告ベネッセの事前の書面に
よる承諾のない業務の再委託が禁止されており，ａは，本件システム開
発に関する事業について，実質的に一審被告シンフォームの従業員とし
て勤務していたというべきである。
上記の点に関する原判決の認定判断は相当であり，一審被告らの主張
には理由がない。
一審被告ベネッセの使用者責任が認められること
ア一審被告シンフォームの使用者としての責任について
原判決は，一審被告らの関係が業務委託契約に基づくものであるとい
う形式を重視して，一審被告ベネッセの使用者責任を否定したが，誤り
である。
一審被告らグループ会社は，従来，一審被告ベネッセが現在行っている
事業を行う親会社が存在し，一審被告シンフォームはその下でシステムを
担当する機能的子会社であった。実質的にみれば，持株会社制に移行する
以前は，一審被告シンフォームは，一審被告ベネッセのシステム部門がそ
のまま会社になった機能的子会社という位置付けにあり，一審被告ベネッ
セに従属する関係にあったから，実質的には一審被告ベネッセの指揮監督
下にあったといえる。実際に，ａのようなパートナー社員も，一審被告ベ
ネッセの担当者から直接指示を受けていた。ａは，一審被告ベネッセとの
進捗会議に案件ごとに週１回参加していたし，一審被告ベネッセの管理職
を担う者が，一審被告シンフォームの従業員を兼務して勤務していた。
イａの使用者としての責任について（当審において追加された主張）
一審被告ベネッセは，自社のサーバーにあるシステムを開発するという
業務において，ａに対して直接に指揮監督しており，ａの使用者にも該当
する。このことは，一審被告らが互いに出向者を在籍させ，上記アで指摘
したとおり，一審被告ベネッセの担当者が，ａを含むパートナー社員に対
して直接指示をして業務を行わせていたことなどから明らかである。
違法な権利侵害が認められること
プライバシーの侵害については，正当事由がない限り一般的に違法であっ
て，本件においても違法性について別途検討する必要性はない。
一審原告らの損害が発生していること
個人情報の現代的価値や要保護性を軽視するのは相当でなく，一審原告ら
については本件漏えいによる損害が認められるというべきであり，また，原
判決が認定した損害額は不当に低額である。
早稲田大学江沢民事件でも，情報漏えいに係る不法行為の成否につき，情
報の適切な管理に関する合理的な期待を裏切るものであるかどうかが判断基
準とされ，個人情報の秘匿の程度，開示による具体的な不利益の不存在，開
示の目的の正当性と必要性などの事情が結論を左右するには足りないとの判
示がされている。
一審被告ベネッセは，本件システムの開発や運用を，一審被告ベネッセと
は契約上も関係性の希薄な者に担当させており，ＵＳＢケーブルで業務に必
要のない私物スマートフォンをパソコンに接続することが常態化しているこ
とを長期にわたり黙認し，本件セキュリティソフトの設定を誤り，その見直
しも行わず放置している間に本件漏えいが行われたものである。ａは，セフ
ティーに対して１億７８９７万８９３３件の個人情報を売却したことが判明
しており，他に２社の名簿業者にも個人情報を売却しているのであって，そ
こから更に情報が拡散した可能性は否定できず，捜査当局も拡散した先は５
００社を超えるものと判断している。それらの情報の回収は困難であり，ま
た，拡散した個人情報の悪用の危険性が高いことは明らかである。
５当審における一審被告らの補充主張
本件漏えいに関する一審被告らの予見可能性について
本件漏えいに関して，一審被告らの予見可能性を肯定するためには，一審
被告らが従来の一般的なスマートフォンのパソコンへの接続方式（通信規格）
はＭＳＣであって，本件セキュリティソフトの書き出し制御措置はＵＳＢに
よる接続方式（通信規格）がＭＳＣであれば機能するが，ＭＴＰであれば機
能しないものであったこと，本件当時までに販売されるようになった一部の
スマートフォンはＭＴＰによる通信方法に対応していたことを具体的に認識
していたことが必要である。
しかるところ，一審被告シンフォームが本件セキュリティソフトを導入し
書き出し制御措置を設定したのは平成２３年夏であったところ，その時点で
は，ＭＴＰに初めて標準対応したスマートフォン用ＯＳであるＡｎｄｒｏｉ
ｄ４．０を搭載したスマートフォンも発売されていなかったのであって，一
審被告シンフォームとしては，書き出し制御措置を講じることによってスマ
ートフォン一般について書き出し制御できるものと考えていた。ＭＴＰによ
りＭＳＣデバイス制御に抜け道が生ずるという危険性については，本件当時，
情報セキュリティの専門家においても認識されていなかったのであり，一審
被告シンフォームは，本件セキュリティソフトの単なるユーザーにすぎず，
セキュリティソフト会社から一部のスマートフォンには対応できない状態に
なっているなどの注意喚起を受けることもなかったのであって，そのような
セキュリティソフトウェアの穴に気付く契機はなかった。本件当時までにＭ
ＴＰによる通信方法に対応したスマートフォンへの情報書き出しの危険性に
ついて具体的に指摘した行政機関その他の団体のガイドライン等はなかった
のであり，一審被告らの予見可能性の有無については，例えば経済産業分野
ガイドラインにおいて「しなければならない」とされている事項を充足して
いたかなどの観点から検討すべきである。ＭＴＰは，もともとデジタルカメ
ラやデジタルビデオカメラ，携帯音楽プレーヤー，ボイスレコーダー等をウ
ィンドウズパソコンに簡便に接続するために用いられていた技術仕様であり，
本件当時，ＭＴＰによる通信を行う機器としては，スマートフォンは念頭に
おかれていなかった。前記機器は情報漏えいのリスクとしてとらえられてい
なかったことから，情報漏えいの対策としてＭＴＰによる通信を制御すると
いう発想も実践もなかったのである。
仮に，①書き出し制御措置は実効性があり，②業務従事者に対して必要以
上に制約が生じない方法であることから，結果回避義務を認める判断がされ
るとすれば，これは過失をレトロスペクティブ（事後的・後方視的）に捉え，
こうすれば結果が生じなかったのだからこうすれば良かったとして，結果責
任を認めるもので誤りである。過失は，行為当時の一般的水準に照らして，
プロスペクティブ（事前的・前方視的）なものとして確定されなければなら
ない。
一審被告シンフォームの過失責任及び使用者責任について
ア本件セキュリティソフトは，そもそもＭＴＰにより通信をするデバイス
に対する書き出し制御機能を有しておらず，ＭＴＰによる通信につき読
み取りも書き出しも不可とする接続制御機能しか有していなかった。書
き出し制御に関する注意義務違反につき，一審原告らの主張は，あらゆ
る機器へのパソコンへの接続を一律に禁止すべきであるかのようである
が，パソコンの使用によって得られる利便性を合理的根拠なく放棄すべ
きというに等しい暴論である。
イ使用者責任について
原判決は，本件当時，一審被告シンフォームとａとの間に実質的指揮監
督関係があったと判断したが，その判断の主な根拠となったのは，ａの
刑事事件における供述内容のみである。
しかし，ａの刑事事件における供述内容は，一審被告シンフォームにお
ける仕事の割り振りや日常的な業務指示等の具体的場面について述べる
ことなく，抽象的に，一審被告シンフォームの従業員であるリーダーが
直接，委託先要員に仕事を割り振り，日常の業務指示をしていたという
結論のみを述べるものにすぎない。
ａは，刑事事件において，一審被告シンフォームから直接指揮命令を受
けていたため，一審被告シンフォーム以下の契約関係は偽装請負であり
公序良俗違反により無効であるから，ａが営業秘密を管理する任務を負
っておらず無罪であるとの主張をしていたのであり，虚偽供述への強い
動機があるとみなければならない。
一審被告ベネッセの過失責任及び使用者責任について
ア一審被告ベネッセには，一審被告シンフォームに対してＭＴＰによる通
信方法に対応したスマートフォンへの書き出し制御措置をとるよう指示
すべき義務はなかった。委託業者と受託業者は，法人として異なるので
あり，受託業者に業務遂行に当たり過失があったとしても，特段の事情
がなければ委託業者に過失があることにはならない。一審被告ベネッセ
が，一審被告シンフォームに対し，適切に報告を求めていたとしても，
一審被告ベネッセが書き出し制御措置の不十分な点に気付く可能性はな
かったから，監督義務違反は認められない。
イシステム開発やシステム保守運用その他委託元に常駐する形態の業務委
託（かかる形態をとらざるを得ないのは，業務の性質上，必然的であ
る。）について，問題が発生した場合にはすべからく委託元が指揮監督
をしていたなどと判断するのは不当である。一審被告ベネッセと一審被
告シンフォームとの関係は業務委託契約という対等な取引関係であり，
一審被告ベネッセは，一審被告シンフォームの使用者とはいえないし，
ａの使用者とされる具体的根拠は存在しない。
違法な権利侵害の有無について
プライバシー侵害の事案にあっては，法益侵害の有無とは別に違法性の有
無の検討が必要である。違法性の有無の判断は，被侵害利益の性質と侵害行
為の態様を相関関係的に考量してされるものであるが，被侵害利益の要保護
性が弱く，また侵害行為の態様について社会的相当性の逸脱の程度が低いほ
ど，違法性は否定されやすくなる。本件個人情報の内容や性質は，本来社会
生活を送るうえでは当然明らかにされるべき個人識別などのための単純な情
報にとどまり，情報の利用によって初めて個人の社会関係，取引関係，法律
関係等の様々な関係が円滑に行われ得るものであって，秘匿されるべき性質
のものとはいえず，被侵害利益の要保護性は低い。一審被告らの侵害行為の
態様として悪質性がほぼ存在しないことや事後的に速やかな公表，補償，原
因究明及び再発防止策の検討と実施を含む対応措置をとったことなどを考慮
すれば，一般人の感受性を基準として，一審被告らの行為が，社会的に容認
されないものとして違法であるとみる余地はない。
一審原告らの損害の発生の有無について
一審原告らが本件漏えいによる損害として主張するのは，抽象的な不安や
不快感にすぎず，これによって平穏な生活を送る利益が害されるとは一般に
考えられない軽微なものである。本件漏えいに係る行為の前後で一審原告ら
のおかれた具体的な立場や状況には変化がなく，損害は発生していない。秘
匿性の高くない個人情報の流出に対して，具体的損害がないにもかかわらず
損害の発生を認めて安易に損害賠償を認めることは，不法行為制度の目的か
らも正当化されるものではない。
本件漏えいによって，何らかの本件個人情報を取得した漏えい先が５００
件を超えるという事実については客観的根拠がなく，一審原告らの個人情報
が直接の売却先を超えて拡散した事実は何ら認められない。
第３当裁判所の判断
当裁判所は，本件漏えいについて，一審被告らには一審原告らの個人情報の
管理に係る注意義務違反があり，かつ，個人情報が漏えいした一審原告ら１人
につき各３３００円の損害賠償請求（３０００円の慰謝料及び３００円の弁護
士費用相当額）を認めるのが相当であると判断する。その理由は，以下のとお
りである。
１認定事実（前記前提事実に加え，掲記の証拠（ただし，いずれも以下の認定
に反する部分は除く。）及び弁論の全趣旨によれば，以下の事実が認められる。
ａの勤務状況と本件漏えい行為について
アａは，システムエンジニアであり，本件システム構築等の業務について
一審被告シンフォームから再委託を受けた会社から更に再々委託を受け
た会社の従業員であった。ａは，平成２４年４月から，一審被告シンフ
ォーム多摩事務所の執務室において稼働を開始し，顧客分析課の開発チ
ームのグループに属して作業に従事していた。
一審被告シンフォームでは，事業開発本部の下に事業開発部がおかれ，
事業開発部の中に顧客分析課が置かれており，顧客分析課が本件システ
ム構築等の業務を所管していた。顧客分析課には，平成２６年６月当時，
３９名が所属しており，そのうち一審被告シンフォームの従業員は１１
名であり，その余の２８名は，ａを含む他の委託先の従業員であり，パ
ートナー又はパートナー社員と呼ばれていた。
顧客分析課の中には複数のチームがあり，各チームの中には個別案件を
効率的に進めるために少人数で構成された複数のグループがあり，各グ
ループには，一審被告シンフォームの社員であるリーダーが置かれてい
た。そして，各グループでは少なくとも毎週１回は進捗会議が開かれ，
同会議にはグループメンバー全員が参加して作業状況や作業予定等につ
いての打合せがされていた。
（以上につき，甲１９の１ないし３，甲６３，６４，６６，７３，８８の
１）
イａは，一審被告シンフォームの業務に従事する前に，一審被告シンフォ
ームから，業務上知り得た個人情報及び機密情報を開示・漏えいしない
ことを誓約する内容の「個人情報の取扱いに関する同意書」を提出し，
また，一審被告シンフォームが行う情報セキュリティ研修及びその内容
を踏まえたテストを受け，その後も年１回実施される情報セキュリティ
研修を受けていた。（甲２，１９の１ないし３，６３，
８８の１）
ウａは，平成２５年６月頃，経済的に困窮した状況であったことから，一
審被告ベネッセの顧客情報を名簿業者に売却して金員を得ることを思いつ
いたが，業務上用いていたパソコンには，ＵＳＢメモリ等の外部記録媒体
を接続してもパソコンに認識されず，顧客情報を持ち出せない措置が講じ
られていたことから，そのようなことはできないと諦めていた。ところが，
平成２５年７月頃，本件スマートフォンを充電するために市販のＵＳＢケ
ーブルを用いて業務用パソコンのＵＳＢポートに接続し充電していたとこ
ろ，パソコンにスマートフォンが外部記録媒体として認識され，パソコン
の画面にスマートフォン内のフォルダが表示されたことから，試しにパソ
コンからファイルを転送してみたところ，スマートフォンに保存すること
ができた。（甲６３，８８の１及び２）
エａは，平成２５年７月頃から平成２６年６月頃までの間，一審被告シン
フォーム多摩事務所において，一審被告ベネッセの顧客情報を業務用パ
ソコンから本件スマートフォンに転送し，その内蔵メモリに保存する等
の方法により個人情報を不正に取得した。
本件スマートフォンは，平成２４年秋冬期に発売された「ａｕＨＴＣ
社製ＨＴＬ２１」という機種であり，ＯＳはＡｎｄｒｏｉｄ４．１で
あった。前記スマートフォンには，データ通信方法としてＭＴＰが初期
設定されており，前記転送はＭＴＰを用いて行われたものであった。
（，甲１１の１及び２，甲１２の１及び２，
６３，６４，８８の１及び２）
ＭＳＣとＭＴＰについて
アＭＳＣとＭＴＰは，いずれもパソコンとこれに接続された各種デバイス
との間の情報通信方式（ファイル転送プロトコル）である。
ＭＳＣは，パソコンとＵＳＢメモリやメモリカード等のデバイスである
外部記憶装置・媒体との間の情報通信方式として用いられているもので
あり，ＭＴＰは，ＷｉｎｄｏｗｓをＯＳとするパソコンと携帯機器との
間で音楽・動画等のマルチメディア・データを簡便に共有・連携できる
ようにするためにマイクロソフト社が開発した規格であり，デジタルカ
メラの画像転送プロトコル（ＰＴＰ）をベースに，音楽・動画ファイル
などの転送を可能にした技術仕様である。
ＭＳＣでもＭＴＰでも，パソコンにスマートフォンなどのデバイスをＵ
ＳＢケーブルで接続してデータの転送をすることが可能である点で違い
はないが，ファイルシステムの管理等について，ＭＳＣではパソコン側
のＯＳで行われ，接続されたデバイスはＵＳＢに接続された外部記憶装
置（ＵＳＢメモリや外付けＨＤＤなど）と同じく認識されるのに対し，
ＭＴＰではデバイス側で行われ，接続されたデバイスはＷＰＤなどとし
て認識される。
（以上につき，甲１５，１６，９８の１ないし４，乙３２，１１１）
イスマートフォンの主なＯＳには「ｉＯＳ」及び「Ａｎｄｒｏｉｄ」があ
る。ＭＴＰによる通信方法は，前記アの開発経緯から，従来は音楽・映
像プレーヤーやデジタルカメラ等に利用されており，スマートフォンに
ついては，「ｉＯＳ」はＭＴＰによる通信方法に対応していないが，
「Ａｎｄｒｏｉｄ」については，平成２３年１０月１８日に発売された
Ａｎｄｒｏｉｄ４．０以降のバージョンがＭＴＰによる通信方法に対応
するようになった。
そして，株式会社ＮＴＴドコモ，ＫＤＤＩ株式会社及びソフトバンクグ
ループ株式会社が平成２４年夏に発売したスマートフォンには，ＯＳを
Ａｎｄｒｏｉｄ４．０とするものが多数あり，また，電気通信事業者各
社は，Ａｎｄｒｏｉｄ４．０より前のバージョンのスマートフォンにつ
いて，その頃以降，ＯＳのバージョンアップを提供した。なお，同年８
月頃に発売されたサムスン製の「ＧＡＬＡＸＹＳⅡＷＩＭＡＸＩ
Ｓ１１ＳＣ」の取扱説明書には，メディア転送モード（ＭＴＰ）でＵＳ
Ｂケーブルを用いてパソコンと当該スマートフォンを接続すると，パソ
コンに当該スマートフォンがポータブルデバイスとして認識され，当該
スマートフォンとパソコンとの間でデータのやりとりができることが明
記されている。
（以上につき，甲１６，５１の１ないし３，１０５の１ないし６，１１５，
乙３２）
ウＭＴＰによる通信方法に対応したスマートフォンの発売及びその普及等
について，本件当時までにメディア等に取り上げられたものとして以下の
ような記事の存在を指摘することができる。
インターネット上の「モバイルトレンド」という連載において，平成
２３年４月２７日に掲載された「スマートフォンのパソコン接続は大
容量デバイスからＭＴＰへ（第１６４回）」と題する記事の中で，テ
クニカルライターの塩田紳二は，最近登場したＡｎｄｒｏｉｄスマー
トフォンやタブレットでは，パソコンとの接続にＭＴＰを使うものが
増えてきたことを述べて，従来用いられてきたＭＳＣによる通信方法
との違いについて説明をし，ＭＴＰを用いるメリットやデメリットに
言及した上，今後はＭＳＣよりＭＴＰの方が便利な通信方法としてス
マートフォンやタブレットでは，ＭＴＰを採用するものが増えていき
そうであるなどと記載をした。（甲１５）
「日経ＰＣ２１」という雑誌において，平成２４年１２月２４日発売
の２０１３年２月号版に掲載された「スマホはパソコンと連携して使
うのが正しい！３つの方法を完全習得」と題する記事の中で，スマ
ートフォンとパソコンとの間でファイルをやりとりする３つの方法の
うち，１つがＵＳＢケーブルを用いて接続する方法としてＭＴＰ（メ
ディア転送プロトコル）とＭＳＣ（大容量ストレージ）の２種類を指
摘することができるところ，両方の方式が使えるスマートフォンなら
より簡単なＭＴＰを使うとよいこと，その方法によるとスマートフォ
ンとパソコンをケーブル接続するだけでスマートフォン内の記憶装置
がリムーバブルディスクとして表示されることなどが記載されていた。
前記記事は，平成２５年６月５日に「日経トレンディネット」のウェ
ブサイト上にも掲載された。（甲１１６）
一審被告シンフォームによる安全管理措置及び本件セキュリティソフトの
設定について
ア一審被告シンフォームでは，業務での私物パソコンの使用を禁じ，全従
業者個々人に対して，所定の設定がされた業務用パソコンを貸与した上，
ＩＤを付与し，９０日に一度の頻度で変更を要するパスワードを設定さ
せて利用させていた。業務用パソコンは，業務上の必要がない限り社外
への持ち出しは禁止され，通常は施錠付きチェーンで各人のデスクに固
定されていた。その他，本件当時，一審被告シンフォームが情報管理の
記載のと
おりである。（甲１９の１ないし３，乙２）
イ一審被告シンフォームは，従業員に貸与していた業務用パソコンに本件
セキュリティソフトを搭載しており，平成２３年７月に前記業務用パソ
コンのＯＳをＷｉｎｄｏｗｓ７にバージョンアップした際，本件セキュ
リティソフトも当時の最新版である「秘文Ｖｅｒ．９．０」にバージョ
ンアップした。
本件セキュリティソフトは，前記のとおりバージョンアップされた際に，
「リムーバブル，ＣＤ／ＤＶＤ，外付けＨＤＤ」の他，終端機器として
イメージングデバイス，ＷＰＤ，ウィンドウズモバイル，ブラックベリ
ー等のデバイス，通信機器として無線ＬＡＮ，モデム，赤外線等を接続
制御することが可能となっていた。前記デバイスのうち「リムーバブル，
ＣＤ／ＤＶＤ，外付けＨＤＤ」については，データの書き出し制御のみ
を設定することが可能であり，リムーバブルメディアについては，組織
で管理していないＵＳＢメモリの個体識別制御が可能であった。また，
読み書きを個別に許可されたＵＳＢメモリについては，書き出されたデ
ータは暗号化された。ＷＰＤを含む前記以外のデバイスについては，書
き出し制御のみの設定をすることはできず，接続制御のみが可能であっ
た。そして，前記デバイスの全てを制御した場合，パソコンからデータ
の書き出しをすることは不可能な状態にすることができた。
（以上につき，甲６９ないし７１）
ウ本件セキュリティソフトの販売代理店は，本件セキュリティソフトのバ
ージョンアップの際，その設定作業を行ったところ，一審被告シンフォ
ームとしては，特定のＵＳＢメモリ以外の全ての外部記録媒体への書き
出しを制御するとの方針をとっていたが，実際には，本件セキュリティ
ソフトのバージョンアップの際の設定内容は，「リムーバブル，ＣＤ／
ＤＶＤ，外付けＨＤＤ」だけが書き出し制御の対象とされ，ＷＰＤを含
む他のデバイスについては接続制御機能を有効とする設定が行われなか
った。そして，前記販売代理店は，平成２３年８月，一審被告シンフォ
ームに対してパラメーターシートを納品し，そこには，本件セキュリテ
ィソフトの設定内容として，「デバイス制御設定」欄の「①デバイス使
用可否制御を有効にする，②デバイス個体識別制御を有効にする，③個
体識別ログの出力を有効にする」の３つの項目のチェック欄にチェック
がされておらず，設定されていないことが明示されていた。
本件セキュリティソフトは，ユーザーにおいても作業手順を踏むことに
よって，制御可能な個々のデバイスについて，制御の有無の設定内容を
自由に変更できるものであったが，ａによる本件漏えいが発覚した後の
平成２６年７月に，後記エのとおり本件セキュリティソフトはＷＰＤに
つき接続制御機能を有効とする設定に変更されたが，それまでの約３年
間は，本件セキュリティソフトの設定内容の変更はされなかった。
（以上につき，甲１２の１及び２，６６，６９ないし７１）
エ一審被告シンフォームは，本件漏えいが発覚した後の平成２６年７月２
２日に本件セキュリティソフトのバージョンアップを行い，また，設定
の見直しをして，「リムーバブル，ＣＤ／ＤＶＤ，外付けＨＤＤ」の書
き出し制御機能の他に，イメージングデバイス，ＷＰＤ，ウィンドウズ
モバイル，ブラックベリー，無線ＬＡＮ，モデム，赤外線等のデバイス
の接続制御機能を有効にした。（甲１９の１ないし３）
オ商用デバイス制御ソフトの製品がＭＴＰ使用制限機能に対応した時期は，
遅くとも以下のとおりであり，下記各製品の国内市場におけるシェアは，
平成２６年６月時点で合計すると４３．５パーセントであったことが認め
られる。（甲１６，６９，９６の１ないし５，９７，１０１の１及び２，
１０３の１，乙３５，１２３の１）
企業名製品名対応時期
日本電気株式会社InfoCage平成１９年７月
株式会社日立ソリューション
ズ
秘文AE
Information
Fortress
平成２１年６月
エムオーテックス株式会社LanScopeCat平成２５年１０月
日本ファインアート株式会社TotalSecurityFort平成２３年８月
ハミングヘッズ株式会社Evolution/SV平成２３年１２月
株式会社インテリジェントウ
ェイブ
CWAT平成２４年７月
富士通株式会社Systemwalker
DesktopKeeper
平成２５年８月
Ｃ＆Ｃアソシエイツ発見伝平成２５年８月
クオリティソフト株式会社QNDAdvance平成２５年９月
米国DeviceLock社DeviceLock平成２６年２月
２本件漏えいに関する一審被告らの予見可能性について
本件漏えいに係る行為は，ａにおいて，貸与されていた業務用パソコンか
ら本件データベースにアクセスし，本件データベース内に保管されていた本
件個人情報を抽出して業務用パソコンに保存した上，ＵＳＢケーブルを用い
て，ＭＴＰによる通信方法に対応する本件スマートフォンに転送したという
ものである（）。
このようなＭＴＰによる通信方法を用いたデータの転送については，もと
もとＭＴＰが，ＷｉｎｄｏｗｓをＯＳとするパソコンと携帯機器との間で音
楽・動画等のマルチメディア・データを簡便に共有・連携できるようにする
ために開発された規格であり，パソコンとＵＳＢメモリやメモリカード等の
デバイスである外部記憶装置・媒体との間の情報通信方式として，従来のス
マートフォンで多く使用されていたＭＳＣとは異なる規格であったことに照
らすと，一審被告らの本件漏えいに関する予見可能性の有無を検討するに当
たっては，ＭＳＣに限らず，ＭＴＰによる通信方法を含め，これに対応した
スマートフォンを用いた個人情報のデータの転送があり得ることについての
認識可能性があったといえるかどうかを検討すべきものと解される。
そこで検討するに，本件当時も，スマートフォンをＵＳＢケーブルでパソ
コンと接続しデータのやりとりをすることが可能であることは一般的に知ら
れており，本件漏えいの以前から，例えば平成２１年経産省ガイドラインが，
個人情報保護法の基本理念を踏まえ，個人情報保護の推進の観点からできる
だけ取り組むことが望ましい事項の例として，「個人データを入力できる端
末に付与する機能の，業務上の必要性に基づく限定（例えば，個人データを
入力できる端末では，ＣＤ－Ｒ，ＵＳＢメモリ等の外部記録媒体を接続でき
ないようにする。）」などと記載されており，外部記録媒体をパソコン等に
接続する方法による情報漏えいのリスクが指摘されていたこと（甲７，９，
乙１０）が認められる。
そして，前記認定事実のとおり，ＭＳＣとＭＴＰは，いずれもパソコンと
これに接続された各種デバイスとの間の情報通信方式（ファイル転送プロト
コル）であって，本件漏えいに係るａの行為も，本件スマートフォンを充電
するために市販のＵＳＢケーブルを用いて業務用パソコンのＵＳＢポートに
接続し充電していたところ，上記パソコンにスマートフォンが外部記録媒体
として認識されたため，試しに上記パソコンからファイルを転送してみたら，
スマートフォンに保存することができたというものであって，格別専門的な
知識や道具等を用いてデータの転送をしたわけではない。本件当時には，既
にＭＴＰによる通信方法に対応したスマートフォンが多数発売され，又はＭ
ＴＰによる通信方法に対応するようにバージョンアップすることも可能な状
況であったこと，情報管理に関する社会一般の認識とい
う観点からみても，株式会社日立ソリューションズを含めた相当数の大手業
者が，本件漏えいが発覚する以前からＭＴＰ使用制限機能に対応した商用デ
バイス制御ソフトの製品を販売するようになっており
一審被告シンフォームも，平成２３年７月に本件セキュリティソフトをバー
ジョンアップした際には，特定のＵＳＢメモリ以外の外部記録媒体について
も書き出しを禁止するという方針をとっていたものであること（前記認定事
，加えて，スマートフォンは，従来の通話機能のみを基本的な機能と
する携帯電話とは異なり，小型のパソコンともいえる多彩な機能を有する機
器であって，年々バージョンアップによる機能の高度化が進むデバイスであ
ることを併せ考慮すれば，一審被告らは，本件当時，ＭＳＣに限らず，ＭＴ
Ｐによる通信方法を含め，これに対応したスマートフォンを用いた個人情報
のデータの転送があり得ることについても，想定することができた，すなわ
ち，本件漏えいに関する一審被告らの予見可能性はあったというべきである。
これに対し，一審被告らは，①実際には，本件漏えいの時点においてＭＴ
Ｐによる通信方法に対応したスマートフォンの国内シェアは小さかったし，
商用デバイス制御ソフトの製品のうちＭＴＰ使用制限機能に対応したものも
なかった，②本件漏えいによって初めて，スマートフォンを利用した個人情
報の不正取得の危険性が認識されるようになったのであり，それ以前は専門
家にとってもＭＴＰによる通信方法を利用したデータの転送により，ＭＳＣ
デバイス制御に抜け道が生ずるという危険性について一般的な認識とはなっ
ていなかった，③本件当時までにＭＴＰによる通信方法に対応したスマート
フォンへの情報書き出しの危険性について具体的に指摘した行政機関その他
の団体のガイドライン等はなかったなどと主張する。
前記①について，一審被告らは，本件当時，ＭＴＰによる通信方法に対応
したスマートフォンの国内シェアが少なかったことに関し，株式会社インタ
ーネットプライバシー研究所が作成した「携帯電話端末におけるＭＴＰ普及
率についての調査報告」（乙３４）を提出し，そこには，スマートフォンと
従来の携帯電話を併せた台数に対するスマートフォンの割合は，平成２４年
３月末で２２％，平成２５年３月末で３６％，平成２６年３月末で４８％で
あり，ＭＴＰによる通信方法に対応したスマートフォン（「Ａｎｄｒｏｉｄ
４．０」以降のＯＳを搭載したもの）のスマートフォン全体における割合は，
平成２４年６月時点で０．６９％，平成２５年６月時点で１９．８８％，平
成２６年６月時点で２１．４１％であったこと，また，平成２６年のスマー
トフォンの出荷台数が２７７０万台であったことが記載されている。これに
よれば，平成２６年６月頃のＭＴＰによる通信方法に対応したスマートフォ
ンの出荷台数は，５９３万台余りということになる。
しかし，仮に前記の報告を前提にしたとしても，ＭＴＰによる通信方法に
対応したスマートフォンの国内シェアについては，平成２３年１０月１８日
に発売されたＡｎｄｒｉｄ４．０以降のバージョンがＭＴＰによる通信方法
に対応するようになり，株式会社ＮＴＴドコモ，ＫＤＤＩ株式会社及びソフ
トバンクグループ等の大手業者が平成２４年夏に発売したスマートフォンに
は，ＯＳをＡｎｄｒｏｉｄ４．０とするものが多数出てきていたことや，Ｏ
遅くとも本件当時までには，国内において，ＭＴＰによる通信に対応したス
マートフォンの普及率が高まり，相当多数の台数が販売されるようになって
いく状況にあったということができるのであるから，前記の報告が，ＭＴＰ
による通信方法に対応したスマートフォンによるデータの転送について，一
審被告らの予見可能性を否定するものとはいい難い。
また，前記①のうち商用デバイス制御ソフトの製品のうちＭＴＰ使用制限
機能に対応したものもなかったという点について，一審被告らは，株式会社
インターネットプライバシー研究所が作成した「端末管理・セキュリティ製
品におけるＭＳＣ・ＭＴＰ制御機能についての調査報告」（乙３５）を提出
し，そこには，平成２６年６月当時販売されていた主要な端末管理・セキュ
リティ製品について，実用的なＭＴＰ制御機能は，国内市場シェアが高い製
品については全く搭載されておらず，実用的なＭＴＰ制御機能を搭載してい
たと認められる製品は，国内市場シェアが微少な１製品にとどまり，かつ初
期設定ではＭＴＰ制御機能は無効とされていた旨の記載がある。しかし，前
記報告においては，「実用的」の意味を「少なくとも読み取り専用の設定
（リムーバルメディアからパソコンにデータを転送することは可能であるが，
パソコンからリムーバブルメディアにデータを転送することは不可能とする
設定）ができる場合」と定義し，「実用的」でない製品についてはＭＴＰ制
御機能を搭載していないものとして扱っているところ，情報セキュリティの
観点からパソコンに保存されている情報を管理したり，当該パソコンを通じ
て情報を管理したりする場面において，リムーバブルメディアからパソコン
にデータを転送すべき場合を想定する必要性に乏しく（甲１５によれば，も
ともとＭＴＰの規格は，音楽ファイル等を転送するために開発された規格で
あるとされている。），双方向の転送のいずれもが制限されることから情報
セキュリティ上「実用的」でないとすることは不合理である。したがって，
同報告は，その前提を欠くものといわざるを得ず，採用することはできない。
また，前記②について，一審被告らは，特定非営利活動法人日本ネットワ
ークセキュリティ協会で理事及び事務局長を務めるとともに一般社団法人日
本スマートフォンセキュリティ協会で理事を務めるｄの意見書（乙３２）を
提出し，そこには，本件漏えいによって初めて，パソコンのリムーバブルメ
ディアとしてスマートフォンを含む携帯電話が使用される危険性があること
が認識され，セキュリティ業界がその対策をとるようになったのであり，大
手セキュリティベンダーでさえ予見できていなかったものを，ユーザーであ
る一審被告シンフォームが予見することは不可能であったという趣旨の記載
がある。さらに，株式会社インターネットプライバシー研究所は，一審被告
らから依頼を受けて複数の意見書等を作成し，平成２９年１月２３日付け意
見書（乙２４）及び平成３０年９月２０日付け意見書（乙９６）の中では，
本件当時，ＭＴＰによる通信方法に対応したスマートフォンによる情報漏え
いのリスクは，情報セキュリティ専門家の間でもほとんど認識されていなか
ったと指摘し，平成３０年９月２０日付け意見書の中では，一般の企業等の
業務において，デジタルカメラやボイスレコーダー等の画像・動画・音声の
情報をＭＴＰによる通信方法によりパソコンに取り込むことは日常的に行わ
れており，ＭＴＰによる通信について読み取りを制御すれば，業務上大きな
支障が生ずることを指摘している。そのほか，一審被告らは，本件漏えいの
方法による情報漏えいの危険性を予見できなかったことについて情報セキュ
リティの専門家等の記事（乙３６，３７）や工学院大学名誉教授ｅが作成し
た平成３０年１月１５日付け意見書（乙９１）を提出しているところ，そこ
には，本件当時，ＭＴＰによる通信方法を利用した情報漏えいの危険性は知
られていなかったとの認識についての記載がある。
しかし，本件当時までに，ＭＴＰによる通信方法に対応したスマートフォ
ンを利用したデータの転送が可能であることについてメディア等に取り上げ
前記のとおり，ス
マートフォンは小型のパソコンともいえる多彩な機能を有する機器であって
年々バージョンアップによる機能の高度化が進むデバイスであり，実際にＭ
ＴＰによる通信方法に対応したスマートフォンの普及率が高まるとともに，
ＭＴＰ使用制限機能に対応した商用デバイス制御ソフトの製品が，平成１９
年以降，平成２５年８月頃までには多数の販売業者によって販売されている
状況下にあったこと，一審被告らも特定のＵＳＢメモリ以外の全ての外部記
録媒体への書き出しを制御するとの方針の下で本件セキュリティソフトを搭
載していたことからすれば，ＭＴＰによる通信方法に対応したスマートフォ
ンへの情報書出しの危険性について具体的に指摘した行政機関等のガイドラ
インがなかったとしても，一審被告らにおいて，新たに登場したＭＴＰによ
る通信方法に対応したスマートフォンに対する情報漏えいの危険性があり，
その対策の必要性があることについて認識し得たというべきである。
以上によれば，一審被告らが主張する前記②の点及び前記③の点について
考慮したとしても，本件漏えいに関する一審被告らの予見可能性についての
前記認定判断を覆すものとはいえない。
３一審被告シンフォームの過失責任について
執務室への私物スマートフォンの持込み禁止について
本件において，ａが執務を行う部屋に，私物のスマートフォンを持ち込む
ことを禁止する措置をとっていれば，本件漏えいを回避できたということが
できるが，個人情報等の情報を扱う以外にも通常の業務を行うような執務環
境において，私物のスマートフォンの持込みを一切禁止するというのは，当
該執務環境において従事する者にとって，非常に大きな制約となることは明
らかであり，加えて，後記説示するとおり，同様の効果を上げられる他
の代替手段があり得ることに照らすと，一審被告シンフォームにおいて，本
件当時，執務室内に私物のスマートフォンの持込み禁止措置を講ずべき注意
義務があったということはできない。
一審原告らは，①平成９年経産省基準には，「搬出入物」について，「情
報システム等の運用に関連する各室の搬出入物は，必要な物に限定するこ
と。」との記載があり，②平成２５年ＩＰＡガイドラインには，個人のノー
トパソコンやスマートデバイス等のモバイル機器及び携帯可能なＵＳＢメモ
リ等の外部記録媒体の業務利用及び持込みを制限しなければならない旨の指
摘があり，③データセキュリティガイドブックには，共有区画として，オフ
ィスとサーバー室に区別され，サーバー室については，脅威として情報の不
正持ち出しの指摘とともに，管理策として記録媒体の持込み禁止ルールの記
載があることに照らすと，一審被告シンフォームには，本件漏えい当時，執
務室内に私物のスマートフォンを持ち込むことを禁止すべき注意義務があっ
たと主張するので，以下検討する。
ア平成９年経産省基準について
確かに，平成９年経産省基準（甲６）には，「搬出入物」について，
「情報システム等の運用に関連する各室の搬出入物は，必要な物に限定
すること。」と記載されている。
しかし，当該記載から，私物スマートフォンを上記の搬出入物の対象
としているかどうか明らかとはいえない。かえって，平成９年経産省基
準が改正されたのは，平成９年が最後であるところ，同年当時，スマー
トフォンが市場で流通していたことを認めるに足りる証拠はないから，
少なくとも，平成９年経産省基準が具体的にスマートフォンを念頭に置
いて策定されたとは考え難い。
そうすると，平成９年経産省基準から，一審被告シンフォームについ
て当然に私物スマートフォンの執務室内への持込みを禁止すべき注意義
務があるとは認められない。
イ平成２５年ＩＰＡガイドラインについて
確かに，平成２５年ＩＰＡガイドライン（甲９）においては，個人の
ノートパソコンやスマートデバイス等のモバイル機器及び携帯可能なＵ
ＳＢメモリ等の外部記録媒体の業務利用及び持込みを制限しなければな
らないとの指摘があるが，他方で，対策のポイントとして，持込み制限
では，その場所で扱う重要情報の重要度及び情報システムの設置場所等
を考慮する必要がある旨の記載があり，また，「重要情報の格納サーバ
やアクセス管理サーバ等が設置されているサーバルームでは，個人所有
のノートＰＣやタブレット端末，スマートフォン等のモバイル機器の持
ち込み，利用を厳しく制限します。」とも記載されていることに照らす
と，平成２５年ＩＰＡガイドラインは，いかなる業務が行われている部
屋であっても同様の持込み制限を講じる必要があるという趣旨を示すも
のではなく，その扱う情報の重要度や情報システムの設置場所に応じた
対策をとるべきとの趣旨を示すものであると解すべきである。そうする
と，重要な情報が直接格納されているサーバの所在する場所では，外部
記録媒体をより直接的にサーバ等の機器に接続することが可能であり，
当該情報により直接的にアクセスすることが可能となることから，その
ような可能性を高い確率で制限できる措置を執る必要があると考えられ
るが，通常の執務室のように，そのような直接的なアクセスではなく，
別のサーバや機器を経由して，当該情報に接することができるにすぎな
い場合には，平成２５年ＩＰＡガイドラインは，必ずしもそのような厳
しい制限をすることまで要求していないと解するのが相当である。
そうすると，平成２５年ＩＰＡガイドラインから，当然に私物のスマ
ートフォンの執務室内への持込みを禁止すべき注意義務があるとは認め
られない。
ウ平成２５年データセンターガイドブック
確かに，平成２５年データセンターガイドブック（甲２０）では，共
有区画として，オフィスとサーバー室に区別され，サーバー室について
は，脅威として情報の不正持ち出しの指摘があり，管理策として記録媒
体の持込み禁止ルールの記載があるが，他方で，オフィスについて，そ
の脅威として不正侵入の指摘があるのみで，管理策として画像監視シス
テムと入退管理システム（ＩＣカード・生体認証）の記載があるにとど
まることに照らすと，平成２５年データセンターガイドブックの記載を
根拠に，当然にスマートフォンの執務室内への持込み禁止措置をとるべ
き注意義務があるとは認められない。
したがって，この点に関する一審原告らの主張は理由がない。
業務用パソコンに対するＵＳＢ接続禁止措置について
確かに，物理的にパソコンのＵＳＢポートを塞ぐことで，業務用パソコン
を使用する者が自由にパソコンにＵＳＢ接続できないようにすれば，本件漏
えいの方法による情報漏えいを防ぐことができたということができる。
しかし，パソコンのＵＳＢポートは，外部記録媒体の接続以外にも，マウ
スを使用する際に用いるなど，業務上必要な装置を接続することが想定され
ている。一審原告らは，マウスについて，ＵＳＢポートによる接続以外の方
法での接続が可能であると主張するが，どのようなマウスであっても別の方
法での接続が可能であると認めるに足りる証拠はなく，また，仮にその点を
おくとしても，で説示するとおり，同様の効果を上げられる他の代替
手段があり得ることに照らすと，ＵＳＢポートを使用できなくするという措
置は，スマートフォンの持込み禁止措置ほどではないにしても，業務に従事
する者に対する制約として過度なものであるといわざるを得ない。
したがって，一審被告シンフォームにおいて，本件漏えい当時，業務用パ
ソコンのＵＳＢ接続の禁止措置を講ずべき注意義務があったということはで
きない。
この点について，一審原告らは，①平成２１年経産省ガイドラインには，
個人データを入力できる端末では，ＣＤ－Ｒ，ＵＳＢメモリ等の外部記録媒
体を接続できないようにする旨の記載があること，②平成２５年ＩＰＡガイ
ドラインでは，個人の情報機器及び記録媒体を持ち込まれた場合の情報持ち
出しのリスクや，外部記録媒体の業務利用を制限することを対策のポイント
として掲げていること，また，③平成２２年ＪＩＳガイドラインでは，平成
２１年経産省ガイドラインと同様の記載があることに照らすと，一審被告シ
ンフォームには，本件漏えい当時，業務用パソコンのＵＳＢ接続の禁止措置
を講ずべき注意義務があったと主張するので，以下検討する。
ア平成２１年経産省ガイドラインについて
確かに，平成２１年経産省ガイドライン（甲７）には，個人データを
入力できる端末では，ＣＤ－Ｒ，ＵＳＢメモリ等の外部記録媒体を接続
できないようにするとの記載があるが，これは，望まれる事項の例の中
で，「個人データを入力できる端末に付与する機能の，業務上の必要性
に基づく限定」についての例示として挙げられているものにすぎないか
ら，この記載をもって，当然に物理的にパソコンのＵＳＢポートを塞ぐ
措置を講ずる注意義務があるということはできない。
イ平成２５年ＩＰＡガイドラインについて
確かに，平成２５年ＩＰＡガイドライン（甲９）では，個人の情報機
器及び記録媒体を持ち込まれた場合の情報持ち出しのリスクや，外部記
録媒体の業務利用を制限することを対策のポイントとして掲げている。
しかし，その中で，具体的な制限の方法についてまで指摘しているわけ
ではなく，平成２５年ＩＰＡガイドラインの記載から，直ちにＵＳＢ接
続の禁止措置を講ずべき注意義務があるとはいえない。
ウ平成２２年ＪＩＳガイドラインについて
確かに，平成２２年ＪＩＳガイドライン（甲２２）では，平成２１年
経産省ガイドラインでの前記アの指摘と同様の指摘がされているが，前
記アで説示したとおり，そのことから直ちにＵＳＢポートを塞ぐ措置を
講ずべき義務があるということはできない。
したがって，この点に関する一審原告らの主張は理由がない。
情報の書き出し制御措置について
ア一審被告らが業務用パソコンに本件セキュリ
ティソフトを搭載しており，その設定を変更して，ＷＰＤについて接続制
御する設定にすれば，業務用パソコンからＷＰＤの一機種であるＭＴＰに
よる通信方法に対応したスマートフォンに対するデータの書き出しを防止
することが可能であり，本件漏えいの方法による情報漏えいは防止できた
ことが明らかである。そして，一審被告シンフォームにおいて，本件当時，
ＭＴＰ対応スマートフォンによる個人情報の漏えいの危険性について認識
し得たところ，前記のとおり，スマートフォンの持込み禁止措置
やＵＳＢ接続の禁止措置を講ずることは，業務従事者に対して過度の制約
となり得ること等から一審被告シンフォームに前記各措置を講ずべき注意
義務を認めることはできない中で，書き出し制御措置は実効性があり，か
つ，業務従事者に対して必要以上に制約が生じない方法であるから，一審
被告シンフォームにおいて，本件漏えい当時，ＭＴＰ対応スマートフォン
を含めて書き出し制御措置を講ずべき注意義務があったというべきである。
イこれに対し，一審被告らは，①本件当時，スマートフォンに対する書き
出し制御措置を執るべきと明示していたガイドライン等はなく，一審被告
シンフォームの情報セキュリティ対策は十分に高度なものであったこと，
②本件セキュリティソフトはＭＴＰにより通信をするデバイスに対しては
読み取りも書き出しも不可とする接続制御機能しか有していなかったので
あり，そのような接続制御をすることはパソコンの使用によって得られる
利便性を合理的根拠なく放棄するに等しいなどと主張する。
しかし，前記①について，一審被告シンフォームは，本件個人情報を
含む大量の個人情報を扱っていたところ，本件当時，ＭＴＰによる通信
方法に対応したスマートフォンによる情報漏えいの危険性を予見するこ
とができ，これを回避するための書き出し制御措置をとることができた
のであるから，ガイドライン等に記載がなかったことや同様の措置を執
っている会社が少なかったとしても，前記認定判断が左右されるもので
はない。
また，前記②について，一審被告シンフォームは，本件漏えいが発覚
した後，本件セキュリティソフトの設定を変更して，ＷＰＤにつき接続
とおりであって，これによって一審被告シンフォームの業務に特段の支
障を来したという事情もうかがわれないことからすれば，一審被告シン
フォームにおいて，ＷＰＤを業務用パソコンに接続させるデバイスとし
て用いる業務上の必要性があったとは認められず，本件当時，本件セキ
ュリティソフトによりＷＰＤに対する接続制御措置をとることは可能で
あったということができる。
ウ一審被告シンフォームは，平成２３年８月に本件セキュリティソフトの
バージョンアップがされた際に，本件セキュリティソフトの取扱説明書
の記載や設定作業を行った販売代理店からの説明等によって，本件セキ
ュリティソフトの設定内容次第であらゆるデバイスの接続制御措置をと
ることが可能であることを認識することができ，かつ，自らも作業手順
を踏むことによって設定内容の変更も可能であったにもかかわらず，平
成２６年７月に本件漏えいが発覚するまでの間，その設定内容の見直し
がされた様子もなく，実際に設定内容の変更はされなかったものである
ウ）。スマートフォンの高機能化が早い速度で進み，
自らの情報セキュリティ対策の内容をそれに対応させるために一定程度
の時間が必要であることを考慮しても，ＭＴＰによる通信方法に対応し
たスマートフォンであるＡｎｄｒｏｉｄ４．０が平成２３年１０月１８
日に発売され，その後ＭＴＰによる通信方法に対応したスマートフォン
の普及率が高まり，これに対応した商用デバイス制御ソフトの製品数も
増加していった状況下において，遅くともａが本件個人情報を不正に取
得するに至った本件当時（平成２５年７月頃から平成２６年６月頃）ま
でには，本件セキュリティソフトの設定を見直し，適切な設定内容に変
更する注意義務があったというべきであり，一審被告シンフォームには
これに違反した過失があったといわざるを得ない。
アラートシステムの設定義務違反について
一審被告シンフォームは，本件当時，連携システムについてはアラートシ
ステムを設置していたことや，経済産業省の勧告（甲１３の２。以下「本件
勧告」という。）でも本件データベースについてアラートシステムの対象と
なっていなかったことが指摘されていることからすると，アラートシステム
の設置が情報セキュリティ対策として一定程度有効であった可能性は否定で
きない。
しかし，情報セキュリティ対策の中には，情報漏えい等の問題を事前に防
ぐための対策から，何らかの問題が発生した場合に，その被害を最小限に食
い止めるための対策まで，種々のものがあるところ，一審原告らの主張する
アラートシステムは，一定量の情報が一度に移動した際に，責任ある立場の
者にアラート（警告）が送信され，当該状況に対してどのような対応をすべ
きかを判断する機会ができるというものであるから，情報漏えいを未然に防
ぐことができるわけではない。また，どの程度の量の情報が移動した場合に
アラートが発せられる設定とするかによって，それ以下の情報量であればア
ラートが発せられないことになり，必ずしも情報漏えいの全てを防ぐことが
できる対策ともいえない。特に，本件においては，一審被告シンフォームが，
本件データベースが保存されているサーバと業務用パソコンとの間の通信量
をアラートシステムの対象としていなかったのは，本件システムの開発が終
了しておらず，本件システムに種々の不具合が生じており，サーバと業務用
パソコンとの間で大量のデータ移動があったため，本件システムの運用開始
前に前記通信量をアラートシステムの対象としてしまうことによって本件シ
ステムの開発に支障が生じかねないという理由があったこと（甲６５）から
すると，前記通信量をアラートシステムの対象にするとしても，アラートが
発生する基準値は相当高く設定せざるを得なかったと考えられるのであり，
結局のところ，アラートシステムによって，有効に本件個人情報の流出を防
止することが可能であったと断ずることはできないというほかない。
そうすると，本件において，一審原告らの主張するアラートシステムを設
置したとしても本件漏えいを回避できたとは認められないから，この点に関
する一審原告らの主張は理由がない。
監視カメラ等による監視義務違反について
確かに，情報漏えいの可能性がある執務室内に監視カメラを設置し，従業
員等の執務状況を常時監視していれば，情報漏えいの被害が発生したときに，
行為者を特定する上で効果があることは否定できない。
しかし，証拠（乙２７）によれば，本件漏えい当時，執務室内の全体的な
状況を確認できる程度ではあるものの，一審被告シンフォームの執務室内に
監視カメラが設置されていたことが認められるところ，それにもかかわらず
本件漏えいを回避することができなかったものであるから，現に設置されて
いたものより高精度な監視カメラを設置したとしても，それによって本件漏
えいを回避できたのかそもそも疑問であるといわざるを得ない。また，仮に，
それをおくとしても，本件個人情報へのアクセス権限を有するａが，本件漏
えいの際に，監視カメラで確認することができ，かつ，通常の業務ではしな
いような行動をしていたのでない限り，現に設置されていたものより高精度
な監視カメラの設置によっても本件漏えいを回避できたとは認められないと
ころ，ａが，本件漏えいの際に，監視カメラで確認することができ，かつ，
通常の業務ではしないような行動をしていたことを認めるに足りる証拠はな
い。
そうすると，本件において，本件漏えいの行われた執務室内に現に設置さ
れていたものより高精度な監視カメラを設置していたとしても本件漏えいを
回避できたとは認められないから，この点に関する一審原告らの主張は理由
がない。
４一審被告ベネッセの過失責任について
個人情報の利用・管理に責任を持つ部門設置に関する注意義務違反につい
て
証拠（甲３，７，１３の１及び２）によれば，経済産
業分野ガイドラインにおいて，組織的安全管理措置の項目で，各項目を実践
するために講じることが望まれる手法の例示として，「個人情報保護管理者
（いわゆる，チーフ・プライバシー・オフィサー（ＣＰＯ））の設置」が挙
げられているところ，①一審被告ベネッセは，本件漏えい以前，同社の法令
遵守状況を管理監督する機関としてコンプライアンス部を設け，コンプライ
アンス部長をＣＰＯ（最高個人情報責任者）とし，その下に，専門部署とし
て個人情報保護課を設置し，個人情報保護活動を行っていたこと，②経済産
業省は，一審被告ベネッセに対し，平成２６年９月２６日，同年１０月２４
日までに個人情報保護法２０条に基づく安全管理措置及び同法２２条に基づ
く委託先の監督を徹底して，具体的な内容を報告するよう勧告し，勧告の原
因として，本件漏えいの対象となったデータベースが，個人情報のダウンロ
ードを監視する情報システムの対象として設定されていなかったところ，一
審被告ベネッセは，一審被告シンフォームに対して行う定期的な監査におい
て，当該情報システムの対象範囲を監査の対象としていなかった等，委託先
に対する必要かつ適切な監視を怠っていたことが同法２２条に違反し，一審
被告ベネッセの業務の全過程において同一審被告の保有する個人情報の利
用・管理に責任を持つ部門を設置せず，その安全管理のために必要かつ適切
な措置を講ずることを怠っていたことが同法２０条に違反する旨を指摘して
いることが認められる。
確かに，一審被告ベネッセにおいて，前記以上に適切な情報管理体制を構
築するための組織が本件漏えいの前に存在していれば，情報セキュリティに
関する情報を一元的に集約し，より組織的な対応ができた可能性は高まった
といえるものの，より組織的な対応ができたからといって，かかる組織が本
件漏えいまでにどのような具体的対応をすることができたのかは不明といわ
ざるを得ず，本件漏えいを回避できたとは認められないから，この点に関す
る一審原告らの主張は理由がない。
私物スマートフォンの持込み禁止，ＵＳＢ接続禁止措置，情報の書き出し
制御措置，アラートシステムの設定及び監視カメラ等による監視に係る一審
被告シンフォームと同様の注意義務について
一審原告らは，一審被告らは形式上別法人であるが，①一審被告ベネッセ
が，元々一審被告シンフォームの親会社であったものの株式会社ベネッセホ
ールディングスを持株会社とするグループ企業に再編されたことや，②一審
被告シンフォームの役員に一審被告ベネッセの役員が就任していたことに照
らすと，個人情報の管理・運用において，事業としての一体性が見られ，不
法行為における責任主体としての一体性が認められると主張する。
しかし，持株会社内の企業間等のいわゆるグループ企業間においては，こ
のような状況は往々にして見られることであり，これらの事実が認められた
からといって直ちに，ある法人の過失が他の法人の過失と同視されるもので
はない。
したがって，一審被告シンフォームの過失は一審被告ベネッセの過失と同
視できるから一審被告ベネッセの過失が認められるという一審原告らの主張
は，その前提を欠き，理由がない。
委託先選任及び監督に関する注意義務違反について
ア委託先選任に関する注意義務違反について
一審被告ベネッセが，一審被告シンフォームを委託先として選任した
ことについて注意義務違反があったことを基礎付ける事実を認めるに足
りる証拠はなく，この点に関する一審原告らの主張は理由がない。
イ監督に関する注意義務違反について
個人情報保護法２２条は，「個人情報取扱事業者は，個人データの取
扱いの全部又は一部を委託する場合は，その取扱いを委託された個人デ
ータの安全管理が図られるよう，委託を受けた者に対する必要かつ適切
な監督を行わなければならない。」と規定し，平成２１年経産省ガイド
ライン（甲７）には，「必要かつ適切な監督」に関し，委託先を適切に
選定すること，委託先に個人情報保護法２０条に基づく安全管理措置を
遵守させるために必要な契約を締結すること，委託先における委託され
た個人データの取り扱い状況を把握することが含まれる旨の記載があ
り，ＪＩＳ基準（甲２２）は，「３．４．３．４委託先の監督」にお
いて，「事業者は，個人情報の取扱いの全部又は一部を委託する場合
は，十分な個人情報の保護水準を満たしている者を選定しなければなら
ない。このため，事業者は，委託を受ける者を選定する基準を確立しな
ければならない。」，「事業者は，個人情報の取扱いの全部又は一部を
委託する場合は，委託する個人情報の安全管理が図られるよう，委託を
受けた者に対する必要，かつ，適切な監督を行わなければならない。」
等と規定し，平成２２年ＪＩＳガイドライン（甲２２）は，「審査の着
眼点」として，「委託先を選定する基準として，該当する業務について
は少なくとも自社と同等以上の個人情報保護の水準にあることを客観的
に確認できること，選定基準は具体的で運用可能なものであること」等
を例示していることに照らせば，大量の個人情報の運用管理を一審被告
シンフォームに委託していた一審被告ベネッセには，本件漏えい当時，
個人情報の管理について，委託先に対する適切な監督をすべき注意義務
があったということができる。
そして，前記２で説示したとおり，一審被告ベネッセも一審被告シン
フォームと同様に，本件当時，本件漏えいの方法による個人情報の漏え
いの危険性を予見し得たものであって，一審被告ベネッセが，一審被告
シンフォームに対し，本件セキュリティソフトのスマートフォンに対す
る書き出しないし接続制御機能への対応状況について適切に報告を求め
ていれば，ＭＴＰによる通信方法に対応したスマートフォンに対する接
続制御機能に対応した設定・変更を指示することができたものであり，
このような監督を行うことについて，一審被告ベネッセに過度の負担が
生ずることもなかったと認められる。
そうすると，一審被告ベネッセには，本件当時，一審被告シンフォー
ムにおける個人情報の管理につき，本件セキュリティソフトの設定・変
更について適切に監督をすべき注意義務があったというべきであり，そ
れにもかかわらず，一審被告ベネッセは，本件当時，業務用パソコンの
セキュリティソフトウェアの変更をすべき旨を指摘することなく放置し
ていた（更新すらされていなかった）結果，本件漏えいを回避できなか
ったのであるから，前記注意義務に違反したといわざるを得ない。な
お，本件勧告においても，一審被告ベネッセが，一審被告シンフォーム
に対して行う定期的な監査の際に本件データベースを監査の対象として
いなかった等，委託先に対する必要かつ適切な監視を怠っていたことが
個人情報保護法２２条に反すると指摘されていたところである。
以上のとおり，一審被告ベネッセには，本件当時，一審被告シンフォー
ムに対する適切な監督をすべき注意義務があり，これを怠った過失があ
ったというべきである。
５違法な権利侵害の有無について
一審原告らにおいて，本件個人情報につき，自己が開示を欲しない第三者
に対してはみだりに開示されたくないと考えることは自然なことであるから，
本件個人情報は，一審原告らのプライバシーに係る情報として法的保護の対
象となるものであり，本件漏えいの方法及び一審被告らの過失行為の内容等
に照らし，本件漏えい行為によって，一審原告らは，違法にプライバシーを
侵害されたというべきである（最高裁判所平成１５年９月１２日第二小法廷
判決・民集５７巻８号９７３頁，最高裁判所平成２９年１０月２３日第二小
法廷判決参照）。
一審被告らは，本件漏えいに係る行為が，社会通念上許容される限度を逸
脱した違法な行為であるとはいえないと主張するが，一審被告らの過失行為
の内容に加え，本件個人情報は，ａによって名簿業者に対して売却された上，
当該業者から相当多数の企業に売却されたことがうかがわれ，もはやその回
収は困難であることを考慮すると，本件漏えい行為に係る一審被告らの過失
行為によって生じた本件漏えいが一審原告らの受忍限度の範囲内にとどまる
とはいえない。損害の有無及び程度の検討において一審被告らの過失行為の
内容やその経緯，事後の対応等を考慮する余地はあるとしても，一審被告ら
の過失行為によって生じた本件漏えいが，社会通念上許容される限度を超え
ておらず，違法性を欠くとはいえない。
６一審被告シンフォームの使用者責任について
ａについて，本件個人情報を不正に取得してこれを名簿業者に売却した
ことにつき，一審原告らのプライバシーを侵害する不法行為が成立するこ
とは明らかである。
民法７１５条１項の「ある事業のために他人を使用する者」とは，いわ
ゆる報償責任を認めたとする同法の趣旨に照らせば，広く使用者の指揮・
監督の下に使用者の経営する事業に従事する者をいうと解される。
そして，一審被告シンフォームは，一審被告ベネッセから委託を受け
た業務について，外部の会社に再委託し，同社から更に再々委託を受け
た会社の従業員であったａが本件漏えいを行ったものであるところ，一
審被告シンフォームとａの間には雇用関係はなく（争いがない），ａが
システムエンジニアとして一審被告シンフォームに派遣され，一審被告
シンフォーム多摩事務所で一審被告ベネッセの情報システムの開発等の
業務に従事していたからといって直ちに，一審被告シンフォームとａの
間に指揮監督関係があったとはいえない。
上記の点に関連して，ａは，自らの刑事事件において，一審被告シンフ
ォームから直接指揮命令を受けていたため，一審被告シンフォーム以下
の契約関係は偽装請負であり公序良俗違反により無効であるとの主張を
するとともに，被告人質問（甲６３，６４）において，①所属していた
グループでは一審被告シンフォームの社員であるリーダーから作業を割
り当てられ，業務上の指示を受けていたこと，②ａが在籍するＡ社で
は，雇用契約上，Ａ社の従業員であるＴがａを指揮監督する者とされて
いたが，ａの入社後１，２か月が経過した頃にはＴとａは別のリーダー
の下で作業をするようになり，数か月後にはＴの一審被告シンフォーム
多摩事務所への来所が週２，３日程度に減り，その後全く来なくなった
りしていたなどの供述をしていたものである（甲１０，５２，６３，６
４）。
しかし，上記供述内容を的確に裏付ける客観的証拠は見当たらず，かえ
って，一審被告シンフォームにおいて本件システムの開発等の業務に関
わっていたｃ及びｆは，ａの刑事事件において，再委託先であるＡ社の
従業員についてはＡ社の従業員である管理者を通じて人員や作業管理を
含めた業務上の指揮監督を行っていたという趣旨の証言をしており，実
際にそのような指揮監督が行われていたことをうかがわせるメールのや
りとりを裏付ける書証（乙９８ないし１０８）も提出されている。ａの
供述内容は，上記メールのやりとりについては記憶が曖昧であるとし，
上記のとおり一審被告シンフォームのリーダーから直接業務上の指示を
受けていた点を強調する一方で，Ａ社の従業員である管理者に対し，一
審被告シンフォームにおける稼働時間の状況報告をしていたことや，自
らが不在期間中の業務の代替人員の人選について依頼した可能性がある
ことも供述していることなど一貫しない面があり，仮にＴが一審被告シ
ンフォーム多摩事務所に来所する回数が徐々に減っていった事実がある
としても，システムエンジニアという職務の性質上，逐一相対して指示
を受けながら作業をしなければならないとも考えにくいことなどを考慮
すると，ａの上記供述内容のみから，一審被告シンフォームとａとの間
で実質的な指揮監督関係があった事実を認めることは困難であるといわ
ざるを得ない。
一審原告らは，一審被告シンフォームが，ａに対し，一審被告シンフォ
ームの顧客分析課長等の許可を受けた従業員を通じて業務用アカウント
を教示するとともに，業務用パソコンを貸与し，業務開始時の入館証発
行に当たっては研修を受けさせ，それ以降，毎年研修を実施していたか
ら指揮監督関係があったとも主張するが，これらの事実が認められたと
しても，ａが実際に行っていた業務が，一審被告シンフォームと受託会
社（Ａ社）との間の業務委託契約に基づき受託会社の指揮監督の下に行
われていたということと矛盾するものではなく，前記事実から直ちに，
一審被告シンフォームがａの行う業務について具体的に指揮命令をして
いたと認めることはできない。
なお，一審被告シンフォームが，委託先に対し，個人情報保護法上の
委託先の監督（同法２２条）を行うことがあったとしても，ここにいう
監督は，委託先が，委託元との契約に沿って自ら業務を遂行したことに
対し，委託元が，委託先の当該業務遂行について当該契約の条項に沿っ
たものであるか，法令を遵守しているか等をチェックするものであり，
委託先の日常の業務を個別具体的に指示するものではなく，使用者責任
における指揮監督とは異なるものである。また，一審被告ベネッセと一
審被告シンフォーム間の業務委託契約において業務の再委託が原則とし
て禁止されていたとしても，上記認定判断を左右するものではない。
したがって，一審被告シンフォームの使用者責任に関するその余の争
点について判断するまでもなく，この点に関する一審原告らの主張は理
由がない。
７一審被告ベネッセの使用者責任について
一審被告シンフォームの使用者としての責任について
一審被告ベネッセと一審被告シンフォームとの間の契約は業務委託契
約であり（争いがない），原則として，受託者が委託者の指揮監督を受
ける内容のものではない。一審被告シンフォームは，従前一審被告ベネ
ッセにおいて対応していた個人情報等の情報が増加したことに伴い，一
審被告ベネッセからその管理業務の委託を受けたという経緯に照らせば，
一審被告シンフォームにおいて，専門的知見に基づいて本件システムや
本件データベースの運用管理を任されていたと認められ，一審被告ベネ
ッセから具体的な指揮監督を受けていたとは認められない。また，一審
原告らが指揮監督を基礎付ける事実として主張するものは，いずれも個
人情報保護法上の委託先の監督を基礎付ける事実とはなり得るが，前記
６で説示したとおり，同法上の委託先の監督と使用者責任における指揮
監督とは異なるものであるから，これらの事実をもって直ちに使用者責
任における実質的な指揮監督関係があったということにはならない。
一審原告らは，持株会社制に移行する以前は，一審被告シンフォーム
は，一審被告ベネッセのシステム部門がそのまま会社になった機能的子
会社という位置付けにあり，一審被告ベネッセに従属する関係にあった
などと主張するけれども，そのような事情を考慮したとしても，上記認
定判断を左右するものではない。
したがって，この点に関する一審原告らの主張は理由がない。
ａの使用者としての責任について
一審被告ベネッセとａの間には雇用関係はなく（争いがない），ａがシ
ステムエンジニアとして一審被告シンフォームに派遣され，多摩事務所
で一審被告ベネッセの情報システムの開発等の業務に従事していたから
といって直ちに，一審被告ベネッセとａの間に指揮監督関係があったと
ネッセが一審被告シ
ンフォームに対して実質的な指揮監督をしていたとはいい難く，また，
一審被告シンフォームがａに対して実質的な指揮監督をしていたともい
えないのであって，それらの関係とは別に，一審被告ベネッセにおいて，
一審被告シンフォームとの間の業務委託契約に基づく業務の範囲を超え
て，直接，ａに対して，本件システムの開発に関わる日常業務につき具
体的な指示をするなど，実質的な指揮監督関係を及ぼしていたことを裏
付ける的確な証拠はなく，一審原告らの上記主張を認めるには足りない。
８一審被告らの共同不法行為責任について
前記２ないし５で説示したとおり，一審被告シンフォーム及び一審被告ベネ
ッセは，それぞれ，固有の責任として，一審原告らに対する不法行為責任を負
うところ，当該一審被告らの不法行為は，一審被告ベネッセが保有し，その管
理を一審被告シンフォームに委託していた本件個人情報の管理に関するもので
あり，客観的に関連することは明らかであるから，一審被告らの不法行為は，
共同不法行為（民法７１９条１項前段）に当たるということができる。
９一審原告らの個人情報の漏えいの有無及び範囲について
本件漏えいに係るａの行為によって一審原告らの個人情報が漏えいしたか否
か及び漏えいした場合の情報の範囲については，原判決の「第３争点に対す
る判断」の１項に記載のとおりであるから，これを引用する。
本件漏えいによる一審原告らの損害の発生の有無及びその額について
本件漏えいによって，一審原告らの氏名，性別，生年月日，郵便番号，住
所，電話番号，ファクシミリ番号，メールアドレス，出産予定日及び保護者
の氏名といった情報が漏えいしたものであるところ，このうち，氏名及び郵
便番号・住所，電話番号，ファクシミリ番号及びメールアドレスについては，
これらの情報を取得した者において，これらを取得された者に対する連絡が
可能となり，また，同情報の使用方法によっては，取得された者の私生活の
平穏等に一定の影響が及ぶおそれがある。また，一審原告らがこれらの情報
を提供した経緯及び情報の内容に照らし，これらの情報がみだりに第三者へ
の開示がされることはないとの期待が存在したものと考えられ，性別，生年
月日，出産予定日及び保護者の氏名も含め，自己の了知しないところで第三
者に流出することは欲しないものであったということができるから，これら
の情報が不正に漏えいした場合には，自己の了知しないところで自己の個人
情報が漏えいしたことへの私生活上の不安，不快感及び失望感を生じさせた
ものとして，精神的損害が生じたと認めるのが相当である。
もっとも，出産予定日を除くこれらの情報は，人が社会生活を営む上で一
定の範囲の他者に開示することが予定されている個人を識別するための情報
又は個人に連絡をするために必要な情報でもあるため，思想・信条，病歴，
信用情報等とは異なり，個人の内面等に関わるような秘匿されるべき必要性
が高い情報とはいえない。また，出産予定日については，予定日にすぎない
ので，秘匿されるべき必要性の程度が相対的に低い。さらに，一審原告らは，
本件漏えいでは，一審原告らについて，子供の教育に熱心な，若しくは関心
がある親又は教育に熱心な，若しくは関心がある親に育てられた子という属
性も流出していると主張するけれども，ａはイベントで集めた情報などとし
て本件個人情報を売却しており，情報の量や質から一審被告らが保有してい
た情報として漏えいしたことが推測されていたとしても，これらの属性も，
秘匿性が高いものとはいえず，それによって，一審原告らの精神的損害の程
度が高まるものということはできない。
また，本件漏えいに係る情報は，一審原告らそれぞれでその範囲を異にし，
その内容も異なるところ，自己の提供した個人を識別するための情報や個人
に連絡するために必要な情報を漏えいされたこと自体には違いはなく，その
範囲や内容によって，自己の了知しないところで自己の個人情報が漏えいし
たことへの不安，不快感等につき，精神的損害の程度を区別して考えるほど
の違いがあるとまではいえない。
なお，一審原告らは，未成年の一審原告らに関しては，不安，不快感がこ
れから一生付きまとうなどして，精神的苦痛は成年者とは異なるとも主張す
るが，本件漏えいによる影響の期間は，成年者であるか未成年者であるかを
問わず，個別の事情によるところが大きい一方，自己の了知しないところで
自己の個人情報が漏えいしたことへの不安，不快感の程度は，成年者である
か未成年者であるかは問わず，異なるものとはいえないため，成年原告と未
成年原告とで精神的損害の程度を格別に扱う理由までを見いだすのは困難で
あるので，同主張は採用しない。
そして，本件漏えいにより，教育関連会社等５００社を超える会社に情報
が流出したとの報道がされている上，本件漏えいの発覚経緯が，一審被告ベ
ネッセの顧客から，一審被告ベネッセに対し，一審被告ベネッセと異なる通
信教育事業者から一審被告ベネッセに提供していた氏名を名宛人とした書面
が送付されているとの指摘が多数寄せられ，しかも，その氏名の中には，一
審被告ベネッセだけに提供していた戸籍上の氏名と異なるものがあるとの指
摘が含まれていることに鑑みると，本件漏えいに係る情報も同通信教育事業
者に流出した可能性があるといえるものの，一審原告らもダイレクトメール
やセールス電話が一審原告ら全員に生じているとまでは主張しておらず，前
記の流出の可能性を超えて，現時点で，ダイレクトメール等が増えたような
気がするという程度以上に財産的損害その他の実害が一審原告らに生じたこ
とはうかがわれない。
一方，一審被告シンフォームは，ａから，個人情報等を漏えいしない旨記
載された同意書を取得していたほか，ａに対して，情報セキュリティ研修等
を受講させていた。そして，一審被告ベネッセの持ち株会社である株式会社
ベネッセホールディングスは，本件漏えいの発覚後に直ちに対応を開始し，
情報漏えいの被害拡大を防止する手段を講じ，監督官庁に対する報告及び指
示に基づく調査報告を行い，情報が漏えいしたと思われる顧客に対し，本件
通知書を送付するとともに，顧客の選択に応じて５００円相当の謝罪品の交
付を申し出るなどしている。
以上のとおり，本件に現れた一切の事情を総合考慮すると，個人情報の漏
えいした一審原告らにつき本件漏えいに係る不法行為によって生じた精神的
損害に対する慰謝料として３０００円を認めるのが相当である。
そして，一審原告らが一審原告ら訴訟代理人弁護士に本件訴訟の提起及び
追行を委任したことは当裁判所に顕著であるところ，その弁護士費用として
は，本件事案の難易，請求額，損害額その他諸般の事情を考慮すると，一審
原告１人当たり３００円の範囲内のものが一審被告らの不法行為と相当因果
関係にある損害とみるのが相当である。
11小括
以上によれば，一審被告らは，共同不法行為（民法７１９条１項前段）に基
づき，連帯して，別紙控訴人目録の「判断」欄に○と記載した一審原告らに対
し，同一審原告らそれぞれにつき３３００円及びこれに対する不法行為の後の
日である平成２６年７月７日から支払済みまで民法所定の年５分の割合による
遅延損害金の限度で支払義務を負う。
第４結論
以上によれば，原判決中，一審原告らの一審被告ベネッセに対する請求を全
部棄却した点は相当でないからこれを変更し，上記の限度で一審原告らの請求
を一部認容し，その余の請求をいずれも棄却することとし，一審被告シンフォ
ームの控訴は棄却することとして，主文のとおり判決する。
東京高等裁判所第２３民事部
裁判長裁判官白石哲
裁判官筒井健夫
裁判官加本牧子

戻る