個人情報が漏洩した場合に、事業者が負担する損害賠償その他責任について解説
【ご相談内容】
当社は、顧客情報をSaaS形式で提供されているシステムに記録し、管理しています。
今般、当該システムを提供している会社より、「システムへの不正アクセスを検知した。システム内に記録されている情報が漏洩した疑いがある」との連絡がありました。
個人情報の漏洩事故はこれまで経験したことがなく、今後どのような責任を負担しなければならないのか、あるいは責任追及しなければならないのか、皆目見当がつかない状態です。
当社が負うことになる責任の内容などについて、教えてください。
【回答】
近時は自社の不注意で個人情報の漏洩事故が発生したパターンではなく、委託先等の第三者による不注意等で個人情報の漏洩事故が発生し、自社がトラブルに巻き込まれるというパターンが増加しています。この場合、「委託先に問題があるのであって、当社のミスではない」と言いたくなるのですが、そのようなことを口走ってしまうと、個人情報を提供した本人のみならず、世間一般から袋叩きにあってしまうのが今の世の中です。
また、法的にも、自社が個人情報の提供を受けている以上、個人情報を提供した本人からの責任追及を免れることはできません。
以上のことから、いつ発生するか分からない個人情報の漏洩事故に備えて、どのような責任を負うことになるのか、また誰に対してどのような責任追及をすることができるのか、事前に正しく理解しておく必要があります。
本記事では、個人情報の漏洩事故が発生した場合に負担することとなる民事上の損害賠償責任を中心に解説しつつ、個人情報保護法上の義務や行政機関に対して負担する責任について適宜触れていきます。また、個人情報の漏洩事故を発生させた第三者に対して責任追及する場合の注意点についても、簡単にポイント解説していきます。
【解説】
1.個人情報を漏洩した事業者が負うべき責任
個人情報が漏洩した場合、漏洩させた事業者は様々な責任を負うことになります。
(1)民事上の責任
民事上の責任といえば、個人情報を提供した本人に対する損害賠償責任が主たるものとなります(なお、自社が委託先であり、委託元より損害賠償請求を受けるという場面も想定されますが、これについては省略します)。
ところで、個人情報保護法が世間にある程度浸透したためか、個人情報保護法違反により損害賠償責任を負うと考える方が多いようですが、これは誤りです。なぜなら、個人情報保護法に損害賠償責任に関する規定は設けられていないからです。
法的には、個人情報が漏洩したことによるプライバシー侵害を理由として、個人情報を提供した本人が事業者に対し、損害賠償請求することが通常です。
【個人情報とプライバシーとの相違】
個人情報については、個人情報保護法第2条第1項第1号で次のように定義されています。
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
① 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) ② 個人識別符号が含まれるもの |
一方、プライバシーについては、実は法律上の定義はありません。ただ、伝統的には次のような定義が用いられています(東京地方裁判所昭和39年9月28日、「宴のあと」事件判決)。
(イ)私生活上の事実または私生活上の事実らしく受け取られるおそれのあることがらであること
(ロ)一般人の感受性を基準にして当該私人の立場に立った場合公開を欲しないであろうと認められることがらであること、換言すれば一般人の感覚を基準として公開されることによって心理的な負担、不安を覚えるであろうと認められることがらであること (ハ)一般の人々に未だ知られていないことがらであること |
上記の通り、法的には「個人情報」と「プライバシー」は異なるものであり、理論的には個人情報の漏洩があった場合、直ちにプライバシー侵害が成立するわけではありません。
しかし、例えば、大阪地方裁判所平成18年5月19日判決では、「住所・氏名・電話番号・メールアドレス等の情報は、個人の識別等を行うための基礎的な情報であって、その限りにおいては、秘匿されるべき必要性が高いものではない。(省略)しかし、このような個人情報についても、本人が、自己が欲しない他者にはみだりにこれを開示されたくないと考えることは自然なことであり、そのことへの期待は保護されるべきものであるから、これらの個人情報は、原告らのプライバシーに係る情報として法的保護の対象となるというべきである。」とされています。また、いわゆる住基ネット裁判の大阪高等裁判所平成18年11月30日判決では、「一般的には秘匿の必要性の高くない四情報や数字の罹列にすぎない住民票コードについても、その取扱い方によっては、情報主体たる個人の合理的期待に反してその私生活上の自由を脅かす危険を生ずることがあるから、本人確認情報は、いずれもプライバシーに係る情報として、法的保護の対象」とされています。
伝統的なプライバシー概念からすると、氏名・住所・電話番号等の個人情報はプライバシーに当然に該当するわけではないと考えられてきたのですが、近時の裁判例を踏まえると、氏名・住所・電話番号等の個人情報もプライバシーに包含されると考えたほうがよいかもしれません。
【義務違反】
個人情報を漏洩した事業者が損害賠償責任を負う場合、法的な意味での義務違反が必要となります。
この点、正確な法令用語ではありませんが、「漏洩防止義務」を事業者が課せられていたのかがポイントとなるところ、個人情報保護法では、事業者に対し、次のような義務を課しています。
第23条(安全管理措置)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
第24条(従業者の監督) 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
第25条(委託先の監督) 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 |
前述した通り、個人情報保護法には損害賠償責任に関する規定は設けられていません。したがって、個人情報保護法第23条から第25条だけを根拠に民事上の義務違反が成立するわけではありません。
とはいえ、個人情報保護法の内容がある程度普及し、個人情報の重要性が世間一般の共通認識となっている今日では、個人情報保護法第23条から第25条を重要な考慮要素とし、民事上の「漏洩防止義務」が導かれると解釈してもよい状態と言えます。
【責任を負う主体】
個人情報を保有する事業者自らが、個人情報の漏洩事故を起こした場合、当該事業者が損害賠償責任を負うことは言うまでもありません。
では、事業者以外の第三者、例えば、個人情報の取扱いを任せていた外部業者が漏洩事故を起こした場合、事業者はやはり責任を負うのか(第三者のみが責任を負うことにならないか)が問題となります。
この点、事業者は、個人情報保護法第25条に基づき委託先の監督義務が課せられています。もっとも、個人情報保護法が直接の民事上の義務違反を構成するわけではないこと前述の通りです。
この場合、事業者は民法第715条に定める使用者責任を負うのかという視点で検討を行うことになります。なお、「使用者」責任という言葉に引っ張られるためか、外部業者は独立した当事者であって、従業員・役員などの内部者ではない以上、使用者責任を負担することはないのではと疑問を持つ方もいるようですが、残念ながら間違いと言わざるを得ません。なぜなら、ここでいう使用関係とは、実質的な指揮命令関係と解釈されており、雇用関係のみに留まるわけではないからです。
ところで、個人情報を提供した本人は事業者以外の者、例えば、情報漏洩を起こした張本人である従業員に対して責任追及することは当然可能ですが、従業員の上司に当たる役員に対して責任追及することも考えられます。
ただ、この場合、個人情報を提供した本人は、会社法第429条に基づく責任追及を行うことになりますが、この場合、役員個人の義務違反を特定する必要があるため、単に個人情報保護法違反を指摘するだけでは不十分と考えられます。
【損害額】
個人情報が漏洩した場合の先例的な裁判例として取り上げられるのは、次の3つが多いと思われます。
裁判例 | 概要 | 損害額 |
大阪高等裁判所判決
(平成13年12月25日) |
宇治市の住民基本台帳データが漏えいした事例 | 1万円 |
大阪高等裁判所判決
(平成19年6月21日) |
通信サービス事業者が保管していた顧客情報が漏えいした事例 | 5000円 |
東京高等裁判所判決
(平成19年8月28日) |
エステへの問い合わせ等を行うに際して提供した氏名、住所、電話番号、職業等の個人情報がネット上に漏えいした事例 | 3万円 |
損害額だけを見ると、「低い…」と思われるかもしれません。
たしかに、被害者1人当たりの損害額としては決して高額とは言えません。
しかし、ひとたび個人情報の漏洩が発生した場合、1件や2件といったものに留まらず、数千・数万単位で漏洩事故となっていることが通常です。この場合、1人当たりの損害賠償単価が低かったとしても、事業者が被害者に負担する総額は数百万円以上となります。
したがって、事業者は個人情報を漏洩しても大した負担にはならないと安易に考えるべきではありません。なお、近年は個人情報が漏洩した場合、被害者が集団訴訟を起こす傾向が強まってきており、事業者が負担する総額が高くなる状況となっていることにも注意が必要です。
ところで、同じ個人情報が漏洩した事例であっても、損害額についてはバラツキがあります。
この理由については色々と考えられるところがありますが、必ずしも秘匿性が高いとはいえない住所・氏名・電話番号・メールアドレス等の情報漏洩に留まるのか、それとも病歴などを含む不当な差別や偏見につながる秘匿性の高い情報まで漏洩したのかを、損害額算定の重要な考慮要素にしていることは間違いありません。例えば、上記裁判例の内、エステに関する事例は個人の身体的特徴や関心に関する内容が含まれており、一般的には他人に知られると恥ずかしいといった秘匿性の高い情報であった点が高額化した理由の1つとして考えられるところです。
また、漏洩後の拡散状況も重要な考慮要素になっていると考えられます。
すなわち、個人情報が漏洩したとはいえ回収ができた場合(=個人情報の拡散を食い止めることができた場合)、損害賠償は発生しないあるいは極めて低額化するものと思われます。一方、第三者のウェブサイト等に掲載された場合は回収することが事実上不可能であり、半永久的に個人情報が拡散されることを踏まえると、相応の損害賠償をもって償うべきと考える要素となりえます。そして、被害者に二次被害(心当たりのない者から連絡が入った等)が発生している場合、その精神的苦痛は甚大であるとして損害賠償の高額化につながる要素と考えられます。
なお、大規模な個人情報漏洩事件が発生した場合、事業者によっては個人情報を提供した本人全てに対し、500円程度の金券を配布するなどして対処することが多くなってきています。
上記の裁判例などと比較すると、裁判で認められる損害賠償額を満たすようなものとは言い難いことはもちろん、金券を配布したところで損害賠償責任を免れるという法的効果が生じることはありません。
しかし、事業者として被害者に対して謝罪しているという点では損害賠償額の高額化に歯止めをかける一考慮要素になると考えられます。また、配布した金券相当額が損害賠償金の一部支払いに充てられるという効果も期待できます。さらに、事実上の効果として、被害者による集団訴訟を食い止める1つのきっかけになる場合も想定されます。
世間的には「たったこれだけ…」と思われることが多いですが、事業者対応としては、決して間違ったものではないことを知っておきたいところです。
(2)行政上の責任
ここでいう行政上の責任とは、個人情報保護法違反として取締り対象になるという意味で用いています。
【個人情報保護委員会への報告義務】
令和4年(2022年)4月1日より、法が定める個人情報漏洩事故が発生した場合、事業者は個人情報保護委員会へ報告する義務が課せられました。
個人情報保護法第26条第1項
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。 |
報告義務が課せられる事象は「個人情報保護委員会規則で定めるもの」とされていますが、要配慮個人情報が漏洩した場合、不正利用されることにより財産的被害が生じる恐れがある場合(クレジットカード情報の漏洩など)、不正の目的をもって行われた漏洩の場合(ランサムウェアによる被害が発生した場合など)、1000人を超える漏洩の場合などが該当します。
また、報告するべき内容についても法定化されています。
詳しくは、次の資料をご参照ください。
(参考)
個人情報の保護に関する法律についてのガイドライン(通則編)(個人情報保護委員会)
(※ガイドライン3-5が該当します)
【本人への通知義務】
令和4年(2022年)4月1日より、法が定める個人情報漏洩事故が発生した場合、事業者は個人情報保護委員会へ報告のみならず、被害者本人へ通知する義務も課せられました。
個人情報保護法第26条第2項
前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 |
個人情報を提供した本人に対して通知するべき事項は、①概要、②漏えい等が発生し、又は発生したおそれがある個人データの項目、③原因、④二次被害又はそのおそれの有無及びその内容、⑤その他参考となる事項と法定化されています。
また、本人への通知方法も原則は個別通知、通知困難な事態がある場合は公表等の代替措置にて通知するといったルールも法定化されています。
詳細については、上記で引用した「個人情報の保護に関する法律についてのガイドライン(通則編)」をご参照ください。
【罰則】
個人情報保護法に違反した場合、個人情報保護委員会は事業者に対して報告を求めたり(個人情報保護法第146条)、立入検査を行ったり(個人情報保護法第146条)、指導・助言・勧告・命令を行う(個人情報保護法第147条及び同法第148条)などの措置を講じることができます。
これらの措置を遵守しなかった場合、事業者は刑事責任を追及されることになります(個人情報保護法第178条、同法第179条、同法182条乃至同法第184条)。
(3)社会的責任
個人の権利意識の高まりのためか、ひとたび個人情報の漏洩を発生させた事業者は、徹底的に批判される傾向があります。これによる社会的信用の低下やレピュテーションリスクはもはや避けて通れないものであることを認識する必要があります。
また、個人情報の漏洩事故発覚後の事業者対応も細心の注意を払う必要があります。不用意な発言を控えることはもちろんのこと、委託先等の第三者に原因があったとしても責任回避と取られるような言動は厳に慎むべきです。何らかの“不適切発言”があった場合、マスコミはこの発言だけを切り取って騒ぎ立てますし、部外者が好き勝手なことをSNS等に投稿することで、いわゆる炎上騒動が発生してしまうからです。
ただでさえ個人情報の漏洩事故対応で四苦八苦している中で、炎上騒動まで対応するとなると事業者の負担は相当なものとなります。
なお、個人情報の漏洩事故が発生した場合、個人情報を提供した本人からの問い合わせ等が殺到する恐れがあります。事業者と連絡がつかないというのは被害者感情を悪化させることはもちろん、やはり部外者からのバッシングを激化させることにつながりかねません。
個人情報保護法では苦情処理体制の整備に関する努力義務が定められていますが(個人情報保護法第40条)、漏洩事故が発生した場合は、問い合わせ窓口を増設するなどの対応も必須となります。
2.原因当事者に対して責任追及する場合
上記1.では、個人情報を漏洩した事業者が負うべき責任について記述しました。
ここでは、事業者の“けじめのつけ方”といえばよいでしょうか、個人情報漏洩事故につながった原因当事者に対して、どのような責任追及ができるのかという点を簡単に検討します。
(1)民事責任の追及
ここで民事責任とは、事業者が、個人情報を提供した本人に対して支払った費用や個人情報漏洩事故に要した対応費用などを、原因となった当事者に損害賠償請求することを意味します。
なお、個人情報が漏洩したことは間違いないものの、一方でその漏洩は公益通報者保護法に基づく公益通報に該当するというパターンも想定されます。この場合、漏洩者に対して不利益処分を行うことができませんので、民事責任の追及も不可となることに注意が必要です。
【委託先に対して】
例えば、個人情報の提供を受けた事業者は、個人情報をサーバ等に格納して保管することが多いと思われます。そして、このサーバ等についても事業者自らが準備し管理するのではなく、第三者(委託先)に管理・運用業務を委託することが一般的と考えられます。
上記関係性がある状況下で、委託先のミスにより個人情報漏洩事故が発生したのであれば、事業者は委託先に対し、損害賠償請求できるというのが理論的帰結です。
ただ、委託先は次のような反論を行ってくる可能性があります。
・そもそも委託先にミスは無い(未知のウイルスが原因であり不可抗力である、委託先の技術力では対処しようがないなど)
・委託先にミスがあったとしても、事業者(委託元)にも監督義務違反がある(過失相殺など)
・事業者が負担した費用は法律上の損害に該当しないので、当該費用は委託先に賠償義務はない(相当因果関係が無い、必要かつ相当な損害とは言えないなど)
・契約上、委託先が負担する損害賠償額には一定の制限がある(通常損害に限り特別損害については免責される、一定の金額内でしか損害賠償責任を負わないなど)
上記反論はケースバイケースで判断せざるを得ませんが、一方で委託先との業務委託契約の定め方如何で、委託先からの反論はある程度防止できるところがあります。
契約条件につき十分に確認の上、必要に応じて契約修正交渉を行いたいところです。
【従業員に対して】
例えば、従業員が、個人情報を格納したUSBを不用意に持ち出し、外出先で紛失したことを原因として個人情報漏洩事故が発生した場合、事業者は従業員に対して損害賠償請求できるというのが理論的帰結です(民法第715条第3項)。
しかし、この事業者が従業員に対して行う損害賠償請求については、裁判所は一貫して一定の制限をかけています。(報償責任といいます)。このため、故意に個人情報を漏洩したといった事例でもない限り、事業者が従業員より、事業者が被った損害全額を法的に回収することはまず不可能というのが実情です。
従業員による管理方法にミスがあったとしても、せいぜい2~3割程度しか請求できないと考えたおいたほうが良いかもしれません。
なお、損害賠償責任を追及するのではなく、当該従業員に対して懲戒処分を実施するという形での責任追及も考えられます。この場合、就業規則に懲戒処分の根拠があるのか、選択された懲戒処分の内容(譴責、減給、出勤停止、解雇など)が相当なものといえるのか、労働法上の問題を意識する必要があります。
【漏洩情報を利用している第三者に対して】
事業者としては、漏洩した情報を用いている第三者に対し、当該情報を利用することを止めるよう要求したいところですが、法律上は非常に厄介な問題となります。
なぜなら、民法の不法行為の解釈論として、差止請求が当然にできるとはされていないからです。
差止請求を行うのであれば、例えば、漏洩した個人情報が営業秘密又は限定提供データに該当することを前提に不正競争防止法を根拠にするといった工夫が必要となりますが、営業秘密や限定提供データの該当性は一定のハードルがあります。このため、常に不正競争防止法に基づく差止請求ができるわけではないことに注意を要します。
現場実務的には、不正に持ち出された個人情報であることを注意喚起し自発的に利用することを止めてもらう、個人情報を提供した本人に協力してもらうことで、当該本人からプライバシー権を根拠に差止請求を行う(但し、これだけでは当該本人分しか利用の差止を求めることができない)といった手段を用いつつ、対処してくことが多いように思います。
(2)刑事責任の追及
実のところ、個人情報を漏洩したこと、それ自体が犯罪に該当するわけではありません。
例えば、事業者が保有するUSB等に個人情報を記録し、当該USBを持ち出したというのであれば、窃盗や業務上横領といった刑事責任を問うことが可能です。
また、個人情報を記録したUSB等を保有していた者に対し、暴行・脅迫することで当該USBを取得したのであれば強盗、欺罔したのであれば詐欺、恐喝したのであれば恐喝といった刑事責任を追及することが可能です。
さらに、個人情報が営業秘密に該当するのであれば不正競争防止法違反、保管されていた個人情報が編集著作物に該当するのであれば著作権法違反、不正アクセスにより個人情報を取得したのであれば不正アクセス禁止法違反といった刑事責任追及の方法も検討できる場合があります。
なお、個人情報保護法では、個人情報データベース等提供罪(個人情報保護法第179条)が定められていますが、「不正な利益を図る目的」という要件が必要とされていますので、単なるミスで個人情報を漏洩した場合には適用されないことになります。
3.当事務所のサポート内容
個人情報漏洩事故は、事前に何か予兆があって生じるものではなく、ある日突然発生するものであるため、事業者としても準備はもちろん心構えさえできていないことが通常です。このため、ひとたび個人情報漏洩事故が発生してしまうと、何から手を付けていけばよいのか分からず、混乱したままで誤った方策を講じてしまい、二次災害・三次災害…と連鎖して被害を受けることも珍しくありません。
いくら自社が万全の対策を講じていたとしても、第三者(委託先など)のミスにより、個人情報の漏洩事故は起こってしまいます。
個人情報の漏洩事故が発生した場合、自社だけで完璧な対策を講じることはおよそ不可能であることを認識し、専門家の助けを借りつつ被害を最小限に食い止めることが、賢い経営判断と言えるかもしれません。
不幸にして個人情報の漏洩事故が発生した場合の緊急対応を望まれる事業者様はもちろん、できる限りの事前対策を講じたいと考える事業者様におかれましては、複数の対応実績を有することで知見とノウハウを蓄積している当事務所を是非ご利用ください。
<2023年8月執筆>
※上記記載事項は弁護士湯原伸一の個人的見解をまとめたものです。今後の社会事情の変動や裁判所の判断などにより適宜見解を変更する場合がありますのでご注意下さい。
- サイバー攻撃による情報流出が起こった場合の、企業の法的責任と対処法とは?
- システム開発取引に伴い発生する権利は誰に帰属するのか
- 押さえておきたいフリーランス法と下請法・労働法との違いを解説
- システム開発の遅延に伴う責任はどのように決まるのか?IT業界に精通した弁護士が解説
- IT企業で事業譲渡を実行する場合のポイント
- 不実証広告規制とは何か? その意味や対処法などを解説
- WEBサイト制作事業者が抱えがちなトラブルへの法的対処法
- WEB制作・システム開発において、追加報酬請求が認められるための条件
- IT企業特有の民事訴訟類型と知っておきたい訴訟対応上の知識
- ネット通販事業にまつわる法律のポイントと対処法を徹底解説