Footprints

弁護士・伊藤雅浩による仕事・趣味・その他雑多なことを綴るブログ(2005年3月開設)

ベネッセ個人情報流出について

法律

ベネッセコーポレーション(以下「ベネッセ」)の通信教育サービス利用者の個人情報が大量に流出したという問題について少しだけ。

※後半のジャストシステムに関する記載について誤記があったため訂正。


7月9日,ベネッセが個人情報が漏えいしたという発表をした。
http://www.benesse-hd.co.jp/ja/about/release_20140709.pdf


漏えいが疑われる件数は2000万件とも言われている。日本国内では過去最大級だ。


現時点においては,詳細は明らかではないものの,内部関係者の不正により外部に持ち出され,名簿屋を経由して,ジャストシステムに渡り,そこからDMが送信されたという話もある。

まずはベネッセの法的問題について。


個人情報取扱事業者であるベネッセは,個人データの漏えいの防止のための安全管理に必要な措置を講じる義務を負っている(個人情報保護法20条)。また,第三者に取扱いを委託していたとしても,当該委託先に対して必要かつ適切な監督をしなければならない(同法22条)。どのような管理体制であったかは不明であるが,これらの義務に違反していれば,主務大臣からの勧告が出される可能性はある(同法34条1項)。本日,経産省から同法32条に基づく報告を求めたというリリースが出ている*1が,これは助言,勧告などの措置の要否について判断するためだろう。ちなみに,平成23年4月に生じたプレイステーションネットワーク個人情報流出事件においては,同年5月に経産省から再発防止の指導(法33条に基づくもの。)が行われている。


個人情報保護法は,あくまで事前予防のための事業者に対する規制であるため,これに違反したとしても,直ちに情報の主体(個人)に対する責任が生じるわけではない。しかし,適切な管理を怠ったことにより情報が流出した場合には,当該個人に対してプライバシー侵害があったとして不法行為責任が生じる可能性はある。


ベネッセは,機微情報は含まれていないから金銭補償は考えていない,という報道があった。しかし,氏名,親子関係,生年月日,住所,電話番号らの情報であっても,プライバシー侵害は成立し得る。例えば,住民基本台帳データが漏えいしたという事件*2では,転入日や世帯主との続柄という情報が含まれていたというケースだが,裁判所は次のように述べた(一人当たり10,000円の慰謝料を認定)。

明らかに私生活上の事柄を含むものであり,一般通常人の感受性を基準にしても公開を欲しないであろうと考えられる事柄であり,更にはいまだ一般の人に知られていない事柄であるといえる。したがって,上記の情報は,Xらのプライバシーに属する情報であり,それは権利として保護されるべきものであるということができる。


また,ヤフーBBから住所,氏名,電話等の基本情報が漏えいした事件*3では,一人当たり5000円の慰謝料が認定されている。よって,機微情報(そもそも機微情報ではないと言い切れるか?)が含まれていないからといって,損害賠償義務が生じないとはいえない。


損害賠償額(慰謝料)は,過去の類似の裁判例を見てみると,情報の性質,漏えいの範囲,事故後の対応,二次的被害の有無・程度を考慮して判断されている。今回の場合,情報の性質としてセンシティブさは高くないとしても,二次的被害がすでに出始めているということからすると・・(ここで「少なくとも○○万円は認められます。」とかいうと,某日大刑事系名誉教授っぽいけれど自粛)。

情報漏えい行為者の責任

個人情報の管理の程度によっては,個人情報保護法でいう個人情報であると同時に,不正競争防止法にいう営業秘密(2条6項)に該当する可能性がある。これを部外者不正な手段により取得したり第三者に開示すれば不正競争行為になる(2条1項4号)とともに,営業秘密侵害罪に該当する可能性がある(21条1項1号,2号)。また,正当な権限を以って扱っていた者が,不正目的で領得したり開示する行為も同様である(2条1項7号,21条1項4号)。すでに捜査が開始されたという報道もある*4


もちろん,ベネッセや情報主体である個人に対しても不法行為責任が生じる。

ジャストシステム

問題はジャストシステムである。仮に,ここで漏えいした情報が名簿屋を経由してジャストシステムに流れていて,それを「知らなかった」として使用してDMを発送していた場合,何か問題があるだろうか。


考えられるのは,個人情報保護法の「偽りその他不正の手段により個人情報を取得してはならない。」(17条)の違反である。ここでいう「不正の手段」については,経産省ガイドライン20頁*5では,不正の手段によって個人情報を取得している事例として,

上記事例1)又は上記事例2)などの不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合

が挙げられている。仮にベネッセジャストシステム*6が「知らなかった」としても,市中の名簿屋が,そんなに大量の個人情報を有していたという状況下で「不正の手段で個人情報が取得されたことを容易に知ることができた」といえる場合には,それを取得した行為は,同条に違反する可能性がある。


追記。持ち出された名簿について,営業秘密に該当するとすれば,ジャストシステムは「取得した後にその営業秘密について不正取得行為が介在したことを知って,又は重大な過失により知らないでその取得した営業秘密を使用」した可能性がある(不競法2条1項6号)。これも不正競争行為の一類型である。

名簿屋

名簿屋については,詳しくは触れないが,上記で述べた不正競争防止法違反や,個人情報保護法に違反する可能性はある。


ところで,名簿屋に対する規制については,今般公表されたパーソナルデータに関する制度改正大綱*7の末尾17頁「継続的な検討課題」において,

個人情報を販売することを業としている事業者(いわゆる名簿屋)等により販売された個人情報が、詐欺等の犯罪行為に利用されていること、不適切な勧誘等による消費者被害を助長するなどしていること及びプライバシー侵害につながり得ることが、社会問題として指摘されている。 このような犯罪行為や消費者被害の発生と被害の拡大を防止するためにとり得る措置等については、継続して検討すべき課題とする。

と述べるにとどめ,先送りになっている。本件をきっかけに,次回の個人情報保護法改正の際に合流してくる可能性はある。

*1:http://www.meti.go.jp/press/2014/07/20140710003/20140710003.html

*2:阪高判平13.12.25平13(ネ)1165号

*3:阪高判平19.6.21

*4:http://headlines.yahoo.co.jp/hl?a=20140709-00000124-jij-soci

*5:http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf

*6:ご指摘いただいて7/11 9:00に訂正。申し訳ありません。

*7:http://www.kantei.go.jp/jp/singi/it2/info/h260625_siryou2.pdf