損害賠償請求事件

【事案の概要】 本件は、通信教育事業等を営む被告ベネッセから、顧客情報を統合・分析するシステム（本件システム）の開発・運用等の業務を委託されていた被告シンフォーム（ベネッセのグループ会社）の業務委託先の再々委託先従業員Ｃが、平成25年7月頃から平成26年6月27日までの間、多摩事務所において、本件データベースから抽出した個人情報を貸与された業務用パソコンに保存した上、ＵＳＢケーブルでパソコンに接続したＭＴＰ対応のスマートフォンに転送・保存して不正に取得し、名簿業者3社に売却したことにより、原告ら（被告ベネッセの通信教育等の顧客又はその保護者）の個人情報が漏えいされた事案である。漏えいデータには約2億1639万件の情報、約4858万人分の個人情報が含まれていた。原告らは、氏名、性別、生年月日、郵便番号、住所、電話番号、メールアドレス等の個人情報を漏えいされ精神的苦痛を被ったとして、被告シンフォームに対しては不法行為又はＣを被用者とする使用者責任に基づき、被告ベネッセに対しては不法行為又は被告シンフォームを被用者とする使用者責任に基づき、慰謝料等の損害賠償を求めた。 【争点】 主な争点は、①被告らに、スマートフォン等の持込禁止義務、ＵＳＢ接続禁止義務、ＭＴＰ通信の書き出し制御義務、アラート設定義務、監視カメラ設置義務等の注意義務違反（過失による不法行為）の前提となる予見可能性があったか、②被告シンフォームにＣを被用者とする使用者責任が成立するか（雇用関係のない再々委託先従業員との間の実質的指揮監督関係の有無）、③原告らの精神的損害の有無及び程度である。 【判旨】 裁判所は、まず過失による不法行為責任について、本件当時、スマートフォンをＵＳＢポートに接続して情報を不正取得される可能性一般は予見し得たとしても、ＭＴＰ対応のスマートフォンを接続しＭＴＰ通信を利用して個人情報を不正取得されることについては、本件行為以前に同種事例がなく、専門家の認識も十分でなく、行政機関等の基準でもＭＴＰ通信の危険性が指摘されていなかったことから、予見可能性があったとは認められないと判示した。その結果、原告ら主張の各注意義務は認められず、被告らの過失による不法行為は成立しないとした。また、被告ベネッセの被告シンフォームを被用者とする使用者責任も、前提となる被告シンフォームの不法行為が認められないため成立しないとした。他方、被告シンフォームとＣとの関係については、雇用関係はないものの、グループリーダーがＣに具体的業務を直接指示し、スケジュール管理、残業指示、労働時間管理等をしていた実態から実質的な指揮監督関係があったと認め、Ｃの本件取得・売却行為は被告シンフォームの「事業の執行について」されたものと評価し、選任監督について相当の注意をしたともいえないとして、Ｃの故意の不法行為について被告シンフォームの使用者責任を認めた。慰謝料額については、漏えい情報が個人を識別する情報や連絡先情報であって秘匿性が極めて高いとはいえず、被告らが通知書送付や500円相当の謝罪品提供等の事後対応を行っていることも考慮し、原告1人あたり慰謝料3000円、弁護士費用300円の合計3300円を認容した。被告ベネッセに対する請求はすべて棄却された。