損害賠償請求控訴事件

【事案の概要】 本件は、通信教育事業を営む被控訴人（ベネッセコーポレーション）に対し、同社の顧客であった控訴人が、個人情報漏えいによる精神的苦痛を理由に慰謝料10万円の支払を求めた損害賠償請求事件である。被控訴人は、グループ会社であった株式会社Ａに個人情報分析システムの開発を委託していたところ、株式会社Ａの業務委託先従業員であったＢが、平成26年6月、株式会社Ａ多摩事業所の執務室内で、業務用ＰＣにＵＳＢケーブルで自己所有のＭＴＰ対応スマートフォンを接続し、同スマートフォン内蔵メモリ等に顧客情報約2989万件をコピーした上で名簿業者に売却した。漏えいされた情報には、控訴人の子Ｃの氏名・性別・生年月日・郵便番号・住所・電話番号・保護者名（控訴人の氏名）等が含まれていた。差戻し前の一審・原審はいずれも控訴人の請求を棄却したが、最高裁は、本件漏えいによって控訴人のプライバシーが侵害されたといえ、精神的損害の有無及び程度を十分に審理していないとして原判決を破棄し、本件を差し戻した。 【争点】 差戻し後の主たる争点は、(1)業務委託先である株式会社Ａに本件漏えいについて過失が認められるか（特にＭＴＰ対応スマートフォンによる漏えいの予見可能性及び結果回避義務）、(2)被控訴人自身に委託先選任・監督上の注意義務違反が認められるか、(3)控訴人に生じた精神的損害の有無及び慰謝料額である。 【判旨】 大阪高裁は、控訴人の請求を1000円の限度で認容し、その余を棄却した。まず、本件個人情報は全体として控訴人のプライバシーに係る情報として法的保護の対象となると認定した。次に、株式会社Ａには本件漏えい当時、ＭＴＰ対応スマートフォンを業務用ＰＣのＵＳＢポートに接続する方法による情報漏えいのリスクについて予見可能性があり、スマートフォンの持込み禁止措置、またはＷＰＤデバイスに対する使用制御措置（書出し制御措置を含む）を採るべき注意義務があったのに、これを怠った過失があると判断した。被控訴人についても、本件漏えいの危険性を予見しえたにもかかわらず、委託先である株式会社Ａに対し、セキュリティソフトの変更やＷＰＤデバイス使用制御措置の設定変更、執務室内への個人スマートフォンの持込み禁止について適切に監督すべき注意義務に違反したと認め、個人情報保護法22条違反をも指摘した経済産業大臣の勧告にも言及しつつ、被控訴人と株式会社Ａの共同不法行為責任（民法719条1項前段）を肯定した。慰謝料額については、漏えいされた情報が氏名・住所・電話番号等の個人識別・連絡先情報を中心とするもので、私的領域性が比較的低いこと、控訴人の住所等が既にホームページや不動産登記に開示されていたこと、具体的な金銭被害やダイレクトメールの増加等の実害が現時点で生じていないこと、他方で漏えい先が500社超の名簿業者にまで拡散し回収不能となっており控訴人の不安感を増幅させていること、被控訴人が漏えい発覚後に謝罪文書送付や500円相当の金券配布等の対応措置を講じたこと等、一切の事情を総合考慮して、慰謝料は1000円が相当と認定した。