損害賠償請求控訴事件

【事案の概要】 本件は、通信教育大手のベネッセコーポレーションに個人情報を提供していた顧客らが、同社とシステム管理を受託していたグループ会社シンフォームから発生した大規模個人情報漏えい事件について、慰謝料の支払を求めた民事訴訟の控訴審判決である。 ベネッセは、蓄積されていた顧客情報を統合・分析するためのシステム構築・運用をシンフォームに委託し、シンフォームはさらに外部業者に再委託していた。再委託先の従業員Ｗは、平成25年7月頃から平成26年6月頃にかけて、シンフォーム多摩事務所の執務室において、貸与された業務用パソコンからバッチサーバ経由で本件データベースにアクセスし、約2億1939万件（名寄せ後で約4858万人分）の個人情報を抽出し、ＵＳＢケーブルで接続した私物スマートフォン（ＭＴＰ対応端末）に転送して不正に持ち出し、名簿業者に売却した。 原告らは、自らと2歳の子を含む家族3名分の氏名・住所・電話番号・メールアドレス等が漏えいしたとして、不法行為に基づき各5万円〜10万円の慰謝料を請求した。原審（東京地裁）は、ベネッセに過失があったと認めるに足りる具体的事実の主張・立証がないとして請求を棄却したため、原告が控訴した。 【争点】 主たる争点は、①シンフォーム及びベネッセにＭＴＰ対応スマートフォンによる書き出し制御・ＵＳＢ接続禁止・私物持込禁止・アラートシステム設置・監視カメラ設置等の安全管理措置を講ずべき注意義務違反があったか、②シンフォームが再委託先従業員Ｗについて使用者責任（民法715条）を負うか、③ベネッセがシンフォームについて使用者責任を負うか、④プライバシー侵害による精神的損害の有無及び慰謝料額である。 【判旨】 東京高裁は原判決を変更し、原告らの請求を一部認容した。 まず、シンフォームが導入していたセキュリティソフトは、設定によりＭＴＰを使用するデバイスの書き出しを禁止できたにもかかわらず、その設定確認を怠っていた点に注意義務違反（過失）があったと認定した。他方、私物スマートフォンの執務室持込禁止・ＵＳＢポート物理的閉塞・アラートシステム設置・高精度監視カメラ設置については、本件漏えい当時のガイドラインの水準や業務阻害性、代替手段の存在等に照らし、いずれも法的注意義務までは認められないとした。 ベネッセについては、大量の個人情報の運用管理を委託する立場として、個人情報保護法22条に基づき委託先を適切に監督する注意義務があり、セキュリティソフトの設定状況について適切に報告を求めていれば本件漏えいを防止できたのに、適切な設定がされていると誤信して監督を怠った点に過失があったとした。 使用者責任については、シンフォームと再委託先従業員Ｗの間には雇用関係も具体的指揮命令関係も認められず、ベネッセとシンフォームの間も業務委託契約で専門的知見に基づく運用を任せていたにとどまるとして、いずれも民法715条の使用者責任を否定した。もっとも、シンフォームとベネッセはそれぞれ固有の過失により不法行為責任を負い、客観的関連共同性があるとして、共同不法行為（民法719条1項前段）の成立を認めた。 損害については、漏えいした情報が氏名・住所・電話番号等の基本的な連絡先情報にとどまり、クレジットカード情報等の重要情報は含まれていないこと、実害の発生は認められないこと、ベネッセが発覚後直ちに被害拡大防止措置を講じ、500円分の金券配布等の事後対応を行っていることを考慮し、慰謝料は1人当たり2000円が相当とした。最高裁平成29年10月23日第二小法廷判決を引用し、漏えいされた情報がプライバシー侵害として法的保護の対象となることを確認した点も注目される。