AI概要
【事案の概要】 本件は、通信教育事業等を営む株式会社ベネッセコーポレーション(被控訴人ベネッセ)に対して個人情報を提供していた顧客(控訴人ら)が、同社から情報システム管理業務の委託を受けていた株式会社シンフォーム(被控訴人シンフォーム)、さらにその再委託先の従業員Wによって顧客情報が外部に漏えいした事件(本件漏えい)について、共同不法行為に基づき慰謝料の支払を求めた事案の控訴審である。 被控訴人らは、業務用パソコンからのデータ書き出しを防ぐために日立ソリューションズ製のセキュリティソフトを導入していた。しかし、その設定はUSBメモリや外付けHDD等の書き出しのみを制御するものにとどまっており、MTP(Media Transfer Protocol)規格に対応したスマートフォンをUSBケーブルでパソコンに接続した場合には、書き出しが制御されない状態となっていた。従来のMSC(USBマスストレージクラス)規格と異なり、MTP対応デバイスはWPD(Windowsポータブルデバイス)として認識されるため、被控訴人らの設定漏れによって書き出し制御の対象から外れていたのである。 Wは、経済的に困窮していたことから顧客情報を名簿業者に売却することを考えていたが、USBメモリ等が制御対象であると認識していたので当初は断念していた。ところが、自身のMTP対応スマートフォンを充電のためにパソコンへ接続したところ、外部記憶媒体として認識されデータ転送が可能であることを知り、顧客情報を書き出して名簿業者に売却、約500社を超える業者に情報が拡散したとされる。控訴人Aは3万円、控訴人Bは10万円の慰謝料を請求したが、原審は共同不法行為の成立を認めつつも、慰謝料請求権を基礎づけるだけの精神的苦痛は生じていないとして請求を棄却したため、控訴人らが控訴した。 【争点】 主たる争点は、被控訴人らに本件漏えいについての予見可能性と注意義務違反が認められるか、及び漏えいにより控訴人らに慰謝料の支払を要する精神的損害が生じたかである。被控訴人らは、MTP対応スマートフォンによる情報漏えいは本件以前に事例が報告されておらず情報セキュリティの専門家でも想定していなかったと主張し、予見可能性を争った。 【判旨】 東京高裁は原判決を変更し、控訴人ら各自に対し2000円の慰謝料の支払を認めた。まず、スマートフォンをUSBケーブルでパソコンに接続しデータ転送できることは一般的に知られており、MTPも新規で特殊な規格とはいえないと指摘した。被控訴人らが導入していたセキュリティソフトはWPDの使用可否制御が可能であったのに、その設定を確認・実施していなかったにすぎず、デバイスやOSの高機能化に応じた制御の必要性を具体的に認識していたと認められるとして、予見可能性を肯定した。そのうえで、被控訴人シンフォームにはMTP対応スマートフォンへの書き出し制御措置を講ずべき注意義務違反、被控訴人ベネッセには設定状況を確認し適切な監督を行うべき注意義務違反がそれぞれ認められ、共同不法行為が成立すると判断した。 損害については、漏えいした情報は氏名・住所・電話番号・生年月日等であり、クレジットカード情報等と関連付けられていない点で重要な私的領域情報とはいえないとしつつ、自己の個人情報がみだりに開示されないという期待が裏切られ、不安感等の精神的苦痛が生じたことは避けられないとした。他方、実害の発生は認められず、被控訴人ベネッセが事後に謝罪文送付や500円相当の金券配布等の慰謝措置を講じたことも考慮し、慰謝料額は各2000円が相当であると認定した。個人情報漏えい事案における不法行為責任と慰謝料の相場感に関し、委託・再委託体制下での管理監督義務のあり方を示した実務上重要な判決である。