各損害賠償請求控訴事件

【事案の概要】 通信教育事業等を営む一審被告ベネッセに個人情報を提供していた一審原告ら（多数の顧客）が、ベネッセから個人情報の管理を委託されていた一審被告シンフォームの再々委託先の従業員aが、私物スマートフォンを業務用パソコンにUSBケーブルで接続し、MTP（メディア・トランスファー・プロトコル）を用いて約1億7898万件の顧客情報を不正に取得・名簿業者に売却した事件につき、プライバシー侵害による共同不法行為等に基づき、一審被告らに対し連帯して慰謝料等の損害賠償を求めた事案である。原審は、一審被告シンフォームの使用者責任のみを認め一審被告ベネッセの責任を否定したため、双方が控訴した。一審原告らは当審で請求額を減縮した（成年者各2万円、未成年者各4万円）。 【争点】 主な争点は、(1)MTP対応スマートフォンによる情報漏えいについて一審被告らに予見可能性があったか、(2)一審被告シンフォームに過失（セキュリティソフトの書き出し制御設定等の注意義務違反）があったか、(3)一審被告ベネッセに委託先監督義務違反の過失があったか、(4)一審被告シンフォームにaに対する使用者責任が成立するか、(5)一審被告ベネッセの使用者責任の有無、(6)違法なプライバシー侵害が認められるか、(7)損害の発生及び額である。 【判旨】 控訴裁判所は、一審原告らの控訴を一部認容し、原判決を変更した。まず予見可能性について、本件当時既にMTP対応スマートフォンが多数発売され普及率が高まっていたこと、MTP使用制限機能に対応した商用デバイス制御ソフトが複数の大手業者から販売されていたこと、スマートフォンは年々機能が高度化するデバイスであることを考慮し、一審被告らにはMTP対応スマートフォンによる情報漏えいの予見可能性があったと認定した。一審被告シンフォームについては、セキュリティソフト「秘文」においてWPD（ウィンドウズ・ポータブル・デバイス）の接続制御設定を有効にしていれば漏えいを防止できたにもかかわらず約3年間設定を見直さなかった点に過失を認めた。一方、私物スマートフォンの持込み禁止やUSB接続禁止は業務従事者への過度な制約となるため注意義務とまでは認められないとした。一審被告ベネッセについては、原審と異なり、委託先に対するセキュリティソフトの設定状況の監督義務違反を認め、両社の共同不法行為責任を肯定した。ただし使用者責任については、一審被告シンフォームとa間及び一審被告ベネッセとa間のいずれについても実質的な指揮監督関係を認めず、否定した。損害額については、漏えい情報が氏名・住所・電話番号等の個人識別情報であり秘匿性が特に高いとまではいえないこと、事後に500円相当の謝罪品交付等の対応がなされたこと等を総合考慮し、慰謝料3000円及び弁護士費用300円の合計3300円と認定した。