各損害賠償請求控訴事件

【事案の概要】 通信教育事業等を営む被控訴人ベネッセに個人情報を提供していた控訴人らが、ベネッセから個人情報管理を委託されていた被控訴人シンフォームの再委託先の従業員aにおいて、私物スマートフォンを業務用パソコンにUSBケーブルで接続し、MTP通信方式を利用して大量の顧客情報を不正に取得・名簿業者に売却して外部に漏えいさせたことにつき、被控訴人らの個人情報管理に係る注意義務違反等を主張して、プライバシー侵害による共同不法行為等に基づく損害賠償（成年者各5万円、未成年者各10万円）を求めた事案の控訴審である。原審は、被控訴人らの注意義務違反（過失）は認めたものの、控訴人らに慰謝料請求権を認め得るほどの精神的苦痛は生じていないとして請求を棄却していた。なお、漏えいした個人情報は約1億7898万件に及び、従業員aは不正競争防止法違反で懲役2年6月及び罰金300万円の実刑判決を受けている。 【争点】 主な争点は、(1)MTP通信方式を利用した情報漏えいに関する被控訴人らの予見可能性の有無、(2)被控訴人シンフォームの過失責任（セキュリティソフトの設定義務違反等）、(3)被控訴人ベネッセの過失責任（委託先監督義務違反）、(4)被控訴人シンフォームの使用者責任（従業員aとの指揮監督関係の有無）、(5)違法なプライバシー侵害の成否、(6)損害の発生の有無及びその額である。 【判旨】 裁判所は原判決を取り消し、控訴人ら1人当たり3300円（慰謝料3000円＋弁護士費用300円）の損害賠償請求を認容した。予見可能性について、本件当時既にMTP対応スマートフォンが多数発売・普及しており、MTP使用制限機能を搭載した商用セキュリティソフトも複数存在していたこと、被控訴人ら自身も外部記録媒体への書き出しを制御する方針をとっていたこと等から、被控訴人らにはMTP対応スマートフォンを用いた情報漏えいの予見可能性があったと認定した。被控訴人シンフォームについては、セキュリティソフトの設定変更によりWPD（MTPデバイス）への接続制御が可能であったにもかかわらず、約3年間設定の見直しをしなかった書き出し制御措置に関する注意義務違反を認めた。一方、私物スマートフォンの持込み禁止やUSB接続禁止までの注意義務は、業務従事者への過度な制約となること等から否定した。被控訴人ベネッセについては、委託先に対するセキュリティソフトの設定・変更に関する監督義務違反を認めた。両社の共同不法行為の成立を肯定した。他方、使用者責任については、被控訴人シンフォーム・ベネッセいずれについても従業員aとの実質的な指揮監督関係を認めず、否定した。損害額については、漏えい情報が氏名・住所・電話番号等の個人識別情報であり秘匿性が高いとまではいえないこと、被控訴人らが事後に謝罪品（500円相当）の交付等の対応をしていること、具体的な財産的損害が生じていないこと等を総合考慮し、慰謝料3000円と認定した。