AI概要
【事案の概要】 被告ベネッセコーポレーション(被告ベネッセ)は、通信教育講座「こどもちゃれんじ」等の顧客の個人情報をデータベースとして管理し、そのシステム開発等の業務をグループ会社である被告シンフォームに委託していた。被告シンフォームは、委託業務をさらに複数の外部業者に再委託・再々委託しており、再々委託先の従業員である丁に対し、業務用PCから顧客の個人情報にアクセスするためのアカウントを付与していた。 丁は、金銭的に窮し、平成26年6月、被告シンフォーム多摩事業所の執務室内において、業務用PCからサーバにアクセスして約2989万件の顧客情報をダウンロードし、USBケーブルで接続した私物のMTP対応スマートフォンに転送して名簿業者に売却した(本件漏えい)。被告シンフォームの執務室では、従業員が私物のスマートフォンを充電のために業務用PCにUSB接続することが日常的に行われ、容認されていた。 原告甲は、未成年の子である原告丙がベネッセの講座を受講する際に提供した氏名・住所・電話番号等の個人情報(本件個人情報)が漏えいしたとして、被告らに対し、不法行為等に基づく損害賠償を求めた。 【争点】 主な争点は、①本件漏えいについての被告シンフォームの過失(MTP対応スマートフォンによる情報漏えいの予見可能性及び結果回避義務違反)の有無、②被告ベネッセの過失(委託先に対する選任・監督義務違反)の有無、③原告甲に生じた損害の有無及び数額である。被告らは、MTP対応スマートフォンによる情報漏えいのリスクは当時一般に認識されておらず、セキュリティ対策は業界水準を上回る高度なものであったと主張して争った。 【判旨】 裁判所は、被告シンフォームの過失を認めた。まず予見可能性について、被告シンフォーム自身がMTP非対応スマートフォンへの書出しによる情報漏えいの危険を認識し、セキュリティ研修でスマートフォンを含む外部記録媒体への書出し制御を周知していたこと、平成26年6月時点でMTP対応スマートフォンが約900万台と相当数出回っていたこと、被告らが使用していたセキュリティソフト「秘文Ver.9」にもWPDデバイス使用制御機能が搭載されていたこと等から、MTP対応スマートフォンを業務用PCのUSBポートに接続して個人情報を不正取得される可能性を認識し得たと判断した。 結果回避義務については、私物スマートフォンの持込み禁止措置はコストも手間もかからない最も容易かつ効果の大きい不正防止対策であったこと、丁の業務内容はサーバルーム内の作業と遜色なく私物スマートフォンの使用の必要性がなかったことから、持込み禁止の注意義務違反を認めた。また、WPDデバイス使用制御措置についても、現に本件漏えい後に全外部デバイスの使用制御措置が採られ支障なく業務が継続されたことを指摘し、本件漏えい以前から同様の措置を講じることができたとして注意義務違反を認めた。 被告ベネッセについても、委託先に対する監督義務違反を認め、MTP対応スマートフォンに対する書出し制御機能の有無やスマートフォン接続の状況について被告シンフォームに適切に報告を求めず、指導監督を怠ったと判断した。 損害については、漏えいした個人情報は氏名・住所・電話番号等であり私的領域性が比較的低い一方、個人特定のベース情報として重要な価値を持つこと、流出範囲が不明で全情報の回収・抹消が不可能であること、被告ベネッセがお詫びの金券500円分を提供したこと等を総合考慮し、慰謝料1000円及び内容証明郵便等の費用1690円の合計2690円を認容した。