AI概要
【事案の概要】 主にこども向け通信教育事業を営む被告ベネッセコーポレーション(被告ベネッセCo)が保有する顧客の個人情報(氏名、住所、電話番号等)について、被告ベネッセCoからシステムの開発・運用業務の委託を受けていた被告シンフォームの4次委託先従業員Aが、業務用パソコンにUSBケーブルで私物スマートフォンを接続し、MTP(メディア・トランスファー・プロトコル)通信を利用して延べ約2億1639万件(約4858万人分)の顧客情報を不正に取得し、名簿業者3社に売却して外部に漏えいさせた。原告らは、被告シンフォームに対しては漏えい防止措置を講じなかった過失責任、被告ベネッセCoに対しては委託先の監督を怠った過失責任、被告ベネッセホールディングス(被告ベネッセHD)に対してはグループ全体の個人情報管理部門を設置しなかった過失責任をそれぞれ主張し、1人当たり5万5000円の損害賠償を求めた事案である。 【争点】 (1) 被告シンフォームにMTP対応スマートフォンによる情報漏えいの予見可能性があったか、(2) 被告シンフォームに情報書き出し制御措置義務違反の過失があるか、(3) 被告ベネッセCoに委託先監督義務違反の過失があるか、(4) 被告ベネッセHDに不法行為責任が認められるか、(5) 損害の有無及びその額。 【判旨】 裁判所は、被告シンフォーム及び被告ベネッセCoの過失を認め、被告ベネッセHDの責任は否定した。被告シンフォームについては、本件当時、ガイドライン等でスマートフォンを利用した情報漏えいの危険性が指摘されており、MTP対応スマートフォンの普及状況やMTPデバイスに対する接続制御機能を有するセキュリティソフトが複数販売されていたことから、MTP通信による情報漏えいの予見可能性を認定した。その上で、セキュリティソフトの設定においてMTP通信に対する書き出し制御を有効にすべき義務に違反した過失があるとした。被告ベネッセCoについては、委託先監査においてセキュリティソフトの設定内容を確認しておらず、委託先への監督義務を怠った過失があるとした。他方、被告ベネッセHDについては、特定部門の設置と本件漏えい行為との間に因果関係が認められないとして責任を否定した。損害額については、漏えいした情報が社会生活上一定範囲の他者に開示が予定される性質のものであること、実害の発生を認めるに足りる証拠がないこと、被告ベネッセCoが事後に500円相当のお詫びの品を交付するなど損害軽減に努めたこと等を総合考慮し、慰謝料3000円及び弁護士費用300円の合計3300円を認容した。