個人情報漏洩のリスクを具体的に把握する

はじめに

2019年11月、ベネッセ個人情報漏洩事件の差戻し控訴審判決があり、大阪高裁は、1,000円の賠償をベネッセに命じました。ベネッセ個人情報漏洩事件の別の訴訟では、東京地裁が1人あたり3,300円の賠償を命じています。個人情報を漏洩した場合に、このような損害賠償リスクがあることは誰でも知っています。

しかしながら、法律相談に接していると、漏洩時のリスクを具体的かつ正確に把握しないまま、抽象的に漏洩を恐れているような向きもあると感じています。ベネッセ事件も、あくまで事例判断にすぎませんから、常に数千円で済むわけではありません。

そこで、本稿では、個人情報漏洩事故を起こした場合にどのようなリスクがあるのかを俯瞰します。適切に自社のリスク評価をして頂く一助になれば幸いです。

ベネッセ個人情報漏洩事件は、複数の弁護団等によりいくつかの訴訟が提起されていますが、最高裁の判断を仰ぐことになった裁判の経緯は以下のとおりです。

神戸地裁姫路支部及び大阪高裁：
漏洩によって迷惑行為を受けているとか、財産的な損害を被ったなど、不快感や不安を超える損害を被ったことについての主張、立証がされていないとして、請求棄却
最高裁：
漏洩があった時点でプライバシー侵害があるのだから、その精神的損害の有無及びその程度について審理すべきであり、具体的な損害の主張立証がないだけで棄却すべきではないとして、大阪高裁に破棄差戻し
大阪高裁（差戻し審）：
個人情報を漏洩した時点で損害があり、本件の事情の下では慰謝料は1,000円が相当として控訴一部認容

このように、従来は、不快感や不安感を超える現実の損害がないと賠償請求は認められないという考えもありましたが、最高裁が明確に否定したことで、漏洩があれば（金額は別にして）原則としては賠償責任が生じる、と考えることになります。

そして、金額について、差戻し審では、「流出した個人情報の内容，流出した範囲，実害の有無，個人情報を管理していた者による対応措置の内容等，本件において顕れた事情を総合的に考慮して判断すべきである。」とした上で、

保護者の郵便番号，住所，電話番号，氏名については、今日の情報化社会では個人情報のベースとなる基本情報であり、それを基に情報集積されかねないので重要な価値を持つ
子供の氏名，性別，生年月日，控訴人と子供との続柄については、家族関係が一定程度明らかになる情報や教育に関心が高いという情報が含まれており、私的領域性の高い情報である
ダイレクトメールや勧誘電話が現実にきた事実はない
流出範囲は500社を超える名簿業者等に情報が漏洩しており、流出した情報の全てを回収して抹消することは不可能な状況
ベネッセは金券500円を配布している

といった点を指摘し、慰謝料は1,000円が相当であると結論付けています。

なお、名簿業者による勧誘やクレジットカードの不正利用など、実害があれば、それを賠償すべきことは当然です。よって、賠償について考えるにあたっては、ベネッセ事件の一連の判例も踏まえると、以下の2軸で考えることになります。

さらに、差戻し控訴審判決からは、漏洩が起きた場合に賠償額を抑える行動として、以下が有用であることが示唆されます。

ベネッセ個人情報漏洩事件では、ベネッセに巨額の損失を出したとして、株主が、当時の役員に対し、会社に生じた損害260億円の賠償を求める株主代表訴訟が提起されています。

VCなどの外部株主が入っているベンチャー企業などは、同様のリスクがあるでしょう。
また、関連して、投資契約書の内容次第ですが、同契約を交わしている株主からは、投資契約違反を主張されるリスクもあるかもしれません。

ベネッセは、同事件によりプライバシーマークが取り消されています。
同様の取消措置は、「リクナビ」の利用者データを基に、企業に対し内定辞退率などを販売していたリクルートキャリアも受けています。

ちなみに、プライバシーマークは、取消しから1年が経過すれば再度付与の申請をする事はできます。

当然のことながら、ベネッセもリクルートキャリアも、漏洩事故により世間から強いバッシングを受け、企業の評価を大きく下げる事になりました。

こういった時、上場会社でなければ、社名変更などをしてネガティブイメージを払拭することも考えられるわけですが、ある程度の社歴がある会社であれば、社名にも一定の信用がついていると思われますから、難しい判断を迫られることになります。

本記事に関する留意事項
本記事は掲載日現在の法令、判例、実務等を前提に、一般的な情報を掲載するのみであり、その性質上、個別の事案に対応するものではありません。個別の事案に適用するためには、本記事の記載のみに依拠して意思決定されることなく、具体的事案をもとに適切な専門家にご相談ください。