ベネッセコーポレーションの判例から考える経営者・企業オーナーが個人情報漏洩・流出に関して知っておきたい3つのこと

情報化社会の中で、どの企業も、個人情報をどのように扱うかという問題に直面しています。2014年にベネッセコーポレーションから個人情報が漏洩した事件が世の中で大きな話題になり、事件の影響で大量の顧客が離脱し、同社が経営赤字になったことは覚えている方も多いのではないでしょうか。

ここでは、ベネッセコーポレーションの個人情報漏洩・流出事件に関連する裁判の判例を基に、経営者・企業オーナーが知っておきたいことを紹介します。

そもそも個人情報とは?

個人情報とは、「個人について、特定出来る情報」です。

例えば、「姓」だけであれば、個人の特定が難しいので、一般的には、個人情報に当たりません。しかし、「姓」に加えて「名」や「メールアドレス」「勤務先情報」などが揃ってしまうと、個人が特定されるケースが出てきて、個人情報と見なされるようになります。

ちなみに、個人情報保護法では、以下のように厳密に定義されています。

『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)、または個人識別符号が含まれるもの。』

個人情報漏洩・流出はどの程度発生しているの?

例えば、サイバーセキュリティ.comでは、1日に1~2件の個人情報流出・漏洩に関する情報が掲載されています。 

サイバーセキュリティ.com
https://cybersecurity-jp.com/leakage-of-personal-information

情報漏洩の原因は、様々で、「不正アクセス」「メール誤送信」「USBメモリの紛失」「フィッシング詐欺」などが代表的なもので挙げられています。

ベネッセコーポレーションの個人情報流出事件、及び、判例の要旨の紹介

■事件の概要
・ベネッセコーポレーションがグループ企業に勤務していた従業員が不正に情報を持ち出し、名簿業者に売却をした。売却された名簿は、最大で2070万件とされた。

※従業員は、MTPに対応したスマートフォンを業務用パソコンのUSBポートにUSBケーブルを用いて接続してMTP通信でデータを転送する方法により,被控訴人の顧客の個人情報(控訴人の本件個人情報を含む。)を不正に取得

■判決の要旨の紹介

・個人情報を漏洩させられた消費者がベネッセコーポレーションに10万円の慰謝料を求める裁判

・ベネッセコーポレーションの責任を認める判決が出た
 慰謝料として、1000円の支払いが妥当とされた

・ベネッセコーポレーションが、MTP通信でデータを転送する方法があるリスクを日常的な調査などで認識出来、対応策を取れたはずと判断

・慰謝料の名義は、一般人の感受性を基準にしてもその私生活上の平穏を害する態様の侵害行為とされた

平成29(ネ)2612 損害賠償請求控訴事件:https://www.courts.go.jp/app/hanrei_jp/detail4?id=89108

判例についてのポイント

今回の判例において、大事なポイントは、技術的な観点から、企業が取るべき対策をを怠っていたという判断をされたことにあります。本来であれば、従業員が不正に持ち出したことを考慮すると、「従業員にのみ責任がある」「むしろ、企業は被害者である」という見方もすることが出来ると思います。しかし、従業員が不正に持ち出せたこと=企業が適切な対策を取っていなかったという監督責任が生じるという見方を示したということが出来ます。

この考え方は従業員による個人情報漏洩・流出だけに適用されるのでなく、例えば、外部からのハッキングに対して、適切なセキュリティ対策をサイトに施さなかったと判断された場合、同様に、企業の監督責任を一定程度認めるという形で適用されます。

また、ベネッセコーポレーションのように、大企業であり、既に一定の対策を施してきたことが推測される企業が、監督責任を求められたということは、個人情報漏洩を防止することの難しさを示唆しています。

知っておきたいこと①:情報漏洩を100%防ぐことは出来ない

まず、一番に大事なことは、個人情報漏洩を100%防ぐことが出来ないという立場を持つことです。前述のサイバーセキュリティ.comには、ベネッセコーポレーションだけでなく、みずほ総合研究所株式会社やNTTドコモなどの大企業の情報漏洩・流出の事例が掲載されています。

その為、漏洩・流出することを前提に、「個人情報漏洩・流出した際に、適切な対策を整えていたか?(監督責任は本当に果たしていたのか?」」という問いへの回答を常にアップデートすることが求められます。

知っておきたいこと②:情報漏洩の際に発生する法的リスクを弁護士に相談して正しく把握した方がいい

インターネット技術の急激な進展に伴い、個人情報漏洩・流出の際の法的なリスクも日々、アップデートされています。ベネッセコーポレーションの件では、1,000円の慰謝料という判例がありましたが、これは、最大で2070万件ごとに1,000円かかる可能性を示しており、途方もない賠償金額であることを示唆しています。

最新の判例を把握して、どこまでの法的なリスクがあるか常にアップデートし、どの程度の賠償可能性があるのかを理解しないと、対策にどの程度の投資をしていくかを見極めることが困難です。

出来れば、その分野に詳しい弁護士に定期的に、相談していくことが推奨されます。

知っておきたいこと③:最新のインターネット技術・知識を基に、リスクを未然に防ぐ体制をとっているかが問われる

「個人情報漏洩・流出した際に、適切な対策を整えていたか?」には、インターネット技術の常識がどの程度まで適用されるかも問われてきます。

場合によっては、1~2年前には、問題がないと考えられてきた対策でも、技術が陳腐化して、情報漏洩・流出のリスクが飛躍的に上がり、法的責任を問われてしまうケースが予測されます。

例えば、サイバーセキュリティ.comのケースの中には、「従業員によるデータの持ち出し」が流出の要因になっているものもあります。しかし、そもそも、「従業員によるデータの持ち出し」が出来る環境自体があることが問題視されるケースも今後は出てくると考えられます。(持ち出しが出来る環境を避ける為のツールが既に、いくつか市場に出てきていることが背景です。)

その為、弁護士だけでなく、インターネットセキュリティの専門家にも、定期的に相談をしていくことが推奨されます。

最後に

いかがでしたでしょうか?弁護士保険の教科書では、個人情報漏洩・流出に関する判例を随時、ご紹介していこうと思います。是非、定期的にチェックしてみてください!

関連記事

  1. なぜ必要?中小企業が顧問弁護士をつけるメリットと費用相場
  2. 健康診断 【従業員の健康診断】企業が行う義務はどこまで?
  3. 就業規則 社員10人未満でも就業規則を作成して届出した方が良い10の理由と…
  4. 弁護士保険コモンBiz+ 顧問弁護士より安い?法人向け弁護士費用保険「コモンBiz+」に加…
  5. 【最新事例あり】企業が個人情報を漏洩すると罰則はどの程度か

弁護士費用保険コモンBiz+

弁護士費用保険コモンBiz+

弁護士費用保険:事業者のミカタ

弁護士費用保険:事業者のミカタ
PAGE TOP