個人情報漏洩を防ぐために会社が行うべき取り組み：ベネッセ個人情報流出事件に学ぶ

2020年10月14日 2023年05月19日

#判例

情報化社会の中で、どの企業も、個人情報をどのように扱うかという問題に直面しています。2014年にベネッセコーポレーションから個人情報が漏洩した事件が世の中で大きな話題になり、事件の影響で大量の顧客が離脱し、同社が経営赤字になったことは覚えている方も多いのではないでしょうか。

ここでは、ベネッセコーポレーションの個人情報漏洩・流出事件に関連する裁判の判例を基に、経営者・企業オーナーが知っておきたいことを紹介します。

そもそも個人情報とは？
個人情報漏洩・流出はどの程度発生しているの？
ベネッセコーポレーションの個人情報流出事件、及び、判例の要旨の紹介
判例についてのポイント
知っておきたいこと①：情報漏洩を100％防ぐことは出来ない
知っておきたいこと②：情報漏洩の際に発生する法的リスクを弁護士に相談して正しく把握した方がいい
知っておきたいこと③：最新のインターネット技術・知識を基に、リスクを未然に防ぐ体制をとっているかが問われる
予防法務として顧問弁護士を導入しておくと安心

そもそも個人情報とは？

個人情報とは、「個人について、特定出来る情報」です。

例えば、「姓」だけであれば、個人の特定が難しいので、一般的には、個人情報に当たりません。しかし、「姓」に加えて「名」や「メールアドレス」「勤務先情報」などが揃ってしまうと、個人が特定されるケースが出てきて、個人情報と見なされるようになります。

ちなみに、個人情報保護法では、以下のように厳密に定義されています。

『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの（他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。）、または個人識別符号が含まれるもの。』

個人情報漏洩・流出はどの程度発生しているの？

例えば、サイバーセキュリティ.comでは、1日に1～2件の個人情報流出・漏洩に関する情報が掲載されています。　

サイバーセキュリティ.com
https://cybersecurity-jp.com/leakage-of-personal-information

情報漏洩の原因は、様々で、「不正アクセス」「メール誤送信」「USBメモリの紛失」「フィッシング詐欺」などが代表的なもので挙げられています。

ベネッセコーポレーションの個人情報流出事件、及び、判例の要旨の紹介

■事件の概要
・ベネッセコーポレーションがグループ企業に勤務していた従業員が不正に情報を持ち出し、名簿業者に売却をした。売却された名簿は、最大で2070万件とされた。

※従業員は、ＭＴＰに対応したスマートフォンを業務用パソコンのＵＳＢポートにＵＳＢケーブルを用いて接続してＭＴＰ通信でデータを転送する方法により，被控訴人の顧客の個人情報（控訴人の本件個人情報を含む。）を不正に取得

■判決の要旨の紹介

・個人情報を漏洩させられた消費者がベネッセコーポレーションに10万円の慰謝料を求める裁判

・ベネッセコーポレーションの責任を認める判決が出た
　慰謝料として、1000円の支払いが妥当とされた

・ベネッセコーポレーションが、MTP通信でデータを転送する方法があるリスクを日常的な調査などで認識出来、対応策を取れたはずと判断

・慰謝料の名義は、一般人の感受性を基準にしてもその私生活上の平穏を害する態様の侵害行為とされた

平成29(ネ)2612　損害賠償請求控訴事件：https://www.courts.go.jp/app/hanrei_jp/detail4?id=89108

判例についてのポイント

今回の判例において、大事なポイントは、技術的な観点から、企業が取るべき対策をを怠っていたという判断をされたことにあります。本来であれば、従業員が不正に持ち出したことを考慮すると、「従業員にのみ責任がある」「むしろ、企業は被害者である」という見方もすることが出来ると思います。しかし、従業員が不正に持ち出せたこと=企業が適切な対策を取っていなかったという監督責任が生じるという見方を示したということが出来ます。

この考え方は従業員による個人情報漏洩・流出だけに適用されるのでなく、例えば、外部からのハッキングに対して、適切なセキュリティ対策をサイトに施さなかったと判断された場合、同様に、企業の監督責任を一定程度認めるという形で適用されます。

また、ベネッセコーポレーションのように、大企業であり、既に一定の対策を施してきたことが推測される企業が、監督責任を求められたということは、個人情報漏洩を防止することの難しさを示唆しています。

[sc name=”kijinaka_kyoutuu” ]

知っておきたいこと①：情報漏洩を100％防ぐことは出来ない

まず、一番に大事なことは、個人情報漏洩を100％防ぐことが出来ないという立場を持つことです。前述のサイバーセキュリティ.comには、ベネッセコーポレーションだけでなく、みずほ総合研究所株式会社やNTTドコモなどの大企業の情報漏洩・流出の事例が掲載されています。

その為、漏洩・流出することを前提に、「個人情報漏洩・流出した際に、適切な対策を整えていたか？（監督責任は本当に果たしていたのか？」」という問いへの回答を常にアップデートすることが求められます。

知っておきたいこと②：情報漏洩の際に発生する法的リスクを弁護士に相談して正しく把握した方がいい

インターネット技術の急激な進展に伴い、個人情報漏洩・流出の際の法的なリスクも日々、アップデートされています。ベネッセコーポレーションの件では、1,000円の慰謝料という判例がありましたが、これは、最大で2070万件ごとに1,000円かかる可能性を示しており、途方もない賠償金額であることを示唆しています。

最新の判例を把握して、どこまでの法的なリスクがあるか常にアップデートし、どの程度の賠償可能性があるのかを理解しないと、対策にどの程度の投資をしていくかを見極めることが困難です。

出来れば、その分野に詳しい弁護士に定期的に、相談していくことが推奨されます。

知っておきたいこと③：最新のインターネット技術・知識を基に、リスクを未然に防ぐ体制をとっているかが問われる

「個人情報漏洩・流出した際に、適切な対策を整えていたか？」には、インターネット技術の常識がどの程度まで適用されるかも問われてきます。

場合によっては、1～2年前には、問題がないと考えられてきた対策でも、技術が陳腐化して、情報漏洩・流出のリスクが飛躍的に上がり、法的責任を問われてしまうケースが予測されます。

例えば、サイバーセキュリティ.comのケースの中には、「従業員によるデータの持ち出し」が流出の要因になっているものもあります。しかし、そもそも、「従業員によるデータの持ち出し」が出来る環境自体があることが問題視されるケースも今後は出てくると考えられます。（持ち出しが出来る環境を避ける為のツールが既に、いくつか市場に出てきていることが背景です。）

その為、弁護士だけでなく、インターネットセキュリティの専門家にも、定期的に相談をしていくことが推奨されます。

予防法務として顧問弁護士を導入しておくと安心

上記で紹介したような個人情報漏洩トラブルに限らず、企業が日常的に法的トラブルに遭遇する可能性は少なくありません。そこで顧問弁護士をつけておけば、日頃から気軽に弁護士への相談やアドバイスを受けることができて安心です。しかし、費用面の問題で顧問弁護士をつけるのが難しい会社におすすめしたいのが弁護士保険です。トラブルを未然に防ぐ「予防法務」の観点から、弁護士保険を活用した顧問弁護士の導入を検討してみてはいかがでしょうか。

教科書Bizおすすめの弁護士保険

弁護士保険は、一般的な弁護士の顧問契約料金よりも低額の費用で、お困りの際に安心サポートを受けることができます。弁護士保険に興味をお持ちの方は是非こちらをご覧ください。補償内容や必要性について詳しくご紹介しています。

▶︎弁護士保険とは？

上記ページでもご紹介している、当サイトおすすめの弁護士費用保険はこちらの２種類。

①事業者のミカタ

月々5,000円代からというリーズナブル保険料が特徴で、普段弁護士を利用される機会の少ない小規模企業や個人事業主の方も加入しやすい設計になっています。費用は控えめながらも対応できるトラブルの種類も幅広く、さらに日弁連との提携により実現した弁護士直通ダイヤルなどの付帯サービスもついているため、保険としての安心感も十分です。