2017年(平成29年)10月23日、最高裁判所第二小法廷は、2014年の個人情報流出事件によるベネッセの顧客に対する損害賠償責任を否定した大阪高裁判決を覆し、精神的損害の有無等について審理を尽くさせるべく、事件を差し戻しました。
ベネッセが既に実施していた500円の金券の交付以上の損害が認められる可能性があり、個人情報漏洩が企業経営に与えるインパクトの大きさを再認識させる判決です。
ポイント
骨子
- ある者について、その被保護者たる未成年の「氏名,性別,生年月日,郵便番号,住所及び電話番号」並びに保護者としての当該者の氏名といった当該者にかかる個人情報の漏洩はプライバシー侵害に該当し、その漏洩者は精神的損害の賠償義務を負う可能性がある。
判決概要
裁判所 | 最高裁判所第二小法廷 |
---|---|
判決言渡日 | 平成29年10月23日 |
事件番号 | 平成28年(受)第1892号 損害賠償請求事件 |
原判決 | 大阪高判平成28年6月29日 平成28(ネ)37 |
裁判官 | 裁判長裁判官 小貫 芳信 裁判官 鬼丸 かおる 裁判官 山本 庸幸 裁判官 菅野 博之 |
解説
ベネッセ個人情報流出事件と本件の関係
本件は、社会的に耳目を集めた株式会社ベネッセコーポレーション(以下「ベネッセ」といいます。)による個人情報流出の損害賠償責任が問われた事件です。
ベネッセは、進研ゼミ等の通信教育サービスを提供していることで知られていますが、同社の発表や新聞報道等によれば、2014年に、同社の業務先委託先のエンジニアが、同社の顧客情報を不正に取得し、これを外部の名簿業者3社へ販売したことにより、同社のサービス利用者の氏名・性別・生年月日や、その保護者や子供の氏名・性別・生年月日・続柄、そして、郵便番号や住所、電話番号、ファックス番号等の各個人情報、合計約2895万件が流出したとされています。また、その発覚のきっかけとなったのは、2014年6月下旬の顧客に対する他社からのダイレクトメールの送付であったとされています。
ベネッセは、個人情報流出の「お詫び」として、被害者に対して、500円の金券を交付したものの、集団訴訟が提起される等、同社の法的責任については、未だ裁判で係争中です。
本件は、これらの集団訴訟とは別に、一個人(原告・控訴人・上告人)が、ベネッセ(被告・被控訴人・被上告人)に対して、個人情報漏洩による不法行為に基づき10万円の損害賠償請求を行った事案ですが、本件の帰趨が集団訴訟にも影響を及ぼす可能性があることから、大きな注目を集めていました。
第一審の神戸地裁姫路支部は当該個人の訴えを退け、また、控訴審である大阪高等裁判所も、概略、不快感等を超える損害の発生についての主張、立証がされていないとして、その訴えを退けたところ、同人の上告が受理され、本年9月に最高裁において弁論が開かれ、本判決が下されることになりました。
本件では、ベネッセの情報流出による当該個人のプライバシー権の侵害の有無およびその損害額が問われました。本判決は前者を認めたものの、後者については精神的損害の有無等を審理させるべく、事件を大阪高裁に差し戻しました。以下順を追って解説します。
プライバシーの権利の侵害と不法行為
本件ではプライバシーの権利の侵害が問題となりました。
プライバシーの権利とは、他人に知られたくない私生活上の事実又は情報をみだりに開示されない権利という消極的内容と、自己情報コントロール権という積極的な内容を含む複合的な権利を指すと一般的には考えられています。
プライバシーの概念自体は米国の裁判例上発展してきたものですが、わが国においても、モデル小説に関する東京地判昭和39年9月28日(「宴のあと」事件)をはじめとして、不法行為法上、財産的利益と区別された人格権として、保護に値すると考えられてきました。
プライバシー侵害の判断に関しては、プライバシー概念の外延が不明確であることもあり、クリアカットな基準は定立されていませんが、プライバシーに該当する情報が一般人の感受性を基準にして私生活上の平穏を害する態様で開示されることが必要であると考えられています。
最二判平成15年9月12日民集57巻8号973頁(早稲田大学名簿提出事件最高裁判決)
後述するとおり、本判決は、学籍番号や氏名、住所、電話番号等の個人情報についてプライバシー侵害を認めた最二判平成15年9月12日民集57巻8号973頁(以下「早稲田大学名簿提出事件最高裁判決」といいます。)を引用していますので、解説します。
事案の概要
早稲田大学名簿提出事件最高裁判決は、当時の中華人民共和国の国家主席であった江沢民氏の講演会が早稲田大学において開催され、参加者が、同大学の各事務所等に備え付けられた名簿に学籍番号、氏名、住所及び電話番号を書き込めるようになっていたところ、同大学が、警視庁に対して、警備のために講演会の出席者の名簿を提出したとの事実関係を前提とするものです。
早稲田大学は、同名簿を警視庁に提出する際に、上告人を含む参加者の同意を得ていなかったところ、このような名簿の無断提出行為が、上告人らのプライバシーを侵害し、不法行為に該当するかが争われました。
判示事項
最高裁は、以下のとおり、学籍番号、氏名、住所及び電話番号等の個人情報が、プライバシーに係る情報として法的保護の対象となることを認めました(下線部は筆者によります。)。
…本件個人情報は,早稲田大学が重要な外国国賓講演会への出席希望者をあらかじめ把握するため,学生に提供を求めたものであるところ,学籍番号,氏名,住所及び電話番号は,早稲田大学が個人識別等を行うための単純な情報であって,その限りにおいては,秘匿されるべき必要性が必ずしも高いものではない。また,本件講演会に参加を申し込んだ学生であることも同断である。しかし,このような個人情報についても,本人が,自己が欲しない他者にはみだりにこれを開示されたくないと考えることは自然なことであり,そのことへの期待は保護されるべきものであるから,本件個人情報は,上告人らのプライバシーに係る情報として法的保護の対象となるというべきである。
その上で、最高裁は、以下のとおり、早稲田大学による名簿の無断提出行為が、プライバシー侵害にあたることを認め、その損害等について更なる審理を尽くさせるべく、事件を東京高裁に一部差し戻しました(下線部は筆者によります。)。
…このようなプライバシーに係る情報は,取扱い方によっては,個人の人格的な権利利益を損なうおそれのあるものであるから,慎重に取り扱われる必要がある。本件講演会の主催者として参加者を募る際に上告人らの本件個人情報を収集した早稲田大学は,上告人らの意思に基づかずにみだりにこれを他者に開示することは許されないというべきであるところ,同大学が本件個人情報を警察に開示することをあらかじめ明示した上で本件講演会参加希望者に本件名簿へ記入させるなどして開示について承諾を求めることは容易であったものと考えられ,それが困難であった特別の事情がうかがわれない本件においては,本件個人情報を開示することについて上告人らの同意を得る手続を執ることなく,上告人らに無断で本件個人情報を警察に開示した同大学の行為は,上告人らが任意に提供したプライバシーに係る情報の適切な管理についての合理的な期待を裏切るものであり,上告人らのプライバシーを侵害するものとして不法行為を構成するというべきである。原判決の説示する本件個人情報の秘匿性の程度,開示による具体的な不利益の不存在,開示の目的の正当性と必要性などの事情は,上記結論を左右するに足りない。
差戻審の判断
そして、差戻後の、東京高判平成16年3月23日判時1855号104頁は、次のとおり、プライバシー侵害による精神的苦痛が当然に認められることを前提として、精神的損害として、5000円の支払いを早稲田大学に命じました(下線部は筆者によります。)。
…前記のとおり、本件個人情報は、控訴人らのプライバシーに係る情報として法的保護の対象となるものであって、早稲田大学が控訴人らに無断で本件個人情報を警察に開示した行為は、控訴人らのプライバシーを侵害するものとして不法行為を構成するというべきであるから、これにより控訴人らが被った精神的苦痛について、被控訴人は、控訴人らに対して損害賠償責任を負うべきである。そこで、その損害賠償の額について検討することとする。
…本件個人情報の開示が不法行為を構成するのは、早稲田大学が本件個人情報の開示についてあらかじめ控訴人らの承諾を求めることが困難であった特別の事情がないのに控訴人らの同意を得ることなく開示をしたからであって、本件個人情報の開示自体には本件講演会の警備等の正当の理由があり、開示された個人情報も秘匿されるべき必要性が必ずしも高いものとはいえないものであったことに照らすと、早稲田大学が行った本件個人情報の開示が違法であることが本件訴訟において肯定されるならば、控訴人らの被った精神的損害のほとんどは回復されるものとも考えられる。また、控訴人らは、本件講演会の参加申込みをした時点において江主席の講演を妨害する目的をもっていたことは前記のとおりであり、以上の事情その他本件に現れた一切の事情を斟酌すると、控訴人らの精神的損害を回復させるためには、控訴人に対する慰謝料は5000円とすることが相当であり、また、弁護士費用相当の損害賠償請求を認める理由はない。
情報漏洩・流出による精神的損害の額について
早稲田大学名簿提出事件最高裁判決及びその差戻審である東京高判平成16年3月23日判時1855号104頁以外にも、情報漏洩・流出によるプライバシー侵害を認めた地裁・高裁レベルの判決は複数あります。
これらはいずれも事例判断であり、必ずしも一般化はできないものの、プライバシーの重要性や、流出した個人情報の性質や流出態様等を考慮した不安感を基に精神的苦痛を認めた上で、これら事情や、流出後の被告の対応等を総合的に考慮して、1人あたり数千円から数万円程度の精神的損害を認める傾向にあるといえます。
大阪高判平成13年12月25日判例地方自治265号11頁
この判決では、宇治市(控訴人)がその管理する宇治市民(被控訴人)に関する住民基本台帳のデータを使用して乳幼児検診システムの開発を民間委託したところ、再々委託先のアルバイトの従業員がこれらデータを不正にコピーし名簿販売業者に販売したことが問題となりました。
大阪高裁は、以下のとおり述べて、宇治市民が情報漏洩により、精神的苦痛を受けたことを認定しています(下線部は筆者によります。)。
…慰謝料に関する被控訴人らの主張は,前記…のとおりであり,その被害とは,プライバシーに属する本件データがD社,E社,F社及びデータネットへ流出し,インターネット上で同データの購入を勧誘する広告が掲載されたこと及び同データの回収が完全であるか否かについての不安・精神的苦痛をいうものであり,それ以上に,被控訴人らが具体的に何らかの被害を被ったことは,主張立証されていない。
しかしながら,前記のとおり,被控訴人らのプライバシーに属する本件データにつきインターネット上で購入を勧誘する広告が掲載されたということ自体でも,それによって不特定の者にいつ購入されていかなる目的でそれが利用されるか分からないという不安感を被控訴人らに生じさせたことは疑いないところであり,プライバシーの権利が法的に強く保護されなければならないものであることにもかんがみると,これによって被控訴人らが慰謝料をもって慰謝すべき精神的苦痛を受けたというべきである。
その上で、大阪高裁は、宇治市に対して、慰謝料として1万円、弁護士費用相当額として、5000円の支払いを命じました(下線部は筆者によります。)。
…そして,本件において,被控訴人らのプライバシーの権利が侵害された程度・結果は,それほど大きいものとは認められないこと,控訴人が本件データの回収等に努め,また市民に対する説明を行い,今後の防止策を講じたことを含め,本件に現れた一切の事情を考慮すると,被控訴人らの慰謝料としては,1人当たり1万円と認めるのが相当である。
大阪地判平成18年5月19日判時1948号122頁
この判決では、インターネット接続サービス「Yahoo! BB」の会員であった原告らの住所・氏名・電話番号・メールアドレス等の個人情報(下記「1月のデータ」)が、同サービスを提供していたBBテクノロジー株式会社(被告)によるパスワード管理等の不十分さに起因する外部からのリモートアクセスにより外部に漏洩したことが問題となりました(なお、個人情報の不正取得者から、BBテクノロジー等に対する恐喝により事件が明るみになりました。)。
大阪地裁は、以下のとおり述べて、原告らが情報漏洩により、精神的苦痛を受けたことを認定しています。
被告BBテクノロジーの過失により,1月のデータが不正取得され,原告らのプライバシーの権利が侵害されたというべきであるから,被告BBテクノロジーは,これによって原告らが被った精神的苦痛について,原告らに対して,損害賠償責任を負うものである。
その上で、大阪地裁は、以下のとおり述べて、慰謝料として5000円、弁護費用として1000円の支払いを命じました(下線部は筆者によります。)。
…原告らは,損害の内容として,不正取得された原告らの個人情報が不特定の第三者にいついかなる目的でそれが利用されるか分からないという不安感を主張する。
確かに,本件においては,原告らの個人情報は,六郎らの手に渡り,恐喝未遂という犯罪に用いられたものであり,それらの者が,自己の利益を図るために,恐喝以外の手段に原告らの個人情報を利用した危険性はあったものと考えられる。
しかし,1月のデータの回収状況については,…二次流出があったとは認められない状況であり,その意味で,1月のデータの流出についての原告らの不安感は,さほど大きいものとは認められない。
…これらの事情のほか,1月のデータに含まれていた原告らの個人情報は秘匿されるべき必要性が必ずしも高いものではなかったこと,被告BBテクノロジーが,本件恐喝未遂事件後,顧客情報の社外流出について発表を行い,不正取得されたことが確認できた顧客に対してその旨連絡するとともに,本件サービスの全会員に500円の金券を交付するなどして謝罪を行う一方,顧客情報についてのセキュリティ強化等の対策をとっていること…といった本件に現れた一切の事情を考慮すると,原告らの精神的苦痛に対する慰謝料としては一人あたり5000円と認めるのが相当である。
東京地判平成19年2月8日判時1964号113頁
この判決では、エステティックサロンを経営する被告がインターネット上に開設したウェブサイトにおいて実施したアンケート等を通じて、顧客から提供された氏名、職業、年齢、性別、住所、電話番号及びメールアドレス等の個人の情報を登録フォームに入力して送信した日時、原告らが関心を有していたコース名、回答の内容等やそれらの情報が蔵置された電子ファイル名、被告が原告らを識別するために付した番号等の情報をインターネット上において第三者による閲覧が可能な状態に置いた結果、これら情報が流出したことが問題となりました。
東京地裁は、以下のとおり述べて、被告の顧客が情報漏洩により、精神的苦痛を受けたことを認定しています(下線部は筆者によります。)。
本件情報は,保健医療そのものに該当するものではないが,氏名,住所等の基本的な識別情報のみの場合と比較して,一般人の感受性を基準にしても,秘匿されるべき必要性が高いことは否定できない。
その上,本件情報流出事故の態様は,本件ウェブサイトのサーバー移設作業の際に,個人情報を含む本件電子ファイルをウェブサーバーの公開領域に置きながら,アクセス制限の設定をしなかったという技術的には初歩的過誤による過失に端を発し,これによって,インターネット上で公表された特定のURLを入力することで誰でも自由に閲覧することができる状態に置かれ,実際に,閲覧した第三者によってインターネット上に流出し,その結果,掲示板に掲載されて,性的興味の対象とされたり,興味本位の書込みがされたり,アプリケーションソフトを利用することで検索が可能な情報としてファイル交換ソフトによって広範囲に流布したりしたものであり,被告がプロバイダに対する協力依頼や発信者情報開示請求訴訟を提起する措置を講じたにもかかわらず,完全にそれを回収することは困難な状況にある。
このような本件情報の性質,情報流出の態様等に照らすと,自己の個人情報が社会に広く流布し,場合によってはそれが悪用されるのではないかとの原告らの不安は大きく,原告らが本件情報流出事故により被った精神的苦痛は決して軽視できるものではないというべきである。
しかも,原告10を除く各原告らに対しては,本件情報流出事故の発生以後に,いわゆる迷惑メールが送信され,ダイレクトメールが送付され,いたずら電話がかかるなどしているところ,本件情報がアプリケーションソフトを利用することによって検索が可能なものとしてインターネットを通じて広く流布し,インターネットの掲示板においても,それを事業者に売却することを示唆するような書込みもされている…。したがって,このように本件情報が実際に見知らぬ者らによって不当に利用されたこと(いわゆる2次流出あるいは2次被害)によって,上記の各原告らの不安が現実化し,各原告らは,一層大きな精神的苦痛を受けたものと認められる。
その上で、東京地裁は、以下のとおり、流通した情報の秘匿の必要の高さや二次流出が生じていること等を考慮して、一人あたり3万円(二次流出がなかった原告については、1万7000円)の慰謝料及び5000円の弁護士費用の支払いを被告に命じました(下線部は筆者によります。)。
そして,これらの本件情報の性質,本件情報流出事故の態様,実際に2次流出あるいは2次被害があること,原告らの本件訴訟の提起の目的が被告の行為の違法性を確認するためにいわゆる名目的な損害賠償を求めるものではなく,精神的な苦痛を慰藉するために損害賠償を求めるものと認められること,本件情報流出事故の発生後,被告は,謝罪のメールを送信し,全国紙に謝罪の社告を掲載するとともに,データ流出被害対策室及びY顧客情報事故対策室を設置して,2次被害あるいは2次流出の防止のための対策を検討し,発信者情報開示請求訴訟の提起や保全処分事件の申立てをするといった措置をとったことなど,本件に現れた一切の事情を考慮すると,原告らの精神的苦痛を慰藉するには,被告に対し,原告ら1人当たり各3万円の慰藉料の支払を命ずるのが相当である。
本件の判示事項
まず、最高裁は、以下のとおりベネッセ情報流出事件における事実関係を整理します。
原審の確定した事実関係の概要は,次のとおりである。
(1) 上告人は,未成年者であるBの保護者であり,被上告人は,通信教育等を目的とする会社である。
(2) 被上告人が管理していたBの氏名,性別,生年月日,郵便番号,住所及び電話番号並びにBの保護者としての上告人の氏名といった上告人に係る個人情報(以下「本件個人情報」と総称する。)は,遅くとも平成26年6月下旬頃までに外部に漏えいした(以下「本件漏えい」という。)。
(3) 本件漏えいは,被上告人のシステムの開発,運用を行っていた会社の業務委託先の従業員であった者が,被上告人のデータベースから被上告人の顧客等に係る大量の個人情報を不正に持ち出したことによって生じたものであり,上記の者は,持ち出したこれらの個人情報の全部又は一部を複数の名簿業者に売却した。
続いて、最高裁は、以下のとおり述べて、早稲田大学名簿提出事件最高裁判決を引用した上で、ベネッセが管理していた上告人の被保護者たる未成年の「氏名,性別,生年月日,郵便番号,住所及び電話番号並びに(その)保護者としての上告人の氏名といった上告人に係る個人情報」の漏洩に関して、プライバシー侵害を認めました。
本件個人情報は,上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照),上記事実関係によれば,本件漏えいによって,上告人は,そのプライバシーを侵害されたといえる。
その上で、最高裁は、プライバシー侵害による精神的損害の有無及び程度について、審理を尽くさせるべく、事件を東京高裁に差し戻しました。
しかるに,原審は,上記のプライバシーの侵害による上告人の精神的損害の有無及びその程度等について十分に審理することなく,不快感等を超える損害の発生についての主張,立証がされていないということのみから直ちに上告人の請求を棄却すべきものとしたものである。そうすると,原審の判断には,不法行為における損害に関する法令の解釈適用を誤った結果,上記の点について審理を尽くさなかった違法があるといわざるを得ない。
コメント
本判決は、①早稲田大学名簿提出事件最高裁判決に依拠した上で、氏名、性別、生年月日、郵便番号、住所及び電話番号等の個人情報が、プライバシー情報にあたることを認め、②本件の事実関係の下、ベネッセによる個人情報の漏洩がプライバシーの侵害に該当することを認め、③精神的損害の有無及び程度について審理を尽くさせるべく事件を大阪高裁に差し戻したものです。
本判決は、控訴審が、プライバシー侵害に基づく損害賠償請求判断のフレームワークに反して、精神的損害の有無に関する検討を十分に判断していないことについて言及していますが、上記の各裁判例で行われてきた、個人情報の重要性や、利用に関する不安等の総合的な事情を踏まえた精神的苦痛の判断の欠如を指摘するに留まるのか、それとも、そこから一歩進んで、プライバシー情報の重要性等に鑑みて、具体的な精神的苦痛の主張がなくとも、抽象的な精神的損害の認定を認める可能性を示唆する趣旨まで読み込むことができるかは、その判文上必ずしも明らかではなく、今後、その射程が問われていくことになると思われます。
その上で、実務上は、差戻審において、これまでの最高裁や上記各裁判例の存在を前提とした上で、ベネッセの損害賠償責任が認められるのか、また、その場合にはその具体的な額がどの程度となるかは注目に値します。
特に、ベネッセは情報流出に際して500円の「お詫び」を交付する等の対応をとっており、前掲大阪地判平成18年5月19日ではこれが慰謝料を制限する方向で考慮されていると考えられるところ、果たして本件ではこれが考慮されるのか、また、他社からのダイレクトメールが送付され、情報が広く流通している可能性があることをどこまで考慮するのか等は、これからの情報漏洩時の対策やインパクトを検討するに際して重要となるものと思われます。
本記事に関するお問い合わせはこちらから。
(文責・松下)