御器谷法律事務所
大阪地方裁判所 平成18年5月19日判決(控訴)
インターネット加入者の個人情報流出について、インターネットサービス業者に個人情報管理につき過失があるとして、会員からインターネットサービス業者に対する慰謝料請求が認容された事例

《事案の概要》

《争点》
  (1) Y1の過失の有無
  (2) Y2の責任の有無
  (3) 権利侵害の有無
  (4) 損害

《裁判所の判断》
  1. 争点(1)―Y1の過失の有無:肯定
    1) 個人情報管理に関する一般的な注意義務の肯定
     Y1は、個人情報保護法にいう個人情報取扱事業者にあたるところ、「本件不正取得が行われた当時、顧客の個人情報を保有、管理する電気通信事業者として、当該情報への不正アクセスや当該情報の漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていたと認められる。」
    2) リモートアクセスに関する注意義務の肯定
     リモートアクセスについては、JIS規格や通産省のガイドラインにおいてもその危険性が指摘されているのであるから、「Y1は、個人情報の管理に関してア[=1)]のとおりの注意義務を負うのであるから、本件顧客データベースサーバーについて、そもそも必要性がない場合又は必要性のない範囲にリモートアクセスを認めることは許されず、また、リモートアクセスを可能にするに当たっては、不正アクセスを防止するための相当な措置を講ずべき注意義務を負っていたというべきである。」
     [必要性は肯定]
     新規加入者増加による至急の復旧作業に対処するためには、導入必要
     [相当な措置は否定]
     「以上のY1におけるリモートアクセスの管理体制は、ユーザー名とパスワードによる認証以外に外部からのアクセスを規制する措置がとられてない上、肝心のユーザー名及びパスワードの管理が極めて不十分であったといわざるを得ず、同被告は、多数の顧客に関する個人情報を保管する電気通信事業者として、不正アクセスを防止するための前記注意義務に違反したものと認められる。」
    ↓以上によれば
     「Y1は、本件リモートメンテナンスサーバーを設置して本件顧客データベースサーバー等のサーバーへのリモートアクセスを行うことを可能にするに当たり、外部からの不正アクセスを防止するための相当な措置を講ずべき注意義務を怠った過失があり、同過失により本件不正取得を防ぐことができず、原告らの個人情報が第三者により不正に取得されるに至ったというべきである。したがって、同被告は、原告らに対し、本件不正取得により原告らの被った損害を賠償すべき不法行為責任がある。」

  2. 争点(2)―Y2の責任の有無:否定
    ∵ Y1とY2とは、別個の契約・サービス提供、別個のサーバーで管理

  3. 争点(3)―権利侵害の有無:肯定
    ∵ 住所・氏名等の個人情報が流出→プライバシー侵害あり

  4. 争点(4)―損害:一人あたり6000円
     「原告らは、損害の内容として、不正取得された原告らの個人情報が不特定の第三者にいついかなる目的でそれが利用されるか分からないという不安感を主張する。
     確かに、本件においては、原告らの個人情報は、Cらの手に渡り、恐喝未遂という犯罪に用いられたものであり、それらの者が、自己の利益を図るために、恐喝以外の手段に原告らの個人情報を利用した危険性はあったものと考えられる。
     しかし、一月のデータの回収状況については、4(2)のとおり、二次流出があったとは認められない状況であり、その意味で、一月のデータの流出についての原告らの不安感は、さほど大きいものとは認められない。
     これらの事情のほか、一月のデータに含まれていた原告らの個人情報は秘匿されるべき必要性が必ずしも高いものではなかったこと、被告Y1が、本件恐喝未遂事件後、顧客情報の社外流出について発表を行い、不正取得されたことが確認できた顧客に対してその旨連絡するとともに、本件サービスの全会員に500円の金券を交付するなどして謝罪を行う一方、顧客情報についてのセキュリティ強化等の対策をとっていることといった本件に現れた一切の事情を考慮すると、原告らの精神的苦痛に対する慰謝料としては一人あたり5000円と認めるのが相当である。
     弁論の全趣旨によれば、原告らは、甲・乙事件訴訟代理人弁護士らに本件訴訟の提起・追行を委任しており、これに対する報酬の支払を約したと認められ、被告Y1の不法行為と相当因果関係のある弁護士費用は一人あたり1000円と認めるのが相当である。」

《本判例を踏まえた実務対応》
個人情報取扱事業者としては、情報漏えいを防ぐべく、以下の二面を留意すべき
(1) 事前の予防策―漏えいを防ぐ設備体制・運用体制の構築
□ 個人情報を格納したサーバーへのアクセス制限を徹底
ハード・ソフト両面を随時アップデート。パスワード等の複雑化・個別化。外部から容易にサーバー接続させない仕組み作り。
□ サーバー管理者に対する指導・管理の徹底
業務にあたって誓約書。情報取扱いのマニュアル化。
異動・退職者が出た場合のフォロー(PW変更等)。
(2) 事後の善後策―誠実な対応
□ 顛末の公表との関係
→ 事実を隠蔽せず、でき得る範囲で公表したか。
□ 設備体制・管理体制の速やかな改善
□ 被害者への対応
→ 事情の説明。金銭的賠償(サービス券、ポイント配布等)。


執務の方針| 弁護士のプロフィール| 取扱事件 | ご案内 顧問契約 |

弁護士費用 | 事務所案内図 | リンク| トップ