ベネッセ個人情報流出事件発生! ベネッセやジャストシステムはどんな責任を負うの?

皆さん、こんにちは。 「IT弁護士.com」の弁護士藤井です。

http://itbengoshi.com

==============================
【ベネッセ個人情報流出事件発生! ベネッセやジャストシステムはどんな責任を負うの?】 ■「弁護士藤井のメールマガジン」 VOL.62  2014/7/22
==============================

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 【日本IT特許組合主催セミナー】「クラウド時代の「サービス利用規約」作り方、読み方」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

私がパートナー弁護士を務める日本IT特許組合が、「クラウド時代の「サービス利用規約」作り方、読み方」というセミナーを主催して、私が講師をすることになりました。
日時 2014年7月25日(金)16:30~18:00(講義) 18:20~20:00(懇親会)
場所 〒104-0033 東京都中央区新川1-21-2 茅場町タワー11F (株)インテリジェント ウェイブ 
会議室  http://www.iwi.co.jp/company/map/
申込は、下記サイトからお願いします。 http://itpat.jimdo.com/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 【ベネッセ個人情報流出事件発生! ベネッセやジャストシステムはどんな責任を負うの?】
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

今回のメルマガは、【あなたの開発したスマホアプリ、コンピューターウィルスですよ?-解決編-】をお送りする予定でした。 ですが、IT業界を揺るがす、ベネッセ個人情報流出事件が発生したので、予定を変更して、この事件について解説したいと思います。 とはいっても、この事件を解説し出すときりがないので、

今回のメルマガでは、
1. 顧客の個人情報を流出させてしまったベネッセは、どんな責任を負うのか
2. 流出した個人情報を名簿業者から購入してDMの発送などに利用したジャストシステムは、どんな責任を負うのか という二点を解説します。

まず、ベネッセですが、個人情報保護法に違反する可能性があります。
個人情報保護法では、個人情報の安全管理のために必要かつ適切な措置を講じなければならないとする「安全管理措置」に関する義務や(同法20条)、個人情報の取り扱いを外部業者に委託する場合に、委託先に対する必要かつ適切な監督を行わなければならないとする「委託先の監督」に関する義務(同法22条)が定められています。

本件でベネッセは、データベースの運用や保守をグループ企業に委託し、そこがさらに外部業者に分散して再委託していて、そのうちの一社の派遣社員が個人情報を盗み出したそうです。
そして、一部報道によると、データベースへのアクセス権が、かなり広い範囲の人間(事件を起こした派遣社員を含めて)にまで与えられていたことが、事件が起きた原因の一つとされています。 そうなると、場合によっては、ベネッセは、個人情報保護法上の安全管理措置や委託先の監督義務に違反する可能性があります。
個人情報保護法に違反すると、勧告や命令などの行政処分を受ける場合があり、さらには、罰金などに処せられることになります。 とはいっても、個人情報保護法は、対行政の話です。
対顧客との話では、民法上の債務不履行責任か、民法上の不法行為責任が問題になります。 債務不履行責任とは、契約に違反した場合に、契約相手に負う責任です。 本件で、ベネッセと顧客との契約の中で、顧客情報の管理も含まれていることになれば、債務不履行責任を負う可能性があります。

一方、不法行為責任とは、契約などを結んでいなくても、不法な行為をした場合に、被害者に負う責任です。 ベネッセと顧客との間で契約が結ばれていなくても(過去にアンケートに答えただけなど)、情報の管理を適切に行わなかった点で、不法行為責任は負う可能性があります。 いずれかの責任を負う場合の、顧客一人当たりの賠償額ですが、裁判例は、流出した情報の性質に応じて、まちまちです。
宇治市の22万人分の住民票データが流出した事件では,1名あたり1万円の慰謝料と5000円の弁護士費用が認められました(宇治市住民票データ流出事件)

早稲田大学での江沢民主席の講演に際して、早稲田大学が参加者1400人分の氏名・電話番号等を警視庁に提出した事件では、1名あたり5000円の慰謝料が認められました(江沢民講演会名簿提出事件)

エステ大手のTBCグループの5万人分の顧客情報(身体的特徴などの情報も含む)が流出した事件では、1名あたり3万円の慰謝料と5000円の弁護士費用が認められました(TBC個人情報流出事件)

本件で流出した情報は、氏名、住所、電話番語、子どもの生年月日・性別といった情報で、TBC個人情報流出事件ほどの重大情報ではないにせよ、子供に関する情報は、犯罪に利用される可能性もあることから、1~2万円程度の慰謝料になる可能性はあります。
次に、ジャストシステムですが、ジャストシステムについても、個人情報保護法に違反する可能性があります。 というのは、個人情報保護法では、不正な手段で個人情報を取得してはならないとする「適正取得」に関する義務(同法17条)が定められています。 これは、直接その個人から個人情報を不正に取得する場合だけでなく、不正に取得された個人情報であることを認識しながら、あるいは容易に認識できたにもかかわらず、これを第三者から取得することも禁止されている、と解釈されています。 そうなると、ジャストシステムが、名簿業者から名簿を購入する際に、不正に取得された個人情報であることを認識しながら、あるいは容易に認識できたにもかかわらず、購入したとなると、適正取得の義務に違反する可能性があります。 (本件の名簿は、これだけ大量の子供に関する個人情報ですので、常識的に考えれば、どこかの大手企業の顧客情報が流出したものではないかと、疑ってしかるべきですよね…)

個人情報保護法に違反すると、上で説明したとおり、勧告や命令などの行政処分を受ける場合があり、さらには、罰金などに処せられることになります。
また、ジャストシステムは、(ベネッセの)顧客に対して、不法行為責任を負う可能性があります。 上で説明したとおり、不法行為責任は、契約関係のない当事者間でも発生する責任だからです。 とはいっても、個人情報を流出させた元であるベネッセと比べると、ジャストシステムの責任はだいぶ小さくなるので、上で説明した1~2万円程度の慰謝料には、まずならないと思います。 以上のとおりですが、この事件は、まだ全容が掴めていないため、今回のメルマガの解説も、現状報道されている内容を前提としたものになります。
今後、事態に動きがあれば、改めてメルマガで解説します。

━━━━━━━━━━━━━━━━━━━━━━━
■ そう、バイタミックスならね
━━━━━━━━━━━━━━━━━━━━━━━

最近、グリーンスムージーが流行っているそうです。 グリーンスムージーというのは、葉もの野菜(ホウレンソウや小松菜)と果物(バナナやリンゴ)をミキサーにかけて作ったジュースのことで、これを毎朝飲み続けると、とても健康的になるそうです。 というわけで、夢のグリーンスムージーライフを始めるべく、ミキサーを買うことにしました。 買ったのは、家庭用ミキサーの中では世界最高性能を誇ると言われている、バイタミックスです。 特殊ステンレスブレード4枚刃が2馬力のパワーで1分間に3万7000回転するというこのモンスターマシンは、アボガドの種やiPhoneすら、一瞬で粉砕すると言われています。 ジュース作りにはオーバースペックな気がしないでもないですが、何ごとも形から入ることが大事だと思います。 このバイタミックス、スイッチを入れると、部屋中に工事現場のような爆音が鳴り響き、一瞬にしてグリーンスムージーができあがります。 眠い朝も爆音で目が覚めて、一石二鳥ですね。