過去に何度か当ブログでも取り上げたベネッセ情報流出訴訟ですが、本日(10月23日)、最高裁で原審破棄、差戻しの判決が出ました(本件を報じる弁護士ドットコムニュースはこちらです。なお判決文の全文は最高裁のHPで閲覧できます)。
日本ネットワークセキュリティ協会によりますと、昨年公表された個人情報流出事件は468件で、計約1400万人分の個人情報が流出しているとのこと。
マスコミでも大規模な個人情報漏えい事件がときどき報じられていますが、漏えいを許した企業側に情報管理面における過失責任はないのか、あるとすれば個人情報の価値とはどの程度のものか。このような素朴な疑問への回答も含め、改正個人情報保護法が施行された中で、今後の企業側の安全管理措置の在り方に一石を投じる判決といえそうです。
私も10月3日付けビジネスローヤーズのニュースでコメントしておりますが、法律専門職の方々の間では「破棄、差戻し」判決はある程度予想されたところではないでしょうか。
私自身は高裁判決を読まずに取材に応じておりましたが、高裁は「控訴人(原告)は、具体的な損害を主張立証していない」として、その余の争点を論じるまでもなく控訴を棄却したようなので、もし控訴人(原告)に損害(たとえば精神的損害)が発生しているのであれば、委託先業者だけでなく再々委託元であるベネッセに不法行為が成立する根拠法令や事実についてもきちんと審理する必要があるだろうな、と思っておりました。
本件は再々委託先業者のミスによって顧客情報が流出したものではなく、再々委託先従業員による故意の情報取得行為によって流出した点に特徴があります。「なぜ情報管理を委託している会社の、そのまた先の業者の犯罪行為について、委託元が責任を負わねばならないのか」といった自然な疑問が湧いてくるところです。
ただ、基本的には再々委託業者従業員による不法行為の責任は、民法715条(使用者責任)を根拠として認められる可能性が高いように思います(過去にも委託先従業員のミスによる情報流出事件ですが、報奨責任原則によって委託元の「指揮監督関係」が広く認められた判決があります-東京地裁平成19年2月8日判決・判例時報1964号 113頁以下参照)。
ところでこの上告審の後にはベネッセ個人情報被害者による集団訴訟の判決が控えていますので、この最高裁判決の重みを感じます。差戻後の判断が集団訴訟に影響を与えることは間違いないわけですから、ベネッセが負担する損害賠償金額は(ひとりひとりの被害者の損害は1万円~5万円程度だとしても)かなり大きな金額になることが予想されます。
会社の業績に与える影響は微々たるものかもしれませんが、恐ろしいのは当時のベネッセの役員責任を追及する株主代表訴訟の提起ではないでしょうか。
そこで委託元会社の役員が個人情報をどのように管理すれば任務懈怠とならないのか、そのレベル感を示す指針として、経産省や個人情報保護委員会が示すガイドラインが参考になるところです。経産省ガイドラインは個人情報保護法の改正に伴い廃止され、現在は個人情報保護委員会作成の個人情報管理ガイドラインが公表されています(平成29年3月一部改正)。
法人責任を認容する根拠となる使用者責任とは異なり、取締役等の責任を認容する根拠となるのは、内部統制システムの構築義務違反(善管注意義務)ということになるでしょうから、もし責任を追及する訴訟が提起された場合には、経産省や個人情報保護委員会が作成するガイドラインが事実上のモノサシ(判断基準)になりそうです。
FOLLOW US