ブログにアクセスいただき、ありがとうございます。
弁護士・税理士の鳥光でございます。
今回で、10回目の情報セキュリティのお話ととなります。
前回、顧客個人情報が漏洩した際の損害論について、裁判例を元にお話をいたしました。
ベネッセの顧客情報漏洩事件においては、顧客情報に含まれていた顧客個人の損害が問題となり、個人情報が流出した以外の具体的な損害がなかったことから、個人情報流出自体が生じさせた損害額として1000~3000円の慰謝料が認められました。
もっとも、情報漏洩による影響の本質は、どの程度まで損害が広がるかがわからないというところにあると考えております。
また、様々な損害が発生したとして、情報漏洩と因果関係が認められるのはどこまでか、という問題もあります。
もし漏洩した情報が事業運営上重要な情報であり、漏洩によって大きな機会損失が生じた場合はどうなるか。
士業においては、顧客の身分や財産に関する重要な情報が漏洩し、これによって顧客やその親族等に社会的、財産的損害が生じた場合はどうなるか。
このように、情報漏洩による影響は、いくら検討しても予測しきれない部分が残ります。
企業間の契約書においても、損害賠償の範囲を限定する条文を設けることは一般的に行われていますが、私は「秘密保持に関する条文に違反した場合にはこの限りでない」という趣旨の但し書きを入れることがあります。
そのうえで、情報漏洩が起きた場合にどうするかという対策ももちろん大切ですが、とにかく情報漏洩は起こさないことを念頭に置いて経営資源を投入することが重要であると考えられます。
情報は一度漏洩してしまったら、拡散を止めることは事実上困難であるためです。
