情報セキュリティの話8

いつも本ブログにアクセスしていただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回は、情報セキュリティのお話の8回目です。

 

前回はベネッセの顧客情報漏洩事件における、企業側の注意義務について、システム面と人的な側面から検討してみました。

 

次に、注意義務違反が存在したとして、原告(漏洩した顧客情報に含まれていた顧客)に対し、情報漏洩による損害が発生したといえるかという問題があります。

 

具体的には、顧客情報(子及び親の氏名、性別、生年月日、郵便番号、住所、電話番号等)が漏洩しただけで、不法行為に関する責任を定めた民法709条における、「法律上保護される利益を侵害した」といえるかという問題です。

 

【参考条文】
(不法行為による損害賠償)
第七百九条 故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う。

 

これについては、最判平成29年10月23日は次のように判示して差し戻し、差し戻し審において損害が認められました。

 

「本件個人情報は,上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照)、上記事実関係によれば、本件漏えいによって、上告人は、そのプライバシーを侵害されたといえる。」

 

なお、最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決は、憲法判例百選にも掲載されている有名な判例で、プライバシーにかかわる情報が法的保護の対象になることを示したものです。

 

顧客情報を漏洩させたこと自体が損害を発生させたといえるとして、今度はどの程度の損害が生じたといえるかという問題を検討する必要があります。
この点については、次回お話いたします。

情報セキュリティの話7

本ブログをご覧いただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティに関するお話の7回目です。

 

今回からは、セキュリティにかかわる法的な話題について取り上げます。

 

セキュリティに関する法的な問題が生じる場面には様々なものがありますので、情報漏洩が起きた際の企業の責任という論点について述べていきます。

 

題材としては、一般的にも有名な事件である、ベネッセの顧客情報漏洩事件を取り扱います。

 

ベネッセの顧客情報漏洩に関する裁判例、判例は多数ありますが、企業の過失についての論点が含まれる東京高判令和3年5月27日の裁判例をもとに、システム面、人的な面におけるセキュリティ対策を考えてみます。

 

ベネッセの顧客情報漏洩事件の内容は、要約するとベネッセのIT業務を委託されていた会社において、業務を委任されていた人物が私物スマートフォンを業務用PCに接続してMTP方式で顧客情報を抜き取り、名簿業者に売却したというものです。

 

そして、流出した顧客情報の中に含まれていた顧客が原告となり、ベネッセと、ベネッセのIT業務を委託されていた会社に損害賠償を求めた事件です。

 

ベネッセのIT業務を委託されていた会社にも注意義務違反があったとして損害賠償責任が認められ、その注意義務違反の内容は、次の2つです。

 

ひとつは、執務室内への私物スマートフォンの持込禁止措置を施さなかったことです。
執務室内への私物スマートフォンの持込禁止は、人的な側面におけるセキュリティ対策であり、簡便かつ確実に行うことができる情報漏えい防止の方法といえます。
大量の顧客情報を扱う会社において、この対策が行われていないことについて注意義務違反があったとされました。
(なお、業務への支障があるとして、私物スマートフォンの持ち込みを禁止することができない事情があったという反論もなされましたが、私物スマートフォンの持ち込みには情報漏洩を防止することを上回る利益はないとされました。)

 

もうひとつは、業務PCにおいて、私物スマートフォンへのデータ転送を防ぐセキュリティ設定がなされていなかったことです。
より正確には、業務PCにはセキュリティソフトが導入されており、スマートフォンへのデータ転送を防ぐ設定がなされていなかったわけではありません。
しかし、スマートフォンへのデータ転送放棄にはMSC方式とMTP方式というものがあるうちの、MSC方式のみデータ転送を禁止する設定がなされていました。
当時はMSC方式が主流であったものの、MTP方式の利用も増えており、MTP方式によるデータの抜き出しは予見できたとされ、MTP方式によるデータ転送を禁止する設定を施していなかったことにつき、注意義務違反があったとされました。
これは、システム面におけるセキュリティ対策を施さなかったことについての注意義務違反です。

 

なお、ベネッセについても、IT業務の委託先を適切に監督し、個人情報が漏えいしないように、少なくともセキュリティソフトの設定が適切に行われているか否かの確認を行う義務があったとされ、この義務を果たしていなかったことにつき注意義務違反があるとされました。