いつも本ブログにアクセスしていただき、ありがとうございます。
弁護士・税理士の鳥光でございます。
今回は、情報セキュリティのお話の8回目です。
前回はベネッセの顧客情報漏洩事件における、企業側の注意義務について、システム面と人的な側面から検討してみました。
次に、注意義務違反が存在したとして、原告(漏洩した顧客情報に含まれていた顧客)に対し、情報漏洩による損害が発生したといえるかという問題があります。
具体的には、顧客情報(子及び親の氏名、性別、生年月日、郵便番号、住所、電話番号等)が漏洩しただけで、不法行為に関する責任を定めた民法709条における、「法律上保護される利益を侵害した」といえるかという問題です。
【参考条文】
(不法行為による損害賠償)
第七百九条 故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う。
これについては、最判平成29年10月23日は次のように判示して差し戻し、差し戻し審において損害が認められました。
「本件個人情報は,上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照)、上記事実関係によれば、本件漏えいによって、上告人は、そのプライバシーを侵害されたといえる。」
なお、最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決は、憲法判例百選にも掲載されている有名な判例で、プライバシーにかかわる情報が法的保護の対象になることを示したものです。
顧客情報を漏洩させたこと自体が損害を発生させたといえるとして、今度はどの程度の損害が生じたといえるかという問題を検討する必要があります。
この点については、次回お話いたします。