[本文へ] 消費生活・消費者問題に関する事例や対処方法を紹介しています。

現在の位置 : トップページ > 相談事例・判例 > 消費者問題の判例集 > 個人情報がインターネットを通じて流出した場合の事業者の責任

[2008年7月:公表]

個人情報がインターネットを通じて流出した場合の事業者の責任

本件は、インターネット接続等の総合電気通信サービスに入会している会員の個人情報が、事業者の業務委託先から派遣された者を通じて流出した事案である。裁判所は、事業者には不正アクセスを防止すべき注意義務があったのにそれを怠ったとして、事業者の過失を認定し、会員からの不法行為に基づく慰謝料請求を認めた。(大阪地方裁判所平成18年5月19日判決)

  • 『判例時報』1948号122ページ、『判例タイムズ』1230号227ページ
  • 一部認容、一部棄却、控訴

事件の概要

Xら:消費者5名(原告)
Y1:インターネット接続サービス業者(被告)
Y2:Y1と親会社が同じインターネット接続サービス業者。利用料徴収業務を行っていた(被告)
A:業務委託先からY1に派遣された者
B:Aの知人
C:Yらを恐喝した者

 Xらは「Y」と称する非対称加入者線伝送(ADSL)方式等を用いたインターネット接続サービスおよびこれに付随するメールサーバーのレンタル等の総合電気通信サービス(本件サービス)の会員で、平成16年1月までにYらと本件サービス契約を締結し入会した。Yらは、電気通信事業法にいう電気通信事業に当たる本件サービスを顧客に対して提供している株式会社である。本件サービスに係る契約締結の際に、Yらは、Xらを含む顧客の個人情報を取得し、以下の情報を保有し、管理していた。Y1:住所・氏名・電話番号・メールアドレス・ID・申込日・性別・回線タイプ等の回線の接続に関する情報。Y2:Y1の情報の他、クレジットカード番号・銀行口座番号・パスワード・取引実績に関する情報。ただし性別・回線タイプ等の回線の接続に関する情報は除く。顧客情報は顧客データベースに記録され、Y1本社施設内サーバーに格納されていた。

 Y1は平成14年12月、社外パソコンから社内サーバーのメンテナンスを可能とするリモートメンテナンスサーバーを設置した。同サーバーは、WindowsXPの標準でインストールされるソフトウエアでアクセス可能であった。ユーザー名とパスワードを正しく入力すればサーバーにログオンでき、社外からでも社内と同様の操作ができた。リモートメンテナンスサーバーにログオンするためのユーザー名・パスワードはいずれも「genbatai」(以下「本件アカウント」)で、サーバー設置から平成16年1月まで変更されず、このアカウントは複数担当者に与えられていた。

 A(平成14年5月から15年2月まで業務に従事)も本件アカウントを与えられ、平成15年6月Bと共に、16年1月にはBが、社外からインターネットを通じ本件アカウントを利用して顧客情報を外部に転送し不正取得した。AがY1を退職する際に、Y1は本件アカウント等の変更を行わなかった。不正取得された顧客情報はCに渡り、CがYらへの恐喝未遂事件で検挙された際に、この不正取得が判明した。この中にはXらの個人情報(住所、氏名、電話番号、メールアドレス、申込日)が含まれていた。Xらは、Yらが個人情報の適切な管理を怠った過失等により、自己の情報をコントロールする権利が侵害されたとして、共同不法行為に基づき慰謝料等の支払いを求めた。



理由(概要)

Y1の注意義務の内容

 Y1は電気通信情報事業法上の電気通信事業者に当たり、電気通信事業における個人情報保護に関するガイドライン5条4項等をもとに、本件不正取得が行われた当時、顧客の個人情報を保有・管理する電気通信事業者として、不正アクセスや漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていた。リモートアクセスについてはJIS規格やコンピューター不正アクセス対策基準で危険性が指摘され、対策について規定されており、Y1は不必要な範囲にリモートアクセスを認めることは許されず、可能にする際は不正アクセス防止のための相当な措置を講ずべき注意義務を負っていた。

注意義務違反の存否

 休日・夜間に社外からサーバーメンテナンスを行うためのリモートアクセスは必要性がなかったとはいえず、本件アカウントにサーバー管理者権限を与えたこともメンテナンス作業の必要な範囲を超えたとはいえないが、特定のコンピューター以外からリモートアクセスできないようにする措置はとられず(方法は存在した)、Aに本件アカウントを与え、A退職後もユーザー名削除・パスワード変更を行わず、リモートサーバー設置から約1年間パスワードの定期的変更を行わず、さらに平成16年1月5日に不正なパスワード変更やアカウント削除を認識しながら、パスワードを元に戻して使用していたことから、Y1におけるリモートアクセスの管理体制は、ユーザー名とパスワードによる認証以外に外部からのアクセスを規制する措置がとられていないうえ、肝心のユーザー名およびパスワードの管理が極めて不十分であり、多数の顧客に関する個人情報を保管する電気通信事業者として、不正アクセスを防止するための前記注意義務に違反したものと認められる。

予見可能性と結果回避可能性

 Y1はAの業務開始時に営業・技術上の情報の秘密保持等に関する誓約書を書かせたこと、Aの業務内容から、A退職時のトラブルの有無にかかわらず、パスワード等の情報の利用、漏えいと不正アクセスは予見可能であった。Xらの個人情報が漏えいした1月の不正取得は、Y1がユーザー名・パスワードの適切な管理等、不正アクセス防止のための相当な措置を採っていれば防ぎ得たので結果回避可能性も認められる(Y1の過失を認定し、損害賠償請求を減額して認容)。



解説

 本件はインターネットを介して事業者の保有する個人情報が流出した事案で、今後消費者からの不法行為に基づく損害賠償請求が増える可能性が高い領域である。そ の場合、事業者の過失の有無が問題となろう。

 本件では、情報の不正取得・漏えい過程が詳細に認定され、さらにY1の電気事業者等としての抽象的な注意義務やリモートサーバー設置者としての具体的な注意義務を認定している。そのうえで、Y1が特定PC以外からのアクセスを認めており、Y1のアクセス管理、ユーザー名・パスワードの管理が極めて不十分であったことから注意義務違反を認め、予見可能性・結果回避可能性があったことを認定したうえで、「Y1は、本件リモートメンテナンスサーバーを設置して本件顧客データベースサーバー等のサーバーへのリモートアクセスを行うことを可能にするに当たり、外部からの不正アクセスを防止するための相当な措置を講ずべき注意義務を怠った過失があり、同過失により本件不正取得を防ぐことができず、原告らの個人情報が第三者により不正に取得されるに至ったというべきである」として不法行為責任を肯定した。しかし、請求額一人当たり100万円に対して認定は慰謝料5000円と弁護士費用1000円の合計6000円であり(1月の不正取得については二次流出があったとは認められないと認定し、Xらの不安感を大きなものとは認めず、さらに漏えいしたXの個人情報は秘匿されるべき必要性が必ずしも高いものではなかったこと、Y1が本件恐喝未遂事件後、顧客情報の社外流出につき発表を行い、不正取得されたことが確認できた顧客に対してその旨連絡するとともに、本件サービスの全会員に500円の金券を交付するなどして謝罪を行う一方、顧客情報のセキュリティ強化等の対策を採っていること等を考慮)、技術面も含めこれだけ詳細かつ丁寧な事実認定がなければ不法行為責任を肯定できないとするならば、消費者にとって非常に厳しい判決ともいえよう。なお、Y2については、Y1と管理している情報の範囲が異なり、顧客情報をそれぞれ別個に管理していたものと認められ、Y2の管理する顧客情報が流出したとは認めず、Y1に対する監督義務違反もないとして、過失を認めなかった。本件不正取得当時、個人情報保護法は施行されていなかったが、事業者に個人情報管理に必要な措置を講ずべき注意義務を先に認め、予見可能性や結果回避義務を免責事項のように扱うなど、同法の先取り的要素がみられる。



参考判例

 いずれも個人情報保護法立法前の事案である。

  1. 1.インターネット上のアンケートによる個人情報の流出。センシティブな情報を含むとされた。東京地判平成19年2月8日『判例時報』1964号113ページ、慰謝料3万円弁護士費用5000円認容
  2. 2.住民基本台帳データの流出。大阪高判平成13年12月25日『判例地方自治』265号11ページ、慰謝料1万円弁護士費用5000円
  3. 3.警察に対する講演会参加者名簿の無断提出。最二判平成15年9月12日『判例タイムズ』1134号98ページ、差戻控訴審東京高判平成16年3月23日『判例時報』1855号104ページ、慰謝料5000円。


消費者問題の判例集トップページへ

ページトップへ