[本文へ] 消費生活・消費者問題に関する事例や対処方法を紹介しています。

現在の位置 : トップページ > 相談事例・判例 > 消費者問題の判例集 > エステティックホームページ個人情報流出事件

[2009年8月:公表]

エステティックホームページ個人情報流出事件

 本件は、エステティックサロンの開設するウェブサイトで、無料体験や資料送付等に応募した者の氏名、住所、電話番号、メールアドレス等の個人情報が、エステティック会社が業務委託した会社の過失により流出した事案である。

 裁判所は、流出した情報をもととするダイレクトメールや迷惑メール、いたずら電話などの二次流出・被害が生じたことから、エステティック会社に対し、民法715条に基づく損害賠償として、慰謝料3万円と弁護士費用5000円を認めた。(東京地裁平成19年2月8日判決)

  • 『判例時報』1964号113ページ
  • 一部認容・一部棄却、控訴審で控訴棄却(確定)
  • なお、本件は個人情報保護法施行前の事案である

事件の概要

Xら(原告):消費者
Y(被告):エステティック事業者
A(訴外):サーバー運営会社(インターネットおよびイントラネットシステム構築などを主な事業内容とする)

 Yは平成8年頃、Aとウェブサイト開設等のためのサーバーコンピューターのレンタル契約を締結し、A提供のサーバー上にウェブサイトを開設し、平成11年頃ホームページの内容更新、制作・保守業務の委託を内容とする契約を締結した。Yはこのサイトで、サービス内容の宣伝とともに、プレゼントや無料体験の募集、資料送付依頼受付等を行っていた。

 Xらは平成12〜14年頃この無料体験等に応募し、必要事項や回答として氏名、年齢、住所、電話番号およびメールアドレス、希望コース等の個人情報を入力し、送信した。

 こうして集積された個人情報は、サーバー内の特定のファイルに格納され、第三者からのアクセスを拒否する状態で保管されていた。平成14年3月30日〜4月2日にかけて、Aはアクセス数の増大等に対応するため、Yの同意を得て、ウェブサイトをY専用サーバーに移設する作業を行った。このときAがファイルのアクセス権限を従来どおりに設定しなかったため、上記個人情報が記録されたファイルは、特定のURLを入力することでインターネット上の一般利用者が自由にアクセス・閲覧できる状態に置かれたが、A・Yともに気づかなかった。A・Yは従来から別のセキュリティ保持方法を採っていたが、URL入力によるアクセスを防げない方法だった。

 同年5月26日頃、インターネット上の電子掲示板に「大量流出!Yのずさんな個人情報管理!」との表題のもと、本件ファイルを閲覧できるURLと、興味を惹起(じゃっき)する書き込みがされた。その後短時間に興味本位の書き込みがされ、性的興味の対象とするものも少なくなかった。同日午前6時40分頃、Yの社員が上記書き込みに気づき、Yのシステム担当者からAに連絡され、午前8時半頃にサーバーが停止された。Yは本件情報流出事故後、マスコミ取材等に対し、セキュリティ管理に問題があったことを認めたうえで、ウェブサイトに謝罪文を掲載し、専用ホットラインを開設、都内法律事務所内にデータ流出被害対策室を設置、同月28日、新聞計9紙におわびと報告を掲載した。続けて、同月29日、セキュリティ専門会社に二次被害防止対応を依頼、同月31日、情報が流出した顧客に電子メールで謝罪文を送信し、6月6日には、プロバイダー各社に本件ファイルの情報送信防止措置を求め、翌15年2月までに複数プロバイダーに対し発信者情報開示請求訴訟および仮処分申立てをするなどの措置を取り、ウェブサイト上に情報が公開されるという事態は回避したものの、情報は広くネット上に流通した。

 Xらには、事故後、流出した情報をもとにしたとみられる迷惑メールやダイレクトメールが届くようになった。その後も、平成15年8月頃において、ネットに「大手エステサロン女性会員名簿販売」と書き込まれたり、平成16年4月頃でもファイル交換ソフトで情報入手が可能であった。

 このため、Xらは、不法行為に基づく損害賠償を求めて提訴した。



理由

(1)本件情報はプライバシーに該当するか
 個人情報の不当な収集や漏えい等の危険が高まり、個人情報保護の強化が求められる中で、住所や氏名等がみだりに開示されないことに対する期待は一定限度で保護されるべきであり、Xらがエステティックサービスに関心を有し、Yに個人情報を提供したことは、純粋に私生活上の領域に属する事柄で、一般に知られていない事柄でもあるうえ、社会一般の人々の感受性に照らし、他人に知られたくないと考えることは自然のことで、これら情報全体がプライバシーに当たる。XらはYに対し、氏名、職業、年齢、性別、電話番号およびメールアドレス等の個人の情報および回答内容等を送信した際には、それらの情報は適切に管理され、Yの業務に必要な範囲でのみ利用され、それ以外の目的でY以外の者に利用されることは想定していなかったことは明らかであるから、本件情報がXらの想定を超えて、本件ウェブサイトからインターネット上に流出したことは、Xらのプライバシーを侵害するものといえる。

(2)本件情報流出事故に関するYの法的責任の有無
 OECDのガイドライン、「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」は、直ちに不法行為における注意義務を構成するものではないが、そこで要請されている個人情報保護の必要性にかんがみると、本件情報流出事故が発生した平成14年頃においても、個人情報を取り扱う企業に対しては、その事業内容等に応じて、個人情報保護のために安全対策を講ずる法的義務が課せられていたというべきである。(ファイルのアクセス権限を設定しなかったAの過失を認め、民法709条責任を負うことを前提に)本件ウェブサイトの管理は、ウェブサイトサーバーの移設を含め、Yの業務の執行に該当する。本件ホームページ制作・保守契約の実行に当たっては、AにCGIプログラム作成やサーバー内部の仕様の検証等の専門的技術的知識を要する業務が任されていたものの、ウェブサイトにおける具体的内容の決定権限や最終的な動作確認の権限はYにあり、Yは本件ウェブサイトの管理を主体的に行い、Aに委託したコンテンツの内容の更新、修正作業等についても実質的に指揮、監督していた。YはA・Y間契約を請負契約として、民法716条の適用を主張するが、仕事の完成を目的としないうえ、実態をみても委託された業務に独立した判断や広い裁量はなかったとして、裁判所はこれを否定した。

 以上により、裁判所は、Xに生じた損害として、民法715条の使用者責任を肯定し、Yに対して、慰謝料として一人当たり3万円、弁護士費用として一人5000円を認定した。



解説

 個人情報流出事件については、個人情報をめぐる社会情勢の変化を受け、個人情報保護法施行前から賠償請求が認められる傾向にあるが、額としては慰謝料5000円〜1万円程度と低額であった。その中で本件は慰謝料3万円と他の判決と比較するとやや高額である(ただし請求は1人100万円だった。携帯電話の解約手数料、治療費等は因果関係を認めず)。その理由として、

  1. 1.エステティックに対する関心という秘匿の必要性が高い情報であった
  2. 2.技術的には初歩的過誤による過失に端を発し、結果として情報がインターネット上に流出し、性的興味の対象にされたり、興味本位の書き込みがされたり、ファイル交換ソフトによって検索可能な情報として広範囲に流布し、Yがプロバイダーに対する協力依頼や発信者情報開示請求訴訟提起をしても完全回収が困難な状況を生じた
  3. 3.自己の個人情報が社会に広く流布し悪用されるのではないかとの精神的不安だけでなく、現実の二次流出・二次被害の発生(Xらはダイレクトメールや迷惑メール、いたずら電話などの被害を受けている。全国各地に居住し共通要素が他にないXらが、流布したメールアドレスに同種のダイレクトメールを相当数受信したことから、本件情報流出事故から情報を取得した者によって送付されたものと推認されている)により不安が現実化し、いっそう大きな精神的苦痛を受けたとされたこと

が影響していると思われる。二次流出・被害の立証がなく、かつ情報流出事故に際しYから3000円の支払いを受けた者の慰謝料額は1万7000円とされている。

 本件は、個人情報保護法施行前の事案であるが、判決はOECDやEUのガイドラインを国際情勢として挙げ、わが国の「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」(告示第98号)が、個人情報への不正なアクセスや個人情報の紛失、改ざん、漏えい等の危険に対し、技術面および組織面において合理的な安全対策を講ずることを求めていることを指摘し、これが直ちに民法の不法行為における注意義務を構成するものではないとしつつも、そこで要請される個人情報保護の必要性にかんがみて、個人情報保護のために安全対策を講ずる法的義務があったことを認定している。現在は個人情報保護法20条により、個人情報取扱事業者は個人データの漏えい、滅失、棄損防止等の安全管理のために適切な措置を取ることが義務づけられ、従業者、委託先への監督も義務となっている(同21、22条)。



参考判例

  1. 1.東京高裁平成19年8月28日判決、『判例タイムズ』1264号299ページ(本件控訴審、慰謝料3万円)

以下は、いずれも個人情報保護法施行前の事例。

  1. 2.大手プロバイダー個人情報流出事件
    大阪地裁平成18年5月19日判決、『判例時報』1948号122ページ、『判例タイムズ』1230号227ページ(慰謝料5000円・弁護士費用1000円認容)
  2. 3.宇治市事件(住民基本台帳データの流出)
    大阪高裁平成13年12月25日判決、『判例地方自治』265号11ページ(慰謝料1万円・弁護士費用5000円)
  3. 4.早稲田大学江沢民主席講演会名簿提出事件(講演会参加者名簿の無断警察提出)
    最高裁平成15年9月12日判決、『民集』(最高裁判所民事判例集)57巻8号973ページ、『判例タイムズ』1134号98ページ、『判例時報』1837号3ページ、差戻控訴審東京高裁平成16年3月23日判決、『判例時報』1855号104ページ(慰謝料5000円)


消費者問題の判例集トップページへ

ページトップへ