個人情報が外部に漏えいしてプライバシーが侵害された場合に、当該被漏えい者が精神的損害を慰謝するに相当な額として、1000円が認定された事例(上告・上告受理申立中)
【事案の概要】
(1)控訴人は、被控訴人の講座を受講したことがある未成年者・Aの保護者(父親)である。
被控訴人は、通信教育、模擬試験の実施等を行う株式会社であり、通信教育講座「○○」などを展開し、その顧客の個人情報(個人情報保護法2条1項1号)として、子供の氏名、保護者名などを、個人情報データベース(同法2条4号)として事業の用に供している個人情報取扱事業者(同法2条5項)である。
株式会社Dは、被控訴人のいわゆるグループ会社で、被控訴人から委託を受けてシステム開発及び運用をする株式会社である。
(2)控訴人は、Aが被控訴人の講座を受講するに際し、Aの氏名、性別、生年月日、郵便番号、住所、電話番号、保護者名(控訴人の氏名)及び控訴人とAの続柄(以下では、A及び控訴人の個人情報を併せて「本件個人情報」という。)を被控訴人に提供し、被控訴人は、本件個人情報を事業活動で使用する目的で管理していた。
被控訴人は、平成24年4月頃、そのリスク管理や上記の個人情報データベースを基にそれを統合して分析に用いるためのシステム(以下「本件システム」という。)を開発することとし、本件システム開発等の業務をD社に委託した。
(3)Bは、同年1月にD社の業務委託先の会社の従業員(システムエンジニア)となり、同年4月頃から、同社従業員として、E事業所において、被控訴人の情報システムの開発等の業務に従事し、業務遂行の必要から、本件個人情報を含む被控訴人の受講者の個人情報の集まり及び開発中の本件システムのデータベース(以下、これらを併せて「本件データベース」という。)が記録された被控訴人のサーバコンピュータ(以下「本件サーバ」という。)にD社から貸与された業務用パーソナルコンピュータ(以下「業務用PC」という。)からアクセスするためのID及びパスワード等を付与されていた。
(4)Bは、平成26年6月17日及び同月27日に、E事務所内の執務室において、2度にわたり、業務用PCを操作して、被控訴人が管理する顧客情報が記録された本件サーバにアクセスし、合計約2989万件の受講者の個人情報のデータをダウンロードして業務用PCに保存した上で、これとUSBケーブルで接続した自己のスマートフォン(平成)24年12月頃に発売されたモデルで、OSは同年6月27日にリリースされた「Android4.1」を搭載しており、MTP(パーソナルコンピュータとスマートフォンなどの外部機器を接続する際の規格である、Media Transfer Protocolの略)に対応している。)の内蔵メモリ又はマイクロSDカードにこれを記録させて複製する方法により、上記顧客情報を領得した上で、名簿業者に送信して売却した(以下「本件漏えい」という。)。
Bが漏えいした顧客情報のうちには、本件個人情報が含まれていた。
被控訴人は、同年6月下旬頃、顧客から、被控訴人に登録した個人情報が漏えいしているのではないかとの問い合わせが急増したことから、調査を行い、Bが本件漏えいをしたことを特定した(注:その後に被控訴人が行った事後措置については、省略する。)。
(5)控訴人は、被控訴人において管理をしていた控訴人の個人情報を含む顧客情報らの個人情報を、被控訴人から委託を受けて本件システムの開発をしていたD社の委託先の従業員であるBが外部に漏えいさせたことから、精神的苦痛を被ったと主張して、被控訴人に対し、被控訴人には、D社の選任監督に係る注意義務違反があったなどとして、D社の個人情報の管理に注意義務違反があった(民法709条)等の不法行為との共同不法行為(同法719条1項前段)等に基づき、慰謝料10万円及びこれに対する遅延損害金の支払を求める訴えを提起した。
(6)本件差戻し前の1審は、被控訴人の管理する控訴人の氏名が漏えいしたことのみを争いのない事実として認定した上で、これが被控訴人の過失によるものであることを基礎付けるに足りる具体的事情の主張立証がないとして、控訴人の請求を棄却した。
これに対し、控訴人が控訴したところ、差戻し前の控訴審は、本件個人情報が漏えいしたことを認定した上で、これをもって、控訴人自身の個人情報が漏えいしたものということができるとしたうえで、上記の控訴人の個人情報の漏えいは、通常人の一般的な感覚に照らして、不快感のみならず、不安を抱くことがあるものであると認めながら、そのような不快感等を抱いただけでは、これを被侵害利益として、直ちに損害賠償を求めることはできないものと解されるとして、上記の不快感等を超える損害を被ったことについての主張立証がないことを理由に控訴を棄却した。
控訴人が、これに対して上告受理を申し立てたところ、最高裁平成29年10月23日判決は、これを受理した上で、本件の事実関係の下では、本件漏えいによって被控訴人はそのプライバシーを侵害されたといえるところ、原審は、上記のプライバシーの侵害による控訴人の精神的損害の有無及び程度等について十分に審理することなく、不快感等を超える損害の発生の主張立証がされていないことのみから直ちに控訴人の請求を棄却すべきものとしたものであり、そのような原審の判断には、不法行為における損害に関する法令の解釈適用を誤った結果、上記の点について審理を尽くさなかった違法があるとして、原判決を破棄し、被控訴人の過失の有無並びに控訴人の精神的損害の有無及びその程度等について更に審理させるために本件を差し戻した。
【争点】
(1)本件漏えいについてのD社の過失の有無
(2)本件漏えいについての被控訴人の過失の有無
(3)略
(4)控訴人に生じた損害の有無及び数額
以下、上記(4)についての裁判所の判断の概要を示す。
なお、上記(1)及び(2)について、裁判所は、被控訴人及びD社は、それぞれ過失があったとして不法行為責任を負うものとし、かつ、これら不法行為は共同不法行為(民法719条1項前段)に当たるものと認めた。
【裁判所の判断】
(1)控訴人に生じた損害の有無及び数額
ア 本件個人情報は、控訴人のプライバシーに係る情報として法的保護の対象となるべきであるから(本件上告審判決及び最高裁平成15年9月12日判決)、本件漏えいによって、控訴人はそのプライバシー権を侵害されたと認められる。
そして、本件漏えいは、経済的に困窮したBが、本件個人情報を含む大量の個人情報を名簿業者に売却して金銭を得る目的で行ったものであるところ、個人情報が外部に漏えいしてプライバシーが侵害された場合に、当該被漏えい者が精神的損害を被ったか否か及び被った精神的損害を慰謝するに相当な額を検討するに当たっては、流出した個人情報の内容、流出した範囲、実害の有無、個人情報を管理していた者による対応措置の内容等、本件において顕れた事情を総合的に考慮して判断すべきである。
イ 本件で流出した個人情報の内容は、Aの氏名、性別、生年月日、郵便番号、住所、電話番号、保護者名(控訴人の氏名)及び控訴人とAの続柄であるところ、まず、Aの郵便番号、住所、電話番号は、Aが本件漏えい当時10歳に満たない未成年者であったことからすると、控訴人自身の郵便番号、住所、電話番号でもあると推認できること、また、Aの氏名、性別、生年月日は、控訴人の個人情報そのものではないとしても、控訴人の家族関係を表す情報といえることから、本件個人情報は、控訴人の氏名はもちろんのこと、その他の情報も控訴人の個人情報であると認められる。
次に、これらの個人のうち、控訴人の氏名、郵便番号、住所及び電話番号は、いずれも控訴人の個人識別情報と連絡先であり、自らが生活する領域においては、必要に応じて第三者に開示される性質の情報であって、こうした情報だけでは、個人の職業等の社会的地位、資産等の経済的な情報や思想信条等の情報と一体となっている情報と比べると、一般的に「自己が欲しない他者にはみだりに開示されたくない」私的領域の情報としての性質は低いといえる(実際に、控訴人の住所・氏名及び電話番号はホームページ上に開示されており、その住所及び氏名は不動産登記情報にも記載されている。)。
もっとも、こうした情報も、今日のように、情報ネットワークが多様化、高度化し、容易に入手可能なさまざまな情報を組み合わせることによって趣味嗜好や思想等まで把握されかねない危険性のあることが危惧されていることにも鑑みると、本件個人情報(ママ)は、個人特定の基本となるベース情報として機能し、それを基に情報集積がされかねないものとしては重要な価値を持つものと評価すべきである。
また、子の氏名、性別、生年月日及び控訴人との続柄については、これらも日常的に開示されることが多いものであるとはいえ、家族関係が一定程度明らかになる情報や教育に関心が高いという属性が含まれており、前者に比してより私的領域性の高い情報ということができる。
ウ 控訴人においても、現時点では、個人情報を利用した詐欺などの具体的な金銭被害は生じていないとし、ダイレクトメールや勧誘の電話が増大することは顕著な事実であると主張するだけで、現実にそれが増えたという主張はなく、したがって、ダイレクトメールが増大するなどして、控訴人に何らかの実害が生じたことはうかがわれない。
しかし、その流出範囲については、本件漏えいにより、二次的拡散も発生しており500件を超える名簿業者等に情報が漏えいしたとの発表があり、控訴人においてもそれを確認する術がない状況にあって、流出した情報の全てを回収して抹消させることは不可能な状況となっているといわざるを得ない。控訴人にとって、その流出した先の外縁が不明であることは控訴人の不安を増幅させるものであって、このような事態は、一般人の感受性を基準としても、その私生活上の平穏を害する態様の侵害行為であるというべきである。
この点、被控訴人は、本件漏えいでは、本件個人情報が流出しただけであって、抽象的な不安感にとどまるから、損害賠償請求の対象となり得る損害に該当しないなどと主張する。
しかし、具体的に名簿利用による勧誘や電話により日常生活に支障を及ぼすなどの損害が発生したときには、それが本件漏えいと相当因果関係のある損害であることを立証して損害賠償請求できることはもちろん、これに至らない場合であっても、本件個人情報を利用する他人の範囲を控訴人が自らコントロールできない事態が生じていること自体が具体的な損害であり、控訴人において予め本件個人情報が名簿業者に転々流通することを許容もしていないのであるから、上記のような現状にあること自体をもって損害と認められるべきである。
エ 他方、被控訴人の持株会社であるC社は、本件漏えいの発覚後直ちに対応を開始し、情報漏えいの被害拡大を防止する手段を講じ、監督官庁に対する報告及び指示に基づく調査報告を行い、情報が漏えいしたと思われる顧客に対しお詫びの文書を送付するとともに、顧客の選択に応じ500円相当の金券を配布するなどしていたことが認められる。
オ そうすると、控訴人のプライバシーの侵害態様、侵害された本件個人情報の内容及び性質、流出した範囲、実害の有無、個人情報を管理していた者による対応措置のほか、本件個人情報が控訴人の子であるAの個人情報として被控訴人に対して提供されたもので、控訴人の住所・氏名・電話番号はホームページなどで開示されていたことなど、本件に顕れた一切の事情を考慮すれば、控訴人の被った精神的損害を慰謝するには1000円を支払うべきと認めるのが相当である。
(2)結論
以上によれば、控訴人の請求は、1000円の支払を求める限度で理由がある(変更・一部認容)。
