近江法律事務所トップ > 中小企業の法律相談 > 業務委託先からの情報流出と賠償責任

業務委託先からの情報流出と賠償責任

業務委託先からの情報流出と賠償責任

はじめに

A社がもっている顧客情報をデータベース化するためにB社に業務を委託したところ、顧客情報が漏出してしまった。この場合、A社は顧客に対し賠償責任を負うでしょうか。

昨年4月から施行された個人情報保護法は、「個人情報取扱事業者は、個人データの取扱いの全部または一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行なわなければならない」と定めています(同法22条)。

具体的にいかなる場合にどの程度の賠償責任を負うのかについて、考えてみましょう。

業務委託先からの情報流出と賠償責任

宇治市住民票データ流出事件

参考となる事案があります。

<ケース>

A市は、住民基本台帳のデータを使用して乳幼児の検診システムを開発することを企画し、開発業務をB社に委託しました。業務委託契約書では、データの複写・複製の禁止、市長の書面による承諾がある場合を除き再委託は禁止することがうたわれていました。ところが、すでにC社がシステム開発を手がけていたところから、B社はA市の承諾を得てC社に再委託しました。

さて、C社は、A市に知られぬようにさらにD社に業務全体を再委託しました。A市との打ち合わせはD社の代表者とその社員Eが行ないましたが、C社の名刺を使いC社の社員であることを装っていたのです。そして、Eとアルバイトの大学院生TがA市庁舎に出向き開発業務を行なっていきました。

EとTの両名は、市庁舎内で作業を行なっていましたが、作業が遅れたため、データを持ち帰って作業を進めたいと市の担当職員に了解を求め、職員の承諾を得た上、データをコピーして持ち帰り、D社の社内で作業をするようになりました。しかし、あろうことか、Tは、D社内でデータを自己のコンピュータにコピーし、これをMO(光磁気ディスク)にコピーしたうえ、名簿業者F社に25万8000円で売却したのです。

F社に流出したデータは、住民記録18万5800件、外国人登録関係3297件、法人関係の2万8520件、合計21万7617件。F社はさらに、この情報を結婚相談事業者に21万7608件、婚礼衣装業者に1324件、別の名簿業者G社を通じ251件のデータを販売しました。

新聞報道により情報流出を知ったA市は、直ちに関係者に連絡をとり、F社、結婚相談業者、婚姻衣装業者に対しデータを消却してもらい、MO等のデータを回収しました。しかし、G社とは連絡がとれませんでした。A市は、市政だよりなどで以上の事実を市民に説明の上、謝罪し、再発防止策を講じるとともに、Tを刑事告発しました。

以上の事実に関し、A市の住民Xら3名は、本件情報に含まれる個人情報が第三者に販売され、またホームページ上で誰でも購入することが出来る状況におかれたことによってプライバシー権が侵害されたとして、A市に対し、損害賠償請求訴訟を起こしました。 A市は損賠賠償責任を負うでしょうか。

結果は、第1審の裁判所(大阪地裁)も第2審の裁判所(大阪高裁)もA市の損害賠償義務を認めました。

どのような点が問題となるか

  1. まず、住民基本台帳のデータは、当時何人も閲覧できる情報であり(平成10年法改正前)、Xらの氏名住所は電話帳にも記載されている。したがって、漏洩された情報はプライバシーではない、といえないでしょうか。  そこで法的に保護されるプライバシー権とは何かが問題となりますが、【1】私生活上の情報に関すること、【2】一般人の感受性を基準にして公開を欲しないであろうこと、【3】一般の人々にいまだ知られていないことがらであること、の3要件が必要だと解されています。本件データはXらの氏名、年齢、性別、住所、世帯主、家族構成まで整理されており、この3要件は充たされると裁判所は判断しました。
  2. 次に、本件において、一定期間インターネット上でデータの購入を勧誘するという広告が掲載されたにとどまり、Xらの住民票データそのものがインターネットに掲載されたものではなく、不特定多数の者がこれを直ちに閲覧できる状態になったわけではありませんでした。この場合でもプライバシー権の「侵害」はある、といえるのでしょうか。  裁判所は、侵害あり、と認めました。つまり、確かに被害は間接的なものであるが、Xらのデータはプライバシーそのもので法的に守られるべきものである以上、A市によって適正に管理されるべきであり、その管理下から流出し名簿業者に販売され、販売の広告がインターネット上に掲載されたこと、また完全に業者から回収されたとはいえないことから、侵害はあると判断したのです。
  3. では、A市は、C社からD社への再々委託は承認していないし、知らなかった、張本人たるTとA市の間には指揮監督関係はないから、責任はない、という反論はどうでしょうか。  しかし、市の職員は、Tらと庁舎内で打ち合わせもし、資料持ち出しに承諾を与えたという事実がある以上、指揮監督関係はなかったとはいえないでしょう。事実、裁判所も、A市とTとの間には実質的な指揮監督関係があったことを認め、市が選任監督について注意を怠ったものとしました。
  4. こうして、A市の賠償責任を認めましたが、損害金額は1人につき1万5000円(内5000円は弁護士費用)としました。

教訓

委託先との間で契約書上、再委託禁止の条項があるにもかかわらず、委託先が勝手に再委託をしていたとしても、委託者に賠償責任が認められる場合があるということは心得ておく必要があります。

賠償金額は本件で原告ひとりあたり1万5000円であったというのも参考となります。

早稲田大学が主催者となって江沢民中華人民共和国国家主席を講演会に招いた際、警視庁から警備のため参加者名簿の提出を求められた際、講演会の警備を警察にゆだねるべく、これに応じたことについて、最高裁は参加申込み者のプライバシーを害するものとして賠償責任を認めました。なお、この場合の損害金も5000円ないし1万円とされました。

また、ヤフーBBの加入者情報451万件の情報が漏洩したという事件がありましたが、このときソフトバンクはひとり当たり500円の金券を配りました。