SMBが抱える情報セキュリティの法的リスク（4）
不正確な個人情報には損賠賠償のおそれも

ITpro

2006.04.07

　情報セキュリティの法的リスク問題として，前々回 は個人情報，前回は営業秘密を取り上げました。ここまで，基本的には情報セキュリティのうち機密性確保の問題に焦点を当ててきましたが，情報セキュリティには機密性だけでなく，正確性や可用性の問題もあります。今回は，情報の正確性について焦点を当ててみたいと思います。

個人情報保護法では正確性確保は努力義務

　まず個人情報について，正確性の問題を考えてみましょう。個人情報保護法では正確性について，19条（データ内容の正確性の確保）で，「個人情報取扱事業者は，利用目的の達成に必要な範囲内において，個人データを正確かつ最新の内容に保つよう努めなければならない。」と定めています（なお，個人情報取扱事業者に該当しない小規模事業者については，個人情報保護法自体が適用されません）。

　この条文のポイントの1つめは，「利用目的の達成に必要な範囲内において」という限定が付されていることです。つまり，事業上使用するすべてのデータを最新状態に保つことは要求されていません。

　ポイントの2つめは，「努めなければならない」と定められているところで，努力義務規定であるということです。努力義務規定ということは，個人データが正確・最新でなかったとしても，個人情報保護法で定められている，勧告，命令（個人情報保護法34条）といった，行政指導・処分の対象とはならないことを意味します。特にデータの正確性については，ミスはつきものであり，対象となる個人データも多様であることから，行政指導・処分の対象外としているのです。

　ただし個人情報保護法上はともかく，個人情報を不正確な状態にしておくと民法上の債務不履行，不法行為で損害賠償を請求されるおそれがあります。以下，3つの事例を列記します。

事例1：延滞情報誤登録

クレジット契約の利用者の情報が，信販会社従業員のミスから，延滞などしていないにもかかわらず，延滞後完済したとの誤情報が信用情報機関に登録され，その登録情報に基づいて，クレジット利用者が申し込みを拒絶されたという事件。信販会社に対する損害賠償が認められた（賠償額11万円）。注1）

事例2：破産情報誤登録

破産宣告の事実がないにもかかわらず，破産したとの事実が登録された会社代表者が，会社のリース契約・ローン契約を拒絶されたという事件。信用情報センターに対する損害買収が認められた（賠償額220万円）。注2）

事例3：登録拒否情報の誤登録

電話の加入者がNTTに対し電話帳に氏名，電話番号，住所を掲載しないよう求めたにもかかわらず，掲載されてしまったという事件。NTTに対する損害賠償が認められた（賠償額10万円）。注3）

　このように，賠償金額にはばらつきがありますが，個人情報に誤りがあったり，誤登録があったような場合には，損害賠償請求が認められる場合があることに注意が必要です。損害賠償が認められやすいものとしては，事例1，2のような信用情報があり得ます。これ以外にも，広範に個人情報を提供しているような場合には，損害賠償が認められやすくなると言えるでしょう。

誤りの指摘を放置していた場合も注意が必要

　このほか，正確性が強く求められない場合でも，本人から誤っていると指摘されたにもかかわらず，放置していたような場合にも注意が必要です。このような誤情報の放置で損害賠償が認められた事案もあります。

事例4：誤登録情報の抹消ミス

大手消費者金融会社（被告）が，同社の債務者の氏名と同音で漢字１字違いという類似の氏名である者（原告）に対して，債務者と間違えて支払いの催促を行ったため，原告と被告の間で原告の個人情報を抹消し，今後催促をしない旨の約束がなされたにもかかわらず，原告の個人情報が抹消されていなかったため，再度被告から債務者と間違われて催促されたという事件。消費者金融会社に対する損害賠償が認められた（賠償額11万円）。注4）

　個人情報の不正確さは，ある程度はやむを得ないものがあります。しかし，日常業務の中で入力ミス等を防ぐとともに，間違いの指摘があったときには，すみやかに対応できるような仕組み，体制作りが必要です。

　簡単なようですが，データベースが一元化されておらず，分散しているような場合には，一部のデータを訂正しただけでは，不正確な情報が残る可能性があります。会社全体でどのようにデータの正確性を確保するのか，会社の実態に応じた体制作りが必要になります。

注1）大阪地裁平成2年7月23日判決
注2）大阪地裁平成2年5月21日判決
注3）東京地裁平成10年1月21日判決
注4）京都地裁平成15年10月3日判決

→「SMBのための法律入門」の記事一覧へ

■北岡　弘章 (きたおかひろあき)

【略歴】
　弁護士・弁理士。同志社大学法学部卒業，1997年弁護士登録，2004年弁理士登録。大阪弁護士会所属。企業法務，特にIT・知的財産権といった情報法に関連する業務を行う。最近では個人情報保護，プライバシーマーク取得のためのコンサルティング，営業秘密管理に関連する相談業務や，産学連携，技術系ベンチャーの支援も行っている。
　2001～2002年，堺市情報システムセキュリティ懇話会委員，2002年から現在まで，発明協会産学連携経営等支援事業に係る専門家，情報ネットワーク法学会情報法研究部会「個人情報保護法研究会」所属。

【著書】
　「漏洩事件Ｑ＆Ａに学ぶ　個人情報保護と対策　改訂版」（日経BP社），「人事部のための個人情報保護法」共著（労務行政研究所），「SEのための法律入門」（日経BP社）など。

【ホームページ】
　事務所のホームページ（http://www.i-law.jp/）の他に，ブログの「情報法考現学」（http://kitaoka-lawoffice.cocolog-nifty.com/）も執筆中。