前々回 前回 と,2006年5月20日に改正された個人情報保護規格(JIS Q 15001:2006)及びこれに準拠したプライバシーマークの動向について取り上げた。

 財団法人日本情報処理開発協会プライバシーマーク事務局のホームページでは,「「個人情報保護法に関する取組み状況の実態調査」の報告書 」を公開している。経済産業省の委託調査で,同省が所管する経済産業分野の事業者が対象だ(調査回答企業の52.1%は従業者数50人未満の中小企業である)。個人情報の安全管理対策については,54.4%の企業が「人的な安全管理対策」を重要事項として挙げる一方,プライバシーマークの認定については,「受けていない」,「必要は感じているが具体的な検討はしていない」という企業が74.9%を占めている。

 この報告書を読む限り,個人情報に対する「認識不足」と「過剰反応」が混在する状況はまだまだ続きそうだ。


納得しない会員らに責任を追及された「Yahoo! BB」

 さて今回は,5月19日に大阪地方裁判所から賠償命令が出された,「Yahoo! BB」の顧客情報流出事件について考えてみたい。事件が発覚したのは個人情報保護法施行前の2004年2月。インターネット接続サービスYahoo! BBを運営するソフトバンクBB(現在の運営会社はBBテクノロジー)の元内部関係者が,業務従事者のアカウント管理の漏れを突いて,外部からリモートアクセス・サーバー経由で顧客データベースにアクセスし,約1100万件に上る会員の個人情報流出を招く事態となった(「施行開始!個人情報保護法(10):事例に見る個人情報データベースの落とし穴 」参照)。

 個人情報を入手して親会社のソフトバンクから現金を脅し取ろうとした実行犯は逮捕され,恐喝未遂罪などで有罪判決を受けている。ソフトバンクBBは,Yahoo! BB全会員に金券500円を配り謝罪したことで話題になった。しかし,それだけでは納得しない会員が現にいたのである。

 5月19日,大阪地方裁判所において,この事件の個人情報漏えいで精神的苦痛を受けたとして,Yahoo! BB会員ら5人が,運営会社のBBテクノロジーとヤフーに,慰謝料など1人当たり10万円の損害賠償を求めた民事訴訟の判決があった。判決では,BBテクノロジーに対して,1人につき6000円(慰謝料5000円,弁護士費用1000円)の支払いが命じられた(ヤフーに対する請求は棄却)。

 過去の判例では,宇治市住民基本台帳データ大量漏えい事件で,外部委託先に対する宇治市の管理責任が十分でなかったとして,1人につき1万5000円(慰謝料1万円,弁護士費用5000円)の損害賠償を認めたものがある。Yahoo!BBの場合,全会員に金券500円を配って謝罪したこともあって,それより安い1人につき6000円と算定されたのかも知れない。だが,仮に被害に遭った会員全員から賠償請求があったとしたら,膨大な金額になる。個々の会員に接触するだけでも,大変な労力,時間,コストを費やさなければならない。民事上の責任については,謝るだけでは解決できないケースがあることを忘れてはならない。


基本ルールの整備は,インターネット社会の変化に追いつけるか

 判決で大阪地裁は,BBテクノロジーが電気通信事業者として個人情報の漏えいや不正アクセスを防止する注意義務に違反した点を挙げている。2005年4月の個人情報保護法施行で,「個人情報取扱事業者」に該当する企業が,安全管理措置,従業者・委託先の監督などの義務を負う点は明確になったが,具体的にどのようなケースが注意義務違反に当たるかの判断は,個々の裁判官に委ねられている。

 「個人情報漏えい事件を斬る(36):ヤフー事件で注目される業界別ガイドラインの食い違い 」で触れたように,具体的な対策については,業界によってガイドラインの要求レベルがまちまちだ。法律は一つでも,業界や企業によって順守レベルの差が存在する中,司法機関はどう判断していくのだろうか。

 民事裁判では,BBテクノロジーとヤフーの両運営会社が訴えられたが,ヤフーについては,顧客情報を別管理しており流出の事実も認められないことから,請求が棄却された。現在BBテクノロジーが制定している「個人情報保護のための行動指針 」を見ると,同社以外の個人情報の共同利用者として,「ソフトバンクBB株式会社」,「ソフトバンクBB株式会社のグループ会社」,「日本テレコム株式会社」,「日本テレコム株式会社のグループ会社」が挙げられているが,2004年当時の共同運営者だったヤフーの社名はない。

 このように,個人情報漏えい事件が発覚した2004年2月から民事裁判の第一審判決が出た2006年5月までの間に,Yahoo! BBやソフトバンクグループを取り巻く環境は激変している。「事後チェック型」ルールの場合,監視・救済する行政機関や司法機関の対応が遅すぎると,無意味になる。最先端の情報通信技術(ICT)の普及促進だけでなく,インターネット社会の変化に追いつけるような基本ルールの整備が必要ではなかろうか。

 次回は,最近のインターネット業界の個人情報漏えい事件について考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/