• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

個人情報漏えい事件を斬る

〔78〕過去最高の賠償金となったTBCの情報流出

ITpro 2007/02/19 ITpro

 前回は,二次被害や類似事案が急増するフィッシング行為について,標的とされるサイト運営事業者側の啓蒙活動や内部統制を取り上げた。ヤフーは2007年2月7日,ユーザーのYahoo! JAPAN IDで,Yahoo! JAPANにログインを試みた日時やサービス名等を表示する「ログイン履歴」機能の提供を開始している(「「ログイン履歴」提供開始のお知らせ」参照)。ログインを試みた履歴が,成功,失敗に関わらず残り,第三者による不正な操作がないかを確認できる仕組みだ。ただし,ログインした日時や機器のIPアドレスも表示されるので,それはそれで慎重な情報管理が必要となる。いたちごっこはまだまだ続きそうだ。

個人情報流出で1人当たり3万5000円の賠償命令

 さて今回は,2007年2月8日に東京地方裁判所から賠償命令が出された,東京ビューティーセンター(TBC)の顧客情報流出事件について考えてみたい。

 事件が発覚したのは個人情報保護法施行前の2002年5月26日,インターネット上の電子掲示板を通じて,TBCのWebサイトで実施したアンケートのデータや,資料請求のために入力されたデータなど,およそ5万人分のデータが外部から閲覧できる状態になっていたことが明らかになった。

 TBCは当初,外部委託先のレンタル・サーバーを利用してWebサイトを公開していた。だが,年々アクセス数が増加し,サーバーの容量が不十分になったため,2002年3月末から4月上旬にかけてTBC専用サーバーへの移設作業を行った。その際,委託先企業がサイト上で実施したアンケートのデータや資料請求者が入力したデータなど,約5万人分の個人情報を含む電子ファイルをWebサーバーの公開領域に置きながら,アクセス制限の設定をしなかったために,外部から閲覧できる状態となったのである。

 2002年5月26日中にこれらの電子ファイルはサーバー上から削除されたが,その後,流出データが悪用されて,迷惑メールが送られてくるといった二次被害が確認された。さらに,ファイル交換ソフトを利用すれば,誰でもインターネット上で入手可能な状態が続いたのである。

 個人情報流出によりプライバシーを侵害されたとして被害者14人が1人当たり115万円の損害賠償を求めた民事裁判で,東京地方裁判所はTBCの運営会社であるコミー(現在はTBCグループ)に対して,原告13名に1人当たり3万5000円(慰謝料3万円,弁護士費用5000円),1名に2万2000円(慰謝料1万7000円,弁護士費用5000円)の賠償金を支払うように命じた。 個人情報流出の原因は外部委託先の初歩的なミスだったが,裁判では委託元企業の損害賠償責任が明確に認定されたのである。

個人情報の分割保存で法務リスクを下げる

 過去の判例では,宇治市住民基本台帳データ大量漏えい事件で,外部委託先に対する宇治市の管理責任が十分でなかったとして,1人当たり1万5000円(慰謝料1万円,弁護士費用5000円)の損害賠償を認めたものがある。また,第44回で取り上げた「Yahoo! BB」の顧客情報流出事件では2006年5月19日,大阪地方裁判所が,運営会社のBBテクノロジーに対して,1人当たり6000円(慰謝料5000円,弁護士費用1000円)の支払いを命じる判決を出している。

 今回のTBCの事件では,個人情報流出をめぐる訴訟で過去最高額の賠償額とみられる金額が提示された。その背景には,流出した個人情報の中身の問題がある。氏名,住所,電話番号,メールアドレスといった基本情報に加えて,関心を持ったエステのコース名,アンケートの回答など,他人に知られたくない事柄が含まれていたのだ。裁判所は,これら漏えい情報の中身に関して「本件情報は,保健医療そのものに該当するものではないが,住所,氏名等の基本的な識別情報のみの場合と比較して,一般人の感受性を基準にしても,秘匿されるべき必要性が高いことは否定できない」と述べている。基本情報以外に私生活上の領域に属する情報が含まれていればいるほど,個人情報流出を起こした個人情報取扱事業者の負うべき責任も大きいと判断される可能性があるのだ。

 同じ内容の個人情報でも,1つのファイルに全て保存する場合と,基本情報とそれ以外の情報のファイルに分割して保存する場合では,法務上のリスクが異なることになる。そして一番危険なのは,ファイルの中に何の情報が入っているのかわからない状態で保存し続けることだ。無駄な労力と時間を費やさないためにも,日頃からファイルを整理することが必要である。

 次回は,医療をめぐる個人情報流出事件を取り上げてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る