前回に引き続き東京ビューティーセンター(TBC)で発生した個人情報の漏えい事件判決を取り上げます。今回のテーマは,裁判所が認定した注意義務違反とTBCの使用者責任です。
本漏えい事件において,実際にサーバーを管理していたのは委託先の会社でした。このため責任を追及する方法には,TBCを運営していたコミー(注1)自体の不法行為責任(民法709条)とコミーの委託先会社に対する使用者責任(民法715条(注2))の二つがあり,原告はその二つの責任を選択的に請求しています。そして,裁判所は使用者責任についてのみ検討しています(注3)。
地裁判決では,EU指令(注4),「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」(平成9年3月4日,通商産業省告示98号)を参考に,注意義務を導いています(事件発生当時,個人情報保護法は未成立)。
もとより,EU指令や個人情報の保護に関するガイドラインは,「関係業界団体や各企業等が自主的ルールを作成する際に指針とすることを求めるもの」であって,直接の法的義務を課すものではありません。それでも地裁は「これらのガイドラインは,直ちに不法行為における注意義務を構成するものではないが,そこで要請されている個人情報保護の必要性にかんがみると,本件情報流出事故が発生した平成14年ころにおいても,個人情報を取り扱う企業に対しては,その事業内容等に応じて,個人情報保護のために安全対策を講ずる法的義務が課せられていた」と判断しています。
そして,TBCの委託先会社がインターネットおよびイントラネット・システム構築,Webホスティング・サービス等を事業の目的とする企業であることから,サーバー内の非公開領域に個人情報の含まれたファイルを置く,あるいはアクセス権限の設定かパスワード設定の方法によって安全対策を講ずる注意義務があったと判断しています。
なお,注意義務の程度に関しては細かい認定なしに,委託先会社の過失及び不法行為責任を認定しています。
結論的には当たり前ですが,各種のガイドラインを参照して注意義務を認定しているところは,今後の判決にも影響があると思われます。もちろん,現在では個人情報保護法が施行されており,同法20条で法的な義務が課せられているので,一般的な注意義務の内容は法的な根拠があります(注5)。それでも,より具体的な注意義務の程度が問題となった場合には,ガイドラインや各種の規格を参照して注意義務の程度が確定される可能性を考えておく必要があるでしょう。
指揮・監督していなければ不法行為責任が発生
次にTBC側に民法715条の使用者責任が認められるためには,委託先会社に対する実質的な指揮・監督関係が必要となります。
地裁,高裁段階とも判決は,専門的技術的知識を要する業務は任されていたものの,Webサイトの具体的な内容の決定権限や,本件Webサイトの最終的な動作確認の権限はTBC側にある等の事情から,「TBC側が委託先会社を実質的に指揮,監督していた」と認定しています。
TBC側は,地裁,高裁段階ともTBC側には専門的技術的な知識がない,サーバー内部の仕様の検証等を任せていたので,実質的に指揮命令監督する地位にはなかったと主張しました。しかし,この点については,地裁,高裁判決ともその主張には理由がないとして採用していません。
高裁の控訴審判決は,以下のような理由でTBC側が実質的に指揮,監督していたと再度認定しています。
| 本件ウェブサイトのコンテンツの具体的な内容を自ら決定し,その決定に従いネオナジー(編注:委託先会社)が行ったコンテンツ内容の更新や修正について,セキュリティ等を含めてその動作を自ら確認していたものであり,また,ネオナジーから随時運用に関する報告を受け,障害や不具合が発生したときはネオナジーと原因や対応等について協議していたことが認められる |
この認定理由からすると,セキュリティに関する動作を自ら確認し,随時報告を受けるなど情報の交換をしていれば,指揮,監督関係が認められるということになります。実質的な指揮,監督とはいえ,それほど深い関係がなくとも,責任が認められることになりそうです。
なお本事件および本判決とは関係ないのですが,委託先会社を全く指揮,監督していない場合もあるでしょう。その場合,使用者責任は否定されるかもしれませんが,委託先を全く監督していないとの理由で709条の不法行為責任(委託元会社の直接の注意義務違反)が認められることになるでしょう。さらに,個人情報保護法22条の委託先の監督義務にも違反することになりますから,個人情報保護法上の義務違反を媒介として民法上の注意義務違反も生じると考えられます。
さらに,使用者責任が成立するための要件としては,使用者(委託者側)に「選任監督に過失がない」ことも要求されています。判例実務上,選任監督に過失がないと認定されることはあまりありません。
結論的には,地裁判決も高裁判決もTBC側に使用者責任があると判断しています。あとは,原告らにどれだけの損害が生じたといえるかが損害論に関する問題となります。損害論については,次回検討します。
(注1)事件当時の社名はコミー株式会社,平成18年8月23日にTBCグループ株式会社に商号変更
(注2)民法715条1項は次のような条文です。「ある事業のために他人を使用する者は,被用者がその事業の執行について第三者に加えた損害を賠償する責任を負う。ただし,使用者が被用者の選任及びその事業の監督について相当の注意をしたとき,又は相当の注意をしても損害が生ずべきであったときは,この限りでない」
(注3)選択的な請求なのでどちらかで認められれば,他の請求は判断する必要がなくなります。本判決では使用者責任が認められたので,そちらだけ判断したということです
(注4)平成7年10月「個人データ処理に係る個人情報の保護及びと以外データの自由な移動に関する欧州会議及び理事会の指令」
(注5)厳密には個人情報保護法の義務違反が即民法上の不法行為上の注意義務違反となるわけではありませんが,この判決の考え方からすれば,ほぼイコールと考えておいて問題ないでしょう
→「知っておきたいIT法律入門」の記事一覧へ |
■北岡 弘章 (きたおか ひろあき)【略歴】 弁護士・弁理士。同志社大学法学部卒業,1997年弁護士登録,2004年弁理士登録。大阪弁護士会所属。企業法務,特にIT・知的財産権といった情報法に関連する業務を行う。最近では個人情報保護,プライバシーマーク取得のためのコンサルティング,営業秘密管理に関連する相談業務や,産学連携,技術系ベンチャーの支援も行っている。 2001~2002年,堺市情報システムセキュリティ懇話会委員,2006年より大阪デジタルコンテンツビジネス創出協議会アドバイザー,情報ネットワーク法学会情報法研究部会「個人情報保護法研究会」所属。 【著書】 「漏洩事件Q&Aに学ぶ 個人情報保護と対策 改訂版」(日経BP社),「人事部のための個人情報保護法」共著(労務行政研究所),「SEのための法律入門」(日経BP社)など。 【ホームページ】 事務所のホームページ(http://www.i-law.jp/)の他に,ブログの「情報法考現学」(http://blog.i-law.jp/)も執筆中。 |
