前回は,個人情報取扱事業者が負担する義務等について解説しました。今回はTBC事件(東京地裁平成19年2月8日判決)およびYahooBB事件(大阪地裁平成18年5月19日判決)を参考に,個人情報取扱事業者がどのような態様で,義務に違反してしまうのかという点について検討してみます。
注意義務の発生根拠
前回は,注意義務の発生根拠として,個人情報保護法第20条(安全管理措置義務),同法第21条(従業者の監督義務),同法22条(委託先の監督義務)を紹介しました。現在では,これらの条文が整備されているため,個人情報取扱事業者の義務が明確になっていますが,前述したTBC事件およびYahooBB事件が発生した当時,個人情報保護法はまだ施行されていませんでした。しかし,以下のように政府等が発表していたガイドライン等を参照して,裁判所はいずれの事件でも個人情報取扱事業者の義務を肯定しています。
これらのガイドラインは,直ちに法的な拘束力を発揮するものではありません。しかし,ITの分野においては,法律の整備が十分でない場合も多いため,代わりに,政府等から発表されているこれらのガイドラインが裁判において威力を発揮するケースが見受けられます(前回紹介した「ネットオークションをめぐる法律問題」に関する名古屋地裁平成20年3月20日判決も同様です)。今回,解説する二つの事件のケースも,ガイドラインが判決に影響を与えた事案として参考になるのではないかと思いますので,以下に判決文の該当部分を紹介しておきます。
TBC事件(東京地裁平成19年2月8日判決)
これらのガイドライン(※)は、直ちに不法行為における注意義務を構成するものではないが、そこで要請されている個人情報保護の必要性にかんがみると、本件情報流出事故が発生した平成一四年ころにおいても、個人情報を取り扱う企業に対しては、その事業内容等に応じて、個人情報保護のために安全対策を講ずる法的義務が課せられていたものというべきである。
※ 個人情報が漏洩した当時、個人情報保護は施行されていませんでしたが、OECD(経済協力開発機構)や当時の通商産業省から個人情報保護の必要性に関するガイドラインを発表していました。
これらのガイドライン(※)は、直ちに不法行為における注意義務を構成するものではないが、そこで要請されている個人情報保護の必要性にかんがみると、本件情報流出事故が発生した平成一四年ころにおいても、個人情報を取り扱う企業に対しては、その事業内容等に応じて、個人情報保護のために安全対策を講ずる法的義務が課せられていたものというべきである。
※ 個人情報が漏洩した当時、個人情報保護は施行されていませんでしたが、OECD(経済協力開発機構)や当時の通商産業省から個人情報保護の必要性に関するガイドラインを発表していました。
YahooBB事件(大阪地裁平成18年5月19日判決)
本件サービスが電気通信事業法上の電気通信事業に当たることは争いがなく、被告BBテクノロジーは同法にいう電気通信事業者に当たると認められるところ、本件不正取得が行われた当時、電気通信事業における個人情報保護に関するガイドライン(平成一〇年一二月二日郵政省告示五七〇号)五条四項は、「電気通信事業者が個人情報を管理するに当たっては、当該情報への不正なアクセス又は当該情報の紛失、破壊、改ざん、漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずるものとする。」と定めていた。
(中略)
これらの点に鑑みると、被告BBテクノロジーは、本件不正取得が行われた当時、顧客の個人情報を保有、管理する電気通信事業者として、当該情報への不正なアクセスや当該情報の漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていたと認められる。
本件サービスが電気通信事業法上の電気通信事業に当たることは争いがなく、被告BBテクノロジーは同法にいう電気通信事業者に当たると認められるところ、本件不正取得が行われた当時、電気通信事業における個人情報保護に関するガイドライン(平成一〇年一二月二日郵政省告示五七〇号)五条四項は、「電気通信事業者が個人情報を管理するに当たっては、当該情報への不正なアクセス又は当該情報の紛失、破壊、改ざん、漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずるものとする。」と定めていた。
(中略)
これらの点に鑑みると、被告BBテクノロジーは、本件不正取得が行われた当時、顧客の個人情報を保有、管理する電気通信事業者として、当該情報への不正なアクセスや当該情報の漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていたと認められる。
