MatsuoEyecatch
ウェブ連載版『最新判例にみるインターネット上の名誉毀損の理論と実務』 連載・読み物

ウェブ連載版『最新判例にみるインターネット上の名誉毀損の理論と実務』第38回

5月 18日, 2017 松尾剛行

 
 
(4)情報管理者等から漏洩者への請求
 
ア はじめに
 
たとえば、A社がB社に委託したところ、B社が個人情報を漏洩したり、A社の従業員Bが漏洩した場合、AからBへの請求が問題となる。これが、情報管理者等から漏洩者への請求の問題である。

以下では、ある漏洩事故がBの債務不履行により生じたことを前提に、Aはいかなる損害を賠償することを請求できるかについて述べる。
 
イ 費目ごとの「相当因果関係のある損害」
 
 まず、費目ごとにどの範囲の損害に相当因果関係があるかを見ていこう。
 
 ①サービス切り替え費用にかかる損害
 
 まず、サービス切り替え、たとえば他社の別のサービスに切り替えた場合の他社サービスの費用であるが、基本的には、その費用は必ずしも損害としては認められないだろう(東京地判平成26年1月23日ウェストロー2014WLJPCA01238001)。ただし、切り替えに伴う損害のうち相当因果関係が認められる一定範囲は賠償の対象となる(なお、最判平成18年1月24日判タ1205号153頁や最判平成20年6月10日判タ1316号142頁も参照)。
 
 ②顧客への賠償にかかる損害
 
 次に、顧客に対する賠償金等である。上記のように、負担をした金券代や訴訟によって賠償が命じられた金額等は、損害との相当因果関係があるということができ、賠償額として算定できるだろう。東京地判平成26年1月23日ウェストロー2014WLJPCA01238001では、顧客1人当たり1000円のクオカード代およびその梱包、郵送等にかかる費用が、相当因果関係ある損害とされた。また、顧客対応のためのコールセンター費用も相当因果関係ある損害とされた。

ただし、長崎地佐世保支判平成20年5月15日判例秘書L06350309は、顧客全員に少なくとも5000円の賠償が必要と主張したが、「原告が現実に個々の顧客に対して損害賠償を行ったことを認めるに足りる証拠はない」としてこれを否定している。

なお、下請関係があると元請けが顧客ではなく発注者に支払った上で、下請に請求することがあるが、それも認められた事案がある(山口地判平成21年6月4日自保ジャーナル1821号145頁)。
 
 ③調査費用にかかる損害
 
 情報漏洩事故の場合、本当に流出したのか、どの範囲で流出したのか、流出原因は何か等について専門的な調査が必要である調査が必要なことが少なくない。東京地判平成26年 1月23日ウェストロー2014WLJPCA01238001では流出の調査のための費用も相当因果関係ある損害とされた。東京地判平成25年3月19日ウェストロー2013WLJPCA03198005も調査費用(ただし第三者(クレジットカードのアクワイアラー)から請求されたもの)を相当因果関係のある損害とした。東京地判平成21年12月25日ウェストロー2009WLJPCA12258015もデータ解析費を損害とした。また、東京地判平成19年12月28日ウェストロー2007WLJPCA12258002も同様である。もちろん、その調査の範囲等によって調査費用は大きく異なるが、その範囲が合理的なものである限り、相当因果関係ある損害とみなしてよいであろう。
 
 ④営業損害
 
 難しいのは営業損害、つまり、個人情報漏洩による売上の低下や逸失利益等の損害である(注14)。もちろん、今日においては個人情報漏洩等に対して顧客はセンシティブであり、これによって企業のレピュテーションが下がり、その結果売上も下がるということはありうる。しかし、売上等は景気等の外部的要素にも影響され、具体的にどの範囲の売上低下等が漏洩事故により発生したかの判断は非常に難しいところがある。

東京地判平成19年12月28日ウェストロー2007WLJPCA12258002は、漏洩事故によって契約を失ったとして、6017万4688円の賠償を認めている。

長崎地佐世保支判平成20年5月15日判例秘書L06350309は、営業自粛による損害も相当因果関係があるとして、「直近2年間の営業利益の伸び率の平均は122%((115%+129%)÷2=122%)であるから、本件不法行為2が存せず、上記自主休業(営業自粛)の必要がなかったのであれば、原告は、平成16年度には31億7394万0762円(26億0159万0789円×122%=31億7394万0762円)程度の営業利益を上げることができたものと推認できる」として、「控えめに見ても25億2520万5285円(31億7394万0762円-6億4873万5477円=25億2520万5285円)程度の損害が生じているものと認めるのが相当である」とした。このような推計ができるのか、また、営業利益ではなく限界利益を基準とすべきか等問題があり、これは、欠席判決のため、この点が理論的に十分に詰められていなかったことによると理解される。

これに関連して、民訴法248条(注15)は、損害が発生しているものの算定が困難な場合に裁判官の裁量で損害額を決定できるとする。最高裁も、「損害が発生したというべきであるから、その損害額が認定されなければならず、仮に損害額の立証が極めて困難であったとしても、民訴法248条により、口頭弁論の全趣旨及び証拠調べの結果に基づいて、相当な損害額が認定されなければならない」(最判平成18年1月24日判タ1205号153頁)とか、「損害が発生したことは明らかである。……損害額の立証が極めて困難であったとしても、民訴法248条により、口頭弁論の全趣旨及び証拠調べの結果に基づいて、相当な損害額が認定されなければならない」(最判平成20年6月10日判タ1316号142頁)としており、損害が発生したと認められるならば、裁判官は相当な損害額を認定しなければならないことを明らかにしている。

東京地判平成26年1月23日ウェストロー2014WLJPCA01238001は、売上減少が生じそれによる損害が認められるものの金額の立証はないことから、民事訴訟法248条を適用して400万円の限度で賠償を認めた。このように、損害が発生していると認められたのであれば、同条による解決が図られるだろう。
 
 ⑤その他の損害
 
 それ以外の費目としては、人件費が問題となる。東京地判平成19年12月28日ウェストロー2007WLJPCA12288001は人件費を損害と認めなかったが、上記東京地判平成21年12月25日では流出がなければ不要だった残業代も損害とした。固定費用である正社員の通常勤務時間内の人件費は「差額説」(当該債務不履行がない場合の利益状態との差額を損害とみる)に鑑みれば損害と認め難いが、残業代は損害となりうるだろう。

認証の再取得にかかる費用も損害として認められうる。東京地判平成25年3月19日ウェストロー2013WLJPCA03198005は、当該流出事故によりセキュリティ認証(PCI-DSS認定)の再取得が必要となったとしてその費用も損害として認めている。

また、興味深いものとしては、自然人でいうところの慰謝料に相当する無形損害がある。ウェブサイト制作会社が、デザインを委託したデザイン事務所(被告)が個人情報を流出させた事案に関する上記東京地判平成21年12月25日において、ウェブサイト制作会社は無形損害を主張したものの、情報漏洩事故の原因の一端がユーザ企業にもあることなど諸般の事情を勘案すると損害賠償を認めるべきとするほどの無形的損害があるとは直ちには認め難いとした。

なお、通常債務不履行の場合に弁護士費用は請求できないが、合意で弁護士費用も請求できるとしていれば別である(上記東京地判平成25年3月19日)。
 
ウ 過失相殺
 
加えて、過失相殺(民法418条)の問題が生じることもある。
 
【次ページ】注と書籍紹介

1 2 3
松尾剛行

About The Author

まつお・たかゆき 弁護士(第一東京弁護士会、60期)、ニューヨーク州弁護士、情報セキュリティスペシャリスト。平成18年、東京大学法学部卒業。平成19年、司法研修所修了、桃尾・松尾・難波法律事務所入所(今に至る)。平成25年、ハーバードロースクール卒業(LL.M.)。主な著書に、『最新判例にみるインターネット上の名誉毀損の理論と実務』(平成28年)、『金融機関における個人情報保護の実務』(共編著)(平成28年)、『クラウド情報管理の法律実務』(平成28年)、企業情報管理実務研究会編『Q&A企業の情報管理の実務』(共著)(平成20年)ほか。