個人情報漏洩による損害額は事案によって大きく違うんですね![編集部]
前編はこちら → 連載第37回
インターネット上の個人情報に関する諸問題(後編)
3.個人情報不正取得・流出・漏洩
(1)はじめに
個人情報の不正取得、流出、漏洩等については多数の裁判例がある。どのような場合に請求が認められ、また、損害賠償としてどのようなものが認められるのだろうか。ここでは、行政による漏洩(有名なのは宇治市漏洩事件(注1))については原則として論じず、民間の事案のみを検討する。
(2)請求が棄却された事案
漏洩事案においては、比較的本人等の原告が勝訴する判決が多いものの、本人が敗訴する判決も存在する。
まず、そもそも漏洩の可能性に留まり、現実に漏洩があったとは認定できないとされる場合がある(東京地判平成25年12月10日ウェストロー2013WLJPCA12108004)。また、漏洩された内容によっては、受忍限度内とされることがある。
東京地判平成21年12月25日ウェストロー2009WLJPCA12258015、判例秘書L06430684 は、メールマガジン配信時にメールアドレス等をBCCではなくCCにしたため流出した事案で、「被告Y1が本件配信行為により原告のメールアドレスを流出させ、その氏名も公然と明らかにしたと主張するが、前記の「○○通信/vol.13」の受信者が、原告のメールアドレスと氏名を読んで、これらを同姓同名の他の者ではない、原告その人のものと認識するということ、すなわち、これが原告その人の個人情報であると認識するということは、いささか考え難い」とした上で、「本件配信行為は、原告に不快であったとしても、社会生活上受忍すべき範囲内にあるというべき」とした。
さらに、相当因果関係のある損害が認められないという場合もある。
東京地判平成21年10月29日ウェストロー2009WLJPCA10298005は、サイトの会員情報が漏洩したが、漏洩の範囲は会員が登録時に申告したハンドルネーム(ニックネーム)、性別、生年月日、居住地域および携帯電話のメールアドレスにとどまったという事案で、その後サイトは閉鎖されたが、「本件情報漏洩の前後における本件サイトの新規登録数、退会数及び会員数の推移や本件サイトの収益状況等に照らすと、前記供述記載部分ないし供述部分をそのまま信用することはできず、前記1で認定した事実を十分考慮してみても、本件情報漏洩による信用毀損の結果、会員の退会が続出して本件サイトの閉鎖を余儀なくされたものと認めることはできない」として閉鎖による損害と漏洩事故に相当因果関係はないとした(注2)。
その他、名古屋地判平成26年3月7日判時2253号9頁も参照。
(3)本人等から情報管理者への請求
ア はじめに
情報漏洩等が発生し、本人等から情報管理者に対して賠償が請求された場合、どの程度の額の損害賠償責任を負うのか。
イ 低額賠償事例(数千円~数万円程度)
近時の個人情報流出事件に関する代表的な裁判例は、個人情報の価値をその内容ごとに5000円から3万円程度と評価している。
大阪高判平成19年6月21日ウェストロー2007WLJPCA06216008(注3)は、インターネット接続等のサービス業者の情報漏洩について1人あたり5000円(+弁護士費用1000円)の賠償を認めた。
東京高判平成19年8月28日判タ1264号299頁(注4)は、エステサロンに登録した情報が漏洩した事案について1人あたり3万円(+弁護士費用5000円)の賠償を認めた。
東京高判平成16年3月23日判時1855号104頁(注5)は、講演会に参加した学生および一般人の氏名、住所、電話番号(学生は氏名と学籍番号)を無断で警察に提供した事案について慰謝料5000円を認めた。
東京地判平成28年4月26日ウェストロー2016WLJPCA04268025、判例秘書L0713102329017384は、国家公務員である対象者が政治塾に参加したところ、名簿が週刊誌編集部に漏洩した事件で「氏名、年齢、郵便番号、住所及び職業については、必ずしも秘匿性が高い情報とまでいうことはできないものの、原告が本件政治塾に参加しているという事実が一定の思想ないし信条を示すものであること、国家公務員であるにもかかわらず政治活動をしているかのような誤った情報が拡散したこと、本件情報の一部が本件週刊誌によって広く知られるに至ったこと」等を踏まえ5万円の慰謝料を認めた。
これらのうち、東京高判平成19年8月28日は、「本件において流出した情報がエステティックサービスに係るものであるところから、個々人の美的感性の在り方や、そうしたものに関する悩み若しくは希望といった個人的、主観的な価値に結びつく、あるいは結びつくように見られる種類の情報である点で、流出データ回収の完全性に対する不安ないしは精神的苦痛に対する慰謝料請求や、大学在籍に係る個人識別情報の開示に関する慰謝料請求につき判定されるべき場合よりは、通常、より高い保護を与えられてしかるべき種類の情報であると認められる」と述べている。要するに、エステサービスというものは自分自身の身体に対するコンプレックスと深く結びついており、保護すべき価値は高いということは裁判所も理解しているわけである。しかし、それでも損害賠償は3万円とされたことに留意が必要である。
ウ 中間の事例(数十万円)
もっとも、純粋な流出とは異なるが、保管されている個人情報が適正に扱われなかったといった事案において、数十万円の損害賠償を認めた判断もされている(注6)。
東京地判平成14年4月26日ウェストロー2002WLJPCA04260019は、社員名簿をある社員が政治目的のために政治団体に無断提供し、名簿に掲載されている他の社員が勧誘等を受けたことにつき、20万円の賠償を認めた。
京都地判平成15年10月3日ウェストロー2003WLJPCA10039001は、消費者信用業者が個人情報をすでに抹消した旨約束した後も少なくとも1年数か月間にわたり本人の個人情報を社内に保有し続けたのみならず関連信用情報機関にも提供し続けたことで本人を不安にさせたとして、自己情報コントロール権としてのプライバシー権侵害として10万円(+弁護士費用1万円)を認めた。
東京地判平成10年1月21日判タ1008号187頁は、女性の氏名、電話番号、住所を本人の不掲載の求めにもかかわらず電話帳に掲載したことにつき、10万円の賠償を認めた。
加えて、神戸地判平成11年6月23日判時1700号99頁は、パソコン通信の電子掲示板に氏名、住所、診療所の住所および電話番号が掲載されたことにつき、慰謝料20万円の賠償を認めた。
東京地判平成17年2月25日判タ1195号183頁は、行政書士が、使用目的を偽ったり、原告の委任状を偽造したりするなど違法な手段を用いて、原告らの戸籍謄本等を取得したとして15万円または10万円の損害賠償を認めた。
新潟地判平成18年5月11日判時1955号88頁は、防衛庁の職員が、防衛庁に対する行政文書開示請求者の個人情報を記載したリストを作成し庁内に配布したことが、自己が欲しない他者にみだりにこれを開示されたくないとの法的保護に値する原告の期待を侵害するもので、請求者のプライバシーの侵害に当たるとして10万円の賠償と弁護士費用2万円を認めた。
東京地判平成25年3月28日判例秘書L06830285は、対象者が行為者の運営する病院で乳がんの治療を受けたところ、行為者が臨床写真を含む個人情報を院外に流失させたため、30万円の慰謝料を認めた。
東京地判平成26年4月14日ウェストロー2014WLJPCA04148003は、学生が学校に対してセクハラ相談をした事実は当該学生にとって関係者以外の者に知られたくない個人的な情報であり、当該情報をみだりに漏洩されない利益はプライバシーの一環として保護されるべき法的利益に当たり、守秘義務に違反してこれを漏洩したことにつき慰謝料10万円弁護士費用1万円を認めた。
これらの事案は、いわゆる意に反する大量流出というよりも、特定の個人の情報の不正取得(東京地判平成17年2月25日判タ1195号183頁)、不正提供(東京地判平成14年4月26日ウェストロー2002WLJPCA04260019)等の事案で、基本的には故意の事案といえる。この点は、過失(安全管理の不行き届き)による流出の事案である、低額賠償事例とは異なっている(注7)。
エ 高額賠償事例(数百万円)
件数は少ないものの、数百万円の賠償が認められている事案もある。
まず、東京高判平成27年4月14日判例秘書L28231753 である。要するに、警察がイスラム教徒についてこれをテロ予備軍としてデータベースを作っていたところ、そのデータベースの内容が漏洩した(注8)というものである。この事案においては、イスラム教徒である個人の信仰内容や前科等のセンシティブ情報(なお、要配慮個人情報については個人情報保護法2条3項参照)が多く含まれていたことに加え、データベースの趣旨そのものから、データを読む者が、これらの個人について、テロリストもしくはその支援者であるという印象をもつような性質の情報であること、そしてインターネット上に流出して拡散し、それを止めることが困難となっていること等を踏まえ、500万円の慰謝料と弁護士費用50万円の賠償を認めた(注9)。
また、福岡地久留米支判平成26年8月8日判時2239号88頁は、HIV感染者であるという非常にセンシティブな情報について勤務先に無断でこれを伝えたという事案につき、慰藉料200万円(および休業損害)を認めている(注10)。
オ 実務への示唆
このように、損害賠償額は、当該漏洩事故の具体的な性質に応じたものとなっており、バラエティに富んでいるといえる。
このような中で、実務的な判断基準としては、態様、内容、回収の困難性、二次被害の有無(注11)といったものが提案されている(注12)。
情報漏洩事故が生じた場合、まずは当該事件の情報の内容(特にどれくらいセンシティブか)や漏洩の態様(アクセス、拡散が容易な態様か等)、そして回収困難性や二次被害の有無等について、上記のような過去の裁判例と比較し、どの事例に似ているのかというのを検討するのがよいだろう。その上で、そのような類似事例との差異がどこにあるかを踏まえ、より賠償が高額になりそうなのか、低額になりそうなのかを検討するというのが実務的であろう(注13)。
また、いわゆる過失による漏洩の事案なのか、それとも故意による不正使用・不正取得の事案なのかも考慮に値するだろう。
【次ページ】情報管理者等からの請求