目次
第1章 個人情報保護法改正で個人情報漏えいの法的責任が厳しく問われる時代に
第2章 自社で発生した漏えいに対する損害賠償責任
1 検討事例1
2 X社にはどのような法的責任が考えられるか
3 情報漏えいで侵害される被害者の権利又は法律上保護される利益とは
4 情報漏えいについてX社に「過失」はあったか
5 プライバシー侵害とX社の過失との間の因果関係
6 プライバシー侵害と因果関係のある被害者の「損害」とは
第3章 委託先による漏えいに対する法的責任
1 検討事例2
2 X社にはどのような法的責任が考えられるか
3 X社は使用者責任を負うか
4 X社は監督義務違反を理由とした不法行為責任を負うか
第4章 おわりに
第1章 個人情報保護法改正で個人情報漏えいの法的責任が厳しく問われる時代に
2022年4月に施行予定の改正個人情報保護法では、個人情報漏えいにかかわる事業者の義務が新設されることになりました。
第1に、保有個人データについて、プライバシーポリシーなどで公表するか、本人から求められた場合に回答するか、いずれかの方法で、情報セキュリティ対策(安全管理措置)の内容を明らかにしなければならない義務が新設されます(改正法27条1項4号、改正政令8条)。
第2に、個人データが万が一漏えいした場合などに、個人情報保護委員会への報告と、被害者への通知をしなければならない義務が新設されます(改正法22条の2)。詳しくは「個人情報保護法改正で変わる漏えい対応を弁護士が解説」で取り上げています。
これらの改正により、個人情報を取り扱う事業者は、万が一漏えい事故を発生させてしまった場合に、これまでよりも一層、その責任を厳しく追及され、社会的にも非難を受けるリスクが高まることになります。
統計データによれば、上場企業における情報漏えい・紛失事例の約半数はマルウェア感染や不正アクセスによるもので、その件数は年々増加しています。また、最近では、大企業のみならず、中小企業がマルウェアや不正アクセスの被害に遭う事例も増加傾向にあります。
このような社内の流れを受けて、今後増加していくことが想定されるのが、個人情報の漏えいに対する損害賠償責任をめぐる紛争事例です。各企業は、このような紛争リスクに対応していくために、そもそも、個人情報の漏えいによって損害賠償責任を負うケースについて、理解を深めておく必要があります。
ただ、個人情報の漏えいによって損害賠償責任について取り上げた文献は限られており、専門家の間でもあまり議論が進んでいないのが実情です。そこで、今回は、ケーススタディ形式で、このテーマについて深く考察してみました。
第2章 自社で発生した漏えいに対する損害賠償責任
1 検討事例1
X社は、300拠点にコンビニエンスストアを出店する企業です。X社では、「お客様ポイントカード」を発行し、その発行時にお客様の氏名、住所、電話番号、メールアドレスなどの情報を登録してデータベース管理しています。X社が使用するデータベース管理ソフトウェアは、3日前にメーカーサイトで「不正アクセスを受けるおそれのある脆弱性が発見された」旨の情報と修正プログラムが公開されていました。当該情報は、IPAでも同日付で緊急性の高い脆弱性情報として公開されていました。ただ、X社では、当該情報について管理担当者が把握しておらず、修正プログラムの適用をしていませんでした。間もなく、X社は、データベース管理ソフトウェアの脆弱性を悪用した攻撃の被害を受け、上記情報の漏えい事故を発生させました。
2 X社にはどのような法的責任が考えられるか
前章で取り上げた事例において、X社は、被害者から不法行為に基づく損害賠償責任(民法709条)を追及されるおそれがあります。
民法第709条
故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う。
この事例では、仮に、次のすべての要件を満たしていれば、X社は不法行為責任を負うことになり、被害者に対して損害を賠償しなければなりません。
(1) 情報漏えいによって被害者の「権利又は法律上保護される利益」が侵害されたこと
(2) 情報漏えいについてX社に「過失」があったこと
(3) 被害者の「権利又は法律上保護される利益」が侵害されたこととX社の「過失」との間に因果関係があること
(4) 被害者に損害が発生したこと
(5) 被害者の「権利や法律上保護される利益」が侵害されたことと被害者に発生した損害との間に因果関係があること
3 情報漏えいで侵害される被害者の権利又は法律上保護される利益とは
漏えいの対象となりうる個人情報は様々ですが、その価値については、(1)経済的価値と(2)精神的価値の2つの観点から評価することができます。
このうち、経済的価値が高い情報(クレジットカード番号など)が漏えいした場合には、被害者に財産的損害が発生するため、財産権侵害から説明することができます。
一方で、経済的価値が低い情報の場合、財産権侵害からの説明が困難です。このような情報の場合は、被害者のプライバシーの侵害から説明することが考えられます。
プライバシーの意味については、「私生活をみだりに他人に知られないことで生活の平穏を害されない権利」や「自己に関する情報をコントロールする権利」など様々な考え方がありますが、プライバシーが権利又は法律上保護される利益であることにおおむね争いはありません。
氏名、住所、電話番号、メールアドレスなどの漏えいが問題になったベネッセ個人情報漏えい事件判決(東京高判令和元年6月27日)では、「連絡が可能となるものであるから、その使用方法いかんによっては、取得された者の私生活の平穏等に何らかの影響を及ぼすおそれがある」「自己の了知しないところで・・・漏えいしたことに対する不快感及び生活の平穏等に対する不安感を生じさせることになるから、・・・何らかの精神的苦痛を生じさせることは避けられない」として、プライバシーの侵害であることを認めています。
検討事例でも、被害者の立場であれば、氏名、住所、電話番号、メールアドレスなどの流出によって、「だれかから連絡が来て嫌な思いをするかもしれない」「だれに知られているか分からないことに気味の悪さを感じる」といった感情を抱きうることから、プライバシーの侵害が認められるものと考えられます。
4 情報漏えいについてX社に「過失」はあったか
(1) 「過失」とは何か
「過失」の意味については、(1)結果が発生する可能性を予見することができたにもかかわらず(結果予見可能性)、(2)その結果の発生を回避するために講じるべき措置を講じなかったこと(結果回避義務違反)であるという理解が一般的になっています。
そこで、結果予見可能性と結果回避義務違反について、情報漏えいの事案においてどのように当てはめていけばよいのかを検討していきたいと思います。
(2) 結果予見可能性
ア 予見の対象となる結果とは
予見の対象となる結果については、「何らかの情報がいつか漏えいする」という抽象的なレベルから、「データベース管理ソフトウェアの特定の脆弱性を悪用した不正アクセスを受ける」という具体的なレベルまで様々です。
予見の対象となる結果を「何らかの情報がいつか漏えいする」という抽象的なレベルととらえた場合、その結果の発生を回避するために講じるべき措置の内容も「基本的な情報セキュリティ対策を講じておくこと」のような抽象的・一般的なものにとどまると考えられます。なぜなら、「何らかの情報がいつか漏えいする」という抽象的なレベルでは、いったいどの対策に重点を置けばよいのかを判断できないからです。
一方で、予見の対象となる結果を「データベース管理ソフトウェアの特定の脆弱性を悪用した不正アクセスを受ける」という具体的なレベルととらえた場合、その結果の発生を回避するために講じるべき措置の内容も(抽象的・一般的なものから)「脆弱性に対応した修正プログラムを適用しておくこと」のような具体的なものまで広範になると考えられます。「データベース管理ソフトウェアの特定の脆弱性を悪用した不正アクセスを受ける」ことが予想されるのであれば、それに対する具体的な対策に重点を置くことができるからです。
つまり、結果回避義務違反が認められやすいようにするためには、予見の対象となる結果を可能な限り具体的なものに設定することが有効です。ただ、予見の対象となる結果が具体的なものであればあるほど、結果が発生する可能性を予見することは難しくなります。
例えば、「何らかの情報がいつか漏えいするかもしれない」という想像はだれでもできますが、「データベース管理ソフトウェアの特定の脆弱性を悪用した不正アクセスを受ける」ことは、そのソフトウェアの脆弱性情報を想像することができません。
予見の対象となる結果を設定するうえでは、その結果発生可能性を予見することができる限界点を考えなければなりません。
イ 「結果を予見することができた」をどのような水準で考えるか
結果を予見することができたかどうかは、分かるようで分からない難しい問題です。例えば、「データベースサーバーに新種のマルウェアが感染して顧客の個人情報が漏えいするかもしれない」ことは、情報セキュリティのプロフェッショナルであればすぐに予見することができるでしょうが、一般の人にはなかなか予見できないことです。
結果を予見することができたかどうかは、行為者1人1人の能力で判断水準を変えるのではなく、その行為者が属しているグループにおける平均水準の人の能力を判断水準にするのが一般的な考え方です。
ウ 情報漏えいの予見可能性
情報漏えいを予見する能力を高めるカギは、最新の情報セキュリティ上の脅威や導入製品の脆弱性に関する情報をいかに広範に把握できるかにあります。情報漏えいを予見する能力をどこまで高度な水準に設定するかは、これらの情報を収集する努力をどこまで厳しく要求するかとニアリーイコールです。
極端なレベルでいえば、世界中のありとあらゆる情報を収集すれば、情報漏えいの多くは、具体的に予見することができると考えられます。とはいえ、世界中のありとあらゆる情報を収集するには莫大なコストと労力が必要になりますので、このような水準を要求することは現実的ではありません。
情報漏えいを予見する能力として求められる水準は、「行為者が属しているグループにおける平均水準の人であればコストと労力を負担してでも収集すべき情報の範囲はどこまでか」という観点で考えることになります。要するに、行為者のグループの属性を踏まえて、コストや労力の負担を課してでも情報収集を義務づけることが正当化される範囲を考えるわけです。
このような情報収集を義務づけることが正当化される範囲として認めやすいのが、公的機関や著名な専門機関の公表するガイドラインや注意喚起に記載される情報、広く報道されている情報などです。これらに当たれば、コストや労力をあまりかけずに重要性の高い情報を効率的に収集することができるため、情報収集義務が認められやすいものと考えられます。
情報漏えいが問題になった過去の裁判例でも、経済産業省のガイドラインやIPAの注意喚起情報、OWASPのリリースノートなど、公的機関や著名な専門機関から情報が公表されていたことを理由に結果予見可能性を肯定しているものがあります(ベネッセ個人情報漏えい事件判決[前掲]、東京地判平成30年10月26日)。
特に、個人情報保護法などの情報漏えい対策を義務づけた法令に関連するガイドラインに記載される情報には、重点が置かれるものと考えられます。法令遵守の観点から、事業者がガイドラインに留意することは社会的に強く要請されるため、情報収集義務を正当化しやすいからです。
その他、製品メーカーが公式サイトや製品上で公開する脆弱性情報についても、収集の容易さから、情報収集義務を正当化しやすいものと思われます。
エ 検討事例における結果予見可能性
検討事例においてどのような結果に対する予見可能性があったかについては、様々な見解がありうるところです。
もっとも厳しい見解に立てば、データベース管理ソフトウェアのメーカーサイトやIPAにおいて脆弱性情報が公開されていた以上は、その脆弱性を悪用した不正アクセスの被害を受ける可能性は予見することができたという考え方も成り立ちえます。ただ、脆弱性情報が公開されてから3日後しか経過していない情報漏えい発生時点においては、その脆弱性情報にアクセスしていなかったとしてもやむをえないのではないかという見方もできます。
今回問題になった具体的な脆弱性による被害までは予見することができたといいがたい場合は、「少なくともデータベースが何らかの不正アクセスによる被害を受けることは予見することができた」と考えて、より抽象的なレベルで結果予見可能性を認めることが考えられます。
(3) 結果回避義務違反
ア 結果の発生を回避するために講じるべき措置とは
結果予見可能性が認められるとして、次は、その結果の発生を回避するために講じるべき措置とは何かが問題になります。
行為者の側から見れば、結果の発生を回避するために講じるべき措置が厳格であればあるほど、行為が制約されたり、コストや労力の負担を余儀なくされたりする不利益を負うことになります。
結果の発生を回避するために講じるべき措置とは何かを考えるうえでは、その結果が生じた場合に被害者が受ける権利侵害や損失がどれほど重大なものであるかを考えたうえで、行為者の行為を制約したり、コストや労力を負担させたりすることがどこまで正当化されるかを検討する必要があります。
イ 情報漏えいの発生を回避するために講じるべき措置の考え方
情報漏えいの発生を回避するために講じるべき措置とは、いわば「情報セキュリティ対策」のことです。要するに、結果発生可能性の検討において考えた「予見することのできた情報漏えいの発生可能性」を踏まえて、どのような情報セキュリティ対策を講じるべきであったかが問題になるわけです。
情報セキュリティ対策として考えられることは様々です。マルウェア対策ソフトウェアの導入、UTMの設置、堅牢なクラウドサービスとの契約、ファイル自動暗号化システムの導入、CSIRT構築のための専門スタッフの採用、外部専門家への委託など、挙げ始めればきりがありません。また、「そもそも重要な個人情報は取り扱わない」というのも、情報セキュリティ対策の1つです。
ただ、情報セキュリティ対策に注力すればするほどコストや労力は大きくなりますし、「そもそも重要な個人情報は取り扱わない」という対応は事業活動の制限につながります。そこで、情報漏えいによって被害者が受ける権利侵害や損失がどれほど重大なものであるかを考えたうえで、コスト・労力の発生や事業活動の制限につながる情報セキュリティ対策を要求することがどこまで正当化されるかを検討することになります。
この点について、ベネッセ個人情報漏えい事件判決[前掲]は、(1)情報セキュリティ対策を採用した場合における事業活動への影響の大小や、(2)その対策を採用することの優先度に着目していると考えられます。そのイメージを図にすると、以下のとおりです。
上の図のように、情報漏えいの発生を回避するために講じるべき措置とそうでない措置との境界線は、(1)情報セキュリティ対策を採用した場合における事業活動への影響の大小や、(2)その対策を採用することの優先度によって決まると考えられます。そして、情報漏えいの発生を回避するために講じるべき措置の範囲は、情報漏えいが発生した場合に想定される被害が重大・具体的なものであればあるほど、広範なものになると考えられます。
なお、情報漏えいが発生した場合に想定される被害が重大・具体的であるかどうかは、行為者が行為時に予見することができた結果、つまり結果予見可能性の対象となった結果をもとに考えるべきものです。現実に重大・具体的な結果が発生したかどうかという意味ではありません。
ここからは、(1)情報セキュリティ対策を採用した場合における事業活動への影響の大小や、(2)その対策を採用することの優先度をどのように評価するかについて、さらに深く考えていきたいと思います。
ウ 情報セキュリティ対策を採用した場合における事業活動への影響の大小
情報セキュリティ対策の種類によって、その採用によって事業活動に制限が生じる場合があります。
例えば、重要な個人情報を取り扱わない対応は、その個人情報を事業活動に利活用する機会を損ない、それによって事業活動の幅が狭まるおそれがあります。PCの持ち出しやサーバーへの外部からのアクセスを制限する措置は、リモートワークによる勤務を制限します。
事業活動への影響の大小は、各事業者の事業規模や業種、事業形態、個人情報の利用状況などの個別事情を踏まえて判断すべきものと考えられます。
エ 情報セキュリティ対策を採用することの優先度
情報セキュリティ対策を採用することの優先度については、採用のためにどれくらいの費用が必要か、専門的な人員の採用が必要かどうか、導入のためにどれくらいの時間を要するものかといった、コストや労力の観点から個別に判断すべきものと考えられます。
ただし、たとえコストや労力を要する対策であったとしても、法令上義務づけられている対策や、公的機関によって強く推奨されている対策であれば、基本的に優先度の高い対策として位置づけるべきであると考えられます。
オ 検討事例における結果回避義務
検討事例においては、(今回の脆弱性を悪用した不正アクセスの被害を受ける可能性は予見することができたとして)、修正プログラムの適用を怠ったことが結果回避義務違反に該当するかどうかが問題になります。
個人情報保護法第20条では、「個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」ことが事業者の義務として定められています。個人情報保護法ガイドライン通則編には、その措置の具体的な内容の1つとして、「機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする」ことを掲げています。このことから、「ソフトウェア等を最新状態とする」ことは、法令上求められている対策であるといえます。ただし、3日前に公開されたばかりの修正プログラムを適用していないことで、直ちに「最新状態ではなかった」と断定してよいかどうかは、難しい問題です。
そこで、その他の事情も踏まえると、IPAで緊急性の高い脆弱性として情報公開されていたこと[優先度大]、修正プログラムの適用によって直ちにシステムに悪影響を生じさせるものではないこと[影響度小]、修正プログラムの適用自体は特段の知識を要するものではないこと[優先度大]、特に費用は発生しないこと[優先度大]などが、修正プログラムの適用を怠ったことが結果回避義務違反に当たることを肯定する事情として挙げられます。
ただし、このような事情を踏まえても、公開されたばかりの修正プログラムはシステムへの影響をある程度検証したうえで適用する必要があったと合理的に説明することができれば、修正プログラムの適用を怠ったことが結果回避義務違反にまでは当たらないという評価も考えられます。
5 プライバシー侵害とX社の過失との間の因果関係
前述したように、情報漏えい事案における加害者の「過失」は、情報漏えいの発生を防ぐために必要な対策を講じなかったことにあります。仮に、その対策を講じていたならば、情報漏えいの発生を防ぐことができたものといえれば、プライバシー侵害とX社の過失との間の因果関係が認められます。
修正プログラムを適用しなかった不作為がX社の「過失」であると考えた場合、「修正プログラムを適用していれば情報漏えいを防ぐことができた」といえるのであれば、因果関係が認められます。
最近問題になっている高度標的型攻撃の場合、情報漏えいの発生要因が複雑なうえに、発生プロセスの解明が難しいこともあるために、因果関係の有無を判断しがたいケースが多々想定されます。このようなケースにおいて、どこまで厳格に因果関係の主張立証責任を被害者に課するかは、今後の法的課題であるといえます。
6 プライバシー侵害と因果関係のある被害者の「損害」とは
プライバシー侵害と因果関係のある「損害」をどうやって金銭評価するかは、難しい問題です。プライバシーの意味を「生活の平穏を害されない権利」ととらえた場合、生活の平穏が害されたことによって生じた不利益を金銭評価しなければなりません。ただ、生活の平穏が害されることによって生じる主な不利益は、心情的な不快感や不安感などですので、その金銭評価は容易ではありません。
実際のところは、過去の裁判例において認められた慰謝料額と比較しながら、適正な額を考えていくほかありません。
例えば、氏名、住所、電話番号、メールアドレスなどの個人情報の漏えいが問題になったベネッセ個人情報漏えい事件の判決(東京高判令和元年6月27日)では、500円のクオカードを配布した点も考慮して、1人につき2000円の損害賠償を認めています。
漏えいの対象となった個人情報に、病歴などのセンシティブなものが含まれている場合は、認容される損害額が高額になる可能性があります。
第3章 委託先による漏えいに対する法的責任
1 検討事例2
X社は、全国100拠点に家電量販店を出店する企業です。X社では、「お客様ポイントカード」を発行し、その発行時にお客様の氏名、住所、電話番号、メールアドレスなどの情報を登録してデータベース管理しています。X社は、ITフリーランスとしてシステム保守を専門にするYと業務委託契約を締結して、Yにデータベースサーバーの管理を委託していました。Yは、週3日程度X社を訪問してログの確認を実施していたほか、システムトラブルの緊急対応も任されていました。ある日、Yがデータベースサーバーの取替作業を実施していたところ、新規サーバーの設定を誤って社外アクセス可能な状態にしてしまったことが原因で、その3日後に、サーバー内の個人情報が漏えいするインシデントが発生しました。
2 X社にはどのような法的責任が考えられるか
X社が被害者に対して損害賠償責任を負う法的理由として、(1)X社の使用者責任(民法715条)と、(2)Yに対する監督義務違反を理由とした不法行為責任(民法709条)が考えられます。
3 X社は使用者責任を負うか
(1) 使用者責任の成立要件
民法第715条第1項
ある事業のために他人を使用する者は、被用者がその事業の執行について第三者に加えた損害を賠償する責任を負う。・・・(以下省略)・・・。
使用者責任の成立要件については、次のとおりです。
(1) Yに不法行為責任(民法709条)が成立すること
(2) Yが原因となる行為をした当時、X社がYを「事業のために使用」していたこと
(3) 原因となる行為が、Yの「事業の執行について」行われたものであること
誤って社外アクセス可能な状態にしてしまった点について、Yに不法行為責任が認められることや、事業の執行について行われた行為であることは、おおむね争いはないものと思われます。そうすると、X社がYを事業のために「使用」していたかどうかが、実質的な争点となります。
(2) X社がYを事業のために使用していたといえるか
YはあくまでもX社の委託先であり、従業員ではないことから、X社がYを「使用」していたといえるかどうかが問題になります。
X社がYを「使用」していたといえるかどうかは、X社とYとの間に実質的な指揮監督関係があるかどうかで決まります。X社とYとの間に雇用関係があることは、絶対的な要件ではありません。とはいえ、X社がYに業務を委託した事実のみでは、実質的な指揮監督関係は認められません。
X社とYとの間で締結された業務委託契約の業務内容が、X社の作成した詳細な作業手順書に従って作業をすることであれば、X社がYを「使用」していたと評価されるように思われます。一方で、その業務内容が、「ログのチェック」「システムトラブル発生への対応」など抽象的に定められ、作業手順についてある程度Yの裁量にゆだねられていたのであれば、X社がYを「使用」していたと評価しづらいように思われます。
X社がYを事業のために使用していたといえるかどうかは、業務委託契約に定められていた業務内容や、X社からの作業手順の指示の具体性など、個別事情に応じて判断することになります。
4 X社は監督義務違反を理由とした不法行為責任を負うか
使用者責任が認められない場合には、次に、X社の受託者Yに対する監督が尽くされていなかった「過失」を理由に、X社に不法行為責任が認められないかが問題になります。
(1) 「過失」についてどのように考えるか
不法行為責任の基本的な考え方は、第2章で説明したとおりです。受託者の行為が原因でインシデントが発生したケースにおいては、結果回避義務の内容を、「受託者に対する監督をする義務」と考えます。そして、その義務に違反しているものと認められる場合に、委託者であるX社の「過失」を認めることになります。
(2) 「受託者に対する監督をする義務」をどのように考えるか
第2章で説明したように、結果回避義務の内容は、行為者の行為を制約したり、コストや労力を負担させたりすることがどこまで正当化されるかによって決まります。
どこまで正当化されるかを考えるうえで重要なことは、そもそも、個人情報を委託者に管理させることが法律上なぜ認められるのかという視点です。
個人情報保護法23条1項によれば、個人データを第三者に提供するためには、原則として、あらかじめ本人の同意を得なければならないことになっています。ただし、「利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」には、本人の同意は不要とされています(同条5項1号)。
その理由について、個人情報保護法ガイドライン通則編では、「個人情報取扱事業者と一体のものとして扱われることに合理性があるため」と説明しています。裏を返せば、委託元は、委託先に管理を委託した個人情報について、あたかも自社と委託先が一体であるかのように、「自社と同等の保護レベルでの管理体制」を確保しなければならないと考えられます。
また、個人情報保護法22条には、「個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」という規定があります。ここでいう「必要かつ適切な監督」とは、「自社と同等の保護レベルでの管理体制を確保するための監督」を意味しているものと考えられます。
以上のように考えていくと、「結果回避義務=自社と同等の保護レベルでの管理体制を確保するための監督」という結論が導かれます。
(3) 「自社と同等の保護レベルでの管理体制を確保するための監督」とは
次に、「自社と同等の保護レベルでの管理体制を確保するための監督」とは具体的にどのようなことを意味するかについては、個人情報保護法ガイドライン通則編をまずは参照すべきです(ガイドラインの重要性については第2章で説明したとおりです)。これによりますと、具体的な監督の内容として、(1)適切な委託先の選定、(2)委託契約の締結、(3)委託先における個人データ取扱状況の把握が掲げられております。
結果回避義務の内容は、これら3つの観点をベースとして、個別に判断していく必要があります。
(4) 検討事例における「過失」の認定
サーバーの設定の誤りで社外アクセス可能な状態になっていた場合に情報漏えいが発生しうることは、少なくともX社にとって予見可能であったといえます。そこで、サーバーの設定の誤りで社外アクセス可能な状態になることを避けるために、Yに対してどのような監督をすべき義務があったかが問題になります。
具体的な監督の内容については、特に、個人データ取扱状況の把握が問題になります。
X社の「過失」(結果回避義務違反)を肯定しうる事情としては、例えば、(1)アクセス権限の設定を不備なく実施するためのチェックリストを用意していなかったことや、(2)1人の管理に委ねて二重チェックの体制を整えていなかったことなどが考えられます。
第4章 おわりに
情報漏えいの不法行為責任を検討する際には、「過失」や「因果関係」が認められるかどうか、「損害」の額など、容易に判断しづらい問題が絡むことが多々あります。また、委託先が原因となった情報漏えいの場合、使用者責任の検討も必要になります。
情報漏えいの事故が万が一発生した場合には、早期に弁護士からの助言を得て、損害賠償を請求されるリスクに備えておくことが重要です。
