主文 被告BBテクノロジー株式会社は,甲事件原告らそれぞれに対し,6000円及びこれに対する平成16年5月29日から支払済みまで年5分の割合による金員を支払え。 被告BBテクノロジー株式会社は,乙事件原告らそれぞれに対し,6000円及びこれに対する平成17年6月3日から支払済みまで年5分の割合による金員を支払え。 原告らの被告BBテクノロジー株式会社に対するその余の請求及び被告ヤフー株式会社に対する請求をいずれも棄却する。 訴訟費用の負担は以下のとおりとする。 (1)原告らに生じた費用の2分の1と被告BBテクノロジー株式会社に生じた費用の合計額のうち,10分の1を同被告の負担とする。 (2)(1)を除く全ての費用は原告らの負担とする。 この判決は,第1,2項に限り仮に執行することが出来る。 事実 及び理由第1請求 被告らは,甲事件原告らそれぞれに対し,各自10万円及びこれに対する平成16年5月29日から支払済みまで年5分の割合による金員を支払え。 被告らは,乙事件原告らそれぞれに対し,各自10万円及びこれに対する平成17年6月3日から支払済みまで年5分の割合による金員を支払え。 第2事案の概要本件は,インターネット接続等の総合電気通信サービスである「Yahoo!BB」の会員であった原告らが,同サービスの顧客情報として保有管理されていた原告らの氏名・住所等の個人情報が外部に漏えいしたことについて,共同して同サービスを提供している被告らが個人情報の適切な管理を怠った過失等により,自己の情報をコントロールする権利が侵害されたとして,被告ら に対し,共同不法行為に基づく損害賠償として慰謝料等の支払を求めた事案である。 争いのない事実等(争いのない事実を除き,認定に用いた証拠は括弧内に示す。) る権利が侵害されたとして,被告ら に対し,共同不法行為に基づく損害賠償として慰謝料等の支払を求めた事案である。 争いのない事実等(争いのない事実を除き,認定に用いた証拠は括弧内に示す。)(1)当事者ア原告らは,いずれも「Yahoo!BB」と称する,非対称加入者線伝送(ADSL)方式等を用いたインターネット接続サービス及びこれに付随するメールサーバーのレンタル等の総合電気通信サービス(以下,「本件サービス」という。)の会員である。 イ被告らは,「Yahoo!BB」の統一名称を用いて,電気通信事業法にいう電気通信事業に当たる本件サービスを顧客に対して提供している株式会社である(乙3)。 (2)原告らはいずれも平成16年1月までに,被告らそれぞれとの間で,本件サービスに係る契約を締結し,本件サービスに入会した。 (3)本件サービスに係る契約締結の際に,被告らは,原告らを含む顧客それぞれの住所・氏名等の個人情報を取得し,顧客に関して,以下の情報を保有し,管理していた。 ア被告BBテクノロジー株式会社(以下,「被告BBテクノロジー」という。)住所・氏名・電話番号・メールアドレス・ヤフーメールアドレス・ヤフーID・申込日・性別・回線タイプ等の回線の接続に関する情報。 イ被告ヤフー株式会社(以下,「被告ヤフー」という。)住所・氏名・電話番号・メールアドレス・ヤフーメールアドレス・ヤフーID・申込日・クレジットカード番号・銀行口座番号・パスワード・取引実績に関する情報。 (4)被告BBテクノロジーにおいては,従業員が利用する端末(クライアン ト)とは別に,被告BBテクノロジー本社の施設内にサーバーを設置していた。(3)アの顧客情報は,顧客データベース(以下,「本件顧客データベース」という)に記録されており,これは,被告BB イアン ト)とは別に,被告BBテクノロジー本社の施設内にサーバーを設置していた。(3)アの顧客情報は,顧客データベース(以下,「本件顧客データベース」という)に記録されており,これは,被告BBテクノロジーのサーバーの一つ(以下,「本件顧客データベースサーバー」という。)に格納されていたものである。これらのデータベースを格納するサーバーでは,OS(基本ソフト)は,ほとんどが米マイクロソフト社製Windowsのサーバー用OSを使用していた。 (5)リモートメンテナンスサーバーの設置被告BBテクノロジーは,平成14年12月,社外のパソコンから社内のサーバーのメンテナンス作業を可能とするためのリモートメンテナンスサーバー(以下,「本件リモートメンテナンスサーバー」という。)を設置し,これにより被告BBテクノロジーのサーバーに,社外からインターネットを通じてアクセスすること(以下,「リモートアクセス」という。)が可能となった。 (6)リモートアクセスの手法アリモートメンテナンスサーバーには,米マイクロソフト社のWindowsのサーバー用OSが導入されており,インターネットを通じてリモートメンテナンスを行う方法には,サーバー用のWindowsが標準で備えている「ターミナルサービス」という機能が用いられた。 イターミナルサービスとは,WindowsがインストールされたクライアントPCから,クライアントソフトウェア(無償)を起動して,LANなどのネットワークを通じてサーバーを遠隔操作することを可能にする機能である。 現在市販されているパソコンのほとんどで使われているクライアント向けWindowsの最新版であるWindowsXPには,ターミナルサービスからサーバーに必要な機能を省略した「リモートデスクトップ接 続」というソフトウェア( ほとんどで使われているクライアント向けWindowsの最新版であるWindowsXPには,ターミナルサービスからサーバーに必要な機能を省略した「リモートデスクトップ接 続」というソフトウェア(以下,「リモートデスクトップ」という。)が標準でインストールされており,WindowsXPであれば,追加のソフトウェアを入手することなくターミナルサービスを利用することが可能となっている。 ウリモートデスクトップを用いて本件リモートメンテナンスサーバーに接続する際には,接続先である同サーバーのIPアドレスを特定した上で,ユーザー名とパスワードを正しく入力すれば,同サーバーに,ユーザー認証を受けてログオンすることが可能であり,一旦リモートデスクトップによるログオンを行ってしまえば,社外からネットワークを介していても社内で当該サーバーを直接操作しているのと全く変わらない状態となる。 エ本件リモートメンテナンスサーバーへログオンした後,本件リモートメンテナンスサーバーから,さらにリモートデスクトップを用いて,本件顧客データベースサーバー等へログオンすることができるが,その場合,当該サーバーに接続するためのユーザー名・パスワードが必要である(甲11の4)。 (7)本件リモートメンテナンスサーバー等のユーザー名及びパスワード本件リモートメンテナンスサーバーには,ログオンするためのユーザー名とパスワードとして,ユーザー名「genbatai」・パスワード「genbatai」が設定されており(以下,併せて「本件アカウント」という。),これは,社外からサーバーのメンテナンス業務を行う複数の担当者に与えられていた。 本件アカウントは,本件顧客データベースサーバーを含め被告BBテクノロジーが管理する複数のサーバーについて,各種メンテナンスのために必要なファ メンテナンス業務を行う複数の担当者に与えられていた。 本件アカウントは,本件顧客データベースサーバーを含め被告BBテクノロジーが管理する複数のサーバーについて,各種メンテナンスのために必要なファイル操作や設定変更,データやプログラムの変更を行う権限があるものとして登録されていた。 (8)本件顧客情報の不正取得 アAは,平成14年5月16日から,平成15年2月末日までの間,被告BBテクノロジーの業務委託先から同被告に派遣され,本件顧客データベースのメンテナンスや,同被告のサーバー群の管理を行う業務に従事していた者である(甲10の1,18の2)。 Aは,社外からメンテナンスを行う担当者の一人であり,本件アカウントを与えられていた。 イAは知人のBと共に,平成15年6月,本件アカウント等を使用して,インターネットカフェのパソコンからターミナルサービスを利用してリモートメンテナンスサーバーにログオンした上で,本件顧客データベースサーバーにアクセスし,本件顧客データベースに含まれる顧客情報を外部に転送し,Bが持ち込んだハードディスクに保存して不正に取得した(以下,この際の不正取得を「6月の不正取得」という。)。 ウBは,平成16年1月,再度,同様の手法で,被告BBテクノロジーの保有する顧客情報を不正に取得した(以下,この際の不正取得を「1月の不正取得」,イ,ウの不正取得を併せて「本件不正取得」という。)。 エAが被告BBテクノロジーでの業務を終える(以下,Aの同被告における業務の終了を「退職」ともいう。)際に,被告BBテクノロジーは,本件アカウントを含め,Aが利用し又は知り得たユーザー名の削除やパスワードの変更を行わず,本件リモートメンテナンスサーバーを設置した平成14年12月から平成16年1月まで,本件リモートメンテナンスサーバ カウントを含め,Aが利用し又は知り得たユーザー名の削除やパスワードの変更を行わず,本件リモートメンテナンスサーバーを設置した平成14年12月から平成16年1月まで,本件リモートメンテナンスサーバーに設定されていたユーザー名についてパスワードの定期的変更を行わなかった。 (9)本件不正取得に係る被告BBテクノロジーの顧客情報は,Bを通じて,恐喝の実行犯であるCらに渡り,Cが,被告BBテクノロジー及び関連会社であるソフトバンク株式会社に対する恐喝未遂事件(以下,「本件恐喝未遂事件」という。)で検挙された際に,本件不正取得の事実が判明した。 (10)Cが取得した被告BBテクノロジーの顧客情報には,原告らの個人情報が含まれており,その内容としては,①住所②氏名③電話番号④メールアドレス⑤ヤフーID⑥ヤフーメールアドレス⑦申込日を含むものであった(乙7の6,乙7の7)。 争点 (1)被告BBテクノロジーの過失の有無(原告らの主張)ア個人情報の管理に関する一般的な注意義務被告BBテクノロジーは,その事業に原告らの個人情報を利用しているところ,これらの個人情報を適切に管理し,漏えいすることのないよう対策をする信義則上の義務を負っている。 また,被告らは,社会のインフラを提供するインターネットサービスプロバイダーの事業者として,業務上管理する個人情報の管理につき,一般企業よりも重い注意義務を負っている。本件サービスは,電気通信事業に該当するところ,電気通信事業者に対しては,個人情報の保護に関する法律(以下,「個人情報保護法」という。)が成立する以前より,個人情報保護に関する各種ガイドラインが定められており,被告BBテクノロジーは,これらに基づき,社内の情報漏えいを防止する適切な措置を講じる義務を有していた。 イリモートアクセスに する以前より,個人情報保護に関する各種ガイドラインが定められており,被告BBテクノロジーは,これらに基づき,社内の情報漏えいを防止する適切な措置を講じる義務を有していた。 イリモートアクセスに関しての注意義務違反(ア)現代のIT社会において,企業活動にコンピュータの利用は不可欠であるが,まさに被告らが企業活動として行っているような急速なブロードバンドの普及によりインターネットへ接続する人口が急増し,これに伴い,インターネットに接続することに伴う脅威も増加・深刻化していることは周知のとおりである。 被告BBテクノロジーにおいては,平成14年12月以前は,サーバ ー管理を担当する者が,インターネットを通じて外部から管理を行うことは一切許可されていなかった。被告BBテクノロジーは,1(5)のとおり,平成14年12月に本件リモートメンテナンスサーバーを設置し,リモートアクセスを可能にしたものであるが,リモートアクセスを可能にすること自体,情報漏えいの危険を高める行為であり,その危険性に鑑みて,リモートアクセスについては,JIS規格などで各種の規定がなされているところである。 したがって,リモートアクセスを可能にするには,リモートアクセスすることの必要性がある場合に,必要な範囲に限って,相当な措置を施した上でのアクセスが許されると解するべきである。 (イ)リモートアクセスの必要性とその範囲a多数の会員に関する重大な個人情報を大量に含む本件顧客データベースを,その従業員にインターネットを通じて操作させることはこれ自体危険なことであり,情報セキュリティの確保の点から厳に慎まなければならない。 被告BBテクノロジーのシステムの障害が深夜・休日を問わず発生するとしても,このような事態は業務に付随して当然予想できることに過ぎず,担当者の常 キュリティの確保の点から厳に慎まなければならない。 被告BBテクノロジーのシステムの障害が深夜・休日を問わず発生するとしても,このような事態は業務に付随して当然予想できることに過ぎず,担当者の常駐等で十分対応できる事項である。本件サービスは,大規模に業務を展開していたのであり,個人情報が漏えいした時の危険性に鑑みれば,リモートアクセスを可能とするには強度の合理性を必要とするところ,そのような合理性は一切なかった。 bまた,第三者による冒用のおそれがあることから,リモートアクセスでユーザーが利用するサービスは,メールサービスや特定のサーバーへのアクセスなどに限定されるのが普通である。リモートアクセスにおいて,ユーザー名に管理者権限を付与すれば,サーバーに関するあらゆるデータの削除・複製だけでなく,ユーザー名の付与や,抹消 まで可能であり,管理者権限のあるユーザー名とパスワードが漏えいした場合に,セキュリティに壊滅的な危機をもたらしかねないから,特段の事情なくリモートアクセスのユーザー名に管理者権限を付与することは許されない。 本件アカウントは,本件リモートメンテナンスサーバーに対する管理者権限を有し,また,本件リモートメンテナンスサーバーを経由して管理の対象となる全ての被告BBテクノロジーのサーバーに対する管理者権限も有していた。このような強大な権限を有するユーザー名をリモートアクセスで許容していたのは,余りにも無謀かつ危険である。 (ウ)相当な措置被告BBテクノロジーは,以下のとおり,リモートアクセスを可能にする際の相当な措置を採っていなかったものである。 aファイアーウォール等によるアクセス規制被告BBテクノロジーは,外部から本件リモートメンテナンスサーバーへのアクセスに際して,ファイアーウォール等を利用して,あらか っていなかったものである。 aファイアーウォール等によるアクセス規制被告BBテクノロジーは,外部から本件リモートメンテナンスサーバーへのアクセスに際して,ファイアーウォール等を利用して,あらかじめ登録しておいた特定のコンピュータからの接続しか受け付けない等,権限ある者による正当なアクセスのみを許容するアクセス規制を一切行っていなかった。 1(6)ウのとおり,被告BBテクノロジーは,本件リモートメンテナンスサーバーのIPアドレスさえ判明してしまえば,何らのアクセス規制を受けることなく,インターネットカフェ内のパソコン等,世界中のどこからでも本件リモートメンテナンスサーバーへログオン認証を試みることが可能な状況を作出していた。 bユーザー名・パスワード管理被告BBテクノロジーは,前記のとおり,管理者権限を有する本件 アカウントが冒用されてしまった場合の危険性に鑑み,本件アカウントを含む本件リモートメンテナンスサーバーのユーザー名・パスワード管理について以下の措置をとるべきであったが,これを怠った。 (a)本件アカウントの共有被告BBテクノロジーは,本件リモートメンテナンスサーバーの利用者のユーザー名とパスワードは利用者ごとに管理して厳格に共有を禁止するべきであった。 しかし,被告BBテクノロジーにおいては,サーバーコンピューターの構築と運用・メンテナンス等の作業を行うAら6名のメンバーによる「現場隊」と呼ばれるグループがあり,被告BBテクノロジーは,本件アカウントを「現場隊」のメンバーに与えていた。また,「現場隊」のメンバー以外にも,サーバーコンピュータに携わる従業員には,本件アカウントの使用を認めていた。 (b)本件アカウントの品質被告BBテクノロジーは,ユーザー名・パスワードについて解析されにくい強度のものを使用すべき サーバーコンピュータに携わる従業員には,本件アカウントの使用を認めていた。 (b)本件アカウントの品質被告BBテクノロジーは,ユーザー名・パスワードについて解析されにくい強度のものを使用すべきであったが,本件アカウントは「現場隊」という日本語として読めること,ユーザー名とパスワードが同じであるなど,品質の低いものであった。 (c)退職時の変更被告BBテクノロジーは,本件アカウントを含むAが利用し又は知り得たユーザー名・パスワード等について,退職後に悪用されないようユーザー名の削除又はパスワードの変更をすべきであった。 本件においては,サーバー群の管理を行っていた現場隊の構成メンバーは,同被告のネットワークを熟知していたのであるから,Aのように現場隊のメンバーが異動・退職した場合には,同被告は,少なくともその者が現場隊に所属していた時と同じ権限を行使でき ないような対策をとるべきであったことは明白であった。 しかし,本件においては,被告BBテクノロジーは,1(8)エのとおり,Aが退職した後も,本件アカウント等を何ら変更することなく長期間放置していた。 (d)定期的な変更被告BBテクノロジーは,本件リモートメンテナンスサーバーに設定されたユーザー名について定期的にパスワードの変更をすべきであったところ,1(8)エのとおりこれを行わなかったものである。 (e)不正侵入発覚後の措置被告BBテクノロジーは,平成15年12月末ころに,Bが行った本件リモートメンテナンスサーバー等に対する不正アクセスに気付いた際に,それらの運用を停止するか,最低限,本件アカウントを含め,現存していたユーザー名を全て破棄すべきであったところ,そのような対策をとらず,Bによって変更されたパスワードを変更前のものに戻している。 ウ本件不正取得についての 最低限,本件アカウントを含め,現存していたユーザー名を全て破棄すべきであったところ,そのような対策をとらず,Bによって変更されたパスワードを変更前のものに戻している。 ウ本件不正取得についての予見可能性及び結果回避可能性(ア)予見可能性Aは,1(8)アのとおり,平成15年2月末日に被告BBテクノロジーを退職したが,退職の直前にAと同被告との間に何らかのトラブルがあったか,少なくともAにとって同被告を退職することは,極めて不本意なものであったことが強く推測される。このような状況においては,被告BBテクノロジーは,同被告に不平を持っていたAが退職後に本件アカウントやその他Aが知り得たユーザー名・パスワードを用いて本件リモートメンテナンスサーバーへのアクセスを行うことを予見し,又は予見可能であったというべきである。 また,本件が犯罪行為であるから予見不可能であるということはでき ない。 (イ)結果回避可能性被告BBテクノロジーにおいて,Aの知り得たユーザー名を全て削除したり,ファイアーウォール等によりアクセス制御を施す等の措置をとることで,Aによる本件リモートメンテナンスサーバーへのアクセスを防止することは可能であった。 エ以上のとおり,被告BBテクノロジーは,保有する個人情報を適切に管理し,その漏えいを防ぐために適切な措置を講ずべき注意義務を怠ったものであり,その過失により原告らの個人情報が漏えいしたのであるから,原告らに対して不法行為責任を負う。 (被告BBテクノロジーの主張)ア被告BBテクノロジーが,個人情報についての管理義務に違反し,この過失により原告らの個人情報が漏えいしたとの主張については争う。 イリモートアクセスに関する注意義務違反(ア)原告らも主張するとおり,リモートアクセスについては,リモートアク 義務に違反し,この過失により原告らの個人情報が漏えいしたとの主張については争う。 イリモートアクセスに関する注意義務違反(ア)原告らも主張するとおり,リモートアクセスについては,リモートアクセスすることの必要性がある場合に,必要な範囲に限って,相当な措置を施した上でのアクセスは許されると解すべきであるところ,本件当時の被告BBテクノロジーにおいては,リモートアクセスする必要があり,必要な範囲に限って,相当な措置を講じた上で,リモートアクセスを認めていたものである。 (イ)リモートアクセスの必要性とその範囲a被告BBテクノロジーが管理していた本件顧客データベースには何百万件もの個人情報が記録されており,単なる住所・氏名だけではなく,本件サービスの提供に必要な電話回線の回線タイプや接続先であるNTT局舎名等の顧客が使用する接続に関する情報も記録されている。また,日々加入した顧客を新規登録する必要があり,住所変更や, 電話番号変更等,本件顧客データベースに登録されている情報が変更された場合には,即座にそれらの情報を変更する必要があるので,ひとたび本件顧客データベースを含むシステムに不具合が生じた場合に,至急対応して復旧しなければ顧客に対するサービスを提供することができない。 顧客データベースを含む被告BBテクノロジーのシステムは24時間常に稼働しており,システムトラブルは,当然,深夜・休日など時間を問わず発生するため,外部からでもメンテナンスを行うためリモートアクセスの必要性があった。 b1(7)のとおり,本件アカウントには,被告BBテクノロジーが管理するサーバーについてメンテナンス等を行う権限が与えられていたが,これは被告BBテクノロジーが管理するサーバー全体の5分の1強のサーバーについてであり,本件アカウントに全ての BBテクノロジーが管理するサーバーについてメンテナンス等を行う権限が与えられていたが,これは被告BBテクノロジーが管理するサーバー全体の5分の1強のサーバーについてであり,本件アカウントに全てのサーバーの管理者権限が与えられていた訳ではない。 本件アカウントに,被告BBテクノロジーが管理するサーバーのメンテナンスに必要なファイル操作や設定変更,データやプログラムを変更する権限を与えていたのは,24時間体制で,社外からもメンテナンス業務を行うためのものであるから当然である。 (ウ)相当な措置aファイアーウォール等によるアクセス規制被告BBテクノロジーにおいても,本件リモートメンテナンスサーバーへのアクセスについては,ユーザー名とパスワードによる認証を行っており,何らのアクセス規制もなく,本件リモートメンテナンスサーバーに接続を試みることはできなかった。 また,本件リモートメンテナンスサーバーのIPアドレスを第三者が特定することは困難である。 bユーザー名・パスワード管理(a)本件アカウントの共有本件リモートメンテナンスサーバーに接続できる人数については,13人に限られており,ユーザー名等は,被告BBテクノロジーの担当者によって管理されていたものである。 本件当時は,個人情報保護法も施行されておらず,現在ほど各企業ともに個人情報の管理を厳密に行っていなかったのであり,ユーザー名を共有しないことは義務づけられていなかった。 (b)本件アカウントの品質「現場隊」という名称については,メンテナンス業務を行うために組織されたチームの通称にすぎず,被告BBテクノロジー社内の一部のもので知られているにすぎなかったものであるから,「genbatai」という本件アカウントについて,外部の者が簡単に類推できるようなものではなかった。 通称にすぎず,被告BBテクノロジー社内の一部のもので知られているにすぎなかったものであるから,「genbatai」という本件アカウントについて,外部の者が簡単に類推できるようなものではなかった。 (c)退職時の変更従業員個人に与えたユーザー名について,退職後速やかに抹消すべきことについては認める。 ただ,本件当時のガイドラインにおいては,アクセス権限者が異動した場合や退職した場合にユーザー名を直ちに無効にするべきであるとまでは規定されていなかったものである。 (d)定期的な変更1(8)エのとおり,被告BBテクノロジーは,約1年間,ユーザー名及びパスワードの定期的な変更をしなかったことは認めるが,これをもって過失ということはできない。 (e)不正侵入発覚後の措置被告BBテクノロジーは,何者かによって改ざんされた本件アカ ウントを平成16年1月8日に使用停止にしている。 ウ本件不正取得についての予見可能性及び結果回避可能性(ア)本件不正取得は,通常の情報管理体制によっては,防御しようのない社外の第三者の犯罪行為という特異な事情によるものである以上,被告BBテクノロジーにおいては予見可能性及び結果回避可能性がなく,過失はない。 (イ)予見可能性従業員や派遣社員が会社に対して不平を抱いていたことから,被告BBテクノロジーが,不正アクセス等の犯罪行為が行われることを予見し,又は予見可能であったとすることはできない。 (ウ)結果回避可能性本件においては,侵入に用いられたのは本件アカウントのみではなく,A及びBが,本件アカウントを利用して顧客データベースにアクセスし,原告らの個人情報を持ち出しているかは明らかではない。平成16年1月13日に個人情報が不正に取得されるに先立ち,同月8日には,被告BBテクノロジーは,何者かによ 用して顧客データベースにアクセスし,原告らの個人情報を持ち出しているかは明らかではない。平成16年1月13日に個人情報が不正に取得されるに先立ち,同月8日には,被告BBテクノロジーは,何者かによって改ざんされた本件アカウントを使用停止にしている。したがって,本件アカウントを厳重に管理していたとしても,Aによる不正アクセスを防止することは困難であった。 (2)被告ヤフーの責任の有無(原告らの主張)ア管理義務違反に基づく不法行為責任被告ヤフーは,被告BBテクノロジー同様,個人情報についての管理義務に違反した過失があり,この過失により,被告ヤフーの管理する原告らの個人情報が漏えいしたものであるから,原告らに対して,不法行為責任を負う。 イ監督義務違反等に基づく共同不法行為責任 仮に,原告らの個人情報を含む顧客情報について,被告ヤフーの主張するとおり,被告BBテクノロジーと被告ヤフーが別個に管理し,被告ヤフーが管理していた情報が,一切持ち出されていないとしても,以下の点で,被告ヤフーに過失が認められ,被告BBテクノロジーと共同不法行為責任を負う。 (ア)被告らはいずれもソフトバンク株式会社の子会社であり,ソフトバンクグループに属している。被告ヤフーは,被告BBテクノロジーと一体となって顧客と本件サービスの契約を締結している当事者であり,外形的に一体となって本件サービスを提供しており,本件サービスの顧客の情報についても利用料金の徴収等で一体の利用環境にあったものである。 このような本件サービスの全体から合理的に考えれば,被告ヤフーと被告BBテクノロジーは一体として個人情報を適切に管理する義務を負っており,受領した個人情報を被告ヤフーのサーバーに保存しているか,被告BBテクノロジーのサーバーに保存しているかは,被告ら内部での 被告BBテクノロジーは一体として個人情報を適切に管理する義務を負っており,受領した個人情報を被告ヤフーのサーバーに保存しているか,被告BBテクノロジーのサーバーに保存しているかは,被告ら内部での職務分掌にすぎない。したがって,被告ヤフーは,自己の管理するサーバだけではなく,被告BBテクノロジーの管理するサーバーに保存されている個人情報についても適切に管理する義務があった。 また,少なくとも,被告ヤフーは,被告BBテクノロジーが個人情報を適切に管理するように監督する作為義務を負っていたものである。 (イ)本件では,原告らは,被告ら両者との間で,本件サービスを受けるための契約を締結するとともに,その利用に必要な個人情報の管理を委託する旨合意し,被告らから不可分一体のサービスの提供を受けて,その対価である利用料金を被告ヤフーに対して払っている。 被告らの会社の沿革,資本関係,共同して本件サービスを提供し,顧客に対し,外形上被告らが一体として認識されていることに鑑みれば, 被告らに客観的関連共同性が認められることは明らかである。 (被告ヤフーの主張)ア管理義務違反に基づく不法行為責任被告ヤフーと被告BBテクノロジーは,法人格が異なるのはもちろんのこと,被告BBテクノロジーが回線等のハード面のサービスを提供し,被告ヤフーがホームページ等のソフト面のサービスを提供しており,別個独立のサービスを「Yahoo!BB」の統一名称を用いて行っているに過ぎない。 被告ヤフー及び被告BBテクノロジーは,必要となる顧客情報が異なることから,原告らの個人情報を含む顧客情報(内容は1(3)のとおり)を別のサーバーに別個に管理しており,共有しているわけではない。被告ヤフーが保有していた顧客情報は,一切,外部に持ち出されていない。 イ監督義務違反等に基づく共 む顧客情報(内容は1(3)のとおり)を別のサーバーに別個に管理しており,共有しているわけではない。被告ヤフーが保有していた顧客情報は,一切,外部に持ち出されていない。 イ監督義務違反等に基づく共同不法行為責任原告らの主張は,否認ないし争う。 (3)権利侵害の有無(原告らの主張)ア被告らの不法行為により,原告らの個人情報を含む大量の個人情報の漏えいという重大な結果を招き,原告らの自己の情報をコントロールする権利(自己情報コントロール権)が侵害されている。 また,本件のBによる情報漏えいについては,Bは,当初から恐喝を目的として顧客情報を取得しておらず,顧客情報を取得した後に,当該顧客情報の処分先として紹介されたDが恐喝を企図し,Cらと共謀するに至ったという事案であるから,仮に,捜査機関により原告らの個人情報が記録されたDVD-R等が押収されるなどしていたとしても,自己の情報が得体の知れない反社会的集団の手に渡ったこと自体が,原告らの自己情報コントロール権の侵害である。 イ二次流出について(ア)本件においては,A及びBとは無関係な第三者であるDやCら本件恐喝未遂事件の関係者に,Bを通じて,原告らの個人情報を含む顧客情報が渡ったこと自体が二次流出というべきである。 (イ)また,原告らの個人情報を含む被告BBテクノロジーの顧客情報が記録されたDVD-RとCD-Rを受け取ったDがこれをCに渡した後,当該DVD-RとCD-Rがいかなる経過をたどったのかについては不明である。この点,喝取金の受領を確実にするため原本以外にコピーを作成・保管しておくのは恐喝の常套手段であり,デジタルデータは容易に複製が可能であることからすれば,本件のような恐喝事案では,個人情報が何らかの手段で複製された可能性が高いというべきであり,結局,本件不 保管しておくのは恐喝の常套手段であり,デジタルデータは容易に複製が可能であることからすれば,本件のような恐喝事案では,個人情報が何らかの手段で複製された可能性が高いというべきであり,結局,本件不正取得によって漏えいした個人情報がすべて回収されたという確証はない。 (ウ)また,平成16年末ころ,被告BBテクノロジーの顧客情報が出版社に持ち込まれたり,インターネットのホームページ上で公開されたりするという事件が発生したと報道されており,被告BBテクノロジーも,流出した情報については,平成15年3月11日から同月22日時点における同社の顧客情報の一部と符合すること,及びその母数が約8万6000件であったとのプレスリリースを出しており,本件不正取得に係る顧客情報が本件恐喝未遂事件の関係者以外に一般に流通していた疑いは極めて強い。 (被告らの主張)原告らの主張は否認する。 ア(ア)個人情報については,その情報内容について,現に文字としてモニターに表示されるか,又は,プリントアウトされるなどして直ちに情報の意味内容を第三者が読みとれる状態(認識可能な状態)で開示されて 初めて,当該個人の権利が侵害されたというべきである。 (イ)本件では,被告BBテクノロジーから顧客情報のデータを持ち出したA及びBは,そのデータをハードディスク,CD-R,DVD-Rといった媒体に記録したまま保有しており,Cが恐喝に用いるためにプリントアウトした極めて一部の顧客に関する情報を除いて,原告らの個人情報を含め,一度も外部から認識可能な状態に置かれたことはなく,Aや恐喝犯らを含め原告らの個人情報を現に認識した者もおらず,このような状態で,原告らの権利が侵害されたとはいえない。 Bが被告BBテクノロジーから不正に持ち出した顧客情報は,CD-R,DVD-Rといっ 恐喝犯らを含め原告らの個人情報を現に認識した者もおらず,このような状態で,原告らの権利が侵害されたとはいえない。 Bが被告BBテクノロジーから不正に持ち出した顧客情報は,CD-R,DVD-Rといった媒体に保存された状態のまま,Bの共犯者であるE,D,Cの手に渡っているだけであり,外部の第三者はもちろんのこと不正取得した犯人たちでさえ原告らの情報を読みとることがないまま,後述のとおり,当該情報が記録された記録媒体は破棄されるなどしている。上記記録媒体には,原告ら以外の顧客の情報も含め合計数百万人分もの顧客のデータが記録されていたのであるから,実際上,原告らを含む個々の顧客の個人情報が着目され,個別に認識されることなど到底あり得なかった。 (ウ)また,上記のとおり,本件においては,原告らの私的事項が一切「公表」,「開示」されていないことから,原告らのプライバシーの権利が侵害されたともいえない。 イ二次流出について(ア)被告BBテクノロジーが,顧客情報のデータが外部に持ち出されたことを迅速に発表したため,犯行の発覚をおそれたA及びBは,それぞれ顧客情報のデータを破壊し,顧客情報の入っていたハードディスクを破棄した。また,BがDに渡したCD-RとDVD-Rは警察に領置され,既に回収されているのであって,現在に至るまで二次流出は確認さ れていない。 (イ)被告BBテクノロジーが,原告らの主張するプレスリリースを出したことは認めるが,原告らのデータは,前記の最大8万6000件の個人情報の中には含まれていない。 また,マスコミに持ち込まれた経緯や,インターネットに流出した経緯については不明であり,A・Bによる情報漏えい事件によって漏えいしたものであるとの裏付けはない。 (4)損害(原告らの主張)原告らには,自己情報コントロール権 緯や,インターネットに流出した経緯については不明であり,A・Bによる情報漏えい事件によって漏えいしたものであるとの裏付けはない。 (4)損害(原告らの主張)原告らには,自己情報コントロール権が侵害されたことそれ自体に対する精神的苦痛及び不特定の第三者にいついかなる目的でそれが利用されるか分からないという不安感という精神的苦痛を受けており,これに基づく精神的損害が生じていることは明らかである。 今回漏えいした情報は,個人を特定し,また,本人と連絡を取るために不可欠な情報であり,現在,実在するメールアドレスや電話番号は,架空請求などのために利用されていることが問題となっている。原告らは,今後,架空請求や詐欺等の被害に怯えて暮らさなければならず,原告らに対する架空請求等の実際の被害の発生の有無にかかわらず,その不安感だけでも精神的負担・損害は甚大である。 よって,原告らが被った損害は,1人あたり慰謝料100万円,弁護士費用としてその24%相当額の24万円の合計124万円は下らない。 原告らは,全損害の内金として,請求の趣旨記載の金員(一人あたり10万円)の支払を求める。 (被告らの主張)原告らの主張は,否認する。 原告らの主張は,広範囲に個人情報が出回っている可能性が高いことを前 提とするものであるが,前記のとおり,本件では原告等の個人情報が二次流出したとの事実はない。原告らの主張は,外部に不正に持ち出された顧客情報がすべて回収された確証がなく漠然たる不安があると述べるものであって,原告らに損害はない。 また,本件において,漏えいした原告らの個人情報としては,氏名,住所,電話番号,メールアドレス程度の基礎的な情報しか記録されていなかったのであり,その持ち出しが直ちに損害を構成するものではない。 第3 判断 本件不正取得の経緯等 の個人情報としては,氏名,住所,電話番号,メールアドレス程度の基礎的な情報しか記録されていなかったのであり,その持ち出しが直ちに損害を構成するものではない。 第3 判断 本件不正取得の経緯等前記の争いのない事実等に証拠(甲10の1~2,11の1~5,12,13の1~4,14~16,18の1~7,19の1~11,20の1~28,24の1~12)及び弁論の全趣旨を総合すれば,本件不正取得の経緯等について,以下の事実が認められる(認定事実の末尾に,当該事実の認定に用いた主な証拠を掲記する。)。 (1)被告BBテクノロジーのサーバー管理体制ア現場隊被告BBテクノロジーにおいては,平成14年11月末頃に,本件顧客データベースサーバーのデータにトラブルが発生したことが契機となり,同年12月ころ,社内に,同社の従業員であるFをリーダーとして,Aを含む合計6名のメンバーで構成される通称「現場隊」というグループを発足させた(甲11の2,11の5,18の2,18の6)。 現場隊の業務は,被告BBテクノロジー内のデータベース等のサーバーコンピュータの構築と運用,メンテナンス,サーバーコンピュータ内の記録データのバックアップ作業等,多岐に渡り,情報処理本部が使用していた50台以上のサーバーを管理していた(甲11の2,11の5)。 イリモートメンテナンスサーバーの設置 (ア)本件リモートメンテナンスサーバーが設置される以前は,被告BBテクノロジーにおいては,社内ネットワークの一部にはインターネットを通じてアクセスできるようにしていたが,セキュリティの関係で,インターネットを通じてアクセスした場合にデータベースの入ったサーバーには,アクセスができないようにしていた(甲11の1)。 (イ)現場隊の業務は,顧客や各部署からの要望に常時対応する必要 関係で,インターネットを通じてアクセスした場合にデータベースの入ったサーバーには,アクセスができないようにしていた(甲11の1)。 (イ)現場隊の業務は,顧客や各部署からの要望に常時対応する必要があり,被告BBテクノロジーは,平成14年12月27日,本件リモートメンテナンスサーバーを設置し,顧客データベースへのリモートアクセスを認めることになった。これは,夜間や休日に緊急にサーバーのメンテナンスの必要が生じた場合に社外からインターネットを通じてサーバーのメンテナンスを行う目的で,年末年始の休みが近づいていたことから設置されたものであった(甲11の1,11の5,13の2)。 (ウ)なお,本件リモートメンテナンスサーバーのほかに,被告BBテクノロジーは,サーバー群を監視するためのサーバーを一台設置しており(以下,「本件監視サーバー」という。),平成15年2月ないし3月ころから,本件監視サーバーに対しても,リモートデスクトップを用いて,外部からログオンすることが可能であった(甲11の3,11の5,13の1)。 ウ本件リモートメンテナンスサーバーへのアクセスの許可状況平成16年1月12日までに,本件リモートメンテナンスサーバーに登録されていた利用者の総数は65名であり(甲13の2),登録されているユーザー名には,本件アカウントを含め,ユーザー名とパスワードが同じものが多数存在していた(甲18の2~3,20の22)。 エ本件アカウントの権限(ア)本件アカウントには,本件リモートメンテナンスサーバーの管理者権限(アドミニストレータ権限)が与えられていた。 管理者権限は,サーバーについて,データの消去や変更,アカウントの追加登録作業,各種設定追加変更,ハードウェアのメンテナンス,障害監視等が行える権限であり,現場隊の業務として,サ られていた。 管理者権限は,サーバーについて,データの消去や変更,アカウントの追加登録作業,各種設定追加変更,ハードウェアのメンテナンス,障害監視等が行える権限であり,現場隊の業務として,サーバーのハードウェアのメンテナンス,障害監視等があったため,本件アカウントに管理者権限が与えられていたものであった(甲11の2,13の2)。 (イ)また,本件リモートメンテナンスサーバー同様に,現場隊がメンテナンスしていた各サーバーコンピュータにも,管理者権限が与えられたユーザー名として本件アカウントを登録することが認められていた(甲11の2,13の2)。 (ウ)本件アカウントは,現場隊のメンバーがグループで使用していたグループアカウントであるが,現場隊以外には,サーバーに携わる社員に限り,サーバーのメンテナンスのために本件アカウントを利用することが認められており,平成16年1月30日までに,延べ13名がこの使用を認められていた(甲13の2)。 なお,A個人に対しては,本件リモートメンテナンスサーバーのユーザー名とパスワードは与えられていなかった(甲11の1,18の2)。 (エ)本件アカウントで本件リモートメンテナンスサーバーにログオンした場合には,同サーバーに登録されているユーザー名の一覧を確認することができ,それらの削除等を行うことができた。また,本件アカウント以外で本件リモートメンテナンスサーバーにログオンした場合にも,登録されているユーザー名の一覧を確認することができた(甲20の25,20の28)。 オ本件顧客データベースの保管状況(ア)本件顧客データベースの原本は,本件顧客データベースサーバーに保管されていた。また,Aが,被告BBテクノロジーで業務を行っていた際に,本件顧客データベースのバックアップを採ったデータを,別の ア)本件顧客データベースの原本は,本件顧客データベースサーバーに保管されていた。また,Aが,被告BBテクノロジーで業務を行っていた際に,本件顧客データベースのバックアップを採ったデータを,別の サーバー(以下,「旧バックアップサーバー」という。)に保管していたことがあった。 本件不正取得当時は,毎日,データのバックアップを採って,最新のデータを本件リモートメンテナンスサーバーの中に保存しており,旧バックアップサーバーは使用されていなかったが,稼働はしていた。 Aは,被告BBテクノロジーで業務を行っていた際,本件顧客データベースサーバー及び旧バックアップサーバーのメンテナンス業務を担当していた(甲12,14,18の1)。 (イ)本件顧客データベースサーバーのユーザー名について本件顧客データベースサーバーには,データベース管理用のユーザー名(以下,「本件データベースアカウント」という。)が本件アカウント以前から設定されており,Aはこれを知っていた。 本件顧客データベースサーバーにも,本件アカウントは登録されていた(甲18の3,18の6~7)。 (2)6月の不正取得アAは,退職後の平成15年5月ころ,被告BBテクノロジーのサーバーから,本件顧客データベースのデータを取得することを考え,知人のBに相談した(甲18の1)。 Bは,相談された当初は乗り気ではなかったものの,次第に興味を抱き,同月末ころ,Aと共に被告BBテクノロジーのリモートメンテナンスサーバーへ侵入することに合意した(甲18の1,20の2,20の16)。 両名は,この計画を行うに際して,身元が判明しないようにするためインターネットカフェのパソコンを利用すること,利用者に対する監視や身分確認が甘い店舗を選択すること,侵入に際してはグローバルIPアドレスが付与されたパソコ に際して,身元が判明しないようにするためインターネットカフェのパソコンを利用すること,利用者に対する監視や身分確認が甘い店舗を選択すること,侵入に際してはグローバルIPアドレスが付与されたパソコンで行う必要があること等を打ち合わせた(甲20の2,20の21。) イ本件顧客データベースのデータの取得経緯Aは,Bと共に,同年6月13日,同月20日,同月27日,インターネットカフェに赴き,被告BBテクノロジーのサーバーにアクセスした。 本件顧客データベースサーバー内から本件顧客データベースのデータをAらが取得した経緯は,以下のとおりである。 (ア)6月20日のアクセスa6月20日,Aは,Bと共に,インターネットカフェに行き,店内のパソコンから,リモートデスクトップを用いて,本件リモートメンテナンスサーバーのIPアドレス及び本件アカウントを入力して,本件リモートメンテナンスサーバーにログオンした(以下,リモートデスクトップを用いて,接続先のサーバーを特定し,ユーザー名とパスワードを入力してサーバーにログオンすることを,単に「サーバーに,リモートデスクトップでログオンする」という。)(甲18の4)。 bAは,本件リモートメンテナンスサーバーから,さらに,リモートデスクトップで他のサーバーにログオンした。Aは,本件顧客データベースサーバーの中に,最新の顧客データベースのバックアップファイルを見つけ,ファイル圧縮ソフトを使用して,同ファイルの圧縮作業を開始したが,圧縮作業に時間が掛かることから,その状態で,被告BBテクノロジーのサーバーへの接続を切断した(甲18の4,18の6)。 (イ)6月27日のアクセスa6月27日,Aは,Bと共に,インターネットカフェに行き,店内のパソコンから,本件アカウントを用いて,本件リモートメンテナ 接続を切断した(甲18の4,18の6)。 (イ)6月27日のアクセスa6月27日,Aは,Bと共に,インターネットカフェに行き,店内のパソコンから,本件アカウントを用いて,本件リモートメンテナンスサーバーにリモートデスクトップで接続した(甲18の4,18の6)。 bAは,さらに,(ア)bの圧縮作業を行ったサーバーにリモートデス クトップでログオンし,圧縮結果を確認した上で,同ファイルを,被告BBテクノロジーのサーバーから,店内のパソコンに接続した外付けハードディスクに転送する作業を開始した。 この外付けハードディスクは,Bが用意したもので,Aらが,インターネットカフェに持ち込み,店内のパソコンに接続していたものであった(以下,このハードディスクを「本件外付けハードディスク」という。)(甲18の4,18の6)。 cファイルの容量が大きく,ファイル転送に約2日かかる計算であったため,Bが店員に交渉して,Aらが使用しているパソコンを誰も使えないようにしてもらった上で,Aらは店を出た(甲18の4,18の6)。 (ウ)6月30日の顧客情報の取得Aの仕事の都合があったため,Bは,6月30日,(イ)のアクセスの際と同じインターネットカフェに一人で赴き,(イ)bの転送の結果を確認したところ,ファイルの転送は完了しており,店内のパソコンに接続していた本件外付けハードディスクを取り外して,自宅へ持ち帰った(以下,この際にBが取得したデータを「6月のデータ」という。)(甲20の21)。 ウBは,6月13日のアクセス以前は,本件リモートメンテナンスサーバーを通じて,被告BBテクノロジーのサーバーにアクセスする方法を知らなかった。しかし,同月13日,20日,27日のアクセスの際に,Aがパソコンを操作するのを見たり,Aからの説明を受けたことを サーバーを通じて,被告BBテクノロジーのサーバーにアクセスする方法を知らなかった。しかし,同月13日,20日,27日のアクセスの際に,Aがパソコンを操作するのを見たり,Aからの説明を受けたことを通じて,・本件リモートメンテナンスサーバーのIPアドレス・本件アカウントや本件データベースアカウント・本件アカウントが,リモートメンテナンスサーバー以外のサーバーにも設定されていること ・本件リモートメンテナンスサーバーに登録されているユーザー名の中に,ユーザー名とパスワードが同じものが多数存在すること。 ・本件顧客データベースサーバーや,本件バックアップサーバーの存在等を知ったものである。 エなお,Aは,6月20日のアクセスの際に,6月のデータ以外に,被告BBテクノロジーのサーバー内の幾つかのファイルを本件外付けハードディスクに転送して入手した。また,その際に,旧バックアップサーバーから,本件顧客データベースの古いバックアップファイルの取得を試みたが,Aが旧バックアップサーバーから転送したバックアップファイルは,後日確認した結果,データの圧縮・転送に失敗しており,復元ができないことが確認された(甲18の4,20の3,20の21)。 (3)Bによる6月のデータの復元と独占アBは,6月のデータの取得後,これの転送が完了した旨をAに報告したが,両名は,すぐに顧客情報を処分すれば,被告BBテクノロジーが不正アクセスに気付くのではないかと考え,しばらくの間,同ファイルをそのままに置いておくことにした。そのため,Bが回収した本件外付けハードディスクは,そのままBが保管することとなった(甲18の4,20の21)。 イBは,平成15年9月中旬ころ,自己のパソコンを用いて,6月のデータの復元を試みたところ,復元に成功し,6月のデータには,47 クは,そのままBが保管することとなった(甲18の4,20の21)。 イBは,平成15年9月中旬ころ,自己のパソコンを用いて,6月のデータの復元を試みたところ,復元に成功し,6月のデータには,471万6788人分の個人情報が含まれていることを確認した。 当初,AとBの間では,被告BBテクノロジーから取得した顧客情報を第三者へ処分し,その利益を分配する予定であったが,Bは6月のデータを独り占めしようと考えた(甲20の4,20の6,20の17,20の21)。 ウ同年10月ころ,Aが,Bに連絡し,6月のデータの復元作業を行うこ ととなったが,Bは,既に復元に成功したことをAに告げず,さらに顧客データベースの一部を故意に破損させ復元が不可能となったデータベースファイルをAに手渡し,Aに本件顧客データベースサーバーからの転送が失敗したと誤信させた(甲18の4,20の21)。 (4)BとEの接触Bは,平成15年10月初めころ,知人の紹介で,右翼団体関係者であるDの娘婿であるEと会い,Eに6月のデータの売却等の処分先の仲介を依頼した(甲19の2,20の17)。 Bは,6月のデータの一部を印刷し,Eに渡したが,見づらいものであったため,6月のデータを,データの項目を絞り込んだ上で,マイクロソフト社のデータベースソフトであるアクセスを用いて見やすい表にして印刷し,同年11月下旬ころに,再度Eに渡した。Dは,6月のデータの処分の話をEから聞いており,それらの資料は,EからDへと渡った(甲19の3~4,19の10,20の6~7,20の17,24の7)。 (5)Aによる再度のアクセスとBによる本件アカウントの消去等ア本件顧客データベースのデータの取得に失敗したと信じていたAは,平成15年11月中旬ころから,Bに対し,なおも本件顧客データベースの 5)Aによる再度のアクセスとBによる本件アカウントの消去等ア本件顧客データベースのデータの取得に失敗したと信じていたAは,平成15年11月中旬ころから,Bに対し,なおも本件顧客データベースのデータの取得を持ちかけてくるようになり,Bはこれに応じることにした。 両者は,同年12月29日に再度,被告BBテクノロジーのサーバーにアクセスを試みることにした(甲18の5,20の21)。 イBは,同年11月24日,インターネットカフェのパソコンから,本件アカウントを用いて,本件リモートメンテナンスサーバーにリモートデスクトップでログオンし,本件アカウント等が変更されていないことを確認した(甲20の21)。 ウ12月27日の本件アカウントの消去Bは,Aによる顧客情報の取得を妨害するため,同年12月27日,イ ンターネットカフェ内のパソコンから,本件アカウントを用いて,本件リモートメンテナンスサーバーにリモートデスクトップでログオンした。Bは,ログオン後,本件リモートメンテナンスサーバーから,本件アカウントを消去した(甲20の21)。 エ12月29日のAとBのアクセス同月29日,AとBは,インターネットカフェに行った。Aは,店内のパソコンから,本件アカウントを用いて,リモートデスクトップで本件リモートメンテナンスサーバーにログオンしようとしたが,ログオンすることができなかった。そのためAは,知っている別のユーザー名とパスワードを入力し,本件リモートメンテナンスサーバーにリモートデスクトップでログオンすることに成功した。 Aは,本件顧客データベースサーバー内の最新のバックアップファイルを圧縮する作業を開始した上,被告BBテクノロジーのサーバーとの接続を切り,AとBはインターネットカフェから出た(甲18の5,20の21)。 オBによる圧縮 サーバー内の最新のバックアップファイルを圧縮する作業を開始した上,被告BBテクノロジーのサーバーとの接続を切り,AとBはインターネットカフェから出た(甲18の5,20の21)。 オBによる圧縮作業の中断と,パスワード変更(ア)Bは,Aが新たに顧客情報のデータを取得すれば,既に自らが保有しているデータの価値が下がってしまうと考え,12月29日,Aと別れた後に再度インターネットカフェに行った。そして,店内のパソコンから,本件アカウントを消去する際にユーザー名の一覧で見て記憶していた別のユーザー名(このユーザー名は,ユーザー名とパスワードが同一であった。)を用いて,本件リモートメンテナンスサーバーにリモートデスクトップでログオンし,Aの行った圧縮作業を中断した(甲20の21)。 (イ)Bは,同日,さらに,本件リモートメンテナンスサーバーに登録されているユーザー名のうち,Aが知っていると思われる複数のユーザー 名のパスワードを変更し,Aのデータ取得を妨害した(甲20の21,20の25)。 (ウ)Bは,12月31日にも,インターネットカフェのパソコンから,同様に,本件リモートメンテナンスサーバーに登録されているユーザー名のうち,ユーザー名とパスワードが同じものについて,パスワードを変更した(甲20の22,20の25)。 (エ)12月29日と31日の作業の際には,Bは,本件監視サーバーにも,本件アカウントを用いて,リモートデスクトップでログインした上で,登録されているユーザー名を確認し,そのパスワードを変更した(甲20の25)。 (6)BとDの接触Bは,12月31日,Eに誘われて,Dの忘年会に出席し,その際に,Dに初めて会った。Bは,Dによる被告BBテクノロジー等を恐喝する計画について,それまで聞かされていなかった。 翌日の BとDの接触Bは,12月31日,Eに誘われて,Dの忘年会に出席し,その際に,Dに初めて会った。Bは,Dによる被告BBテクノロジー等を恐喝する計画について,それまで聞かされていなかった。 翌日の平成16年1月1日に,Dは,BとEに,被告BBテクノロジー等を恐喝する計画であることを告げ,Bに,被告BBテクノロジー内に存在する新たなデータや6月のデータよりも重要なデータを取得すること,被告BBテクノロジーのサーバーに侵入したのが中国人であるように見せかけることなどを指示した(甲19の7,19の10,20の18,24の8)。 (7)被告BBテクノロジーのパスワード変更等への対処アBが,(5)オ(イ)のとおり,本件リモートメンテナンスサーバーに登録されていたユーザー名のパスワード変更を行ったため,平成15年12月30日,被告BBテクノロジーの従業員が,本件リモートメンテナンスサーバーへログオンできない事態が生じた(甲11の4,13の1)。 Fは,本件リモートメンテナンスサーバーと,本件監視サーバーに登録されていたパスワードが変更されていることに気付き,その旨の社内メー ルを送信して注意を喚起した。また,Fは,パスワードが書き換えられてログオンできなかったユーザー名については,書換え前のものにパスワードの再設定を行った(甲11の4)。 イまた,平成16年1月5日,本件リモートメンテナンスサーバーに,被告BBテクノロジーの従業員がログオンできない事態が生じた。その際の調査で,本件リモートメンテナンスサーバーについて,本件アカウントが削除されていること,アで再設定したパスワードが再び書き換えられていることが確認された(甲11の4,13の1)。 (8)1月の不正取得アBによるパスワード変更の有無の確認Bは,平成16年1月1日及び8日, ること,アで再設定したパスワードが再び書き換えられていることが確認された(甲11の4,13の1)。 (8)1月の不正取得アBによるパスワード変更の有無の確認Bは,平成16年1月1日及び8日,(5)のパスワード変更等に,被告BBテクノロジーが気付いて対応しているかを確認するため,インターネットカフェのパソコンから,自分がパスワードを変更したユーザー名を用いて,変更後のパスワードを入力して,本件リモートメンテナンスサーバーにログオンを試みた(甲20の22)。 同月1日には,変更後のパスワードでログオンできたが,8日には,変更後のパスワードで,ログオンすることができず,Bは,被告BBテクノロジーがパスワードの変更に気付いたことが分かった。Bは,8日のアクセスの際に,念のため,変更前のパスワードでログオンすることを試み,変更前のパスワードでログオンが可能であり,一部のユーザー名のパスワードがBによって変更される以前のものに戻されていただけであることを確認し,Bは再度パスワードを変更した(甲20の22,20の25)。 イ中国人のアクセスに見せかけるための工作1月10日,Bは,インターネットカフェ内のパソコンから,本件リモートメンテナンスサーバーにリモートデスクトップでログオンし,本件リモートメンテナンスサーバー内に,中国人の犯行に見せかけるための英文 のテキストファイルを作成・保存した(甲20の10,20の25)。 ウ1月13日のアクセス(ア)本件顧客データベースからのデータの抽出・圧縮1月13日,Bは,インターネットカフェのパソコンから,本件リモートメンテナンスサーバーに,リモートデスクトップでログオンし,さらに本件顧客データベースサーバーにリモートデスクトップでログオンした。本件顧客データベースサーバーにログオンする際には ら,本件リモートメンテナンスサーバーに,リモートデスクトップでログオンし,さらに本件顧客データベースサーバーにリモートデスクトップでログオンした。本件顧客データベースサーバーにログオンする際には,Bは,本件アカウントではなく,本件データベースアカウントを使用した。 Bは,本件顧客データベースサーバー内にあったデータベースを操作するソフトを用いて,本件顧客データベースの中から,顧客情報を抽出する作業を行い,抽出したデータを圧縮した(甲20の22,20の27)。 (イ)圧縮後のデータの転送同日,Bは,(ア)とは別のインターネットカフェに行き,本件リモートメンテナンスサーバーにリモートデスクトップで接続し,本件顧客データベースサーバーとは別のサーバーに(ア)の圧縮したデータをコピーした上で,同サーバーに本件アカウントでリモートデスクトップで接続し,そのサーバーから,(ア)の圧縮したデータを,店内のパソコンに接続した外付けハードディスクに転送した(以下,この際にBが取得したデータを「1月のデータ」という。)。 1月のデータには,約650万件の顧客情報が含まれていた。 この外付けハードディスクは,本件外付けハードディスクとは別のハードディスクで,Bが,自宅のパソコンで6月のデータの復元作業に使用していたものを取りだして,外付け用のケースに入れたものであった(甲20の13,20の22,20の27)。 (ウ)同日のアクセスの際に,Bは,本件顧客データベースサーバー内に, 被告BBテクノロジーが提供するIP電話サービス「BBフォン」の通話記録データの一部を発見し,1月のデータと同様に,このデータも抽出・圧縮した上で,被告BBテクノロジーのサーバーから,インターネットカフェのパソコンに接続した外付けハードディスクに転送した(甲15,16,2 の一部を発見し,1月のデータと同様に,このデータも抽出・圧縮した上で,被告BBテクノロジーのサーバーから,インターネットカフェのパソコンに接続した外付けハードディスクに転送した(甲15,16,20の22,20の27)。 エなお,同月11日,12日にも,Bは,本件リモートメンテナンスサーバーにリモートデスクトップでログオンしており,被告BBテクノロジーからデータを転送するためのテスト等を行い,12日には,13日と同様の方法で,顧客データの転送を試みたが,何らかの原因で転送が失敗したものであった(甲20の22,20の26,20の27)。 (9)DVD-R等の作成・Dらによる入手ア1月21日ころ,Dは,Eを通じて,Bに対し,取得した顧客情報のデータそのものを引き渡すように指示した(甲19の6,24の11)。 イBはDの指示を受けて,同月22日に,1月のデータをアクセスで加工した上で,CD-Rに10万人分,DVD-Rに450万人分の顧客情報を記録し(以下,それぞれ「本件CD」「本件DVD」という。),同月23日,これらをDに渡した(甲20の12,20の19,20の22,20の27)。 ウなお,Bは,同月,6月のデータの一部を抽出して印刷したものや,(8)ウ(ウ)の通話記録の一部を印刷したものも,EないしDに渡している(甲19の5,20の11~12,20の14,20の27,24の12)。 エ1月23日,Dは,本件CD及び本件DVDを,本件恐喝未遂事件の実行犯であるCに渡した(甲24の5,24の12)。 (10)A・Bらによる顧客情報等の処分アAは,平成16年1月3日,インターネットカフェのパソコンから本件 リモートメンテナンスサーバーへリモートデスクトップでログオンしようとしたがログオンできず,不正アクセスが被告BBテクノロ アAは,平成16年1月3日,インターネットカフェのパソコンから本件 リモートメンテナンスサーバーへリモートデスクトップでログオンしようとしたがログオンできず,不正アクセスが被告BBテクノロジーに発覚していると思ったため,被告BBテクノロジーから入手したデータの入っていたハードディスクは破棄し,Bから預かっていた本件外付けハードディスクは,動画データを何度も上書きして,元のデータが復元できないようにした(甲18の5~6)。本件外付けハードディスクはその後,Aの自宅から押収された(甲18の4,20の24)。 イBは,同月23日,本件DVD及び本件CDを渡した後に,被告BBテクノロジーの顧客情報を保存していたハードディスクを電子レンジにかけて,中のデータを破壊し,そのハードディスクを捨てた(甲20の15,20の19)。 ウ本件CD及び本件DVDは,同月23日,Cから被告BBテクノロジーに渡り,その後,同被告から警察に提出されて,警察が領置した(甲10の2,20の12,24の5)。 被告BBテクノロジーの過失について(1)注意義務の内容ア個人情報の管理に関する一般的な注意義務本件サービスが電気通信事業法上の電気通信事業に当たることは争いがなく,被告BBテクノロジーは同法にいう電気通信事業者に当たると認められる(乙3)ところ,本件不正取得が行われた当時,電気通信事業における個人情報保護に関するガイドライン(平成10年12月2日郵政省告示570号)5条4項は,「電気通信事業者が個人情報を管理するに当たっては,当該情報への不正なアクセス又は当該情報の紛失,破壊,改ざん,漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずるものとする。」と定めていた。 また,被告BBテクノロジーは,第2の1(3)ア,(4)のとおり セス又は当該情報の紛失,破壊,改ざん,漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずるものとする。」と定めていた。 また,被告BBテクノロジーは,第2の1(3)ア,(4)のとおり,原告ら を含む本件サービスの顧客の個人情報をデータベースとして保有,管理しており,個人情報保護法にいう個人情報取扱事業者に当たると解されるところ,同法20条は,「個人情報取扱事業者は,その取り扱う個人データの漏えい,滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と定めている(なお,同法は,平成15年5月30日に成立したが,本件不正取得が行われた当時は,まだ施行されていなかった。)。 これらの点に鑑みると,被告BBテクノロジーは,本件不正取得が行われた当時,顧客の個人情報を保有,管理する電気通信事業者として,当該情報への不正なアクセスや当該情報の漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていたと認められる。 イリモートアクセスに関する注意義務上記のとおり,本件においては,本件リモートメンテナンスサーバーを通じて,本件顧客データベースサーバーにリモートアクセスが可能な状態となっていた。 リモートアクセスについては,JIS規格や,コンピュータ不正アクセス対策基準(平成8年通商産業省告示第362号)で,その危険性が指摘され,不正アクセスへの対策について各種の規定がされているところであり(規定の内容については被告らも争わない。),これらの規定等の存在が示すように,あるサーバーに対してリモートアクセスを可能にすることは,それ自体,当該サーバーに対する外部からの不正アクセスの危険を高めるものであるといえる。 被告BBテクノロジーは,個人情報の管理に関して うに,あるサーバーに対してリモートアクセスを可能にすることは,それ自体,当該サーバーに対する外部からの不正アクセスの危険を高めるものであるといえる。 被告BBテクノロジーは,個人情報の管理に関してアのとおりの注意義務を負うのであるから,本件顧客データベースサーバーについて,そもそも必要性がない場合又は必要性のない範囲にリモートアクセスを認めるこ とは許されず,また,リモートアクセスを可能にするに当たっては,不正アクセスを防止するための相当な措置を講ずべき注意義務を負っていたというべきである。 (2)リモートアクセスに関する注意義務違反の存否アリモートアクセスの必要性及びその範囲の相当性(ア)被告BBテクノロジーが,平成14年12月に本件リモートメンテナンスサーバーを設置して,本件顧客データベースサーバーへのリモートアクセスを可能にしたのは,前記のとおり,休日や夜間に社外からサーバーのメンテナンスを行う必要からというものであった。 乙6の1によれば,同年12月当時の本件サービスの利用状況については,同月末の接続回線数が約169万件であり,前月に比べ約23万件の増加をしていたと認められ,同月当時,新規加入の顧客情報の入力や,登録された情報の変更等の作業は相当な量に上るものと推認でき,顧客データベースに不具合が生じた場合に至急復旧する必要性もあったと認められる。また,本件顧客データベースサーバーについて,前記のとおり,同年11月に実際にトラブルが生じていることにも照らせば,同年12月当時,被告BBテクノロジーにおいて,社外からメンテナンスを行うため,リモートアクセスを認める必要性がなかったとはいえない。 (イ)また,本件アカウントに,本件リモートメンテナンスサーバーや,本件顧客データベースサーバーを含むその他のサーバーについ スを行うため,リモートアクセスを認める必要性がなかったとはいえない。 (イ)また,本件アカウントに,本件リモートメンテナンスサーバーや,本件顧客データベースサーバーを含むその他のサーバーについての管理者権限を与えていたことについても,前記のとおり,社外からのメンテナンス作業を行うためにこれを付与していたと認められるから,メンテナンス作業に必要な範囲を超えた権限を与えていたとはいえない。 イ不正アクセス防止のための相当な措置(ア)アクセス管理の体制 前記のとおり(第2の1(6)ウ),本件リモートメンテナンスサーバーについては,そのIPアドレスを特定して,登録されたユーザー名・パスワードを入力すれば,リモートデスクトップでログオンすることが可能であって,被告BBテクノロジーは,本件リモートメンテナンスサーバーに対するアクセス管理として,ユーザー名とパスワードによる認証を行っていたが,特定のコンピュータ以外からはリモートアクセスができないようにする措置はとられていなかったものと認められる。 なお,証拠(甲25,26,乙7の16)及び弁論の全趣旨によれば,本件不正取得当時において,リモートアクセスを認める場合に,ユーザー名とパスワードによる認証以外に,コールバック機能等を使用することによって,特定のコンピュータからのアクセスしか認めないというようなアクセス規制をする方法は存在したものと認められる。 (イ)ユーザー名とパスワードの管理本件においては,前記のとおり,本件リモートメンテナンスサーバーに登録されているユーザー名とパスワードについて,被告BBテクノロジーは,①本件アカウントを共有アカウントとしてAに与えていたこと,②平成15年2月末にAが退職した際に,本件アカウントを含めAが知り得たユーザー名を削除したりそのパスワード いて,被告BBテクノロジーは,①本件アカウントを共有アカウントとしてAに与えていたこと,②平成15年2月末にAが退職した際に,本件アカウントを含めAが知り得たユーザー名を削除したりそのパスワードを変更したりしなかったこと,③本件リモートメンテナンスサーバーの設置から平成16年1月までの約1年間,登録されているユーザー名について,パスワードの定期的な変更を行わなかったことが認められる。 また,前記のとおり,④平成15年12月30日と平成16年1月5日に,本件リモートメンテナンスサーバーに登録されていたユーザー名のパスワードが変更されていたり,本件アカウントが削除されていたりしたことに気付いていたものの,パスワードが変更されていたユーザー名について元のパスワードに戻して,その使用を継続させていた。 (ウ)以上の被告BBテクノロジーにおけるリモートアクセスの管理体制は,ユーザー名とパスワードによる認証以外に外部からのアクセスを規制する措置がとられていない上,肝心のユーザー名及びパスワードの管理が極めて不十分であったといわざるを得ず,同被告は,多数の顧客に関する個人情報を保管する電気通信事業者として,不正アクセスを防止するための前記注意義務に違反したものと認められる。 なお,同被告は,本件リモートメンテナンスサーバーのIPアドレスを第三者が特定することは困難であると主張する。しかし,同被告は,退職した元従業員等,もともと本件リモートメンテナンスサーバーのIPアドレスを知り得る立場にある者による不正アクセスについても,これを防止するための相当な措置を講ずべきであると解されるから,IPアドレスの特定の困難性は上記判断に影響を与えるものではない。 (3)予見可能性及び結果回避可能性についてア予見可能性前記のとおり,Aは,被告BBテク な措置を講ずべきであると解されるから,IPアドレスの特定の困難性は上記判断に影響を与えるものではない。 (3)予見可能性及び結果回避可能性についてア予見可能性前記のとおり,Aは,被告BBテクノロジーにおいて,本件顧客データベースサーバーを含むサーバー管理業務を行っており,又,リモートアクセスを業務上認められていた。また,乙10によれば,被告BBテクノロジーは,Aが被告BBテクノロジーでの業務を始めるに当たって,被告BBテクノロジーの営業上ないし技術上の情報についての秘密保持等に関する誓約書を書かせていたことが認められる。 被告BBテクノロジーがAに行わせていた業務の内容,与えていた権限の内容に,前記誓約書を書かせていたことを総合すれば,Aが業務を終える際に同被告とトラブルがあったか否かにかかわらず,同被告は,Aが業務を終えた後に,業務中に知り得たパスワード等の情報を用いたり,他人にそれらの情報を漏らしたりすることによる不正アクセスについては,予見可能であったというべきであり,本件不正取得についても予見可能であ ったと認められる。 イ結果回避可能性本件において,後記のとおり原告らの個人情報が含まれていたと認められるのは1月のデータであるが,Bによる1月のデータの不正取得については,それまでに,被告BBテクノロジーが,本件アカウントを含むユーザー名・パスワードの適切な管理等,不正アクセスを防止するための相当な措置を採っていれば防ぎ得たといえるから,結果回避可能性も認められる。 この点,被告BBテクノロジーは,Aはその他のパスワード等によって被告BBテクノロジーのサーバーに侵入することも可能であった等として,本件アカウントについて,いくら厳重に管理していても,Bによる1月のデータの取得は防止できなかったと主張する。 確かに, によって被告BBテクノロジーのサーバーに侵入することも可能であった等として,本件アカウントについて,いくら厳重に管理していても,Bによる1月のデータの取得は防止できなかったと主張する。 確かに,前記本件不正取得の経緯のとおり,Bは,平成15年12月27日,本件リモートメンテナンスサーバーから,本件アカウントを削除しており,その後は,本件リモートメンテナンスサーバーにリモートデスクトップでログオンする際には,自らがパスワードを変更したユーザー名を用いるなどして,本件アカウントを使用していない。 しかし,本件リモートメンテナンスサーバーに多数のユーザー名・パスワードを登録している状況において,不正アクセスを防止するための相当な措置をとるためには,本件アカウントを含め,それら全体について適切な管理を行うべきことは当然である。1月のデータの不正取得については,前記の本件不正取得の経緯に照らし,例えば,本件アカウントのみならず,サーバー管理業務を行っていたAが知り得たと思われるユーザー名について,Aの退職時にこれを削除したり,パスワードを変更することによって防げた可能性が高いし,パスワードについての定期的な変更を行ったり,又は,平成16年1月に第三者によってパスワードが変更されていること に気付いた際など,全面的なパスワード変更を少なくとも1回行うことによっても防ぎ得たといえるから,この点についての被告BBテクノロジーの主張は採用できない。 (4)以上によれば,被告BBテクノロジーは,本件リモートメンテナンスサーバーを設置して本件顧客データベースサーバー等のサーバーへのリモートアクセスを行うことを可能にするに当たり,外部からの不正アクセスを防止するための相当な措置を講ずべき注意義務を怠った過失があり,同過失により本件不正取得を防ぐこと スサーバー等のサーバーへのリモートアクセスを行うことを可能にするに当たり,外部からの不正アクセスを防止するための相当な措置を講ずべき注意義務を怠った過失があり,同過失により本件不正取得を防ぐことができず,原告らの個人情報が第三者により不正に取得されるに至ったというべきである。したがって,同被告は,原告らに対し,本件不正取得により原告らの被った損害を賠償すべき不法行為責任がある。 被告ヤフーの過失及び共同不法行為責任について(1)自己の保管する個人情報に対する管理義務違反証拠(甲10の1,21の1,乙3)及び弁論の全趣旨によれば,被告ヤフーと被告BBテクノロジーは,その管理している情報の範囲も異なり(被告ヤフーのみが利用料の徴収業務を行い,クレジットカード番号等の決済情報を保有していた。),顧客情報をそれぞれ別個に管理していたものと認められ,本件全証拠によっても,被告ヤフーが管理していた顧客情報が流出したとは認められない。 したがって,被告ヤフーが自らの管理していた顧客情報に対する管理義務に違反し,同被告の管理する原告らの個人情報が漏えいしたとの事実は認められず,この点に関する原告らの主張は理由がない。 (2)被告BBテクノロジーに対する監督義務違反等ア監督義務違反等による過失の有無について証拠(甲10の1,乙3)及び弁論の全趣旨によれば,被告らは,原告らを含む顧客と,それぞれ別個の契約を締結し,それぞれが顧客から個人 情報の提供を受け,別個のサービスを提供していたものと認められ,また,前記のとおり,その管理している情報の範囲も異なり,別個のサーバーに保管管理していたものである。 確かに,証拠(甲10の1,21の1,乙1の2,2~4)及び弁論の全趣旨によれば,原告らの主張するように,被告らは,共に株式会社ソフトバンク も異なり,別個のサーバーに保管管理していたものである。 確かに,証拠(甲10の1,21の1,乙1の2,2~4)及び弁論の全趣旨によれば,原告らの主張するように,被告らは,共に株式会社ソフトバンクの子会社であり,本件サービスの契約手続などにおいて外形上一体のものとして本件サービスを提供していたものであり,また,利用料の徴収のため,被告BBテクノロジーは,回線使用料のデータ等を被告ヤフーに送っていたこと,申込者のデータの入力の作業の際に,申込時に提供された個人情報が被告ヤフーを通じて被告BBテクノロジーに送られていたことが認められる。 しかし,これらの事情を総合したとしても,本件において,被告ヤフーが,被告BBテクノロジーが別個に保管していた顧客情報について,適切に管理すべき義務を負っていたとは認められない。また,同様に,被告ヤフーが,被告BBテクノロジーが顧客情報を適切に管理するよう監督すべき義務を負っていたともいえない。 以上のとおりであって,被告BBテクノロジーの管理する情報が不正取得されたことについて,被告ヤフーの過失は認められない。 イしたがって,その余の点について判断するまでもまく,上記過失を前提として,被告ヤフーが被告BBテクノロジーと共同不法行為責任を負うとの主張には理由がない。 原告らの権利侵害について(1)不正取得された原告らの個人情報前記のとおり,Cが取得した顧客データは,1月のデータの一部を本件DVD及び本件CDに記録したものと認められ,その中に,原告らの個人情報が含まれていたことは争いがないから,1月のデータに原告らの個人情報が 含まれていたことが認められる。 A及びBは,前記のとおり,1月のデータの他にも,6月のデータや通話記録等を被告BBテクノロジーのサーバーから不正に取得しているが,本件全証 原告らの個人情報が 含まれていたことが認められる。 A及びBは,前記のとおり,1月のデータの他にも,6月のデータや通話記録等を被告BBテクノロジーのサーバーから不正に取得しているが,本件全証拠によっても,これらに,原告らの個人情報が含まれていたとは認められない。 (2)1月のデータの流通範囲(二次流出の有無)1月のデータは,前記のとおり,Bが取得し,本件DVD及び本件CDに記録され,Dを通じてCに渡り,Cから被告BBテクノロジーに渡ったことが認められる。また,1月のデータの処分については,前記のとおり,これが入ったハードディスクはBにより,電子レンジにかけて破壊された上で破棄されていること,本件DVD及び本件CDは押収されていることが認められる。 原告らは,この点,本件DVD及び本件CDをCらが複製した可能性がある旨主張する。しかし,証拠(甲10の2,24の5,24の12)及び弁論の全趣旨によれば,Cが本件DVD及び本件CDを取得したのは,被告BBテクノロジー側と接触する直前であり,Cは,その日の接触の際にこれらを被告BBテクノロジー側に渡しているのであって,複製作業等を行う時間的余裕があったとは考えがたく,本件全証拠に照らしても,このような複製の事実を認めることはできない。 また,インターネットやマスコミに流出したデータについては,本件全証拠に照らしても,1月のデータであるとは認められず,また,それらの中に原告らのデータが含まれているとも認められない。 以上のとおりであり,本件において,1月のデータが,B及びCら本件恐喝未遂関係者からさらに他の者に流出(以下,「二次流出」という。)したとは認められない。 (3)権利侵害 ア上記のとおり,B,Cらが取得した1月のデータは原告らそれぞれの個人情報を含み,その内容は,①住 らさらに他の者に流出(以下,「二次流出」という。)したとは認められない。 (3)権利侵害 ア上記のとおり,B,Cらが取得した1月のデータは原告らそれぞれの個人情報を含み,その内容は,①住所②氏名③電話番号④メールアドレス⑤ヤフーID⑥ヤフーメールアドレス⑦申込日を含むものであった。 イ上記①~⑥の住所・氏名・電話番号・メールアドレス等の情報は,個人の識別等を行うための基礎的な情報であって,その限りにおいては,秘匿されるべき必要性が高いものではない。また,本件サービスの会員であるということ及びその申込日についても同様である。 しかし,このような個人情報についても,本人が,自己が欲しない他者にはみだりにこれを開示されたくないと考えることは自然なことであり,そのことへの期待は保護されるべきものであるから,これらの個人情報は,原告らのプライバシーに係る情報として法的保護の対象となるというべきである。 ウ被告らは,本件において二次流出は確認できず,原告らの個人情報が文字としてモニターに表示されたり印刷されたりして外部から認識可能な状態で開示されたことがない等として,原告らの権利は侵害されていないと主張する。 しかし,1月のデータは,前記のように,Bによって不正に取得され,Bがアクセスを用いて加工し,原告らの個人情報を含むその一部を記録した本件DVD及び本件CDがD及びCに渡っているのであって,二次流出が認められなくても,これらのこと自体によって原告らのプライバシーの権利は侵害されたものといえる。 損害について(1)前記のとおり,被告BBテクノロジーの過失により,1月のデータが不正取得され,原告らのプライバシーの権利が侵害されたというべきであるから,被告BBテクノロジーは,これによって原告らが被った精神的苦痛について,原告ら BBテクノロジーの過失により,1月のデータが不正取得され,原告らのプライバシーの権利が侵害されたというべきであるから,被告BBテクノロジーは,これによって原告らが被った精神的苦痛について,原告らに対して,損害賠償責任を負うものである。 (2)原告らは,損害の内容として,不正取得された原告らの個人情報が不特定の第三者にいついかなる目的でそれが利用されるか分からないという不安感を主張する。 確かに,本件においては,原告らの個人情報は,Dらの手に渡り,恐喝未遂という犯罪に用いられたものであり,それらの者が,自己の利益を図るために,恐喝以外の手段に原告らの個人情報を利用した危険性はあったものと考えられる。 しかし,1月のデータの回収状況については,4(2)のとおり,二次流出があったとは認められない状況であり,その意味で,1月のデータの流出についての原告らの不安感は,さほど大きいものとは認められない。 (3)これらの事情のほか,1月のデータに含まれていた原告らの個人情報は秘匿されるべき必要性が必ずしも高いものではなかったこと,被告BBテクノロジーが,本件恐喝未遂事件後,顧客情報の社外流出について発表を行い,不正取得されたことが確認できた顧客に対してその旨連絡するとともに,本件サービスの全会員に500円の金券を交付するなどして謝罪を行う一方,顧客情報についてのセキュリティ強化等の対策をとっていること(乙7の1~16,弁論の全趣旨)といった本件に現れた一切の事情を考慮すると,原告らの精神的苦痛に対する慰謝料としては一人あたり5000円と認めるのが相当である。 弁論の全趣旨によれば,原告らは,甲・乙事件訴訟代理人弁護士らに本件訴訟の提起・追行を委任しており,これに対する報酬の支払を約したと認められ,被告BBテクノロジーの不法行為と相当因果関 相当である。 弁論の全趣旨によれば,原告らは,甲・乙事件訴訟代理人弁護士らに本件訴訟の提起・追行を委任しており,これに対する報酬の支払を約したと認められ,被告BBテクノロジーの不法行為と相当因果関係のある弁護士費用は一人あたり1000円と認めるのが相当である。 結論 よって,原告らの本訴請求は,被告BBテクノロジーに対し,それぞれ6000円及びこれに対する甲事件原告らについては平成16年5月29日から, 乙事件原告らについては平成17年6月3日からそれぞれ支払済みまで民法所定の年5分の割合による遅延損害金の支払を求める限度で理由があるから認容し,同被告に対するその余の請求及び被告ヤフーに対する請求は理由がないからこれを棄却し,訴訟費用の負担につき民事訴訟法61条,64条本文,65条1項本文を,仮執行宣言につき同法259条1項をそれぞれ適用して,主文のとおり判決する。 大阪地方裁判所第11民事部裁判長裁判官山下郁夫裁判官横路朋生裁判官矢野紀夫
▼ クリックして全文を表示