- 1 -主文 1 原判決を次のとおり変更する。 被控訴人らは,控訴人Aに対し,連帯して2000円及びこれに対する被控訴人株式会社ベネッセコーポレーションについては平成27年1月11日から,被控訴人株式会社シンフォームについては同月14日から各支払済みまで年5分の割合による金員を支払え。 被控訴人らは,控訴人Bに対し,連帯して2000円及びこれに対する被控訴人株式会社ベネッセコーポレーションについては平成27年1月11日から,被控訴人株式会社シンフォームについては同月14日から各支払済みまで年5分の割合による金員を支払え。 控訴人らのその余の請求をいずれも棄却する。 2 訴訟費用は第1,2審を通じて15分し,その1を被控訴人らの,その余を控訴人らの負担とする。 事実及び理由 第1 控訴の趣旨 1 原判決を取り消す。 2 被控訴人らは,控訴人Aに対し,連帯して3万円及びこれに対する被控訴人株式会社ベネッセコーポレーションについては平成27年1月11日から,被控訴人株式会社シンフォームについては同月14日から各支払済みまで年5分の割合による金員を支払え。 3 被控訴人らは,控訴人Bに対し,連帯して10万円及びこれに対する被控訴人株式会社ベネッセコーポレーションについては平成27年1月11日から,被控訴人株式会社シンフォームについては同月14日から各支払済みまで年5分の割合による金員を支払え。 第2 事案の概要(用語の略称及び略称の意味は,特に断りのない限り原判決に従う。 以下同じ。)- 2 - 1 本件は,被控訴人ベネッセに個人情報を提供した控訴人らが,被控訴人ベネッセが被控訴人シンフォームにその管理を委託し,被控訴人シンフォームが更に外部業者に再委託し,再委託先の従業員が当該個人情報を外部に漏えいさせたこ ネッセに個人情報を提供した控訴人らが,被控訴人ベネッセが被控訴人シンフォームにその管理を委託し,被控訴人シンフォームが更に外部業者に再委託し,再委託先の従業員が当該個人情報を外部に漏えいさせたこと(本件漏えい)につき,①被控訴人らにおいて控訴人らの個人情報の管理に注意義務違反があった,②被控訴人シンフォームは上記従業員の使用者であり,上記従業員の行為は被控訴人シンフォームの事業の執行についてされた,③被控訴人ベネッセは被控訴人シンフォームの使用者であり,被控訴人シンフォームの注意義務違反は被控訴人ベネッセの事業の執行についてされたものであり,本件漏えいにより控訴人らは精神的苦痛を被ったと主張して,被控訴人らに対し,共同不法行為に基づき,連帯して,慰謝料として控訴人Aについて3万円及び控訴人Bについて10万円並びにこれらに対する各訴状送達の日の翌日である被控訴人ベネッセについては平成27年1月11日から,被控訴人シンフォームについては同月14日から各支払済みまで民法所定の年5分の割合による遅延損害金の支払を求めた事案である。 原審は,本件漏えい当時,被控訴人シンフォームには,MTP対応スマートフォンに対する書き出し制御措置を講ずべき注意義務があり,これを怠った過失が,被控訴人ベネッセには,被控訴人シンフォームに対する適切な監督をすべき注意義務があり,これを怠った過失がそれぞれ認められるから,被控訴人らには共同不法行為が成立するが,控訴人らに慰謝料請求権を認め得るほどの精神的苦痛が生じたと認めることはできないとして,控訴人らの請求を棄却した。そこで,控訴人らがこれを不服として控訴した。 2 前提事実,争点及びこれに関する当事者の主張は,次のとおり原判決を補正するほかは,原判決の「事実及び理由」の第3及び第4に記載のとおりであるから, そこで,控訴人らがこれを不服として控訴した。 2 前提事実,争点及びこれに関する当事者の主張は,次のとおり原判決を補正するほかは,原判決の「事実及び理由」の第3及び第4に記載のとおりであるから,これを引用する。 原判決2頁26行目の「掲記の証拠」の次に「(以下,枝番がある書証は枝番を含めて表記することがある。)」を加える。 - 3 -原判決3頁16行目の「業務」の次に「(以下「本件業務」という。)」を加える。 原判決6頁8行目及び13頁7行目の各「業務委託先」をいずれも「再委託先である外部業者」と改める。 原判決7頁1行目から2行目にかけての「これらが,充電のために業務用のパソコンにUSBケーブルで接続されていた」を「充電のために,スマートフォンを業務用パソコンにUSBケーブルで接続することも許容されていた」と改める。 原判決9頁17行目から同頁23行目の末尾までを削る。 原判決10頁26行目の「子らへの」を「子どもたちへの」と,11頁3行目の「V1」を「V」とそれぞれ改める。 原判決12頁8行目及び14頁16行目の各「各自」をいずれも「各室」と,同頁20行目の「データセキュリティガイドブック」を「データセンターセキュリティガイドブック」とそれぞれ改める。 原判決17頁5行目の「業務用パソコン」から同頁6行目の「搭載していれば」までを「セキュリティソフトにより,MTPでデータを転送するデバイスを業務用パソコンで使用できないようにするなど,業務用パソコンからデバイスへのデータの書き出しを制御する措置を講じていれば」と改める。 原判決17頁19行目から同頁24行目までを次のとおり改める。 「 被控訴人らが導入していたセキュリティソフトにおいては,MTPをデータの転送に使用するデバイスであるWindows 」と改める。 原判決17頁19行目から同頁24行目までを次のとおり改める。 「 被控訴人らが導入していたセキュリティソフトにおいては,MTPをデータの転送に使用するデバイスであるWindowsポータブルデバイス(以下「WPD」という。)を使用禁止とすることが可能であったのであるから,これにより,業務用パソコンから本件スマートフォンへのMTPによるデータの書き出しを制御することができたのであり,このような措置を講じていなかった被控訴人シンフォームには注意義務違反がある。」原判決20頁3行目の「現代」を「現在」と,21頁5行目及び6行目の各- 4 -「データセキュリティガイドブック」をいずれも「データセンターセキュリティガイドブック」とそれぞれ改める。 原判決24頁19行目末尾の次を改行して次のとおり加える。 「ウ控訴人らは,被控訴人らが導入していたセキュリティソフトにおいては,WPDについて使用禁止とすることが可能であり,これによりMTPによる書き出しを制御することできたと主張するが,MTPを使用する機器として念頭に置かれていたのは,デジタルカメラや携帯音楽プレイヤーなど,情報漏えいのリスクと考えられていなかった機器であり,これらのデバイスであるWPDを使用禁止にしなかったことは,被控訴人らの義務違反を構成するものではない。MTPに対応したスマートフォンによる情報漏えいのリスクは,本件漏えいに至るまで情報セキュリティの専門家ですら気づいていなかったものであり,このような状況で,被控訴人らにおいて,セキュリティソフトでMTPによる通信を制御する義務を負うと解することはできない。」原判決26頁18行目及び21行目の各「データセキュリティガイドブック」をいずれも「データセンターセキュリティガイドブック」と改める。 よる通信を制御する義務を負うと解することはできない。」原判決26頁18行目及び21行目の各「データセキュリティガイドブック」をいずれも「データセンターセキュリティガイドブック」と改める。 原判決32頁4行目の「関関する」を「関する」と改め,同頁10行目から11行目にかけての「選定基準は具体的で運用なものであること」を削る。 原判決37頁9行目から10行目にかけての「本件シンフォームデータベース」を「本件データベース」と改め,39頁23行目の「株式会社」を削る。 原判決44頁8行目の「原告らの」を「控訴人Bの」と改める。 第3 当裁判所の判断 1 当裁判所は,本件漏えい当時,被控訴人シンフォームには,業務用パソコンからMTP対応スマートフォンへのデータの書き出し(持ち出し)を制御する措置を講ずべき注意義務があったにもかかわらず,これを怠った過失があり,被控訴人ベネッセには,被控訴人シンフォームに対する適切な監督をすべき注意義務- 5 -があったにもかかわらず,これを怠った過失があり,被控訴人らの不法行為は客観的に関連するから共同不法行為が成立し,これにより控訴人らが受けた精神的損害に対する慰謝料は各2000円と認めるのが相当であると判断する。その理由は,次のとおり原判決を補正するほかは,原判決の「事実及び理由」の第5に記載のとおりであるから,これを引用する。 原判決46頁8行目から47頁7行目末尾までを次のとおり改める。 「ア前記前提事実,後掲の証拠及び弁論の全趣旨によれば,次の事実が認められるMTP・MSCなどについて本件スマートフォンは,MTPに対応していたが,当時,スマートフォンなどのデバイスをUSBケーブルでパソコンに接続してデータの転送を行う規格には,他にMSC(USBマスストレージクラス〔 ついて本件スマートフォンは,MTPに対応していたが,当時,スマートフォンなどのデバイスをUSBケーブルでパソコンに接続してデータの転送を行う規格には,他にMSC(USBマスストレージクラス〔MassStrageClass〕の略。パソコンとデバイスの接続に用いられる規格。以下「MSC」という。)があった。 MTPでもMSCでも,パソコンにスマートフォンなどのデバイスをUSBケーブルで接続してデータの転送をすることが可能である点で違いはない。MSCでは,ファイルシステムの管理などはパソコン側のOSで行われ,接続されたデバイスは,USBに接続された外部記憶装置(USBメモリや外付けHDDなど)と同等に管理・利用される。 これに対し,MTPは,デジタルカメラの画像転送プロトコル(PTP)をベースに,音楽・動画ファイルなどの転送を可能にした規格であり,デジタルオーディオプレイヤーやデジタルメディアプレイヤーに音楽ファイルや動画ファイルを転送する目的で設計され,これらのプレイヤー等に採用されており,ファイルシステムの管理などはデバイス側で行われるという違いがある。そして,接続されたデバイスは,WPDなどとしてパソコン側のOSであるWindowsには認識される。 - 6 -Windowsの場合,OS自体がMTPに対応しているので,デバイスドライバや対応するアプリケーションをインストールすることなしに,MTPに対応するデバイスにデータを転送することが可能であった。(甲4,92,乙97,100ないし102)被控訴人らが導入していたセキュリティソフトについて被控訴人らが,業務用パソコンに導入していたセキュリティソフトは,株式会社日立ソリューションズ製であった(以下「本件セキュリティソフト」という。)。平成23年7月ころには ュリティソフトについて被控訴人らが,業務用パソコンに導入していたセキュリティソフトは,株式会社日立ソリューションズ製であった(以下「本件セキュリティソフト」という。)。平成23年7月ころには,本件セキュリティソフトによって,リムーバブルメディア,CD/DVD,外付けHDDのほか,終端機器としてイメージングデバイス,WPD,その他制御デバイス等,通信機器として無線LAN,モデム,赤外線等について使用可否制御が可能となっていた。そして,これらのデバイスの全てを制御して使用を禁止した場合,PCからのデータの書き出しは不可能であった。 本件セキュリティソフトにおいては,リムーバブルメディア,CD/DVD,外付けHDDについては,データの書き出しを禁止できる持ち出し制御が可能であり,リムーバブルメディアについては,組織で管理していないUSBメモリのデータの読み書きを禁止できるUSBメモリの個体識別制御が可能であった。また,読み書きを個別に許可されたUSBメモリについては,書き出されたデータは暗号化された。 被控訴人らは,本件セキュリティソフトで,書き出し制御が行われているリムーバブルメディア,CD/DVD,外付けHDD以外は,全てのUSBデバイスが使用禁止されていると考えていたが,実際には,リムーバブルメディア,CD/DVD,外付けHDDだけが書き出し制御の対象とされ,データの書き出しが禁止とされる設定になっていた。 個々のデバイスの制御は,自由に変更することが可能であり,作業手- 7 -順さえ踏めば被控訴人シンフォームにおいて自由に変更することができた。平成23年8月に被控訴人シンフォームに納品された本件セキュリティソフトのパラメータシートには,「デバイス制御設定」欄の「①デバイス使用可否制御を有効にする,②デバイス個 由に変更することができた。平成23年8月に被控訴人シンフォームに納品された本件セキュリティソフトのパラメータシートには,「デバイス制御設定」欄の「①デバイス使用可否制御を有効にする,②デバイス個体識別制御を有効にする,③個体識別ログの出力を有効にする」の3つの項目のチェック欄にチェックがされておらず,設定がされていないことが表示されていた。 スマートフォンは,Windowsにおいて,リムーバブルメディア,WPD,イメージングデバイス,その他制御デバイスのいずれかで認識されるが,本件漏えい当時の本件セキュリティソフトの設定では,スマートフォンがリムーバブルメディアとして認識される場合(データの転送にMSCを使用する場合)にのみ,書き出し制御の対象となるが,本件スマートフォンのようにデータの転送にMTPを使用しWPDで認識される場合は,デバイスの使用は許可されており,書き出されたデータの暗号化もされなかった。 被控訴人シンフォームは,本件漏えい後に,本件セキュリティソフトのバージョンアップをするとともに,その設定を見直し,平成26年7月22日以後は,リムーバブルメディア,CD/DVD,外付けHDDについて従前どおりデータの書き込みを禁止し,他のデバイスについては,プリンタ,ネットワークドライブ,無線LAN,パラレル/シリアルポート以外を,使用可否制御により使用禁止とし,上記パラメータシートの「①デバイス使用可否制御を有効にする,②デバイス個体識別制御を有効にする,③個体識別ログの出力を有効にする」の3つの項目のチェック欄にチェックを入れた。(甲66,70ないし72)Wによる本件漏えいについてWは,本件漏えい当時,経済的な苦境状態にあり,本件業務で扱って- 8 -いる被控訴人ベネッセの顧客情報を名簿業者に販売する 入れた。(甲66,70ないし72)Wによる本件漏えいについてWは,本件漏えい当時,経済的な苦境状態にあり,本件業務で扱って- 8 -いる被控訴人ベネッセの顧客情報を名簿業者に販売することを考えていたが,USBメモリ等が書き出し制御の対象とされていることを認識していたので,これを諦めていた。そのような時に,Wは,本件スマートフォンを充電のために業務用パソコンに市販のUSBケーブルで接続したところ,外部記憶媒体として認識され,業務用パソコンから本件スマートフォンにファイルを移動することができることを知った。 そこで,Wは,被控訴人ベネッセコーポレーションの顧客情報を書き出し,本件漏えいに及んだものであり,本件漏えいにおいて,ファイルの転送にはMTPが使用された。(甲64,88)イ上記アの事実認定を踏まえ,本件漏えいに対する被控訴人らの予見可能性の有無について検討する。 本件漏えい以前から,一般的に,経済産業分野ガイドライン等(甲3,9,12)の中で,外部記憶媒体をパソコン等に接続する方法による情報漏えいのリスクが指摘されていたが,本件漏えいは,Wにおいて,通常想定できないような特別の知識や技術を使用して行われたものでないことは,上記認定のとおりである。当時において,スマートフォンをUSBケーブルでパソコンと接続してデータのやり取りをすることが可能であることは,一般的に知られており,MTPも,データの転送に用いる規格として新規で特殊なものとはいえない。 本件では,本件スマートフォンが,従来使用していた規格であるMSCではなく,それまで音楽ファイルや動画ファイルの転送を主な目的としてOSであるWindowsが対応していた規格であるMTPに対応したために,データの転送が可能となったものである。デバイスやOSは,バー なく,それまで音楽ファイルや動画ファイルの転送を主な目的としてOSであるWindowsが対応していた規格であるMTPに対応したために,データの転送が可能となったものである。デバイスやOSは,バージョンアップにより高機能化していくものであるから,それに応じて,接続されるデバイスを制御してデータの漏えいを防いでいく必要があるところ,被控訴人らは,本件セキュリテ- 9 -ィソフトを導入していたことに照らすと,このような必要性を具体的に認識していたと認めるのが相当である。 以上によれば,被控訴人らには,MTP対応の本件スマートフォンを使用した本件漏えいについて予見可能性があったというべきである。」原判決47頁8行目の「イ」を「ウ」と,51頁4行目の「ウ」を「エ」とそれぞれ改める原判決48頁10行目から49頁6行目までを次のとおり改める。 「 しかしながら,仮に上記の報告のとおりであったとしても,MTP対応のスマートフォンは,平成24年頃から急速に普及してきていたこと,本件漏えい当時において,多数のMTP対応のスマートフォンが市中に出回るようになっていたことなどが認められる。そうすると,本件漏えい当時のMTP対応スマートフォンの国内シェアに関する上記報告によって,MTPに対応するスマートフォンを使用した本件漏えいについて,被控訴人らに予見可能性があったと認める上記判断を覆すことはできないというべきである。」原判決49頁20行目の「情報セキュリティ」から50頁2行目末尾までを「前記アのとおり,被控訴人らが導入していた本件セキュリティソフトは,MTPに対応するデバイスについて,使用可否制御により使用禁止することが可能であった。そうすると,上記の定義は,被控訴人らが導入していた本件セキュリティソフトをもMTP制御機能 キュリティソフトは,MTPに対応するデバイスについて,使用可否制御により使用禁止することが可能であった。そうすると,上記の定義は,被控訴人らが導入していた本件セキュリティソフトをもMTP制御機能を搭載しないものとして扱うものであるから,相当とはいい難く,上記報告は,報告書としてその前提を誤ったものと評価せざるを得ない。」原判決50頁8行目の「本件漏えい当時,」を削る。 原判決50頁24行目から51頁3行目末尾までを次のとおり改める。 「 しかしながら,本件漏えいの以前にはMTP対応のスマートフォンを使- 10 -用した情報漏えいの事例が報告されていなかったというだけで,その危険性について予見可能性がなかったといえるものではなく,上述したとおり,デバイスやOSは,バージョンアップにより高機能化していくものであるから,それに応じて,接続されるデバイスを制御してデータの漏えいを防いでいく必要がある。被控訴人らは,本件セキュリティソフトを導入していたことからして,このような必要性を具体的に認識していたものと認められ,また,本件漏えいは,一般的にいっても,特殊な知識や技術を用いた予見が困難な態様のものではなく,むしろ,デバイスやOSの高機能化によって発生する危険の範囲内のものというべきであるから,予見可能性は否定されない。」原判決51頁4行目の「被告シンフォーム」を「被控訴人ら」と,同頁26行目の「データセキュリティガイドブック」を「データセンターセキュリティガイドブック」とそれぞれ改める。 原判決55頁22行目から56頁26行目までを次のとおり改める。 「 前記アのとおり,被控訴人シンフォームにおいては,本件セキュリティソフトの使用可否制御により,MTPを使用するデバイスを使用禁止にしておけば,MTP対応のスマー 目までを次のとおり改める。 「 前記アのとおり,被控訴人シンフォームにおいては,本件セキュリティソフトの使用可否制御により,MTPを使用するデバイスを使用禁止にしておけば,MTP対応のスマートフォンによるデータの書き出しを防止することは可能であったことが認められる。また,被控訴人らは,本件セキュリティソフトにより,リムーバブルメディア,CD/DVD,外付けHDDのみが使用できると認識していたものであったほか,本件漏えい後に,本件セキュリティソフトの設定を見直し,リムーバブルメディア,CD/DVD,外付けHDDについて従前どおりデータの書き込みを禁止し,他のデバイスについては,プリンタ,ネットワークドライブ,無線LAN,パラレル/シリアルポート以外を,使用可否制御により使用禁止としたものであるから,本件業務において,業務用パソコンについてMTPを使用してデータの転送を行う必要性はなかったと認められる。 - 11 -そうすると,本件において,MTPを使用するデバイスの使用が許可されていたのは,単に被控訴人シンフォームにおいて,本件セキュリティソフトの設定の確認を失念ないし怠っていたことによるものというべきである。 そして,被控訴人シンフォームは,本件漏えいまでにMTP対応スマートフォンに対する書き出し制御措置を講ずることが可能であったから,そのような措置を講ずべき注意義務があったにもかかわらず,これを怠った点に過失があったと認めるのが相当である。」原判決58頁21行目から同頁22行目までを次のとおり改める。 「 被控訴人シンフォームだけでなく被控訴人ベネッセにも,本件漏えいについて予見可能性があったと認められることは,前記1で認定したとおりである。」原判決60頁3行目の「株式会社」を削る。 原判決60頁20行 ームだけでなく被控訴人ベネッセにも,本件漏えいについて予見可能性があったと認められることは,前記1で認定したとおりである。」原判決60頁3行目の「株式会社」を削る。 原判決60頁20行目から61頁2行目までを次のとおり改める。 「 被控訴人ベネッセが被控訴人シンフォームを委託先として選任したのは,平成24年4月であり,前記1のとおり,被控訴人シンフォームが平成23年7月に導入した本件セキュリティソフトの設定が適切でなかったという問題があることは認められるが,被控訴人シンフォームは,機能的には本件漏えいを防止することの可能な本件セキュリティソフトを導入しているのであり,その設定が適切でなかったことをもって,委託先として選任したことが不適当であったということはできない。」原判決61頁23行目の「選定基準は具体的で運用的なものであること」を削る。 原判決62頁2行目の「予見し得たものであって」から同頁16行目の「いわざるを得ない」までを「予見し得たものである。そして,前記1のとおり,被控訴人シンフォームにおいて,本件セキュリティソフトの設定を適切に行っていれば,本件漏えいは防止できたことが認められる。他方,被控訴人ベネ- 12 -ッセにおいて,被控訴人シンフォームに対し,MTP対応スマートフォンに対する書き出し制御措置が講じられているか否かを確認すべく,本件セキュリティソフトの設定状況について適切に報告を求めていれば,MTP対応スマートフォンに対する書き出し制御が十分でないことを知り,本件セキュリティソフトの使用可否制御を指示することができたと認められるところ,このような監督を行うことについて,被控訴人ベネッセに過度の負担が生じるとは思われない。そうすると,被控訴人ベネッセは,被控訴人シンフォームが,本件セキ 御を指示することができたと認められるところ,このような監督を行うことについて,被控訴人ベネッセに過度の負担が生じるとは思われない。そうすると,被控訴人ベネッセは,被控訴人シンフォームが,本件セキュリティソフトの適切な設定を行っているか否かを監督する注意義務を負っていると解されるところ,被控訴人ベネッセにおいて本件セキュリティソフトについて適切な設定が行われていると誤信していたことにより,適切な監督を行うことができなかったものであるから,上記注意義務に違反した過失があると認めるのが相当である」と,同頁26行目の「危険性を予見でき」を「危険性があることにつき予見可能性が認められ」とそれぞれ改める。 原判決64頁3行目から同頁4行目までを次のとおり改める。 「 この点につき,Wは,自身の刑事事件において,被控訴人シンフォーム多摩事務所においては,被控訴人シンフォームの社員から日常的に指示を受け,指揮監督を受けていた旨を述べている。しかしながら,一方で,Wは,再委託先の従業員に対し,自身が不在期間中の業務の代替人員の人選を依頼したことや,W自身の被控訴人シンフォームにおける稼働時間の状況報告をしていた可能性があったことを認めており,また,被控訴人シンフォームにおいて本件業務に関わっていたX及びYは,再委託先の要員に関しては,再委託先の管理者を通じて指揮監督を行っていた旨を供述しており,これらを裏付けるメールも残されていることからすると,被控訴人シンフォームが,Wに対し,その業務について具体的に指揮命令をしていたとまでの事実を認めることはできない。(甲64,65,67,74,乙114ないし124)」- 13 -原判決66頁23行目から68頁20行目までを次のとおり改める。 「本件個人情報は,被控訴人ベネッセが集積した顧客情報 。(甲64,65,67,74,乙114ないし124)」- 13 -原判決66頁23行目から68頁20行目までを次のとおり改める。 「本件個人情報は,被控訴人ベネッセが集積した顧客情報の一部を構成するものであるが,氏名,郵便番号,住所,電話番号及びメールアドレスは,いずれも控訴人らの個人識別情報と連絡先であり,生年月日と性別も,日常的に契約等の際に開示することが多く,思想信条や性的指向等の情報に比べると,一般的に「自己が欲しない他者にはみだりに開示されたくない」私的領域の情報という性質を強く帯びているとはいえない情報である。したがって,クレジットカード情報などの重要な情報と関連づけられて漏えいしていない本件のような場合,情報それ自体に重要な価値が認められるというより,顧客名簿として大量に集積されているところに価値が認められるのが通常であり,実際,本件においても,名簿業者に顧客名簿として売却され,被控訴人ベネッセの同業者に渡りダイレクトメール等に利用されたことが認められる(なお,控訴人らは,本件個人情報が,被控訴人ベネッセという教育事業を行う企業の保有していた情報として漏えいしたことから,教育に熱心であるなど一定の評価が含まれる情報である旨を主張するが,本件個人情報の流出元が被控訴人ベネッセであることから,控訴人らの教育に関する何らかの思想や信条が推知されるとは考え難い。)。 もっとも,本件個人情報は,これらを取得した者において,これらを取得された者に対する連絡が可能となるものであるから,その使用方法いかんによっては,取得された者の私生活の平穏等に何らかの影響を及ぼすおそれがある。また,本件個人情報については,本件漏えいにより500社を超える名簿業者に漏えいしたとの発表もあるところ,実際にどこまでの範囲に広がってい れた者の私生活の平穏等に何らかの影響を及ぼすおそれがある。また,本件個人情報については,本件漏えいにより500社を超える名簿業者に漏えいしたとの発表もあるところ,実際にどこまでの範囲に広がっているか確定は不能であり,回収も不可能といわざるを得ない。したがって,本件漏えいにより自己の個人情報を取得された者に対し,自己の了知しないところで個人情報が漏えいしたことに対す- 14 -る不快感及び生活の平穏等に対する不安感を生じさせることになるから,かかる不安感が具体的なものでなく抽象的なものであったとしても,何らかの精神的苦痛を生じさせることは避けられないことというべきである。 さらに,控訴人らが被控訴人ベネッセに提供した本件個人情報について,自己の欲しない他者にみだりにこれが開示されることはないという控訴人らの期待は保護されるべきであり,控訴人らは,被控訴人ベネッセにおいて本件個人情報がみだりに流出することがないよう適切に管理されると信じて提供したのであるから,本件漏えいにより,このような期待が裏切られる結果となったことは明らかである。しかも,本件漏えいは,Wにおいて,高度な知識を応用したり,特殊な技術を駆使して行われたものではなく,単に,充電のため本件スマートフォンを市販のUSBケーブルで業務用パソコンに接続したところ,データの転送が可能であったことから,思いつかれ実行されたものである。これまで述べてきたとおり,被控訴人らにおいて,自らが導入していた本件セキュリティソフトが適切に設定されているか否かを確認さえしていれば,煩雑な事務処理や多額の費用の支出を余儀なくされることもなく,比較的容易に本件漏えいを防ぐことができたのであるから,その意味においても,控訴人らの期待を裏切った度合いは小さくないというべきである。 したがっ や多額の費用の支出を余儀なくされることもなく,比較的容易に本件漏えいを防ぐことができたのであるから,その意味においても,控訴人らの期待を裏切った度合いは小さくないというべきである。 したがって,前記6のとおり,本件漏えいにより控訴人らはそのプライバシーを侵害されたものであるところ,上記認定に照らせば,控訴人らには,慰謝料の支払によって慰謝されるべき精神的損害が発生したと認めるのが相当である。 他方,控訴人らは,社会に拡散された本件個人情報が控訴人らの他の情報と関連付けられて重大なプライバシー情報が引き出される可能性を指摘するが,抽象的な可能性を指摘するものにすぎず,本件個人情報が個別- 15 -に着目されて何らかの重大なプライバシー情報が引き出されることは想定しにくい。したがって,現時点においては,本件個人情報の漏えいは,控訴人らにおいて望まないダイレクトメールが増えるかもしれないという危惧を抱かせるにとどまるものであり,控訴人らに何らかの実害が発生したとは認められない。 また,被控訴人ベネッセ及びその持株会社であるベネッセホールディングスは,本件漏えいの発覚後,直ちに対応を開始し,情報漏えいの被害拡大を防止する手段を講じ,監督官庁に対する報告及び指示に基づく調査報告を行った。そして,被控訴人ベネッセは,情報が漏えいしたと思われる顧客に対しお詫びの文書を送付するとともに,顧客の選択に応じて500円相当の金券を配布するなどしたことが認められるから,自己の個人情報が適切に取り扱われるであろうとの期待が侵害されたことについては,事後的に慰謝の措置が講じられていることが認められる。 以上のとおり,本件漏えいは,控訴人らに対し,不快感及び抽象的なものであるとはいえ不安感を生じさせるものであり,かつ,自己の個人情報が適切 ,事後的に慰謝の措置が講じられていることが認められる。 以上のとおり,本件漏えいは,控訴人らに対し,不快感及び抽象的なものであるとはいえ不安感を生じさせるものであり,かつ,自己の個人情報が適切に管理されるであろうとの期待を裏切るものであるから,控訴人らには,慰謝料の支払によって慰謝すべき精神的損害が発生したといわざるを得ないところ,本件漏えいにより控訴人らに実害が発生したとは認められないこと,本件漏えいの発覚後,被控訴人ベネッセ及びベネッセホールディングスにおいて,直ちに被害の拡大防止措置が講じられていること,自己の個人情報が適切に扱われるであろうとの期待の侵害に対し,被控訴人ベネッセにおいて事後的に慰謝の措置が講じられていること,その他本件にあらわれた一切の事情を総合すると,控訴人らの精神的損害に対する慰謝料の額は2000円と認めるのが相当である。 なお,控訴人らは,本件個人情報のうち,控訴人Bの情報は,未成年者の情報であり,成年以上に保護の必要性が高いと主張するが,控訴人Bの- 16 -情報が未成年者の情報であるか否かは,慰謝料の額を左右するものとはいえない。 8 まとめ以上のとおり,控訴人らの請求は,被控訴人らに対し,連帯して,それぞれ2000円及びこれらに対する遅延損害金の支払を命じる限度で理由があるから認容し,その余の請求はいずれも理由がないから棄却するのが相当である。 2 よって,控訴人らの請求をいずれも棄却した原判決は相当でないから変更することとし,上記の限度で控訴人らの請求を一部認容し,その余の請求をいずれも棄却することとして,主文のとおり判決する(なお,控訴人らは,控訴の趣旨において仮執行宣言を求めていない。)。 東京高等裁判所第16民事部 裁判長裁判官萩原秀紀 主文 も棄却することとして,主文のとおり判決する(なお,控訴人らは,控訴の趣旨において仮執行宣言を求めていない。)。 理由 事実 争点 判断 東京高等裁判所第16民事部 裁判長裁判官萩原秀紀 裁判官馬場純夫 裁判官杉山順一
▼ クリックして全文を表示