- 1 -平成21年6月4日判決言渡同日原本領収裁判所書記官平成19年(ワ)第331号損害賠償請求事件口頭弁論終結日平成21年2月26日判決主文 被告は,原告に対し,金913万7892円及びこれに対する平成19年10月11日から支払ずみまで年5分の割合による金員を支払え。 原告のその余の請求を棄却する。 訴訟費用は,これを5分し,その2を原告の負担とし,その余を被告の負担とする。 この判決は,第1項に限り仮に執行することができる。 事実及び理由 請求被告は,原告に対し,1522万9820円及びこれに対する平成19年10月11日から支払ずみまで年5分の割合による金員を支払え。 事案の概要( )本件は,原告が,合併後訴外A町(以下「A町」という)となる4町1村 。 の代表者であるB町長との間で,合併前4町1村の合併に伴う総合住民情報の電算化システムへの移行及び統合データ作成の各業務を行うことを内容とする請負契約を締結したうえ,同業務につき,被告との間でさらに下請契約を締結していたところ,同業務に携わっていた被告女性従業員がパソコンに保存していた住民の個人情報がインターネットを通じて外部に漏洩したため,原告においてその対応を余儀なくされ,その費用として1522万9820円を要したとして,原告が,被告に対し,主位的に不法行為(民法715条,予備的に)債務不履行に基づく損害賠償請求権により,前記費用相当額の損害賠償金及び- 2 -これに対する不法行為の後の日(訴状送達の日の翌日)である平成19年10月11日から支払ずみまで民法所定の年5分の割合による遅延損害金の支払を求める事案である。 ( )前提事実 以下の事実は当事者間に争いのない事実か証拠により容易に認められる事実である。 イ原告は 1日から支払ずみまで民法所定の年5分の割合による遅延損害金の支払を求める事案である。 ( )前提事実 以下の事実は当事者間に争いのない事実か証拠により容易に認められる事実である。 イ原告は,オフィスオートメイション機器並びに通信機器の販売等を目的として昭和58年6月29日に,被告は,コンピューターシステム開発及びプログラムの作成等を目的として昭和24年12月23日にそれぞれ設立された会社であり,いずれも個人情報取扱業者である。 ロ原告は,合併後A町となるB町を含む4町1村(以下「合併前町村」という)との間で,B町の町長を代表者として,平成15年4月17日に,作。 業完了日を同16年9月30日として,合併前町村の総合住民情報を電算化システムへ移行すること及び統合データを作成することを業務内容とする「電算業務委託契約(以下「本件元請契約」という)を締結した。 」。 ハ原告は,被告との間で,同16年8月5日,本件元請契約に基づく業務につき下請契約を締結した(以下「本件契約」という。 。)ニ被告は,本件契約に基づき,同年8月5日から,A町の現役場や被告の北九州事務所(以下「北九州事務所」という)において,従業員6名によっ。 て総合住民情報の電算化システムへの移行及び統合データの作成業務(以下「本件業務」という)を行い,本件業務は,平成16年10月28日に完。 了した。 ホA町は,平成16年10月1日に発足した。同19年5月14日,A町の住民の別紙「流出データ一覧」記載の個人情報(以下「本件個人情報」という)が,同年4月30日からインターネット上で漏洩している(以下「本。 件漏洩」という)ことが発覚した。その原因は,後の調査によって,本件。 - 3 -業務に携わっていた被告の女性従業員(以下「本件従業員」という)が,。 A ターネット上で漏洩している(以下「本。 件漏洩」という)ことが発覚した。その原因は,後の調査によって,本件。 - 3 -業務に携わっていた被告の女性従業員(以下「本件従業員」という)が,。 A町の住民のほか当時同様の作業に当たっていたC市等の住民の個人情報からなる統合データ(以下「本件統合データ」という)が入ったパソコンを。 自宅に持ち帰り,LANケーブルによって夫のデスクトップ型パソコンと接,,続し本件統合データを夫の前記パソコンにコピーして保存していたところその後夫の前記パソコンにファイル交換ソフトウィニーがインストールされたため,同パソコンが同年4月30日にウィルスに感染して,前記パソコンを通じて本件統合データが漏洩したことが判明した。 ( )争点及び争点に関する当事者の主張 イ争点1本件漏洩についての被告の責任原因の有無(原告)(イ)個人情報を取り扱う電算業者間においては,個人情報保護法制定・施行以前から,個人情報に関する取扱データの不正使用,漏洩防止のための適正管理について細心の注意を払うことが求められており,個人情報を取り扱う電算業者には,個人情報保護法制定前から個人情報が漏洩しないように必要かつ適切な措置を講じる法的義務があった。そして,業界の常識もしくは慣習として,作業が完了した後は,直ちに個人情報に関するデータを消去することが個人情報保護のため最も有効な方法であることが広く認識されていた。そのため,被告においても,従業員に対し,個人情報の適切な管理について指導・監督すると共に,作業終了後の個人情報に関するデータの消去を指導していた。 (ロ)本件契約に基づく作業には,本件従業員を含む6名の被告従業員が携わり,収集した個人情報に関するデータを被告の北九州事務所において,大,。 型コンピューターで データの消去を指導していた。 (ロ)本件契約に基づく作業には,本件従業員を含む6名の被告従業員が携わり,収集した個人情報に関するデータを被告の北九州事務所において,大,。 型コンピューターであるサーバーで集約し統合データの作成をしていた本件従業員は本件統合データ完成後被告から貸与されたパソコン以,,(下「貸与パソコン」という)に本件統合データをコピーして,同パソコ。 - 4 -ンを自宅に持ち帰り,同パソコンと夫のデスクトップ型パソコンをLANで接続して,本件統合データを夫のパソコンにコピーして保存した。その後,夫が,前記夫のパソコンにファイル交換ソフトウィニーをインストールし,同パソコンがウィルスに感染したため,平成19年4月30日に本件統合データが同パソコンから漏洩した。 (ハ)個人情報を取り扱う電算業者が,個人情報の不正使用・漏洩防止のため必要かつ適切な措置を採る法的義務を負っていることは,前記のとおりであり,同業務に携わる当該業者の従業員も,条理上又は業界の慣習上,取り扱った情報を外部に漏洩しないよう,作業完了後は,当該データを消去すべき義務があるというべきである。しかるに,本件従業員は,前記の通り合併前町村の住民の個人情報を含む本件統合データを貸与パソコンにコピーし,同パソコンを自宅に持ち帰り,同パソコンから夫のパソコンに本件統合データをコピーして保存していたため本件漏洩が発生し,これにより原告に後記損害が発生した。本件従業員の前記行為は,個人情報を取り,,,扱う業者の従業員としての前記義務に反し不法行為に該当し同行為は被告の業務の執行として行われたものであるから,被告には,民法715条に基づき,前記不法行為による原告の後記損害を賠償する責任がある。 (ニ)また,本件契約は,合併前町村の住民の個人情報を 同行為は被告の業務の執行として行われたものであるから,被告には,民法715条に基づき,前記不法行為による原告の後記損害を賠償する責任がある。 (ニ)また,本件契約は,合併前町村の住民の個人情報を電算システムに移行し,統合データを作成することであったが,その仕事の完成は,単に,統合データを作成することのみではなく,その仕事の特殊性から,その統合データに含まれる個人情報が漏洩することのないよう,データ作成後には。 ,保存していた個人情報を直ちに消去することまで含まれていたしかるに前記のとおり,本件従業員が,貸与パソコンに本件統合データをコピーしていたにもかかわらず,これを消去せず,しかも,自宅にあった夫のパソコンに本件統合データをコピーして保存していた結果,本件漏洩が発生したのであるから,被告には,本件統合データを消去しなかった債務不履行- 5 -があり,その結果原告の後記損害が発生したのであるから,被告は,債務不履行による,同損害を賠償する責任がある。 (被告)(イ)本件従業員は,貸与パソコンにバックアップデータを保存し,直接現場に出勤する際や出張の際には,同パソコンを自宅に持ち帰っていた。その経緯は明らかではないが,同従業員の自宅において,貸与パソコンに入っていたバックアップデータが同従業員の夫のパソコンに移行され,その後夫がファイル交換ソフトであるウィニーを夫のパソコンにインストールしたところデータが流出し本件漏洩が発生した。夫のパソコンに前記バックアップデータが移行されたのは,本件契約を締結した平成16年8月から本件従業員が貸与パソコンを被告に返還した同17年8月までの間である。 (ロ)業務が完了すれば,当該業務で扱った個人情報を消去する義務があることは争わない。しかし,ここでいう業務完了とは,作成データに関する発 与パソコンを被告に返還した同17年8月までの間である。 (ロ)業務が完了すれば,当該業務で扱った個人情報を消去する義務があることは争わない。しかし,ここでいう業務完了とは,作成データに関する発注者からの問い合わせがなくなり,また,データを利用する新たな関連した作業の依頼がなくなったことをいう。その間は,発注者の問い合わせに対応したり,再びデータを利用した関連作業を行うためデータを消去することはできない。被告は,発注者からの問い合わせがなくなってから約半年はデータを保存し,その後消去していた。本件契約については,本件業務終了後もA町から原告,原告から被告の経路で,データについての問い合わせが頻繁にあり,本件従業員が,貸与パソコンに保存していたデータ。 ,,を利用して対応していたまた平成16年終わりか同17年の初めころ原告は被告に対し,D市の戸籍連携作業及び重複者整理作業を新たに発注し,被告は,同作業を同年3月31日に完了したが,これは本件と一連の追加作業として行ったもので,北九州事務所においてバックアップしていたデータを利用して同作業を行った。したがって,統合データ作成作業完- 6 -了後の原告からの問い合わせに応答するためにも,また,新たな発注に対応するためにも,本件業務であつかったバックアップデータを同業務完了後も保存する必要があったのであり,また,いくらタワー型のコンピューターとはいっても各担当者が収集したデータ全てを集約・保存することは不可能であったため,各担当者において各担当部門のデータをそれぞれ貸与パソコンに保存する必要もあったのであり,本件従業員がバックアップデータを直ちに消去せず,貸与パソコンに保存していたからといって,不法行為や債務不履行になるものではない。 (ハ)また,本件従業員が私物のパソコンにバック もあったのであり,本件従業員がバックアップデータを直ちに消去せず,貸与パソコンに保存していたからといって,不法行為や債務不履行になるものではない。 (ハ)また,本件従業員が私物のパソコンにバックアップデータを保存していたこと及び同データが夫のパソコンに移されたこと,さらに,夫のパソコンにファイル交換ソフトであるウィニーがインストールされ,それが原因で同データが漏洩することを被告が予測することは不可能であり,本件漏洩は被告にとって不可抗力によるものである。したがって,被告は,本件漏洩につき不法行為や債務不履行による責任を負わない。 ,,,,(ニ)さらに被告は貸与パソコンについては業務以外の持ち出しの禁止アクセス画面にしたままでの離席の禁止,施錠できる場所での保管,私用の禁止等パソコンの管理について指導していた。これに従い,従業員は,貸与パソコンは北九州事務所に置いたまま帰宅していた。しかし,被告従業員は,自宅から出張先に直接行くときは,貸与パソコンを自宅に持ち帰り,そのまま自宅から出張先に持って行っており,従業員が業務のため自宅に貸与パソコンを持ち帰った場合には,被告にはパソコンの管理についての監督上の責任はない。被告は,当時から,バックアップが不要となったデータは消去するよう指導を徹底し,担当業務を終了した従業員からは貸与パソコンの返却を受け,パソコン内のデータを消去していた。本件従業員からも,本件業務の担当終了後,貸与パソコンの返還を受け,同パソコン内のデータを消去した。本件従業員の夫のパソコン内にデータが残っ- 7 -ていたとしても,私物のパソコンにデータが残っていないかどうか確認するのは不可能であり,本件従業員の貸与パソコンのデータを消去することをもって被告は義務を果たしている。被告は,平成15年から従業員 ていたとしても,私物のパソコンにデータが残っていないかどうか確認するのは不可能であり,本件従業員の貸与パソコンのデータを消去することをもって被告は義務を果たしている。被告は,平成15年から従業員に毎月1回,情報管理についての講習を受けさせ,同16年7月には,G社から配布を受けた「お客さま対応作業における遵守事項早わかり」を全従業員に配布し,さらに,システムに保管中の情報の無断持ち出しの禁止,使用許諾のないソフトウェアのインストールの禁止,アクセスしたままの離席の禁止等を指導し,同17年3月10日「個人情報保護のためのコン,プライアンス・プログラム基本規定」を制定して個人情報の管理体制を確立し,同年4月1日には就業規則に秘密保持に関する条項(第11条)を盛り込んで,従業員に対する個人情報に関する教育指導を徹底して監督体制を確立し,当時でき得る限りの情報漏洩防止の監督措置をとっていた。 したがって,被告には,本件従業員に対する指導・監督を怠った過失はなく,不法行為責任は負わない。 (ホ)貸与パソコンから夫のパソコンにデータを移行したのが誰かは明らかではないが,仮に本件従業員が移行したとしても,職務時間外に,職務とは無関係に,個人的理由によって行ったもので,被告の業務執行に際し行われたものではない。 ロ争点2本件漏洩による原告の損害(原告)原告は,A町から,本件漏洩による住民の不安を除去する等の対応のため別紙「情報漏えいに係る損害内訳明細書」のとおり合計1453万2000円を要したとして,同額の損害賠償を求められ,これを支払った。また,原告も本件漏洩に対処するため,別紙「損害賠償請求明細書」記載のとおり合計69万7820円の費用を要した。 - 8 -これらの費用は,いずれも本件漏洩と相当因果関係のある損害であり,被告は,不法 原告も本件漏洩に対処するため,別紙「損害賠償請求明細書」記載のとおり合計69万7820円の費用を要した。 - 8 -これらの費用は,いずれも本件漏洩と相当因果関係のある損害であり,被告は,不法行為もしくは債務不履行により合計1522万9820円及びこれに対する支払期限もしくは不法行為の後の日である平成19年10月11日から支払ずみまで民法所定の年5分の割合による遅延損害金の支払義務がある。 (被告)損害に関する主張はすべて争う。 争点に対する判断( )争点1(本件漏洩についての被告の責任原因の有無)について (,,,,イ前記前提事実に証拠甲24ないし67の1及び2甲8の1及び2乙1,3,6の1及び2,乙7,8,12,13,証人E,被告代表者,調査嘱託の結果)及び弁論の全趣旨を総合すると次の事実が認められる。 (イ)情報処理技術の発展により,電子計算機による大量,かつ,迅速な情報処理が可能となり,事業者が情報システムを利用して個人情報を取り扱うことが可能となった反面,個人情報の不適切な利用,改ざんなどが行われるおそれが強まってきたため,事業者の間では,個人情報保護の強化に向けた取り組みが行われるようになった。そして,平成11年には日本工業規格が,個人情報を保護するための各事業者の取組に関する「個人情報に関するコンプライアンス・プログラムの要求事項」を策定して発表し,平成15年5月30日には個人情報保護法が成立して,同17年4月1日から施行され,これに先立ち,同16年8月31日には「電気通信事業に,おける個人情報保護に関するガイドライン(総務省告示第695号)が」,。 ,発出されるなど個人情報保護に関する法制度も整備されてきた被告はC市の税理事務所の運用センターとして民間の仕事を中心に行っていた 情報保護に関するガイドライン(総務省告示第695号)が」,。 ,発出されるなど個人情報保護に関する法制度も整備されてきた被告はC市の税理事務所の運用センターとして民間の仕事を中心に行っていたが,平成に入ってからは山口県内の各市町村の住民情報システムの構築,保守管理の仕事へと事業を転換していた。被告は,個人情報取扱業者とし- 9 -て,前記個人情報の安全管理に関する前記法整備等がなされるなか,平成16年2月から,コンプライアンス・プログラム構築のため,部外コンサルタント主催の講習会に延べ8回参加した後,同17年1月1日には「YCC個人情報保護方針」を宣言し,同年3月10日には全20文書からなるコンプライアンス・プログラム規定を制定し,個人情報の不正使用,漏洩の防止のための安全管理に努めていた。平成16年3月ころには,ファイル交換ソフトであるウィニーにより入手したファイルを閲覧したところ,ウィルスに感染し,パソコン内に保存され本来公開されてはならないファイルがウィニーのネットワーク上に流出する事件が多発するようになっていた。 (ロ)原告は,市町村合併に伴う総合住民情報の電算化システムへの移行及び統合データの作成を業務として行っていたが,合併前町村との間でも,合併前町村の一つであるB町の町長を代表者として,平成15年4月17日に,作業完了日を同16年9月30日として,合併前町村にかかる前記業務を内容とする「電算業務委託契約」を締結した。ところが,原告は,他の業務の進捗状況から,前記契約に基づく業務を期限までに遂行することが困難となったため,平成16年8月5日,被告との間で,前記業務を内容とする下請契約(本件契約)を締結した。なお,前記「電算業務委託契約」においては,合併前町村の承諾がない限り,同業務の処理を他に委託し,又は請 ため,平成16年8月5日,被告との間で,前記業務を内容とする下請契約(本件契約)を締結した。なお,前記「電算業務委託契約」においては,合併前町村の承諾がない限り,同業務の処理を他に委託し,又は請け負わせてはならない旨の規定(同契約書3条)があったが,原告は,承諾を得ずに被告と本件契約を締結したが,本件契約に関する契約書は作成されなかった。 (ハ)被告は,平成16年8月5日から,本件契約に係る業務に取りかかり,同業務には本件従業員を含む6名が携わった。同業務は,A町の現役場や北九州事務所において行われ,前記従業員が収集した個人情報は,北九州事務所にあったサーバで集約され,総合住民情報の電算化と統合データの- 10 -作成が行われ,同年10月28日に同業務が完成した。 (ニ)本件業務に携わっていた被告従業員は,貸与パソコンを使用して前記業務を行い,収集した個人情報は,同パソコンに保存し,北九州事務所に持ち帰っていた。原告も,被告従業員がA町の現役場において収集したデー,,,タを北九州事務所に持ち帰ること北九州事務所において被告従業員がサーバに収集した個人情報を集約して本件統合データを作成する作業を行うことを承認していた。前記従業員は,終業後は北九州事務所に貸与パソコンを置いて帰っていたが,出張する際には,自宅に貸与パソコンを持ち帰り,自宅から出張先に直接行くこともあった。被告は,従業員が貸与パソコンを北九州事務所から帯出することについては,当該従業員の判断に任せ,特に帳簿等による管理は行っていなかった。 (ホ)北九州事務所のサーバには,本件業務に係る統合データのほか,他の市町村合併に係る統合データも含まれていた(本件統合データ。本件従業)員は,本件業務終了後,貸与パソコンにサーバで作成された本件統合データを保存し,同パソ は,本件業務に係る統合データのほか,他の市町村合併に係る統合データも含まれていた(本件統合データ。本件従業)員は,本件業務終了後,貸与パソコンにサーバで作成された本件統合データを保存し,同パソコンを自宅に持ち帰った。そして,貸与パソコンと自宅にあった夫のデスクトップ型パソコンをLANで接続して,持ち帰った貸与パソコンに保存されていた本件統合データを夫の前記パソコンに移し,保存した。本件従業員は,その後,夫のパソコンに取り込んだ前記データを操作することはなかった。本件従業員は,平成17年8月ころ,担当業務が変更となり,貸与パソコンを被告に返還し,被告において,同パソコン内のデータを消去した。しかし,本件従業員が,貸与パソコンのデータを夫のパソコンに取り込んだ後,夫が,平成17年9月及び同18年2月に夫の前記パソコンにファイル交換ソフトであるウィニーをインストールし,同19年4月30日,同パソコンがウィルスに感染したため,本件統合データが同パソコンから漏洩した(本件漏洩。本件従業員は,同)年3月に出産のため,退職した。なお,本件従業員の夫は,被告の外注に- 11 -より他社から派遣されて北九州事務所において本件業務に携わっていた。 C市が,同年5月14日,インターネット上にC市の住民の個人情報が漏洩しているとの報告を受け,本件漏洩が発覚した。 (ヘ)原告は,A町の現役場での本件業務を始めるに当たり,被告従業員を含む同業務に携わる従業員に対し,作業完了後はパソコンに保存したデータは全て消去するよう注意を与えたが,本件業務終了後,被告従業員が貸与パソコンに保存したデータを消去したかどうかの確認作業は行っておらず,その他同業務遂行中のデータ管理について,特に指導監督の措置をとることはなかった。また,被告も,前記のとおり,個人情報保護に 貸与パソコンに保存したデータを消去したかどうかの確認作業は行っておらず,その他同業務遂行中のデータ管理について,特に指導監督の措置をとることはなかった。また,被告も,前記のとおり,個人情報保護に関する取り組みをし,北九州事務所における個人情報の管理につき,情報の保管方法として,職員不在時は執務室は施錠する,個人情報は施錠できるキャビネットに常時保管する,管理体制(連絡網)として,社長-情報管理責任者-担当者-従事者であることなどを定めていたが,本件業務遂行過程においては,前述のとおり,従業員が貸与パソコンを帯出するかどうかも当該従業員の判断に委ね,本件業務終了後の貸与パソコン内のデータの消去の確認はしていなかった。 ロ(イ) 前記認定した事実によれば,情報技術の発展により,電子計算機により個人情報が大量に,かつ迅速に処理されるようになった反面,個人情報の安全な管理の重要性も意識されるようになり,事業者間では,個人情報の安全管理に必要かつ適切な措置を講ずることが個人情報を取り扱う業者としての義務であるとの認識が一般化し,平成15年には個人情報の安全管理について個人情報保護法の制定及びこれに伴う法整備が行われたことが認められ,これらの事実によれば,個人情報保護法制定以前において,すでに,個人情報を取り扱う事業者には,個人情報の安全管理のための必要かつ適切な措置を講ずる義務があったと認めるのが相当である。したがって,平成16年8月5日に,原告との間で本件契約を締結し,本件業務を- 12 -遂行した被告にも,同業務で取り扱った合併前町村の住民の個人情報の安全管理のための必要,かつ適切な措置を講ずる義務を負っていたというのが相当である。そして,同義務を遂行するために,被告から,本件業務終了後は貸与パソコンに保存していた住民の個人情報を消 個人情報の安全管理のための必要,かつ適切な措置を講ずる義務を負っていたというのが相当である。そして,同義務を遂行するために,被告から,本件業務終了後は貸与パソコンに保存していた住民の個人情報を消除すべきとの指示を受けていた被告従業員も,同指示に従い,同業務終了後は,貸与パソコンから住民の個人情報を消去し,消去するまでは漏洩,不正使用がないよう住民の個人情報を安全に管理する義務を負っていたというべきである。 (ロ)前記認定事実によれば,本件従業員は,本件業務終了後,本件業務遂行過程において貸与パソコンに保存した住民の個人情報を消去せず,かえって,無断で,本件業務によって作成され北九州事務所のサーバに保存されていた本件統合データを貸与パソコンに保存し,同パソコンを自宅に持ち帰り,本件統合データを自宅にあった夫のデスクトップ型パソコンに移して保存していたため,後に夫が前記夫のパソコンにファイル交換ソフトであるウィニーをインストールしていたところ,同パソコンがウイルスに感染し,本件漏洩が発生したのであるから,本件従業員が,本件統合データを無断で貸与パソコンに保存した行為は,個人情報保護のため業務終了後は個人情報を消去するという前記義務に違反する行為であり,また,前記認定事実によれば,当時,既にウィニーによる情報の漏洩事故が多発していることは周知の事実であったのであるから,夫のパソコンに本件統合データを保存したのであれば,同データを消去するまでは,同データを安全に管理する義務があったというべきであり,本件データを夫のパソコンに移し,保存したまま放置したことは,同義務に違反する行為というべきであって,本件従業員には,前記のとおり本件データを安全に管理する義務に違反する過失があったと認められ,被告従業員の係る行為は,本件漏洩により後記損害を 置したことは,同義務に違反する行為というべきであって,本件従業員には,前記のとおり本件データを安全に管理する義務に違反する過失があったと認められ,被告従業員の係る行為は,本件漏洩により後記損害を被った原告に対する不法行為に該当するというべきである。 - 13 -そして,本件従業員が,貸与パソコンに本件統合データを保存した行為は,前記認定事実によれば,北九州事務所内において,業務執行中に行われたものと認められ,また,貸与パソコンを自宅に持ち帰ることについては,当該従業員の判断に任されていたのであるから,本件従業員が本件統合データを貸与パソコンに保存し,自宅に持ち帰ったとしても,業務のため貸与パソコンに保存された同データを管理していたというべきであり,同データを前記自宅にあった夫のパソコンに保存する行為もまた本件業務の遂行に際し行われたと解するのが相当である。したがって,被告は,民法715条により,原告に対し,本件漏洩による原告の損害を賠償する責任があるというべきである。 (ハ) 被告は,本件業務遂行後は個人情報を消除し,同情報の安全管理を図るべき義務があることを認めつつ,同消去の時期は,作成した統合データに関する不具合に対処する必要がなくなったときであり,必ずしも本件業務終了後直ちに消去すべき義務はなく,事実,本件業務終了後も,本件統合データに関するA町からの問い合わせがあり,これに対処するためにも,本件従業員が前記データを保存しておく必要があり,また,その後,A町から注文のあった追加作業においても,同データを使用する必要があったのであるから,本件従業員が,本件業務終了後,本件統合データを貸与パソコンに保存したのは,前記個人情報の安全管理義務に違反するものではないと主張する。 しかしながら,本件業務遂行中に,データ等に関する問い合 から,本件従業員が,本件業務終了後,本件統合データを貸与パソコンに保存したのは,前記個人情報の安全管理義務に違反するものではないと主張する。 しかしながら,本件業務遂行中に,データ等に関する問い合わせがあったかどうかはともかく,本件業務終了後にそのような問い合わせがあったと認めるに足りる証拠はなく,また,作業終了後,本件統合データを必要とする追加作業の発注があったとしても,北九州事務所のサーバにある本件統合データやA町に引き渡したデータを再度取り寄せ,同作業に当たることができるのであり,敢えて,本件従業員が貸与パソコンに保存し続け- 14 -る必要はなかったというべきであり,仮に,被告が主張するように,データの保存が必要であり,消去しなかったことが前記義務違反とならないにしても,データを消去しない以上,前記のとおり,個人情報が不正に使用されたり漏洩しないよう安全に管理すべき義務もあったのであるから,前記のとおり,本件従業員に同義務違反があったと認められる以上,同従業員の不法行為は否定できない。 また,被告は,個人情報の安全管理のための指導・監督を十分行っており,また,当時ウィニーによる情報の漏洩事故の発生は余り知られておらず,本件従業員が貸与パソコンに保存していた個人情報を夫のパソコンに移すとか,本件従業員の夫が,同パソコンにウィニーをインストールすることまでは予見不可能であり,それを前提とする指導・監督をすることまでは求められていない旨主張する。しかしながら,本件従業員が,貸与パソコンのデータを夫のパソコンに取り入れた当時には,既にウィニーによる情報漏洩事故は多発しており,そのことは少なくとも個人情報を取り扱う事業者の周知するところとなっていたと認められるから,ウィニーによる個人情報の漏洩も予見できたというべきであり,それにも ニーによる情報漏洩事故は多発しており,そのことは少なくとも個人情報を取り扱う事業者の周知するところとなっていたと認められるから,ウィニーによる個人情報の漏洩も予見できたというべきであり,それにもかかわらず,前記認定事実によれば,個人情報の安全管理については,北九州事務所における管理体制を定め,従業員に対しても一般的な個人情報の安全管理についての指導はしていたものの,本件業務に関しては,住民の個人情報に関するデータが入った貸与パソコンを帯出するについて,帯出ごとにデータの確認や個別の情報管理に関する指示・指導を行っておらず,同パソコンの帯出も当該従業員の判断に委ねられており,貸与パソコンに保存されたデータの消去についても,一般的な指導として,貸与パソコンに取り入れたデータは作業完了後は消去するように指導していたものの,本件従業員に貸与していたパソコン内のデータを消去したのは,前記のとおり,平成17年8月ころに本件従業員の担当業務が変更となり,被告の指示によ- 15 -り本件従業員が貸与パソコンを返還してからであったのであるから,被告の本件業務における個人情報保護のための安全管理については,なお,問題があったといわざるを得ず,個人情報管理のための本件従業員に対する指導・監督を怠っていないということはできないというべきである。 ハ以上によれば,被告は,本件漏洩によって原告が被った後記損害を民法715条に基づき賠償する責任があるというべきである。 ( )争点2(本件漏洩による原告の損害) イ前記認定事実に証拠(甲3,9の1の1ないし21,甲9の2,甲10,証人E)及び弁論の全趣旨を総合すると,原告は,平成19年8月13日,A町から,同町が本件漏洩問題に対処するために,本件漏洩が発覚した同年5月14日から同年8月31日までの間に要 甲9の2,甲10,証人E)及び弁論の全趣旨を総合すると,原告は,平成19年8月13日,A町から,同町が本件漏洩問題に対処するために,本件漏洩が発覚した同年5月14日から同年8月31日までの間に要する別紙「情報漏えいに係る損害内訳明細書」に記載した費用合計1453万2000円の損害賠償を求められ,原告は,同金員をA町に支払ったこと,原告も,本件業務の委託先業者として,本件漏洩問題に対処するため,関係機関等を訪問したが,その費用として合計20万8520円を要し,F新聞に謝罪広告を掲載するための費用として48万9300円を要したことが認められる。 ロ本件漏洩により,A町が,個人情報が漏洩した同町住民の不安を除去する等の対処を余儀なくされ,そのために相当の費用を要したことは容易に推測できるところであり,A町が原告に損害賠償として請求した損害の内訳及びその損害額についても,前記対処に要した費用として相当であると認められる。そして,前記争点1で述べたとおり,本件漏洩は,本件業務を原告から下請した被告の従業員の不法行為によって発生したものであり,元請である原告は同損害についての賠償責任は免れられないものであり,したがって,原告は,本件漏洩により,前記A町に対する損害賠償を余儀なくされたというべきである。また,合併前町村から本件業務を請け負った原告自身も本件漏洩問題に独自に対処する必要があり,そのために費用を要したことも容易- 16 -に推測できるところであり,原告が主張する交通費及び謝罪広告掲載費は本件漏洩問題に対処するために必要であり,その額も対処費用としては相当であると認められる。 以上によれば,原告は,本件漏洩問題に対処するため,A町が負担した費用を含めて合計1522万9820円の支払いを余儀なくされたものであるが,前記争点1で述べた 費用としては相当であると認められる。 以上によれば,原告は,本件漏洩問題に対処するため,A町が負担した費用を含めて合計1522万9820円の支払いを余儀なくされたものであるが,前記争点1で述べたように,原告は個人情報取扱業者として個人情報の安全管理義務を負っていたにもかかわらず,本件業務に関して得たA町の住民に関する個人情報の管理については,A町の現役場で行われた本件業務に先立ち,個人情報は作業完了後は直ちに消去するよう被告従業員らに注意をしたのみで,被告従業員が,A町の現役場で収集したデータを貸与パソコン,,に保存し北九州事務所に持ち帰って本件業務を行っていたにもかかわらず貸与パソコンによって持ち出すA町住民の個人情報の管理については,専ら被告に任せ,原告は前記のとおり,本件業務を始めるに際し,注意を与えたのみであったのであるから,原告にもまた個人情報取扱業者として,本件業務によって得たA町の住民の個人情報に関する安全管理管理義務を怠った過失があったというべきであり,同過失も本件漏洩の原因の一端を担っているというべきである。したがって,被告に,原告が本件漏洩問題に対処するためA町に対する損害賠償として支払った金員を含む合計1522万9820円全額につき,原告に対する損害賠償義務を認めるのは相当ではなく,原告及び本件従業員の過失の内容,被告の従業員に対する指導・監督の懈怠の内容及びそれらの程度並び本件記録に顕れた諸般の事情を考慮し,上記費用のうち,4割に相当する609万1928円は,原告の前記過失によるものとし,被告には,残りの6割に相当する913万7892円の限度で不法行為に基づく損害賠償義務を認めるのが相当である。 以上によれば,本訴請求は,913万7892円及びこれに対する不法行為の後の日である平成19年10月11日 相当する913万7892円の限度で不法行為に基づく損害賠償義務を認めるのが相当である。 以上によれば,本訴請求は,913万7892円及びこれに対する不法行為の後の日である平成19年10月11日(訴状送達の日の翌日)から支払ずみまで- 17 -民法所定の年5分の割合による遅延損害金の支払を求める限度で理由があるからこれを認容し,その余は理由がないから棄却することとし,主文のとおり判決する。 山口地方裁判所裁判官飯田恭示
▼ クリックして全文を表示