平成30年12月27日判決言渡同日原本交付裁判所書記官平成27年第2486号損害賠償請求事件(以下「第1事件」という。)平成27年第2767号損害賠償請求事件(以下「第2事件」という。)平成27年第32497号損害賠償請求事件(以下「第3事件」という。)口頭弁論終結日平成30年11月19日判決主文 被告シンフォームは,別紙原告目録の判断欄に〇と記載した原告らに対し,それぞれ3300円及びこれに対する同原告らのうち第1事件原告及び第3事 件原告については平成26年7月7日から,第2事件原告については同年12月9日からいずれも支払済みまで年5分の割合による金員を支払え。 原告らの被告シンフォームに対するその余の請求及び被告ベネッセに対する請求をいずれも棄却する。 訴訟費用は,①原告らに生じた費用の360分の251,被告シンフォーム に生じた費用の360分の247及び被告ベネッセに生じた費用の360分の255を別紙原告目録の判断番号に1と記載した原告らの負担とし,②原告らに生じた費用の360分の98,被告シンフォームに生じた費用の360分の95及び被告ベネッセに生じた費用の360分の101を別紙原告目録の判断番号に2と記載した原告らの負担とし,③原告らに生じた費用,被告シンフォ ームに生じた費用及び被告ベネッセに生じた費用の各360分の1を別紙原告目録の判断番号に3と記載した原告の負担とし,④原告らに生じた費用,被告シンフォームに生じた費用及び被告ベネッセに生じた費用の各360分の3を別紙原告目録の判断番号に4と記載した原告らの負担とし,⑤原告らに生じたその余の費用と被告シンフォームに生じたその余の費用は被告シンフォームの 負担とする。 この判決1項は,仮に執行することができる 目録の判断番号に4と記載した原告らの負担とし,⑤原告らに生じたその余の費用と被告シンフォームに生じたその余の費用は被告シンフォームの 負担とする。 この判決1項は,仮に執行することができる。 事実 及び理由第1請求 第1事件被告らは,第1事件原告らに対し,連帯して,それぞれ別紙原告目録請求額 欄記載の金員及びこれに対する平成26年7月7日から支払済みまで年5分の割合による金員を支払え。 第2事件被告らは,第2事件原告に対し,連帯して,10万円及びこれに対する平成26年12月9日から支払済みまで年5分の割合による金員を支払え。 第3事件被告らは,第3事件原告らに対し,連帯して,それぞれ別紙原告目録請求額欄記載の金員及びこれに対する平成26年7月7日から支払済みまで年5分の割合による金員を支払え。 第2事案の概要 本件は,原告らが,通信教育事業等を営む被告ベネッセから委託を受けて原告らの個人情報を分析するシステムの開発,運用等をしていた被告シンフォームの業務委託先の従業員において原告らの個人情報を外部に漏えいされたことにより精神的苦痛を被ったとして,被告シンフォームに対し不法行為又は同従業員を被用者とする使用者責任に基づき,被告ベネッセに対し不法行為又は被 告シンフォームを被用者とする使用者責任に基づき,慰謝料等の損害賠償金及び不法行為の以後の日である平成26年7月7日(第2事件原告については,同年12月9日)から支払済みまで民法所定の年5分の割合による遅延損害金の支払を求める事案である。 前提事実 以下の事実は,括弧内に証拠を挙げたもの以外は,当事者間に争いがなく,又は当事者が争うことを明らかにしない。 被告ベネッセは,通信教育,模擬試験や雑誌等の発行・通販事業を行う株 前提事実 以下の事実は,括弧内に証拠を挙げたもの以外は,当事者間に争いがなく,又は当事者が争うことを明らかにしない。 被告ベネッセは,通信教育,模擬試験や雑誌等の発行・通販事業を行う株式会社である。 被告シンフォームは,被告ベネッセのシステム開発・運用を行っている被告ベネッセのグループ会社である。 被告ベネッセは,被告シンフォームに対し,平成24年4月頃,顧客の個人情報その他本人の同意を得て取得した個人情報を統合して分析に使用するためのシステム(以下「本件システム」といい,本件システムのデーターベースを「本件データベース」という。)の開発・運用・保守の業務(以下「本件業務」という。)を委託した。被告シンフォームは,複数の業者に対 し,本件業務の一部を再委託していた。 Cは,被告シンフォームによる本件業務の委託先の従業員であった。Cは,平成24年4月頃から,被告シンフォームの東京支社多摩事務所(以下「多摩事務所」という。)において,本件データベースにアクセスするためのアカウントの提供を受け,被告シンフォームから貸与を受けた業務用のパソコ ン(以下,Cが貸与を受けたパソコンを「本件パソコン」といい,被告シンフォームが業務従事者に貸与するパソコン一般を「業務用パソコン」という。)を使用し,本件業務に従事していた。 Cは,平成25年7月頃から平成26年6月27日まで(以下「本件当時」という。),多摩事務所において,本件パソコンに,本件データベース に保管されていた個人情報を抽出して保存した上で,その個人情報を,本件パソコンのUSBポートにUSBケーブルを用いて接続したMTP(メディア・トランスファー・プロトコルのことをいう。以下同じ。)に対応したC所有のスマートフォンに転送し,その内蔵メモリに保存する等の方法により のUSBポートにUSBケーブルを用いて接続したMTP(メディア・トランスファー・プロトコルのことをいう。以下同じ。)に対応したC所有のスマートフォンに転送し,その内蔵メモリに保存する等の方法により不正に取得した(以下「本件取得行為」という。)。その後,Cは,名簿業 者3社に対して,本件取得行為に係る個人情報の全部又は一部を売却した(以下,「本件売却行為」といい,本件取得行為と併せて「本件行為」とい う。)。 被告ベネッセは,警察から,Cにおいて名簿業者に売却したとされる個人情報のデータの提供を受け,これを解析した。その結果では,同データには,約2億1639万件の個人情報が記録され,約4858万人分の個人情報が 含まれていた。 MTPは,デジタルカメラの画像転送プロトコルをベースに,音楽・動画ファイルなどの転送を可能にした規格であり,音楽・映像プレーヤー等に採用されており,デジタルオーディオプレーヤーやデジタルメディアプレーヤーに音楽ファイルや動画ファイルを転送する目的で設計されている。他方, USBによるデータ通信に広く利用されているUSBメモリなどの大容量ストレージの通信方法(以下「MSC」という。)では,ストレージ全体をブ ロック単位で扱い,パソコン側でも操作を行うため,スマートフォンのようなOS(オペレーションシステムのことをいう。以下同じ。)を有するデバイスにおいてMSCによる通信を利用する場合には,パソコン側とデバイス側との双方で操作を行うため不具合が生ずるおそれがある。これに対し,M TPは,ファイル単位での管理を可能とし,パソコン側では操作せず,デバイス側のみで操作をするため,パソコン側とデバイス側との双方で操作を行うために生ずる不具合のおそれがないとの特色を有する。また,MTPは, ァイル単位での管理を可能とし,パソコン側では操作せず,デバイス側のみで操作をするため,パソコン側とデバイス側との双方で操作を行うために生ずる不具合のおそれがないとの特色を有する。また,MTPは,MTP対応のパソコンでは,ドライバーソフトをインストールすることなく,MTP対応のデバイスとの間で音楽や動画のファイルの相互転送を可能とす る特色も有している。 (甲15,16,98の2から4まで)別紙情報一覧表(以下「情報一覧表」という。)の「主張・認否」欄(以下,単に「認否欄」という。)のいずれかの情報項目に「〇」の記載がある情報がある原告(なお,情報一覧表の原告番号の原告と別紙原告目録の同じ 原告番号の原告とは同一である。以下同じ。)について,同情報(ただし,氏名,生年月日,郵便番号及び住所については,別紙原告目録の「氏」「名」欄記載の氏名,同「生年月日」欄記載の生年月日,同「漏えい時郵便番号」欄記載の郵便番号及び同「漏えい時住所」欄記載の住所)は,本件行為により漏えいした。 当事者の主張原告らの主張ア原告らの情報の漏えい平成26年7月7日時点で20歳以上である原告(以下「成年原告」という。)らは,被告ベネッセに対し,自ら又は同日時点で20歳未満であ る原告(以下「未成年原告」という。)らの保護者として,①氏名,②性別,③生年月日,④郵便番号,⑤住所,⑥電話番号,⑦ファクシミリ番号, ⑧メールアドレス,⑨出産予定日又は⑩未成年原告にあっては保護者の氏名の各情報(ファクシミリ番号,メールアドレス,出産予定日又は保護者の氏名にあっては,認否欄の情報項目に「〇」,「▲」,「△」及び「★」のいずれかの記載があるものに限る。)を提供していた(以下「本 件個人情報」という。)。本件個人情報(ただし,氏名,生年月日, の氏名にあっては,認否欄の情報項目に「〇」,「▲」,「△」及び「★」のいずれかの記載があるものに限る。)を提供していた(以下「本 件個人情報」という。)。本件個人情報(ただし,氏名,生年月日,郵便番号及び住所については,それぞれ,別紙原告目録の「氏」「名」欄記載の氏名,同「生年月日」欄記載の生年月日,同「漏えい時郵便番号」欄記載の郵便番号,同「漏えい時住所」欄記載の住所であり,性別,電話番号,ファクシミリ番号,メールアドレス及び出産予定日については,具体的な 内容を特定しない。なお,保護者の氏名は特定されていない。以下同じ。)は,遅くとも同日までに本件行為により外部に漏えいされた(以下「本件漏えい」といい,本件漏えいに係る本件個人情報を「本件漏えい情報」という。)。また,本件漏えいでは,教育事業を営む被告ベネッセの名簿として漏えいされているから,原告らについて,子供の教育に熱心な, 若しくは関心がある親又は教育に熱心な,若しくは関心がある親に育てられている子という属性も漏えいしているといえる。 イ被告らの予見可能性まず,①「情報システム安全対策基準」(平成7年通商産業省(以下,その後身である経済産業省を含めて,「経産省」という。)告示第518 号,平成9年経産省告示第536号による最終改正によるもの。以下「平成9年経産省基準」という。)は,情報システムの機密性を確保することを目的として,故意・過失のリスクを未然に防止するために,情報システムの利用者が実施する対策項目を列挙しているから,個人情報を取り扱う企業にとっての不法行為上の注意義務の基準となる。次に,②「個人情報 の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成21年厚生労働省・経産省告示第2号。以下「平成21年経産省ガ イド 行為上の注意義務の基準となる。次に,②「個人情報 の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成21年厚生労働省・経産省告示第2号。以下「平成21年経産省ガ イドライン」という。)は,経済産業分野における事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援する具体的な指針として定められたものであり,個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)が事業者に対し個人の情報の取扱 いに関し義務を課すことで各人の権利を保護しているので,個人情報保護法が定める義務が不法行為上の注意義務を構成するといえる。また,③独立行政法人情報処理推進機構の平成25年3月25日作成の「組織における内部不正防止ガイドライン」(以下「平成25年IPAガイドライン」という。)は,企業等において必要な内部不正対策を効果的に実施可能と することを目的とするので,平成25年IPAガイドラインで要求する事項を考慮しない場合には,不法行為上の注意義務違反となるというべきである。さらに,④日本工業標準調査会の平成18年策定の「個人情報保護マネジメントシステム-要求事項(JISQ15001:2006)」(以下「JIS基準」という。)は,事業者が業務上取り扱う個人 情報を安全で適切に管理するための標準となるべく策定された日本工業規格であり,財団法人日本情報処理開発協会(当時)の平成22年9月17日発行の「JISQ15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン第2版」(以下,「平成22年JISガイドライン」といい,JIS基準と併せて「JIS 基準等」という。)は,JIS基準により個人情報保護マネジメントシステムを構築し,運用するための イドライン第2版」(以下,「平成22年JISガイドライン」といい,JIS基準と併せて「JIS 基準等」という。)は,JIS基準により個人情報保護マネジメントシステムを構築し,運用するためのガイドラインであるので,JIS基準等で要求されている事項を満たさない場合には,業務上個人情報を取り扱う事業者に要求される水準を満たさないものとして,不法行為上の注意義務違反となる。加えて,⑤日本データセンター協会の平成25年8月28日作 成の「データセンターセキュリティガイドブックVer1.0」(以下「平成25年データセンターガイドブック」という。)は,データーセ ンターの適切なセキュリティに関する理解を深め,日本のデータセンターの活用のために広く参照されることを目標として,適切なセキュリティを考えるために必要なものを示すものであるので,当該基準は,個人情報を取り扱う企業にとっての注意義務の指標となる。そして,上記の基準やガ イドライン等の内容などからすると,個人情報を取り扱う事業者にとって,本件当時,外部記録媒体へ格納する方法による情報漏えいのリスクや,これを防止するための対策の必要性等が広く認識されている状況にあった。 また,被告シンフォームは,毎年,実施する社員及び業務委託先の従業員の全員を対象とする情報セキュリティ研修において,顧客の個人情報の 大量持ち出し事例の紹介やスマートフォンを含む外部記録媒体への書き出し制御を実施している旨を周知していたので,スマートフォンが外部記録媒体として機能することやスマートフォンへ本件個人情報を書き出す手法による情報漏えいのリスクを十分に把握していた。 さらに,被告シンフォームでは,本件業務に従事する複数の業務従事者 が共用するアカウントの教示を受けた従業員において,業務用パソコン を書き出す手法による情報漏えいのリスクを十分に把握していた。 さらに,被告シンフォームでは,本件業務に従事する複数の業務従事者 が共用するアカウントの教示を受けた従業員において,業務用パソコンから本件データベースにバッチサーバ経由でアクセスすることで,個人情報にアクセスし,スマートフォン等に個人情報を書き出すことは容易であった。 他方,アンドロイドをOSとするスマートフォン端末(以下「アンドロ イドスマートフォン」という。)のうち,MTPに対応したバージョン4. 0以降のもの(以下「アンドロイド4.0」という。)は,平成25年4月には,少なくとも1235万台を超えて使用されていた。 そうすると,被告らはスマートフォンを記憶媒体として利用した不正行為の可能性を認識することが可能であった。 したがって,被告らには,本件当時,業務用パソコンにアクセスを有する者において,業務用パソコンにスマートフォンをUSBケーブルにて接 続し,データを転送する方法によって個人情報を不正に取得することの予見可能性があった。 ウ被告シンフォームの注意義務持込禁止義務 被告シンフォームは,被告ベネッセの顧客の大量の個人情報を取り扱っており,その個人情報の中には,子供に関する個人情報も多く含まれる。特に子供に関する個人情報は,漏えいした場合の影響が長時間に及ぶなど悪影響が甚だしく,同情報を大量に保有し,管理している企業には,個人情報が漏えいしないように最大限の配慮が求められる。 また,平成9年経産省基準では「情報システム等の運用に関連する各室の搬出入物は,必要な物に限定すること」と明記され,平成25年IPAガイドラインでも個人所有の記録媒体の業務フロア内への持込みを制限することを対策のポイントとして挙げ,さらに,平成25年データセンター 出入物は,必要な物に限定すること」と明記され,平成25年IPAガイドラインでも個人所有の記録媒体の業務フロア内への持込みを制限することを対策のポイントとして挙げ,さらに,平成25年データセンターガイドブックにも記録媒体の持込み制限をセキュリティ対策と して挙げていることからすると,個人情報を取り扱う事業者においては,本件当時,情報漏えいの防止対策として,記録媒体の持込みを禁止する方法が広く認識されている状況にあった。 そして,私物のスマートフォン等を業務上利用する必要はなく,この持込みを制限することは,コストも手間も掛からない。 したがって,被告シンフォームは,業務委託先の従業員に対し,本件当時,私物スマートフォン等の業務エリアへの持込みを禁止する措置を講ずるべき注意義務(以下「持込禁止義務」という。)を負っていた。 それにもかかわらず,被告シンフォームは,本件当時,私物スマートフォン等の業務エリアへの持込みを禁止していないので,持込禁止義務 に違反している。 USB接続禁止義務 被告シンフォームは,前記のとおり,大量で,センシティブな情報を扱っているので,本件個人情報が漏えいしないように最大限の配慮が求められる。 平成21年経産省ガイドラインでは「個人データを入力できる端末」 において「外部記録媒体」を接続することができないようにすることが望ましいとの記載がされ,平成25年IPAガイドラインでは外部記録媒体の業務利用の制限を対策のポイントに挙げ,平成22年JISガイドラインでは外部記録媒体を接続することができないようにすることを業務上の必要性に基づく対策として挙げていることからすると,個人情 報を取り扱う事業者において,本件当時,情報漏えいの対策として,業務用パソコンに記録媒体を接続することができないよう することを業務上の必要性に基づく対策として挙げていることからすると,個人情 報を取り扱う事業者において,本件当時,情報漏えいの対策として,業務用パソコンに記録媒体を接続することができないようにする方法が広く認識されている状況にあった。 他方,USBポートを物理的に塞ぐ器具は,遅くとも平成17年には発売され,情報漏えい対策として一般的なものとなっていた。そして, USBポートを物理的に塞ぎ,又は少なくとも接続を禁止するルールを設けることは,コストも手間も掛からない。他方,マウスの接続はUSB以外の方法でも可能であり,あらかじめ固定して外せないようにすることも可能であり,また,顧客等へのデータ提供についても,必要に応じて一時的に上司等の立会いの下,USBメモリの接続を認めれば業務 に支障はなかった。そうすると,被告シンフォームにおいて,USB接続(USBポートにUSBケーブルを用いて接続することをいう。以下同じ。)を禁止することは可能かつ容易であった。 したがって,被告シンフォームは,本件当時,業務用パソコンにUSB接続を禁止する措置を講ずるべき注意義務(以下「USB接続禁止義 務」という。)を負っていた。 それにもかかわらず,被告シンフォームは,本件当時,USB接続を 禁止する措置を講じていないので,USB接続禁止義務に違反している。 書き出し制御義務被告シンフォームは,前記のとおり,大量で,センシティブな情報を扱っているので,本件個人情報が漏えいしないように最大限の配慮が 求められる上,平成25年IPAガイドラインでは,個人の情報機器及び記録媒体が持ち込まれた場合のリスクを具体的に指摘している。 そして,商用デバイス用のセキュリティソフトウェア(以下「セキュリティソフト」という。)では,平成19年7月から平成 は,個人の情報機器及び記録媒体が持ち込まれた場合のリスクを具体的に指摘している。 そして,商用デバイス用のセキュリティソフトウェア(以下「セキュリティソフト」という。)では,平成19年7月から平成25年8月にかけて,MTPに対応しており,また,平成24年夏以降に発売された アンドロイドスマートフォンは,全てアンドロイド4.0のMTP通信に対応する端末であり,相当程度市場に出回る見通しであったから,それを予測することができる時点で,その対策が当然に必要となるというべきである。 他方,業務用パソコンにMTPの使用制御(パソコンからデバイスへ のデータの書き出しを制御することをいう。以下同じ。)又は接続制御(同書き出し及びデバイスからパソコンへのデータの読み込みを制御することをいう。以下同じ。)の機能に対応したセキュリティソフトを搭載することは,個人情報漏えいの対策に極めて有効で,これを採ることは可能かつ容易であった。 したがって,被告シンフォームは,本件当時,業務用パソコンにMTP使用制御又は接続制御の機能に対応したセキュリティソフトを搭載することにより,情報の書き出しを制御し,又は機器の接続を制御する措置を講ずるべき注意義務(以下「書き出し制御義務」という。)を負っていた。 それにもかかわらず,被告シンフォームは,本件当時,本件セキュリティソフトでは,MTP通信による情報の書き出しを制御しておらず, また,MTPに対応した機器の接続を制御していないので,書き出し制御義務に違反している。 アラート設定義務被告シンフォームは,前記のとおり,大量で,センシティブな情報 を扱っているので,本件個人情報が漏えいしないように最大限の配慮が求められる上,平成25年IPAガイドラインでは,個人の情報機器及び記録媒体が持 ムは,前記のとおり,大量で,センシティブな情報 を扱っているので,本件個人情報が漏えいしないように最大限の配慮が求められる上,平成25年IPAガイドラインでは,個人の情報機器及び記録媒体が持ち込まれた場合のリスクを具体的に指摘している。 そして,被告らも,本件漏えいの発覚直後から,再発防止策の緊急対策としてアラート機能を設定することを一番目の項目として挙げ,また, 被告ベネッセが経産省に対する最終の事故調査報告書においてアラートシステムが機能しなかったために本件行為を防止することができなかった旨記載しているように,被告らは,アラートシステムを設定しておけば,従業員に対する警告となると考えていた。 したがって,被告シンフォームは,本件当時,本件データベースと業 務用パソコンとの間に通常業務における以上の通信量が認められた場合に管理者に対してメール等により警告が発せられ,管理者がそれを許容するかを確認するシステムを設定するべき注意義務(以下「アラート設定義務」という。)を負っていた。 それにもかかわらず,被告シンフォームは,本件当時,上記アラート システムを設定していないので,アラート設定義務に違反している。 監視カメラ設置義務被告シンフォームは,前記のとおり,大量で,センシティブな情報を扱っているので,本件個人情報が漏えいしないように最大限の配慮が求められる。 平成25年IPAガイドラインでは「重要情報を扱う物理的区画」のセキュリティ強化としてカメラ等で監視する旨やその監視をしているこ とを伝える旨が記載され,また,平成25年データセンターガイドブックでも実施されるセキュリティ対策として画像監視システムを挙げていることからすると,個人情報を取り扱う業者において,本件当時,情報漏えいの対策として,情報を扱う執 平成25年データセンターガイドブックでも実施されるセキュリティ対策として画像監視システムを挙げていることからすると,個人情報を取り扱う業者において,本件当時,情報漏えいの対策として,情報を扱う執務室の監視カメラ等による監視の必 要性が広く認識されている状況にあった。 また,個人情報を取り扱う作業スペースに監視カメラを設置し,常時行動を監視した場合,従業員が同スペースで不正行為に及ぶことを抑止することができ,また,監視カメラにより行動を監視していれば速やかに情報漏えいに対処することが可能であり,個人情報の拡散を抑制する ことができる。他方,被告シンフォームでは,情報漏えいのリスクを十分に認識して,主要な入退出口には防犯カメラを設置していたように,防犯カメラを設置することは容易であった。 したがって,被告シンフォームは,本件当時,監視カメラにより執務室を監視し,それを従業員等に伝えるべき注意義務(以下「監視カメラ 設置義務」という。)を負っていた。 それにもかかわらず,被告シンフォームは,本件当時,監視カメラにより執務室を監視せず,また,監視カメラにより執務室を監視していることを従業員等に伝えていないので,監視カメラ設置義務に違反している。 エ被告ベネッセの注意義務部門設置義務個人情報保護法が定める義務は,前記イのとおり,不法行為上の注意義務を構成するところ,個人情報保護法20条では,個人情報を取り扱う事業者に個人データの安全管理のために必要かつ適切な措置を講ずる ことを義務付け,平成21年経産省ガイドラインは,義務的事項として,個人データの安全管理措置を講ずるための組織体制の整備を挙げ,また, 平成25年IPAガイドラインも組織横断的な管理体制の構築を求めている。 また,個人情報を取り扱うに当たり,利用・ 項として,個人データの安全管理措置を講ずるための組織体制の整備を挙げ,また, 平成25年IPAガイドラインも組織横断的な管理体制の構築を求めている。 また,個人情報を取り扱うに当たり,利用・管理に責任を持つ部門が存在しない場合には,保有する情報を統括して管理することができず, 個人情報の取扱いや管理が杜撰となり,情報の漏えいが生じる可能性が高まる。そして,被告ベネッセの事業規模からすると,同部門を設置することは可能かつ容易であった。 さらに,被告ベネッセが取得した個人情報は,大量で,センシティブな情報が含まれている上,被告シンフォームに本件システムの構築を委 ね,更に被告シンフォームが委託先にその一部を委託するなど,被告ベネッセの顧客情報に接触する者が被告ら以外の会社の従業員を含め多岐にわたっていた。そして,後記のとおり,被告ベネッセには個人情報を取り扱う委託先に対して必要かつ適切な監督を行う義務等があった。 したがって,被告ベネッセは,本件当時,保有する個人情報の利用・ 管理に責任を持つ部門を設置するべき注意義務(以下「部門設置義務」という。)を負っていた。 それにもかかわらず,被告ベネッセは,本件当時,実質的に,保有する個人情報の利用・管理に責任を持つ部門を設置していないので,部門設置義務に違反している。 シンフォーム同様義務被告ベネッセは,被告シンフォームに本件業務を委託しているものの,元々被告シンフォームの親会社であったものが株式会社ベネッセホールディングスを持株会社とするグループ企業に再編された経緯及び被告シンフォームの役員に自社の役員を就任させていた状況等から,実質的に は,被告シンフォームを自社の一部門と同様の状態で事業を行っていたということができる。 そうすると,被告ベネッセは,被告 ンフォームの役員に自社の役員を就任させていた状況等から,実質的に は,被告シンフォームを自社の一部門と同様の状態で事業を行っていたということができる。 そうすると,被告ベネッセは,被告シンフォームと一体となり,組織的な事業として本件システムの開発・運用を行い,組織的に一体として本件個人情報を取り扱っていたと評価することができる。 したがって,被告ベネッセは,本件当時,前記ウの被告シンフォーム の注意義務と同様の持込禁止義務,USB接続禁止義務,書き出し制御義務,アラート設定義務及び監視カメラ設置義務の各注意義務(以下「シンフォーム同様義務」という。)を負っていたと評価することができる。 それにもかかわらず,被告ベネッセは,本件当時,シンフォーム同様 義務を果たしていないので,シンフォーム同様義務に違反している。 委託先選任監督義務個人情報保護法22条は,個人情報を取り扱う事業者に,個人データの取扱いの全部又は一部を委託する場合は,その取扱いを委託された個人データの安全管理が図られるよう,委託を受けた者に対する必要かつ 適切な監督を行わなければならない旨規定しているところ,被告ベネッセは,被告シンフォームに本件業務を委託しているので,被告シンフォームに対する必要かつ適切な監督を実施する義務を負っていた。そして,平成21年経産省ガイドラインは,必要かつ適切な監督に,委託先を適切に選択すること,委託先に個人情報保護法20条に基づく安全管理措 置を遵守させるために必要な契約を締結すること及び委託先における委託された個人データの取扱状況を把握することを含めている。しかも,被告ベネッセが取得した個人情報は,前記のとおり,大量で,センシティブな情報が含まれている。 したがって,被告ベネッセは,本件当時,業務委託先を選任 タの取扱状況を把握することを含めている。しかも,被告ベネッセが取得した個人情報は,前記のとおり,大量で,センシティブな情報が含まれている。 したがって,被告ベネッセは,本件当時,業務委託先を選任する当た り,適切に個人情報を管理する体制にある業者を選任するべき注意義務及び個人情報保護法20条に基づく安全管理措置が委託先で適切に採ら れているかを監督するべき注意義務(以下「委託先選任監督義務」という。)を負っていた。 それにもかかわらず,被告ベネッセは,本件当時,適切に個人情報を管理する体制にある業者を選任せず,また,個人情報保護法20条に基 づく安全管理措置が委託先で適切に採られていることを監督していないので,委託先選任監督義務に違反している。 オ被告らの行為の違法性本件個人情報は,無制限な開示,保有,利用が許される情報でなく,法的保護の対象となる上,本件行為には,何らの正当な理由がない。 したがって,本件行為は,原告らのプライバシーを侵害し,違法である。 カ被告シンフォームのCを被用者とする使用者責任Cは,原告らが名簿業者に本件個人情報を提供することを許諾していないことを知りながら,本件行為により,故意に原告らのプライバシーを侵害しており,原告らに対して,本件行為につき不法行為に基づく損 害賠償責任を負う。 本件取得行為は,Cが多摩事務所において,本件業務を行う際にされており,また,本件売却行為は,本件システムの開発等の業務従事行為を契機として,これと密接な関連を有した行為である。 したがって,本件行為は,被告シンフォームの「事業の執行につい て」されたものに当たる。 民法715条の使用関係は,実質的な指揮監督関係があれば足りるところ,Cは,被告シンフォームの社員であるグループリーダーから,多摩事務所に ォームの「事業の執行につい て」されたものに当たる。 民法715条の使用関係は,実質的な指揮監督関係があれば足りるところ,Cは,被告シンフォームの社員であるグループリーダーから,多摩事務所において,グループの一員として個別の業務を割り当てられ,直接指示を受け,また,被告シンフォームから,業務用アカウントを教 示され,本件パソコンを貸与され,研修を受講させられてきた。 したがって,被告シンフォームは,Cを実質的に指揮監督する関係に あった。 なお,被告シンフォームは,Cの選任及びその事業の監督について相当の注意をしていない。 よって,被告シンフォームは,原告らに対し,本件行為につきCを被 用者とする使用者責任に基づく損害賠償責任を負う。 キ被告ベネッセの被告シンフォームを被用者とする使用者責任被告シンフォームは,前記ウのとおり,持込禁止義務,USB接続禁止義務,書き出し制御義務,アラート設定義務及び監視カメラ設置義務の各違反により不法行為責任を負う。 また,本件業務は,被告ベネッセの商品・サービス開発やマーケティングのためのものであるので,被告シンフォームの前記の各違反行為は,被告ベネッセの「事業の執行について」されたものに当たる。 被告ベネッセは,被告らの属するグループの組織体制において,被告シンフォームの上位にあり,被告シンフォームに指示を出す立場にあり, 被告シンフォームに,同グループにおいて最も重要な経営基盤と位置付けられた本件システムの開発を行わせ,仕様を指示し,その進捗を管理し,被告ベネッセの管理職の社員を被告シンフォームの従業員に兼務させ,被告ベネッセの社員において被告シンフォームの社員や委託先の従業員に対し,直接指示をするなどしていた。 したがって,被告ベネッセは,本件業務について,被告シ 被告シンフォームの従業員に兼務させ,被告ベネッセの社員において被告シンフォームの社員や委託先の従業員に対し,直接指示をするなどしていた。 したがって,被告ベネッセは,本件業務について,被告シンフォームを実質的に指揮監督する立場にあった。 なお,被告ベネッセが被告シンフォームの選任及びその事業の監督について相当の注意をしていない。 よって,被告ベネッセは,原告らに対し,本件行為につき被告シンフ ォームを被用者とする使用者責任に基づく損害賠償責任を負う。 ク原告らの損害 本件個人情報は,基本的な個人情報であるが,高度情報化社会においては,情報の保存,検索,連結,解析が技術的,費用的に可能となり,住所,生年月日などはそれ自体重要な意味を持つようになり,重大な価値を有している上,センシティブな情報で,入手を欲する者にとっては,高い経済 的価値を持つ一方,漏えいされた者からすれば,通常開示を欲しない情報である。また,本件個人情報の流出先は,約500社に上り,流出の範囲は広く,回収が困難である上,流出先からの再流出の懸念も大きい。 そして,成年原告には,ダイレクトメール,電子メール及び勧誘の電話を受けるとの具体的な被害を受けている者がいるほか,不特定の者によっ て本件個人情報が購入され,その回収が不可能であるため,いかなる目的で何時利用されるか分からないという不安感・不快感を抱いており,訪問勧誘や電話勧誘等も迷惑である。他方,未成年原告は,これらと同様の事情に加え,同不安感・不快感に一生付きまとわれ,学校の入学・卒業・受験など多くの場面で業者に利用されるだけでなく,犯罪等への利用も警戒 しなければならず,親の情報が一緒に漏えいしている場合には悪用される危険度が更に高まるので,不快感による精神的苦痛が成年の比ではない。 し 場面で業者に利用されるだけでなく,犯罪等への利用も警戒 しなければならず,親の情報が一緒に漏えいしている場合には悪用される危険度が更に高まるので,不快感による精神的苦痛が成年の比ではない。 したがって,本件行為による精神的苦痛は,成年原告(第2事件原告を除く。)が4万5000円(第2事件原告にあっては9万5000円)を下らず,未成年原告が9万円を下らない。 また,本件は個人情報漏えいという高度に複雑な事柄に関するため,原告らは,法律専門家である弁護士に法的手続を依頼せざるを得ないので,本件訴訟の弁護士費用のうち,本件行為による不法行為と相当因果関係のある損害としては,成年原告につき1人当たり5000円,未成年原告につき1人当たり1万円が相当である。 ケ以上によれば,被告らは,不法行為又は使用者責任に基づく損害賠償責任を負い,被告シンフォームにおいて被告ベネッセの個人情報の管理を受 託していたので,原告らに対し,共同で安全管理措置を徹底する義務を有していたから,被告らには共同不法行為が成立する。 被告らの主張ア原告らの情報漏えいについて コード判明原告について情報一覧表の「登録コード」欄に登録コード(被告らが本件行為の後に本件行為に係る情報漏えい対象者ごとに付している管理番号をいう。 以下同じ。)の記載があり,かつ,情報一覧表の「コード帰属者」欄が空欄となっている原告ら(以下「コード判明原告」という。)において は,①認否欄の情報項目に「▲」の記載がある情報については,同認否欄の「備考」欄に記載の理由により漏えいした情報の内容と原告らの主張する情報の内容が一致せず,②認否欄の情報項目に「△」の記載がある情報については,当該情報の漏えいがあったことは認めるものの,性別,電話番号,ファクシミリ番号,メールアド た情報の内容と原告らの主張する情報の内容が一致せず,②認否欄の情報項目に「△」の記載がある情報については,当該情報の漏えいがあったことは認めるものの,性別,電話番号,ファクシミリ番号,メールアドレス及び出産予定日につ いては,原告らが具体的内容を主張しないため,その内容を知らず,③認否欄の情報項目に「★」の記載がある情報の漏えいがあったことは,否認し,又は知らない。 コード帰属未定原告について情報一覧表の「登録コード」欄に登録コードの記載があり,かつ,同 「コード帰属者」欄に「不明」と記載されている原告ら(以下「コード帰属未定原告」という。)については,本件個人情報が漏えいしたことは知らない。 なお,コード帰属未定原告に係る情報一覧表記載の登録コードが当該コード帰属未定原告のものであった場合には,当該コード帰属未定原告 につき,①認否欄の情報項目に「▲」の記載がある情報については,備考欄に記載したとおりの理由により正確な情報が漏えいしておらず,② 認否欄の情報項目に「△」の記載がある情報については,当該情報に関する漏えいがあったことを認めるものの,漏えいした情報の内容は知らず,③認否欄の情報項目が「★」の記載がある情報の漏えいがあったことは,否認し,又は知らない。 コード不明原告について情報一覧表の「登録コード」欄に登録コードの記載がない原告ら(以下「コード不明原告」という。)の本件個人情報の漏えいがあったことは,否認し,又は知らない。 イ被告らの予見可能性について まず,①平成21年経産省ガイドラインは,個人情報保護法が予防的に一定の名宛人に公法上の安全管理措置義務を定めて個人情報を保護するものであり,個人情報を個人の権利利益と位置付けるものでなく,また,個人情報保護法上求められる安全管理措置を採ら 情報保護法が予防的に一定の名宛人に公法上の安全管理措置義務を定めて個人情報を保護するものであり,個人情報を個人の権利利益と位置付けるものでなく,また,個人情報保護法上求められる安全管理措置を採らなかったとしても,それが直ちに不法行為上の注意義務違反となるものではない。 また,②平成9年経産省基準は,サーバールームやデータセンターにおけるセキュリティ対策に係る基準であり,通常の企業の執務室における情報セキュリティ対策に当てはめることは不適当であり,情報システムに関する技術やこれを取り巻く環境が本件当時とは異なっており,③平成25年IPAガイドラインは,組織における内部不正を防止するためのノウハ ウ集にすぎず,違法とはいえない行為も対象に含めて防止策を提示するものであり,さらに,④JIS基準等は個人情報保護法の要求事項を超えた高い保護レベルを前提としており,⑤平成25年データセンターガイドブックは,企業の執務室における情報セキュリティ対策の基準としては不適当であり,いずれも,個人情報保護法との関係で法規範性を有することは なく,不法行為上の注意義務の内容や範囲を画するものではない。 アンドロイド4.0が平成23年10月18日にリリースされ,MTP 通信によりウインドウズパソコンとアンドロイドスマートフォンとで相互に情報通信ができることとなったところ,本件当時まで,パソコンからMTP通信によりスマートフォンにデータが書き出されることによる情報流出の危険性やその対策を採ることの必要性について,社会的に認識されて おらず,MTP通信に対する情報流出につき従来のMSCデバイス制御の技術的措置とは異なる対策を採らなければならないといった問題認識が社会的になかった。また,被告らにおいて,本件当時まで,業務用パソコンからスマート 信に対する情報流出につき従来のMSCデバイス制御の技術的措置とは異なる対策を採らなければならないといった問題認識が社会的になかった。また,被告らにおいて,本件当時まで,業務用パソコンからスマートフォンに書き出しがされ,外部に情報が持ち出されたなどのMSCデバイスの書き出し制御措置が機能しない事態があることを疑わせ る事故等が発生したことがなく,そのような疑いをもつ契機がなかった。 したがって,被告らは,本件当時,業務用パソコンにアクセスをする権限を有する者において,業務用パソコンにMTP対応のスマートフォンをUSBケーブルにて接続し,MTP通信でデータを転送する方法によって個人情報を不正に取得することの予見可能性があったとはいえない。 ウ被告シンフォームの注意義務について持込禁止義務についてまず,保管されている個人情報の量によって,採るべき安全管理措置の水準が異なる理由はない。 原告らの指摘する平成9年経産省基準,平成25年IPAガイドライ ン及び平成25年データセンターガイドブックの記載は,被告シンフォームの注意義務を根拠付けるものとはならない。他方,私物スマートフォン等の持込み禁止は,平成21年経産省ガイドラインでは,義務的事項としても,望ましい事項ともされておらず,また,本件当時,一般の企業において,例外的な場合を除き採用されていないのみならず,本件 当時の後も,プライバシーマークやISMS認証(情報セキュリティに関する国際規格の1つであるISMS認証基準に適合していることにつ いての第三者機関による認証をいう。以下同じ。)を取得しようとする企業でも,標準的に採られている措置とはされていなかった。 さらに,私物スマートフォンの持込みを禁止することは,これを徹底しない限り実効性がない一方,これを徹底すると 。以下同じ。)を取得しようとする企業でも,標準的に採られている措置とはされていなかった。 さらに,私物スマートフォンの持込みを禁止することは,これを徹底しない限り実効性がない一方,これを徹底すると業務を著しく阻害する ので,現実的ではない。 したがって,被告シンフォームは,本件当時,持込禁止義務を負っていたとはいえない。 USB接続禁止義務について原告らの指摘する平成21年経産省ガイドラインの該当部分は,「個 人データを入力できる端末」すなわち個人データを入力することのみを目的とする端末について「外部記録媒体」を対象とするものであるのに対し,本件パソコンは,個人データの一時記録も含め広く開発及び運用業務に使用されていたので,当該端末に該当せず,また,スマートフォンは,「外部記録媒体」とは異なるものとして扱われていたので,平成 21年経産省ガイドラインは,USB接続の禁止につき,義務的事項としていないのみならず,望ましい事項としていない。原告らが指摘する平成25年IPAガイドラインや平成22年JISガイドラインの記載は,被告シンフォームの注意義務を根拠付けるものとはならない。 また,本件当時,業務上利用するパソコンに対するUSB接続禁止措 置を採っている企業は少なかったのみならず,本件当時の後においても,プライバシーマークやISMS認証を取得しようとする企業でも,同措置を採っている会社は数パーセント程度しかなく,その他ほとんどの企業では同措置を採っていないので,同措置は標準に採られている措置ではなかった。 さらに,USBポートを物理的に塞ぐ器具は取り外し可能であり,また,パソコンには,マウス,キーボード及び業務上利用するUSBなど を接続するためのUSBポートが必要であるため,全てのUSBポートを塞ぐものでは ートを物理的に塞ぐ器具は取り外し可能であり,また,パソコンには,マウス,キーボード及び業務上利用するUSBなど を接続するためのUSBポートが必要であるため,全てのUSBポートを塞ぐものではないので,USBポートを塞ぐことは,本件漏えいにとって有効な対策とならない。 したがって,被告シンフォームは,USB接続禁止義務を負うとはい えない。 書き出し制御義務について原告らの指摘する平成25年IPAガイドラインは,情報書き出し制御措置に言及しておらず,情報書き出し制御措置は高度な対策であり,一般の企業に求めることは現実的でなく,本件当時,プライバシーマー クやISMS認証を取得しようとする企業でも,過半が書き出し制御措置を採っておらず,書き出し制御措置は標準的に採られている措置ではない。まして,書き出し制御措置を採っている少数の企業でも,MTP通信まで対象としていたものはほとんどなかったので,MTP通信までの書き出し制御措置は標準的に採られている措置となっていない。 また,被告シンフォームは,平成17年から,業務用パソコンに,外部記憶媒体に情報を書き出すことを制限する本件セキュリティソフトを搭載していたところ,本件行為が発覚するまで,MTP対応のスマートフォンのリスクについては,情報セキュリティの専門家においてもほとんど認識されておらず,注意喚起等もされておらず,被告シンフォーム において,業務用パソコンから外部記録媒体に書き出しが制御されていないことを疑わせる事故等がなく,また報告がされることもなかった。 したがって,被告シンフォームは,書き出し制御義務を負うとはいえない。 アラート設定義務について 原告らの指摘する平成25年IPAガイドラインは,情報持ち出しのリスクに対する対策としてアラートシステムの設定を シンフォームは,書き出し制御義務を負うとはいえない。 アラート設定義務について 原告らの指摘する平成25年IPAガイドラインは,情報持ち出しのリスクに対する対策としてアラートシステムの設定を指摘しておらず, アラート設定義務があることを認める根拠とはならない。そして,平成21年経産省ガイドラインは,アラートシステムの設定につき,義務的事項とも,望ましい事項ともしていない。 また,本件当時,高度な情報セキュリティ対策を採っている企業でも, アラートシステムを採用している企業は少数で,本件当時の後においても,プライバシーマークやISMS認証を取得しようとする企業でも,アラートシステムを採用していないものが大半であって,アラートシステムは標準的に採られている措置ではなかった。 しかも,アラートシステムは,正当な業務による通信であっても,設 定された条件を満たせば,自動的にアラートが発令される仕組みであるため,その対象を広範に設定すれば,頻繁にアラートが発せられ,日常業務に支障が生じ,運用に堪えないものとなる一方,意図的に不正を働く場合,複数回に分割してダウンロード等をすることで,予想される基準値を超えないようにすることが容易であるので,情報漏えい対策とし ての実効性に乏しい。Cの取り扱う日常のデータ量は相当程度大きいので,Cの業務上通常必要とされる量を超える値はかなり高い基準値となるのに対し,個人情報のデータ量は小さいから,本件取得行為の際に,業務上通常必要とされる量を超える値よりも高かったということはできない。 したがって,被告シンフォームは,アラート設定義務を負うとはいえない。 なお,仮にアラートシステムが設定されていたとしても,警告だけでは,情報の不正取得行為によりアラートシステムが発令されたときは既に同 って,被告シンフォームは,アラート設定義務を負うとはいえない。 なお,仮にアラートシステムが設定されていたとしても,警告だけでは,情報の不正取得行為によりアラートシステムが発令されたときは既に同通信が行われた後であるという関係から,アラート設定義務の違反 と本件行為との間に相当因果関係があるとはいえない。 監視カメラ設置義務について 原告らが指摘する平成25年IPAガイドラインの「重要情報を扱う物理的区画」は,従業員が日常執務をする執務室を想定しているとはいえず,その内容も対策のヒントにすぎないので,監視カメラ設置義務の根拠とはならず,平成25年データセンターガイドブックは,執務室の 情報セキュリティ対策のものとしては不適当であるので,被告らの注意義務の根拠とはならない。そして,平成21年経産省ガイドラインは,監視カメラの設置につき,義務的事項とも,望ましい事項ともしていない。 また,本件当時,高度な情報セキュリティ対策を採っている企業でも, 執務室内に監視カメラを設置している企業は少数で,本件当時の後においても,プライバシーマークやISMS認証を取得しようとする企業でも,執務室内に監視カメラを設置しないものが大半であって,執務室内における監視カメラの設置は標準的に採られている措置ではなかった。 しかも,監視カメラは,常時,監視員が監視していなければ不審な動 きが見られた時点でそれを把握することは不可能で,また,執務室内で従業員が通常の業務をしているのか,不正に情報の閲覧や保存等をしているのかは外形的に分からないので,業務用パソコンから情報の不正取得を防止するために監視カメラを設置することの実効性はない。他方,執務室内における監視カメラの設置は,従業員に対し,不快な思いを生 じさせかねず,プライバシー侵害など 用パソコンから情報の不正取得を防止するために監視カメラを設置することの実効性はない。他方,執務室内における監視カメラの設置は,従業員に対し,不快な思いを生 じさせかねず,プライバシー侵害などの問題視がされるおそれもある。 したがって,被告シンフォームは,監視カメラ設置義務を負うとはいえない。 なお,被告シンフォームは,執務室内に監視カメラを設置したので,監視カメラ設置義務に違反していない上,仮に監視カメラを設置してい たとしても,本件取得行為において,Cの挙動に外形上不審なものはなく,通常の執務態度であったから,本件取得行為を抑止することはでき ず,監視カメラ設置義務の違反と本件取得行為との間に相当因果関係があるとはいえない。 エ被告ベネッセの注意義務について部門設置義務について 個人情報保護法が個人情報取扱事業者に対して主務大臣との関係で顧客情報の利用・管理に責任を持つ部門を設置すべきことを義務付けているとしても,同部門を設置することが不法行為上の注意義務となるとはいえず,また,個人情報保護法上,個人データの安全管理措置を講ずるための組織体制の整備が義務付けられているとしても,個人情報の利用 ・管理に責任を持つ部門を設置することまでは義務付けられていない。 したがって,被告ベネッセは,部門設置義務を負うとはいえない。 なお,被告ベネッセは,個人情報保護の最高責任者として最高個人情報責任者を選任し,その下に,個人情報保護活動を推進する専門部署として,個人情報保護課を設置していた。 また,被告ベネッセが個人情報の利用・管理に責任を持つ部門を設置しないことと,被告シンフォームに対する適切な監督を妨げ,被告シンフォームの不十分な情報管理体制を放置したこととは具体的な因果の流れが明らかでないので,部門設置義務の違反 管理に責任を持つ部門を設置しないことと,被告シンフォームに対する適切な監督を妨げ,被告シンフォームの不十分な情報管理体制を放置したこととは具体的な因果の流れが明らかでないので,部門設置義務の違反と本件行為との間には相当因果関係があるとはいえない。 シンフォーム同様義務について法人格が異なる者について別個独立の権利義務の主体として取り扱うことは,我が国の法の基本であり,例外的に,厳格な要件のもと法人格否認の法理により法人格が否認されることがあるにすぎない。原告らが主張する事情は,我が国のグループ企業内では普通のもので,これによ って法人格が否認されることはない。 したがって,被告ベネッセは,シンフォーム同様義務を負うとはいえ ない。 委託先選任監督義務について被告シンフォームが,前記ウのとおり,原告ら主張の注意義務を負わないので,被告ベネッセは,被告シンフォームを委託先として選任した ことにつき注意義務を負わない。 また,被告ベネッセは,本件当時,平成21年経産省ガイドラインや情報セキュリティ対策の一般的な基準からしても,高度な水準で被告シンフォームに対する監督をしていた。そして,平成21年経産省ガイドラインは,委託先から委託契約に盛り込んだ個人情報管理に関する事項 の遵守状況全般をチェックシート形式の書面等により定期的に報告を受けることを望ましい事項としているにとどまり,委託元が委託先が採用している個別のセキュリティ対策を調査・検討し,委託元が委託先の採用していない他の考えられるセキュリティ対策を講ずることを求めることは望ましい事項ともしていない。 したがって,被告ベネッセは,委託先選任監督義務を負うとはいえない。 オ被告らの行為の違法性について本件個人情報は,社会生活を営む上で一定の範囲の他者に当然 とは望ましい事項ともしていない。 したがって,被告ベネッセは,委託先選任監督義務を負うとはいえない。 オ被告らの行為の違法性について本件個人情報は,社会生活を営む上で一定の範囲の他者に当然開示されることが予定されている個人の識別などのための単純な情報にとどまり, 秘匿されるべき性質のものとはいえず,他人に知られたくないと感ずる程度の低いものであって,プライバシーに係る情報として保護される程度は最も低い。本件漏えいによって想定される事態は,名簿業者から名簿を購入した事業者からの営業に係る商品や役務の取引を誘引するための広告宣伝資料,パンフレットなどの送付,架電又はメールを受けることであり, これらは,種々雑多に送られてくる郵便物,通信の中に紛れ,目にし,耳にするものであり,それを他のものと区別することができるものでもなく, また,欲しなければ捨て置く対応も容易に採り得る。そして,原告らは,本件漏えいにより財産的損害を被っておらず,今後,財産的損害を被る蓋然性や本件個人情報が悪用されるなどの蓋然性もない。 また,被告らは,自ら故意に本件漏えいをしたものではなく,本件個人 情報がむやみに開示されないような措置を採っており,被告らによる侵害行為の態様としては悪質性がほぼ存在しない。 さらに,被告らは,本件漏えいを把握した後,速やかに謝罪し,事実調査をし,500円相当の補償を実施し,再発防止のために,相当の費用及び労力をかけて対策を講じた上,本件行為により甚大な被害を受けており, 被告らにおいて本件行為につき賠償責任を負うとした場合には,企業としての存続の途を絶たれ,また,同種事件における悪影響も重大である。 したがって,被告らの本件漏えいに係る行為は,社会通念上許容される限度を逸脱した違法な行為であるとはいえない。 た場合には,企業としての存続の途を絶たれ,また,同種事件における悪影響も重大である。 したがって,被告らの本件漏えいに係る行為は,社会通念上許容される限度を逸脱した違法な行為であるとはいえない。 カ被告シンフォームのCを被用者とする使用者責任について 本件行為の対象は,氏名,住所等の基本情報であるので,原告らに法的に賠償されるべき損害が生じたと評価ができないので,Cが原告らに対し本件行為につき不法行為責任を負うとはいえない。 また,システムの開発,運用,保守等を受託する企業の作業者が,委託元のシステムのアクセス権限を与えられ,同システムの開発等のため に実際に同システムにアクセスすることは,システムの開発,運用,保守等を行う以上当然のことで,そのことから受託業務の遂行が委託元の事業の遂行であるかのような外観を当然に有するとはいえない。また,本件行為は,被告シンフォームの事業ではなく,Cの職務の範囲内にあるものでもないので,本件行為は,被告シンフォームの「事業の執行に ついて」されたものに当たるとはいえない。 被告シンフォームの社員はCに対し日常的に指示をしていない上,被 告シンフォームによるCに対するアカウントの教示,本件パソコンの貸与及び研修の実施は使用関係がないことと矛盾せず,被告シンフォームと委託先の会社との間では,契約上,業務遂行上の指示・管理その他指揮命令は全て委託先会社の指示命令者ないし責任者(以下「委託先責任 者」という。)が行うものとされ,例外的に,緊急時やトラブル時に,被告シンフォームが委託先会社の要員に必要な範囲で直接依頼することができるとされており,実際も,委託先責任者がこれをしていた。 したがって,被告シンフォームは,Cを実質的に指揮監督する関係にあったとはいえない。 また,被告シンフ 必要な範囲で直接依頼することができるとされており,実際も,委託先責任者がこれをしていた。 したがって,被告シンフォームは,Cを実質的に指揮監督する関係にあったとはいえない。 また,被告シンフォームは,Cから業務上知り得た個人情報及び機密情報を保秘する旨の同意書を受領しているほか,Cを含む業務従事者全員を対象に,毎年,情報セキュリティ研修及びその内容を踏まえたテストを実施していたので,被告シンフォームは,Cとの関係に照らし,民法715条1項ただし書所定の「相当の注意をした」といえる。 よって,被告シンフォームは,原告らに対し,本件行為につきCを被用者とする使用者責任に基づく損害賠償責任を負うとはいえない。 キ被告ベネッセの被告シンフォームを被用者とする使用者責任について被告シンフォームは,前記ウのとおり,本件行為に関して不法行為責任を負わない。 本件業務が被告ベネッセの職務の範囲に属していることにつき,原告らの主張は失当である。 民法715条1項所定の「他人」は自然人を想定しており,法人を含まず,また,本件業務に関する被告ベネッセと被告シンフォームとの関係は,標準的なシステム開発契約における委託者と受託者との関係を超 えるものではないため,被告ベネッセと被告シンフォームとの間に実質的な指揮監督関係はない。 また,被告ベネッセと被告シンフォームの関係は,基本的には業務委託という対等な取引関係であり,被告ベネッセは,被告シンフォームの選任及び監督に当たり,個人情報保護法上求められる義務を尽くしていたので,被告ベネッセは,民法715条1項ただし書所定の「相当の注 意をした」といえる。 よって,被告ベネッセは,原告らに対し,本件行為につき被告シンフォームを被用者とする使用者責任に基づく損害賠償責任を負うとはいえな 民法715条1項ただし書所定の「相当の注 意をした」といえる。 よって,被告ベネッセは,原告らに対し,本件行為につき被告シンフォームを被用者とする使用者責任に基づく損害賠償責任を負うとはいえない。 ク原告らの損害について 原告らは,本件行為により,具体的損害,実質的損害を一切受けておらず,具体的損害・実質的損害が将来発生する蓋然性もなく,原告らが主張する損害は抽象的な不安感や不快感にすぎない。 本件個人情報は,特に秘匿すべきプライバシーに関わる情報や主観的な価値に結び付く情報でなく,社会生活を営む上で開示を求められることが 多い客観的な情報であるため秘匿性が低く,その開示相手や予想される利用形態等に照らして原告らの感じる不安感や不快感などの精神的負担も低い。また,被告らが自ら故意に本件個人情報を開示したものではなく,被告らに対する非難として損害を認める必要性もない。さらに,被告らは,情報漏えいの対象者に対して,「お客様情報漏えいに関するご報告および お詫びの品のご案内」と題する書面(以下「本件通知書」という。)を送付し,500円相当の補償を提供し,相談窓口の設置等を行い,情報拡散防止活動なども継続的に行うなど事故後の適切な対応により原告らの精神的損害が慰謝されている。 なお,Cは,イベントで集めた情報として本件売却行為をしており,名 簿業者に被告ベネッセに関連する情報である旨を伝えていないので,本件漏えいによって,子供の教育に熱心な,又は関心があるという属性は明ら かになっていない。 したがって,原告らには,本件漏えいにより慰謝料を認める程の精神的損害が発生したとはいえない。 争点 ①コード判明原告のうち,情報一覧表の認否欄の情報項目に「▲」,「△」又は「★」の記載がある情報,②コード帰属未定原告の情 いにより慰謝料を認める程の精神的損害が発生したとはいえない。 争点 ①コード判明原告のうち,情報一覧表の認否欄の情報項目に「▲」,「△」又は「★」の記載がある情報,②コード帰属未定原告の情報,③コード不明原告の情報は,本件漏えい情報であるかどうか。 被告らに,原告ら主張の注意義務違反の前提としての予見可能性があったかどうか。 被告シンフォームは,持込禁止義務,USB接続禁止義務,書き出し制御義務,アラート設定義務及び監視カメラ設置義務を負うかどうか。 被告ベネッセは,部門設置義務,シンフォーム同様義務及び委託先選任監督義務を負うかどうか。 被告らの行為が違法といえるかどうか。 被告シンフォームのCを使用者とする使用者責任があるかどうか。特に被告シンフォームとCとの間に指揮監督関係があるかどうか。 被告ベネッセの被告シンフォームを被用者とする使用者責任があるかどうか。 原告らの精神的損害の有無及び程度第3争点に対する判断 本件漏えい情報(争点)についてコード判明原告についてアコード判明原告については,前提事実のとおり,認否欄の情報項目に「○」の記載がある情報が漏えいしている。他方,コード判明原告につき, 同情報項目に「★」の記載がある情報については,同情報が漏えいしたことについての証拠は全くない。 イコード判明原告の認否欄の情報項目に「▲」の記載がある情報についてコード判明原告の認否欄の情報項目に「▲」の記載がある情報は,氏名,生年月日,郵便番号又は住所であり,また,被告らにおいて被告らが保有している情報の内容を主張するところ,証拠(甲65)によれば,被告ベ ネッセらは,顧客に手紙を送付し,又は電話をして,被告ベネッセその他の関連会社が実施する教育事業その他の事業に新規に,又は継続的に勧 いる情報の内容を主張するところ,証拠(甲65)によれば,被告ベ ネッセらは,顧客に手紙を送付し,又は電話をして,被告ベネッセその他の関連会社が実施する教育事業その他の事業に新規に,又は継続的に勧誘しており,そのために,被告らが原告らから取得した情報を管理していたことが認められる上,被告らにおいて,原告らから取得した情報を変更していることをうかがわせる事情も見当たらないので,これらの事情からす れば,被告らが保有している情報が原告らから提供された情報であると推認するのが相当である。そして,まず,①氏名については,別紙原告目録の原告番号欄341の原告(以下,原告の特定については,同原告を「原告341」というなど同目録の原告番号を用いてする。)については,情報一覧表の認否欄の備考欄(以下「備考欄」という。)に「登録されてい た氏」と記載されている旧姓の氏が漏えいしたことは当事者間に争いがない上,上記の理由により,被告らが保有していた情報は,備考欄に「登録されていた氏」又は「登録されていた名」と記載されている氏又は名であるといえるので,原告114,176,181,182,1023,1024,1073から1075まで及び1116については,同氏又は名が 漏えいしたということができる。また,②生年月日についても,同様に,被告らが保有していた情報は,備考欄に「登録されていた生年月日」と記載されている生年月日であるといえるので,原告44,80,135,237及び1004については,同生年月日(ただし,具体的な日は特定することができない。)が漏えいしたということができる。③郵便番号及び 住所についても,同様に,その住所について被告らが保有していた情報は,備考欄に「登録されていた住所」として記載された住所であるといえると ころ 漏えいしたということができる。③郵便番号及び 住所についても,同様に,その住所について被告らが保有していた情報は,備考欄に「登録されていた住所」として記載された住所であるといえると ころ,原告88,1001から1003まで,1007,1029,1067,1068,1118及び1119については,同住所及び原告88,1007,1118及び1119を除く同原告らにあってはこれに対応する郵便番号が漏えいしたということができる。 ウコード判明原告の認否欄の情報項目に「△」の記載がある情報についてコード判明原告の認否欄の情報項目に「△」の記載がある情報は,性別,生年月日,住所,電話番号,ファクシミリ番号,メールアドレス,出産予定日又は保護者の氏名であり,これらの情報自体の漏えいがあったことは被告らも認めているものの,被告らにおいて,その内容については知らな いとしている。そして,このうち,住所については,原告らが虚偽の情報を提供する動機も見当たらない一方,被告らにおいても,上記イと同様に,正確でない情報を保有する意味は見いだし難いので,別紙原告目録の「漏えい時住所」欄の住所が漏えいしたものと推認するのが相当である。他方,生年月日については,前記イのとおり,戸籍上の生年月日とは異なるもの が含まれているのみならず,証拠(甲72)によれば,被告ベネッセらの商品の送付を受ける時期を実際の生年月日の日より1年先又は1年後にするなどのために,不正確なものを提供していた者がいることが認められる一方,原告らは,第25回口頭弁論期日において,その生年月日が戸籍上のそれと同一であることを確認しておらず,また,性別,電話番号,ファ クシミリ番号,メールアドレス及び出産予定日については,具体的な内容を主張しないとし,また,保護者の氏名を の生年月日が戸籍上のそれと同一であることを確認しておらず,また,性別,電話番号,ファ クシミリ番号,メールアドレス及び出産予定日については,具体的な内容を主張しないとし,また,保護者の氏名を特定しないので,正確でない情報が含まれている可能性があるという限度で,これらの情報が漏えいしたと認めるのが相当である。 コード帰属未定原告について 弁論の全趣旨によれば,コード帰属未定原告は,被告ベネッセから送付された本件通知書に記載されていた登録コードがあった一方,被告らにおいて 登録コードがコード帰属未定原告に係るものであることを確認することができないのは,被告ベネッセが,本件通知書の発送後,原告ら等からの要請を受けて,登録コードに係る個人情報を抹消しているためであると認められるところ,これらの事実に加え,同原告の主張する登録コードが同原告のもの ではないことをうかがわせる事情がないことに照らせば,コード帰属未定原告の登録コードは,当該原告の登録コードであると推認することができる。 そして,コード帰属未定原告の情報一覧表の認否欄の情報項目に「▲」又は「△」の記載がある情報について,上記原告らの情報の漏えいがあったことについては被告らも認めているところ,前記⑴イ及びウのとおり,同認否 欄の氏名に「▲」の記載があるものについては,備考欄に「登録されていた氏」又は「登録されていた名」と記載されている氏又は名が漏えいされ,また,同「△」の記載がある情報については,その情報の内容に正確でないものが含まれている可能性があるという限度で漏えいがあったと認めることができる(なお,原告69から73までについては,同認否欄の情報項目に 「△」の記載がある情報が,氏名,性別,生年月日,郵便番号,住所及び電話番号のほか,3名につき保護者の氏名 ったと認めることができる(なお,原告69から73までについては,同認否欄の情報項目に 「△」の記載がある情報が,氏名,性別,生年月日,郵便番号,住所及び電話番号のほか,3名につき保護者の氏名,残りの1名につきメールアドレスであるところ,弁論の全趣旨によれば,原告69が原告70から73までの保護者であると認められるので,氏名,性別,生年月日,郵便番号,住所及び電話番号のほか,原告70から73までにおいて保護者の氏名が,原告6 9においてメールアドレスが漏えいしたと認めるのが相当である。)。他方,同認否欄の情報項目に「★」の記載がある情報については,同情報が漏えいしたことについての証拠は全くない。 コード不明原告についてア原告3は原告5の,原告18及び19は原告20の,原告22は原告2 4の,原告26は原告28の,原告29は原告30及び31の,原告32は原告34の,原告47は原告49及び50の,原告60は原告62の,原告 74は原告75の,原告123は原告125の(ただし,保護者の氏名は「D」),原告127は原告129の,原告137は原告138の,原告179は原告181及び原告182の(ただし,保護者の氏名は「F」),原告180は原告182の(ただし,保護者の氏名は「G」),原告202は 原告204の,原告211は原告212の,原告240は原告242の,原告253は原告255及び256の,原告303は原告304の,原告352は原告353の,原告1084は原告1086の,原告1087は原告1088の,原告1101は原告1102のそれぞれ保護者として登録されていた者の氏名と一致する者であり,登録されていた保護者の氏名が漏えいし たことは当事者間に争いがないので,いずれもそれぞれ原告3,18,19,22,26,29 2のそれぞれ保護者として登録されていた者の氏名と一致する者であり,登録されていた保護者の氏名が漏えいし たことは当事者間に争いがないので,いずれもそれぞれ原告3,18,19,22,26,29,32,47,60,74,123,127,137,179,180,202,211,240,253,303,352,1084,1087及び1101(以下「保護者原告」という。)においては,その被保護者である未成年原告らの保護者として,その氏名が漏えいしたもの と認めることができる。そして,保護者原告については,証拠(甲14の1から3まで,B32の1,2,B119の1,B219の1)によれば,未成年原告を情報漏えいの対象者とする本件通知書をその保護者である成年原告に宛てて送付していることや,登録者の情報につき,本件通知書には「サービス登録者」と同時に登録している保護者の情報があったことを記載して いることが認められ,これらの事実によれば,登録されている保護者の情報は,未成年者の情報とともに管理されていたと推認することができるので,保護者原告の氏名が漏えいされていれば,氏名のほか,保護者原告の被保護者である未成年原告らと同じ情報(保護者と一般的に共通な情報であるといえる郵便番号,住所,電話番号及びファクシミリ番号に限る。)も保護者原 告の情報として漏えいしたと見るのが相当である。 イ原告48,57,92,93,104,145,146,218から2 20まで,314,315,358,359,1113及び1114については,証拠(甲B48の1,B57の1,B92の1,2,B104の1,B145の1から5まで,B219の1,B220の1,B314の1,2,B358の1,B1113の1,2,B1114の1)及び弁論の全趣旨に よれば, ,B57の1,B92の1,2,B104の1,B145の1から5まで,B219の1,B220の1,B314の1,2,B358の1,B1113の1,2,B1114の1)及び弁論の全趣旨に よれば,これらの原告らは,被告ベネッセから,同原告らを情報漏えいの対象者とする本件通知書を受領し,同原告らの多くにおいて謝罪の品としての全国共通図書カード500円分又は電子マネーギフト500円分(以下「本件謝罪品」という。)を受領していることが認められる。これらの事実に加え,本件通知書に情報漏えいの対象者として記載された者は,個人情報の漏 えいがあったことを被告ベネッセにおいて確認することができた者であること(弁論の全趣旨)に照らすと,同原告らの個人情報が本件行為により漏えいしたと推認することができる。 そして,上記各原告の漏えいした個人情報の内容について,証拠(甲1,14の1から6まで,甲53の1,乙3の1,乙30)によれば,被告ベ ネッセらが平成26年7月9日に公表した「お客様情報の漏えいについてお詫びとご説明」と題する書面には,漏えいが確認されている情報項目として,郵便番号,顧客(子及びその保護者)の氏名,住所,電話番号,子の生年月日,性別が記載され,また,本件通知書,被告ベネッセらが同年9月10日に公表した「お客様情報の漏えいに関するご報告と対応につい て」と題する書面及び平成29年8月頃に作成した「事故の概要」と題する書面には,漏えいが確認されている情報として,①「サービス登録者」の氏名,性別及び生年月日のほか,②同時に登録していた保護者又は子の氏名,性別,生年月日及び続柄があり,その他に,③郵便番号,④住所,⑤電話番号,⑥登録している者のみにつきファクシミリ番号並びに⑦一部 のサービスの利用者につき出産予定日及びメールア 者又は子の氏名,性別,生年月日及び続柄があり,その他に,③郵便番号,④住所,⑤電話番号,⑥登録している者のみにつきファクシミリ番号並びに⑦一部 のサービスの利用者につき出産予定日及びメールアドレスが含まれている旨の記載があり,経産省が平成26年8月に公表した文書にも漏えい内容 として,氏名,住所,電話番号,子の生年月日,性別,一部のみにつき出産予定日とメールアドレスが含まれていると記載していることが認められるところ,これらの事実のとおり,被告ベネッセらにおいては,公表等をした漏えいが確認されている情報につき,ファクシミリ番号,メールアド レス及び出産予定日には顧客の一部に係るものなどの留保を付している一方で,氏名,住所,電話番号などにはそのような留保を付していないのみならず,被告ベネッセらは,前記イのとおり,顧客に手紙を送付し,電話をするために,本件個人情報を保管していたことからして,少なくとも,氏名のほか,これらの連絡のために必要な郵便番号及び住所又は電話番号 を保有していたと見るのが自然であり,さらに,前提事実並びに前記イ及びウのとおり,コード判明原告の全部について,氏名のほか,郵便番号及び住所又は電話番号が漏えいしていることに照らすと,原告48,57,92,93,104,145,146,218から220まで,314,315,358,359,1113及び1114についても,少なく とも,それぞれ氏名のほか,郵便番号及び住所又は電話番号が漏えいした(ただし,氏名については,同イのとおり,戸籍上の氏名でないものが同原告らから提供された情報であることがあるところ,通称などのほか,証拠(甲68,72)によれば,被告ベネッセらの顧客には,被告ベネッセらにあえて戸籍上のものと異なる氏名を提供していた者もいると認めら 原告らから提供された情報であることがあるところ,通称などのほか,証拠(甲68,72)によれば,被告ベネッセらの顧客には,被告ベネッセらにあえて戸籍上のものと異なる氏名を提供していた者もいると認められ ることからすると,戸籍上のものでないものが含まれている可能性があるという限度で認められ,また,同ウのとおり,電話番号についても,正確でない情報が含まれている可能性があるという限度で認められるにとどまる。)と認めるのが相当である。 ウ一方,原告6及び58の個人情報が漏えいしたことについては,証拠が 全くない。 エまた,原告7については,証拠(甲B7の1)によれば,被告ベネッセ は,原告7に対し,「H」を情報漏えいの対象者とする本件通知書を送付していることが認められるものの,原告7と「H」とは,氏を共通にするものの,両者の関係を明らかにする証拠はないので,原告7の個人情報が漏えいしたとは認められない。 さらに,原告119,297及び351については,証拠(甲B119の1から4まで,B297の1,2,B351の1)によれば,被告ベネッセは,原告119に宛てて,原告120を情報漏えいの対象者として,本件謝罪品を交付し,また,原告297又は原告351に宛てて,原告298及び原告299又は原告354を情報漏えいの対象者として,本件通知書を送 付していることが認められるけれども,被告らにおいて,原告120の保護者として原告119の氏名が,原告298及び299の保護者として原告297の氏名が,原告354の保護者として原告351の氏名が,それぞれ登録されていたことを確認することができないと主張しているのみならず,原告119,297,351を情報漏えいの対象者とする本件通知書が送付さ れていることを裏付ける証拠がなく,また,被保 れぞれ登録されていたことを確認することができないと主張しているのみならず,原告119,297,351を情報漏えいの対象者とする本件通知書が送付さ れていることを裏付ける証拠がなく,また,被保護者を対象者として送付する本件通知書や本件謝罪品在中の封書の名宛人だけを保護者である同原告らとしていた可能性を払拭することができる事情も見当たらないので,これらの事実からだけでは,原告120の保護者として原告119の氏名,原告298及び299の保護者として原告297の氏名,原告354の保護者とし て原告351の氏名が登録されていたと認めるには足りない。そうすると,原告119,297及び351の個人情報が漏えいしたとは認められない。 以上によれば,本件行為により,原告6,7,58,119,297及び351の6名については,個人情報が漏えいしたとは認められないけれども,その余の原告(別紙原告目録の判断欄に〇と記載した原告ら)については, 情報一覧表の各原告に対応する項の認定欄の情報項目欄に「〇」及び「●」の記載がある情報(ただし,「●」の記載がある情報にあって郵便番号及び 住所又は電話番号のいずれかの情報,原告69から73までにあって前記のとおり)が漏えいしたと認められる一方,同情報項目欄に「☓」の記載がある情報は漏えいしたと認めることはできない。 被告らの予見可能性(争点)について 認定事実括弧内の証拠等によれば,以下の事実が認められる。 ア平成21年経産省ガイドラインは,個人情報保護法8条に基づき個人情報保護法に定める事項に関して必要な事項を定め,経産省が所管する分野及び個人情報保護法36条1項により経済産業大臣が主務大臣に指定され た特定の分野における事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援す て必要な事項を定め,経産省が所管する分野及び個人情報保護法36条1項により経済産業大臣が主務大臣に指定され た特定の分野における事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援する具体的な指針として定めることなどを目的としている。 平成21年経産省ガイドラインは,経済産業大臣が個人情報保護法を執行する際の基準となるものであり,「しなければならない」と記載されている規定については,それに従わなかった場合には,経済産業大臣によって, 個人情報保護法の規定違反と判断され得る一方,「望ましい」と記載されている規定についても,それに従わなかった場合でも,個人情報保護法の規定に違反することはないものの,個人情報保護法の基本理念を踏まえ,個人情報保護の促進の観点から,できるだけ取り組むことが望まれるものとされている。 平成21年経産省ガイドラインには,安全管理措置(個人情報保護法20条関連)という項目において,個人情報取扱事業者がその取り扱う個人データの漏えい,滅失,き損の防止その他の個人データの安全管理のため,組織的,人的,物理的及び技術的な安全管理措置を講じなければならず,その際,本人の個人データが漏えい,滅失又はき損等をした場合に本人が 被る権利利益の侵害の大きさを考慮し,事業の性質及び個人データの取扱状況等に起因するリスクに応じ,必要かつ適切な措置を講じるものとし, その際には,個人データを記録した媒体の性質に応じた安全管理措置を講じることが望ましいとの記載の後に,組織的安全管理措置のうち,個人データの取扱いに関する規程等に記載することが「望まれる」例として,「個人データを入力できる端末に付与する機能の,業務上の必要性に基づ く限定(例えば,個人データを入力できる端末では,CD-R,USBメモリ等の外 する規程等に記載することが「望まれる」例として,「個人データを入力できる端末に付与する機能の,業務上の必要性に基づ く限定(例えば,個人データを入力できる端末では,CD-R,USBメモリ等の外部記録媒体を接続できないようにする。)」との記載がされている。 なお,平成21年経産省ガイドラインは,平成26年12月12日に,同年厚生労働省・経産省告示4号により改訂された。同改訂では,組織的 安全管理措置に関して,個人データの取扱いに関する規程等に記載することが「望ましい」事項の例として,「個人データを閲覧だけできる端末」では,CD-R,USBメモリ等の外部記録媒体を接続できないようにすることに加え,「スマートフォン,パソコン等の記録機能を有する機器の接続を制限し,媒体及び機器の更新に対応する」旨が追記され,また,物 理的安全管理措置に関して,各項目を実践するために講じることが「望まれる手法の例示」として,「入退館(室)の際における業務上許可を得ていない記録機能を持つ媒体及び機器の持ち込み及び持ち出しの禁止と検査の実施」と「カメラによる撮影や作業への立ち会い等による記録又はモニタリングの実施」が追記されている。 (甲7,乙10,12)イ独立行政法人情報処理推進機構は経産省所管の独立行政法人であるところ,平成25年IPAガイドラインは,違法行為だけでなく,情報セキュリティに関する内部規程違反等の違法とまではいえない不正行為をも内部不正に含めて,組織内における具体的な内部不正対策を検討している。そ して,平成25年IPAガイドラインでは,個人の情報機器及び記録媒体の業務利用及び持込みの制限として,「個人のノートPCやスマートデバ イス等のモバイル機器及び携帯可能なUSBメモリ等の外部記録媒体の業務利用及び持込を制限 インでは,個人の情報機器及び記録媒体の業務利用及び持込みの制限として,「個人のノートPCやスマートデバ イス等のモバイル機器及び携帯可能なUSBメモリ等の外部記録媒体の業務利用及び持込を制限しなければならない」とした上で,リスクとして,個人の情報機器及び記録媒体を業務に利用すると,個人の情報機器及び記録媒体の組織による管理が困難であることや,個人と組織の情報が共に扱 われることから,ウイルス感染や操作ミス等によって重要情報が漏えいする可能性が高くなるとし,「重要情報を取り扱う業務フロア等の領域に個人の情報機器及び記録媒体を持ち込まれると,個人の情報機器や記録媒体に重要情報を格納して持ち出される恐れがあ」ると指摘して,対策のポイントとして,個人の情報機器及び記録媒体の業務利用及び持込みの制限で は,その場所で扱う重要情報の重要度及び情報システムの設置場所等を考慮する必要があるとした上で,具体的な対策として「重要情報の格納サーバやアクセス管理サーバ等が設置されているサーバルームでは,個人所有のノートPCやタブレット端末,スマートフォン等のモバイル機器の持込み・利用を厳しく制限」し,また,「個人所有のUSBメモリ等の携帯可 能な記録媒体等の持込みを制限」することを定めて運用すると記載されている。 (甲9,乙15の1,弁論の全趣旨)ウJIS基準は,事業者が,その取り扱う個人情報のリスクに応じて,漏えい,滅失又はき損の防止その他の個人情報の安全のために必要,かつ適 切な措置を講ずることを求めているところ,これを受けて,平成22年JISガイドラインは,事業者において,リスクなどの認識,分析及び対策に基づき,個人情報のライフサイクルの観点から決定することとなる対策の例示として,取得・入力の局面及び利用・加工の局面で,個人情 JISガイドラインは,事業者において,リスクなどの認識,分析及び対策に基づき,個人情報のライフサイクルの観点から決定することとなる対策の例示として,取得・入力の局面及び利用・加工の局面で,個人情報を入力し,又は利用・加工することができる端末に付与する機能の業務上の必 要性に基づく限定の例示として,個人情報を入力することができる端末や個人情報を閲覧だけすることができる端末では,CD-ROM,USBメ モリ等の外部記録媒体を接続することができないようにすることが挙げられている。 (甲22)エ日本データセンター協会は,データセンター事業者と,データセンター 事業者を取り巻く関連事業者との協力体制を構築し,データセンターへの社会的要請に協力して当たることによってデータセンター事業の強化・発展をさせることを目的とする特定非営利活動法人である。平成25年データセンターガイドブックは,データセンターのエントランス区画では,データセンター事業者から許可された機器や荷物以外を持ち込ませないこと により,館内,特にサーバーに悪影響を与えるおそれのある対象物を排除することを目的として,USBメモリ等の情報記録媒体を持込みが制限される品目の1つとして挙げ,また,サーバー室では,情報の不正持ち出しの脅威に対し,記録媒体の持込みを禁止するルールを管理策として挙げている。 (甲20,弁論の全趣旨)オ被告シンフォームは,平成23年7,8月に,業務用パソコンに搭載した本件セキュリティソフトをバージョンアップし,全てのデバイスを制御することができる機能を有していたものの,本件当時,「リムーバブル,CD/DVD,外付けHDD」の書き出しの制限のみを設定していたため, MSCによるデータ通信に対し書き出しを制御することができるのにとどま る機能を有していたものの,本件当時,「リムーバブル,CD/DVD,外付けHDD」の書き出しの制限のみを設定していたため, MSCによるデータ通信に対し書き出しを制御することができるのにとどまっていた。なお,被告シンフォームは,本件当時,業務上の必要性が明確で,他の方法がなく,情報の部門責任者及び各部管理責任者の外部メディアの使用許可を得た場合でない限り,その制御を解除しない扱いをしていた。 また,被告シンフォームは,業務用パソコンと本件データベースを含まない連携システムのデータベースサーバとの間の通信量が一定の基準値を 超えた場合,連携システムのデータベースの管理者である被告シンフォームの各担当部門の部長に対して,メールでアラートが送信される仕組みを採用していた。 (甲2,12の1,2,甲19の3,甲65,69から71まで) カアンドロイド4.0が平成23年10月18日にリリースされたところ,株式会社NTTドコモ,KDDI株式会社及びソフトバンクグループ株式会社の平成24年夏発売のアンドロイドスマートフォンの多くはアンドロイド4.0であった。 また,株式会社MM総研は,平成25年3月28日,同年1月末のスマ ートフォン契約数が4061万件となり,そのうちアンドロイドスマートフォンが2570万件(63.3%),iOSをOSとするスマートフォン(以下「アイフォン」という。)が1412万件(34.8%),それ以外のOSが79万件(1.9%)であって,アンドロイドスマートフォンのシェアが平成23年3月の40.4%から22.9ポイント増加する一 方,アイフォンは同月の49.6%から14.8ポイント減少していると指摘している。 そして,日本写真印刷コミュニケーションズ株式会社は,平成25年8月2日,アンドロイドスマー イント増加する一 方,アイフォンは同月の49.6%から14.8ポイント減少していると指摘している。 そして,日本写真印刷コミュニケーションズ株式会社は,平成25年8月2日,アンドロイドスマートフォンのOSのバージョンシェアについて,同年4月時点において,アンドロイドスマートフォンの契約数のうち,半 数を超えるものがアンドロイド4.0以降のバージョンものであることを公表している。なお,同シェアについては,世界全体のものを指しているとの指摘がある。 (甲40,41,51の1から3まで,乙97)キ他方,株式会社インターネットプライバシー研究所は,平成29年3月 15日作成の意見書の中で,携帯電話端末の全体のうちのスマートフォンの割合が平成24年3月末時点で22%,平成25年3月末時点で36%, 平成26年3月末で48%となるところ,そのうち,アンドロイド4.0は,平成24年6月時点で0.15%未満,平成25年6月時点で7.16%,平成26年6月時点で10.28%であることを指摘するほか,携帯電話端末の契約数が,平成24年3月末時点で1億件を超えて,平成2 5年3月末には更に増加し,平成26年3月には1億2万件を超えて,平成26年12月末には1億2511万件となったことを示す資料を添付している。 また,平成24年10月から12月にかけて実施された調査において,スマートフォンの販売シェアのうちアンドロイドスマートフォンは31. 9%であった旨を指摘する平成25年1月のインターネット記事や,平成24年,平成25年,平成26年のアンドロイドスマートフォンのスマートフォン全体に占めるシェアがそれぞれ25%,41.9%,39.6%とするインターネットの記事がある。 (乙34,70,71) ク日経コンピュータの記者は, アンドロイドスマートフォンのスマートフォン全体に占めるシェアがそれぞれ25%,41.9%,39.6%とするインターネットの記事がある。 (乙34,70,71) ク日経コンピュータの記者は,平成26年7月30日,「ベネッセ事件容疑者はなぜスマホでデータを持ち出せたか,IT部門は設定の再点検を」と題する記事を公表している。同記者は,同記事の中で,MTPの存在が情報漏えい対策の盲点になり得ること,アンドロイドスマートフォンの場合,本格的には遅くとも平成23年10月公開のバージョン4.0からM TPによるファイル転送に対応していること,商用デバイス用のセキュリティソフトでは,一般にUSBマスストレージの使用制限に加え,ウインドウズ・ポータブルデバイスの使用を制限することでスマートフォンのデータ転送を制限することができること,同セキュリティソフトがMTPやウインドウズ・ポータブルデバイスの使用制御機能に対応した時期は,日 本電気株式会社製のものが平成19年7月,株式会社日立ソリューションズ製のものが平成21年6月,エムオーテックス株式会社製のものが平成 23年3月,日本ファインアート株式会社製のものが平成23年8月,ハミングヘッズ株式会社製のものが平成23年12月,株式会社インテリジェントウェイブ製のものが平成24年7月,富士通株式会社製のものが平成25年8月であることを記載するとともに,マイクロソフト製品のセキ ュリティに詳しいIによる「この穴」は平成25年頃からセキュリティ技術者の間で話題となっていたとの指摘を紹介した上で,バージョン4.0まではMTP対応端末が少なく,現実的な脅威でなく,被告ら以外の企業のIT部門でも,「USBメモリーは制御しても,MTPの設定までは思い至らない例は多いのでは」との同人のコメントを バージョン4.0まではMTP対応端末が少なく,現実的な脅威でなく,被告ら以外の企業のIT部門でも,「USBメモリーは制御しても,MTPの設定までは思い至らない例は多いのでは」との同人のコメントを紹介するなどしている。 なお,商用デバイス用のセキュリティソフトの平成26年6月当時の国内市場シェアにつき,日本電気株式会社製のものが4.1%,株式会社日立ソリューションズ製のものが17.8%,エムオーテックス株式会社製のものが18.8%,日本ファインアート株式会社製のもの及びハミングヘッズ株式会社製のものが不明で,株式会社インテリジェントウェイブ製 のものが0.4%,富士通株式会社製のもの2.4%との報告がある。 (甲16,乙35)ケ株式会社インターネットプライバシー研究所は,平成29年3月15日,平成26年6月当時販売されていた主要な端末管理・セキュリティ製品について調査を行ったところ,実用的なMSC制御機能は全ての製品に搭載 されていた一方,実用的なMTP制御機能は,国内市場シェアが高い製品については全く搭載されておらず,実用的なMTP制御機能を搭載していたと認められる製品は,国内市場シェアが微少な1製品にとどまっており,しかも,その製品の初期設定もMTP制御機能は無効とされている旨を報告している。ここでいう「実用的」の意味は,少なくとも読み取り専用の 設定(リムーバブルメディアからパソコンにデータを転送することは可能であるが,パソコンからリムーバブルメディアにデータを転送することは 不可能とする設定をいう。)ができる場合としている。そして,同研究所は,平成30年9月20日,一般の企業等の業務において,デジタルカメラ,デジタルビデオカメラ,ボイスレコーダーの画像・動画・音声の情報をMTP通信によりパソコンに取り 合としている。そして,同研究所は,平成30年9月20日,一般の企業等の業務において,デジタルカメラ,デジタルビデオカメラ,ボイスレコーダーの画像・動画・音声の情報をMTP通信によりパソコンに取り込むことは日常的に行われているとの 認識を示した上で,MTP通信による読み取りを制御すれば,業務上大きな支障が生ずることを指摘した意見書を作成している。 (乙35,96)コ株式会社エネルギア・コミュケーションズのIは,平成28年2月5日に「情報セキュリティの運用面での脆弱性情報にも届出制が必要なのでな いか」という論考をウェブページに掲載した。同人は,同論考の中で,平成24年には,アンドロイド4.0以降では,ファイル転送にMTPが採用されており,情報漏えいに悪用できるのではないかと気付いたところ,当時,この問題に気付いて警笛を鳴らす者や,国の機関・組織もないものの,セキュリティ対策が新たに生まれたリスクに対応していないことを考 慮して,公表をしなかった旨記載している。 (乙36)サ工学院大学名誉教授Jは,平成30年1月15日,被告ベネッセから依頼を受けて,意見書を作成した。同人は,その意見書の中で,平成26年当時,MTPを利用した情報漏えいの危険は知られていなかった旨の認識 を明らかにしている。 また,株式会社インターネットプライバシー研究所は,平成29年1月23日及び平成30年9月20日に作成した意見書の中で,本件当時,MTP通信を利用することができるスマートフォンの情報漏えいリスクは,情報セキュリティの専門家でも,ほとんど認識されていなかったと指摘し ている。 (乙24,91,96) シ日本ネットワークセキュリティ協会理事等を務めるKは,平成29年3月30日,MTPに対応しているウインドウズ・パソコンに,ア されていなかったと指摘し ている。 (乙24,91,96) シ日本ネットワークセキュリティ協会理事等を務めるKは,平成29年3月30日,MTPに対応しているウインドウズ・パソコンに,アンドロイド4.0を接続し,パソコンのドキュメント情報をスマートフォンに書き出した場合でも,スマートフォンではパソコンのドキュメント情報を閲覧 することができないと指摘している。 (乙32)Cは,前提事実のとおり,本件パソコンのUSBポートにUSBケーブルを用いてMTP対応のスマートフォンを接続し,MTP通信によりデータを転送する方法によって,本件取得行為をしているところ,MTP通信は, 前提事実のとおり,従来から多く利用されているMSCによるデータ通信とはその通信方法を全く異にする(なお,前記認定事実オ及びクのとおり,MTP通信とMSCによるデータ通信とはその制御方法も異にするところ,被告シンフォームでは,本件当時,業務用パソコンにおいて,MSCによるデータ通信に対しては書き出しを制御する措置を施していた。)ので,被告 らが本件行為に関し原告らの主張の注意義務を負うとするには,その前提として,被告らにおいて,本件当時,パソコンのUSBポートにUSBケーブルを用いてMTP対応のスマートフォンを接続しMTP通信でデータを転送する方法によって個人情報を不正に取得されることを予見し得たことを要すると解される。 そして,まず,前記認定事実アからエまでのとおり,本件行為の前から,平成21年経産省ガイドラインや平成25年IPAガイドライン等では,個人データを入力することができる端末には外部記録媒体を接続することを禁止する方法を推奨し,また,重要情報を取り扱う業務フロア等において,個人の情報機器や外部記録媒体に重要情報を格納して持 等では,個人データを入力することができる端末には外部記録媒体を接続することを禁止する方法を推奨し,また,重要情報を取り扱う業務フロア等において,個人の情報機器や外部記録媒体に重要情報を格納して持ち出される危険性に鑑 み,スマートフォン等のモバイル機器等及び外部記録媒体の持込みを制限すべきである旨指摘するなどしているところ,これらは行政機関その他の団体 による個人情報を取り扱う事業者等に対する一定の指摘事項であるため,被告らにおいては,本件当時,スマートフォン等の情報機器を利用した情報漏えいがあり得ることを想定することができたといえる。また,被告らにおいても,実際,同認定事実オのとおり,被告シンフォームが,本件当時,外部 メディアへの書き出し制御措置を採っていたから,被告らも,外部記録媒体一般については,パソコンのUSBポートに接続して,個人情報を不正に取得される可能性を認識していたと認められる。 また,前記認定事実カ及びキのとおり,平成24年夏発売のアンドロイドスマートフォンの多くがMTPに対応しているアンドロイド4.0であり, 平成25年にはアンドロイド4.0が我が国国内において少なくとも数百万件を超える相当多数販売されていたといえる。また,同認定事実クのとおり,MTPに対応した商用デバイス用のセキュリティソフトが平成19年から販売されて,平成26年当時には広く利用されていたこと,証拠(甲97)によれば,株式会社C&Cアソシエイツ製のセキュリティソフトの説明には, 平成24年3月頃,WPD制御機能につき,スマートフォン等のWPD機器を制御することで更なる情報漏えい対策を強化することができることを記載しているものがあると認められることを考慮すると,本件当時,MTP通信を利用したスマートフォンへの情報の書き出しに 等のWPD機器を制御することで更なる情報漏えい対策を強化することができることを記載しているものがあると認められることを考慮すると,本件当時,MTP通信を利用したスマートフォンへの情報の書き出しについても,被告らは予見することができたとみる余地があるとも思える。 しかしながら,MTPは,前提事実のとおり,元来,音楽・映像ファイルを転送するための規格であって,MTP通信によるドキュメントファイルの転送が可能であることを説明する取扱説明書等の文書等があることを裏付ける証拠がないので,アンドロイド4.0が多数販売されていたからといって,本件当時,MTP通信によりドキュメントファイルを転送して不正に情 報を取得することが一般に認識される状況となっていたとはいえず,また,MTP接続制御機能を備えたセキュリティソフトも,音楽・映像ファイルの 転送をさせる必要性がない場合に機能させることを想定して設けられたと見る余地もあり,上記のとおり,同セキュリティソフトが広く出回っていることから,MTP通信を利用したスマートフォンへの情報書き出しの危険性を認識し得たとするのは困難である(なお,証拠(甲96の1)によれば,本 件セキュリティソフトについて,情報漏えい対策に関する記載がないまま,スマートフォンへの出力を制御することができる効果のみを説明している記事があることが認められる一方,上記のような情報漏えいの危険性の防止の観点からWPD制御機能を説明しているセキュリティソフトは,被告シンフォームが業務用パソコンに導入したものとは異なる(甲97)上,同様の説 明をしているものが一定程度広くあることをうかがわせる証拠がないことに照らすと,そのような説明がされることが一例あっただけで,被告らにおいて,ドキュメントファイルのMTP対応のスマー 同様の説 明をしているものが一定程度広くあることをうかがわせる証拠がないことに照らすと,そのような説明がされることが一例あっただけで,被告らにおいて,ドキュメントファイルのMTP対応のスマートフォンへの書き出しを予測することが可能であったと見るべき事情としては足りない。)。そして,MTP通信を利用したスマートフォンへの不正な情報書き出しの事例が本件 行為の前になかった(弁論の全趣旨)のみならず,前記認定事実ク,コ及びサのとおり,MTP通信を利用した不正な情報書き出しの危険性につき,平成24年には認識していたとする者や,平成25年頃からセキュリティ技術者の間で話題となっていたとの指摘はあるものの,これらは公表されてはおらず,他方,専門家の中にも,上記危険性を認識していた者がいなかった と指摘する者もいる上,同認定事実コに加え,証拠(乙32)及び弁論の全趣旨によれば,本件当時において,MTP通信を利用したスマートフォンへの情報書き出しの危険性について指摘した行政機関その他の団体の基準等がないことが認められる(なお,原告らは,MTP通信に限定した情報書き出しの危険性について本件当時までに公表した文献(枝番号を含む甲101か ら104まで,106)等が新たに発見されたなどとして,口頭弁論の再開を求めるけれども,本件当時までに公表されたセキュリティソフトの商品説 明において,MTPに対応した外部メディア制御機能に関しUSB接続を介した企業データ情報漏えい対策の強化を指摘する例(甲101の1,2)があったとしても,この例が上記例に加わることにより上記の事情の判断を左右するものとはいえず,また,別のセキュリティソフトの商品説明において, 本件行為と酷似する例を紹介した上で,「MTPデバイス問題」として,スマートフォンが に加わることにより上記の事情の判断を左右するものとはいえず,また,別のセキュリティソフトの商品説明において, 本件行為と酷似する例を紹介した上で,「MTPデバイス問題」として,スマートフォンがMTPデバイスとして動作するために書き込みができる問題があることを指摘するもの(甲103の2)は,本件当時までに公表されたものではなく,その他の証拠も本件の判断に影響を及ぼすものではないので,口頭弁論の再開をする必要は見いだせない。)。 以上のような,行政機関その他の団体による個人情報の取扱いに関する指摘事項の内容や,MTP対応のスマートフォン及びセキュリティソフトの普及状況を踏まえても,MTPの基本的な用途等に加え,本件行為の前にMTP通信を利用したスマートフォンへの情報書き出しの事例がないこと,本件当時前における同情報書き出しの危険性に関する専門家の認識の状況,その 危険性に関する指摘の公表及び行政機関その他の団体の基準等の不存在の状況などを総合考慮すると,個人情報を取り扱う企業又は個人情報を対象としたシステムの開発等をする企業である被告らにおいて,本件当時において,スマートフォンをパソコンのUSBポートに接続して個人情報を不正に取得される可能性を予見する可能性があるといえても,MTP対応のスマートフ ォンをパソコンのUSBポートに接続することによりMTP通信を利用して個人情報を不正に取得されることを予見する可能性があったとまでは認められない。 したがって,被告らは,本件当時,業務用パソコンのUSBポートにUSBケーブルを用いてMTP対応のスマートフォンを接続し,MTP通信でデ ータを転送する方法によって個人情報を不正に取得することの予見可能性があったということはできない。 被告シンフォームの注意義務(争点) P対応のスマートフォンを接続し,MTP通信でデ ータを転送する方法によって個人情報を不正に取得することの予見可能性があったということはできない。 被告シンフォームの注意義務(争点)について前記2のとおり,原告らの主張する被告シンフォームの注意義務があるというためには,被告シンフォームにおいて,本件当時,パソコンのUSBポートにUSBケーブルを用いてMTP対応のスマートフォンを接続しMTP通信で データを転送する方法によって個人情報を不正に取得されることを予見し得たことが前提となるところ,この予見可能性があったといえない以上,その余の点を検討するまでもなく,被告シンフォームは,持込禁止義務,USB接続禁止義務,書き出し制御義務,アラート設定義務及び監視カメラ設置義務のいずれも負うということはできない。 なお,原告らは,被告シンフォームには,更にアクセスログ・通信ログの記録やモニタリングを行い,かつ,事業場に周知する義務及びアクセス権限を適切に管理する義務があった旨の主張もするけれども,これらの義務があるといえるためにも,上記の予見可能性があったことが前提となるといえるところ,同予見可能性があったといえない以上,これらの義務があったともいえないの で,原告らのこの主張も採用することはできない。 被告ベネッセの注意義務(争点)について前記2のとおり,原告らの主張する被告ベネッセの注意義務があるというためには,被告ベネッセにおいて,本件当時,パソコンのUSBポートにUSBケーブルを用いてMTP対応のスマートフォンを接続しMTP通信によりデー タを転送する方法によって個人情報を不正に取得されることを予見し得えたことが前提となるところ,この予見可能性があったとはいえないので,被告ベネッセは,その余の点を検討 続しMTP通信によりデー タを転送する方法によって個人情報を不正に取得されることを予見し得えたことが前提となるところ,この予見可能性があったとはいえないので,被告ベネッセは,その余の点を検討するまでもなく,部門設置義務を負うとはいえない。 また,同様の理由に加え,前記3のとおり,被告シンフォームに原告ら主張の注意義務がない以上,その注意義務があることを前提とする被告ベネッセの 原告ら主張の注意義務もあるとはいえないので,その余の点を検討するまでもなく,被告ベネッセは,シンフォーム同様義務及び委託先選任監督義務を負う ということはできない。 被告らの過失による不法行為責任及び被告ベネッセの使用者責任について以上によれば,被告らの過失による不法行為は,その余の争点(争点及び)について判断するまでもなく,認められず,被告ベネッセの被告シンフォ ームを被用者とする使用者責任も,被告シンフォームの不法行為が認められない以上,その余の争点(争点及び)につき判断するまでもなく認められない。 被告シンフォームの使用者責任の有無(争点)について認定事実 証拠(甲2,12の1,2,甲19の3,甲63,64,66,73)によれば,以下の事実が認められる。 ア被告シンフォームでは,事業開発本部の下にある事業開発部に,本件システムに関する開発,運用,保守等を所管する課として顧客分析課を置いていた。顧客分析課は,多摩事務所において,本件業務のほか,顧客であ る被告ベネッセのために,本件システムを使用したデータの集計業務(被告ベネッセから特定の条件による契約者のリストの要望を受けてその契約をしている人のリストを収める業務をいう。以下同じ。)や,QA対応業務(被告ベネッセからの本件システムの使い方等の問合せに対する回答をす ッセから特定の条件による契約者のリストの要望を受けてその契約をしている人のリストを収める業務をいう。以下同じ。)や,QA対応業務(被告ベネッセからの本件システムの使い方等の問合せに対する回答をする業務をいう。以下同じ。)をしていた。被告シンフォームは,委託先 との間で,業務委託個別契約を締結し,本件業務の一部を委託しており,その委託先,更にその委託先の委託先がその一部を再委託又は再々委託をするなどもしており,顧客分析課には,平成26年4月当時,39名が所属していたものの,そのうち,被告シンフォームの社員が11名で,その余の28名が複数の委託先(その委託先等を含む。)の従業員であった。 なお,本件システムは,平成24年4月から開発が開始され,平成25年4月に一部利用が開始し,運用開始予定としていた平成26年4月に一 応の完成を経た後も,本件当時まで,開発が続けられていた。 イ顧客分析課の中には,チームが存在し,チームの中には個別案件を進めるために,更にメンバーなどと呼ばれるグループが存在していた。すなわち,顧客分析課において,個別案件の依頼を受けると,被告シンフォーム の社員がその個別案件を処理するグループのリーダーとして決定され,同リーダー(以下「グループリーダー」という。)においてグループに属する人を選定して,グループを編成する。その後,グループリーダーは,作業ごとの計画を定め,スケジュールを管理し,案件の処理を進めていく。 作業の進捗状況については,グループ内で,毎日又は毎週,進捗会議と呼 ばれる打合せをし,前日の作業状況や当日の予定等を話し合い,共有していた。また,グループリーダーは,作業の遅れが生じた場合には,作業に余裕がある別のグループに属する人を探し,同人に作業を依頼するなどしていた。 ウCは,被告 状況や当日の予定等を話し合い,共有していた。また,グループリーダーは,作業の遅れが生じた場合には,作業に余裕がある別のグループに属する人を探し,同人に作業を依頼するなどしていた。 ウCは,被告シンフォームの委託先の再々委託先の従業員であり,被告シ ンフォームから,業務に従事する前に,情報セキュリティ研修及びその内容を踏まえたテストを受け,同テストに合格した。また,Cは,被告シンフォームから,その後も,平成24年から平成26年までの間,年1回実施される情報セキュリティ研修を受けていた。 エCは,顧客分析課で開発チームに所属した上で,複数のグループに属し, 本件システムの開発作業に従事していた。 Cは,グループリーダーから,平成24年6月頃からは,業務の具体的な指示を直接受けて,それに応じていた上,作業の途中で問題が生じた場合には,グループリーダーに相談していた。また,Cは,グループリーダーから,1日で終わらない作業を割り振られることがあったほか,終業時 間の間際に作業を依頼され,又は終業時間後の時刻に設定される打合せに出るよう依頼を受けるなどの残業の指示を受け,それに応じていた。さら に,Cは,多摩事務所に出勤することができない事情がある場合には,グループリーダーに相談するなどしていた。 オCは,本件システムの開発作業のほか,QA対応業務をしていた。すなわち,QA対応業務においては,被告ベネッセの社員が,グループリーダ ー又はCに対し,本件システムの利用に関して,メールでの問合せをし,グループリーダーからCに対し同メールに回答をしておくようにというメールを受け,Cは,被告ベネッセの社員に対し,質問に対する回答を行っていた。そのようなやり取りを続けているうちに,Cは,被告ベネッセの社員から直接メールや電話での問合 に回答をしておくようにというメールを受け,Cは,被告ベネッセの社員に対し,質問に対する回答を行っていた。そのようなやり取りを続けているうちに,Cは,被告ベネッセの社員から直接メールや電話での問合せを受け,被告ベネッセの社員に対し, 直接回答するということがあった。 また,Cは,グループリーダーから依頼されて,委託先において受託していない集計業務もすることもあった。 さらに,Cは,グループリーダーから依頼を受けて,被告ベネッセからのデータの調査依頼がある場合にそれに対する回答が直ぐにできるように するため,被告シンフォームが被告ベネッセに対して作業の進捗を報告するために週1回実施している会議に出席することがあった。 カCは,委託先に労働時間を報告するほか,被告シンフォームに対しても,残業を含む労働時間について,業務日報又は管理表と呼ばれるシステムに,毎日の作業時間を入力して報告し,被告シンフォームにおいて管理されて いた。 ア被告シンフォームは,前記認定事実ウのとおり,Cとの間で雇用関係がないものの,Cに対し,情報セキュリティ研修等を受講させていただけでなく,同認定事実イ及びエからカまでのとおり,本件システムの開発等の作業において,被告シンフォームの社員において,案件ごとに組成され たグループに属するように指示し,そのグループリーダーである被告シンフォームの社員において,具体的な仕事を割り振り,スケジュールを管理 し,日常的に直接指示をしていたほか,残業の指示をし,それらの指示に応じて業務に従事させ,また,労働時間の報告を受けるなど労務管理をしていたということができる。 イこれに対し,被告シンフォームは,委託先の会社との間では,契約上, 委託先の従業員に対する業務遂行上の指示又は管理その他指揮命令は全て委 告を受けるなど労務管理をしていたということができる。 イこれに対し,被告シンフォームは,委託先の会社との間では,契約上, 委託先の従業員に対する業務遂行上の指示又は管理その他指揮命令は全て委託先責任者が行うとされており,グループリーダーが当該案件で委託する範囲について委託先責任者に対し具体的な業務指示を依頼し,委託先責任者において委託先の従業員に対し業務指示を行う仕組みが採られ,それが実態であったと主張し,刑事公判廷において,顧客分析課課長Lは,グ ループリーダーが委託先の従業員に対し直接指示をすることは原則ない旨供述し(甲66〔46ページから49ページまで〕),事業開発本部長兼事業開発部長Mも,委託先の従業員については,緊急性の高い場合等を除き,委託先責任者を通じて,業務の指示をすることとなっており,委託先責任者が委託先の従業員の残業を指示していた旨供述する(甲73〔33 ページから37ページまで,58ページから60ページまで,64,65,97,98ページ〕)。しかし,グループには,委託先責任者が所属していないことがある(甲66,73)上,委託先責任者とされる者は,Cに対し,平成24年1月当初は指示などしていたものの,同年4月から数か月後の間は,週に2,3回しか多摩事務所に行っておらず,その後一切多 摩事務所に行かなくなっていた(甲64)ところ,グループに所属せず,また,多摩事務所に居ない委託先責任者が委託先の従業員に対して指示をする方法につき,上記Lらは具体性のある供述をしていない一方,案件の進め方等につき,グループリーダーが指示をしていたとする前記認定事実に沿うCの刑事公判廷における供述は,Cに自己の罪を免れるために虚 偽の供述をする動機があるとの被告らの指摘を考慮しても,その内容が自然で,具体性に富 ーダーが指示をしていたとする前記認定事実に沿うCの刑事公判廷における供述は,Cに自己の罪を免れるために虚 偽の供述をする動機があるとの被告らの指摘を考慮しても,その内容が自然で,具体性に富んでいるため,採用することができるから,被告シンフ ォームの社員によるCに対する直接の指示がなかったとする上記Lらの供述は,採用することはできないので,被告シンフォームの上記主張は採用することができない。 ウ前記アの事情によれば,被告シンフォームとCとの間に実質的指揮監督 関係が認められるというべきである。 そして,本件個人情報は,氏名,性別,生年月日,郵便番号,住所などといった情報であり,自己が欲しない他者にはみだりに開示されたくないと考えることは自然なことであり,これに対する期待は保護されるべきものであるから,本件個人情報は,原告らのプライバシーに係る情報として法的保護 の対象となるものであり(最高裁平成29年10月23日第二小法廷判決・判時2351号7ページ参照),Cは,故意に,本件行為によって,そのプライバシーを侵害したということができる。 また,前提事実及びのとおり,Cは,本件パソコンにおいて,本件データベースに保管されている個人情報について,本件取得行為をしているの で,本件取得行為は,本件業務に際してされたものである上,本件売却行為は,本件取得行為を契機とし,これと密接な関連を有すると認められるので,本件行為は,被告シンフォームの「事業の執行について」されたものに当たるといえる。 証拠(甲19の3,甲63,73)によれば,被告シンフォームは,Cか ら,業務上知り得た個人情報及び機密情報を開示,漏えいしない旨記載された「個人情報の取扱いに関する同意書」を受領しているほか,前記認定事実ウのとおり,Cに対し, ば,被告シンフォームは,Cか ら,業務上知り得た個人情報及び機密情報を開示,漏えいしない旨記載された「個人情報の取扱いに関する同意書」を受領しているほか,前記認定事実ウのとおり,Cに対し,業務に従事する前に情報セキュリティ研修及びその内容を踏まえたテストを実施し,その後も年1回情報セキュリティ研修を実施していたと認められるけれども,これらの事実だけでは,被告シンフォ ームがCの選任及び事業の監督について相当の注意をしたというには足りない。 したがって,被告シンフォームは,Cの選任及び事業の監督について相当の注意をしたということはできない。 小括以上によれば,被告シンフォームは,別紙原告目録の判断欄に〇と記載し た原告らに対し,Cの本件行為による故意の不法行為について使用者責任を負うと認められる。 原告らの精神的損害の有無及び程度(争点)について被告シンフォームは,前記6のとおり,Cの故意による不法行為について使用者責任を負う。 そして,本件漏えい情報は,氏名,性別,生年月日,郵便番号,住所,電話番号,ファクシミリ番号,メールアドレス,出産予定日又は保護者の氏名といった情報であるところ,このうち,氏名及び郵便番号・住所,電話番号,ファクシミリ番号又はメールアドレスについては,これらの情報を取得した者において,これを取得された者に対する連絡が可能となり,また,同情報の使用方 法によっては,取得された者の私生活の平穏等に一定の影響が及ぶおそれがある。そのため,これらの情報は,性別,生年月日,出産予定日及び保護者の氏名も含め,自己の了知しないところでこれらの情報が流出することまでは欲しないものであるため,これらの情報が不正に漏えいした場合には,自己の了知しないところで自己の個人情報が漏えいしたことへの不快 氏名も含め,自己の了知しないところでこれらの情報が流出することまでは欲しないものであるため,これらの情報が不正に漏えいした場合には,自己の了知しないところで自己の個人情報が漏えいしたことへの不快感のみならず,それ による影響に対する不安感を生じさせるので,精神的損害が生ずるといえる。 もっとも,出産予定日を除くこれらの情報は,人が社会生活を営む上で一定の範囲の他者に開示することが予定されている個人を識別するための情報又は個人に連絡をするために必要な情報であるため,思想・信条,病歴,信用情報等とは異なり,個人の内面等に関わるような秘匿されるべき必要性が高い情報と はいえない。また,出産予定日については,予定日にすぎないので,秘匿されるべき必要性の程度が相対的に低い。さらに,原告らは,本件漏えいでは,原 告らについて,子供の教育に熱心な,若しくは関心がある親又は教育に熱心な,若しくは関心がある親に育てられた子という属性も流出していると主張するけれども,Cはイベントで集めた情報などとして本件売却行為をしており(甲89,乙90の1,2),情報の量や質から被告らが保有していた情報として漏 えいしたことが推測されていたとしても,これらの属性も,秘匿性が高いものとはいえず,それによって,精神的損害の程度が高まるものということはできない。 また,本件漏えい情報は,情報一覧表の認定欄の情報項目の情報のとおり原告それぞれでその範囲を異にし,また,その内容も異なる(氏名,生年月日, 郵便番号,住所については,戸籍上のそれと同一でないもの又は現在のものとは異なるものが含まれ,また,性別,電話番号,ファクシミリ番号,メールアドレス及び出産予定日についても,内容が特定されていないため,正確でないものや現在のものと異なるものが含まれている可能性 ものとは異なるものが含まれ,また,性別,電話番号,ファクシミリ番号,メールアドレス及び出産予定日についても,内容が特定されていないため,正確でないものや現在のものと異なるものが含まれている可能性がある。)ところ,自己の提供した個人を識別するための情報や個人に連絡をするために必要な情報を 漏えいされたこと自体には違いはなく,その範囲や内容によって,自己の了知しないところで自己の個人情報が漏えいしたことへの不快感・不安感につき,精神的損害の程度を区別して考えるほどの違いがあるとまではいえない。 なお,原告らは,未成年原告に関しては,不快感・不安感がこれから一生付きまとうなどとして,精神的苦痛は成年者とは異なると主張するけれども,本 件漏えいによる影響の期間は,成年者であるか未成年者であるかを問わず,個別の事情によることが大きい一方,自己の了知しないところで自己の個人情報が漏えいしたことへの不快感・不安感の程度は,成年者であるか未成年者であるかは問わず,異なるものとはいえないため,成年原告と未成年原告とで精神的損害の程度を格別に扱う理由までを見いだすのは困難であるので,同主張は 採用することはできない。 そして,本件漏えいにより,教育関連会社等500社を超える会社に情報が 流出したとの報道がある(甲49,50)上,本件漏えいの発覚経緯が,被告ベネッセらの顧客から,被告ベネッセに対し,被告ベネッセらと異なる通信教育事業者から被告ベネッセらに提供していた氏名を名宛人とした書面が送付されているとの指摘が多数寄せられ,しかも,その氏名の中には,被告ベネッセ らだけに提供していた戸籍上の氏名と異なるものがあるとの指摘が含まれている(甲68,72)ことに鑑みると,本件漏えい情報も同通信教育事業者に流失した可能性があるといえるものの, は,被告ベネッセ らだけに提供していた戸籍上の氏名と異なるものがあるとの指摘が含まれている(甲68,72)ことに鑑みると,本件漏えい情報も同通信教育事業者に流失した可能性があるといえるものの,原告らもダイレクトメールやセールス電話が原告ら全員に生じていることまでは主張しておらず,上記の流出の可能性を超えて,現時点で,ダイレクトメール等が増えたような気がするという程度 以上に財産的損害その他の実害が原告らに生じたことはうかがわれない。 一方,被告シンフォームは,前記6のとおり,Cから,個人情報等を漏えいしない旨記載された同意書を取得していたほか,Cに対して,情報セキュリティ研修等を受講させていた。そして,被告ベネッセの持株会社である株式会社ベネッセホールディングスは,本件漏えいの発覚後に直ちに対応を開始し, 情報漏えいの被害拡大を防止する手段を講じ,監督官庁に対する報告及び指示に基づく調査報告を行い(甲2,19の1から3まで),情報が漏えいしたと思われる顧客に対し,本件通知書を送付するとともに,顧客の選択に応じて500円相当の本件謝罪品の交付を申し出るなどしている。 以上,本件に現れた一切の事情を総合考慮すると,別紙原告目録の判断欄に 〇と記載した原告らにつき本件行為による不法行為によって生じた精神的損害に対する慰謝料として3000円を認めるのが相当である。 そして,原告らが原告ら訴訟代理人に本件訴訟の提起及び追行を委任したことは当裁判所に顕著であるところ,その弁護士費用としては,本件事案の難易,請求額,損害額その他諸般の事情を考慮すると,別紙原告目録の判断欄に〇と 記載した原告らにつき1人当たり300円の範囲内のものが本件行為による不法行為と相当因果関係にある損害とみるのが相当である。 以上によれば,被告シ 慮すると,別紙原告目録の判断欄に〇と 記載した原告らにつき1人当たり300円の範囲内のものが本件行為による不法行為と相当因果関係にある損害とみるのが相当である。 以上によれば,被告シンフォームは,別紙原告目録の判断欄に〇と記載した原告らに対し,Cを被用者とする使用者責任に基づき,それぞれ3300円の損害賠償債務を負うということができる。 第4 結論 以上のとおり,原告らの被告シンフォームに対する請求は,別紙原告目録の判断欄に〇と記載した原告らにつき3300円及びこれに対する不法行為の以後の日である平成26年7月7日(第2事件原告については,同年12月9日)から支払済みまで年5分の割合による支払を求める限度で理由があり,原告らの被告シンフォームに対するその余の請求及び被告ベネッセに対する請求 には理由がない。 東京地方裁判所民事第13部裁判長裁判官河合芳光 裁判官西野光子裁判官圡屋利英
▼ クリックして全文を表示