1. ホーム
  2. プラットフォーム関連

個人情報漏えい等が発生した場合の法的責任【プラットフォームと個人情報保護法2】

Q
事業活動において、個人情報漏洩(個人情報流出)、滅失又は棄損してしまった場合に、
どのような法的責任を負いますか。

A
事業者が、個人情報を漏洩、滅失又は棄損した場合には、対行政、対本人(漏えいされた本人=漏えいした情報の帰属主体たる個人をさします)との関係で、法的責任を負う可能性があります。

具体的な漏えい等の事例とともに、個人情報を漏洩、滅失又は棄損した場合に発生しうる法的リスクについて、理解する必要があります。


澤田直彦

監修弁護士:澤田直彦
弁護士法人 直法律事務所 代表弁護士

IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。

本記事では、
「個人情報漏えい等が発生した場合の法的責任【プラットフォームと個人情報保護法2】」
について、わかりやすくご説明します。

弁護士のプロフィール紹介はこちら直法律事務所の概要はこちら

はじめに

個人情報を取り扱う事業者は、 取得した個人情報の漏えい、滅失又は棄損のリスクが常にあります。

事業者が、個人情報を漏えい、滅失又は棄損した場合には、対行政、対本人(漏えいした情報の帰属主体たる個人をさします)との関係で、法的責任を負う可能性があります。

以下、説明をしていきます。

行政に対する責任とは

個人情報保護法(以下「法」といいます。)上の個人情報取扱事業者は、以下の義務を負っています。

安全管理措置義務
(法20条)
利用目的の達成に必要な範囲内において、個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じる義務
従業員に対する監督義務
(法21条)
従業者に個人データを取り扱わせるに当たり、当該個人データの安全管理が図られるよう、当該従業者に対し必要かつ適切な監督を行う義務
委託先に対する監督義務
(法22条)
個人データの取扱いの全部又は一部を外部に委託する場合に、当該個人データの安全管理が図られるよう、受託者に対し必要かつ適切な監督を行う義務

そのため、企業が保有する個人データが漏えい等した場合には

  • 当該企業の安全管理措置義務違反
  • 従業員がその漏えいに関与していた場合にはその従業員に対する監督義務違反
  • 委託先が漏えいを行った場合には委託先に対する監督義務違反


となるおそれがあります。

このような義務違反が認められる場合、当該企業は個人情報保護委員会による報告徴収、立入検査、指導、助言、勧告、命令(法40条〜42条)を受ける可能性があります。

これに対して仮に報告を改ざんし、虚偽の報告をし、又は、命令違反をした場合には、罰則が科されます(法84条、85条)。(行為者のみならず法人をも罰するという両罰規定(法87条)により、会社には、罰金刑が科されます)。

また、個人情報取扱事業者(法人である場合は、その役員、代表者又は管理人若しくはその従業員又はこれらであった者)が、その業務に関して取り扱った個人情報データベース等を、自己若しくは第三者の不正な利益を得る目的で提供又は盗用した場合には、1年以下の懲役又は50万円以下の罰則が科され、また、その行為が法人の業務に関する場合には、当該法人にも同額の罰金が科されます
(法83条・87条 ※なお、令和2年6月の法改正により、この法人処罰規定は、1億円にまで法定刑が引き上げられました(法87条1項1号))。
この罰則は、国外犯にも適用されます(法86条)。

刑事上の責任とは

近年、委託先従業員による顧客の個人情報の売却行為に、刑事責任が認められた裁判例(東京高裁平成29年3月21日)があります。

【事案の概要】
株式会社Bにおいて通信教育等を業とする株式会社Aの顧客情報を取り扱う業務を担当していた被告人が、売却して利益を得る目的で、2度にわたり、株式会社Aの営業秘密である顧客情報を自己のスマートフォンに複製し、そのうち一部を名簿業者に売却して流出させた行為について、不正競争防止法違反として刑事上の責任を問われた事案

【結論】
被告人は懲役2年6月及び罰金300万円に処されました。 本件顧客情報は、不正競争防止法2条6項にいう「営業秘密」にあたるため、それらを流出させた行為には、不正競争防止法上の刑事罰が科されました。

このように、個人情報の漏えい等に関する事案が、刑事事件となる場合もあります。 また、個人情報の漏えい等は、不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)上の刑事罰に該当する可能性があります。

不正アクセス禁止法で、禁止されている行為は以下の行為です。

  • 不正アクセス行為
  • 他人のIDやパスワード等の識別符号を不正に取得・保管する行為
  • 不正アクセスを助長する行為
  • フィッシング行為

詳しくは、『警察庁サイバー犯罪対策プロジェクト』のウェブサイトを、ご確認ください。

その他、個人情報の漏えい等に関する事案が、以下の刑法上の犯罪に該当する可能性もあります。

  • 電子計算機使用詐欺罪 (刑法第246条の2)
  • 背任罪(同法第247条)
  • 横領罪(同法第252条)

本人に対する責任とは

不法行為に基づく責任

(1) 損害賠償請求
個人情報保護法は、個人の権利利益の保護を目的としていますが、同法には損害賠償責任に関する規定は置かれていません。しかし、民法上の不法行為にあたれば、損害賠償責任を負うことがあります(民709条)。

また従業員が、個人情報を漏洩などし、これによって他者の権利利益を侵害した場合は第一次的にはその従業員者自ら不法行為責任を負います。
さらに事業者は、使用者責任に基づいて(民715条)、または、自ら不法行為者(民709条)として、不法行為責任を負うことがあります。

(2)過去の裁判例・判例
個人情報の公開又は漏えいとプライバシー権が問題となった過去の裁判例・判例は以下の通りです。

事案の概要 漏えいした事実 結論
幼い娘と二人暮らしであった女性が、転居に伴って電話帳への氏名、電話番号、住所を掲載しないよう求めていたにもかかわらず、電話帳に掲載された。
原告が、NTTに対し、プライバシー権侵害を理由に、損害賠償(慰謝料300万円)等を求めた。
(東京地判平10・1・21判タ1008号187頁)
氏名、電話番号及び住所 慰謝料10万円が認められました
眼科診療所を営む眼科医が、電子掲示板に、無断で氏名、職業、診療所の住所、電話番号を掲載され、嫌がらせの電話が頻繁にかかるようになった。
原告である眼科医が、ニフティ株式会社に対し、プライバシー権侵害を理由に、損害賠償(慰謝料181万360円)を求めた。
(神戸地判平11・6.23判時1700号99頁)
氏名、職業、診療所の住所及び電話番号 慰謝料20万円が認められました
宇治市が住民基本台帳のデータを使用した乳幼児健診システムの開発業務を民間業者に委託したところ、委託先のアルバイトの従業員が宇治市の全住民約22万人の住民基本台帳データを不正にコピーしてこれを名簿業者に販売した。
宇治市の住民数名が、当該データの流出によって精神的苦痛を被ったと主張して、プライバシー権侵害を理由として損害賠償(慰謝料30万円及び弁護士費用3万円)を求めた。
(大阪高判平13・12・25裁判所ホームページ
個人連番の住民番号、住所、氏名、性别、生年月日、転入日、転出先、世带主名、世带主との統柄等 一人当たり慰謝料1万円、弁護士費用5000円が認められました
早稲田大学が、江沢民の講演会が開催された際、講演会に参加した学生1400名の名簿を講演前に警視庁の公安当局等に提出していた。
原告である学生が、同大学に対し、プライバシー権侵害を理由に、損害賠償(慰謝料30万円及び弁護士費用3万円)を求めた。
(最判平15・9・12民集57巻8号973頁)
氏名、住所、電話番号(学生は氏名と学籍番号」 一人当たり慰謝料5000円が認められました
愛媛県大洲市が住民投票条例制定請求に係る署名収集活動受任者の名簿を情報公開した。
原告である署名活動受任者の大洲市市民が、大洲市に対し、プライバシー権侵害を理由に、損害賠償(慰謝料10万円)を求めた。
(松山地判平15・10・2判時1858号134頁)
署名活動受任者の氏名、住所、生年月日 慰謝料5万円(なお、判決は、署名活動受任者であることは個人の政治的信条に関係するものであるところ、特に厚く保護されるべきと判示)
TBCグループ株式会社がデータの移設作業を委託先企業に行わせていたところ、同企業が顧客アンケートや資料請求のために入力された約5万人分のデータについて、サーバの公開領域に置きながらアクセス制限の設定をしなかったためにインターネット上において第三者による閲覧が可能な状況に置かれ、実際に第三者がそれにアクセスして個人情報を流出させ、電子掲示板に当該個人情報が貼り付けられる等の被害が発生した。
被害者である原告らは、プライバシー権侵害を理由に、1人当たり慰謝料100万円及び弁護士費用15万円の賠償を求めた。
(東京高判平19.8.28判、1264号299頁、東京地判平19.2.8判タ1262号270頁)
同社のエステティックサロンのウェブサイトにおいて、アンケート等を通じて提供された氏名、住所、電話番号、メールアドレス、関心を有しているエステティックサロンのコース名等 二次被害を受けた者については1人当たり、慰謝料3万円、弁護士費用5000円、二次被害を受けていない者については1人当たり、慰謝料1万7000円、弁護士費用5000円が認められました。
Yahoo!BBの顧客情報として保有管理されていた個人情報を、業務委託先からソフトバンクBB株式会社に派遣され、同社の顧客データベースのメンテナンスやサーバ群の管理を行う業務に従事していた者が外部に転送し、ハードディスクに保存して不正に取得し、それがDVD-RやCD-Rに記録され恐喝未遂犯の手に渡った。
(最判平19・12・14、大阪高判平19.6.21、大阪地判平18.5・19判タ1230号227頁)
住所、氏名、電話番号、Eメールアドレス、Yahoo!メールアドレス、Yahoo!JAPAN ID、申込日 1人当たり、慰謝料5000円、弁護士費用1000円が認められました。(なお、そのうち500円については賠償済)

契約上の責任

(1)債務不履行責任
上記で述べた不法行為責任のほか、企業と本人との間で、当該本人の個人情報の取扱いに関して何らかの契約が締結されている場合には、企業はその契約に基づく責任を負うことがあります。

例えば、契約において当該本人の個人情報について企業側に一定のセキュリティ対策を講じることを義務付ける条項があるにもかかわらず、それらの措置が講じられておらず、個人情報が漏えいしたような場合には、同義務に違反したとして、企業は債務不履行責任を負うことがあります。

(2)企業の免責・責任限定の定めの有効性
企業と本人との契約においては、仮に上記(1)で述べたような義務を企業が負うとしても、企業は一切損害賠償責任を負わない(故意又は重過失がある場合でも責任を負わない)との内容の条項や、故意重過失が無い限り損害賠償責任を負わない(軽過失の場合のみ責任を負う)との内容の条項や、一定の金額まで損害賠償額を限定すると定める条項が契約書においてしばしば見受けられます。
このような条項はその文言どおりの効力が認められるのでしょうか。

この点、消費者契約法の適用がある取引の場合、消費者契約法8条1項1号は、「事業者の債務不履行により消費者に生じた損害を賠償する責任の全部を免除する……条項」は無効であると定めているので、企業が一切責任を負わないとする条項は無効になると考えられます。
また、同項2号は、「事業者の債務不履行(当該事業者、その代表者又はその使用する者の故意又は重大な過失によるものに限る。)により消費者に生じた損害を賠償する責任の一部を免除する……条項」も無効であると定めているので、企業に故意又は重過失がある場合に、企業が負担すべき損害賠償額に上限を設ける条項は無効になると考えられます。

事業者間の取引(BtoB取引)の場合には、消費者契約法の適用はありません。
そのような場合でも、一方当事者の免責・責任限定の定めの内容が、社会通念に照らし相当とされる範囲を著しく逸脱する制限を加え、取引の相手方に不当な不利益を与えるものであるなど特段の事情が認められる場合には、当該定めが公序良俗(民法90条)に反するとして、その効力の全部又は一部が否定される場合があると考えられます。


【関連記事】
個人情報保護法とは?【プラットフォームと個人情報保護法1
情報漏えいの予防と対応【プラットフォームと個人情報保護法3

直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。
その他、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。


アカウントをお持ちの方は、当事務所のFacebookページもぜひご覧ください。記事掲載等のお知らせをアップしております。

SaaS企業のお悩みは、
SaaS弁護士に相談して解決

プラットフォーム・クラウド・SaaSビジネスにおける法務のお悩みは、SaaSに強い弁護士に相談されると適切かつ迅速な解決が可能となります。大きなトラブルになる前に、少しでも気になる事は、お早めにSaaS弁護士にご相談ください。

クライアント企業一例