通信教育会社情報漏えい事件についての最高裁判決

通信教育会社情報漏えい事件についての最高裁判決(平成29年10月23日)がでています。オリジナルは、こちら。

新聞記事としてはたくさんありますね。(たとえば、産経

事件としては、平成26年6月までの情報漏えい事件です。

判決上の認定された事実関係は、
(1) 上告人は,未成年者であるBの保護者であり,被上告人は,通信教育等を目的とする会社である。

(2) 被上告人が管理していたBの氏名,性別,生年月日,郵便番号,住所及び電話番号並びにBの保護者としての上告人の氏名といった上告人に係る個人情報(以下「本件個人情報」と総称する。)は,遅くとも平成26年6月下旬頃までに外部に漏えいした(以下「本件漏えい」という。)。

(3) 本件漏えいは,被上告人のシステムの開発,運用を行っていた会社の業務委託先の従業員であった者が,被上告人のデータベースから被上告人の顧客等に係る大量の個人情報を不正に持ち出したことによって生じたものであり,上記の者は,持ち出したこれらの個人情報の全部又は一部を複数の名簿業者に売却した。
というものです。

原審は、「上告人が迷惑行為を受けているとか,財産的な損害を被ったなど,不快感や不安を超える損害を被ったことについての主張,立証がされていないから,上告人の請求は,その余の点について判断するまでもなく理由がない」としたのを最高裁は、
「本件個人情報は,上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照),上記事実関係によれば,本件漏えいによって,上告人は,そのプライバシーを侵害されたといえる。」
として
「不法行為における損害に関する法令の解釈適用を誤った結果,上記の点について審理を尽くさなかった違法がある」ので、「被上告人の過失の有無並びに上告人の精神的損害の有無及びその程度等について更に審理を尽くさせる」としたものです。

なお、平成15年9月12日第二小法廷判決は、早稲田大学後援会名簿提出事件の判決です。「本件個人情報を警察に開示した同大学の行為は,上告人らが任意に提供したプライバシーに係る情報の適切な管理についての合理的な期待を裏切るものであり,上告人らのプライバシーを侵害するものとして不法行為を構成するというべきである。原判決の説示する本件個人情報の秘匿性の程度,開示による具体的な不利益の不存在,開示の目的の正当性と必要性などの事情は,上記結論を左右するに足りない。」として、具体的な損害の立証は、必要ではないという趣旨が明らかにされています。

ちょっと、比較法的な観点からいくと、米国においては、深刻なデータ漏洩によって個人の経済的、プライバシー、評価、信用評価に影響をあたえた場合に損害が評価されるように思えます。最高裁は、このような考え方を否定して、上記個人情報自体が、プライバシー情報であるとして、漏洩の事実のみで、損害を認めたという点で、意味があると分析されるのかなとおもいます。米国だとこんなクラスアクションのページがあるんですね。

漏洩事件と和解額の一覧もあります。ASHLEY MADISON だと、そこから漏洩したというだけで、立証はいらないような気もしますがどうなのでしょうか。

あと、「精神的損害の有無及びその程度等」についての審理の必要性を書いているので、それによって損害額が、左右されるという意味があります。