ニューズレター


2014.Aug Vol.1

ベネッセ情報流失事件から学ぶ個人情報


臨時号:2014.8.vol.1掲載

先月、学習教材の会社から個人情報が漏えいし、派遣社員が逮捕されたり大変なことになっているようです。

「個人情報を勝手に持ち出した派遣社員や個人情報の管理委託を受けた会社が悪い。個人情報を持ち出された会社も被害者だ」という面もあるような気もしますが、同じようなケースが生じた場合、会社の責任などはどうなっていくのでしょう。

また、このような事件を起こさないように注意すべきことはあるのでしょうか。


個人情報の管理委託を受けた会社や派遣社員への責任追及は、会社と個人情報の管理委託を受けた会社や派遣社員の間のことであって、 個人情報を漏えいされた一般の顧客からしてみれば、「個人情報を漏えいした主体としては、会社も個人情報の管理委託を受けた会社や派遣社員も同一」です。したがって、会社は一般の顧客に対し、損害賠償責任を負うことになる可能性があります。このような事件を未然に防ぐためには、会社として、最低限、

① 情報へのアクセス制限とアクセスログの保存、
② 情報利用時のマニュアルの整備、
③ 個人情報保護法に基づく個人情報保護責任者のスキルアップ、
④ 従業員の教育等について真剣に取り組む必要があります。

Ⅰ.個人情報とは

「個人情報」とは、生年月日・性別といった先天的な情報や、氏名・住所といった後天的な情報によって「個人」を特定し得る情報をいいます。

高度に情報化した現代社会においては、このような「個人情報」が自分の知らないところで知らない形で勝手に利用されていたり、悪用される恐れも多々あります。そこで、今日では、自分の「個人情報」を、誰が、どのような目的で保有し、どのように利用しているのかを自分でコントロールすることが権利として認められるに至っています(通説的見解)。

そして、このような権利を実効性あるものとするため、平成15年5月、5000件以上の「個人情報」を「データベース化」して「事業のために用いている事業者」を「個人情報取扱事業者」とし、個人情報保護のための様々な措置、対策を講じるよう義務付ける法律が制定されました。

つまり、「個人」には「自分の情報をむやみに知られたくない」、「間違った情報を訂正したい」という要望があるわけで、これが憲法上も法律上、保障されているわけです。

Ⅱ.損害賠償リスク

したがって、自分の知らないうちに、自分の「個人情報」がカネで売られて拡散されることは、当然、本人の好まざるところですので、このような行為を「故意」又は「過失」によりに行えば、不法行為(民法709条)が成立し得るわけです。

実際、ある大学が外国要人の講演会に参加する学生の「個人情報」を、当該学生の同意なく警視庁に開示した事件につき、最高裁判所は当該大学に対し、学生一人につき金5000円の慰謝料(精神的損害)の支払いを命じています。

今回の事件と同様の事件が生じた場合も、情報を漏えいされた一般の顧客にとっては、個人情報を漏えいした「個人情報管理の委託を受けた会社」や「派遣社員」も「会社」の一部にしか見えないわけですから、「個人情報の管理を委託した会社や派遣社員の仕業なので会社は関係ありません」といった対応は困難だと思います。

もちろん、今回の事件は「組織的な漏えい行為」ではありませんし、上記の事件とは "質" が異なりますが、「会社が管理監督すべき範囲にある者の故意行為」によるものであり、会社にも「過失」があるものとして、損害賠償責任を負う可能性は否定できないと考えられます(なお、上記の個人情報取扱事業者に該当するか否かで結論が異なるわけではありません)

Ⅲ.会社の対応

次に、会社として「個人情報」の漏えい事件を未然に防ぐ方法としては、上記のとおり「個人情報」の管理を徹底することももちろん大切ですが、何よりも「従業員教育」が重要かつ堅実な方法です。

そして「従業員教育」では、「個人情報を大切に保護しましょう」といったように、単なる "紙しばい" 的に説くのではなく、実際の例を紹介するなどして「個人情報」が漏えいしてしまった場合に発生する会社のレピュテーションリスク、売上の減少、損害賠償請求、そしてこれらを原因とする会社の倒産、従業員の給与のカット、解雇など、現実的なリスクについて恐々と伝え、「自分にも降りかかる現実的なリスク」として実感させることが肝要です。

要するに、形式上、「個人情報」の管理を謳い、例えば、要件だけを満たし「Pマーク」の 認定を受けたからといって "それだけで満足していたのでは" 実質的なリスクを回避できません。

アーカイブ

ALG&Associates
Lawyers

弁護士法人ALGの所属弁護士紹介になります。

所属弁護士一覧