見出し画像

システム会社のミスで顧客情報流出した企業が、顧客に「システム会社とは請負契約で、指揮命令しておらず、当社は素人で、流出の責任はない」と主張したが認められなかった判例

法務の週末

登場人物

  • 被告(訴えられた) エステティックサロン運営会社(以下「エステ会社」)

  • 原告(訴えた) 個人情報が流出したうちの消費者14人 (以下「消費者ら」)

事実の概要

  • エステ会社は、あるシステム会社にホームページの制作と保守を依頼し、サーバーをレンタルしてホームページを開設していた。

  • エステ会社はHP上で定期的に、プレゼント、無料体験の募集を行い、所定の登録フォームで個人情報を収集していた。収集した個人情報はサーバー上で管理しており、IDパスを入れた場合のみ閲覧できるようになっていた。(氏名、年齢、住所、電話番号、メルアド、希望エステコースなど)

  • 運営開始の6年後、HPのアクセス増加に合わせ専用サーバーへの移設が行われた。その際、個人情報ページの保護が外れてしまい、特定のアドレスを入力すれば誰でも見られる状態になった。システム会社の過失であった。

  • HP移設の3ヶ月後、2ちゃんねる掲示板に「大量流出!エステ会社のずさんな個人情報管理!」とのタイトルで個人情報閲覧ページのアドレスが掲載され、「個人情報とかスリーサイズ丸見えじゃん」などの書き込みがなされた。

  • エステ会社は書き込みがあった同日中に気づき、個人情報ページを削除。その後、謝罪文の掲載、相談専用ダイヤルの開設、謝罪文の送信などを行った。

  • 原告となった消費者らは、一人115万円の損害を被ったとして、エステ会社を不法行為で訴えた。

消費者らの主張

(権利・法益の侵害があるか)

  • エステの顧客は身体に悩みがある傾向があり、流出した情報は単なる個人情報にとどまらず、「一般人の感覚から特に秘密にしておきたい情報」(いわゆる機微情報)である。したがって、憲法13条で保護されるプライバシー権が侵害されたこととなる。

(故意または過失があったか)

  • エステ会社は、身体に関する悩みなど通常他人に知られたくない情報を保有しており、通常の事業者と比較して高度の注意義務を負っているところ、漫然とシステム会社に委ね放置したことは過失である。

  • システム会社は、毎月エステ会社に保守の作業報告書を提出していた。また、エステ会社は情報の保管状況を常時監視していた。指揮監督関係にあったことは明らかであり、システム会社の過失について、使用者責任(民法715条)が生じる。

  • エステ会社は、保守契約が請負契約であるため、エステ会社は免責される(民法716条)と主張するが、条文に「作業を委託する」とあること、再委託が許されない条件になっていること、仕事の完成を目的とした契約とは言えないことから、準委任であり、免責されない。

(損害が発生しているか)

  • 機微情報が流出し、流出範囲は広く、回収は不可能である。著しい精神的損害を被った。また、迷惑メール、いたずら電話などの2次被害が生じており、損害を金銭に換算すると100万円である。裁判に要した弁護士費用を入れると115万円の損害になる。

エステ会社の主張

(権利・法益の侵害があるか)

  • 流出した情報がプライバシーの侵害であることは認めるが、エステは国民の美と健康の増進に寄与するものであり、顧客はそれぞれの美意識によってサービスを受けるに過ぎないから、機微情報とまでは言えない。

(故意または過失があったか)

  • エステ会社は専門知識がなく、システム会社に依頼することこそが、合理的な安全対策であった。専門知識が無いことは過失ではない。つまり、システム会社の過失であって、エステ会社の過失はない。

  • 専門知識の無いエステ会社がシステム会社を指揮命令することはできなかった。使用者責任は問われない。

  • システム会社の業務は独立性・専門性の高いものであり、また具体的な方法も指示しておらず、保守契約は請負契約であり、免責される。

(損害が発生しているか)

  • エステ会社は、流出発覚直後にサーバー接続を中止し、お詫び文の掲載、個別対応など考える限り誠実な対応をしてきた。流出により消費者らが被った損害は、すでに癒やされて、金銭賠償を要するほどではない。

(因果関係があるか)

  • 迷惑メールやいたずら電話は、現代では日常的にみられる現象で、流出とは関係ない。

関連条文

憲法13条
すべて国民は、個人として尊重される。生命、自由及び幸福追求に対する国民の権利については、公共の福祉に反しない限り、立法その他の国政の上で、最大の尊重を必要とする。

民法709条(不法行為による損害賠償)
故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う。

民法715(使用者等の責任)
ある事業のために他人を使用する者は、被用者がその事業の執行について第三者に加えた損害を賠償する責任を負う。ただし、使用者が被用者の選任及びその事業の監督について相当の注意をしたとき、又は相当の注意をしても損害が生ずべきであったときは、この限りでない。
2 使用者に代わって事業を監督する者も、前項の責任を負う。
3 前二項の規定は、使用者又は監督者から被用者に対する求償権の行使を妨げない。

民法716条(注文者の責任)
注文者は、請負人がその仕事について第三者に加えた損害を賠償する責任を負わない。ただし、注文又は指図についてその注文者に過失があったときは、この限りでない。

憲法?

  •  日本には、「個人情報を漏洩された場合、賠償請求できる」といった法律がなく、そのままでは困るため、過去の裁判で工夫を重ね「憲法13条の個人の尊重、幸福追求権を侵害された」で、不法行為としての損害賠償が認められる、という事になっているようです。

  • 正確には、憲法で保護されるのは個人情報、ではなく、「プライバシー(個人情報含む)」で、①私生活上の権利で②通常公開してほしくないと思われるもの③多数の人に知られていないこと が憲法で保護されます。

裁判所の判断

エステ会社は消費者らにひとり3万円を支払え。

(権利・法益の侵害があるか)

  • 漏洩した情報は私生活に関するもので、一般に知られておらず、社会一般の感受性に照らし、他人に知られたくないと考えるのは自然のことであるから、プライバシーの機微情報として法律上保護されるべきものである。

(故意または過失があったか)

  • エステ会社は、HPの具体的な内容を自ら決定し、その決定に従いシステム会社が行った修正や更新について、自らセキュリティ含め確認していたのであり、随時報告を受け、障害や不具合が発生した時は対応について協議していたことも認められ、サイトの制作、保守について実質的に指揮、監督していたということができる。

  • エステ会社は保守業務のうちセキュリティなど一部事務を取り上げて実質的な指揮監督がないとか、過失が無いと主張しているにすぎず、エステ会社の主張は認められない。

  • 保守契約は、仕事の完成を目的とするものではない上、その実態を見ても、システム会社に独立した判断や広い裁量はないと認められるから、エステ会社は民法716条による免責はされない。

(損害について)

  • 消費者らが被った精神的損害を慰撫するには、各3万円の慰藉料を請求するのが相当である

得られた教訓と感想

  • システム会社と請負契約をして、システム会社に過失があっても、自社がエンドユーザーから責任を問われる可能性がある。

  • 素人だから免責されるということはない。

東京地判平成19年2月8日、東京高裁平成19年8月28日
#IT・システム系

この記事が気に入ったらサポートをしてみませんか?