連載コラム『知らないと損をする「お金と法律」の話』では、アディーレ法律事務所の法律専門家が、具体的な相談事例をもとに、「お金」が絡む法的問題について解説します。
【相談内容】
先日、友人が登録している大型フィットネスクラブで、個人情報を20万件流出させてしまったという事件が起きました。フィットネスクラブの方からは、謝罪の手紙と共に1,000円が送られてきたとのことでした。ただ、私は思ったのですが、個人情報流出って、流出させられた側としては、すごく怖い思いをしているのに、こんな金額で収められるのは納得がいきません。この場合、更なる損害賠償請求ができるものでしょうか?
【プロからの回答です】
法的には、更なる損害賠償は可能です。ただ、実際に支払ってもらうためには、裁判が必要となる可能性が高いです。裁判を考える際には、これに費やす労力や費用対効果もしっかり検討したうえで、なるべく多数の集団訴訟にするなど、請求方法をしっかり吟味することが大事ですね。
はじめに
個人情報の価値が再認識され、個人情報保護の必要性が強く叫ばれる現代ですが、個人情報流出のニュースは絶え間なく世間を騒がせています。最近も、「日本年金機構が基礎年金番号や氏名等を含む個人情報約101万4653件を流出させた事件」や、「某芸能人がりそな銀行に来店した事実を従業員の子供がツイッターに書き込みをした事件」などが波紋を呼びました。一般に、個人情報流出と聞くと、会社等の企業を思い浮かべる方が多いかもしれませんが、企業に限らず、教育機関や省庁、民間・公的団体など、様々な組織による個人情報流出事件が後を絶たない状況となっています。
個人情報を流出させてしまったら
企業や組織などが個人情報を流出した場合、「個人情報を適正に管理していなかった」として、刑事上の責任、民事上の賠償責任を負う可能性があります。
(1)刑事上の責任
- 【企業の場合】
企業が情報流出をしてしまった場合には、「個人情報保護法」によって罰則が科される可能性があります。企業も個人情報を扱う以上、同法が定める「個人情報取扱事業者」にあたります。同法に違反した場合にはまず、主務大臣から勧告・命令が出されますが、これにも違反した場合には、「6カ月以下の懲役または30万円以下の罰金」が科せられることになっています。
- 【行政機関の場合】
行政機関の職員が個人情報を流出させた場合、「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」によって、一般企業よりもより重い刑罰が科せられることになります。行政機関の職員等が個人情報の不正な取扱いをした場合の罰則は次のとおりとなっています。
(1)行政機関の職員(元職員・受託業務従事者等を含む)が、個人の秘密に属する事項が記録された電算処理ファイルを正当な理由なく提供した場合=2年以下の懲役又は100万円以下の罰金
(2)行政機関の職員(元職員・受託業務従事者等を含む)が、業務に関して知り得た保有個人情報を不正な利益を図る目的で提供又は盗用した場合=1年以下の懲役又は50万円以下の罰金
(3)行政機関の職員が、個人の秘密に属する事項が記録された文書、図画又は電磁的記録職権を濫用して専らその職務の用以外の用に供する目的で収集した場合=1年以下の懲役又は50万円以下の罰金
(2)民事上の賠償責任
- 【企業の場合】
ある企業の従業員が情報流出させてしまったケースを考えてみましょう。
この従業員が情報流出につき、故意・過失があった場合(通常はあると判断されます)、情報流出によって被害を受けた対象者に対して損害賠償責任を負います。これは民法の不法行為(民法709条)に基づく賠償責任です。
会社もその従業員の管理監督責任を怠ったという側面がありますので、責任を負うのは当然です。法律上、「従業員が他人に損害を与えた場合、会社が責任を負いなさい」という使用者責任(民法715条)という規定があります。したがって、従業員が行った行為について、企業自体もこの「使用者責任」に基づき、対象者に対して賠償責任を負うことになります。
- 【行政機関の場合】
行政機関や公務員等による情報流出の場合、国家賠償法という法律により賠償責任を判断することになります。公務員が故意・過失によって、個人情報を流出してしまった場合には、「国又は公共団体の公権力の行使に当る公務員が、その職務を行うについて、故意又は過失によって違法に他人に損害を加えたときは、国又は公共団体が、これを賠償する責に任ずる(国家賠償法1条1項)。」という規定により、国や公共団体が賠償責任を負うことになります。ただし、その情報流出において、公務員側に故意や重大な過失があった場合には、国や公共団体は公務員に対し、「あなたも一部負担しなさい」と請求することができることになっています。
(3)その他
これ以外にも、企業が被るダメージはあります。「情報流出させた企業だ」ということになれば、企業の信頼は失墜し、商談が破談になったり、取引先を失ったりというリスクを負います。大規模な情報流出となれば、ニュース等で報道されることにもなり、事件やデータの調査・検証にも相応の時間・人手がとられます。さらに、問い合わせに対する回答・謝罪対応などにもせわしく追われることとなり、通常の業務が回らなくなることは容易に予想されます。企業自体としても、人件費や業務停滞による逸失利益など、多大な損害を被ることになります。
個人情報流出したときの損害賠償はどうなるの?
個人情報が流出した場合の損害賠償の内容は、通常は「慰謝料=精神的苦痛を与えられたことに対する補償」とされます。要は、「自分のプライバシーが暴露された。悪用されないか不安だ」という精神的な負担を、金銭に換算して賠償してもらうということになります。
過去の裁判例を検討する限り、氏名・住所等の個人情報が流出した事件については、約5,000円程度~1万円程度の慰謝料額にとどまることが多いです。ただ、情報の内容によっては高額化する可能性があります。例えば、エステの見込み客情報が流出した事件や、中学生の成績を含む情報が流出した事件などでは、極めて公開を欲しない情報であるため1件あたり3万円の慰謝料が認定されています。
ただ、情報流出事件については、個人情報の不正利用による二次被害、三次被害のおそれもあることを考えると、裁判所の認める金額は極めて低いと感じる方が多いのではないでしょうか。この点については、個人情報流出事件の対象者が、通常は数十万~数百万人と極めて多数に上る(たとえば5,000円×100万人=50億円の賠償となります)ことにも理由がありそうです。当然、慰謝料の支払いには、企業の支払能力を視野に入れざるを得ず、この点に配慮した判決ともいえるように思います。いずれにせよ、この判例の流れを受ける限り、今後も「高額の慰謝料」が認定される可能性は低いものと思われます。
なお、情報流出によって迷惑メールや電話がかかってくるようになった、詐欺師に騙された、という場合、その分も損害賠償請求ができるか…が問題となります。裁判になった場合には、それらの被害が今回の情報流出による被害といえるのか=情報流出と新たな損害との間に因果関係があるか、といった点で、相当に立証が難しいと思われます。したがって、こういった追加損害の賠償請求は極めて困難といえるでしょう。
今回のケースについて
今回のケースは、1,000円が自主的に支払われたということですね。しかし、これまでの判例の相場からいえば、慰謝料は5,000円程度までは上がる可能性が高いです。フィットネスクラブの会員情報ということで、どこまでの情報が開示されたかにもよりますが、身長・体重、その他健康状態に関する情報等、ナイーブな情報まで流出したということであれば、10,000円を超える賠償もありえるかもしれません。いずれにせよ、追加で損害賠償請求をすることは可能と思われます。
ただ、実際に裁判を起こすとなると相応の費用や労力、時間がかかりますので、相当大人数で集団訴訟をする方が現実的でありますし、それらの負担と費用対効果を検討し、結果が見合うということであれば、裁判を起こして追加の請求をするべきといえるでしょう。
まとめ(メッセージ)
現代においては、個人情報は、それ自体価値のあるものとなっています。逆に、個人情報を手に入れたいと考えている人間もそれだけ増えているということです。
企業としては、外部からの不正アクセスによる個人情報流出であっても、突然の億単位の賠償責任に応じねばならない事態が生じうることになりますので、しっかりとコンプライアンスを確立しておくことがありそうです。
また、私たち個人も、いつ個人情報流出の被害者・加害者になるか分からない時代です。常に個人情報に対する慎重な配慮を心がけたいものですね。
<著者プロフィール>
篠田 恵里香(しのだ えりか)
東京弁護士会所属。東京を拠点に活動。債務整理をはじめ、男女トラブル、交通事故問題などを得意分野として多く扱う。また、離婚等に関する豊富な知識を持つことを証明する夫婦カウンセラー(JADP認定)の資格も保有している。外資系ホテル勤務を経て、新司法試験に合格した経験から、独自に考案した勉強法をまとめた『ふつうのOLだった私が2年で弁護士になれた夢がかなう勉強法』(あさ出版)が発売中。『Kis-My-Ft2 presentsOLくらぶ』(テレビ朝日)や『ロンドンブーツ1号2号田村淳のNewsCLUB』(文化放送)ほか、多数のメディア番組に出演中。 ブログ「弁護士篠田恵里香の弁護道」