2017年11月30日掲載 法制度 InfoCom T&S World Trend Report

ベネッセ情報漏洩事故最高裁判決にみる 情報セキュリティへの示唆



2017年10月23日、株式会社ベネッセコーポレーション(以下、ベネッセという)の情報漏洩事故(以下、本件事故ともいう)に関して、最高裁判決が出された。

といっても、本件事故自体が、最早3年も前の出来事であるから、「何だったっけ」という人も多いと思う。

当時を振り返り、何が問題となったのかを見た上で、最高裁判決が何を言っているのか、どのような示唆が得られるのか、簡単に見ていこうと思う。

ベネッセ情報漏洩事故の概要[1]

2014年6月27日、ベネッセが、顧客からの問い合わせにより、個人情報が社外に漏洩している可能性を認識し、社内調査を開始したところ、管理するデータベースから個人情報が社外に不正に持ち出されていた事実が存在する可能性が高いことが判明した。そこで、7月15日に警察に相談し、刑事告訴も行ったところ、ベネッセのシステム開発・運用を行っているグループ会社・株式会社シンフォームの業務委託先元社員が、17日に不正競争防止法違反の被疑事実で逮捕された。

約3,504万件分[2]の顧客情報が名簿業者3社に売却され、名簿業者を転々と流通したという。

その情報の項目は右表のとおりであり、クレジットカード情報は含まれていない。

裁判の流れ

本件事故における被疑者に対しては、東京地裁で懲役3年6カ月、罰金300万円の判決が出されていたが、2017年3月21日、東京高裁は一審判決を破棄し、懲役2年6カ月、罰金300万円に刑を減軽した[3]。

本稿で取り上げたいのは、この刑事事件の方ではない。民事事件の方である。本件事故に関しては、民事訴訟がいくつか提起されている[4]。本稿で取り上げるのもそのうちの一つで、原告男性が、10万円の損害賠償を求めて提起した民事訴訟である。

第一審・神戸地裁姫路支部では、情報漏洩事故に関し、ベネッセの過失を裏付ける十分な立証がないとして原告男性が敗訴していた[5]。第二審・大阪高裁では、本件事故によって、原告男性が、「迷惑行為を受けているとか、財産的な損害を被ったなど、不快感や不安を超える損害を被ったことについての主張、立証がされていない」として、やはり原告男性が敗訴していた[6]。

これに対して、最高裁は、次のように述べて、大阪高裁の判決を破棄し、差し戻した[7]。少し長くなるが、重要部分を引用しよう。なお、「本件個人情報」とは、【表1】の情報のこと、「本件漏えい」とは、本件事故のこと、「上告人」とは原告男性のこと、「原審」とは直近の審理を行った大阪高裁のことである。

ベネッセが漏洩した情報の項目

【表1】漏洩した情報の項目
(出典:ベネッセ・ウェブページ 事故の概要 より
https://www.benesse.co.jp/customer/bcinfo/01.html)

「本件個人情報は、上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照)、上記事実関係によれば、本件漏えいによって、上告人は、そのプライバシーを侵害されたといえる。しかるに、原審は、上記のプライバシーの侵害による上告人の精神的損害の有無及びその程度等について十分に審理することなく、不快感等を超える損害の発生についての主張、立証がされていないということのみから直ちに上告人の請求を棄却すべきものとしたものである。そうすると、原審の判断には、不法行為における損害に関する法令の解釈適用を誤った結果、上記の点について審理を尽くさなかった違法があるといわざるを得ない。」

引用されている早稲田大学江沢民事件判決について

一言で言えば、大阪高裁が、「不快感や不安という程度では損害はない」と言ったのに対し、最高裁は、「それはそうだが、だからといって、請求棄却するのは審理が足りていない」というわけである。何故、審理が足りていないと判断されたのか。それを解くカギが、(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照)という、暗号のような一文である。

これは何かというと、過去の裁判例を引用した際の出所表示である。最高裁が平成14年に1,656番目に受け付けた事件で、平成15年9月12日に第二小法廷で出された、「民集」と通称される雑誌(正式名称:最高裁判所民事判例集)の57巻8号973頁に載っている判決を引用しているわけである。この判決は、早稲田大学が江沢民国家主席を招聘した講演会にまつわる判決であるため、通称として、早稲田大学江沢民講演会事件(判決)と呼ばれることが多いので、以下、こう呼ぶ。

さて、早稲田大学江沢民講演会事件では何が問題になったのだろうか。どのような事案だったかというと、1998年11月、中国の江沢民国家主席(当時)の講演会が、早稲田大学主催で行われたが、反対派から妨害される可能性も高かった。そこで、大学当局は、警備の必要から、講演会に出席予定の学生ら約1,400人分の名簿(学籍番号、氏名、住所、電話番号の情報が記載されていた)を、学生らの同意を得ずに、警視庁に提出した。その結果、この学生らが早稲田大学に対して損害賠償請求をした、というものである。

第一審・第二審とも学生らの請求を認めなかったのだが、最高裁は請求を認めた。第一審・第二審は、簡単に言えば、「学籍番号、氏名、住所、電話番号など、大した情報ではないし、警備の必要という合理的な理由もあったではないか」ということである。

これに対し、最高裁は、「秘匿されるべき必要性が必ずしも高いものではない」が、だからといって、プライバシーとして法的保護の対象にならないわけではないとした。さらに、警備の必要があったと言っても、「警察に開示することをあらかじめ明示した上で本件講演会参加希望者に本件名簿へ記入させるなどして開示について承諾を求めることは容易であった」と評価した。確かに、「当講演会は混乱が予想されます。参加者の情報を警察に提出することがありますのでご了承ください」とでも募集の際に告知すれば良かっただけなのだから、最高裁の言うことももっともだろう。その上で、そのような承諾をとろうともせず、警察に名簿を渡したことは、「プライバシーに係る情報の適切な管理についての合理的な期待を裏切る(下線は筆者)」としたのである。

ベネッセ情報漏洩事故最高裁判決のキーワード
合理的な期待

つまり、引用されている、早稲田大学江沢民事件判決におけるキーワードは、「合理的な期待」である。合理的な期待を裏切ったから、損害賠償の対象となる、と、早稲田大学江沢民事件判決は述べていたわけである。

長かったが、以上を踏まえて、改めて、ベネッセ情報漏洩事故最高裁判決を見てみよう。繰り返しになるが、大阪高裁が、「不快感や不安という程度では損害はない」と言ったのに対し、最高裁は、早稲田大学江沢民事件判決を引用した上で、「請求棄却するには審理が足りていない」というわけである。

となれば、何故審理が足りないとされたのかは、もう見えてくる。「プライバシーに係る情報の適切な管理についての合理的な期待」が裏切られたのかどうか、それを審理しなければならないところ、それが足りていない、というわけである。今後、差し戻された大阪高裁で、原告男性と被告ベネッセとの間で、本件漏洩事故において「合理的な期待」が裏切られたのかどうか、主張が戦わされることになる。

おわりに
ESG投資との関連で

以上の理解を前提として、どのような示唆が得られるだろうか。最高裁のメッセージは、筆者なりに敷衍すれば、「消費者の不快感や不安はコントロールできないかもしれないが、合理的な期待はコントロールできるのだから、消費者の合理的な期待に応じた情報管理をせよ」ということになろうかと思う。そして、それは、世の中のトレンドにも合致しているように思うのである。

なぜなら、最近、年金積立金管理運用独立行政法人(以下、GPIF)が始めたことから、いわゆるESG投資[8]に関心が集まっている[9]が、「ESG」のうち、「社会 (S)」の「健康と安全、人権」の一項目として、「プライバシー&データセキュリティ」があげられているからである[10]。

GPIF以外の機関投資家も、投資の一ファクターとして、「プライバシー&データセキュリティ」を考慮するようになってくれば、上場企業の企業経営においても、これまで以上に、無関心ではいられるはずがない。機関投資家が投資しない会社の株価は下落するからである。とはいえ、「プライバシー&データセキュリティ」が、機関投資家による投資の一ファクターになります、といっても、それだけでは、何をどうすればいいのか不明確だろう。最高裁が示した、「消費者の合理的な期待に応じた情報管理をせよ」というのは、(もちろん、未だ漠然としているけれども)その一応の指針になるのではないかと思う。

ESGファクターの例

【表2】ESGファクターの例
(出典:経済産業省・持続的成長に向けた長期投資(ESG・無形資産投資)研究会(第1回)における資料7 年金積立金管理運用独立行政法人 (GPIF) の資料5頁
http://www.meti.go.jp/committee/kenkyukai/sansei/jizokuteki_esg/pdf/001_07_00.pdf)

[1] https://www.benesse.co.jp/customer/bcinfo/01.htmlより

[2] ただし、実際に被害を受けた顧客の数としては、約2,895万と推計されている(同上)。

[3] http://www.asahi.com/articles/ASK3P44P0K3PUTIL00V.html

[4] 本稿で検討の対象としたもの以外にも、例えば、以下参照
http://vsbenesse.exblog.jp/237257242/
http://www.benesse-saiban.com/pc/index.html 

[5] https://www.bengo4.com/saiban/n_6470/ 

[6] 最高裁判決の判決文より。
http://www.courts.go.jp/app/files/hanrei_jp/154/087154_hanrei.pdf 

[7] 判決全文は、最高裁のウェブページ参照。
http://www.courts.go.jp/app/hanrei_jp/detail2?id=87154 

[8] GPIFのウェブページでは、以下のように説明がなされている。
「ESGは環境 (Environment)、社会 (Social)、ガバナンス (Governance) の英語の頭文字を合わせた言葉です。投資するために企業の価値を測る材料として、これまではキャッシュフローや利益率などの定量的な財務情報が主に使われてきました。それに加え、非財務情報であるESG要素を考慮する投資を「ESG投資」といいます。ESGに関する要素はさまざまですが、例えば「E」は地球温暖化対策、「S」は女性従業員の活躍、「G」は取締役の構成などが挙げられます。」
http://www.gpif.go.jp/operation/esg.html

[9] 日本経済新聞夕刊2017年10月4日付「ESG投資、GPIFで脚光 『良い会社』ならリスク軽減」
https://style.nikkei.com/article/DGXZZO21818520T01C17A0000000?channel=DF280120166591

[10] 経済産業省・持続的成長に向けた長期投資(ESG・無形資産投資)研究会(第1回)における資料7 年金積立金管理運用独立行政法人 (GPIF) の資料5頁
http://www.meti.go.jp/committee/kenkyukai/sansei/jizokuteki_esg/pdf/001_07_00.pdf

※この記事は会員サービス「InfoCom T&S」より一部無料で公開しているものです。

桑原 俊のレポート一覧

会員限定レポートの閲覧や、InfoComニューズレターの最新のレポート等を受け取れます。

ICR|株式会社情報通信総合研究所 情報通信総合研究所は情報通信のシンクタンクです。
ページの先頭へ戻る
FOLLOW US
FacebookTwitterRSS