ベネッセHD事件から個人情報漏洩と損害賠償責任を考える

◆ベネッセHD事件から個人情報漏洩と損害賠償責任を考える

今年7月、ベネッセホールディングス(以下、ベネッセHD)から2,260万件の個人情報が漏洩していたことが発覚し世間を驚かせました。ベネッセHDのシステム開発グループ会社に派遣されていた担当者が、金銭目的で不法に個人情報データを盗取し、名簿業者に売却していたものです。後日、漏洩した個人情報は約3,500万件にものぼることが明らかになり、個人情報保護の重要性が改めて問われています。

個人情報漏洩によって企業はどのような責任を負うのか、そして損害賠償責任を課せられたときにどのくらいの金額の賠償となるのかを具体的に考えてみましょう。

    【公表された経営責任と補償費】

    • 問題解決後にベネッセHDの福島保副会長と明田英治最高情報責任者が辞任予定。ベネッセHD原田会長兼社長自身についての処分、辞任はない。(漏洩は原田氏就任以前に発生しているため。)
    • 7月17日の記者会見で原田会長兼社長は、情報が流出した会員にお詫びの品や受講費の割引などの補償を行う考えを示し、200億円を用意するとした。
    • 参考:ベネッセの財務状況(H26.3末) 当期純利益106億円(連結で199億円)

    【事件を収拾するためにどのようなコストがかかるか】

    • 緊急対応のための弁護士や外部機関コンサルタント費用
    • 社内の事務管理費用
    • 再発防止のためのシステム手当費用
    • 事件により営業を自粛したことによる損失
    • 謝罪広告費用
    • 詫び状・連絡文書送付費用
    • 顧客への損害賠償(見舞金):仮に漏洩情報1件につき500円の見舞金を支払うと、113億円(500円×2,260万件)
    【個人情報漏洩に関わる損害賠償の法的構造:個人情報保護法】

      第20条(会社の体制整備義務)

        「個人情報取扱事業者は、その取り扱う個人データの漏洩、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」(人的安全管理措置、物理的安全管理措置、技術的安全管理措置)
      第21条(会社の従業員への監督義務)

        「個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。」
      第22条(下請けへの監督責任)

        「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」
    【損害賠償責任の考え方】

  • 漏洩した情報をもとに金銭的な損害が発生または精神的苦痛を受けたとして、損害賠償請求を行う。(民709条:故意、過失による損害)
  • 多くの場合、委託先(システム開発グループ会社)よりも委託元(ベネッセHD)の方が賠償資力が大きい。 よって被害者は委託元の責任を追及することを優先したくなる。
  • 被害者による「故意、過失」の立証は、個人情報保護法22条が委託元に対し、「委託先の必要かつ適切な監督」を義務付けているため、被害者は委託元の監督義務違反を過失の内容として主張することになる。
  • 被害者から「必要かつ適切な監督」義務違反を主張された場合、委託元は事実上こうした義務を果たしていたことを立証しない限り、賠償責任を免れない。

(JRS News 第3号より)