1. HOME
  2. コラム
  3. 情報管理・不正競争
  4. 顧客の個人情報が漏洩してしまった場合、どのように対処すれば良いか(情報管理・情報漏洩)

新宿の顧問弁護士なら弁護士法人岡本(岡本政明法律事務所)

当事務所では、上場企業(東証プライム)からベンチャー企業まで広範囲、かつ、様々な業種の顧問業務をメインとしつつ、様々な事件に対応しております。

アーカイブ一覧はこちら

顧客の個人情報が漏洩してしまった場合、どのように対処すれば良いか(情報管理・情報漏洩)

カテゴリ : 
情報管理・不正競争

一.     今日においては、個人情報が漏洩したというニュースを頻繁に聞くようになってしまいました(このコラムを書いている数日前にもYahoo! JAPAN IDで最大38万件の個人情報が漏洩したというニュースが話題になったばかりです)。
 便利な世の中になった反面、個人情報を利用するサービスが多くなったためやむを得ないかもしれません。
 貴社において、顧客から預かっている個人情報をWEBなどのシステムで管理しているにもかかわらず、個人情報が漏洩してしまった場合、どうなるのでしょうか。
 当事務所においては、顧客の個人情報をWEBなどのシステムから漏洩させてしまった会社の弁護を実際に行っていますので、そのような事案も踏まえ、ご説明差し上げます。

二.     まず、貴社は、顧客に対して対応をしなければならないことになります。個人情報が漏洩してしまった場合、把握している情報や原因を確認した上で、顧客の問い合わせに対応するため、(内部又は外部の)コールセンターを設置し、顧客に対し、お詫び状や報告書面を送付するなど、迅速な対応が必要になります。そればかりか、顧客に対して、慰謝料を支払わなければならない可能性もあります。
 慰謝料の金額がいくらか、ということですが、例えば、氏名,郵便番号,住所,電話番号、メールアドレスなどが流出したベネッセホールディングスの事件(クレジットカード情報は含まれていませんでした。東京高裁令和元年6月27日判決)では、実害が発生したとは認められないこと、直ちに被害の拡大防止措置が講じられていること、事後的に慰謝の措置が取られていること等を根拠に、1個人当たり2000円が慰謝料として認められています。
 他方で、氏名、職業、年齢、性別、住所、電話番号及びメールアドレス等の情報のみならず、登録日時、顧客が関心を有していたエステのコース名、エステに関する回答の内容等が漏洩したエステティックのTBCの事件では、秘匿性の高い情報であったこともあり、1個人当たり3万円の慰謝料が認められています。
 個人情報が漏洩したような事案では、お詫びのために500円〜1000円程度のQUOカードなどが配布されることもありますが、訴訟になるよりも金額が抑えられることが多いですし、訴訟で慰謝料の金額を決定する際にも有利に考慮されることが多いと思いますので、加入している保険が使えないかどうかも検討しつつ、迅速に対応することが重要です。
 顧客に対する対応を誤ると、大きなレピュテーションリスク(評判を落とすリスクのことです)となり、「炎上」につながりかねませんので、注意が必要です。

三.     次に、貴社としては、個人情報が漏洩してしまったシステムを構築、保守又は運営していたシステム会社に対して、損害賠償請求することが考えられます。
当事務所では、不正アクセスにより個人情報が漏洩してしまったシステムを構築、保守又は運営していたシステム会社に対して行った損害賠償請求訴訟において、8000万円の損害賠償を勝ち取った事案もあります。
 当該事案は、当初は他の法律事務所が受任しており、劣勢の状況でしたが、膨大な証拠を提出し、法律論や個人情報が漏洩してしまった原因などをシステムの技術も含め、丁寧に説明したことで、裁判所の心証を当方の有利に変え、有利な結論を導きました。

四.     個人情報が漏洩してしまったWEBシステムを構築、保守又は運営していたシステム会社に対して損害賠償請求する事案の場合、難しいのは、個人情報が漏洩してしまった原因を追究しないといけないことにあります。
 個人情報が漏洩してしまう原因には様々なものがありますが、ハッカーなどによる不正アクセスの場合、どのように不正アクセスをしたのかを検証するだけでも大変ですし、何故不正アクセスを許してしまったのかということまで立証するとなると、困難を極めます。システムの専門家によって意見が異なる場合も少なくありません。
 そのため、個人情報が漏洩してしまった場合には、迅速に原因を追究することが重要であり、そのためには、システムや情報セキュリティに関する専門家のほか、弁護士にも早めに相談する必要があります。

五.     個人情報が漏洩した原因を確定させることが非常に難しいため、裁判例においては、しっかり原因が確定できていなくてもシステム会社に対する損害賠償請求が認められている事案もあります。
 例えば、東京地裁判決(平成25年3月19日)では、「サイトに何らかの不正なアクセス等が行われることによって被告の顧客のクレジットカード情報が漏洩したことが推認される」というような曖昧な内容でしたが、「クレジットカードの情報という機密性の高い情報を扱うサイトであるから、それに応じた高度のセキュリティ対策が必要というべき」等と認定した上で、システム会社側が当該サイトに応じたセキュリティ対策を取っていたことを立証できなかったことをもって、システム会社の責任を認めています。
 また、東京地裁判決(平成26年1月23日)では、調停委員会(プログラムの専門家が調停委員として加わっていた)において「直接証拠がない点を重視し」、「SQLインジェクションが本件流出の原因であるとの立証は尽くされていない」旨の意見書が作成されていたにもかかわらず、裁判所が、独自に判断を行い、「本件流出の原因は,SQLインジェクションである」と判断しました。
 要するに、個人情報漏洩の原因が、プログラム上、真に突き止められなかったとしても、法科学的に一定の立証ができていれば、責任追及は可能であるということです。
 

六.     WEBなどのシステムから個人情報が漏洩してしまった場合、原因を突き止めて責任を追及することは容易いことではありませんが、早めに弁護士に相談し、しっかりと証拠を残しながら対応をしていくことで、被害者である顧客に対する対応も十分行うことができ、加害者であるシステム会社に対する損害賠償請求も成功することが可能です。
 前述しております通り、当事務所では、このような事案に対応して有利な結論を導いている実績がありますので、貴社が個人情報を漏洩させてしまった場合や個人情報を法的にしっかり管理したいという場合を含め、早めに当事務所にご相談くださいますよう宜しくお願い致します。

お問い合わせ

お電話でのお問い合わせ:03-3341-1591

メールでのお問い合わせ:ご質問・お問い合わせの方はこちら

  • 閲覧 (30099)