2007年2月8日木曜日

とある美容関係企業から漏洩した個人情報漏洩事件で争われていた民事賠償裁判の判決がでました。この判決は、情報セキュリティの関係者とって、影響力の大きい司法判断でしょうね。

以下は、産経新聞と朝日新聞のWebからの引用です。

TBCに賠償命令 エステ個人情報流出で東京地裁
 アンケートへの回答など個人情報が流出し精神的苦痛を受けたとして、大手エステサロン「TBCグループ」(東京都新宿区)に14人が1人115万円の損害賠償を求めた裁判の判決が8日、東京地裁であった。阿部潤裁判長は原告全員へ3万5000~2万2000円を支払うよう同社に命じた。原告側代理人によると、個人情報大量流出をめぐる裁判での賠償額としては過去最高。
 阿部裁判長は「エステサロンに個人情報を提供したことは純粋に私生活上の事柄で、この情報全体が法的保護の対象となる」と認めた。
 TBCの個人情報流出は平成14年5月26日に発覚。ホームページ上でアンケートの回答者や無料体験応募者の氏名、住所、年齢、メールアドレスなどのほか、応募者が興味を示した施術コース名、回答内容が収められた電子ファイルが、第三者でも自由にアクセスできる状態で放置された。
 同社はすぐにサーバーを停止したが、情報はその後もファイル共有ソフト「WinMX」などを通じてネット上で拡散。迷惑メールや訪問販売などの2次被害を受ける被害者も出た。
 裁判では、(1)流出した情報がセンシティブ情報(保健医療など特に秘すべき情報)に当たるか(2)TBCに個人情報管理に関する法的義務があったか-などが争点となった。阿部裁判長は「氏名、住所などの基本情報のみの場合と比較して、秘匿される必要性が高いことは否定できない」とした。
 流出当時は個人情報保護法は施行されていなかったが、阿部裁判長はすでにOECD(経済協力開発機構)や経済産業省が個人情報保護に関するガイドラインを策定していたことを挙げ、「当時も個人情報保護のための対策を講じる法的義務があった」と判示、「法的義務はなかった」とのTBC側の主張を退けた。
 

 2次被害の主張がなかった原告1人については、2万2000円の支払いを命じた。
(2007/02/08 21:14)
��BC情報流出訴訟 慰謝料など支払い命令 東京地裁
2007年02月08日20時15分
 エステティックサロン大手「TBC」が管理する約5万人分の個人情報がネット上に流出した問題をめぐり、迷惑メールなどで被害を受けたとして男女14人がサロン運営会社に1人あたり115万円の損害賠償を求めた訴訟の判決が8日、東京地裁であった。阿部潤裁判長は「初歩的過誤で、性的興味の対象にされるなどの精神的苦痛を与えた」と述べ、慰謝料など13人には1人当たり3万5000円、残る1人には2万2000円を支払うよう命じた。
 原告弁護団によると、過去の情報流出事件の賠償額は5000~1万円にとどまっていたという。
 判決によると、TBCから委託された業者が顧客のアンケートのデータを02年に新サーバーに移し替える際、誰でもアクセスできる状態にした。データには、氏名・住所に加え、「関心を持っているコース」やスリーサイズなどもあったため、原告らはネット上で性的な中傷をされたり、迷惑メールを受けたりした。


この判決で注目すべき点はなんでしょうか。
 (1) 一人当たりとしては、過去最高の賠償額
 (2) 美容に関する情報がセンシティブな情報と認定された
 (3) 個人情報保護法施行前でも、個人情報保護の法的責任が認定された
 (4) 2次被害者の賠償額を増額した
など等でしょうか(あくまで、法律の素人の私の見解です。この点、ご理解下さい)。
(1)に関して
個人情報漏洩のリスクを判定する場合の基準のなるかもしれません。各企業が保有する個人情報の内容、質は千差万別ですが、個人情報の漏洩が、損害賠償請求に結びつくという事例が、又一つ増えたことは確かでしょうね。当該企業が控訴する可能性もありますが、企業は判決確定を待たずに対応が必要なのでしょうね。
(2)に関して
身長や体重、スリーサイズなどの情報もセンシティブな情報ということらしいです。血液型、病歴や思想信条、性的嗜好などはセンシティブ情報として扱われてきましたが、美容に関する情報もそれに加わるとうことになりそうです。個人(特に女性)とっては、積極的には公開したくないでしょうからね(逆の人もいるでしょうが)。個人的には、違和感はないのですが、線引きが難しいですね。例えば、薄毛なんていうのは、センシティブでしょうか。
(3)に関して
私は、これが凄いと思いました。OECDや経産省のガイドラインが策定され、公開されていたことが法的責任の根拠と言うことですから。従来、官庁のガイドラインは法的強制力がないというのが共通認識で、あくまで努力目標という扱いでしたから、これ正直驚きました。法律の専門家の見解を是非知りたいです。
(4)に関して
これは、当然だと思います。漏洩した情報は回収できませんから、2次被害、3時被害が想定されます。
当該企業の控訴が予想されますが、本件の最終的司法判断は、情報セキュリティにおいて、大きな影響を及ぼすことは間違いがないと思います。諸賢のご意見をお待ちしています。

2 件のコメント:

  1. SECRET: 0
    PASS: 74be16979710d4c4e7c6647856088456
    この事件は以前から注目していました。
    はっきり言ってこのTBC関連のデータはネットを探せばいつでも手に入ります。
    あまりにも有名な情報漏えい事件となっていますね。
    さて、この判決の注目点としてはやはりまずは過去最高の賠償額でしょうね。個人情報朗詠事件の事例としては京都府宇治市の賠償額である1人当たり1万5000円(精神的損害1万円,弁護士費用5000円)が今までのベースでしたが、今後は漏洩しただけで2万円~、更に2次被害が確定したら3万~というようになるのかもしれませんね。
    後、やはり今回おかしいと思うのは、個人情報保護法が施行されていないにもかかわらず、当時も個人情報保護のための対策を講じる法的義務があったということです。
    であるなら、KDDIやソフトバンクなどの大型漏洩事件も相当するのか?という話になるような・・・
    また美容に関する情報がセンシティブな情報としているということですが、今後は企業側でも対策が必要になるでしょうね。プライバシーマークを取得している企業ではJIS Q 15001に書いてある内容のみをセンシティブな情報として収集の禁止としていましたがセンシティブな情報の幅が広がってきたと解釈していいと思います。ということは、アンケートの収集規定などの手直しが必要かも。
    とにかく、今後はどうなるかわかりませんが企業側としてはあらゆるリスクおよび社会情勢(今回の判決など)を吟味して柔軟に対応する必要があると思われます。

    返信削除
  2. 増田@管理人2007年2月13日 20:44

    SECRET: 0
    PASS: 74be16979710d4c4e7c6647856088456
    SpeedMaster様
    コメントありがとうございます。
    この漏洩事故、現在に至るまで漏洩した情報がネットの中で行き交っているということで、非常にシンボリックな事件だと思いまます。それ故に、私は敢えて’事件’という表現を使います。
    おっしゃるとおり、センシティブな情報の定義が広がる切っ掛けとなりそうな判決です。今後の展開を注視すべきですね。
    今後もコメントをどしどしお願いします。

    返信削除