先日、個人訴訟、弁護団の0次・4次の判決が出ました(同じ裁判体)。残念ながら、敗訴です。
過失は認めた上で、損害を否定しました。
現在控訴中ですが、簡単に判決を以下、まとめます。
感想等は、控訴理由書の提出の後に。
過失について(相当因果関係含む)
シンフォーム
・本件漏えいの予見可能性
→肯定(MTP対応スマートフォンをパソコンのUSBボートに接続することにより個人情報を不正に取得される可能性があることを認識し得た)
・スマートフォンの持ち込み禁止義務違反
→否定(従事者に大きな制約、ガイドライン等から注意義務なし)
・USB接続禁止措置義務違反
→否定(従事者に過度の成約、ガイドライン等から注意義務なし)
・書き出し制御措置義務違反
→肯定(書き出し制御措置は実効性があり、かつ、業務従事者に対して必要以上に制約が生じない方法、本件個人情報を含む大量の個人情報を扱っていたところ、本件漏えい当時、MTP対応スマートフォンによる情報漏えいの危険性を予見でき、これを回避するための書き出し制御措置を執ることができたのであるから、ガイドライン等に記載がなかったことや同様の措置を執っている会社が少なかったとしても、前記判断が左右されるものではない。)
・アラートシステム設置義務違反
→否定(必ずしも情報漏えいの全てを防ぐことができる対策ともいえない。)
・監視カメラ設置義務違反
→否定(、本件漏えいの行われた執務室内に現に設置されていたものより高精度な監視カメラを設置していたとしても本件漏えいを回避できたとは認められない)
ベネッセ
・予見可能性
→肯定(シンフォームと同様)
・情報管理部門設置義務違反
→否定(上記以上に適切な情報管理体制を構築するための組織が本件漏えいの前に存在していれば、情報セキュリティに関する情報を一元的に集約し、より組織的な対応ができた可能性は高まったといえるものの、より組織的な対応ができたからといって、かかる組織が本件漏えいまでにどのような具体的対応をすることができたのかは不明といわざるを得ず、本件漏えいを回避できたとは認められない)
・私物スマーフォン持ち込み注意義務違反
→否定(ある法人の過失が他の法人の過失と同視されるものではない。)
・委託先選任にかかる注意義務違反
→否定(注意義務違反があったことを基礎付ける事実を認めるに足りる証拠はない。)時期の問題?
・監督にかかる注意義務違反
→肯定(、本件漏えい当時、業務用パソコンのセキュリティソフトウェアの変更をすべき旨を指摘することなく放置していた(更新すらされていなかった)結果、本件漏えいを回避できなかったのであるから、上記注意義務に違反したといわざるを得ない。)
両社
・使用者責任
→否定(指揮監督関係があったとは言えない)
・共同不法行為
→肯定(客観的に関連することは明らか)
損害論
損害の有無及びその額
→否定(本件個人情報の開示されたくないという私的領域という性格はが低い、実害がない、。お詫びと500円の金券の配布など、「本件に顕れた事情を総合的に考慮すると、少なくとも現時点においては、最も多くの種類の個人情報(氏名、性別、生年月日、郵便番号、住所、電話番号、メールアドレス及び出産予定日)が漏えいした原告らであっても、民法上、慰謝料が発生する程の精神的苦痛があると認めることはできないといわざるを得ない。」)
なお、裁判体は民事第24部の「裁判長裁判官 朝倉佳秀 裁判官 奥田大助 裁判官 佐々木康平」となります。