ベネッセ個人情報流出事件
こんにちは。
進研ゼミと聞くと、サンプラザ中野さんのCM曲が頭をよぎってしまう松下です(何十年たっても名曲ですねえ)。
さて今日は、ベネッセ個人情報流出事件(最判平成29年10月23日、判例時報2351号7頁)についてお話したいと思います。
1 どんな事件だったか
ベネッセホールディング(持株会社)の100%子会社であるベネッセコーポレーションは、進研ゼミやこどもちゃれんじといったサービスを全国に提供しています。ところが2014年に、顧客から「ベネッセにしか登録してないのに、別の教育関連会社からダイレクトメールが届くんですわ。個人情報が漏れてるんとちゃうか」という問い合わせがあったので、ベネッセが調査した結果、データベースから不正に個人情報が社外に持ち出されている事実が判明しました。子会社の株式会社シンフォーム(2015年に解散)のシステムエンジニアだった従業員が、「スマイルゼミ」でおなじみのジャストシステムを含む3社に対して顧客情報を約250万円で売却していたのです。
警視庁は、この従業員を不正競争防止法(産業スパイによる知的財産の流出防止)により逮捕し、その後の刑事裁判により懲役2年6カ月、罰金300万円が言い渡されました。
不正競争防止法2条➀ この法律において「不正競争」とは、次に掲げるものをいう。4号 窃取、詐欺、強迫その他の不正の手段により営業秘密を取得する行為(以下「営業秘密不正取得行為」という。)又は営業秘密不正取得行為により取得した営業秘密を使用し、若しくは開示する行為
流失した顧客情報は、およそ3504万件(4858万人分)と推定されています。ベネッセは情報流出した会員に対して、お詫びとして500円分の金券を交付しました。しかし、これに不満を持つ会員も多く、ある会員Aは、個人情報を漏らされたことに対して不法行為に基づく損害賠償請求として10万円を求めてベネッセを訴えました。
2 会員Aの言い分
会員Aの親子:「個人情報の流出によるプライバシーの侵害や。ベネッセは、顧客から集めた個人情報を適切に管理しなくちゃいけないのに、それを怠ったやないか。従業員の監督不十分ちゅう過失があるから、損害賠償せなあかんのとちゃうか」。
3 ベネッセ側の言い分
ベネッセ:「個人情報とプライバシーは別の概念である。しかも個人情報をちゃんと管理しなかったことについてはシンフォームの責任であって、私どもに民法709条に書いてあるような過失はない」
ベネッセ:「氏名や住所は登記や官報公告などでも開示公表されているやん。しかも、お詫びのしるしとして500円相当の金券を送付したじゃないか。だから慰謝料が発生しないはずや」
4 判決
最高裁の裁判官:「ベネッセ側はグループ会社の派遣社員の男性について監督が不十分だった。また情報漏洩があった時点でプライバシー侵害がある。だからこの点を審議してもらうために高等裁判所に差し戻す。」
大阪高等裁判所(令和元年11月20日)は次のように判断しました。
高等裁判所の裁判官:「ベネッセは慰謝料として被害者に対して1000円を支払え。」
まとめ
情報化、デジタル化社会では、個人情報に対するセキュリティ対策を強化しなければ、訴訟というリスクを負うことになります。被害者に一律1000円を支払うのと、個人情報に対する管理費用を比べて考えてみることが大事でしょうね。
では、また。