運営・保守を委託されているサイトから個人情報が漏えい・・その責任は?
IT企業等のサービス事業者は個人情報の安全管理措置義務を負っている
個人情報の保護に関する法律(個人情報保護法)は、個人情報を保護すべきことを定めた法律ですが、この法律自体に個人の損害賠償や情報漏えいの差止めなどに関する規定が置かれているわけではありません。もっとも、事業者は個人情報を安全かつ適切に管理するために必要な措置を講ずる義務がありますし(個人情報保護法20条)、個人情報を取り扱う事業者による個人情報の漏えいは、利用者と事業者との間の個人情報利用契約の債務不履行に基づく損害賠償請求(民法415条)もしくは不法行為(民法709条)による損害賠償請求の対象となる可能性があります。
事業者に求められる安全管理措置義務の程度とは?
では、サイトの運営・保守を委託され個人情報を管理している事業者に求められる安全管理措置とは、一体どのようなものでしょうか。
この点については、例えば経済産業省が「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成26年12月)が定められており、個人情報保護法20条が定める安全管理措置の具体的内容としては「事業の性質及び個人データの取扱い状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする」とされ、「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」などの具体例が示されていますので、詳細は上記ガイドラインを実際にご確認いただければと思います。
個人情報漏えい事故の際に事業者が負担する損害賠償金額はどれくらい?
不幸にも個人情報が漏えいしてしまった場合に事業者側が当該被害者個人に対して負担する損害賠償金額は果たしていくらくらいになるのでしょうか。
参考までにこれまでの判例の集積をみますと、住所、氏名、電話番号などのごく基本的な個人情報の漏えいで被害者1人あたりだいたい5000円~1万円くらいの賠償金額となることが比較的多いようです。もっとも、エステティックサロンの個人情報の漏えいでは各顧客のカウンセリングの内容が漏えいしたこともあり、損害賠償金額は被害者1人あたり約3万円と計算されました(東京高等裁判所平成19年8月28日判決)。
このように個人情報漏えい事故の際に事業者が負担する損害賠償金額を一律に予測することは困難ですが、流出した情報の内容(個人の機微に触れる情報が漏えいした場合の方が結果は重大)、事前の漏えい防止措置の内容、漏えい直後の事業者による被害者や社会への対応などを踏まえて裁判所が損害賠償金額を算定していることはほぼ間違いがなさそうです。
以上
