エステティックサロンTBCを経営するTBCグループが2002年(平成14年)、ウェブサイトに入力された個人情報を流出させた事件につき、男女14人が一人当たり115万円の損害賠償を求めた裁判で、東京地方裁判所は2月8日、原告に対しそれぞれ3万5000円(うち1人のみ2万2000円)の支払いを命ずる判決を出しました。
これまで個人情報流出に関して争われた裁判として有名なものに宇治市住民基本台帳データ事件(一人当たり1万5000円の損害賠償)、ヤフーBB事件(一人当たり6000円の損害賠償)がありますが、今回の判決はこれを上回るものでした。
原告らはTBCがウェブサイト上で実施したアンケートや、懸賞、無料エステ体験等に回答し、氏名、年齢、住所、電話番号、メールアドレス等の個人情報を入力しました。アンケートに回答していますので、興味のあるエステのコースなど他人に知られたくない情報が含まれていたようです。
判決によると、TBCにサーバーをレンタルしていた業者がウェブサイトをTBC専用のサーバーに移設する作業を行った際、個人情報が格納された電子ファイルが、インターネットの一般利用者が特定のURLを入力することで自由にアクセス、閲覧することができる状態に置かれたとのことです。このことが発覚したは、電子掲示板「2ちゃんねる」に「大量流出!TBCのずさんな個人情報管理!」などのタイトルのもと、その特定のURLが書き込まれたのが発端です。TBCの従業員がこれを発見し、業者に連絡。その日のうちにそのファイルがサーバーからは削除されたとのことです。ところが、いったん流出した個人情報は、ファイル交換ソフトなどを介して広くインターネット上に流通してしまいました。これによって原告らは、迷惑メールを送信されたり、複数のダイレクトメールを送付されたりしたとのことです(但し、原告の1人はそのような立証ができなかったと判断されています。)
これについて、東京地裁は、本件における個人情報が「氏名、住所等の基本的な識別情報のみの場合と比較して、一般人の感受性を基準にしても、秘匿されるべき必要性が高いことは否定できない。」とし、さらに第三者によってインターネット上に流出してしまったことで性的興味の対象とされたりして、完全な回収も困難な状況にあり、さらにこの流出に起因すると思われる迷惑メールの送信を受けるなど2次被害があったことを考慮した結果、精神的損害に対する慰謝料30,000円を認定しました(2次被害について立証できなかった原告については1万7000円。3000円の支払いを受けていた)。これに各原告1人につき5000円の弁護士費用を加えた金額の支払いを命じました。
本件は個人情報の性質からみて原告らが受けた精神的苦痛が大きいものとみて過去最高の金額の慰謝料を認定しました。ただ、被害者弁護団はこの金額も低すぎると評価しているようです。
確かに裁判所が認定した事実からすると被害者の受けた苦痛は相当なものであると直感的には思います。ただ、流出当時の報道によれば、3万件分の情報が流出したとのことであり、仮に1人につき3万円の損害賠償をするとするならば、TBCは9億円を支払わなければならず、その責任は軽過ぎるともいいがたく、今後の同種事件の参考になる判決だといえます。
もう一つ本判決に特徴的なのは、流出の直接の過失はTBCがウェブサイトの保守を委託していた業者にあったところ、TBCは「使用者責任」を問われて賠償を命じられたという点です。使用者責任の典型例は従業員の行った不法行為の責任を企業が負うというものです。本件の場合、TBCは業者と「ホームページ製作保守契約」を締結していたことにつき、コンテンツの内容の更新、修正作業について「実質的な指揮、監督していた」として、使用者責任が認められました。ちなみに、本件流出事件は個人情報保護法施行前に起こっていますが、OECDや政府のガイドラインを根拠に業者の注意義務違反=過失が認められると共に、TBCに民法上の使用者責任が認められたのです。
個人情報保護法上は企業の委託先に対する監督責任が規定されていますので、個人情報保護法施行後は、さらに委託者側の責任が認められやすくなると考えられます。
そうなってくると、企業にとっては個人情報の取り扱いを業者に委託するに際しては、より慎重に判断せざるを得なくなり、事故が発生してしまった場合の損害賠償について賠償保険への加入が促進されるように思われます。