06-6539-8587
個人情報漏洩の損害賠償について悩んでいませんか?
個人情報漏洩の損害賠償とは、顧客の個人情報が企業外部に漏洩した場合に企業が顧客に対して負担する損害賠償責任をいいます。また、顧客ではなく、従業員の個人情報を企業外部に漏洩したことについて、従業員とトラブルになり、損害賠償を求められるケースも存在します。
この記事では、個人情報漏洩時に問題となる損害賠償について、判例の状況や、契約書での損害賠償の上限設定の方法についてご説明します。
個人情報漏洩時の損害賠償の相場感がわからないと、以下のようなトラブルが発生します。
- 実際は多額の慰謝料は発生しないケースであるにもかかわらず被害者に過大な慰謝料の支払いを約束してしまう
- 被害を過少評価してしまい、低額の金銭補償しか提示しなかったことにより、被害者と訴訟トラブルに発展する
この記事を最後まで読んでいただくことで、個人情報漏洩についての賠償を求められたときに企業として支払が必要になる慰謝料の相場や、事前のリスク対策のための契約書作成時の注意点についてご理解いただけます。
それでは見ていきましょう。
個人情報の漏洩事故を起こしてしまったときは、その初動対応が非常に重要です。
初動を誤ると、問題がこじれ、賠償額が膨らみ、解決に時間がかかることになります。また、漏洩事故の対応がインターネット上で非難され、炎上するなどの事態に発展することもあります。
個人情報の漏洩事故が発生したときはすぐに弁護士にご相談いただくことをおすすめします。
▶【関連記事】個人情報漏洩に関しては、以下の関連記事もあわせてご覧下さい。
▶個人情報漏洩に関して今スグ弁護士に相談したい方は、以下よりお気軽にお問い合わせ下さい。
【お問い合わせについて】
※個人の方からの問い合わせは受付しておりませんので、ご了承下さい。
今回の記事で書かれている要点(目次)
1,判例を踏まえた損害賠償・慰謝料の金額は?
顧客の個人情報を漏洩してしまった場合の慰謝料の金額については、判例上、以下の3点を主に考慮して金額が決められています。
(1)漏洩した情報の項目
氏名や住所、電話番号、メールアドレスなど一般的な連絡先情報が漏洩したにとどまる場合は賠償額が低額にとどまる理由になります。
一方、病歴や信用情報など人に通常伝えることのないセンシティブな情報まで含まれる場合は、賠償額が高額化する理由になります。
(2)二次被害の有無
漏洩した個人情報が第三者に悪用されることを「二次被害」といいます。
漏洩した個人情報が第三者に悪用されて、迷惑メールやダイレクトメールが届くなど、情報漏洩による実際の被害が出ている場合は、賠償額が高額化する理由になります。
(3)情報漏洩後の会社の対応
会社から事故後、被害者にすみやかに連絡し、謝罪している場合や、お詫びの品を送付している場合は、賠償額が低額にとどまる理由になります。
(4)損害賠償・慰謝料の金額の相場
漏洩した情報の項目がセンシティブなものを含まず一般的な連絡先情報にとどまり、二次被害もない場合は、慰謝料額は1人あたりおおむね「3000円 ~ 5000円」が相場です。
一方、漏洩した項目がセンシティブな情報を含み、かつ、二次被害が出ているケースでは、1人あたり「35,000円」の損害賠償を認めた判例も存在します。
2,実際の判例の損害賠償・慰謝料額をご紹介
以下で判例の事案の詳細をご説明します。
(1)ベネッセコーポレーション事件(東京地方裁判所平成30年12月27日判決)
ベネッセコーポレーションの関連会社からの顧客情報漏洩事件で被害に遭った顧客ら462人が個人情報漏洩に関する損害賠償を求めた事件です。
漏洩した情報項目
- 氏名
- 性別
- 生年月日
- 郵便番号、住所
- 電話番号、ファクシミリ番号
- メールアドレス
- 出産予定日
- 未成年者については保護者の氏名
裁判所の判断
裁判所は、1人あたりの損害賠償額を3300円(慰謝料3000円、弁護士費用相当損害金300円)としました。
判断の理由
裁判所は金額算定の理由として以下の点を指摘しています。
●氏名や住所などの情報を他人に取得されることにより、これらの顧客への連絡が可能になり、私生活の平穏等に一定の影響が及ぶおそれがあり、精神的損害が生じる。
ただし、これらの情報は、人が社会生活を営む上で一定の範囲の他者に開示することが予定されている個人を識別するための情報又は個人に連絡をするために必要な情報であるため、思想・信条、病歴、信用情報等とは異なり、個人の内面等に関わるような秘匿されるべき必要性が高い情報とはいえない。
●出産予定日については、予定日にすぎないので、秘匿されるべき必要性の程度が相対的に低い。
(2)Yahoo!BB顧客情報漏洩事件(大阪高等裁判所平成19年6月21日判決)
Yahoo!BBの会員がサービス提供会社による個人情報漏洩事故について損害賠償を求めた事件です。
漏洩した情報項目
- 氏名
- 住所
- 電話番号
- メールアドレス、ヤフーメールアドレス
- ヤフーID
- サービス申込日
裁判所の判断
裁判所は、1人あたりの損害賠償額を5500円としました。
裁判所は金額算定の理由として以下の点を指摘しています。
●住所・氏名・電話番号・メールアドレス等の情報は、個人の識別等を行うための基礎的な情報であって、その限りにおいては、秘匿されるべき必要性が高いものではない。
●しかし、このような個人情報についても、本人が、自己が欲しない他者にはみだりにこれを開示されたくないと考えることは自然なことであり、そのことへの期待は保護されるべきものである。
(3)TBC顧客アンケート漏洩事件(東京地方裁判所平成19年2月8日判決)
エステサロンなどを運営する会社がウェブ上で行った顧客アンケートが漏洩した事件です。
漏洩した情報項目
- 氏名
- 職業
- 年齢
- 性別
- 住所
- 電話番号
- メールアドレス
- 個人情報を登録フォームに入力して送信した日時
- 関心を有していたコース名
- アンケートに対する回答の内容等
裁判所の判断
裁判所は、1人あたりの損害賠償額を35000円(ただし、迷惑メールが送られるなどの二次被害がない被害者については22000円)としました。
裁判所は金額算定の理由として以下の点を指摘しています。
●エステティックサービスに関心があることは、純粋に私生活上の領域に属する事柄であって、一般に知られていない事柄でもある。
本件情報は、氏名、住所等の基本的な識別情報のみの場合と比較して、秘匿されるべき必要性が高い。
●情報流出事故の発生以後に、情報漏洩の被害があった顧客らに迷惑メールが送信され、ダイレクトメールが送付され、いたずら電話がかかるなどしている。
このように、判例上、漏洩した情報項目が通常は人に伝えないようなセンシティブな情報に関連するものなのか、それとも氏名や住所等、社会生活において人に伝えることのある情報なのかで、損害賠償の額が大きく変わる傾向にあります。
3,従業員から個人情報漏洩について損害賠償を求められる場合
従業員の個人情報についてもその取り扱いには注意する必要があります。
特に健康情報については、労働安全衛生法第104条3項により、健康情報等取扱規程の作成が義務付けられています。
従業員の個人情報の取扱いについての裁判例として、以下のものがあります。
(1)東京地方裁判所平成26年3月7日判決
事案の概要
内定者に関する個人情報を本人に無断で同僚となる社内の従業員に伝えたことについて、損害賠償を請求された事例です。
裁判所の判断
裁判所は、この事例について、会社は損害賠償責任を負わないと判断しました。
裁判所は判断の理由として以下のものをあげています。
●同僚らに告げた内定者に関する情報が40代の埼玉県上尾市に居住する女性で、前職はエステティシャンであって、作業に影響はないと思うが過去に怪我を負ったとの申告があった等の範囲に限られており、同僚に対する情報提供として相応の範囲にとどまるものと評価できること
●告げた範囲も同じ就業場所で勤務する4名の従業員に告げたにとどまること
なお、従業員の個人情報についてもその利用目的を本人に通知または公表し、その利用目的の範囲内で個人情報を利用しなければなりません。
通常はプライバシーポリシーで従業員の個人情報についても利用目的などを定めることになります。
プライバシーポリシーの作成については以下をご参照ください。
なお、個人情報をあらかじめ定めた利用目的を超えて利用することは、個人情報保護法第18条1項により禁止されていますので注意してください。
従業員の個人情報の取り扱いの注意点については、以下の記事でも詳しく解説していますのでご参照ください。
4,派遣社員から個人情報漏洩について損害賠償を求められる場合
派遣会社でも個人情報のトラブル事例が増えています。
特にトラブルが多いのが、派遣就業開始前の派遣先訪問や派遣就業開始時に、派遣社員の同意なく、法令で認められる範囲を超えて、派遣社員の個人情報を派遣先に提供してしまい、トラブルになるケースです。
筆者が担当した事案でも、派遣社員の個人情報を派遣社員に無断で派遣先に提供してしまい、100万円の損害賠償を派遣社員から請求されたケースがありました(筆者が派遣会社の代理人として対応し、支払いなしで解決)。
この点に関連する裁判例としては平成28年8月1日東京地裁判決があります。
(1)平成28年8月1日東京地裁判決
この裁判例では、派遣会社が派遣就業開始前の派遣先訪問において個人情報を記載した書面を職務経歴書を派遣先に見せた(ただし、交付せず)ことについて損害賠償請求をされた事例について、労働者派遣法違反にはなりうるものの不法行為にはあたらないとして損害賠償を認めませんでした。
ただし、労働者派遣法は第24条の3において、労働者の個人情報の取扱いに関する規定が設けられているため、個人情報の取り扱いが不適切であれば、個人情報保護法に違反するだけでなく、派遣法違反になることに注意が必要です。
派遣社員の個人情報を漏洩した場合は、対応を誤ると、都道府県労働局からの処分に発展する危険があります。
派遣社員の個人情報の取扱いについて十分注意していただき、また、万が一漏洩事故発生時は早急に弁護士にご相談いただくことをおすすめします。
5,個人情報漏洩を理由とする損害賠償請求権の時効について
個人情報漏洩を理由とする損害賠償請求権は、大きく分けて、不法行為に基づく損害賠償請求の場合と、契約違反(債務不履行責任)に基づく損害賠償請求の場合があり、両者で時効期間が異なります。
(1)不法行為に基づく損害賠償請求の場合
見込み客のアンケートの漏洩など、漏洩した企業と契約関係がない個人の個人情報については、不法行為に基づく損害賠償請求が問題となります。
不法行為に基づく損害賠償請求については、「被害者が情報漏洩被害を知ったときから3年間」または「情報漏洩被害があったときから20年間」のいずれか早い時期に時効になります(民法第724条)。
(2)不法行為責任と債務不履行責任の両方の請求が可能な場合
これに対し、顧客情報の漏洩など、漏洩した企業との間で契約関係にある個人(顧客)の情報の漏洩については、不法行為に基づく損害賠償請求と債務不履行責任に基づく損害賠償請求の両方が可能です。
そして、債務不履行に基づく損害賠償請求については、「被害者が情報漏洩被害を知ったときから5年間」または「情報漏洩被害があったときから10年間」のいずれか早い時期に時効になります(民法第166条)。
債務不履行に基づく損害賠償責任の時効期間については、以下でも詳しく解説していますのでご参照ください。
6,契約書で上限規定を設けるなどのリスク対策が必要
他社から個人情報の取り扱いの委託を受ける場合、個人情報漏洩事故を起こしてしまったときの損害賠償額が多額になることも考えられます。
発注者の顧客の個人情報などを漏洩してしまうと、発注先において、新聞に謝罪広告を掲載したり、被害者全員へのお詫びの品を送付するなどの対応が必要になることがあり、受託先は発注者からこれらに要した費用を請求されることになるためです。
そのため、個人情報の取り扱いの委託を受けるときは、発注者との間の契約書で情報漏洩事故の際の損害賠償に上限規定を設けるなどのリスク対策を検討する必要があります。
上限設定の方法は契約の内容により様々ですが、例えば以下のように考えることができます。
1.継続課金されるクラウド型サービスや継続的なデータ入力代行サービスを提供する場合
例えば、6ヶ月分の利用料金や業務委託料を、情報漏洩事故発生時の損害賠償の上限額とするような契約条項を設定する。
2.ECサイトの制作業務を受注するなど、原則として1回完結型の取引の場合
サイト制作代金など代金額を情報漏洩事故発生時の賠償額の上限とする契約条項を設定する。
損害賠償額に上限を設ける契約条項例としては、以下を参考にしてください。
▶参考例:損害賠償額に上限を設ける契約条項例
第●条(損害賠償責任)
1. 甲および乙は、本契約の履行に関し、相手方の責に帰すべき事由により直接の結果として現実に被った通常の損害に限り、相手方に対し、本条第2項所定の限度内で損害賠償を請求することができる。
2. 本契約の履行に関して甲ないし乙が相手方に対して負担する損害賠償の累計総額は、個人情報の漏洩、債務不履行、法律上の瑕疵担保責任、不当利得、不法行為、その他請求原因の如何にかかわらず、本契約に定める委託料と同額を限度とする。
(1)上限規定の有効性について
前述のように、契約書で損害賠償について上限規定を設けた場合も、情報漏洩について重大な過失がある場合は、裁判所で上限規定の適用が認められないケースもあることには注意を要します。
以下の裁判例が参考になります。
参考:東京地方裁判所平成26年1月23日判決
ECサイトのセキュリティに問題があり、サイトからクレジットカード情報が漏えいした事案について、ECサイトの運営者が顧客への謝罪に要した費用などの損害の賠償を求めてECサイトの制作業者を提訴した事件です。
この事件で裁判所は、ECサイトのセキュリティ上の欠陥を認め、サイトの制作会社に2262万円の支払いを命じました。
この制作会社はECサイトの制作を請け負った際に、リスクヘッジとして損害賠償についてはサイト制作代金の額を上限とする内容の契約条項を設けていましたが、裁判所は,重大な過失がある場合はこの上限規定は適用すべきではないと判断し、全損害の賠償を命じています。
7,咲くやこの花法律事務所の弁護士なら「こんなサポートができます。」
咲くやこの花法律事務所は、個人情報漏洩について企業からのご相談をお受けしています。
- 個人情報漏洩時の被害者対応や被害者への謝罪、連絡などについてのご相談
- 個人情報漏洩時の個人情報等保護委員会への報告等のご相談
- 個人情報の取扱いについてのクレームに関するご相談
- 個人情報漏洩事故についての賠償についてのご相談
個人情報漏洩事故を起こしてしまった場合、被害者に正しい対応をしたうえで、その必要性に応じて個人情報保護委員会等への報告を行うことが、トラブルを迅速に解決するためのポイントです。
特に漏洩時の初期対応を誤ると、問題がこじれ、解決が困難になりますので、漏洩後すぐのご相談をおすすめします。
咲くやこの花法律事務所の労務トラブルに精通した弁護士へのご相談費用
●初回相談料:30分5000円+税(顧問契約の場合は無料)
8,「咲くやこの花法律事務所」の弁護士に問い合わせる方法
個人情報漏洩トラブルでお困りの企業様は、下記から気軽にお問い合わせください。咲くやこの花法律事務所の「IT問題に強い弁護士」がサポートさせていただきます。
今すぐのお問い合わせは以下の「電話番号(受付時間 9:00〜23:00)」にお電話いただくか、メールフォームによるお問い合わせも受付していますので、お気軽にお問い合わせ下さい。
【お問い合わせについて】
※個人の方からの問い合わせは受付しておりませんので、ご了承下さい。
9,個人情報漏洩に関するお役立ち情報も配信中(メルマガ&YouTube)
個人情報漏洩のお役立ち情報について、「咲くや企業法務.NET通信」のメルマガ配信や「咲くや企業法務.TV」のYouTubeチャンネルの方でも配信しております。
(1)無料メルマガ登録について
上記のバナーをクリックすると、メルマガ登録ページをご覧いただけます。
(2)YouTubeチャンネル登録について
上記のバナーをクリックすると、YouTubeチャンネルをご覧いただけます。
記事作成弁護士:西川暢春
記事更新日:2022年3月16日
