サイバー攻撃で情報漏えいが発生した際に負う法的責任とは

IT・情報セキュリティ

 情報セキュリティに対する投資を検討していますが、その際に「万が一情報漏えいが発生した際の最悪シナリオとして自社がどのような損害を被るのか」を考える必要があります。会社が負う可能性がある責任とは何でしょうか。

(1)会社としては、漏えいした情報の「本人」から、損害賠償請求を受ける可能性があります。最近は「被害者の会」を作って訴訟を提起する動きがありますから、注意が必要です。1人1人に対する賠償金額は高くありませんが、訴訟追行のコストが問題となります。
(2)さらに、取締役などの役員等は、株主代表訴訟のリスクがあります。この場合の賠償額は数百億円規模になる可能性があります。
(3)また、ITベンダのように、個人データの取扱いの委託を受けてサービスを提供している会社がその個人データを漏えいしてしまうと、巨額の債務不履行責任を問われる可能性があります。

解説

目次

  1. 漏えいした情報の「本人」からの責任追及
    1. 慰謝料の「相場」とは
    2. 「被害者の会」による集団訴訟
  2. 役員等の個人責任の追及(株主代表訴訟)
    1. 役員等が負う責任
    2. 260億円の代表訴訟の衝撃
  3. 個人データの取扱いの委託を受けている会社からの債務不履行責任の追及
  4. 2014年以降、情報漏えいした際に会社が被るダメージの「桁」が上がったことに留意して投資判断を

漏えいした情報の「本人」からの責任追及

慰謝料の「相場」とは

 個人情報の漏えいが発生した場合、情報を漏えいされてしまった「本人」から、債務不履行または不法行為に基づく損害賠償請求訴訟を提起される可能性があります。

 この場合に賠償する必要がある「損害」とは何かが問題となりますが、実は、情報漏えいにより直接的な損害が生じることは余りありません。せいぜい、クレジットカード番号が漏えいしてしまった場合に、クレジットカード番号を変更するための電話代や切手代といったものが実損害の典型であって、金額的に大きなものにはならないのが通常です。したがって、多くのケースで問題となるのは、慰謝料弁護士費用ということになります。
 裁判になった場合の損害額の相場は、以下のようになっています。

事件 原告の人数 原告1人あたり賠償額(判決)
京都府宇治市から住民基本台帳の情報が漏えいした事件
(最高裁平成14年7月11日決定)
3名 15,000円
(慰謝料10,000円+弁護士費用5,000円)
Yahoo! BBから個人情報が漏えいした事件
(大阪高裁平成19年6月21日判決)
5名 6,000円
(慰謝料5,000円+弁護士費用1,000円)
TBCからエステのコース名等を含む個人情報が漏えいした事件
(東京高裁平成19年8月28日判決)
14名 35,000円
(慰謝料30,000円+弁護士費用5,000円)(ただし、原告のうち1名は27,000円のみ)

 住民基本台帳から情報が漏えいした宇治市の事件で慰謝料10,000円、加入者の氏名・住所等の個人情報が漏えいしソフトバンクBB社が加入者に対して500円の金券を配布したYahoo! BB事件で慰謝料5,000円、女性のエステのコース名という極めてセンシティブな情報が漏えいした事件で慰謝料30,000円ですから、1人あたりの慰謝料の「相場」はそれほど高くないといえます。

「被害者の会」による集団訴訟

 ところが、2014年に発生したベネッセの情報漏えい事件では、「ベネッセ個人情報漏洩事件 被害者の会」が原告を募り、以下のとおり集団的に訴訟を提起しました(なお、この被害者の会以外にも訴訟が提起されていると報道されています)。

第1次訴訟 1789名×55,000円=総額 98,395,000円
第2次訴訟 1751名×55,000円=総額 96,305,000円
第3次訴訟 5000名×55,000円=総額275,000,000円
第4次訴訟 1019名×55,000円=総額 56,045,000円
第5次訴訟 1170名×55,000円=総額 64,350,000円
a' 合計10,729名 総額 590,095,000円

 クラスアクション制度がない日本においては、多数の者を原告とする集団訴訟の提起は難しいと考えられてきましたが、 ベネッセの事件では、1万人が原告となり訴訟を提起したのです。エポックメイキングな出来事だといえます。
 上述した判決の「相場」を考えると、最終的な賠償額は必ずしも大きいとはいえない可能性が高いですが、1万人を相手に訴訟を追行するリーガル・コストは相当のものを覚悟せざるを得ないと思われます。
 Q&A「標的型メール攻撃」にはどのような対策を講じる必要があるかで述べたとおり、「うっかりミス」による情報の紛失と異なり、サイバー攻撃による情報漏えいは、漏えいする情報の件数が多くなる点が特徴です。「被害者の会」による集団訴訟の可能性が出てきたことは、情報セキュリティへの投資を考えるときに考慮すべき点といえるでしょう。

役員等の個人責任の追及(株主代表訴訟)

役員等が負う責任

 ベネッセ事件では約2895万人分の個人情報が漏えいしたとされています。同社は、漏えいした情報の本人に対して500円の金券を配るなどした結果、260億円の特別損失を計上し、赤字転落しています。
 役員等が、会社の情報セキュリティについてどの程度まで対処する義務を負っているのかは別途検討しますが、一般論として、情報セキュリティに不備があれば会社に損害を与えることは明らかですので、情報セキュリティについて善管注意義務を全く負っていないと考えるのは難しいでしょう。
 したがって、万が一情報漏えい事件が発生した場合、役員等が善管注意義務違反を問われて、会社に対して責任を負うとされ、株主代表訴訟の対象となることが考えられます。

260億円の代表訴訟の衝撃

 実際、ベネッセ事件では、株主が、約2895万人分の個人情報を漏えいさせて260億円もの特別損失を計上してしまうような情報管理体制しか構築していなかった点について、取締役が注意義務を怠っていたなどとして、260億円の代表訴訟を提起しました(2015年12月)。
 この裁判の結論は、今後相当の期間をかけて審理が行われなければ出ないものと思われますが、今や、情報管理体制に不備があると、数百億円単位で役員等が個人責任を負う可能性があるということが、実例を以て示されたといえます。今後の日本の情報セキュリティ投資に対して大きなインパクトを与えるものと考えられます。

個人データの取扱いの委託を受けている会社からの債務不履行責任の追及

 さらに、個人データの取扱いの委託を受けている会社(例えばITサービスのベンダ)が、委託を受けて預かっている個人データを漏えいしてしまえば、委託元から債務不履行責任を追及される可能性があります。

 その際の賠償額は、委託元の会社が被った損害ということになりますので、数百億円単位になることも考えられます。例えば、ベネッセ事件と同様の事件が発生した場合、単純に考えて、システム保守の委託先の会社に対し、260億円の損害賠償責任を追及することが考えられるのです。
 委託先と委託元との間の契約において、損害賠償責任をどのように定めるかは、契約をレビューする際に極めて重要なポイントになっているといえるでしょう。

2014年以降、情報漏えいした際に会社が被るダメージの「桁」が上がったことに留意して投資判断を

 情報漏えいが発生した場合に会社が被るダメージは、かつては、裁判になったとしても、京都府宇治市の事件に代表されるように、数人の原告に対し1人あたり1万円程度の賠償をするのみであり、金額的なインパクトは大きくありませんでした。したがって、ブランド・イメージの毀損や顧客離れなど、定量的に分析することが難しいダメージを想定して会社は対策を考えてきました。
 ところが、2014年に発生したベネッセ事件では、原告が1万人にも上る集団訴訟が提起され、ついには260億円の株主代表訴訟が提起されるに至り、金額的に「桁」が上がったのが現状です。
 情報セキュリティに対する投資というものは、そこから利益を生むことがないため、後回しにされがちですが、2014年以降の新たな動きを踏まえてダメージを分析することが必要と考えられます。

無料会員にご登録いただくことで、続きをお読みいただけます。

1分で登録完了

無料会員にご登録いただくことで、続きをお読みいただけます。

1分で登録完了

BUSINESS LAWYERS利用規約に同意の上、
「無料会員登録」を押してください。

会員の方はこちらから

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する