問題
業務委託に伴って委託先に個人情報を預託しているのですが、万一委託先から情報が流出してしまった場合、委託元である当社も責任を負いますか?
回答
- (1)現状
- 個人情報保護法後も、依然として事業者からの個人情報漏えい事案が発生しています。特に最近では、地方自治体の2次委託先から住民基本台帳の個人情報が約5万5000件漏えいした事案、大手印刷会社の3次委託先からクレジットカード情報を含む個人情報が約860万件漏えいした事案など、大規模・重大な個人情報漏えいを引き起こした事案も少なくありません。また、委託先、再委託先に対して委託元が十分に監督を行っていなかったことに起因する事案も多発しています。このような状況を踏まえ、経済産業省も、平成20年2月29日付にて、委託先の監督強化を目的として「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(以下「経産省ガイドライン」といいます。)を改正しているところです。
- (2)責任の有無
- 個人情報漏えい事故が発生した場合、漏えいした委託先は、情報主体に対して損害賠償責任(民法709条)を負います。
では、委託元も責任を負うのでしょうか。この点、使用者責任(民法715条)に基づき、委託元も損害賠償責任を負うとする裁判例があります(東京地裁平成19年2月8日判決・判時1964- 113。東京高裁平成19年8月28日判決もこれを支持)。すなわち、使用者責任が認められるためには、自己の事業のために、他人を実質的に指揮・監督していたという関係の存在が必要となりますが、裁判例は、同責任の根拠である報償責任の原理(利益の帰するところに損失も帰する)から、実質的な指揮・監督関係を緩やかに解した上で、当該委託先には、委託業務について独立した判断や広い裁量はなかったと認定し、実質的な指揮・監督関係の存在を認定しているのです。裁判例が、このように広く実質的な指揮・監督関係を認めていることからすれば、委託先が個人情報を漏えいした場合、委託元も損害賠償責任を負う可能性は高いものといえるでしょう。
- (3)責任の程度(損害賠償額)
- では、その場合の損害額はどの程度なのでしょうか。
損害には、[1]個人情報の漏えい・流出により、情報主体が被った精神的損害(慰謝料)と [2]二次被害により情報主体が被った財産的損害(損害拡大防止措置義務違反がある場合)が考えられます。そして、[2]については、情報主体が現に被った損害額のうち相当因果関係の範囲内のものを賠償することになります。では、[1]の慰謝料については、どうでしょうか。この点、多くの裁判例では、5000円から1万円程度の認定がなされる場合が多いようです。たとえば、宇治市個人情報流出事件(大阪高裁平成13年12月 25日判決・最高裁HP)では、1万円(その他、弁護士費用5000円)と認定されています。しかしながら、慰謝料額は当然、漏えいにかかる情報の性質や、漏えいの態様等によって異なります。たとえば、前掲東京地裁平成19年2月8日判決・東京高裁平成19年8月28日判決は、委託元であるエステティックサロンが委託先にウェブサイトの管理を委託していたところ、同サイトに送信されたアンケート情報(氏名、住所、電話番号、「関心の持っているコース」等)5万人分がネット上に流出し、情報主体が迷惑メールやいたずら電話等の被害を受けたという事案について、エステ特有の身体的な情報は秘匿すべき必要が高く、強い法的保護に値する旨述べ、慰謝料額を3万円と認定しています。また、ウイニーがインストールされていた警察官のパソコンがウィルスに感染し、同パソコン内の少年の道路交通法違反事件に関する詳細な内容が、他のウイニー利用者によってアクセス可能な状態に置かれてしまったという事案について、札幌地裁平成17年4月28日判決(最高裁HP)は、少年の犯罪事実は秘密にされるべきものであり、それが不特定多数人間に流出してしまった点から、慰謝料額を40万円と認定しました(ただし、控訴審である札幌高裁平成17年 11月11日判決・最高裁HPは、責任の発生そのものを否定しました。)。
対応策
上記のとおり、委託先から情報が流出した場合、派遣元も重大な責任を問われる可能性が高いといえます。委託元としては、監督義務を果たし(民法715条1項但書)、同責任の発生を防止すべく、経産省ガイドライン記載の監督手段をとることが必要です。