ホンモノのエンジニアになりたい

ITやビジネス、テクノロジーの話を中心とした雑記ブログです。

ベネッセ情報流出事件の地裁判決が出たニュースについて

先週、2014年に発覚したベネッセ社の情報流出事件の続報が報道されてました。最近読んだ本と関連のあるニュースだったので脳内整理も兼ねてだらだら書いていこうと思います。

 

私が読んだニュースがこれ。

www.nikkei.com

 

で、最近読んだ本のレビューがこれ。

 

ニュースの概要

ベネッセ社の個人情報流出事件で被害のあった180人が計1478万円の損害賠償を求めた訴訟を起こし、東京地裁判決が出た。「慰謝料が発生するほどの精神的苦痛があるとは認められない」として請求は棄却。原告側は控訴の方針。

  • 原告側の主張

「流出情報をもとに営業電話やDMを受けたり詐欺などの犯罪に利用されるリスクがあり重大な不安感がある」

  • ベネッセ側の反論

「勧誘行為があったとしても、日常的にありふれたものだ」

  • 判決

裁判長はベネッセ側に対策や監督を怠った注意義務違反を認定。一方で氏名住所などの情報が思想信条や性的指向などの情報に比べ、他者にみだりに開示されたくない私的領域の情報という性格は低いと判断した。また実害が生じていない事、お詫びの文書と500円相当の金券を配布した事を考慮して、原告側が求めた損害賠償を認めず。

  • 判決を受けた弁護士のコメント

「プライバシー侵害を認めながら損害が生じていないということは矛盾だ」

 

考察

損害賠償の金額

180人が1478万円の損害賠償を求めているので、一人当たりの平均は82,000円ほどですね。流出した内容をあらためてみてみると以下の通り。

 

  • 個人に関する情報

 保護者と子供の氏名・性別・生年月日・続柄・出産予定日

  • 連絡するための情報

 郵便番号・住所・電話番号・FAX・メールアドレス

 

 参考:事故の概要 | お客様本部について | ベネッセお客様本部

 

個人情報流出における賠償(和解)金額の相場はどれくらいかと調べてみたところ、みずほ中央法律事務所というところが一覧で整理して公開していたので引用。

  • 秘匿性=『低』レベル→500円〜1000円

  住所・氏名など

  • 秘匿性=『中』レベル→1万円

  クレジットカード情報、収入・職業に関する情報

  • 秘匿性=『高』レベル→3万円

  スリーサイズ、エステの施術コース

 【個人情報漏洩・流出の民事的責任(賠償金額)の実例と基準や相場】 | 企業法務 | 東京・埼玉の理系弁護士

 

住所や氏名、電話番号などの情報は直接犯罪に結びつきにくいという性格からか500~1,000円コースですね。

クレジットカードや収入、職業はお金に関連して直接的な損害に結びつきやすいため1万円コース。

センシティブ情報(機微情報:思想信条、性的指向、健康情報、DNA情報、その他好き嫌いに関する情報)は3万円コース。

 

今回のベネッセ社の事件では流出した情報の秘匿性が低いので500~1000円コース。過去の賠償例に沿った妥当なところじゃないのかというのが、傍観者としての私の意見です。

とはいえ、仮に自分が被害者になったと考えると500円じゃ安いというのは確かにそう思う気がします。

 

子供と大人で個人情報の価値は同じか

上にリンクを張った元記事では詳細が書いていないだけかもしれませんが、一人当たり8万円を求める原告の主張は弱いと思います。

 

原告側

「流出情報をもとに営業電話やDMを受けたり詐欺などの犯罪に利用されるリスクがあり重大な不安感がある」

ベネッセ側

「勧誘行為があったとしても、日常的にありふれたものだ」

 

過去の事例では、原告が主張するような不安感に対して「500円で勘弁してくれ」という趣旨でお詫び金が発生しているわけです。この事件が過去の事例とどう違うのかという点で争わないと500~1,000円コースに落ち着いてしまうのは明らかです。

 

例えば、子供の情報が中心だからリスクに晒される期間が長いとか、子供個人に焦点をあてて自分で個人情報をコントロールできない子供の情報を流出させたから今までよりも重い事件であるとか、そういった主張をすべきではないのかと。してるのかもしれませんが。

 

個人情報についての考え方として、自分の情報をコントロールする権利というのがあります。個人情報に変更があったらそれを訂正する権利があるというやつです。

この権利のことを考えると、自分の情報をコントロールする権利が認められているならば、自分の情報をコントロールする判断力の無い子供の情報というのは、大人の個人情報よりも重く見られるべき、社会的に守られるべき情報だと思えます。そう考えると情報を主体的に管理・制御することのできない子供の個人情報が漏えいしたんだから、もっとお詫び金出せよという主張もありだなと思います。

 

外部犯でも内部犯でも同じなのか?

この事件は内部犯によるものなので、外部から攻撃されて情報流出した他の事件と比べ、より管理責任が問われても仕方のないことだと思います。

外部から攻撃される穴となる脆弱性を全て完全に塞ぐというのは相当難しいです。既知の脆弱性になるべくタイムリーに対応していくのが精一杯というのが多くの企業の実情です。ここは突き詰めていくと際限なく金がかかるところなので、状況にもよりますが企業が被害者顔をして世間が納得する場合もあるにはある。

しかし今回の事件は金に困った内部の人間による犯行なので、これを止めるために現実的に出来ることは割とあったんじゃないかと思います。そもそもUSBでスマホを接続しても情報を抜けない仕組みを作るとか、統制のとれる体制で運用すべきだったとか、監視を強めるだとか、いろいろと言われていることですが現実的にやれることはあった。けどベネッセはそれを怠ったと。

 

感情的な話

冒頭にリンクを張っていますが、私が最近読んだ「あなたのデータ、お金に換えてもいいですか?」にこんな事が書いてありました。(いま手元に本が無いので記憶から引用)

不幸にも幼い子供が亡くなってしまったとして、生きてれば7歳になるという時には小学生向けのDMが届く。その後も中学校入学、高校入学、成人式、新社会人と色んなタイミングでDMや営業・勧誘の知らせが届くわけだが、親はそれを見るたびに子供を亡くした事実を思い出し涙を流す。

 

これは確かに辛い。そして情報流出が無ければ「(子供が亡くなったので)もう送らないで」と連絡するだけで傷をえぐるDMは送られなくなるはずだったわけです。しかし裏で色んなところで情報が売買されもう止めることは出来ない。まぁ引越して電話番号変えれば止められはしますが。

 

これは個人情報全体の議論からするとレアケースですが、本質的なところを考えると、子供の個人情報は大人の情報と比べて影響範囲が違う、異なる性質を持っているというお話なんだと思います。

 

日本語でググってみた感じだと、子供の個人情報について特別に規定した条約や法律は無さそうです。このあたりも裁判の結果に影響しているのかもしれないですね。

 

おわりに

今回は直近で読んだ本に関連するニュースがたまたま報じられたため、思う所を含め書いてみました。このエントリを書きながら興味深いなと思ったのは、子供の個人情報に関する取り決めが(たぶん)無く、大人と同じ枠組みで考えられるということでした。

とは言ってもまだ控訴するという話なので裁判がどうなるかわかりませんが、そのうちEUあたりで同じような事件が起こって莫大な賠償額の裁判が起こりそうな予感もしています。

”個人情報”はEUGDPRにしろ国内法にしろ曖昧さが残る部分があるので、ちゃんと考えないといけないなぁと思いました。

 

おわり