消費者から受け取った個人情報をどのように管理すべきでしょうか?(第1回)2011/3/24

個人情報の管理について、本コラムにおいて、3回にわたり検討します。今回は、個人情報の流出が企業にとって膨大な損失をもたらす可能性についてです。

(1)個人情報の流出による損害が膨大であること

企業で管理している個人情報が流出した場合の被害は甚大です。情報を流出させた企業の信用を失墜させるだけではなく、流出の対象となった個人に対する損害賠償責任も発生します。 例えば、約660万件の個人情報を流出させたソフトバンクBB社は[1]中島信一郎、青木耕一著「個人情報流出事故対応マニュアル」ぎょうせい(2007年)88頁、大阪地方裁判所において、一人当たり6,000円の損害賠償を支払うよう命じられました[2]大阪地判平成18年5月19日損害賠償請求事件。 また、学生アルバイトが住民基本台帳データをコピーして名簿業者に販売していた事件で、宇治市は、大阪高等裁判所において、一人当たり1万円の損害賠償を支払うよう命じられました[3]大阪高判平成13年12月25日損害賠償請求控訴事件

-実際の損害額はいくら?-
約660万件の個人情報を流出させたソフトバンクBB社が、仮に、大阪地裁で命じられた通り、一人当たり6,000円を支払ったとすると、損害額は、
約396億円となります。しかし、実際には、そこまでの損害は生じておらず、ソフトバンクBBは、被害者に対して、500円相当の金券を配布するにとどまりました[4]中島信一郎、青木耕一著「個人情報流出事故対応マニュアル」ぎょうせい(2007年)88頁。したがって、推定の賠償金額は、約33億円です。

なぜ、ソフトバンクBB社は、裁判で負けたにもかかわらず、数百万人の顧客に対して、合計約396億円を支払わなかったのでしょうか?

日本の民事訴訟の大原則によると、権利者は自ら権利を行使しなければなりません。したがって、ソフトバンクBB社の数百万人の顧客が、一人当たり6,000円の権利を有していても、ソフトバンクBB社が任意に支払わない限り、それぞれの顧客がその権利を訴訟によって行使しなければ、権利は実現できません。

しかし、訴訟によって、権利を実現するためには、労力、時間および費用が必要となります。6,000円のために、弁護士に相談したり、訴訟を提起したりすることは「めんどくさい」というのが通常の感覚でしょう。

そのため、訴訟を提起する人がほとんどおらず、ソフトバンクBB社は、約396億円の支払いを免れることになりました。

なお、アメリカには集団訴訟(Class Action)という制度があり、この制度のもとでは、一定の共通点を持つ一定範囲の人々を代表して、一人または数名の者が全員のために原告として訴えることができます。かかる訴訟が提起されると、自ら除外されるべき旨を申し述べた場合を除いて、一定の共通点を持つ一定範囲の人々は自動的に原告になります。

このような集団訴訟が認められると、一人一人の被害金額は小さくて、一人であれば訴えを提起しないような事件でも、被害者がたくさんいるのであれば、賠償金額は巨額になる可能性があるため、訴え提起が促進されることになります。

仮に、日本に、アメリカのような集団訴訟制度が存在していれば、ソフトバンクBB社は、裁判所から、数百億円の支払を命じられていたかもしれません。