Topics

2011.03.24

消費者から受け取った個人情報をどのように管理すべきでしょうか?(第1回)

 個人情報の管理について、本コラムにおいて、3回にわたり検討します。今回は、個人情報の流出が企業にとって膨大な損失をもたらす可能性についてです。

(1)個人情報の流出による損害が膨大であること

 企業で管理している個人情報が流出した場合の被害は甚大です。情報を流出させた企業の信用を失墜させるだけではなく、流出の対象となった個人に対する損害賠償責任も発生します。 例えば、約660万件の個人情報を流出させたソフトバンクBB社は[1]、大阪地方裁判所において、一人当たり6,000円の損害賠償を支払うよう命じられました[2]。 また、学生アルバイトが住民基本台帳データをコピーして名簿業者に販売していた事件で、宇治市は、大阪高等裁判所において、一人当たり1万円の損害賠償を支払うよう命じられました[3]。

-実際の損害額はいくら?-

 約660万件の個人情報を流出させたソフトバンクBB社が、仮に、大阪地裁で命じられた通り、一人当たり6,000円を支払ったとすると、損害額は、約396億円となります。しかし、実際には、そこまでの損害は生じておらず、ソフトバンクBBは、被害者に対して、500円相当の金券を配布するにとどまりました[4]。したがって、推定の賠償金額は、約33億円です。
 なぜ、ソフトバンクBB社は、裁判で負けたにもかかわらず、数百万人の顧客に対して、合計約396億円を支払わなかったのでしょうか?

 日本の民事訴訟の大原則によると、権利者は自ら権利を行使しなければなりません。したがって、ソフトバンクBB社の数百万人の顧客が、一人当たり6,000円の権利を有していても、ソフトバンクBB社が任意に支払わない限り、それぞれの顧客がその権利を訴訟によって行使しなければ、権利は実現できません。
 しかし、訴訟によって、権利を実現するためには、労力、時間および費用が必要となります。6,000円のために、弁護士に相談したり、訴訟を提起したりすることは「めんどくさい」というのが通常の感覚でしょう。
 そのため、訴訟を提起する人がほとんどおらず、ソフトバンクBB社は、約396億円の支払いを免れることになりました。

 なお、アメリカには集団訴訟(Class Action)という制度があり、この制度のもとでは、一定の共通点を持つ一定範囲の人々を代表して、一人または数名の者が全員のために原告として訴えることができます。かかる訴訟が提起されると、自ら除外されるべき旨を申し述べた場合を除いて、一定の共通点を持つ一定範囲の人々は自動的に原告になります。

 このような集団訴訟が認められると、一人一人の被害金額は小さくて、一人であれば訴えを提起しないような事件でも、被害者がたくさんいるのであれば、賠償金額は巨額になる可能性があるため、訴え提起が促進されることになります。
 仮に、日本に、アメリカのような集団訴訟制度が存在していれば、ソフトバンクBB社は、裁判所から、数百億円の支払を命じられていたかもしれません。

[1]中島信一郎、青木耕一著「個人情報流出事故対応マニュアル」ぎょうせい(2007年)88頁
[2]大阪地判平成18年5月19日損害賠償請求事件
[3]大阪高判平成13年12月25日損害賠償請求控訴事件
[4]中島信一郎、青木耕一著「個人情報流出事故対応マニュアル」ぎょうせい(2007年)88頁


注意:Q&A形式の場合は、実際の案件ではなく、架空の案件に基づく質問及び回答です。また、本コラムは、一般的な情報の提供にどまり、特定の案件についての法的なアドバイスとは看做されません。本コラムに含まれる情報の使用は、いかなる方と弊所との間において、契約関係を発生させるものではありません。弊所は、本コラムに含まれるいかなる情報を使用したことによって、損害を被った方の損害を賠償する責めを負いません。

ご不明点等ありましたら、お気軽にお問い合わせください。お昼休み、夜間のご相談も承ります。