21 ネットトラブル対応法務/21-1ネットトラブル対応法務の概要・本質/21-5ネットトラブル対応法務の紛争法務/コンテンツタイプC:ケーススタディー

00972_企業法務ケーススタディ(No.0292):委託先の専門業者の個人情報漏えいミスは、会社にも責任!?

Posted on by 弁護士法人畑中鐵丸法律事務所

本ケーススタディーは、事例及び解説の概要・骨子に限定して要約・再構成したものです。
詳細をご覧になりたい方は、「会社法務A2Z」誌 2014年7月号(6月25日発売号)に掲載されました連載ケース・スタディー「鐵丸先生の 生兵法務(なまびょうほうむ)は大怪我のもと!」六十四の巻(第64回)「委託先の専門業者の個人情報漏えいミスは、会社にも責任!?」をご覧ください 。

当方:
脇甘(ワキアマ)商事株式会社 社長 脇甘 満寿留(わきあま みする)
同社法務部 部長 執高 鰤男(しったか ぶりお)
同子会社 脇甘エステ社

相手方:
IT専門アルティメイト・スプレマシー・ホールディング社(以下「ア・ス・ホール社」)

委託先の専門業者の個人情報漏えいミスは、会社にも責任!?:
子会社の顧客情報2万件が、委託先のIT専門業者から流出しました。
この件が裁判沙汰になると、慰謝料は、個人情報1件につき5万円としても10億円もの損失になってしまいそうです。
しかし、外注業者で流出した事故を当社側が責任を負うのは、いかがなものか、とも考えます。
そこで、社長は、ウェブサイト上に
「今回の件はア・ス・ホール社の責任です(私どもも被害者です)」
などと載せればこと足りる、と考えました。

本相談を検討する際の考慮すべき法律上の問題点1:個人情報保護法
個人情報の保護に関する法律(以下「個人情報保護法」)は、
「高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ」、
「個人情報を取り扱う事業者の遵守すべき義務等を定めること」で、
「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」
を目的としています。
同法は、個人情報取扱事業者に対して、対象となる
「個人情報」
「個人データ」
「保有個人データ」
ごとに、義務を定めています。
なお、事業分野ごとに主務大臣により作成運用されているガイドラインは、安全管理措置等の具体的内容が定められており、法的な効力を持つものではありませんが、法解釈上の有力な資料として、個人情報の取扱実務にの参考にされるべきものと考えられています。

本相談を検討する際の考慮すべき法律上の問題点2:エステティックTBC事件
個人情報保護法制定の契機となった1つとして
「エステティックTBC事件」があります。
情報を漏えいされたことによって被害を受けたTBC社の顧客らが、TBC社に対し、1人当たり約115万円の、不法行為に基づく損害賠償請求(使用者責任)を求めました。
第一審は、アクセス制限の設定ミスをしたIT業者の過失を認定しました。
その上で、TBC社がウェブサイトの管理を主体的に行い、専門業者に委託したコンテンツの内容の更新修正作業等についても実質的に指揮監督していたと評価して、同社の使用者責任を認めました(控訴審も同旨)。

本相談を検討する際の考慮すべき法律上の問題点3:委託先による個人情報漏えいリスクの予防手段
個人情報取扱事業者は、委託先への必要かつ適切な監督義務を負いますが(個人情報保護法22条)、各ガイドラインによる具体的内容としては、
1.委託先を適切に選定すること
2.委託契約に必要適切な条項を定めること
3.委託先における遵守状況および取扱状況を確認することです。
2については、業務委託契約の
(1)秘密保持義務条項を設け、
(2)責任の分担を明確にし、契約終了後の個人データの返還等に関する事項等を定め、
(3)漏えい等の報告及び調査権限に関する事項等についても定めます。
次に、個人情報の性質(思想等のセンシティブ情報か否か)や数によっては賠償金額が極めて多額になるおそれがあるため、個人情報漏えいを想定した賠償リスクの移転として、保険会社等が扱う個人情報保護保険に加入することも検討すべきです。

本相談を検討する際の考慮すべき法律上の問題点4:委託先による個人情報漏えいリスク顕在化の場合の対応
委託先において個人情報が漏えいしてしまった場合、委託元としては、委託先と連携して、事実関係調査や影響範囲の特定といった検証をし、できるだけ短期間のうちに、
1.謝罪文の掲載など本人への対応、
2.マスメディアおよびび所轄官庁への対応、さらには、
3.漏えい個人情報の拡散防止手段(発信者情報開示請求訴訟や仮処分等)を同時並行的に行うことが必要になります。
当然ながら、業務委託契約において定めた責任の分担に従い、委託先に対して損害賠償を求めることも検討すべきでしょう。

本相談を検討する際の考慮すべき法律上の問題点5:個人情報漏えいの際の賠償対応の考え方
個人情報が漏洩してしまった場合の賠償問題につき確定した法的ルールがない以上、まずはビジネスマターとして対応すべきでしょう。
例えば、新しい施術についての無料体験チケット配るなどして、顧客の怒りを静めつつ、ちゃっかりビジネスチャンスを積極的に創出したりすることも十分検討に値します。

助言のポイント
1.委託先による個人情報の漏えいについては、「専門業者に委託したのだから、責任を負ういわれはない」との理由は通用しないものと心得よう。
2.まずは、委託先を適切な基準で選定し、委託先との間で、安全管理措置に必要な条項を備えた業務委託契約を締結すること。
3.委託先による個人情報漏えいの場合には、委託先との連携の下、速やかに、本人やマスメディア対応・漏えい個人情報拡散防止措置を取ること。
4.賠償を考える場合、ビジネス的なアプローチで顧客の怒りを鎮めるなどの柔軟な方法を検討し、うまく危機を乗り切ろう。

※運営管理者専用※

著者:弁護士 畑中鐵丸 /著者所属:弁護士法人 畑中鐵丸法律事務所

【本記事をご覧になり、著者・所属法人にご興味をお持ちいただいた方へのメッセージ】
当サイトをご訪問いただいた企業関係者の皆様へ
当サイトをご訪問いただいたメディア関係者の皆様へ
当サイトをご訪問いただいた同業の弁護士の先生方へ

企業法務大百科® 開設・運営:弁護士法人 畑中鐵丸法律事務所

弁護士法人畑中鐵丸法律事務所
弁護士法人畑中鐵丸法律事務所が提供する、企業法務の実務現場のニーズにマッチしたリテラシー・ノウハウ・テンプレート等の総合情報サイトです