情報流出事件 ベネッセに提訴

2014年12月04日
法律事務所ホームワン

「ベネッセコーポレーションの顧客情報流出事件で、子供と自分の個人情報が流出して精神的苦痛を受けたとして、東京の弁護士が同社と関連会社に計13万円の損害賠償を求めて東京地裁に訴えを起こしていたことが(14年11月)29日までに分かった。」「提訴は27日付。慰謝料は子供分が10万円、自分の分が3万円とした。」「同社は被害に遭った顧客には500円相当の金券を配布」していた。

※参照
2014年11月29日 日本経済新聞 夕刊
情報流出事件でベネッセを提訴 弁護士、慰謝料求め

(評)
ベネッセでは、出入りしていたSEが、大量のデータを貸与PCから私物のスマートフォンにコピーし、持ち出していたとされる。貸与PCはUSBメモリーへのデータ書き込みを禁止する設定だったとされるが、スマホには対応できていなかったことから生じた事故だった。セキュリティ対策は、侵害手法が絶えず進化するため、対策もアップデートが欠かせない。
本件は、不法行為による損害賠償請求か、契約責任かを問うたものだろうが、何れにしても、ベネッセの過失、損害額が論点になる。このうち、難しいのは損害額だ。NPO日本ネットワークセキュリティ協会(JNSA)は2009年調査報告書で、こうした情報漏洩による損害賠償金額の算定モデルを提案している。これによると、損害額は、情報の機微の程度、本人特定が容易かどうか、ベネッセと顧客の信頼関係の程度、事後の対応によって、判断されるという。
具体的な算定式として、次のものが提案されている(賠償を受ける側が作ったため、その点は割り引いて考える必要はある)。

500ポイント(基本単価のようなもの)
×機微情報度(経済的損失と精神的苦痛をマトリクス化、125が最高値)
×本人特定許容度(1~6)
×情報漏洩元組織の社会的責任度(1~2)
×事後対応評価(1~2)
(上記で算出されたポイントの金銭評価)
1000ポイント未満    5000円
1000~2000ポイント未満 1万円
2000~5000ポイント未満 5万円
5000ポイント以上    10万円

因みに「ベネッセで漏洩した情報」は「登録者の氏名、性別、生年月日(出産予定日)、続柄、郵便番号、住所、電話番号ファックス番号、メールアドレス(一部)」
上記基準で言うと、これらの漏洩情報は経済的損失レベル1、精神的苦痛レベル1であり、機微情報度はゼロ
賠償義務は無しということになる。

法律事務所ホームワン 代表弁護士 山田冬樹