著作権重要判例要旨[トップに戻る]







外部からの不正アクセスによる個人情報の漏えいにつき電気通信事業者の不法行為責任を認めた事例
「『Yahoo!BB』個人情報漏えい事件」?平成180519日大阪地方裁判所(平成16()5597 

【コメント】本件は、インターネット接続等の総合電気通信サービスである「Yahoo!BB」の会員であった原告らが、同サービスの顧客情報として保有管理されていた原告らの氏名・住所等の個人情報が外部に漏えいしたことについて、共同して同サービスを提供している被告らが個人情報の適切な管理を怠った過失等により、自己の情報をコントロールする権利が侵害されたとして、被告らに対し、共同不法行為に基づく損害賠償として慰謝料等の支払を求めた事案です。 

1 本件不正取得の経緯等
 …を総合すれば,本件不正取得の経緯等について,以下の事実が認められる。
 (略)
2 被告BBテクノロジーの過失について
(1) 注意義務の内容
ア 個人情報の管理に関する一般的な注意義務
 本件サービスが電気通信事業法上の電気通信事業に当たることは争いがなく,被告BBテクノロジーは同法にいう電気通信事業者に当たると認められるところ,本件不正取得が行われた当時,電気通信事業における個人情報保護に関するガイドライン(平成10122日郵政省告示570号)54項は,「電気通信事業者が個人情報を管理するに当たっては,当該情報への不正なアクセス又は当該情報の紛失,破壊,改ざん,漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずるものとする。」と定めていた。
 また,被告BBテクノロジーは,(前記)のとおり,原告らを含む本件サービスの顧客の個人情報をデータベースとして保有,管理しており,個人情報保護法にいう個人情報取扱事業者に当たると解されるところ,同法20条は,「個人情報取扱事業者は,その取り扱う個人データの漏えい,滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と定めている(なお,同法は,平成15530日に成立したが,本件不正取得が行われた当時は,まだ施行されていなかった。)。
 これらの点に鑑みると,被告BBテクノロジーは,本件不正取得が行われた当時,顧客の個人情報を保有,管理する電気通信事業者として,当該情報への不正なアクセスや当該情報の漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていたと認められる。
イ リモートアクセスに関する注意義務
 上記のとおり,本件においては,本件リモートメンテナンスサーバーを通じて,本件顧客データベースサーバーにリモートアクセスが可能な状態となっていた。
 リモートアクセスについては,JIS規格や,コンピュータ不正アクセス対策基準(平成8年通商産業省告示第362号)で,その危険性が指摘され,不正アクセスへの対策について各種の規定がされているところであり(規定の内容については被告らも争わない。),これらの規定等の存在が示すように,あるサーバーに対してリモートアクセスを可能にすることは,それ自体,当該サーバーに対する外部からの不正アクセスの危険を高めるものであるといえる。
 被告BBテクノロジーは,個人情報の管理に関してアのとおりの注意義務を負うのであるから,本件顧客データベースサーバーについて,そもそも必要性がない場合又は必要性のない範囲にリモートアクセスを認めることは許されず,また,リモートアクセスを可能にするに当たっては,不正アクセスを防止するための相当な措置を講ずべき注意義務を負っていたというべきである。
(2) リモートアクセスに関する注意義務違反の存否
ア リモートアクセスの必要性及びその範囲の相当性
() 被告BBテクノロジーが,平成1412月に本件リモートメンテナンスサーバーを設置して,本件顧客データベースサーバーへのリモートアクセスを可能にしたのは,前記のとおり,休日や夜間に社外からサーバーのメンテナンスを行う必要からというものであった。
 …によれば,同年12月当時の本件サービスの利用状況については,同月末の接続回線数が約169万件であり,前月に比べ約23万件の増加をしていたと認められ,同月当時,新規加入の顧客情報の入力や,登録された情報の変更等の作業は相当な量に上るものと推認でき,顧客データベースに不具合が生じた場合に至急復旧する必要性もあったと認められる。また,本件顧客データベースサーバーについて,前記のとおり,同年11月に実際にトラブルが生じていることにも照らせば,同年12月当時,被告BBテクノロジーにおいて,社外からメンテナンスを行うため,リモートアクセスを認める必要性がなかったとはいえない。
() また,本件アカウントに,本件リモートメンテナンスサーバーや,本件顧客データベースサーバーを含むその他のサーバーについての管理者権限を与えていたことについても,前記のとおり,社外からのメンテナンス作業を行うためにこれを付与していたと認められるから,メンテナンス作業に必要な範囲を超えた権限を与えていたとはいえない。
イ 不正アクセス防止のための相当な措置
() アクセス管理の体制
 前記のとおり,本件リモートメンテナンスサーバーについては,そのIPアドレスを特定して,登録されたユーザー名・パスワードを入力すれば,リモートデスクトップでログオンすることが可能であって,被告BBテクノロジーは,本件リモートメンテナンスサーバーに対するアクセス管理として,ユーザー名とパスワードによる認証を行っていたが,特定のコンピュータ以外からはリモートアクセスができないようにする措置はとられていなかったものと認められる。
 なお,…によれば,本件不正取得当時において,リモートアクセスを認める場合に,ユーザー名とパスワードによる認証以外に,コールバック機能等を使用することによって,特定のコンピュータからのアクセスしか認めないというようなアクセス規制をする方法は存在したものと認められる。
() ユーザー名とパスワードの管理
 本件においては,前記のとおり,本件リモートメンテナンスサーバーに登録されているユーザー名とパスワードについて,被告BBテクノロジーは,@本件アカウントを共有アカウントとしてAに与えていたこと,A平成152月末にAが退職した際に,本件アカウントを含めAが知り得たユーザー名を削除したりそのパスワードを変更したりしなかったこと,B本件リモートメンテナンスサーバーの設置から平成161月までの約1年間,登録されているユーザー名について,パスワードの定期的な変更を行わなかったことが認められる。
 また,前記のとおり,C平成151230日と平成1615日に,本件リモートメンテナンスサーバーに登録されていたユーザー名のパスワードが変更されていたり,本件アカウントが削除されていたりしたことに気付いていたものの,パスワードが変更されていたユーザー名について元のパスワードに戻して,その使用を継続させていた。
() 以上の被告BBテクノロジーにおけるリモートアクセスの管理体制は,ユーザー名とパスワードによる認証以外に外部からのアクセスを規制する措置がとられていない上,肝心のユーザー名及びパスワードの管理が極めて不十分であったといわざるを得ず,同被告は,多数の顧客に関する個人情報を保管する電気通信事業者として,不正アクセスを防止するための前記注意義務に違反したものと認められる
 なお,同被告は,本件リモートメンテナンスサーバーのIPアドレスを第三者が特定することは困難であると主張する。しかし,同被告は,退職した元従業員等,もともと本件リモートメンテナンスサーバーのIPアドレスを知り得る立場にある者による不正アクセスについても,これを防止するための相当な措置を講ずべきであると解されるから,IPアドレスの特定の困難性は上記判断に影響を与えるものではない。
(3) 予見可能性及び結果回避可能性について
ア 予見可能性
 前記のとおり,Aは,被告BBテクノロジーにおいて,本件顧客データベースサーバーを含むサーバー管理業務を行っており,又,リモートアクセスを業務上認められていた。また,…によれば,被告BBテクノロジーは,Aが被告BBテクノロジーでの業務を始めるに当たって,被告BBテクノロジーの営業上ないし技術上の情報についての秘密保持等に関する誓約書を書かせていたことが認められる。
 被告BBテクノロジーがAに行わせていた業務の内容,与えていた権限の内容に,前記誓約書を書かせていたことを総合すれば,Aが業務を終える際に同被告とトラブルがあったか否かにかかわらず,同被告は,Aが業務を終えた後に,業務中に知り得たパスワード等の情報を用いたり,他人にそれらの情報を漏らしたりすることによる不正アクセスについては,予見可能であったというべきであり,本件不正取得についても予見可能であったと認められる
イ 結果回避可能性
 本件において,後記のとおり原告らの個人情報が含まれていたと認められるのは1月のデータであるが,Bによる1月のデータの不正取得については,それまでに,被告BBテクノロジーが,本件アカウントを含むユーザー名・パスワードの適切な管理等,不正アクセスを防止するための相当な措置を採っていれば防ぎ得たといえるから,結果回避可能性も認められる
 この点,被告BBテクノロジーは,Aはその他のパスワード等によって被告BBテクノロジーのサーバーに侵入することも可能であった等として,本件アカウントについて,いくら厳重に管理していても,Bによる1月のデータの取得は防止できなかったと主張する。
 確かに,前記本件不正取得の経緯のとおり,Bは,平成151227日,本件リモートメンテナンスサーバーから,本件アカウントを削除しており,その後は,本件リモートメンテナンスサーバーにリモートデスクトップでログオンする際には,自らがパスワードを変更したユーザー名を用いるなどして,本件アカウントを使用していない。
 しかし,本件リモートメンテナンスサーバーに多数のユーザー名・パスワードを登録している状況において,不正アクセスを防止するための相当な措置をとるためには,本件アカウントを含め,それら全体について適切な管理を行うべきことは当然である。1月のデータの不正取得については,前記の本件不正取得の経緯に照らし,例えば,本件アカウントのみならず,サーバー管理業務を行っていたAが知り得たと思われるユーザー名について,Aの退職時にこれを削除したり,パスワードを変更することによって防げた可能性が高いし,パスワードについての定期的な変更を行ったり,又は,平成161月に第三者によってパスワードが変更されていることに気付いた際など,全面的なパスワード変更を少なくとも1回行うことによっても防ぎ得たといえるから,この点についての被告BBテクノロジーの主張は採用できない。
(4) 以上によれば,被告BBテクノロジーは,本件リモートメンテナンスサーバーを設置して本件顧客データベースサーバー等のサーバーへのリモートアクセスを行うことを可能にするに当たり,外部からの不正アクセスを防止するための相当な措置を講ずべき注意義務を怠った過失があり,同過失により本件不正取得を防ぐことができず,原告らの個人情報が第三者により不正に取得されるに至ったというべきである。したがって,同被告は,原告らに対し,本件不正取得により原告らの被った損害を賠償すべき不法行為責任がある
3 被告ヤフーの過失及び共同不法行為責任について
(1) 自己の保管する個人情報に対する管理義務違反
 …によれば,被告ヤフーと被告BBテクノロジーは,その管理している情報の範囲も異なり(被告ヤフーのみが利用料の徴収業務を行い,クレジットカード番号等の決済情報を保有していた。),顧客情報をそれぞれ別個に管理していたものと認められ,本件全証拠によっても,被告ヤフーが管理していた顧客情報が流出したとは認められない。
 したがって,被告ヤフーが自らの管理していた顧客情報に対する管理義務に違反し,同被告の管理する原告らの個人情報が漏えいしたとの事実は認められず,この点に関する原告らの主張は理由がない。
(2) 被告BBテクノロジーに対する監督義務違反等
ア 監督義務違反等による過失の有無について
 …によれば,被告らは,原告らを含む顧客と,それぞれ別個の契約を締結し,それぞれが顧客から個人情報の提供を受け,別個のサービスを提供していたものと認められ,また,前記のとおり,その管理している情報の範囲も異なり,別個のサーバーに保管管理していたものである。
 確かに,…によれば,原告らの主張するように,被告らは,共に株式会社ソフトバンクの子会社であり,本件サービスの契約手続などにおいて外形上一体のものとして本件サービスを提供していたものであり,また,利用料の徴収のため,被告BBテクノロジーは,回線使用料のデータ等を被告ヤフーに送っていたこと,申込者のデータの入力の作業の際に,申込時に提供された個人情報が被告ヤフーを通じて被告BBテクノロジーに送られていたことが認められる。
 しかし,これらの事情を総合したとしても,本件において,被告ヤフーが,被告BBテクノロジーが別個に保管していた顧客情報について,適切に管理すべき義務を負っていたとは認められない。また,同様に,被告ヤフーが,被告BBテクノロジーが顧客情報を適切に管理するよう監督すべき義務を負っていたともいえない
 以上のとおりであって,被告BBテクノロジーの管理する情報が不正取得されたことについて,被告ヤフーの過失は認められない。
イ したがって,その余の点について判断するまでもまく,上記過失を前提として,被告ヤフーが被告BBテクノロジーと共同不法行為責任を負うとの主張には理由がない。
4 原告らの権利侵害について
(1) 不正取得された原告らの個人情報
 前記のとおり,Cが取得した顧客データは,1月のデータの一部を本件DVD及び本件CDに記録したものと認められ,その中に,原告らの個人情報が含まれていたことは争いがないから,1月のデータに原告らの個人情報が含まれていたことが認められる。
 A及びBは,前記のとおり,1月のデータの他にも,6月のデータや通話記録等を被告BBテクノロジーのサーバーから不正に取得しているが,本件全証拠によっても,これらに,原告らの個人情報が含まれていたとは認められない。
(2) 1月のデータの流通範囲(二次流出の有無)
 1月のデータは,前記のとおり,Bが取得し,本件DVD及び本件CDに記録され,Dを通じてCに渡り,Cから被告BBテクノロジーに渡ったことが認められる。また,1月のデータの処分については,前記のとおり,これが入ったハードディスクはBにより,電子レンジにかけて破壊された上で破棄されていること,本件DVD及び本件CDは押収されていることが認められる。
 原告らは,この点,本件DVD及び本件CDCらが複製した可能性がある旨主張する。しかし,…によれば,Cが本件DVD及び本件CDを取得したのは,被告BBテクノロジー側と接触する直前であり,Cは,その日の接触の際にこれらを被告BBテクノロジー側に渡しているのであって,複製作業等を行う時間的余裕があったとは考えがたく,本件全証拠に照らしても,このような複製の事実を認めることはできない。
 また,インターネットやマスコミに流出したデータについては,本件全証拠に照らしても,1月のデータであるとは認められず,また,それらの中に原告らのデータが含まれているとも認められない。
 以上のとおりであり,本件において,1月のデータが,B及びCら本件恐喝未遂関係者からさらに他の者に流出(以下,「二次流出」という。)したとは認められない。
(3) 権利侵害
ア 上記のとおり,BCらが取得した1月のデータは原告らそれぞれの個人情報を含み,その内容は,@住所A氏名B電話番号CメールアドレスDヤフーIDEヤフーメールアドレスF申込日を含むものであった。
イ 上記@〜Eの住所・氏名・電話番号・メールアドレス等の情報は,個人の識別等を行うための基礎的な情報であって,その限りにおいては,秘匿されるべき必要性が高いものではない。また,本件サービスの会員であるということ及びその申込日についても同様である。
 しかし,このような個人情報についても,本人が,自己が欲しない他者にはみだりにこれを開示されたくないと考えることは自然なことであり,そのことへの期待は保護されるべきものであるから,これらの個人情報は,原告らのプライバシーに係る情報として法的保護の対象となるというべきである。
ウ 被告らは,本件において二次流出は確認できず,原告らの個人情報が文字としてモニターに表示されたり印刷されたりして外部から認識可能な状態で開示されたことがない等として,原告らの権利は侵害されていないと主張する。
 しかし,1月のデータは,前記のように,Bによって不正に取得され,Bがアクセスを用いて加工し,原告らの個人情報を含むその一部を記録した本件DVD及び本件CDD及びCに渡っているのであって,二次流出が認められなくても,これらのこと自体によって原告らのプライバシーの権利は侵害されたものといえる
5 損害について
(1) 前記のとおり,被告BBテクノロジーの過失により,1月のデータが不正取得され,原告らのプライバシーの権利が侵害されたというべきであるから,被告BBテクノロジーは,これによって原告らが被った精神的苦痛について,原告らに対して,損害賠償責任を負うものである。
(2) 原告らは,損害の内容として,不正取得された原告らの個人情報が不特定の第三者にいついかなる目的でそれが利用されるか分からないという不安感を主張する。
 確かに,本件においては,原告らの個人情報は,Dらの手に渡り,恐喝未遂という犯罪に用いられたものであり,それらの者が,自己の利益を図るために,恐喝以外の手段に原告らの個人情報を利用した危険性はあったものと考えられる。
 しかし,1月のデータの回収状況については,4(2)のとおり,二次流出があったとは認められない状況であり,その意味で,1月のデータの流出についての原告らの不安感は,さほど大きいものとは認められない。
(3) これらの事情のほか,1月のデータに含まれていた原告らの個人情報は秘匿されるべき必要性が必ずしも高いものではなかったこと,被告BBテクノロジーが,本件恐喝未遂事件後,顧客情報の社外流出について発表を行い,不正取得されたことが確認できた顧客に対してその旨連絡するとともに,本件サービスの全会員に500円の金券を交付するなどして謝罪を行う一方,顧客情報についてのセキュリティ強化等の対策をとっていることといった本件に現れた一切の事情を考慮すると,原告らの精神的苦痛に対する慰謝料としては一人あたり5000円と認めるのが相当である。
 
弁論の全趣旨によれば,原告らは,甲・乙事件訴訟代理人弁護士らに本件訴訟の提起・追行を委任しており,これに対する報酬の支払を約したと認められ,被告BBテクノロジーの不法行為と相当因果関係のある弁護士費用は一人あたり1000円と認めるのが相当である。











相談してみる

ホームに戻る