【利用目的が終了した後の個人情報が漏洩したら】
【利用目的が終了した後の個人情報が漏洩したら】
個人情報(主に氏名、性別、生年月日、郵便番号、住所、電話番号等)ですが、これが企業側の責任で漏洩した場合、個人の保証はどうなるのかを考えてみました。
特に今までの裁判判例で考察してみます。
個人情報の価値や精神的損害についての基準がない
個人情報漏えいの補償としては、数年前までは1件500円程度(それに相当する金券配布など)のお詫びをもって補償されるという実務慣行に近いものもありましたが、その後の個人情報保護に対する意識の高まりに併せ、漏洩被害についての意識も高まり、より高額な補償を求める動きが強まってきています。
一般的には、漏洩による精神的な損害や不安について金銭的評価が困難であることを理由に、損害賠償請求を否定されることが少なくありませんでした。しかしながら、上記のような意識の高まりを反映してか、次第に賠償を認める裁判例も現れ、最高裁平成29年10月23日判決がそういった精神的な損害も、経済的損害とは別に、補償の対象になることを実質的に認めました。
個人の職業等の社会的地位、資産等の経済的な情報や思想信条等の情報
個人のプライバシーの侵害による精神的損害の有無及びその程度等が考えられるようになり、おおむね下記について考慮されるようになりました。
・侵害された個人情報の内容及び性質
・プライバシー権の侵害態様
・流出した範囲
・実害の有無
・個人情報を管理していた者による対応措置の内容
このような考慮要素から一概に金額が明らかになるわけではありませんが、漏えいが経済的利益のために行われた、漏洩された情報が他で公開されていないものである、流出先が広汎である、心当たりのない勧誘電話等が顕著に増えた、事後的な被害拡大防止措置や補償が行われなかったといった事情があると、賠償額が増える方向で考慮されるということになり、逆は減る方向で考慮されるということになります
賠償金額についての判断事例
これまでの裁判例で認められた賠償金額については、1件(1名)あたり1000円から数千円程度が多く、最も高額な事例で1件あたり5000円から数万円(大阪高裁平成13年12月25日判決、大阪高裁平成19年6月21日判決 、東京高裁平成19年8月28日判決など)といった事例が知られています。もっとも、傾向としては、全体的には徐々に高額化してきており、最近の裁判例でも、原告側がより高額(例えば1件あたり10万円程度)の補償を求める例が続いているので、今後更なる高額化の可能性も否定はできません。
まとめと対策
事業者 としては、日常、十分な流出防止措置を(自社のみならず委託先からの流出事例も少なくないところですので、委託先での防止措置も含めて)実施することで予防を行うと同時に、もし漏えいの可能性が発見された場合には、直ちに拡大防止措置及び被害補償に努めることが、その後の裁判等でも意味のあるダメージコントロールになります。