イベント管理サービスを手がける「Peatix」は11月17日、外部からの不正アクセスを受け、顧客の個人情報が流出したと発表した。
Peatix社によると、10月16日から翌17日にかけて受けた不正アクセスで、顧客の氏名、メールアドレス、暗号化されたパスワードなど個人情報を含む最大677万件の情報が流出した。クレジットカード情報や口座情報、住所、電話番号などの情報の流出は確認されていないという。
同社は11月9日に個人情報が流出した可能性を認識。調査した結果、情報の流出が判明した。不正アクセスがあったことを受けて、11月15日に全てのパスワードの再設定が必須となる措置を行ったほか、同社で使用していたパスワードと同じものを他のサービスでも使っている場合、念のためパスワードを変更するよう呼びかけている。
利用者の中には個人情報が漏れてしまったことに不安を覚える人もいるだろう。流出したことについて、Peatix社に対し、損害賠償を請求することは可能なのだろうか。また、仮に認められた場合、賠償額はどの程度になるのか。情報法制に詳しい板倉陽一郎弁護士に聞いた。
●仮に賠償請求が認められても高額にはならない
——具体的な被害が出ていない段階でも、個人情報の流出をもって損害賠償請求をすることは可能でしょうか。
個人情報の漏えいについての損害賠償請求は、一般的には精神的損害についての慰謝料請求ですので、「具体的な被害」といっても曖昧ではあります。
たとえば、ベネッセの漏えい事件に関する裁判例の一つ(東京高裁令和2年3月25日判決)では、氏名及び郵便番号・住所、電話番号、FAX番号及びメールアドレスが不正に漏えいしたことについて、「自己の了知しないところで自己の個人情報が漏えいしたことへの私生活上の不安、不快感及び失望感を生じさせたものとして、精神的損害が生じたと認めるのが相当」としています。
今回のケースでも、流出範囲は不明であるものの、「自己の了知しないところで自己の個人情報が漏えいしたことへの私生活上の不安、不快感及び失望感」には変わりなく、抽象的には、慰謝料請求が認められることはあり得るといえるでしょう。
もっとも、同じ事実関係にあるはずのベネッセの漏えい事件でも、結果回避義務違反が認められず、請求を認めなかった裁判例(千葉地裁平成30年6月20日判決)もあります。
ベネッセの漏えい事件は、業務委託先の従業員による持ち出し事案でした。不正アクセスがあったとされる今回のケースとは流出原因が異なるようですが、一般論として、流出したから直ちに結果回避義務や過失が認められるというものでもないという点は参考になります。
——仮に損害賠償請求が認められるとして、損害額はどの程度になるでしょうか。
前述の裁判例(東京高裁令和2年3月25日判決)では一人3000円の慰謝料が認められています。これに弁護士費用300円(慣例により1割)を加えた3300円です。
もっとも、同じベネッセの漏えい事件でも、別の裁判例では、一人1000円(大阪高裁令和元年11月20日判決)、一人2000円(東京高裁令和元年6月27日判決)と認定されています。
本件で流出したとされている個人情報は、氏名、メールアドレスおよび暗号化されたパスワードということで、ベネッセの漏えい事件よりもさらに項目が限られているようです。
仮に損害賠償請求が認められるとしても、ベネッセの漏えい事件より多いというのは考えづらいのではないでしょうか。
——個人情報の漏えい事件では、お詫び金が支払われる場合があります。
お詫び金は前述の慰謝料に基づく損害賠償そのものではなく、500円程度の金券等をまさにお詫びとして支払うというものです。
支払い形態は金券であったり、当該サービスのポイントであったりさまざまであり、支払われない場合もあります。支払った場合には損害賠償請求の中で考慮されることがあります。
今回のケースでは、現時点でお詫び金についての言及はなく、支払われるかは不明です。
●対応するのは米国法人なのか日本法人なのか
——個人情報を流出してしまった企業はどのような対応が求められますか。
「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)は、「個人情報取扱事業者が保有する個人データ(特定個人情報に係るものを除く。)の漏えい、滅失又は毀損」の場合には、個人情報保護委員会等への報告に加えて、影響を受ける可能性のある本人への連絡等も求めています。
これによれば、「事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く」必要がありますので、さらに調査が進めば、まずは顧客に事実関係等を知らせる必要があります。また、既に設置されているようですが、説明のための窓口を設けることも必要になるでしょう。
ただし、上記のような対応をするとしても、今回のケースで「個人情報を流出してしまった企業」が誰なのかという問題があります。
——どういうことでしょうか。
Peatixのサービスを運営しているのは、米国ニューヨーク州法人の「Peatix Inc.」のようですが、日本法人であるPeatix Japan株式会社という会社も存在し、その関係が不明です。
Peatixのアカウントを作成する際の利用規約は米国法人が相手方となっているので、アカウントを作成した個人と契約を締結しているのは米国法人のようですが、外形的にはそれしか分かりません。
問い合わせ窓口が日本法人になっていますが、その趣旨も不明です。私個人もPeatixのアカウントを保有していますが、明確な説明がありません。
——個人情報保護法上の義務を負うのが米国法人なのか日本法人なのか、または双方なのか、はっきりしないということですね。
また、Peatixは、個人との関係で氏名、メールアドレス等の情報を独自に保有していますが、氏名などはPeatixでイベントを主催する事業者から委託を受けて保有しているという側面もあります(個人情報保護法23条5項1号)。
私が関与している団体にも、Peatixでイベントを主催している事業者が複数ありますが、委託を受けて保有している個人データが流出したという点について、事業者宛ての説明は一切ありません。まずこの整理がなされないと、誰が対応すべきかが確定しないことになります。