トピックス

労働法の適切な運用を目指し、業績が向上する労務マネジメントを目指す経営者向けのメディア記事です。
企業の業績に貢献する「攻め」のアプローチをします。

× まずは無料で相談!

委託先から個人情報が流出した場合、委託元に損害賠償責任がある?

最終更新日:2024.10.24

もし業務委託先から情報が流出した場合、委託元の会社が責任を負う?

A社では、業務委託に伴い、委託先に個人情報を預託しています。

万一、委託先から情報が流出してしまった際、委託元である会社も責任を負うことになるのでしようか。

委託元も責任を負う可能性がある

委託先から情報が流出した場合、委託元も責任を負う可能性はあります。

委託元の責任の有無について

個人情報漏えい事故が発生した際、漏えいした委託先やその従業員は、情報主体に対し、プライバシー権侵害等に基づく損害賠償責任(民法709条、715条1項本文)を負うことになります。

それでは、委託元にも責任がおよぶのでしようか。

この点、民法715条の使用者責任に基づき、委託元も損害賠償責任を負うとする裁判例があります(TBC事件・東京地判平成19・2・8判タ1262号270頁、控訴審である東京高判平成19・8・28判タ1264号299頁もこれを支持しています)。

すなわち、使用者責任が認められるためには、自己の「事業のために、他人を使用する」関係が必要となりますが、これは実質的な指揮・監督関係を意味し、雇用関係に限られるものではないと解されます。

●業務の具体的内容の決定権限や最終的な動作確認の権限は委託元にあったこと

●委託先は随時、委託元担当者に対し、運用に関する報告を行い、障害や不具合が発生した場合には、委託元担当者との間で原因調査や対応策について協議を行っていたこと

●委託業務中に収集された個人情報は、委託元担当者において情報の処理漏れがないように確認していたこと

の理由により、委託元は委託先を実質的に指揮・監督していたとしたのです。

また、民法709条の不法行為責任が認められるとする裁判例もあります。

すなわち、個人情報保護法22条やガイドライン通則編等を根拠に、

委託元には個人情報の管理について、委託先に対し適切に選任および指導監督をすべき注意義務がある

ので、その違反を理由とするものです。

 

ベネッセの情報漏えい事案に関する最二小判平成29・10・23(判タ1442号46頁)による差戻し後の控訴審である大阪高判令和元・11・20(裁判所HP)を参考にすると、

「被控訴人には、本件漏えい当時、株式会社Aにおける被控訴人の有する個人情報の管理につき、セキュリテイソフトの変更やWPDデバイスの使用制御措置の設定変更、執務室内への個人スマートフォンの持込み禁止について適切に監督をすべき注意義務があったというべきであり、それにもかかわらず、被控訴人は、本件漏えい当時、これらについて指示することなく放置していた結果、本件漏えいを回避することができなかったのであるから、上記注意義務に違反したといわざるを得ない」

と述べ、委託元の責任を認めました。

さかえ経営では、給与計算のアウトソーシング、社員間のトラブル解決など労務に関するあらゆる問題解決をサポートします。

 

損害賠償のほか調査、報告、被害拡大防止策の対応が必要になる

万一流出してしまった時には、損害賠償のほか、

個人情報保護委員会「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)等

に従い、適切な調査、報告、被害拡大防止策の実施、情報主体への迅速な対応が必須です。

 

なお、令和2年6月12日に公布された改正個人情報保護法(公市後2年以内に施行)では、情報漏えい等により個人の権利利益を害するおそれが大きい場合、

個人情報保護委員会への報告および本人への通知が義務化

され(同法22条の2)、この点への対応も必要です。

 

損害には被った精神的損害と財産的損害が考えられる

損害賠償責任の内容

では、委託元の責任が認められる場合、損害賠償額はどの程度でしようか。

損害には、

 

①個人情報の漏えい・流出により、情報主体が被った精神的損害(慰謝料)

②二次被害により情報主体が被った財産的損害(損害拡大防止措置義務違反がある場合)

が考えられます。

まず、上記②については、

情報主体が現に被った損害額のうち相当因果関係の範囲内のもの

を賠償することになります。

 

次に、①の慰謝料については、

 

プライバシー侵害の態様

侵害された個人情報の内容・性質

流出した範囲、実害の有無

個人情報を管理していた者による対応措置の内容等一切の事情

総合的に考慮して金額が認定されます。

しかし、5000円から1万円程度の認定がなされる場合が多いようです。

事例

  • 1万円とした宇治市個人情報流出事件・大阪高判平成13・12・25判例地方自治265号11頁
  • 5000円または1万円とした早稲田大学江沢民事件に関する東京高判平成14・1・16判タ1083号295頁、東京高判平成16・3・23判時1855号104頁)

なお、前掲ベネッセ(差戻控訴審)事件・大阪高判令和元・11・20のケースでは、ベネッセが漏えい発覚後直ちに対応を開始し、被害拡大を防止する手段を講じ、監督官庁に対する報告および指示に基づく調査報告を行い、顧客にお詫びの文書を送付するのと合わせ、顧客の選択に応じて500円相当の金券を配布するなどしたこと等を考慮し、慰謝料額は1000円とされました。

さかえ経営では、給与計算のアウトソーシング、社員間のトラブル解決など労務に関するあらゆる問題解決をサポートします。

 

慰謝料が高額になるケース

漏えいに係る情報の性質(センシテイプ度等)や、漏えいの態様等によって慰謝料額は高額になることもあり得ます。

たとえば、エステ特有の身体的な情報が流出した前掲TBC事件・東京地判平成19・2・8では、【3万円】と認定されました。

また、タクシー会社が従業員(タクシー運転手)に無断で、当該従業員の乗客に対し、同人の携帯電話番号を伝えたという新日本交通ほか事件・大阪地判平成21・10・16(労判1001号66頁)では、乗客から繰り返しクレーム電話の嫌がらせを受けたことによる精神的苦痛に対する慰謝料として【30万円】が認められています。

さらに、警察官に任用された者に対し、警察病院が、本人の同意の有無を確認せずHⅣ抗体検査を実施し、その結果を本人の同意なく警察学校に通知したという東京都(警察学校・警察病院HⅣ検査)事件・東京地判平成15・5・28(労判852号11頁)では、HⅣ感染症に関する個人情報のセンシテイプ度の高さから、警察病院の検査・通知行為について【100万円】の慰謝料が認められました。

コロナ患者に関する非公開情報を誤って掲載した場合の賠償の例

なお、裁判例ではありませんが、愛知県が新型コロナウイルス感染症(COⅥD-19)に関するWEBページ上に、患者に関する非公開情報を誤って掲載した件について、氏名が掲載された患者には4万円、氏名が掲載されていない患者には【2万円】の賠償を行うとの発表がなされています(同県HP令和2・5・28掲載)。

金額は過去の裁判例を参考に判断したとそうですが、新型コロナウイルス感染症に罹患等しているという情報は、5類に分類される以前において、

不当な偏見や差別等の不利益を生じさせるものであることを考慮した

と考えられます。

このように、委託元も重大な責任を問われる可能性がありますので、個人情報保護法22条やガイドライン通則編等に従い、委託先を慎重に選任・監督する必要があります。

労働環境の改善で、業績が伸びる職場をつくる。社員のトラブルのお悩みなら、まずはご相談ください!

関連記事