本連載では、ITプロジェクトにおける様々な勘所を、実際の判例を題材として解説しています。今回取り上げるテーマは、「不作為は『罪』──ベネッセのデータ漏洩事件から、セキュリティにおける発注者・受注者の責務を考える」です。今から10年以上前、ベネッセによる個人情報漏洩事件が大きなニュースとなりました。データや個人情報の保護に対する世間の意識がこれまで以上に高まっている今、あえてこの事件から起こった裁判の内容を取り上げます。セキュリティ対策を外部のベンダーとともに講じる際、発注者・受注者はそれぞれ何に気を付けるべきか。皆さんが所属する組織の実態と比較しながら一緒に考えてみてください。
なぜ“今”ベネッセの事件を取り上げるのか?
もう10年以上も前になりますが、皆さんはベネッセによる個人情報漏洩の事件を覚えていらっしゃいますか? 同社の教材で通信教育を受けていた子供たちの個人情報が、当時システム運用を担当していた派遣社員によって持ち出された事件です。これは大きなニュースとなり、実は私も、自分の子供の情報が漏れた可能性があるとして、500円の金券をもらったことを覚えています。
多くの被害者は、私自身と同様にこの“500円”を受け取ったことで、それ以上の追及を行うことはありませんでした。しかし、漏洩を起こしてしまったベネッセは、運用を委託した企業に対して損害賠償を求め、その裁判はつい数年前まで行われていました。今回はその訴訟を取り上げます。
「いまさらベネッセの話?」と思われる方もいらっしゃるかもしれませんが、この判決で述べられている情報漏洩の予見可能性とそれに基づく委託元・委託先の義務については、読者の皆さまや皆さまの所属する組織にとって有効かと思い、取り上げることとしました。
特に、情報漏洩や個人情報の保護の問題が以前よりも深刻になっている現在、この裁判は情報管理の在り方について示唆に富む内容になっていると思います。まずは事件の概要からご覧ください。
京都地方裁判所 令和3年1月19日判決より
教育事業を展開する株式会社ベネッセコーポレーションが保有していた約3504万人分の顧客情報(氏名、住所、電話番号、生年月日など)が、グループ会社である株式会社シンフォームが委託していた運用担当の派遣社員により、私物のスマートフォンを使って持ち出され名簿業者に売却された。
ベネッセは社内調査と警察への通報を行った後、情報漏洩の被害者への金券配布や再発防止策を発表しつつ、業務委託先のシンフォームには情報管理、委託先の管理等に著しい不備があったとして損害賠償を求める訴訟を提訴した。
(出典:裁判所ウェブ 事件番号 平成27年(ワ)426)
この記事は参考になりましたか?
- 紛争事例に学ぶ、ITユーザの心得連載記事一覧
-
- 不作為は「罪」──ベネッセの個人情報漏洩事件から、セキュリティにおける発注者・受注者の責務...
- システム開発の委託でよくある「準委任契約」の落とし穴、プロジェクト破綻時の責任は誰が負う?
- 社員が営業秘密を“意図的に”漏洩、それでも罪に問えない場合がある? 過去の判例から見えた懸...
- この記事の著者
-
細川義洋(ホソカワヨシヒロ)
ITプロセスコンサルタント東京地方裁判所 民事調停委員 IT専門委員1964年神奈川県横浜市生まれ。立教大学経済学部経済学科卒。大学を卒業後、日本電気ソフトウェア㈱ (現 NECソリューションイノベータ㈱)にて金融業向け情報システム及びネットワークシステムの開発・運用に従事した後、2005年より20...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
