USB接続スマートフォンを経由した個人情報漏えい

事件名

損害賠償請求控訴事件

事件概要

講座受講時に企業に提供した個人情報が、外部に流出した。講座受講者Cの保護者は、その企業に対して損害賠償を請求した。

控訴人被控訴人の講座を受講した未成年Cの保護者
被控訴人会社X(通信教育、模擬試験の実施や雑誌の発行・通販事業)
一審
事件番号平成27(ワ)424
裁判所神戸地方裁判所
結果控訴人の請求棄却
二審
事件番号平成28年(ネ)第37号
裁判所大阪高等裁判所
結果控訴人の控訴棄却
三審
裁判所最高裁
結果控訴人の上告受理。原判決を破棄、差し戻し
差し戻し審
事件番号平成29(ネ)2612
裁判所大阪高等裁判所
結果被控訴人は、控訴人に対し1,000円を支払え

根拠条文

  • 民法709条:不法行為による損害賠償
  • 民法719条:共同不法行為者の責任
  • 民法715条:使用者等の責任

法的事実

関係者図

関係者概要
図1: 関係者概要

会社Xの講座受講者Cの以下の個人情報が、会社Xの業務委託先の会社Aから外部に流出した。

  • 氏名
  • 性別
  • 生年月日
  • 郵便番号
  • 住所
  • 電話番号
  • 保護者名(控訴人の氏名)
  • 控訴人とCの続柄

会社Aの従業員Bは、個人情報を名簿業者に売却した。従業員Bは、会社Aの再委託先業者から業務委託を受けた再々業務委託先の従業員として当該業務に従事していた。

従業員Bは、システム開発、運用及び保守の業務に従事し、会社Aから個人情報のデータベースにアクセスするためのアカウントと業務用パーソナルコンピュータ(業務用PC)が貸与されていた。

従業員Bが不正に入手した講座受講者の個人情報は、約2,989万件。(本件以外も含む不正に取得した個人情報は、のべ2億1639万件、重複を解消して約4858万人分。)

株式会社Aの安全管理措置

流出した個人情報は、データセンターのデータベースから会社A執務室の業務用PCにダウンロードされた。会社Aは、事故当時、次の安全管理措置を採用していた。

本件のシステム構成(判決文から想定されるネットワーク構成)
図2: 本件のシステム構成(判決文から想定されるネットワーク構成)

データセンターの管理

  • 厳しい入退出管理
    • 入館の事前申請
    • 私物の持ち込み不可
    • 機器の持ち出し不可
    • 監視カメラの設置
  • サーバ上の重要なデータは暗号化、データベースのアクセスログはすべて取得し保存
  • サーバへのアクセスは、個人を特定してログを記録
  • データベースは本番環境と開発環境で分離

株式会社A執務室の管理

  • 申請制で入退出を制限
  • 入退出の保存
  • 主要な入退出口に監視カメラを設置(執務室内には監視カメラはなし)
  • 業務PCはすべてのネットワーク通信を記録
  • 私物パソコンの社内ネットワークへの接続は禁止
  • 私物スマートフォンの持ち込みと、充電を目的とした業務PCとのUSB接続は容認

データベースサーバとの通信

  • データセンター内のデータベースサーバと株式会社Aの執務室内の業務PCは専用回線で接続し、インターネット回線を使用しない
  • 業務PCとデータベースサーバの通信量がしきい値を超えるとアラートメールを送信 (ただし、システム開発中のため本機能は未設定だった)

業務用PCのセキュリティ対策

  • ウイルス対策ソフトの搭載
  • ウェブサイト閲覧制限
  • メールフィルタ
  • 操作ログの記録
  • 外部メディアへの書き出しを禁止(MTP対応スマートフォンは対象外)
  • ディスクの暗号化
  • 業務用PCとサーバとの通信量がしきい値を超えた場合に、メールアラートを送信
  • スマートフォンの業務用PCへのUSBケーブル接続は容認(充電用)

インターネット・アクセス

  • ファイアウォールを導入し、必要最小限の通信のみ許可
  • 委託した外部業者による不正アクセスのリアルタイム監視
  • リモート接続は許可制で最小限の人にのみ許可
  • インターネット上のウェブサイトへのアクセスは、業務で必要なサイトに限定
  • 社外への電子メールをすべて保存

争点

争点は4つ。それぞれの争点について、控訴人の主張、被控訴人の主張、裁判所の判断は次の通り。

争点1(民法719条1項、同法715条の各請求)

本件漏えいについて、会社Aの過失の有無

控訴人の主張
  • 従業員Bによる本件漏えいについて、会社Aと被控訴人の過失は明らか 。
  • 会社Aは、本件で使用された漏えいの方法による個人情報の不正取得を予見できた。
  • 会社Aには、本件個人情報の漏えいを防止するための注意義務があり、それを怠った過失がある。
被控訴人の主張
  • 会社Aに、本件漏えいの予見可能性はない。また、結果を回避すべき注意義務違反もない。よって過失はない。
裁判所の判断
  • 会社Aは、MTP対応スマートフォンを業務用PCのUSBポートに接続する方法で、個人情報が不正に取得されるリスクを予見できた。
  • 会社Aには、本件漏えいを予見できたのに、MTP対応スマートフォンの持ち込みを禁止する注意義務や、デバイス使用制御措置を採るべき注意義務に違反して本件漏えいを生じさせた過失があった。
  • 会社Aは、注意義務に違反して本件個人情報を従業員Bに利用させたことにより、Bの故意による本件漏えいを生じさせた。
  • 会社Aは、控訴人に対し、従業員Bと共同して不法行為責任を負うべき立場にある。

争点2(民法719条1項、同法709条の各請求)

本件漏えいについて被控訴人の過失の有無

控訴人の主張
  • 被控訴人は、漏えいによって控訴人に損害を生じさせたことについて過失がある 。
  • 被控訴人は、本件漏えいの方法で個人情報を不正に取得できることを予見できた。
  • 被控訴人は、本件個人情報の漏えいを防止するための注意義務があったにもかかわらず、これを怠った過失がある。
  • 本件システム開発は、被控訴人と会社Aが一体となって取り組んでいた事業であり、事業としての一体性がある。監督義務違反等の個別の義務違反に基づき、固有の不法行為責任を負う。(民法709条)
  • 被控訴人と会社Aは、共同不法行為者としての責任を負う。(民法719条1項)
被控訴人の主張
  • 被控訴人には、本件漏えいについての予見可能性はなく、結果を回避すべき注意義務違反もない。よって過失はない。
  • 控訴人による被控訴人の不法行為(民法709条)及び会社Aとの共同不法行為(同法719条1項)の主張は争う。
裁判所の判断
  • 会社Aが被控訴人の100%子会社であったというだけでは、会社Aの過失を被控訴人の過失と同視することはできない。
  • 被控訴人は、個人情報を適切に管理すべき立場にあり、本件漏えいのリスクを予見できたが、会社Aに対する適切な監督義務に違反した結果、従業員Bによる本件漏えいを生じさせた。
  • 被控訴人は、控訴人に対し、生じた損害について不法行為責任(民法709条)を負う。
  • 被控訴人と会社Aの不法行為(及びBの本件漏えいによる不法行為)は、客観的に関連することは明らかであり、共同不法行為に当たる(民法719条1項前段)。

争点3(民法715条の使用者責任に基づく請求)

  • 1.会社Aは、従業員Bによる本件漏えい(不法行為)について使用者責任を負うか否か
  • 2.被控訴人は、会社Aの不法行為について使用者責任を負うか否か
控訴人の主張

1.について

  • 会社Aは、従業員Bによる本件漏えいについて使用者責任を負う。
  • 選任監督上の相当の注意をしていたという被控訴人の主張は争う。

2.について

  • 被控訴人は、本件システム開発に関する事業について、会社Aを実質的に指揮監督する関係にあった。
被控訴人の主張

1.について

  • 会社Aは、従業員Bを実質的に指揮監督する関係にはなかった。
  • 会社Aは、従業員Bについて選任監督上の相当の注意をしていた。

2.について

  • 被控訴人と会社Aとの間に実質的な指揮監督関係はなく、被控訴人に使用者責任が成立することはない。
裁判所の判断
  • 争点2の判断から、使用者責任を問う主張については、いずれも判断する必要がない。

争点4(全請求)

控訴人に生じた損害の有無及び数額

控訴人の主張
  • 控訴人に対する慰謝料は、10万円を下ることはない。
被控訴人の主張
  • 本件漏えいの対象となった控訴人の個人情報は、不法行為法上の被侵害利益として法的保護の対象となる伝統的なプライバシーの範疇に入るものではない。
  • 損害賠償制度は、損害の回復を目的とするものであるから、損害がないか、それが日常ありうる程度の軽微なものであれば、賠償による救済の対象となり得ない。
裁判所の判断
  • 本件漏えいは、二次的拡散も発生しており500社を超える名簿業者等に情報が漏えいしたとの発表がある。流出した情報の全てを回収して抹消させることは不可能な状況といわざるを得ない。このような事態は、一般人の感受性を基準にしても、その私生活上の平穏を害する態様の侵害行為であるというべきである。
  • 一切の事情を考慮すれば、控訴人の被った精神的損害を慰謝するには1,000円の支払いを認めるのが相当である。

工学的事実

データベースからのパソコンへの個人情報の取得方法

データベースに格納されていた個人情報は、テラターム(Tera Term)と呼ばれるアプリケーション・プログラムを使ってパソコンにダウンロードされた(図3)。テラタームは、コンピュータ機器のリモートアクセスに利用さるプログラムで、次のような機能がある。

  • サーバにログインして、遠隔から各種操作を実行する機能
  • サーバとPC間でファイルをやり取りする機能
Tera Termの起動画面
図3: Tera Termの起動画面

データセンターからの個人情報の取得は、以下のような手順で行われたと推定される。

  1. 業務用PCでTera Termを起動し、踏み台サーバ(バッチサーバ)にログイン
  2. 踏み台サーバから、個人情報が格納されたデータベースにアクセスできるサーバ(データベース・サーバ)にログイン
  3. データベース・サーバからデータベースにログイン
  4. 必要な個人情報をデータベースから取得してファイルに格納
  5. 個人情報ファイルをTera Termを使って業務用PCにダウンロード

データセンターのデータベースから個人情報を取得するには、1.と2.と3.の合計3回のシステムへのログイン処理が必要になったと考えられる。本件については、これらのログインは、第三者が不正に取得したアカウント情報によって行われたのではなく、正規のアカウント保有者によって行われた。

個人情報が格納されていたデータベースは、リレーショナルデータベース管理システム(RDBMS)であると推定される。RDBMSに格納された情報は、年齢や性別といった条件を指定しての取得し、その結果をファイルに格納することができる。個人情報を格納したファイルは、TeraTermの機能を用いて業務用PCにダウンロードすることができる。

データベースからの情報取得例
図4: データベースからの情報取得例

私物スマートフォンへの個人情報の転送方法

本件の個人情報は、まず業務用PCダウンロードされ、次にUSB(Universal Serial Bus)ケーブルで接続されたスマートフォンに転送されて外部に流出した(図2)。一般的に、スマートフォンはUSBケーブルでPCと接続すると、USBメモリのようにPCと相互にファイルをやりとりすることができるようになる。

USB機器は、自分自身が「どのような種類の機器か」という情報を持っている。PCは、USB機器が持っている機器情報に応じた処理を行う。例えば、USB機器がキーボードであればPCはキー入力を処理し、USBメモリであればPCはファイルの入出力を処理する。

スマートフォンをUSBケーブルでPCに接続した時、そのスマートフォンは一般的にUSBメモリかカメラのような画像を扱う機器として認識される。スマートフォンがUSBメモリとしてPCに認識された場合、そのスマートフォンはMSC(Mass Storage Class)と呼ばれる種類のUSB機器に分類される。また、カメラのような画像を扱う機器としてPCに認識された場合、MTP(Media Transfer Protocol)という通信に対応したImage Classと呼ばれる種類のUSB機器に分類される。

Androidスマートフォンは、2011年に公開されたAndroidバージョン3.1からMTPがサポートされた。それ以前のバージョンを搭載するAndroidスマートフォンは、MTPをサポートしていない。Androidのバージョンは、機器の設定情報から確認することができる。また、AndroidがMSCなのかMTPなのかは、専用のソフトウェアを用いてUSB機器の情報を確認すればわかる。例えば、次のAndroid2.2.1を搭載したあるAndroidスマートフォンは、MTPをサポートしてないのでMSCとしてPCに認識される。

Androidスマートフォン バージョン2.2.1
図5: Androidスマートフォン バージョン2.2.1
 ===>Interface Descriptor<=== bLength:                           0x09 bDescriptorType:                   0x04 bInterfaceNumber:                  0x00 bAlternateSetting:                 0x00 bNumEndpoints:                     0x02 bInterfaceClass:                   0x08 ( -> This is a Mass Storage USB Device Interface Class)
bInterfaceSubClass:                0x06
bInterfaceProtocol:                0x50
iInterface:                        0x00

Androidバージョン3.1以降のスマートフォンは、MTPに対応している。例えば、Android8.0.0を搭載したあるAndroidスマートフォンは、MTPをサポートしたImage ClassとしてPCに認識される。

Androidスマートフォン バージョン8.0.0
図6: Androidスマートフォン バージョン8.0.0
 ===>Interface Descriptor<=== bLength:                           0x09 bDescriptorType:                   0x04 bInterfaceNumber:                  0x00 bAlternateSetting:                 0x00 bNumEndpoints:                     0x03 bInterfaceClass:                   0x06 ( -> This is an Image USB Device Interface Class)
bInterfaceSubClass:                0x01
bInterfaceProtocol:                0x01
iInterface:                        0x07
     English (United States)  "MTP"

講評

私物スマートフォンの持ち込み

本件は、MTP対応スマートフォンへのPCからのファイルの書き出しが技術的に禁止されていなかったことが、争点の一つとなった。しかし、仮にMTP対応のスマートフォンへのファイルの書き出しが技術的に禁止されていたとしても、業務用PCの画面にデータベースからダウンロードした個人情報を表示させ、その画面をスマートフォンのカメラで撮影すれば、個人情報を画像としてスマートフォンに格納することができた。この方法であれば、業務用PCにUSBケーブルを接続する必要もない。MTP対応スマートフォンへのファイルの書き出しが禁止されていたとしても、私物スマートフォンの持ち込みが禁止されていなかったならば、別の方法によって 個人情報が外部に持ち出された可能も考えられる。

担当者による故意の漏えい

本件の個人情報の外部への漏えいは、個人情報にアクセスするために必要な権限を与えられていた担当者によって行われた。第三者が不正に入手したアカウントやパスワード情報を用いて個人情報の窃取を行った訳ではない。

データセンターと執務室が専用回線で接続されたいたのであれば、データセンターと執務室は同じレベルの安全管理措置が必要であったと考えられる。データセンターでは行われており、執務室では行われていなかった次の安全管理措置を実施していれば、情報漏えいの可能性が低減していた可能性がある。

  • 私物の持ち込み禁止
  • 執務室内への監視カメラの設置

また、検討されていながら有効化されていなかった次の措置が実施されていたば、情報漏えいの可能性は低減していた可能性がある。

  • PCとサーバとの通信量が一定の閾値を超えた場合にメールアラート送信

その他、2人で開発を行うペアプログラミングの導入などが、情報漏えいの可能性の低減方法として考えられる。

判例全文

裁判所ウェブサイト :https://www.courts.go.jp/app/hanrei_jp/detail4?id=89108

関連する判例:https://www.courts.go.jp/app/hanrei_jp/detail4?id=88874

関連する判例:https://www.courts.go.jp/app/hanrei_jp/detail4?id=88719

関連する法律、ガイドライン、仕様等

名称 URL
個人情報の保護に関する法律(個人情報保護法)https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=415AC0000000057
情報システム安全対策基準(通商産業省告示)https://www.meti.go.jp/policy/netsecurity/docs/regulations/esecu03j.pdf
JISQ15001:2006https://www.meti.go.jp/policy/it_policy/privacy/jis_shian.pdf
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成21年)https://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf
IPA 組織におけ る内部不正防止ガイドラインhttps://www.ipa.go.jp/files/000057060.pdf
データセンターセキュリティガイドブック 2017年版 日本データセンター協会https://www.jdcc.or.jp/pdf/DCSGB201710.pdf
Android 3.1 Platform, New SDK toolshttp://android-developers.blogspot.com/2011/05/android-31-platform-new-sdk-tools.html
タイトルとURLをコピーしました