ウイニーによる情報漏えい

事件名

損害賠償請求事件

事件概要

従業員がパソコンに保存していた個人情報が、ファイル交換ソフトウィ二ー(Winny)がインストールされたパソコンからインターネットを通じて外部に漏えいした。

原告会社A(通信機器販売)
被告会社B(コンピュータシステム開発)
一審
事件番号平成19(ワ)331
裁判日平成21年6月4日
裁判所山口地方裁判所
結果被告は、原告に対し913万7892円を支払え。4割の過失相殺。訴訟費用は2/5を原告負担、3/5を被告の負担。

根拠条文

  • 民法715条:使用者等の責任
  • 民法415条:債務不履行による損害賠償

法的事実

関係者図

関係者図
図1: 関係者図
  • 原告の会社Aは、C町の合併に伴う総合住民情報の電算化システムの移行と統合データ(本件統合データ)の作成を業務内容とする委託契約(本件元請契約)を2003年4月に締結した。
  • 原告の会社Aと被告の会社Bは、2004年8月に本件元請契約に基づく業務について下請契約(本件契約)を締結した。
  • 被告は、従業員6名で総合住民情報の電算化システムへの移行と統合データの作成業務(本件業務)を行った。
  • 2007年5月、C町住民の個人情報(本件個人情報)がインターネット上に漏えいしている(本件漏えい)ことが発覚した。
  • 個人情報が漏えいした原因について、以下のことが判明した。
    • 被告の従業員D(本件従業員)が住民の個人情報がはいった統合データ(本件統合データ)を、会社Bから貸与されたパソコンから自宅の私物パソコンに保存した
    • 自宅の私物パソコンにファイル共有ソフトウィニーをインストールした
    • 自宅の私物パソコンがウィルスに感染した(2007年4月)

争点

争点は2つ。それぞれの争点について、原告の主張、被告の主張、裁判所の判断は次の通り。

争点1

本件漏えいについての、被告の責任原因の有無

原告の主張
  • 個人情報を扱う業者は、個人情報保護法制定以前から個人情報が漏えいしないように必要かつ最適な措置を講じる法的義務があった。
  • 従業員Dは、作業完了後はデータを消去すべき義務があったが、自宅に持ち帰った貸与パソコンから自宅のパソコンにデータをコピーしたことから個人情報の漏えいが発生し、原告に損害が発生した。従業員Dの行為は、不法行為に該当し、被告には従業員Dの不法行為による原告の損害を賠償する責任がある(民法715条)。
  • 本件契約は、仕事の完成後に個人情報の作業データを直ちに消去することが含まれていた。被告には、本件統合データを消去しなかった債務不履行があり、債務不履行による同損害を賠償する責任がある。
被告の主張
  • 原告からの問い合わせに対応するためなどの理由で、統合データ作成完了後もバックアップデータを保存する必要があった。従業員Dがバックアップデータを直ちに消去せず、貸与パソコンに保存していたからといって、不法行為や債務不履行にはならない。
  • 従業員が業務のため自宅に貸与パソコンを持ち帰った場合、被告にはパソコン管理の監督上の責任はない。
  • 自宅の私物パソコンにデータが残っていないかどうか確認するのは不可能。
  • 被告は、当時できる限りの情報漏えい防止の監督措置をとっていた。
  • 被告には、本件従業員に対する指導・監督を怠った過失はない。不法行為責任は負わない。
裁判所の判断
  • 被告と被告の従業員は、業務で取り扱った個人情報の安全管理のための必要かつ適切な措置を講ずる義務を追っていた。
  • 従業員Dが、本件統合データを無断で貸与パソコンに保存した行為は、安全管理の義務に反する行為である。また、自宅の私物パソコンに本件データを保存したまま放置したことは、安全管理の義務に反する行為である。従業員Dは、安全管理の義務に違反する過失があり、原告に対する不法行為に該当する。従業員Dの本件統合データの扱いは、業務執行中に行われたものと認められる。したがって、被告は原告に対して損害を賠償する責任がある(民法715条)。
  • 本件業務終了後の問い合わせのために本件統合データをパソコンに保存していたとしても、安全管理の義務があった。従業員Dの不法行為は否定できない。
  • 当時、既にウィニーによる情報漏えい事件は多発しており、ウィニーによる個人情報漏えいは予見できた。被告の本件業務における個人情報保護のための安全管理は問題があったといわざるを得ない。本件従業員に対する指導・監督を怠っていないとはいえない。
  • 以上により、被告は本件漏えいによって原告が被った損害を民法715条に基づき賠償する責任がある。

争点2

  • 本件漏えいによる原告の損害
原告の主張
  • 本件漏えいに対処するため、約69万円の費用を要した。
  • C町から情報漏えいに関する約1,453万円の損害賠償を求められ支払った。
  • 被告は、不法行為もしくは債務不履行により合計約1,523万円と遅延損害金の支払義務がある。
被告の主張
  • 被告の主張はすべて争う
裁判所の判断
  • 原告は、個人情報取扱業者として個人情報の安全管理義務を負っていたにもかかわらず、安全管理を被告に任せていた。原告も、安全管理義務を怠った過失がある。諸般の事情を考慮し、4割の約609万円は原告の過失によるものとし、6割の約914万円を限度に被告の不法行為に基づく損害賠償義務を認める。

工学的事実

ウィニーの仕組み

ウィニーは、ファイル共有を目的としたパソコン用のアプリケーション・プログラムである。ウィニーがインストールされたパソコンは、インターネット上にファイル共有のためのネットワークを構築する。ウィニーの利用者が共有したいファイルをウィニーにアップロードすると、そのファイルは、ウィニーのネットワークで共有される。

ファイル共有の概要
図2: ファイル共有の概要

情報漏えいの仕組み

ウィニー自体には、利用者が本来共有するつもりのないファイルを無断で他者と共有するような機能はない。情報漏えいは、ウィニーをインストールしたパソコンがコンピュータ・ウイルスに感染し、そのウイルスがウィニーを使って勝手にパソコン内のファイルを他者と共有することで起こった。

意図しないファイル共有
図3: 意図しないファイル共有

P2Pプログラム

ウィニーのようなP2P(Peer to Peer)システムは、現在もファイルを共有するという本来の目的で広く利用されている。例えば、P2Pシステムの一つであるBitTorrentは、オープンソースのオペレーティング・システムのデータ配布などに利用されている。オペレーティング・システムのような比較的大きいサイズのディジタル・データは、通常のダウンロード方法では、回線の不調などによってデータのダウンロードが途中で失敗してしまうことがある。P2Pシステムを利用することで、大きいサイズのディジタル・データを効率的に取得することができる。P2Pによるデータ取得は、通常のウェブブラウザなどを利用したダウンロードと異なり、自分が目的とするデータをダウンロードすると共に、P2Pプログラムを利用する他者に対してそのデータの提供者の役割も担う。

Linuxディストリビューションの1つであるCentOSは、P2PのBitTorrentでも取得できる。

ビットコインもP2Pの技術で分散台帳を実現している。

講評

個人情報保護法(個人情報の保護に関する法律)は、2003年5月に公布され、2005年4月に全面施行された。本件情報漏えいの直接の原因であるパソコンのウイルス感染は2005年4月に起こり、それによる情報漏えいが個人情報保護法の施行直後に判明した。

本件のような、パソコンの利用者が意図しないファイルの外部への漏えいは、ウィニーのようなファイル共有ソフトをパソコンにインストールしていなくても、ウイルスに感染するだけで発生する場合がある。

例えば、不審な電子メールの添付ファイルを開いただけで感染するタイプのマルウェア(ウイルス)は、パソコンに常駐して利用者に気付かれないようにパソコン内の情報を外部のサーバーに送信するものがある。マルウェアによっては、C&C(Command and Control)サーバーと呼ばれる外部サーバーからの指示に応じてパソコン内の情報を外部のサーバーに送信する。

判例全文

裁判所ウェブサイト :https://www.courts.go.jp/app/hanrei_jp/detail4?id=37924

関連する判例:https://www.courts.go.jp/app/hanrei_jp/detail2?id=81846

関連する判例:https://www.courts.go.jp/app/hanrei_jp/detail4?id=38598

第14回地裁委員会:https://www.courts.go.jp/morioka/vc-files/morioka/file/104011.pdf

関連する法律、ガイドライン、仕様等

名称 URL
個人情報の保護に関する法律(個人情報保護法)https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=415AC0000000057
Winnyを介した情報漏えいについて 官房長官記者発表 2006年3月15日https://web.archive.org/web/20110316130019/http://www.kantei.go.jp/jp/tyoukanpress/rireki/2006/03/15_a.html
タイトルとURLをコピーしました