インターネット接続サービスの個人情報漏えい

事件名

損害賠償請求事件

事件概要

インターネット接続サービス契約時に、契約者が企業に提供した個人情報が外部に流出した。契約者らは、自己の情報をコントロールする権利が侵害されたとして、企業に対して共同不法行為に基づく損害賠償を請求した。

原告被告の提供するインターネット接続サービスを契約した複数の会員
被告インターネット接続サービスを提供する株式会社A(被告A社)、株式会社B(被告B社)
一審
事件番号平成16(ワ)5597
裁判日平成18年5月19日
裁判所大阪地方裁判所
結果損害賠償請求を一部容認。被告Aに対して6,000円の支払。

根拠条文

  • 民法709条:不法行為による損害賠償
  • 民法719条:共同不法行為者の責任

法的事実

関係者図

インターネット接続サービスの個人情報漏えい関係者図
関係者図
  • 原告らは、2004年1月までにの被告らの提供するインターネットサービス(本件サービス)に入会した。
  • 被告らは、原告らから本件サービス入会時に次の個人情報を取得した。
    • A社:住所、氏名、電話番号、メールアドレス、A社での顧客ID、申込日、性別、回線タイプ等、回線の接続に関する情報
    • B社:住所、氏名、電話番号、メールアドレス、A社での顧客ID、申込日、クレジットカード番号、銀行講座番号、パスワード、取引実績に関する情報
  • 個人情報は、A社の本社施設内の顧客データベースサーバーに格納されていた。
  • A社は、2002年12月、メンテナンス用途でリモートメンテナンスサーバー(本件リモートメンテナスサーバー)を設置し、社外のパソコンから社内のサーバーをアクセスできるようになった。
  • 社外からメンテナンス業務を行う複数の担当者に、同一のユーザー名、パスワードのアカウント(本件アカウント)が与えられていた。ユーザー名はアルファベット小文字8文字、パスワードはユーザー名と同一の8文字だった。
  • このアカウントは、A社が管理する複数のサーバーについて、ファイル操作や設定変更、データやプログラムの変更を行う権限があった。
  • Xは、2002年5月から2003年2月までの間、A社に派遣され、顧客データベースのメンテナンスなどの管理業務をしていた。
  • 2003年6月、Xは知人YとインターネットカフェのパソコンからA社のリモートメンテナンスサーバーにログオンし、顧客データベースにアクセスして取得した顧客情報をYが持ち込んだハードディスクに保存した。(1回目の本件不正取得)
  • 2004年1月、Yは同様の手法で顧客情報を不正に取得した。(2回目の本件不正取得)
  • XがA社業務を終了したとき、A社は本件アカウント情報の削除や変更を行わなかった。
  • Yの関係者が恐喝未遂事件で検挙された際に、顧客情報の不正取得の事実が判明した。

争点

争点1

被告A社の過失の有無

原告らの主張
  • 本件サービスは、電気通信事業者に対しては個人情報保護法が成立する以前より個人情報保護に関するガイドラインが定められていた。電気通信事業者であるA社は、個人情報の管理に関する注意義務があった。
  • リモートアクセスを行うためのアカウントに強大な権限を与えていたのは、無謀かつ危険であり、リモートアクセスに関しての注意義務違反があった。
  • A社は、不本意な形で退職したと推測されるXが、退職後に本件リモートメンテナンスサーバーにアクセスすることを予見可能であった。
  • A社は、保有する個人情報を適切に管理し、漏えいを防ぐための適切な措置を講ずる注意義務を怠った過失があり、原告らに対して不法行為責任を負う。
被告A社の主張
  • A社が個人情報の管理義務に違反した過失により原告らの個人情報が漏えいしたとの主張は争う。
  • A社が管理するサーバーの全てに本件アカウントの管理者権限が与えられていたのではなく、1/5の必要な範囲のサーバーについて与えられていた。
  • 本件当時、個人情報保護法は施行されておらず、ユーザー名を複数人で共有しないことは義務ではなかった。8文字の本件アカウント名は、外部者が簡単に類推できるものではなかった。
  • 退職した従業員のユーザー名は、速やかに末梢すべきことについては認めるが、本件当時のガイドラインでは規定されていなかった。
  • A社が約1年間ユーザー名とパスワードの定期的な変更をしなかったことは認めるが、過失ではない。リモートアクセスに関する注意義務違反はなかった。
  • 本件は、通常では防御のしようのない社外第三者の犯罪行為であり、A社は予見可能性と結果回避可能性がなく、過失はない。
  • 従業員が会社に不平を抱いていたことで、A社が不正アクセスを予見可能であったとはいえない。
裁判所の判断
  • A社は、本件当時、本件顧客データベースのリモートアクセスについて、不正アクセスを防止するための相当な措置を講ずべき注意義務を負っていた。
  • アカウントのユーザー名及びパスワードの管理が極めて不十分であったと言わざるを得ない。不正アクセスを防止するための注意義務に違反した。
  • A社は、Xに機密保持等に関する誓約書を書かせていた。Xの不正アクセスと本件不正取得について予見可能であった。
  • 不正アクセスは、A社が本件アカウントの管理等、不正アクセスを防止するための相当な措置を採っていれば防ぐことができたといえるから、結果回避可能性も認められる。
  • 特定のコンピュータからのアクセスしか認めないような措置はとれられいなかった。A社は、本件顧客データベースサーバーにリモートでアクセスを行うときの不正アクセスを防止するための相当な措置を講ずべき注意義務を怠った過失がある。
  • A社は、原告らに対して、本件不正取得により原告らの被った損害を賠償すべき不法行為責任がある。

争点2

被告B社の責任の有無

原告らの主張
  • B社は、A社同様、個人情報についての管理義務に違反した過失がある。原告らに対して、管理義務違反に基づく不法行為責任を負う。
  • B社とA社とは顧客情報の管理が別であり、B社の管理情報は一切持ち出されていないというが、外部的に一体となって本件サービスを提供している。B社とA社は一体として個人情報を適切に管理する義務を負っている。
  • B社は、少なくともA社が個人情報を適切に管理するように監督する義務があった。
  • 原告らは、本件サービスの対価はB社に対して支払っている。A社とB社に客観的関連共同性が認められる。
被告B社の主張
  • A社とB社は、個別独立のサービスを統一名称を用いて行っているにすぎない。顧客情報は共有してないし、B社の顧客情報は一切外部に持ち出されていない。管理義務違反に基づく不法行為責任はない。
  • 監督義務違反等に基づく共同不法行為責任についての原告らの主張は、否認ないし争う。
裁判所の判断
  • A社とB社の会社の関係を考慮しても、B社がA社の顧客情報について適切に管理すべき義務を負っていたとは認められない。
  • B社がA社の顧客情報を適切に管理するように監督すべき義務を負っていたともいえないので、B社の監督義務違反等の過失は認められない。
  • B社がA社と共同不法行為責任を負うとの主張には理由がない。

争点3

権利侵害の有無

原告らの主張
  • 被告らの不法行為により、原告らの自己情報コントロール件が侵害されている。
  • A社元従業員X及びその知人Yとは無関係な第三者に原告らの個人情報が渡ったこと自体が二次流出というべきだ。
  • 本件不正取得によって漏えいした個人情報がすべて回収されたという確証はない。
被告らの主張
  • 原告らの主張は否認する。
  • 個人情報は、文字としてモニターに表示されるか、プリントアウトされるなどで第三者が直ちに認識可能な状態で開示されて初めて個人の権利が侵害されたというべき。
  • A社から個人情報データを持ち出したXとYは、一部の顧客情報を除いてデータのまま保存しており、一度も認識可能な状態に置かれたことはなく、原告らの権利が侵害されたとはいえない。
  • 個人情報の記録媒体には、合計数百万人分もの顧客データが記録されていた。事実上、原告らを含む個々の顧客の個人情報が着目され、個別に認識されることはあり得ない。
  • 原告らの私的事項が一切公表、開示されていないことから、原告らのプライバシー権も損害されたとはいえない。
  • XとYは、A社による外部漏えいの迅速な発表によって、それぞれ顧客情報のデータを破棄した。現在に至るまで二次流出は確認されていない。
裁判所の判断
  • 本件不正取得されたデータの中に、原告らの個人情報が含まれていたことが認められるが、それらが事件関係者からさらに他の者に二次流出したとは認められない。
  • 住所・氏名・メールアドレス等の情報は、秘匿されるべき必要性が高いものではない。しかし、原告らのプライバシーに係る情報として法的保護の対象となるというべき。
  • 本件不正取得されたデータを記録したDVDやCDが、Xから事件関係者に渡っている。二次流出が認められなくても、原告らのプライバシーは侵害されている。

争点4

損害

原告らの主張
  • 原告らに精神的損害が生じたことは明らか。架空請求等の実際の損害の発生の有無にかかわらず、精神的負担・損害は甚大。
  • 原告1人あたり慰謝料100万円、弁護士費用としてその24%相当額の24万円の合計124万円はくだらない。前損害の内金として1人あたり100万円の支払いを求める。
被告らの主張
  • 原告らの主張は否認する。原告らの個人情報が二次流出した事実はない。
  • 原告らの漫然たる不安は、原告らに損害はない。
  • 本件で漏えいした個人情報は、基礎的な情報しか記載されたおらず、直ちに損害を構成するものではない。
裁判所の判断
  • A社の過失により、顧客データが不正に取得され、原告らのプライバシーが侵害された。A社は、原告らが被った精神的苦痛について損害賠償責任を負う。
  • 原告らの個人情報は、二次流出があったとは認められない状況にあり、原告らの不安感はさほど大きいとは認められない。
  • A社が本件サービスの全会員に500円の金券を交付するなどして謝罪を行い、顧客情報についてセキュリティ強化等の対策をとっているといった一切の事情を考慮すると、原告らの精神的苦痛に対する慰謝料は一人あたり5,000円と認められる。
  • A社の不法行為と相当因果関係のある弁護士費用は一人当たり1,000円と認めるのが相当。

工学的事実

ユーザー名とパスワードが同一8文字のアカウント

本件で使用されたサーバーへのログイン・アカウントは、ユーザー名がアルファベット小文字8文字、かつパスワードはユーザー名と同一の8文字だった。このような条件でアカウント情報が第三者に知られる可能性は次のように計算できる。

英語アルファベットの小文字は26文字なので、8文字の組み合わせは268=208,827,064,576=約2,000億通りの組み合わせになる。この約2,000通りの組み合わせから1つを選んで1秒間に一回サーバーへのログインを試行したとすると、すべての組み合わせを試すのに約158,924年かかる。このため、このような前提条件では、第三者にアカウント情報を知られる可能性は低い。

しかし、英語アルファベットを意味のある英単語に限定すると組み合わせはずっと少なくなる。例えばOxfore English Dictionaryには、およそ60万ワードが収録されている。仮に、60万ワードすべてが8文字であったとしても、60万通りから1つを選んで1秒間に一回サーバーへのログインを試行したとすると1週間ほどで全ての組み合わせを試行できる。サーバー側に不審なログインを検知する機能が備わっていなければ、1週間よりも短い時間で第三者にアカウント情報を知られてしまう可能性がある。

リモートデスクトップ

本件では、外部から社内のネットワークのアクセスに、マイクロソフト社Windows OSのリモートデスクトップと呼ばれる機能が使用された。リモートデスクトップを利用すると、ネットワーク経由でWindowsパソコンにログオンすることができる。

リモートデスクトップ接続アプリは、Windowsのどのバージョンでも見た目はさほど変わらない。

個人情報やリモートアクセスに関する法律やガイドライン

本件当時(2002年)の個人情報やリモートアクセスに関する状況として、次の法律やガイドライン等が判判決文で引用されている。コンピュータ不正アクセス対策基準では、ユーザーIDは個人単位に割り当てること等、システムのアカウントに関する基準が記載されている。

電気通信事業における個人情報保護に関するガイドライン(1998年12月2日郵政省告示570号)

  • 5条4項: 電気通信事業者が個人情報を管理するに当たっては、当該情報への不正なアクセス又は当該情報の紛失、破壊、改ざん、漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずるものとする。特に情報通信ネットワークにおける情報保護及び不正アクセスの防止に当たっては、情報通信ネットワーク安全・信頼性基準(昭和62年郵政省告示第73号)等の基準を活用するものとする。

個人情報保護法 (2003年5月30日成立)

  • 20条:(安全管理措置)個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

コンピュータ不正アクセス対策基準(1996年年通商産業省告示第362号)

2.システム管理者基準(2)システムユーザ管理

  1. システムユーザの登録は、必要な機器に限定し、システムユーザの権限を必要最小限に設定すること。
  2. ネットワークを介して外部からアクセスできるユーザIDは、必要最小限にすること。
  3. ユーザIDは、個人単位に割り当て、パスワードを必ず設定すること。
  4. 長期間利用していないユーザIDは、速やかに停止すること。

講評

本件のように、複数人で1つのアカウントを共有する方法は、システム管理者が管理するアカウント数が少なくなるので一見管理しやすいようにも見える。しかし、アカウント利用者の交代ごとにアカウント情報の変更とアカウント利用者への変更の周知が必要になり、手続きが煩雑になる。

また、複数人で1つのアカウントを共有していると、不正アクセスが疑われる状況でのログ解析などによる原因の特定が困難になる。仮に複数人でアカウントを共有せざるを得ない状況であったとしても、本件のようにそのアカウント自身にパスワードを変更できる権限があると、さらに不正アクセスの原因特定が困難になる。

本件はネットカフェから圧縮した個人情報データをダウンロードしているが、そのファイルの転送に約2日かかる計算であったというのに驚く。

判例全文

裁判所ウェブサイト :https://www.courts.go.jp/app/hanrei_jp/detail4?id=37924

関連する法律、ガイドライン、仕様等

名称 URL
電気通信事業における個人情報保護に関するガイドライン(平成10年12月2日郵政省告示第570号)https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/d_guide_01.html
個人情報の保護に関する法律(個人情報保護法)https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=415AC0000000057
コンピュータ不正アクセス対策基準平成8年8月8日(通商産業省告示第362号)https://www.meti.go.jp/policy/netsecurity/UAaccessCMG.htm
JISQ15001 個人情報保護https://www.meti.go.jp/policy/it_policy/privacy/jis_shian.pdf
JISQ27002 情報セキュリティマネジメントの実践のための規範https://www.jisc.go.jp/app/jis/general/GnrJISNumberNameSearchList?toGnrJISStandardDetailList
Remote Desktop Protocolhttps://docs.microsoft.com/ja-jp/windows/win32/termserv/remote-desktop-protocol?redirectedfrom=MSDN
Understanding the Remote Desktop Protocol (RDP)https://docs.microsoft.com/en-us/troubleshoot/windows-server/remote/understanding-remote-desktop-protocol
タイトルとURLをコピーしました