会社から損害賠償1億円も! うっかりでは済まない情報流出
個人情報保護法が施行され、会社内部における情報管理がますます求められる一方で、情報流出事件は後を絶たない。
2007年3月には、大日本印刷が過去最大級となる約863万件の情報流出を公表した。取引先からダイレクトメール印刷用に預かっていた個人情報を、業務委託先の社員が不正に持ち出したものだ。今年に入ってからも、3月には近鉄百貨店が外商担当社員の私物パソコンからファイル交換ソフトを介し、顧客情報1107人分が流出したと発表。5月には、埼玉りそな銀行が出張所を含む106支店の顧客情報13万3000件の資料を紛失したことを明らかにした。日本銀行では3月、松江支店で内部情報が流出。停職1カ月の処分を受けた職員は自主退職した。
個人情報の流出が相次ぐ中で、通信販売大手のジャパネットたかたは、同社が情報流出に関与したとする元社員に対して1億1000万円の損害賠償を求めて提訴。長崎地方裁判所は5月15日、ジャパネットたかたの請求をほぼ認める判決を出した。情報流出に関して社員に巨額の損害賠償を命じた判決は、会社だけでなく社員一人ひとりが大きなリスクを背負っている現実を、あらためて浮き彫りにした。
「小さなメモリに顧客情報が何十万、何百万件と入る時代。その情報が流出し、仮に被害者全員に1万円ずつ賠償を支払ったとすると、それだけで会社は何十億、何百億円の損害を被る計算になる。社員の責任も追及される。そうしたリスクを自覚する必要がある」と、個人情報保護に詳しい岡村久道弁護士は指摘する。07年の想定損害賠償総額は2兆円以上との試算もある(グラフ)。
プライバシー権侵害で損害賠償の請求
会社が個人情報を流出させた場合、プライバシー権を侵害されたとして被害者から損害賠償を請求されるおそれがある。被害者は、個人情報を流出させた社員を直接訴えることもできるが、社外からは具体的な「犯人」を特定しにくいし、支払い能力の面を考えると社員個人の責任追及には限界がある。
そこで、「使用者責任」を問うことによって会社に損害賠償を請求するのが一般的だ。京都府宇治市の住民基本台帳21万数千人分が流出した事件では、外部委託業者のアルバイト大学生に対する宇治市の使用者責任を認め、住民1人当たり1万円(プラス弁護士費用5000円)の損害賠償の支払いを命じた(02年7月11日最高裁判決)。インターネットプロバイダのヤフーBBの会員情報流出事件では、運営会社のBBテクノロジーとヤフーに1人当たり5500円の損害賠償が課せられた(07年6月21日大阪高裁判決)。
もちろん、社員個人が責任を免れるわけではないのは、ジャパネットたかたの裁判を見ても明らかだ。同社の裁判は、会社が社員に損害賠償を請求したケースだが、会社が被害者に損害賠償を支払った場合には、情報流出に責任のある社員に対して会社は「求償権」を持つことになる。会社が損害賠償の”立て替え払い”をしたのだから、その分を返してくれ、という理屈だ。
