個人情報漏洩と損害賠償 -損害賠償額算出式-

(1/1)
謝罪
日本ネットワークセキュリティ協会(JNSA)が公表した「2009 年度 情報セキュリティインシデントに関する調査報告書」によると、2008 年(平成 20 年)に起きた個人情報漏洩の事故・事件について、被害をすべて金銭で賠償したとすると総額3,890 億 4,289 万円に達すると推計しています。公表された事件は 1,539 件と過去最高で、漏洩した個人情報は 572 万 1,498 人に達します。
一人あたりの平均損害賠償額は 4 万 9,961 円と過去と比べてもそれほど変化はありませんが、1 件あたりの平均損害賠償額は 2 億 6,683 万円と莫大な金額です。
実際に個人情報漏洩事故を起こしてしまった場合、企業はどの位の損害賠償請求を覚悟しなければならないのでしょうか。

経営課題はUSBメモリ紛失とウイルスメール

日経BP コンサルティングの「IT資産戦略白書 2013-2015」によると、IT資産管理に関連した経営課題について調査したところ、個人情報・機密情報を保存した USB メモリ紛失が最も重要であり、次いでウイルスメールによる信用失墜や障害が重要であることが分かった。

USB メモリの紛失については、「個人情報を保存した USB メモリを紛失し、その対外的な公表を余儀なくされ、信用を失うこと」、および「機密情報を保存した USB メモリを紛失し、事業に支障が出ること」の 2 つが大きな経営課題だ。
ウイルスメールについては、「受信したウイルスメールの内容を信じて処理したことで、取引先の信用を失うこと」、および「ウイルスメールを受信したことで、システム障害が起きること」の 2 つが大きな経営課題だ。
SankeiBiz,2013 年 9 月 25 日より

宇治市の住民基本台帳漏洩事件

1998 年(平成 10 年)4 月、宇治市から乳幼児健診システム開発を委託された企業のアルバイト男性が、住民基本台帳データをコピーして名簿業者に売却するという事件が起き、約 21 万人分の個人情報が「宇治市住民票」としてネット上で売買される事態になりました。
宇治市は名簿業者を通じて名簿を回収し、6 月 3 日に「完全回収宣言」を市議会総務委員会に報告しました。
しかし、市議会議員と市民は、精神的苦痛を理由に損害賠償請求の民事訴訟を起こした。
2001 年(平成 13 年)12 月 25 日、京都地裁は「開発会社の社員を指揮・監督して、データ管理に万全を尽くすこと が要請されていた」と宇治市の使用者責任を認め、慰謝料など 1 人当たり 1 万 5000 円(慰謝料 1 万円、弁護士費用5000 円)の支払いを命じました。また、開発会社にも同額の賠償を言い渡しました。(判決文
宇治市は控訴しますが、大阪高等裁判所は控訴棄却。2002 年(平成 14 年)7 月、最高裁においても宇治市の上告は棄却されました。

個人情報保護法施行前の事件でしたが、個人情報を漏洩された個人に対する賠償額が確定した判決として、以降の賠償請求のモデルとなっています。

賠償額が高額になったケース

2007 年(平成 19 年)2 月 8 日、東京地裁は、個人情報漏洩事故を起こしたコミー(現・TBC グループ)に対し、原告 13 名に 1 人当たり 3 万 5000 円、1 名に 2 万 2000 円の支払いを命じました。いままでにない高額の損害賠償命令です。
これは、身体に関わる情報(体重など)は、個人情報の中でも特に秘匿されなければならないという観点から、このような高額になったものです。

2011 年(平成 23 年)5 月、ソニーグループのオンラインサービスから最大 1 億件以上の個人情報(クレジットカード番号を含む)が流出した可能性のある事件で、ソニーは被害額を保障する保険や、セキュリティ強化、カスタマーサポート、法務調査関連、売り上げ減少に基づく利益への影響など、現時点で判明している影響を試算し、140 億円の経費を計上しました。
狙われるソニー・クループ
2011年
4月26日
アメリカ プレイステーション・ネットワーク,キュリオシティ 約7700万人分の個人情報流出
5月2日 アメリカ ソニー・オンラインエンタテイメント 約2640万人分の個人情報流出
5月7日 アメリカ ソニー・エレクトロニクス 約2500人分の個人情報流出
5月20日 日本 ソネットエンタテイメント 会員ポイントが不正使用
5月24日 ギリシア ソニー・ミュージックエンタテイメント 約8500人分の個人情報集出
5月24日 タイ,インドネシア サイバー攻撃を受ける 被害無し
5月25日 カナダ ソニー・エリクソン・モバイルコミュニケーションズ 約2000人分の個人情報流出

被害が無くても賠償したケース

IBM が神奈川県立高校に在籍した生徒 11 万人の銀行口座番号をネットに流出させてしまった事件(2008 年 11 月発覚)では、2009 年(平成 21 年)9 月 28 日、日本 IBM が約 1674 万円を神奈川県に賠償することになりました。
これまで被害は確認されていませんが、内訳は、県職員の時間外勤務手当など 1374 万円及び違約金300 万円となっています。
また、今後も県や生徒・保護者が損害を受けた場合は IBM が賠償するとしています。

このケースでは、後日、流出した個人情報を Share ネットワークに再放流した者がおり、著作権法違反容疑で逮捕されています。個人情報保護法は個人の過失を問うことができないので、当該個人情報が IBM の著作物であると見なして容疑を固めたもの。
しかし、この放流者は釈放後に起訴状をアップロードし、検察官に対しては「次回は著作物が混ざらないようにクリーニングした上で漏えいさせる」と言って出所したといいます。

情報漏洩のコストは2億円超

シマンテックが 2012 年(平成 24 年)5 月に発表した「2011 年情報漏えいのコストに関する調査:日本版」によると、日本における情報漏洩の主な原因は「従業員の不注意」であり、情報漏洩が発生した場合に企業が負うコストは平均で 2 億 71 万 9847 円にのぼるとしています。
これには、情報漏洩の検出/エスカレーション(原因究明)と顧客への通知、事後対応、ならびに顧客離れに伴う事業面での損失が含まれます。中でも事業損失の額は最も多く、平均で 7505 万 7636 円にのぼります。また、情報漏洩発生後の顧客離れ率は平均して 3.5%としています。

一方で、「通知」に要するコストは最も少なく、漏洩が発生してから 30 日以内に被害者への通知を行う場合、さらにコストを削減できる可能性があるといいます。迅速な通知が損害額を軽減する有効な方策のようです。

JNSAによる「損害賠償額算出式'03」

宇治市の事件をベースに、日本ネットワークセキュリティ協会(JNSA)は損害賠償として想定される金額の算出式を考案しました。この式は「損害賠償額算出式'03」と呼ばれ、下記のように計算します。

損害賠償額 = 基礎情報価値 [500]
         × 機微情報度 [Max(10x - 1 + 5 y - 1)]
         × 本人特定容易度 [6,3,1]
         × 情報漏えい元組織の社会的責任度 [2,1]
         × 事後対応評価 [2,1]


基礎情報価値は定数で 500 ポイントです。それ以降の項目について、順を追って説明します。
機微情報度は、x の最大値および y の最大値を選び、10 の(x - 1)乗に 5 の(y - 1)乗を加えた結果を指します。

機微情報度

まず、精神的苦痛と経済的損失を SimpleER 図 というマトリックスで表します。

漏洩情報項目を、このマトリックス中にプロットします。複数の漏洩項目がある場合は、精神的苦痛レベル(x)の最大値と、経済的損失レベル(y)の最大値を、(10x-1+5y-1) に当てはめます。
たとえば、氏名、住所、スリーサイズ、クレジットカード番号とカード有効期限が漏れた場合は、精神的苦痛レベルの最大値は 2、経済的損失レベルの最大値は 3 です。したがって、機微情報度

(102-1 + 53-1) = 10 + 25 = 35 (ポイント)

ということになります。
SimpleER図
  精神的苦痛レベル1 レベル2 レベル3
経済的損失
レベル3
口座番号&暗証番号,クレジットカード番号&カード有効期限,銀行のアカウント&パスワード 遺言書 前科前歴,犯罪歴,与信ブラックリスト
レベル2 パスポート情報,購入記録,ISPのアカウント&パスワード,口座番号のみ,クレジットカード番号のみ,銀行のアカウントのみ 年収・年収区分,資産,建物,土地,残高,借金,所得,借り入れ記録  
レベル1 氏名,住所,生年月日,性別,金融機関名,住民票コード,メールアドレス,健康保険証番号,年金証書番号,免許証番号,社員番号,会員番号,電話番号,ハンドル名,健康保険証情報,年金証書情報,介護保険証情報,会社名,学校名,役職,職業,職種,身長,体重,血液型,身体特性,写真(肖像),音声,声紋,体力診断,ISPのアカウントのみ 健康診断,心理テスト,性格判断,妊娠経験,手術歴,看護記録,検査記録,身体障害者手帳,DNA,病歴,治療法,指紋,レセプト,スリーサイズ,人種,地方なまり,国籍,趣味,特技,嗜好,民族,日記,賞罰,職歴,学歴,成績,試験得点,メール内容,位置情報 加盟政党,政治的見解,加盟労働組合,信条,思想,宗教,信仰,本籍,病状,カルテ,認知症,身体障害,知的障害,精神的障害,保有感染症,性癖,性生活

本人特定容易度

本人特定容易度は、漏洩した個人情報からの本人特定のし易さを表すものです。下表の判定基準に基づき、1,3,6のいずれかのポイントとなります。
本人特定容易度 判定基準
ポイント 判定基準 具体的内容
個人を簡単に特定可能 「氏名」「住所」が含まれること
コストをかければ個人が特定できる 「氏名」または「住所 + 電話番号」が含まれること
特定困難 上記以外

情報漏洩元組織の社会的責任度

社会的責任度が一般より高い組織は、「個人情報の保護に関する基本方針(平成 16 年 4 月 2 日閣議決定)」に「適正な取扱いを確保すべき個別分野」として挙げられている業種を基準とし、そこへ政府機関など公的機関と知名度の高い大企業を含めることにしています。下表の判定基準に基づき、1,2のいずれかのポイントとなります。
社会的責任度 判定基準
ポイント 判定基準 具体的内容
一般より高い 個人情報の適正な取り扱いを確保すべき個別分野の業種(医療、金融・信用、情報通信など)および公的機関、知名度の高い大企業
一般的 その他一般的な企業および団体、組織

事後対応評価

事後対応評価は、下表の判定基準に基づき、1,2のいずれかのポイントとなります。
事後対応評価 判定基準
ポイント 判定基準 具体例
適切な対応 すばやい対応
被害状況の把握
事件の公表
状況の逐次公開(ホームページ,メール,文書)
被害者に対する事実周知,謝罪
被害者に対する謝罪(金券の進呈を含む)
顧客に与えるであろう影響の予測
クレーム窓口の設置
漏えい情報回収の努力
通報者への通報のお礼と顛末の報告
顧客に対する補償
経営者の参加による体制の整備
原因の追究
セキュリティ対策の改善
各種手順の見直し
専門家による適合性の見直し
外部専門家の参加による助言や監査の実施
不適切な対応 指摘されても放置したままである
対応が遅い
繰り返し発生させている
対策を施したが、有効でない
虚偽報告
不明、その他  

事例への適用

では、損害賠償額算出式'03 を宇治市の事例に適用してみましょう。
漏洩した個人情報は、「住民番号、住所、氏名、性別、生年月日、転入日、転出先、世帯主名、世帯主との続柄等」なので、精神的苦痛・経済的損失ともにレベル1です。したがって、機微情報度は

(101-1+51-1) = 1 + 1 = 2(ポイント)

2 ポイントとなります。
本人特定容易度については、氏名と住所がセットで漏洩しているので、6 ポイントです。
社会的責任度については、自治体という公的機関であることから、2 ポイントです。
事後対応評価については、市長自らが素早く対応していることなどから、1 ポイントです。

これを 損害賠償額算出式'03 に当てはめると

500 × 2 × 6 × 2 × 1 = 12,000 (ポイント)

すなわち、漏洩情報1件につき 1 万 5,000 円の賠償額が想定されます。
実際、判決では1人当たり 1 万 5,000 円の慰謝料を命じていますから、だいたい当たっているというところでしょうか。

また、Yahoo!BB(BB テクノロジー)の会員情報漏洩事件では、2006 年(平成 18 年)5 月 19 日、大阪地裁が 1 人当たり 6,000 円(慰謝料 5,000 円、弁護士費用1,000 円)の支払いを命じました。
漏洩情報などは宇治市の事例と同等の内容ですが、判決文からは社会的責任度を1ポイントと見なしているようで(BB テクノロジーは情報通信業のはずですが)、損害賠償額算出式'03 に当てはめると

500 × 2 × 6 × 1 × 1 = 6,000 (ポイント)

漏洩情報 1 件につき 6,000 円の賠償額となり、判決と等価です。
なお、2007 年(平成 19 年)6 月の第二審(大阪高裁)判決では 1 人当たり 5,500 円(慰謝料 5,000 円、弁護士費用1,000 円)に減額されました。減額の理由は、損害額自体を低く見積もったわけではなく、事件直後、会員に 500 円の郵便振替支払通知書を郵送したことをもって、賠償の一部弁済として控除したのです。
2007 年(平成 19 年)12 月 14 日、最高裁はヤフーの上告を退け、賠償が確定しました。

最後に TBC の事例です。
氏名、住所に加え、スリーサイズなどの身体情報が漏洩しているので、精神的苦痛はレベル2になります。これを 損害賠償額算出式'03 に当てはめると

500 × 11 × 6 × 1 × 1 = 33,000 (ポイント)

漏洩情報 1 件につき 3 万 3 千円の賠償額となり、またしても判決の 3 万 5 千円の近い数字です。

以上の結果から、損害賠償額算出式'03 は賠償額の目安として利用できると考えられます。

想定損害賠償額シミュレータ

JNSA「損害賠償額算出式'03」に基づくシミュレータです。チェックボックスまたはラジオボタンを選択してください。最後に「損害賠償想定金額」の計算結果が表示されます。
機微情報度
口座番号&暗証番号,クレジットカード番号&カード有効期限,銀行のアカウント&パスワード
遺言書
前科前歴,犯罪歴,与信ブラックリスト
パスポート情報,購入記録,ISPのアカウント&パスワード,口座番号のみ,クレジットカード番号のみ,銀行のアカウントのみ
年収・年収区分,資産,建物,土地,残高,借金,所得,借り入れ記録
氏名,住所,生年月日,性別,金融機関名,住民票コード,メールアドレス,健康保険証番号,年金証書番号,免許証番号,社員番号,会員番号,電話番号,ハンドル名,健康保険証情報,年金証書情報,介護保険証情報,会社名,学校名,役職,職業,職種,身長,体重,血液型,身体特性,写真(肖像),音声,声紋,体力診断,ISPのアカウントのみ
健康診断,心理テスト,性格判断,妊娠経験,手術歴,看護記録,検査記録,身体障害者手帳,DNA,病歴,治療法,指紋,レセプト,スリーサイズ,人種,地方なまり,国籍,趣味,特技,嗜好,民族,日記,賞罰,職歴,学歴,成績,試験得点,メール内容,位置情報
加盟政党,政治的見解,加盟労働組合,信条,思想,宗教,信仰,本籍,病状,カルテ,認知症,身体障害,知的障害,精神的障害,保有感染症,性癖,性生活

 

本人特定容易度
個人を簡単に特定可能 「氏名」「住所」が含まれること
コストをかければ個人が特定できる 「氏名」または「住所 + 電話番号」が含まれること
特定困難 上記以外

 

漏洩元組織の社会的責任度
一般より高い 個人情報の適正な取り扱いを確保すべき個別分野の業種(医療、金融・信用、情報通信など)および公的機関、知名度の高い大企業
一般的 その他一般的な企業および団体、組織

 

事後対応評価
適切な対応 すばやい対応
被害状況の把握
事件の公表
状況の逐次公開(ホームページ,メール,文書)
被害者に対する事実周知,謝罪
被害者に対する謝罪(金券の進呈を含む)
顧客に与えるであろう影響の予測
クレーム窓口の設置
漏えい情報回収の努力
通報者への通報のお礼と顛末の報告
顧客に対する補償
経営者の参加による体制の整備
原因の追究
セキュリティ対策の改善
各種手順の見直し
専門家による適合性の見直し
外部専門家の参加による助言や監査の実施
不適切な対応 指摘されても放置したままである
対応が遅い
繰り返し発生させている
対策を施したが、有効でない
虚偽報告
不明、その他  

 

損害賠償想定金額=
500 × × × × = 円/1件当たり

個人情報損害賠償保険

損害賠償額算出式'03 で最悪のケースを計算すると、1 件当たり 150 万円という賠償額になってしまいます。
さらに、この計算式で得られる賠償額に加え、次のような経済的損失が考えられます。
直接被害金額情報漏洩により失われた利益(売上額×利益率)と、機会損失によるマイナス。
間接被害金額対策組織業務にかかわる人件費、原因調査費など。
損害賠償金額上述の個人への損害賠償に加え、弁護士費用、裁判費用、謝罪広告、謝罪訪問費、見舞い品費用など。また問い合わせ窓口にかかる費用も。
潜在化被害影響を受けた業務の人件費、ブランド価値の低下(株価への影響など含む)。
JNSA によれば、2005 年(平成 17 年)の個人情報漏洩事件 1 件当たりの平均想定損害賠償額は 7 億 868 万円に達するといいます。こうしたリスクに対し、個人情報漏洩に備えた専門の損害保険が用意されています。
さらに2007 年度のレポートでは、1 件当たりの平均想定損害賠償額は約 28 億円、1 年間の想定損害賠償総額は 2 兆 2,710 億円に及びます。
実際に賠償金として支払われているのはごく僅かとはいえ、個人情報を扱うことの利益が十分あることを認識している企業は、リスク対策として損害保険をかけるといいでしょう。

海外事情

米国のセキュリティ企業マカフィーの委託を受けてデータモニター社が実施した調査レポート「Datagate: The Next Inevitable Corporate Disaster?」(避けられない企業災害?)では、セキュリティ被害による企業倒産の可能性が指摘されています。
この調査は、米、英、仏、独、豪国の従業員数 250 人以上の企業を対象に、IT 専門家 1400 人以上に対して行われたもの。これによると、回答者の 33%が、不慮の、あるいは意図的な大規模な機密データの漏えいにより、企業が倒産に追い込まれる可能性があると答えています。
また、回答者の 60%が過去 1 年間で情報漏えいを経験していると答え、過去 2 年間一度も経験していないと答えた回答者はわずか 6%でした。
さらに、個人情報が漏洩した場合、顧客への告知には平均 26 万 8000 ドル(約 3000 万円)を要するという数字が示されています。

韓国では、2007 年(平成 19 年)9 月 18 日、SK テレコムの有無線ブログサービス「トシ(tossi)」で、2500 人の個人情報が流出する事件が起こりました。SK テレコムは過失を認め、被害者に 7 万ウォン(約 8930 円)の商品券を支給しました。賠償総額は 1 億 7500 万ウォン(約 2232 万円)に及びます。
また、2006 年(平成 18 年)に韓国国民銀行が顧客の名前や住民番号、メールアドレスなどを流出した事件では、賠償額が 1 人当たり 10 万ウォン(約 1 万 2750 円)という判決が出ています。

2009 年(平成 21 年)2 月、米国企業のデータ保護を手掛ける PGP がスポンサーとなり Ponemon Institute が実施した調査によると、2008 年(平成 20 年)に起きた情報流出での対応コストは 1 件あたり平均 665 万ドルという結果が出ました。顧客情報 1 件あたりの平均金額で見ると、2007 年(平成 19 年)の 197 ドルから 2008 年(平成 20 年)は 202 ドルに増えました。
このコストの内訳で「事業機会の喪失」が 69%を占めています。つまり、情報流出によって顧客を失うことが一番のダメージなのです。この割合は、2006 年(平成 18 年)は 54%、2007 年(平成 19 年)は 65%と、増加傾向にあります。
PGP は、情報流出が企業の経営と評判に深刻な打撃を与えかねないことが、今回の調査で実証されたと解説しています。

日本情報漏えい年鑑

イードが運営する法人向け情報セキュリティ専門メディア「ScanNetSecurity」は、2012 年度に日本国内で発生した主要な個人情報漏えい事件・事故を取りまとめた資料「日本情報漏えい年鑑2013」を発刊した。
どのような事件が何故起きたのか、2012 年(平成 24 年)に発生した代表的情報漏えい事故約 50 件を編年的に総覧できるほか、索引に掲載された企業名から漏えい事故を検索することもできる。

事故毎に「事故発生のリリース発表日」「企業・団体名」「漏えい件数」「漏えい原因」「ファイル共有ソフト関与の有無」「関連URL」を収録し、企業のセキュリティ担当者、法務総務担当者、セキュリティ業界関係者に向けて、自社あるいは自社の属する業界にどのようなリスクがあるか、また、それが事故としてどのように具体化するかを把握することができる。

また、CSV ファイルで提供される、「日本情報漏えい年鑑 2005-2012」は、個人情報保護法が施行された 2005 年(平成 17 年)1 月から、2012 年(平成 24 年)12 月までの 8 年間に国内で発生した主要な情報漏えい事故、約 800 件のデータを収録している。

価格は書籍版が 3 万 1500 円、PDF ファイル版(CD-ROM)が 2 万 1000 円。2005~2012 年(平成 24 年)を収録したローデータ CSV ファイル版(CD-ROM)が 15 万 7500 円。

参考サイト

(この項おわり)
header