個人情報漏洩と損害賠償 -損害賠償額算出式-

(1/1)
謝罪
日本ネットワークセキュリティ協会(JNSA)が公表した「2009年度 情報セキュリティインシデントに関する調査報告書」によると、2008年(平成20年)に起きた個人情報漏洩の事故・事件について、被害をすべて金銭で賠償したとすると総額3,890億4,289万円に達すると推計しています。公表された事件は1,539件と過去最高で、漏洩した個人情報は572万1,498人に達します。
一人あたりの平均損害賠償額は4万9,961円と過去と比べてもそれほど変化はありませんが、1件あたりの平均損害賠償額は2億6,683万円と莫大な金額です。
実際に個人情報漏洩事故を起こしてしまった場合、企業はどの位の損害賠償請求を覚悟しなければならないのでしょうか。

経営課題はUSBメモリ紛失とウイルスメール

日経BPコンサルティングの「IT資産戦略白書2013-2015」によると、IT資産管理に関連した経営課題について調査したところ、個人情報・機密情報を保存したUSBメモリ紛失が最も重要であり、次いでウイルスメールによる信用失墜や障害が重要であることが分かった。

USBメモリの紛失については、「個人情報を保存したUSBメモリを紛失し、その対外的な公表を余儀なくされ、信用を失うこと」、および「機密情報を保存したUSBメモリを紛失し、事業に支障が出ること」の2つが大きな経営課題だ。
ウイルスメールについては、「受信したウイルスメールの内容を信じて処理したことで、取引先の信用を失うこと」、および「ウイルスメールを受信したことで、システム障害が起きること」の2つが大きな経営課題だ。
SankeiBiz,2013年9月25日より

宇治市の住民基本台帳漏洩事件

1998年(平成10年)4月、宇治市から乳幼児健診システム開発を委託された企業のアルバイト男性が、住民基本台帳データをコピーして名簿業者に売却するという事件が起き、約21万人分の個人情報が「宇治市住民票」としてネット上で売買される事態になりました。
宇治市は名簿業者を通じて名簿を回収し、6月3日に「完全回収宣言」を市議会総務委員会に報告しました。
しかし、市議会議員と市民は、精神的苦痛を理由に損害賠償請求の民事訴訟を起こした。
2001年(平成13年)12月25日、京都地裁は「開発会社の社員を指揮・監督して、データ管理に万全を尽くすこと が要請されていた」と宇治市の使用者責任を認め、慰謝料など1人当たり1万5000 円(慰謝料1万円、弁護士費用5000円)の支払いを命じました。また、開発会社にも同額の賠償を言い渡しました。(判決文
宇治市は控訴しますが、大阪高等裁判所は控訴棄却。2002年(平成14年)7月、最高裁においても宇治市の上告は棄却されました。

個人情報保護法施行前の事件でしたが、個人情報を漏洩された個人に対する賠償額が確定した判決として、以降の賠償請求のモデルとなっています。

賠償額が高額になったケース

2007年(平成19年)2月8日、東京地裁は、個人情報漏洩事故を起こしたコミー(現・TBCグループ)に対し、原告13名に1人当たり3万5000円、1名に2万2000円の支払いを命じました。いままでにない高額の損害賠償命令です。
これは、身体に関わる情報(体重など)は、個人情報の中でも特に秘匿されなければならないという観点から、このような高額になったものです。

2011年(平成23年)5月、ソニーグループのオンラインサービスから最大1億件以上の個人情報(クレジットカード番号を含む)が流出した可能性のある事件で、ソニーは被害額を保障する保険や、セキュリティ強化、カスタマーサポート、法務調査関連、売り上げ減少に基づく利益への影響など、現時点で判明している影響を試算し、140億円の経費を計上しました。
狙われるソニー・クループ
2011年
4月26日
アメリカ プレイステーション・ネットワーク,キュリオシティ 約7700万人分の個人情報流出
5月2日 アメリカ ソニー・オンラインエンタテイメント 約2640万人分の個人情報流出
5月7日 アメリカ ソニー・エレクトロニクス 約2500人分の個人情報流出
5月20日 日本 ソネットエンタテイメント 会員ポイントが不正使用
5月24日 ギリシア ソニー・ミュージックエンタテイメント 約8500人分の個人情報集出
5月24日 タイ,インドネシア サイバー攻撃を受ける 被害無し
5月25日 カナダ ソニー・エリクソン・モバイルコミュニケーションズ 約2000人分の個人情報流出

被害が無くても賠償したケース

IBMが神奈川県立高校に在籍した生徒11万人の銀行口座番号をネットに流出させてしまった事件(2008年11月発覚)では、2009年(平成21年)9月28日、日本IBMが約1674万円を神奈川県に賠償することになりました。
これまで被害は確認されていませんが、内訳は、県職員の時間外勤務手当など1374万円及び違約金300万円となっています。
また、今後も県や生徒・保護者が損害を受けた場合はIBMが賠償するとしています。

このケースでは、後日、流出した個人情報をShareネットワークに再放流した者がおり、著作権法違反容疑で逮捕されています。個人情報保護法は個人の過失を問うことができないので、当該個人情報がIBMの著作物であると見なして容疑を固めたもの。
しかし、この放流者は釈放後に起訴状をアップロードし、検察官に対しては「次回は著作物が混ざらないようにクリーニングした上で漏えいさせる」と言って出所したといいます。

情報漏洩のコストは2億円超

シマンテックが2012年(平成24年)5月に発表した「2011年(平成23年)情報漏えいのコストに関する調査:日本版」によると、日本における情報漏洩の主な原因は「従業員の不注意」であり、情報漏洩が発生した場合に企業が負うコストは平均で2億71万9847円にのぼるとしています。
これには、情報漏洩の検出/エスカレーション(原因究明)と顧客への通知、事後対応、ならびに顧客離れに伴う事業面での損失が含まれます。中でも事業損失の額は最も多く、平均で7505万7636円にのぼります。また、情報漏洩発生後の顧客離れ率は平均して3.5%としています。

一方で、「通知」に要するコストは最も少なく、漏洩が発生してから30日以内に被害者への通知を行う場合、さらにコストを削減できる可能性があるといいます。迅速な通知が損害額を軽減する有効な方策のようです。

JNSAによる「損害賠償額算出式'03」

宇治市の事件をベースに、日本ネットワークセキュリティ協会(JNSA)は損害賠償として想定される金額の算出式を考案しました。この式は「損害賠償額算出式'03」と呼ばれ、下記のように計算します。
損害賠償額 = 基礎情報価値 [500]
         × 機微情報度 [Max(10x - 1 + 5 y - 1)]
         × 本人特定容易度 [6,3,1]
         × 情報漏えい元組織の社会的責任度 [2,1]
         × 事後対応評価 [2,1]
基礎情報価値は定数で 500 ポイントです。それ以降の項目について、順を追って説明します。
機微情報度は、xの最大値およびyの最大値を選び、10の(x - 1)乗に5の(y - 1)乗を加えた結果を指します。

機微情報度

機微な個人情報とは、センシティブな個人情報を指します。具体的には次のような内容です。
  • 思想・信条・宗教など
  • 人種・本籍地・社会的身分・犯罪歴など
  • 障害の有無、健康診断や病歴など
  • デモなどへの参加歴
  • 労働組合などへの加盟歴
  • 性生活に関する事項
これらは JIS Q 15001:2006 に定められています。

まず、精神的苦痛と経済的損失を SimpleER図 というマトリックスで表します。

漏洩情報項目を、このマトリックス中にプロットします。複数の漏洩項目がある場合は、精神的苦痛レベル(x)の最大値と、経済的損失レベル(y)の最大値を、(10x-1+5y-1) に当てはめます。
たとえば、氏名、住所、スリーサイズ、クレジットカード番号とカード有効期限が漏れた場合は、精神的苦痛レベルの最大値は 2、経済的損失レベルの最大値は 3 です。したがって、機微情報度

(102-1 + 53-1) = 10 + 25 = 35 (ポイント)

ということになります。
SimpleER図
  精神的苦痛レベル1 レベル2 レベル3
経済的損失
レベル3
口座番号&暗証番号,クレジットカード番号&カード有効期限,銀行のアカウント&パスワード 遺言書 前科前歴,犯罪歴,与信ブラックリスト
レベル2 パスポート情報,購入記録,ISPのアカウント&パスワード,口座番号のみ,クレジットカード番号のみ,銀行のアカウントのみ 年収・年収区分,資産,建物,土地,残高,借金,所得,借り入れ記録  
レベル1 氏名,住所,生年月日,性別,金融機関名,住民票コード,メールアドレス,健康保険証番号,年金証書番号,免許証番号,社員番号,会員番号,電話番号,ハンドル名,健康保険証情報,年金証書情報,介護保険証情報,会社名,学校名,役職,職業,職種,身長,体重,血液型,身体特性,写真(肖像),音声,声紋,体力診断,ISPのアカウントのみ 健康診断,心理テスト,性格判断,妊娠経験,手術歴,看護記録,検査記録,身体障害者手帳,DNA,病歴,治療法,指紋,レセプト,スリーサイズ,人種,地方なまり,国籍,趣味,特技,嗜好,民族,日記,賞罰,職歴,学歴,成績,試験得点,メール内容,位置情報 加盟政党,政治的見解,加盟労働組合,信条,思想,宗教,信仰,本籍,病状,カルテ,認知症,身体障害,知的障害,精神的障害,保有感染症,性癖,性生活

本人特定容易度

本人特定容易度は、漏洩した個人情報からの本人特定のし易さを表すものです。下表の判定基準に基づき、1,3,6のいずれかのポイントとなります。
本人特定容易度 判定基準
ポイント 判定基準 具体的内容
個人を簡単に特定可能 「氏名」「住所」が含まれること
コストをかければ個人が特定できる 「氏名」または「住所 + 電話番号」が含まれること
特定困難 上記以外

情報漏洩元組織の社会的責任度

社会的責任度が一般より高い組織は、「個人情報の保護に関する基本方針(平成16年4月2日閣議決定)」に「適正な取扱いを確保すべき個別分野」として挙げられている業種を基準とし、そこへ政府機関など公的機関と知名度の高い大企業を含めることにしています。下表の判定基準に基づき、1,2のいずれかのポイントとなります。
社会的責任度 判定基準
ポイント 判定基準 具体的内容
一般より高い 個人情報の適正な取り扱いを確保すべき個別分野の業種(医療、金融・信用、情報通信など)および公的機関、知名度の高い大企業
一般的 その他一般的な企業および団体、組織

事後対応評価

事後対応評価は、下表の判定基準に基づき、1,2のいずれかのポイントとなります。
事後対応評価 判定基準
ポイント 判定基準 具体例
適切な対応 すばやい対応
被害状況の把握
事件の公表
状況の逐次公開(ホームページ,メール,文書)
被害者に対する事実周知,謝罪
被害者に対する謝罪(金券の進呈を含む)
顧客に与えるであろう影響の予測
クレーム窓口の設置
漏えい情報回収の努力
通報者への通報のお礼と顛末の報告
顧客に対する補償
経営者の参加による体制の整備
原因の追究
セキュリティ対策の改善
各種手順の見直し
専門家による適合性の見直し
外部専門家の参加による助言や監査の実施
不適切な対応 指摘されても放置したままである
対応が遅い
繰り返し発生させている
対策を施したが、有効でない
虚偽報告
不明、その他  

事例への適用

では、損害賠償額算出式'03 を宇治市の事例に適用してみましょう。
漏洩した個人情報は、「住民番号、住所、氏名、性別、生年月日、転入日、転出先、世帯主名、世帯主との続柄等」なので、精神的苦痛・経済的損失ともにレベル1です。したがって、機微情報度は

(101-1+51-1) = 1 + 1 = 2(ポイント)

2ポイントとなります。
本人特定容易度については、氏名と住所がセットで漏洩しているので、6ポイントです。
社会的責任度については、自治体という公的機関であることから、2ポイントです。
事後対応評価については、市長自らが素早く対応していることなどから、1ポイントです。

これを 損害賠償額算出式'03 に当てはめると

500 × 2 × 6 × 2 × 1 = 12,000 (ポイント)

すなわち、漏洩情報1件につき1万5,000円の賠償額が想定されます。
実際、判決では1人当たり1万5,000円の慰謝料を命じていますから、だいたい当たっているというところでしょうか。

また、Yahoo!BB(BBテクノロジー)の会員情報漏洩事件では、2006年(平成18年)5月19日、大阪地裁が1人当たり6,000円(慰謝料5,000円、弁護士費用1,000円)の支払いを命じました。
漏洩情報などは宇治市の事例と同等の内容ですが、判決文からは社会的責任度を1ポイントと見なしているようで(BBテクノロジーは情報通信業のはずですが)、損害賠償額算出式'03 に当てはめると

500 × 2 × 6 × 1 × 1 = 6,000 (ポイント)

漏洩情報1件につき6,000円の賠償額となり、判決と等価です。
なお、2007年(平成19年)6月の第二審(大阪高裁)判決では1人当たり5,500円(慰謝料5,000円、弁護士費用1,000円)に減額されました。減額の理由は、損害額自体を低く見積もったわけではなく、事件直後、会員に500円の郵便振替支払通知書を郵送したことをもって、賠償の一部弁済として控除したのです。
2007年(平成19年)12月14日、最高裁はヤフーの上告を退け、賠償が確定しました。

最後にTBCの事例です。
氏名、住所に加え、スリーサイズなどの身体情報が漏洩しているので、精神的苦痛はレベル2になります。これを 損害賠償額算出式'03 に当てはめると

500 × 11 × 6 × 1 × 1 = 33,000 (ポイント)

漏洩情報1件につき3万3千円の賠償額となり、またしても判決の3万5千円の近い数字です。

以上の結果から、損害賠償額算出式'03 は賠償額の目安として利用できると考えられます。

想定損害賠償額シミュレータ

JNSA「損害賠償額算出式'03」に基づくシミュレータです。チェックボックスまたはラジオボタンを選択してください。最後に「損害賠償想定金額」の計算結果が表示されます。
機微情報度
口座番号&暗証番号,クレジットカード番号&カード有効期限,銀行のアカウント&パスワード
遺言書
前科前歴,犯罪歴,与信ブラックリスト
パスポート情報,購入記録,ISPのアカウント&パスワード,口座番号のみ,クレジットカード番号のみ,銀行のアカウントのみ
年収・年収区分,資産,建物,土地,残高,借金,所得,借り入れ記録
氏名,住所,生年月日,性別,金融機関名,住民票コード,メールアドレス,健康保険証番号,年金証書番号,免許証番号,社員番号,会員番号,電話番号,ハンドル名,健康保険証情報,年金証書情報,介護保険証情報,会社名,学校名,役職,職業,職種,身長,体重,血液型,身体特性,写真(肖像),音声,声紋,体力診断,ISPのアカウントのみ
健康診断,心理テスト,性格判断,妊娠経験,手術歴,看護記録,検査記録,身体障害者手帳,DNA,病歴,治療法,指紋,レセプト,スリーサイズ,人種,地方なまり,国籍,趣味,特技,嗜好,民族,日記,賞罰,職歴,学歴,成績,試験得点,メール内容,位置情報
加盟政党,政治的見解,加盟労働組合,信条,思想,宗教,信仰,本籍,病状,カルテ,認知症,身体障害,知的障害,精神的障害,保有感染症,性癖,性生活

 

本人特定容易度
個人を簡単に特定可能 「氏名」「住所」が含まれること
コストをかければ個人が特定できる 「氏名」または「住所 + 電話番号」が含まれること
特定困難 上記以外

 

漏洩元組織の社会的責任度
一般より高い 個人情報の適正な取り扱いを確保すべき個別分野の業種(医療、金融・信用、情報通信など)および公的機関、知名度の高い大企業
一般的 その他一般的な企業および団体、組織

 

事後対応評価
適切な対応 すばやい対応
被害状況の把握
事件の公表
状況の逐次公開(ホームページ,メール,文書)
被害者に対する事実周知,謝罪
被害者に対する謝罪(金券の進呈を含む)
顧客に与えるであろう影響の予測
クレーム窓口の設置
漏えい情報回収の努力
通報者への通報のお礼と顛末の報告
顧客に対する補償
経営者の参加による体制の整備
原因の追究
セキュリティ対策の改善
各種手順の見直し
専門家による適合性の見直し
外部専門家の参加による助言や監査の実施
不適切な対応 指摘されても放置したままである
対応が遅い
繰り返し発生させている
対策を施したが、有効でない
虚偽報告
不明、その他  

 

損害賠償想定金額=
500 × × × × = 円/1件当たり

個人情報損害賠償保険

損害賠償額算出式'03 で最悪のケースを計算すると、1件当たり150万円という賠償額になってしまいます。
さらに、この計算式で得られる賠償額に加え、次のような経済的損失が考えられます。
直接被害金額情報漏洩により失われた利益(売上額×利益率)と、機会損失によるマイナス。
間接被害金額対策組織業務にかかわる人件費、原因調査費など。
損害賠償金額上述の個人への損害賠償に加え、弁護士費用、裁判費用、謝罪広告、謝罪訪問費、見舞い品費用など。また問い合わせ窓口にかかる費用も。
潜在化被害影響を受けた業務の人件費、ブランド価値の低下(株価への影響など含む)。
JNSA によれば、2005年(平成17年)の個人情報漏洩事件1件当たりの平均想定損害賠償額は7億868万円に達するといいます。こうしたリスクに対し、個人情報漏洩に備えた専門の損害保険が用意されています。
さらに2007年度のレポートでは、1件当たりの平均想定損害賠償額は約28億円、1年間の想定損害賠償総額は2兆2,710億円に及びます。
実際に賠償金として支払われているのはごく僅かとはいえ、個人情報を扱うことの利益が十分あることを認識している企業は、リスク対策として損害保険をかけるといいでしょう。

海外事情

米国のセキュリティ企業マカフィーの委託を受けてデータモニター社が実施した調査レポート「Datagate: The Next Inevitable Corporate Disaster?」(避けられない企業災害?)では、セキュリティ被害による企業倒産の可能性が指摘されています。
この調査は、米、英、仏、独、豪国の従業員数250人以上の企業を対象に、IT専門家1400人以上に対して行われたもの。これによると、回答者の33%が、不慮の、あるいは意図的な大規模な機密データの漏えいにより、企業が倒産に追い込まれる可能性があると答えています。
また、回答者の60%が過去1年間で情報漏えいを経験していると答え、過去2年間一度も経験していないと答えた回答者はわずか6%でした。
さらに、個人情報が漏洩した場合、顧客への告知には平均26万8000ドル(約3000万円)を要するという数字が示されています。

韓国では、2007年(平成19年)9月18日、SKテレコムの有無線ブログサービス「トシ(tossi)」で、2500人の個人情報が流出する事件が起こりました。SKテレコムは過失を認め、被害者に7万ウォン(約8930円)の商品券を支給しました。賠償総額は1億7500万ウォン(約2232万円)に及びます。
また、2006年(平成18年)に韓国国民銀行が顧客の名前や住民番号、メールアドレスなどを流出した事件では、賠償額が1人当たり10万ウォン(約1万2750円)という判決が出ています。

2009年(平成21年)2月、米国企業のデータ保護を手掛けるPGPがスポンサーとなりPonemon Instituteが実施した調査によると、2008年(平成20年)に起きた情報流出での対応コストは1件あたり平均665万ドルという結果が出ました。顧客情報1件あたりの平均金額で見ると、2007年(平成19年)の197ドルから2008年(平成20年)は202ドルに増えました。
このコストの内訳で「事業機会の喪失」が69%を占めています。つまり、情報流出によって顧客を失うことが一番のダメージなのです。この割合は、2006年(平成18年)は54%、2007年(平成19年)は65%と、増加傾向にあります。
PGPは、情報流出が企業の経営と評判に深刻な打撃を与えかねないことが、今回の調査で実証されたと解説しています。

日本情報漏えい年鑑

イードが運営する法人向け情報セキュリティ専門メディア「ScanNetSecurity」は、2012年度に日本国内で発生した主要な個人情報漏えい事件・事故を取りまとめた資料「日本情報漏えい年鑑2013」を発刊した。
どのような事件が何故起きたのか、2012年(平成24年)に発生した代表的情報漏えい事故約50件を編年的に総覧できるほか、索引に掲載された企業名から漏えい事故を検索することもできる。

事故毎に「事故発生のリリース発表日」「企業・団体名」「漏えい件数」「漏えい原因」「ファイル共有ソフト関与の有無」「関連URL」を収録し、企業のセキュリティ担当者、法務総務担当者、セキュリティ業界関係者に向けて、自社あるいは自社の属する業界にどのようなリスクがあるか、また、それが事故としてどのように具体化するかを把握することができる。

また、CSVファイルで提供される、「日本情報漏えい年鑑 2005-2012」は、個人情報保護法が施行された2005年(平成17年)1月から、2012年(平成24年)12月までの8年間に国内で発生した主要な情報漏えい事故、約800件のデータを収録している。

価格は書籍版が3万1500円、PDFファイル版(CD-ROM)が2万1000円。2005~2012年(平成24年)を収録したローデータCSVファイル版(CD-ROM)が15万7500円。

参考サイト

(この項おわり)
header