記事

個人情報漏洩で脆弱なシステムの責任をソフトメーカーに問う事例

個人情報が漏洩してしまったという場合、漏洩した企業はお詫びとか、お詫びの品のクオカードとか、さらには調査費用とか、様々な出費を迫られる。

その出費は誰のせいにできるかというと、漏洩させた従業員とか委託先とかがあれば、そいつに請求できる。漏洩がシステムの脆弱性にあるとすると、例えばSQLインジャンクションSQLインジェクション対策が十分でなかったというような既知のリスク対策を怠ったシステム納入業者があれば、その業者に請求する。(ご指摘によりタイポ修正)

そんな事例が判例集に載っていた。

東京地判平成26年1月23日判時2221号71頁

この判決はインテリアのオンラインショップの事例で、クレジットカード情報が暗号化されないでいたこと、SQLインジェクションが原因で流出したこと、流出の程度は最大でクレジットカード情報が7316件,クレジットカード情報を含まない個人情報が9482件漏洩した可能性が存することが認定されている。

情報漏洩のルートは必ずしも明らかになっていないようだが、おなじみのラックが調査報告書を作成している。

また、経産省やIPAが個人情報漏洩対策に注意喚起をし、SQLインジェクションに際しての「バインド機構の使用又はエスケープ処理を施したプログラム」が推奨されていたことから、これらの対策をとるべき債務があったのにこれを怠った債務不履行責任を認めたのである。

注目の損害だが、以下のように認められている。
契約委託料27万円程度
顧客への謝罪費用1863万円余り
クオカードと包装代1636万円余り
郵送代124万円余りなど
顧客からの問い合わせ等の対応費用500万円弱
調査費用400万円弱(これは半分以上がラックの調査費用)
売上損失400万円等
合計約3232万円が相当因果関係ある損害と認められている。

なお、システム改修の必要についてはショップ側も認識していながら先延ばししていたということも認定されていて、3割の過失相殺が主張なしにされている。

かくして、弁護士費用も含めて2262万円余りの賠償を認めたというものである。

このケースではクレジットカード情報も漏洩したということなので、消費者の方にも被害が発生した可能性もあるし、漏洩が判明したきっかけは通報であったというので、ますます実害がありえたと思うが、それは判決に現れていない。
他の個人情報漏洩事案では現実にクレジットカードの悪用が発生しているので、上記の損害は最小限のものと見るべきである。

ということで、若干の油断から3000万円以上の直接の損失と、それ以上の信用失墜の損害を被ることになる個人情報漏洩、改めてルールは人のためならずだ。

あわせて読みたい

「個人情報」の記事一覧へ

トピックス

ランキング

  1. 1

    共産党の式欠席に「ありえない」

    音喜多 駿(参議院議員 / 東京都選挙区)

  2. 2

    渋野騒動 日テレのスポーツ軽視

    WEDGE Infinity

  3. 3

    竹中氏もMMT認めざるを得ないか

    自由人

  4. 4

    韓国はなぜ延々謝罪を要求するか

    紙屋高雪

  5. 5

    株バブル過熱で短期調整の可能性

    藤沢数希

  6. 6

    なぜベーシックインカムに反対か

    ヒロ

  7. 7

    上司無視…モンスター部下の実態

    PRESIDENT Online

  8. 8

    斎藤佑樹からの連絡「戦力外?」

    NEWSポストセブン

  9. 9

    コロナ死者数に含まれる別の死因

    青山まさゆき

  10. 10

    無策の菅政権「日本危なくなる」

    畠山和也

ランキング一覧

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。