個人情報流出が社会的問題になったのは、1994年12月の東京都江戸川区で住民健康診断データ9万人分が流出したのが最初のケースと言われている。この当時は損害賠償などの民事事件には発展せず、収束した。その後、全国信用情報センター連合会から83万人分のデータの流出、テンプスタッフ社の登録者、9万人の個人データの流出、百貨店の高島屋から顧客情報50万人流出などの事故があったが、損害賠償問題で注目されることはなかった。
もっぱら社会的責任が論点だった。

個人情報流出が損害賠償に結びついたのは、1999年の京都市宇治市の住民票データ流出事件がきっかけである。宇治市住民票データ21万件が流出したが、そのうち、宇治市民の有志が宇治市に対して損害賠償を要求し、1人当たり1万円の勝訴判決を得た。告訴人は3人だったので、宇治市の支払った賠償額は軽微だが、その後、情報流出事件の処理に対する賠償基準を作った点で、大きな出来事だった。早稲田大学で外国要人が講演した際に警察の求めに応じて大学当局は聴講学生のデータを警察に提出した。学生側から裁判が起こされたが、この際に参考にされたのが宇治市事件での判決で、告訴人1人当たり1万円の支払いが命じられている。

損害賠償問題で次に注目されたのが、2004年、ソフトバンクBBから加入者情報451万人分が流出した事件である。会社側は流出された情報が悪用された形跡がないが、謝罪として会員１人当たり500円の商品券を支給すると発表した。告訴される前からの機敏な対応だった。実害が確認されない段階でも、会員全員に支払う賠償額が「500円」と、基準ができた。謝罪文の告知や500円の商品券の申請受け付けや配布のための広告費や人件費なども含めてざっと40億円のコストがかかるのではないか、と推定された。後に、ソフトバンクBBから流出した情報は660万人で、サービスの中でＩＰ電話の通話記録が140万件流出したことも判明したので、同社の負担コストはさらに増大すると見られていた。

もっとも、実際には500円の少額の商品券というので、申請する数はそう多くはなく、最終的なコストはかなり低かったのではないかと推測される。しかし、当時は、個人情報流出事件は1件当たり500円の賠償で、巨額の損失が発生する、との認識が広がった。その後、コンビニエンスストアやクレジットカード会社、消費者金融、インターネット通販事業者などからの顧客情報の流出がたびたび発生しているが、その際の会員への賠償がどうなったか、はっきりしたデータは公表されていない。概ね、1人当たり500円から1000円という範囲ではないか。

問題が1つ起きた。賠償額の基準ができたために、個人データ流出事件が「企業恐喝」の材料にされるようになったのである。「窃盗団（？）」のグループから、「顧客データを保持しているが、これを公表すると数十億円の損害賠償を払わなければならなくなる。今、我々から個人データの入ったファイルを数千万円で購入してくれれば、情報は破棄してあげる」との恐喝である。

こうした犯人グループによって、個人情報の入ったファイルを企業が盗まれるのだから、一見すると企業も「被害者」に思える。しかし、実際の仕組みでは、企業が訴えられる。そのロジックは簡単である。企業の「管理責任」である。個人情報は本質的に、顧客や会員そのものの所有物である。これを企業側が預かって有効に使おうとしている。流通業だけでなく、製造業も、消費者と直接にやりとりして膨大な取引データを蓄積するに至っている。これを企業側では適切に管理して資格のない社員のアクセス禁止やハッカーからのサイバーアタック対策などの安全策を講じたうえで、保管している。保管しているデータが、外部に流出するなどの事故が起きれば大変である。事件が起こらないように対策を打つのが企業側の「管理責任」である。流出事故が起きれば、当然ながら、責任を果たせなかった企業側が加害者として扱われる。

信用失墜だけでなく賠償責任などの金銭的な影響が広がる。
賠償を払うくらいなら、その経費でサイバーアタックへの備えをするべきだろう。サイバー社会の新しい課題でもある。


【筆者＝JAPiCO理事長　中島洋】
＊本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
＊Japan Foundation for Private Information Conservation Organization