平成26年7月，株式会社ベネッセコーポレーション（以下「ベネッセ」といいます。）が，顧客の個人情報約760万件の外部漏洩を確認したと発表しました。原因として，ベネッセのデーターベース管理の委託先関係者による不正アクセスが取りざたされています。

また，株式会社ジャストシステム（以下「ジャスト社」といいます。）がこのうち約257万件を名簿業者を通して入手し，これを利用してダイレクトメールを発送していたと発表し，あわせて，当該データを全て削除すると発表しました。

これに対し，ベネッセは，データ削除は原因究明の妨げになる，とする懸念を発表しました。当該プレスリリースには，「我々は自らの責任を他社に転嫁するものではありません。」という一文が添えられていますが，さて，今回の事件では，誰がどのような責任を負いうるのでしょうか。

• まず，個人情報保護法上の責任です。

  同法22条は，「個人情報取扱事業者は，個人データの取扱いの全部又は一部を委託する場合は，その取扱いを委託された個人データの安全管理が図られるよう，委託を受けた者に対する必要かつ適切な監督を行わなければならない」としており，ベネッセについては，この監督義務違反が問題となります。

  また，同法17条は，「個人情報取扱事業者は，偽りその他不正の手段により個人情報を取得してはならない」としており，ジャスト社については，適正取得義務違反が問題となります。ジャスト社のプレスリリースによれば，「個人情報は，適法かつ公正に入手したものであることを条件とした契約を締結」しているが，「データの入手経路を確認しながら，最終的にはデータの出所が明らかになっていない状況で契約に至り，購入していた」とのことであり，かかる情報取得の過程に過失がないかという問題です。

  一方，ジャスト社が発表した情報の「消去」に関しては同法27条に定めがあり，(1)個人情報によって識別される特定の個人から，(2)適正取得の規定に違反して取得されたものであるという理由によって消去を求められ，(3)その求めに理由があることが判明したときに，遅滞なく消去すべき義務があるとされています。ジャスト社としては，遅かれ早かれ多くの消去請求が予想されることや，消去請求が個別になされなくとも，潜在的には消去が求められてしかるべき情報であることから，全部削除を選択したものと推測されます。

• 次に，不正競争防止法上の責任です。

  ベネッセの顧客データベースは，同法にいう「営業秘密」に該当する可能性が高く，同法2条1項5号により，「営業秘密について不正取得行為が介在したことを知って，若しくは重大な過失により知らないで営業秘密を取得又は使用する行為」は不正競争となり，不正競争行為者は損害賠償責任などを負うことになります。

  ここでも，ジャスト社の情報取得過程における過失の有無およびその程度が問題になります。不正競争と認められれば，ジャスト社が不正競争行為者で，ベネッセは被害者となります。

• 最後に，流出情報によって識別される個人（例えば受講者）に対する責任です。

  過去にも，個人情報の流出事件では，流出企業が任意に金券を配布したり，訴訟において民法上の不法行為に該当するとして損害賠償責任が認められたりしており，その額は，事案に応じて1件あたり500円や1万円など様々です。

  本件では，クレジットカード番号や成績情報などは流出していないとのことですが，仮に損害賠償責任が認められる場合，流出情報によって識別される個人（例えば受講者）が被害者で，ベネッセが賠償責任者となります。また，個人情報保護法17条違反を理由とするジャスト社の不法行為責任も問題となり得ます。

このように，法の適用によって，ある当事者が，加害者にもなれば被害者にもなります。今後もなされるであろう様々な報道や発表が，どのような断面でなされているのか，気にしてみて下さい。

折しも，先日より，「パーソナルデータの利活用に関する制度改正大綱」のパブリックコメント募集が行われており，いわゆるビッグデータの利用などに関し，特定の個人が識別される可能性を低減したデータに加工したものについて，本人の同意なしに第三者提供等を含めた利用を認める法改正がなされる可能性があります。そのような流れの中で発生した今回の事件が，この法改正に与える影響も要注目です。

また，個人情報に対する意識もこれを機に高まることが予想されますので，以前に作成したプライバシーポリシーが，現状に適合しているかの再確認についても留意してください。

※注　本コラムは，平成26年7月13日までのプレスリリースおよび報道を前提として記載しています。