編集の要約なし
>パパ活也 (半分くらいしか終わってませんがとりとり) |
>貴洋のホルマリン漬 編集の要約なし |
||
| 50行目: | 50行目: | ||
このように、漏えいした個人情報がすでに公となっていることが多く、また、本人自らそれを公表する機会も多いような内容の場合には、プライバシー侵害の程度としては比較的低いと判断され、損害額も低くなる傾向にある。ベネッセ事件に関する東京高等裁判所の令和2年判決でも、上記氏名等のほか出産予定日が漏えいした事業について、1人あたり3,300円(慰謝料3,000円、弁護士費用300円)が損害として認定されている<ref>6 東京高判令2.3.25(判例集未登載)</ref>。 | このように、漏えいした個人情報がすでに公となっていることが多く、また、本人自らそれを公表する機会も多いような内容の場合には、プライバシー侵害の程度としては比較的低いと判断され、損害額も低くなる傾向にある。ベネッセ事件に関する東京高等裁判所の令和2年判決でも、上記氏名等のほか出産予定日が漏えいした事業について、1人あたり3,300円(慰謝料3,000円、弁護士費用300円)が損害として認定されている<ref>6 東京高判令2.3.25(判例集未登載)</ref>。 | ||
他方、通常第三者が知り得ない情報まで漏えいした場合には、プライバシー侵害の程度は高いと判断され、損害額も高くなる傾向にある。たとえば、エステを受けようとしていることやエステの施術コースといった情報が漏えいした事案 (いわゆるTBC事件) では、損害額として1人あたり最大3万5,000円 (慰謝料 | |||
3万円 弁護士費用 5,000円) が認定された<ref>7 東京高判平19.8.28判タ 1264号299頁 原審東京地判平19.2.8 判時1964号113頁)</ref>。 | |||
また、被告 (京都府宇治市) の再々委託先のアルバイト従業員が住民約22万人の住民基本台帳データを不正にコピーしてこれを名簿販売業者に販売し、当該名簿販売業者がこれをさらに販売した事案において、損害額として1人あたり1万5,000円 (慰謝料1万円、弁護士費用5,000円) が認定されたこともあるが<ref>8 大阪高判平13.12.25 265号11頁 原審: 京都地判平13.2.23 半自265号 17頁)</ref>、同事案は地方自治体による漏えいという点に特徴がある。 | |||
以上のとおり、近年の裁判例の傾向としては、特殊事情がない場合においては、1人あたり数千円程度が個人情報漏えいにおける賠償額の相場となっているといえる。そのため、実務上は、漏えいした個人情報の管理者が情報の主体たる本人に対し、500円~1,000円分程度のQUOカード等を配布することで事態の収束が図られる場合も散見される。 | |||
===== (2)クレカ情報の漏えい ===== | |||
一方、クレカ情報漏えい事案の場合は、プライバシー権侵害に加えて不正利用による経済的な損失が発生するため、1件あたりの被害額が高額となる。 | |||
また、一般的な個人情報の漏えいの場合、被害の回復は通常は民事訴訟の提起を通じた個人情報の管理者に対する損害賠償請求によって図られるため、情報の主体たる本人にとって権利行使のハードルが高く実際に請求がなされることが多くないといえる。 | |||
他方、クレカ情報漏えい事案の場合、クレカの保有者は、クレジットカード会社に対してクレカが不正利用されたことの届出をすれば、不正利用による損害の填補を受けられることになる。そのため、クレカ情報漏えい事案の場合には、漏えい対象者による被害回復のための請求が顕在化しやすいという特徴がある。そして、クレジットカード会社は補償額の合計額を集計のうえ、 加盟店契約<ref>9 たとえば、ユーシーカード加盟店規約の23条7項は、「個人情報への不当なアクセスまたは個人情報の紛失・破壊・改ざん漏洩等の危険に対し、合理的な安全対策を講じるものとします。」と規定し、29条3項は、「加盟店は、加盟店または業務委託先が第23条および第24条に違反することにより当社、カード会社、提携組織、または会員に損害を生じせしめた場合には、これにより当社、カード会社、提携組織、または会員が被った損害等を賠償する義務を負うものとします。」と規定し項(3)において 「カードの不正使用による損害。」と規定している (https://www2.uccard.co.jp/uc/kameiten/other/kameiten_kiyaku.html)。</ref>に基づいてECサイト運営企業に求償をする (なお、実務上の運用としては、クレカ情報漏えい事案発生の公表前にクレジットカード会社とECサイト運営企業とで費用精算に関する合意書を締結する場合が多い)。その結果、一般的な個人情報の漏えいと比較して、漏えい原因となった企業の賠償責任は顕在化しやすいともいえる。 | |||
以上のことから、たとえば一つのECサイトからクレカ情報が1万件分流出した場合には、賠償額が1億円 (1人あたりの不正利用額1万円×1万人)を超える賠償請求が実際になされることも十分に想定される。 | |||
=== Ⅲ クレカ情報漏えいの主な原因および発覚の経緯 === | |||
==== 1 クレカ情報漏えいの主な原因 === | |||
2018年に施行された2016年改正割賦販売法第35条の16は、加盟店 (本稿においてはECサイト運営企業が加盟店の位置づけになる) に対して経済産業省令で定める基準に従い、クレカ情報の適切な管理のために必要な措置を講じなければならないという義務を課した。 | |||
上記の「必要な措置」の具体的内容については、クレジット取引セキュリティ対策協議会で策定された 「クレジットカード・セキュリティガイドライン」を指針とすることとされており、ガイドラインで掲げられている「必要な措置」は、①加盟店におけるクレカ情報の非保持化または②クレカ情報を保持する場合はPCI DSS(Payment Card Industry Data Security Standard)への準拠となっている。 | |||
PCI DSSという世界基準への準拠は、時間やコスト等から考えて現実的ではないため、加盟店においては、実際上クレカ情報を保持しないという対応が求められる。その結果、多くのECサイトでは、クレカの決済システムを組み込むにあたって自動的に非保持になるように設定されている。この非保持の仕様についてはいくつか存在するが共通するのは、クレカ保有者が決済画面において入力した情報がECサイト運営企業のサーバに保持されないという点である。 | |||
本来非保持であれば、ECサイトがサイバ攻撃を受けてもクレカ情報がそのサーバ内に保存されていないため、クレカ情報は窃取されないということになる。 | |||
しかしながら、昨今のサイバー攻撃では、ECサイトの管理画面から不正アクセスのうえ非保持の機能をそもそも改ざんするなどしてECサイトの利用者が決済画面に入力したクレカ情報を窃取しており、非保持化のルアールのもとでも、ECサイトからのクレカ情報漏えい事案は後を絶たないのが実情である。つまりECサイト運営企業はガイドラインを順守していたとしてもクレカ情報漏えいのリスクが存在するということになる。 | |||
==== 2 クレカ情報漏えいの発覚の経緯 === | |||
発覚の経緯としては2つ存在する。1つはECサイト運営企業が不正アクセスを覚知する場合、もう1つはクレジットカード会社がクレカの不正利用をそのモニタリングシステムにおいて検知して、CPP(Common Purchase Point)という考えに基づいて漏えい原因としての可能性が高いECサイト運営企業に連絡が入るというものである。 | |||
なお、【図表2】のとおり不正利とは、用分のデータを分析し, それぞれ過去の真正利用先を調査・特定して、そこから発見された共通の利用元であるECサイトがクレカ情報流出元の可能性が高いという考え方である。 | |||
([[ECサイトからのクレジットカード情報漏えい事案における法的留意点(下)|次号]]に続く) | |||
== 画像 == | == 画像 == | ||