編集の要約なし
>パパ活也 編集の要約なし |
>貴洋のホルマリン漬 編集の要約なし |
||
| 28行目: | 28行目: | ||
近年、ECサイトの普及に伴い、クレジットカード(以下「クレカ」という)に係る情報(以下「クレカ情報」という) の漏えい事案が増加している。 | 近年、ECサイトの普及に伴い、クレジットカード(以下「クレカ」という)に係る情報(以下「クレカ情報」という) の漏えい事案が増加している。 | ||
新型コロナウイルス感染症拡大の対策として、外出自粛の呼びかけおよびECサイトの利用が推奨された結果、各社はその対応を迫られ、EC事業の開始を検討する企業が増加している。そのような企業の中には手数料を考慮して、大手ECモールに出店するのではなく、比較的容易にECサイトを作成できるソフトを利用し、自社ECサイトを開設する企業も増加している<ref>1 たとえば、BASE株式会社が提供するネットショップ作成サービスにおける累計ショップ開設数は、2020年2月時点では190万店ほどであったが、2021年3月時点では140万店を超えている(総務省「令和3年版 情報通信白書」(2021年7月))。</ref>。 | 新型コロナウイルス感染症拡大の対策として、外出自粛の呼びかけおよびECサイトの利用が推奨された結果、各社はその対応を迫られ、EC事業の開始を検討する企業が増加している。そのような企業の中には手数料を考慮して、大手ECモールに出店するのではなく、比較的容易にECサイトを作成できるソフトを利用し、自社ECサイトを開設する企業も増加している<ref group="注"><!--1-->たとえば、BASE株式会社が提供するネットショップ作成サービスにおける累計ショップ開設数は、2020年2月時点では190万店ほどであったが、2021年3月時点では140万店を超えている(総務省「令和3年版 情報通信白書」(2021年7月))。</ref>。 | ||
これらを背景としてECサイトが増加し、経済産業省の調査結果によると、2013年時点で約11兆円であったEC市場規模 (国内 BtoC-EC市場のみ) は、2021年時点で約20兆円に達している<ref>2 経済産業省「令和3年度電子商取引に関する市場調査報告書」(2022年8月)</ref>。 | これらを背景としてECサイトが増加し、経済産業省の調査結果によると、2013年時点で約11兆円であったEC市場規模 (国内 BtoC-EC市場のみ) は、2021年時点で約20兆円に達している<ref group="注"><!--2-->経済産業省「令和3年度電子商取引に関する市場調査報告書」(2022年8月)</ref>。 | ||
そして、ECサイトの増加に伴い、消費者によるクレカ情報の入力機会も増加した結果、ECサイトからのクレカ情報漏えい事案(以下「クレカ情報漏えい事案」という)も増加している<ref>3 なお、ECサイトからのクレカ情報漏えい事案の増加は、磁気ストライプのクレカからICクレカの移行によりクレカ自体の偽造が困難となっていることも一因と考えられる。</ref>。 | そして、ECサイトの増加に伴い、消費者によるクレカ情報の入力機会も増加した結果、ECサイトからのクレカ情報漏えい事案(以下「クレカ情報漏えい事案」という)も増加している<ref group="注"><!--3-->なお、ECサイトからのクレカ情報漏えい事案の増加は、磁気ストライプのクレカからICクレカの移行によりクレカ自体の偽造が困難となっていることも一因と考えられる。</ref>。 | ||
このことは、ECサイトからのクレカ情報漏えい事案に限らないものの、国内で発行されたクレカの不正利用による被害が2021年に過去最高額の約330億円に上ったという日本クレジット協会の調査結果(【図表1】参照)にも顕著に表れている。 | このことは、ECサイトからのクレカ情報漏えい事案に限らないものの、国内で発行されたクレカの不正利用による被害が2021年に過去最高額の約330億円に上ったという日本クレジット協会の調査結果(【図表1】参照)にも顕著に表れている。 | ||
[[ファイル:デジタル法務20231月号図表1.jpg| | [[ファイル:デジタル法務20231月号図表1.jpg|500px|center]] | ||
=== Ⅱ クレカ情報漏えい事案の概要およびその特徴 === | === Ⅱ クレカ情報漏えい事案の概要およびその特徴 === | ||
| 42行目: | 42行目: | ||
クレカ情報漏えい事案とは、ECサイトで商品を購入する際に、決済画面においてクレカ情報を入力のうえ決済を行うが、その際に入力したクレカ情報が盗み出され、不正に使用されるという事案である。 | クレカ情報漏えい事案とは、ECサイトで商品を購入する際に、決済画面においてクレカ情報を入力のうえ決済を行うが、その際に入力したクレカ情報が盗み出され、不正に使用されるという事案である。 | ||
不正利用分について、クレジットカード会社がその会員規約<ref>4 たとえば、三井住友カード会員規約(個人用)14条項「.....当社は、会員が紛失・盗難により他人にカードもしくはカード情報またはチケットを不正利用された場合であって、前条第2項に従い警察および当社への届出がなされたときは、これによって本会員がるカードまたはチケット等の不正利用による損害をてん補します。」と、一定の場合にクレカ保有者に不正利用分を補償することを規定している(<nowiki>https://www.smbc-card.com/mem/kiyaku/responsive/pdf/smbo-card_kiyaku_kajin.pdf</nowiki>)。</ref>に基づきクレカの保有者に補償した場合、当該補償額相当額について、クレカ情報の漏えい原因となったECサイトの運営企業(以下「ECサイト運営企業」という)がクレジットカード会社から求償を受けることになる。 | 不正利用分について、クレジットカード会社がその会員規約<ref group="注"><!--4-->たとえば、三井住友カード会員規約(個人用)14条項「.....当社は、会員が紛失・盗難により他人にカードもしくはカード情報またはチケットを不正利用された場合であって、前条第2項に従い警察および当社への届出がなされたときは、これによって本会員がるカードまたはチケット等の不正利用による損害をてん補します。」と、一定の場合にクレカ保有者に不正利用分を補償することを規定している(<nowiki>https://www.smbc-card.com/mem/kiyaku/responsive/pdf/smbo-card_kiyaku_kajin.pdf</nowiki>)。</ref>に基づきクレカの保有者に補償した場合、当該補償額相当額について、クレカ情報の漏えい原因となったECサイトの運営企業(以下「ECサイト運営企業」という)がクレジットカード会社から求償を受けることになる。 | ||
==== 2 クレカ情報漏えい事案の特徴 ==== | ==== 2 クレカ情報漏えい事案の特徴 ==== | ||
| 48行目: | 48行目: | ||
一般的な個人情報の漏えいの場合、漏えいした個人情報の主体たる本人から、個人情報の管理者に対し、プライバシー権侵害により精神的損害を被ったとして損害賠償請求が行われることが想定される。その際の認定額については、過去の裁判例が参考になる。 | 一般的な個人情報の漏えいの場合、漏えいした個人情報の主体たる本人から、個人情報の管理者に対し、プライバシー権侵害により精神的損害を被ったとして損害賠償請求が行われることが想定される。その際の認定額については、過去の裁判例が参考になる。 | ||
著名な裁判例としては、2014年7月に発覚した大手通信教育事業者からの約2,800万件に及ぶ個人情報の漏えい事件 (いわゆるベネッセ事件) に関する一連の裁判例があげられる。そのうち大阪高等裁判所の令和元年判決では、氏名、住所、生年月日、性別等が漏えいしたところ、損害額として1人あたり1,000円が認定された<ref>5 大阪高判令元20判時2448号26頁</ref>。 | 著名な裁判例としては、2014年7月に発覚した大手通信教育事業者からの約2,800万件に及ぶ個人情報の漏えい事件 (いわゆるベネッセ事件) に関する一連の裁判例があげられる。そのうち大阪高等裁判所の令和元年判決では、氏名、住所、生年月日、性別等が漏えいしたところ、損害額として1人あたり1,000円が認定された<ref group="注"><!--5-->大阪高判令元20判時2448号26頁</ref>。 | ||
このように、漏えいした個人情報がすでに公となっていることが多く、また、本人自らそれを公表する機会も多いような内容の場合には、プライバシー侵害の程度としては比較的低いと判断され、損害額も低くなる傾向にある。ベネッセ事件に関する東京高等裁判所の令和2年判決でも、上記氏名等のほか出産予定日が漏えいした事業について、1人あたり3,300円(慰謝料3,000円、弁護士費用300円)が損害として認定されている<ref>6 東京高判令2.3.25(判例集未登載)</ref>。 | このように、漏えいした個人情報がすでに公となっていることが多く、また、本人自らそれを公表する機会も多いような内容の場合には、プライバシー侵害の程度としては比較的低いと判断され、損害額も低くなる傾向にある。ベネッセ事件に関する東京高等裁判所の令和2年判決でも、上記氏名等のほか出産予定日が漏えいした事業について、1人あたり3,300円(慰謝料3,000円、弁護士費用300円)が損害として認定されている<ref group="注"><!--6-->東京高判令2.3.25(判例集未登載)</ref>。 | ||
他方、通常第三者が知り得ない情報まで漏えいした場合には、プライバシー侵害の程度は高いと判断され、損害額も高くなる傾向にある。たとえば、エステを受けようとしていることやエステの施術コースといった情報が漏えいした事案 (いわゆるTBC事件) では、損害額として1人あたり最大3万5,000円 (慰謝料 | 他方、通常第三者が知り得ない情報まで漏えいした場合には、プライバシー侵害の程度は高いと判断され、損害額も高くなる傾向にある。たとえば、エステを受けようとしていることやエステの施術コースといった情報が漏えいした事案 (いわゆるTBC事件) では、損害額として1人あたり最大3万5,000円 (慰謝料 | ||
3万円 弁護士費用 5,000円) が認定された<ref>7 東京高判平19.8.28判タ 1264号299頁 原審東京地判平19.2.8 判時1964号113頁)</ref>。 | 3万円 弁護士費用 5,000円) が認定された<ref group="注"><!--7-->東京高判平19.8.28判タ 1264号299頁 原審東京地判平19.2.8 判時1964号113頁)</ref>。 | ||
また、被告 (京都府宇治市) の再々委託先のアルバイト従業員が住民約22万人の住民基本台帳データを不正にコピーしてこれを名簿販売業者に販売し、当該名簿販売業者がこれをさらに販売した事案において、損害額として1人あたり1万5,000円 (慰謝料1万円、弁護士費用5,000円) が認定されたこともあるが<ref>8 大阪高判平13.12.25 265号11頁 原審: 京都地判平13.2.23 半自265号 17頁)</ref>、同事案は地方自治体による漏えいという点に特徴がある。 | また、被告 (京都府宇治市) の再々委託先のアルバイト従業員が住民約22万人の住民基本台帳データを不正にコピーしてこれを名簿販売業者に販売し、当該名簿販売業者がこれをさらに販売した事案において、損害額として1人あたり1万5,000円 (慰謝料1万円、弁護士費用5,000円) が認定されたこともあるが<ref group="注"><!--8-->大阪高判平13.12.25 265号11頁 原審: 京都地判平13.2.23 半自265号 17頁)</ref>、同事案は地方自治体による漏えいという点に特徴がある。 | ||
以上のとおり、近年の裁判例の傾向としては、特殊事情がない場合においては、1人あたり数千円程度が個人情報漏えいにおける賠償額の相場となっているといえる。そのため、実務上は、漏えいした個人情報の管理者が情報の主体たる本人に対し、500円~1,000円分程度のQUOカード等を配布することで事態の収束が図られる場合も散見される。 | 以上のとおり、近年の裁判例の傾向としては、特殊事情がない場合においては、1人あたり数千円程度が個人情報漏えいにおける賠償額の相場となっているといえる。そのため、実務上は、漏えいした個人情報の管理者が情報の主体たる本人に対し、500円~1,000円分程度のQUOカード等を配布することで事態の収束が図られる場合も散見される。 | ||
| 64行目: | 64行目: | ||
また、一般的な個人情報の漏えいの場合、被害の回復は通常は民事訴訟の提起を通じた個人情報の管理者に対する損害賠償請求によって図られるため、情報の主体たる本人にとって権利行使のハードルが高く実際に請求がなされることが多くないといえる。 | また、一般的な個人情報の漏えいの場合、被害の回復は通常は民事訴訟の提起を通じた個人情報の管理者に対する損害賠償請求によって図られるため、情報の主体たる本人にとって権利行使のハードルが高く実際に請求がなされることが多くないといえる。 | ||
他方、クレカ情報漏えい事案の場合、クレカの保有者は、クレジットカード会社に対してクレカが不正利用されたことの届出をすれば、不正利用による損害の填補を受けられることになる。そのため、クレカ情報漏えい事案の場合には、漏えい対象者による被害回復のための請求が顕在化しやすいという特徴がある。そして、クレジットカード会社は補償額の合計額を集計のうえ、 加盟店契約<ref>9 たとえば、ユーシーカード加盟店規約の23条7項は、「個人情報への不当なアクセスまたは個人情報の紛失・破壊・改ざん漏洩等の危険に対し、合理的な安全対策を講じるものとします。」と規定し、29条3項は、「加盟店は、加盟店または業務委託先が第23条および第24条に違反することにより当社、カード会社、提携組織、または会員に損害を生じせしめた場合には、これにより当社、カード会社、提携組織、または会員が被った損害等を賠償する義務を負うものとします。」と規定し項(3)において 「カードの不正使用による損害。」と規定している (<nowiki>https://www2.uccard.co.jp/uc/kameiten/other/kameiten_kiyaku.html</nowiki>)。</ref>に基づいてECサイト運営企業に求償をする (なお、実務上の運用としては、クレカ情報漏えい事案発生の公表前にクレジットカード会社とECサイト運営企業とで費用精算に関する合意書を締結する場合が多い)。その結果、一般的な個人情報の漏えいと比較して、漏えい原因となった企業の賠償責任は顕在化しやすいともいえる。 | 他方、クレカ情報漏えい事案の場合、クレカの保有者は、クレジットカード会社に対してクレカが不正利用されたことの届出をすれば、不正利用による損害の填補を受けられることになる。そのため、クレカ情報漏えい事案の場合には、漏えい対象者による被害回復のための請求が顕在化しやすいという特徴がある。そして、クレジットカード会社は補償額の合計額を集計のうえ、 加盟店契約<ref group="注"><!--9-->たとえば、ユーシーカード加盟店規約の23条7項は、「個人情報への不当なアクセスまたは個人情報の紛失・破壊・改ざん漏洩等の危険に対し、合理的な安全対策を講じるものとします。」と規定し、29条3項は、「加盟店は、加盟店または業務委託先が第23条および第24条に違反することにより当社、カード会社、提携組織、または会員に損害を生じせしめた場合には、これにより当社、カード会社、提携組織、または会員が被った損害等を賠償する義務を負うものとします。」と規定し項(3)において 「カードの不正使用による損害。」と規定している (<nowiki>https://www2.uccard.co.jp/uc/kameiten/other/kameiten_kiyaku.html</nowiki>)。</ref>に基づいてECサイト運営企業に求償をする (なお、実務上の運用としては、クレカ情報漏えい事案発生の公表前にクレジットカード会社とECサイト運営企業とで費用精算に関する合意書を締結する場合が多い)。その結果、一般的な個人情報の漏えいと比較して、漏えい原因となった企業の賠償責任は顕在化しやすいともいえる。 | ||
以上のことから、たとえば一つのECサイトからクレカ情報が1万件分流出した場合には、賠償額が1億円 (1人あたりの不正利用額1万円×1万人)を超える賠償請求が実際になされることも十分に想定される。 | 以上のことから、たとえば一つのECサイトからクレカ情報が1万件分流出した場合には、賠償額が1億円 (1人あたりの不正利用額1万円×1万人)を超える賠償請求が実際になされることも十分に想定される。 | ||
| 85行目: | 85行目: | ||
なお、【図表2】のとおり不正利とは、用分のデータを分析し, それぞれ過去の真正利用先を調査・特定して、そこから発見された共通の利用元であるECサイトがクレカ情報流出元の可能性が高いという考え方である。 | なお、【図表2】のとおり不正利とは、用分のデータを分析し, それぞれ過去の真正利用先を調査・特定して、そこから発見された共通の利用元であるECサイトがクレカ情報流出元の可能性が高いという考え方である。 | ||
[[ファイル:デジタル法務20231月号図表2.jpg| | [[ファイル:デジタル法務20231月号図表2.jpg|500px|center]] | ||
([[ECサイトからのクレジットカード情報漏えい事案における法的留意点(下)|次号]]に続く) | ([[ECサイトからのクレジットカード情報漏えい事案における法的留意点(下)|次号]]に続く) | ||