個人情報流出後の対策ナビ

【法的対応】個人情報流出で損害賠償請求は可能か？要件と手続きの基本

個人情報流出による損害賠償請求の可能性

インターネットサービスを利用している中で、登録した個人情報がサービス提供者からの流出によって漏洩してしまうというリスクはゼロではありません。万が一、個人情報が流出した場合、様々な二次被害（不正利用、なりすまし、詐欺メールなど）に遭う可能性があり、精神的な負担も大きくなります。

このような状況で、「流出元に対して損害賠償を請求できるのだろうか？」と考える方もいらっしゃるでしょう。結論から申し上げますと、個人情報流出を原因とする損害賠償請求が認められるケースは存在します。しかし、請求が認められるためには特定の要件を満たす必要があり、その手続きも容易ではありません。

この記事では、個人情報が流出した際に損害賠償請求が可能となる基本的な考え方、請求が認められるための主な要件、そしてその手続きの概要について解説します。法的な側面に焦点を当てますが、専門的な法律知識がない方にも分かりやすいように、基本的な部分を丁寧にご説明いたします。

個人情報流出と損害賠償請求の法的根拠

個人情報が流出したことに対する損害賠償請求は、主に民法上の「不法行為」または契約（サービス利用規約など）上の「債務不履行」を根拠とすることが考えられます。

• 不法行為（民法第709条）: 他人の権利または法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う、と定められています。個人情報が不正に流出し、それによって被害者が損害を受けた場合、流出させた側（多くの場合、情報を管理していた企業など）の過失（不注意）や故意が認められれば、不法行為に基づく損害賠償責任が発生する可能性があります。プライバシー権の侵害も、ここでいう法律上保護される利益の侵害にあたると考えられます。
• 債務不履行（民法第415条）: 契約に基づき義務を負っているにも関わらず、その義務を果たさなかったために相手方に損害を与えた場合に発生する責任です。オンラインサービスの利用規約などで、ユーザーの個人情報を適切に管理する義務が定められている場合、その義務を怠った結果として情報が流出したのであれば、債務不履行に基づく損害賠償責任が発生する可能性があります。

また、個人情報保護法も企業に対して個人情報の適切な管理義務を課しています。この義務違反が、上記の不法行為や債務不履行の根拠となることがあります。

損害賠償請求が認められるための主な要件

個人情報流出を理由に損害賠償請求を行う場合、一般的に以下の要件を満たす必要があります。

1. 加害者の故意または過失: 情報を流出させた企業や組織に、個人情報管理上の「故意」（意図的に情報を漏洩させた）または「過失」（本来負うべき注意義務を怠った）があったこと。多くのケースでは、適切なセキュリティ対策を講じていなかったなどの「過失」が争点となります。適切な対策を講じていたにも関わらず、予見不可能な第三者による攻撃などにより流出してしまった場合は、過失が認められない可能性もあります。
2. 損害の発生: 個人情報の流出によって、請求者（被害者）に何らかの損害が発生したこと。損害には、クレジットカードの不正利用による金銭的な被害（財産的損害）だけでなく、情報流出による精神的な苦痛（精神的損害、慰謝料）も含まれると考えられています。
3. 因果関係: 発生した損害が、個人情報流出（加害者の故意または過失）によって引き起こされたものであること。例えば、流出したメールアドレスにフィッシングメールが届き、それに騙されて金銭を失った場合、流出と金銭的損害の間に因果関係があると主張できます。流出そのものによる精神的苦痛も、一般的に因果関係が認められやすい損害です。

これらの要件、特に「加害者の過失」と「損害との因果関係」を証明することが、損害賠償請求において重要となります。

損害の種類

個人情報流出によって発生しうる損害には、主に以下の種類があります。

• 財産的損害: クレジットカードの不正利用額、不正送金された金額、なりすましによって発生した損失などが該当します。これらの損害は比較的客観的に証明しやすい損害と言えます。
• 精神的損害: 自身の個人情報が知らない間に広まってしまったことによる不安、恐怖、怒り、名誉感情の侵害など、精神的な苦痛に対する損害です。この精神的苦痛に対する賠償を「慰謝料」と呼びます。個人情報流出の場合、慰謝料が認められるかどうかが大きな争点となることが多く、裁判例でも様々な判断がなされています。単に情報が流出したという事実だけでなく、流出した情報の種類（氏名、住所、電話番号、クレジットカード情報、機微情報など）や、その後の二次被害の有無・程度などが慰謝料額の判断に影響を与える可能性があります。

損害賠償請求の基本的な流れ

個人情報流出を原因とする損害賠償請求を検討する場合の、一般的な流れは以下のようになります。

1. 情報収集と証拠の保全:
   • 流出元からの通知内容を詳しく確認します。いつ、どのような情報が、どのように流出したのか、原因は何なのかなどを把握します。
   • 流出後に発生した二次被害（フィッシングメール、不正ログイン通知、不審な請求など）に関する証拠（メール、画面キャプチャ、利用明細など）を可能な限り収集し、保存しておきます。
   • 流出元企業の対応状況（再発防止策など）に関する情報も集めておくと良いでしょう。
2. 流出元企業との交渉:
   • まずは流出元企業に対して、情報流出に関する説明を求めるとともに、損害賠償請求を検討している旨を伝えます。企業によっては、個別の状況に応じて一定の補償に応じるケースもあります。
   • この段階での交渉で解決することもあれば、企業側が請求に応じない場合もあります。
3. 専門家への相談:
   • 企業との交渉が進まない場合や、法的な手続きを検討する場合は、弁護士などの専門家に相談することを強く推奨します。個人情報保護法や民法に詳しい弁護士であれば、ご自身のケースで損害賠償請求が可能か、どの程度の金額が認められる可能性があるか、どのような証拠が必要かなどについて具体的なアドバイスを得られます。
   • 弁護士に依頼する場合、相談費用や着手金、成功報酬などが発生しますので、事前に確認が必要です。
4. ADR（裁判外紛争解決手続き）の利用:
   • 裁判によらずに当事者間の和解を仲介する制度です。弁護士会や国民生活センターなどで利用できる場合があります。裁判よりも迅速かつ非公開で解決を図れるメリットがありますが、相手方が手続きに応じる必要があります。
5. 訴訟提起:
   • 企業との交渉やADRでの解決が難しい場合、裁判所に訴訟を提起するという選択肢があります。訴訟では、原告（請求者）が損害賠償請求の要件を満たすこと（企業の過失、損害、因果関係など）を証拠に基づいて主張・立証する必要があります。
   • 訴訟は時間と費用がかかる手続きであり、専門家（弁護士）の協力が不可欠となることがほとんどです。

請求を検討する上での注意点

損害賠償請求を検討する際には、以下の点に注意が必要です。

• 証明の難しさ: 特に「企業の過失」と「損害と流出の因果関係」を具体的に証明することが難しい場合があります。例えば、「流出したメールアドレス宛てにフィッシングメールが来た」ことは証明できても、そのメールが「流出したメールアドレスリストを見て送られたものだ」と断定する証拠がない、といったケースです。
• 慰謝料額の判断: 精神的損害に対する慰謝料は、裁判例でも金額に幅があり、個別の事情によって判断が異なります。必ずしも請求した金額がそのまま認められるわけではありません。
• 時効: 損害賠償請求権には時効があります。一般的に、損害および加害者を知ったときから3年間、または不法行為のときから20年間請求しないと、時効によって権利が消滅します（民法第724条）。流出通知を受け取った時点が「損害および加害者を知ったとき」にあたると考えられますので、迅速な対応が重要です。

まとめ

個人情報が流出した場合、流出させた企業に対して損害賠償請求ができる可能性があります。主な法的根拠は民法上の不法行為や債務不履行であり、請求が認められるためには企業の過失、損害の発生、およびその間の因果関係を証明する必要があります。損害には財産的損害と精神的損害（慰謝料）が含まれます。

請求を検討する場合は、まず流出通知の内容や発生した二次被害に関する情報・証拠を収集し、流出元企業と話し合いを試みることが第一歩です。解決が難しい場合や法的な手続きに進む際には、弁護士などの専門家に相談することを強く推奨します。損害賠償請求は容易な道のりではない場合が多いですが、ご自身の権利を守るためにも、まずは情報収集と専門家への相談から始めてみるのが良いでしょう。