« 日本的な、又は日本の実情にあった内部統制? | Main | トーマツ (Deloitte) 金融機関、ライフサイエンス、技術・メディア・通信分野の情報セキュリティグローバル調査 »

2006.06.25

個人情報漏えいで6,000円/人の支払いを命じられたヤフーBBの判決文

 こんにちは、丸山満彦です。2006.05.19に大阪地方裁判所で出た、ヤフーBBに損害賠償金一人あたり5000円、弁護士費用1000円の支払いを命じた判決文。

 
裁判所
検索結果

=====
事件番号:平成16(ワ)5597
事件名:損害賠償請求事件
裁判年月日:平成18年05月19日
裁判所名・部:大阪地方裁判所 第11民事部

判示事項の要旨
 インターネット接続等の総合電気通信サービスの顧客情報として保有処理されていた原告らの氏名・住所等の個人情報が外部に漏えいしたことにつき、同サービスを提供していた被告に、外部からの不正アクセスを防止するための相当な措置を講ずべき注意義務を怠った過失があるとして、原告らの不法行為に基づく損害賠償請求を一部認容した事例。
=====
 なんだか検索しにくいね・・・。

全文PDF

33ページから・・・
=====
2 被告BBテクノロジーの過失について
(1) 注意義務の内容
ア 個人情報の管理に関する一般的な注意義務
 本件サービスが電気通信事業法上の電気通信事業に当たることは争いがなく,被告BBテクノロジーは同法にいう電気通信事業者に当たると認められる(乙3)ところ,本件不正取得が行われた当時,電気通信事業にお
ける個人情報保護に関するガイドライン(平成10年12月2日郵政省告示570号)5条4項は,「電気通信事業者が個人情報を管理するに当たっては,当該情報への不正なアクセス又は当該情報の紛失,破壊,改ざん,漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずるものとする。」と定めていた。
 また,被告BBテクノロジーは,第2の1(3)ア,(4)のとおり,原告らを含む本件サービスの顧客の個人情報をデータベースとして保有,管理しており,個人情報保護法にいう個人情報取扱事業者に当たると解されるところ,同法20条は,「個人情報取扱事業者は,その取り扱う個人データの漏えい,滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と定めている(なお,同法は,平成15年5月30日に成立したが,本件不正取得が行われた当時は,まだ施行されていなかった。)。
 これらの点に鑑みると,被告BBテクノロジーは,本件不正取得が行われた当時,顧客の個人情報を保有,管理する電気通信事業者として,当該情報への不正なアクセスや当該情報の漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていたと認められる。
イ リモートアクセスに関する注意義務
 上記のとおり,本件においては,本件リモートメンテナンスサーバーを通じて,本件顧客データベースサーバーにリモートアクセスが可能な状態となっていた。
 リモートアクセスについては,JIS規格や,コンピュータ不正アクセス対策基準(平成8年通商産業省告示第362号)で,その危険性が指摘され,不正アクセスへの対策について各種の規定がされているところであり(規定の内容については被告らも争わない。),これらの規定等の存在が示すように,あるサーバーに対してリモートアクセスを可能にすることは,それ自体,当該サーバーに対する外部からの不正アクセスの危険を高めるものであるといえる。
 被告BBテクノロジーは,個人情報の管理に関してアのとおりの注意義務を負うのであるから,本件顧客データベースサーバーについて,そもそも必要性がない場合又は必要性のない範囲にリモートアクセスを認めることは許されず,また,リモートアクセスを可能にするに当たっては,不正アクセスを防止するための相当な措置を講ずべき注意義務を負っていたというべきである。

(2) リモートアクセスに関する注意義務違反の存否
ア リモートアクセスの必要性及びその範囲の相当性
 (ア) 被告BBテクノロジーが,平成14年12月に本件リモートメンテナンスサーバーを設置して,本件顧客データベースサーバーへのリモートアクセスを可能にしたのは,前記のとおり,休日や夜間に社外からサーバーのメンテナンスを行う必要からというものであった。
 乙6の1によれば,同年12月当時の本件サービスの利用状況については,同月末の接続回線数が約169万件であり,前月に比べ約23万件の増加をしていたと認められ,同月当時,新規加入の顧客情報の入力や,登録された情報の変更等の作業は相当な量に上るものと推認でき,顧客データベースに不具合が生じた場合に至急復旧する必要性もあったと認められる。また,本件顧客データベースサーバーについて,前記のとおり,同年11月に実際にトラブルが生じていることにも照らせば,同年12月当時,被告BBテクノロジーにおいて,社外からメンテナンスを行うため,リモートアクセスを認める必要性がなかったとはいえない。
 (イ) また,本件アカウントに,本件リモートメンテナンスサーバーや,本件顧客データベースサーバーを含むその他のサーバーについての管理者権限を与えていたことについても,前記のとおり,社外からのメンテナンス作業を行うためにこれを付与していたと認められるから,メンテナンス作業に必要な範囲を超えた権限を与えていたとはいえない。
イ 不正アクセス防止のための相当な措置
(ア) アクセス管理の体制
 前記のとおり(第2の1(6)ウ),本件リモートメンテナンスサーバーについては,そのIPアドレスを特定して,登録されたユーザー名・パスワードを入力すれば,リモートデスクトップでログオンすることが可能であって,被告BBテクノロジーは,本件リモートメンテナンスサーバーに対するアクセス管理として,ユーザー名とパスワードによる認証を行っていたが,特定のコンピュータ以外からはリモートアクセスができないようにする措置はとられていなかったものと認められる。
 なお,証拠(甲25,26,乙7の16)及び弁論の全趣旨によれば,本件不正取得当時において,リモートアクセスを認める場合に,ユーザー名とパスワードによる認証以外に,コールバック機能等を使用することによって,特定のコンピュータからのアクセスしか認めないというようなアクセス規制をする方法は存在したものと認められる。
(イ) ユーザー名とパスワードの管理
 本件においては,前記のとおり,本件リモートメンテナンスサーバーに登録されているユーザー名とパスワードについて,被告BBテクノロジーは,①本件アカウントを共有アカウントとしてAに与えていたこと,②平成15年2月末にAが退職した際に,本件アカウントを含めAが知り得たユーザー名を削除したりそのパスワードを変更したりしなかったこと,③本件リモートメンテナンスサーバーの設置から平成16年1月までの約1年間,登録されているユーザー名について,パスワードの定期的な変更を行わなかったことが認められる。
また,前記のとおり,④平成15年12月30日と平成16年1月5日に,本件リモートメンテナンスサーバーに登録されていたユーザー名のパスワードが変更されていたり,本件アカウントが削除されていたりしたことに気付いていたものの,パスワードが変更されていたユーザー名について元のパスワードに戻して,その使用を継続させていた。
 (ウ) 以上の被告BBテクノロジーにおけるリモートアクセスの管理体制は,ユーザー名とパスワードによる認証以外に外部からのアクセスを規制する措置がとられていない上,肝心のユーザー名及びパスワードの管理が極めて不十分であったといわざるを得ず,同被告は,多数の顧客に関する個人情報を保管する電気通信事業者として,不正アクセスを防止するための前記注意義務に違反したものと認められる。
 なお,同被告は,本件リモートメンテナンスサーバーのIPアドレスを第三者が特定することは困難であると主張する。しかし,同被告は,退職した元従業員等,もともと本件リモートメンテナンスサーバーのIPアドレスを知り得る立場にある者による不正アクセスについても,これを防止するための相当な措置を講ずべきであると解されるから,IPアドレスの特定の困難性は上記判断に影響を与えるものではない。

(3) 予見可能性及び結果回避可能性について
ア 予見可能性
 前記のとおり,Aは,被告BBテクノロジーにおいて,本件顧客データベースサーバーを含むサーバー管理業務を行っており,又,リモートアクセスを業務上認められていた。また,乙10によれば,被告BBテクノロジーは,Aが被告BBテクノロジーでの業務を始めるに当たって,被告BBテクノロジーの営業上ないし技術上の情報についての秘密保持等に関する誓約書を書かせていたことが認められる。
 被告BBテクノロジーがAに行わせていた業務の内容,与えていた権限の内容に,前記誓約書を書かせていたことを総合すれば,Aが業務を終える際に同被告とトラブルがあったか否かにかかわらず,同被告は,Aが業務を終えた後に,業務中に知り得たパスワード等の情報を用いたり,他人にそれらの情報を漏らしたりすることによる不正アクセスについては,予見可能であったというべきであり,本件不正取得についても予見可能であったと認められる。
イ 結果回避可能性
 本件において,後記のとおり原告らの個人情報が含まれていたと認められるのは1月のデータであるが,Bによる1月のデータの不正取得については,それまでに,被告BBテクノロジーが,本件アカウントを含むユーザー名・パスワードの適切な管理等,不正アクセスを防止するための相当な措置を採っていれば防ぎ得たといえるから,結果回避可能性も認められる。
 この点,被告BBテクノロジーは,Aはその他のパスワード等によって被告BBテクノロジーのサーバーに侵入することも可能であった等として,本件アカウントについて,いくら厳重に管理していても,Bによる1月のデータの取得は防止できなかったと主張する。
 確かに,前記本件不正取得の経緯のとおり,Bは,平成15年12月27日,本件リモートメンテナンスサーバーから,本件アカウントを削除しており,その後は,本件リモートメンテナンスサーバーにリモートデスクトップでログオンする際には,自らがパスワードを変更したユーザー名を用いるなどして,本件アカウントを使用していない。
 しかし,本件リモートメンテナンスサーバーに多数のユーザー名・パスワードを登録している状況において,不正アクセスを防止するための相当な措置をとるためには,本件アカウントを含め,それら全体について適切な管理を行うべきことは当然である。1月のデータの不正取得については,前記の本件不正取得の経緯に照らし,例えば,本件アカウントのみならず,サーバー管理業務を行っていたAが知り得たと思われるユーザー名について,Aの退職時にこれを削除したり,パスワードを変更することによって防げた可能性が高いし,パスワードについての定期的な変更を行ったり,又は,平成16年1月に第三者によってパスワードが変更されていることに気付いた際など,全面的なパスワード変更を少なくとも1回行うことによっても防ぎ得たといえるから,この点についての被告BBテクノロジーの主張は採用できない。

 (4) 以上によれば,被告BBテクノロジーは,本件リモートメンテナンスサーバーを設置して本件顧客データベースサーバー等のサーバーへのリモートアクセスを行うことを可能にするに当たり,外部からの不正アクセスを防止するための相当な措置を講ずべき注意義務を怠った過失があり,同過失により本件不正取得を防ぐことができず,原告らの個人情報が第三者により不正に取得されるに至ったというべきである。したがって,同被告は,原告らに対し,本件不正取得により原告らの被った損害を賠償すべき不法行為責任がある。
=====

なるほどね・・・

|

« 日本的な、又は日本の実情にあった内部統制? | Main | トーマツ (Deloitte) 金融機関、ライフサイエンス、技術・メディア・通信分野の情報セキュリティグローバル調査 »

Comments

 個人情報保護法の施行後の漏洩だと「個人情報取扱事業者は,その取り扱う個人データの漏えい,滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」というのも、注意義務の根拠に加わるようですね。
...ψ(。。)メモメモ...

Posted by: 弁護士奥村徹(大阪弁護士会) | 2006.06.25 at 18:44

奥村先生、コメントありがとうございます。
今回の判決は、個人情報保護法施行前の件についてですね。。。
 この判決文、どのようなセキュリティ対策をすべきであったか(当時)が書いているので参考になりますね。

Posted by: 丸山満彦 | 2006.06.26 at 20:45

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/10669837

Listed below are links to weblogs that reference 個人情報漏えいで6,000円/人の支払いを命じられたヤフーBBの判決文:

« 日本的な、又は日本の実情にあった内部統制? | Main | トーマツ (Deloitte) 金融機関、ライフサイエンス、技術・メディア・通信分野の情報セキュリティグローバル調査 »