江崎グリコ、不正アクセスにより約8万3千人の顧客個人情報の流出を公表
岩田合同法律事務所
弁護士 清 瀬 伸 悟
平成28年3月7日、江崎グリコ株式会社(以下「江崎グリコ」という。)は、同社の通信販売サイトにおいて、不正アクセスにより約8万3千件の顧客個人情報が流出した可能性があり、うち約4万3千人についてはクレジットカード情報を含む個人情報が流出した可能性があることを公表した。
発覚の経緯としては、平成28年1月29日にクレジットカード会社からカード情報が流出している可能性がある旨の連絡を受け、第三者調査機関への調査を依頼した結果、上記情報流出が発覚したというものである。流出した情報の内容としては、氏名、住所、電話番号、メールアドレス、クレジットカード情報(番号、有効期限、カード名義)、お届け先情報、家族情報が挙げられている。
情報流出の対象となった顧客への対応策としては、情報流出について通知・謝罪するダイレクトメールの送付、及び顧客がクレジットカード番号の変更を希望する場合に顧客が手数料を負担しないようにする旨が公表されている。また、流出の可能性のあるクレジットカード番号については、クレジットカード会社に連絡済みとのことである。
情報流出の原因としては、不正アクセスと述べるのみであって詳細は不明である。不正アクセスという表現からは、不正アクセス行為の禁止等に関する法律(以下「法」という。)の「不正アクセス行為」(法2条4項)が連想される。
法は、下図のとおり、他人のID・パスワードを使用して不正にログインする行為(法2条4項1号)、及びコンピュータのセキュリティ・ホールを攻撃する行為(法2条4項2号・3号)を「不正アクセス行為」とし、「不正アクセス行為」をした者に対し、3年以下の懲役又は100万円以下の罰金という刑罰を科している(法11条、3条)。
仮に本件で、「不正アクセス行為」があったのだとすれば、江崎グリコが犯罪の被害者という立場になる。しかし、その場合も、江崎グリコが顧客に対する責任を免れるとは限らない。
法8条は、アクセス管理者(本件の場合、江崎グリコが運用するコンピュータに対する不正アクセス行為であれば江崎グリコがアクセス管理者となる)に不正アクセス行為からの防御措置を講じるよう努める義務があることを規定している。また、江崎グリコは、個人情報の保護に関する法律によっても、個人データの漏えいの防止等のために必要かつ適切な措置を講じる義務を負っている(同法20条)。これらの義務を果たしていなかった場合には、江崎グリコが顧客に対して、不法行為等による損害賠償責任を負うことが考えられる。
本件では、クレジットカード情報が流出している点について被害の拡大が心配されるところであるが、前記のとおり、流出の可能性のあるクレジットカード番号をクレジット会社に連絡済みであるから、基本的には、流出したクレジットカード情報を利用した被害は防ぐことができるであろう。
一方で、流出した情報の内容として、氏名、住所、電話番号、メールアドレス、家族情報などが含まれていたということであるから、これらの情報の流出状況によっては、プライバシー侵害による不法行為の成否が問題になり得ると考えられる。
以 上
