前回までは,個人情報取扱事業者にどのような義務が発生し,具体的には,どのような態様で義務に違反することになるのかという点について解説しました。今回は,個人情報取扱事業者が,IT企業に顧客の個人情報の管理を委託していた場合の使用者責任や,個人情報を漏洩させた従業員の責任について検討してみます。
個人情報取扱事業者には使用者責任が課せられることも
例えば,「Aさん(個人)はB社のホームページ上から,B社のサービスに申し込むため個人情報をB社に提供したところ,B社はC社に個人情報の管理を委託しており,C社が管理していたサーバーの設定ミスのため,不特定多数に個人情報が流出した」(以下「事案1」という)という場合を想定してみましょう。
個人情報保護法には,個人情報取扱事業者の義務が規定されていますが,Aさんが損害賠償請求する場合,根拠となるのは民法上の不法行為責任(民法709条,715条)となるでしょう(契約が成立していれば契約責任を追求することも考えられます)。
事案1の場合,Aさんとしては,直接個人情報を管理していたC社に対して,自己のプライバシー権が侵害されたことを根拠に,民法709条で損害賠償を請求し,C社に個人情報の管理を委託していた,B社については,民法715条に基づいて使用者責任を追求することが考えられます。
ある事業のために他人を使用する者は、被用者がその事業の執行について第三者に加えた損害を賠償する責任を負う。
この使用者責任は,報償責任(自己の利益のために被用者に事務を処理させる使用者には,被用者の行為によって他人に与えた損害についても責任を負わせるのが公平であること)を根拠とするものです。事案1で,B社が使用者責任を負担するか否かは,B社がC社を実質的に指揮監督する立場にあったといえるか否かで判断されることになります。この点について前回紹介したTBC事件でも以下のように判示されています。
民法七一五条の使用者責任の根拠は、自己の利益のために被用者に事務を処理させる使用者には、被用者の行為によって他人に与えた損害についても責任を負わせるのが公平であること(いわゆる報償責任)に求められることから、使用関係の有無を判断するに当たっては、このような責任の根拠にかんがみ、実質的な指揮、監督関係があるかどうかについて決するのが相当と解される。