Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ベネッセ判決1000円の重み

ベネッセの内部犯行事件から5年以上経つ事に驚きます。そして裁判で新たな判例が積み重なりました。

www.sankei.com

 

 ベネッセコーポレーション岡山市)の顧客情報が委託先から流出し精神的苦痛を受けたとして、兵庫県の男性が同社に慰謝料10万円を求めた訴訟の差し戻し控訴審判決が20日、大阪高裁であった。木納(きのう)敏和裁判長はプライバシーの侵害を認め、1000円の支払いを命じた

 1、2審判決は、流出がベネッセの過失かどうかについての立証がないなどとして男性の請求を棄却。だが最高裁は平成29年、「精神的損害の有無や程度を十分に検討していない」として2審大阪高裁判決を破棄し、審理を差し戻した。

 木納裁判長は判決理由「(ベネッセは)委託先への監督義務に違反した」と指摘。流出情報を制御できない事態が生じたことを損害と認定し、賠償額についてはベネッセ側がすでにおわびの金券を配布したことなどから、1000円が相当とした

産経新聞記事より引用)

 

◆キタきつねの所感

現状の法律だとこれが正しい賠償額なのかも知れません。一方で諸外国は、GDPR集団訴訟などで課される金額がこんなものではなく、ここ数年で日本との差が広がった気がします。

 

セキュリティは経営責任であるとは言われる様になりましたが、この判決を受けて、上っ面の「賠償金額1000円」だけしか見ない経営者の方も多くなってしまう事を懸念します。

 

当時、色々と関連ニュースを調査しましたが、ベネッセ自体はセキュリティ投資はそれなりにしていたと思います。他社に比べてやってなかったという事は決してありません。それでも内部犯行、あるいはディバイス管理ソフトの脆弱性(パッチ当て不足)等の複合的な要因が重なり、大きな漏えい事件に発展しました。

 

一方で、ベネッセは個人賠償1000円・・・という額で無い社会的なペナルティを受けています。

去年の株主総会資料にはそれが分かる記載があります。(※今年の資料には会員数記載が無いので去年資料から引用してます)

f:id:foxcafelate:20191123111309p:plain

 

会員数の激減です。当時も減少傾向ではありましたが、2014年時点の会員数を、持ち直し始めているとは言え、ベネッセはまだまだ回復できていません

 

セキュリティ対策に万全はありませんが、セキュリティ対策を怠った際の最大リスク、ベネッセ事件の”影響”はそれを物語っているかと思います。

 

今回の損害賠償額の判決について、他国とのバランスを考えると、日本は今後上がっていく事になると思いますが、1000円の賠償額に隠された「経営責任」について、経営層の方々はしっかりと考える必要があるのではないでしょうか。

 

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

「勝訴」のイラスト

 

 
 

更新履歴

  • 2019年11月23日AM(予約投稿)