当社ではホームページ上にメール送信のためのCGIを設置し、お客様から当社にご連絡していただく際にご利用いただいています。ホームページの開設にはレンタルサーバーを利用しており、サーバーから当社にメールが到達するまでの間に通信が傍受されてしまうと、情報が漏洩する可能性が存在しています。このようなシステムで情報が漏洩した場合に当社は法的な責任を負いますか?
情報がネットワークスニッフィング(通信傍受)で漏洩したという事例はあまり見かけませんが、万が一の場合の法律問題を検討する際には、個人情報保護法上の問題と民法上の問題を検討する必要があります。 個人情報保護法上、個人情報の安全管理義務が発生する対象は「個人データ」、すなわちデータベース化された個人情報のみです。メール送信CGIがサーバー内にログを残さない仕組みになっている場合には、サーバーから発信されるメールが個人情報を含んでいたとしても、この個人情報は、法形式上は、「個人データ」には該当せず、安全管理義務を負わないことになります。一方、サーバー内にログを残すシステムになっている場合で、システム上ログ内の情報が検索可能になっている場合には、「個人データ」に該当し、安全管理義務を負うことになります。 もっとも現在のところ、「メールで個人情報を送信すること」は、あまり望ましくないとは言われるものの、それが直ちに安全管理義務に反するものとは解されていません。メールCGIの場合には、送信先のアドレスを間違えたり、サーバーに侵入されて、ログを取得されたり、送信先アドレスを書き換えられたり、自社内で傍受されたりすると安全管理義務違反があったとなる可能性が高いでしょう。 民法上は、メールの内容が漏洩することにより、個人のプライバシーが侵害される結果となった場合に、損害を賠償する義務が発生することとなります(民法709条)。これは単に個人情報が漏洩しただけではなく、漏洩した内容が、個人にとって秘匿を欲する内容であって、未だ公となっていない情報であることが必要です。さらに民法709条は過失責任規定ですので、過失無くして漏洩した場合には、賠償義務を負いません。過失とは「義務違反」をいうのですが、ネットワーク回線の傍受による漏洩の場合に過失が認定されるかについては、現在のところ先立つ裁判例が無く、未だ結論は出ていません。もっとも当職の私見としては、①送信されることとなる情報がプライバシー情報、決済情報、信用情報、センシティブ情報、企業秘密等高度に秘匿性が高い情報であって、②同種の情報についてはSSL等の暗号化措置を執って送信するのが一般的である場合や、漏洩した経路が自社の構内でワイヤ・タッピングされるなど、自らの管理範囲下で行われた場合には過失が認定される可能性が高いでしょう。一方、①想定される情報が単なる問い合わせ情報等類型的に秘匿性が低いもので、②システムが単なる「メール送信システム」であることが明示されている場合には、過失が認定される可能性は低いでしょう。なお現在のインターネット関連システムの通常の技術水準からすると、後者の場合に、メール送信CGIを使用すること自体に過失であると認定される可能性は低いと思われます。