第510回 個人情報漏洩と立証責任の転換

企業が個人情報を漏洩(ろうえい)し、当該個人情報が悪用されて詐欺被害が生じた事件について、台湾高等法院(高等裁判所)は、2024年1月30日、企業側の損害賠償義務を一部認める判決を下しました(台湾高等法院民事判決112年度上字第656号)。

本件の概要は以下のとおりです。

消費者であるXは、B社が管理等する温泉ホテルAのウェブサイトを利用して温泉券を購入した際、氏名、電話番号等の個人情報を記入しました。その後、Xはある者から詐欺の電話を受けましたが、その電話の相手がAのスタッフであると誤信し、約10万台湾元(約47万円)を騙し取られました。そこで、Xは、訴訟を提起し、AおよびBに対し、詐欺被害額である約10万元および慰謝料(非財産上の損害)2万元を請求しました。

企業の立証責任

この請求に関し、裁判所は、まず、下記2つの理由で、AおよびBに立証責任を転換し、結論として、本件詐欺事件で使用された個人情報はAのシステムから漏洩したと認定しました。

1.個人情報保護法第29条第1項は、過失推定原則を採用しており、AおよびBは、故意または過失がないことを証明してはじめて免責される。

2.民事訴訟法第277条では、原則として、自己に有利な事実を主張する側が立証責任を負い、但し、法律に別途規定がある場合、またはその状況により明らかに公平を失する場合はこの限りではない旨が規定されている。本件では、XはAのシステムを管理等しておらず、AB側に証拠が偏在しているため、同条但書が適用される。

そして、裁判所は、本件個人情報の漏洩により、Xのプライバシー権等が不法に侵害されたとし、慰謝料2万元の請求を認めました。

しかし、本件では5423件の個人情報が漏洩したものの、財産上の損害が生じたのは1件だけであり、AおよびBの過失行為とXの財物の損失の間には相当の因果関係が認められず、詐欺被害額である約10万元の請求については棄却しました。

上記裁判例のように、個人情報が漏洩し、損害賠償を請求された場合、企業側で個人情報を適切に管理していたことを証明しなければならないため、どのような安全措置を講じているかについて記録を残しておくことをお勧めします。


執筆者紹介

弁護士 福田 優二

大学時代に旅行で訪れて以来、台湾に興味を持ち、台湾に関連する仕事を希望するに至る。 司法修習修了後、高雄市にて短期語学留学。2017年5月より台湾に駐在。 クライアントに最良のリーガルサービスを提供するため、台湾法および台湾ビジネスに熟練すべく日々研鑽を積んでいる。

本記事は、ワイズコンサルティング(威志企管顧問(股)公司)のWEBページ向けに寄稿した連載記事です。