登録した覚えのない業者から営業電話が来た夜、自分の個人情報がどこから漏れたのか、いくら請求できるのか分からず手が止まった経験はないだろうか。あなただけではない——多くの人が『漏洩した会社に慰謝料請求すれば取れる』と思い込み、立証の壁に直面して諦める。試験前夜に『個人情報保護法と民法709条の交錯』が出題されて筆が止まった法学部生も、被害通知書を受け取った当事者も、つまずく場所はほぼ同じだ——最判平成29年10月23日(ベネッセ事件)が示した精神的損害発生要件と、改正個情法の漏洩通知義務(26条)の射程を分解できていない。本記事は2022年4月全面施行・2024年4月再改正の個人情報保護法と、ベネッセ判決および最判令和5年11月17日の射程までを整理する。
この記事を読むと、①個人情報漏洩の法的性質(不法行為709条 vs 債務不履行415条)、②最判平成29年10月23日が画した『精神的損害は事案ごとに認定』の射程、③改正個情法26条の漏洩通知義務(個人情報保護委員会・本人通知)、④慰謝料相場(数千円〜数万円のレンジ)、⑤集団訴訟・特定適格消費者団体の利用可能性、⑥越境データ移転規制(28条)と海外漏洩事案までを一気通貫で押さえられる。
この記事のゴール: 個人情報漏洩賠償を『漏らした会社が悪い』から脱し、不法行為要件と精神的損害の射程に分解できる状態にする。最判平成29年10月23日のベネッセ判決と改正個情法26条、慰謝料の現実的レンジまでを判断軸として提示する。
条文と前提——民法709条と個情法26条の構造
故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う。
個人情報漏洩事案の請求根拠は二系統ある。第一に民法709条の不法行為(プライバシー権侵害)で、これはベネッセ事件最判平成29年10月23日が確認した王道ルート。第二に債務不履行(民法415条)で、契約関係(顧客・会員契約)に基づく安全配慮義務違反として構成する。両者は選択的に主張でき、立証責任の構造が異なる射程にある——不法行為では原告が故意過失を立証するが、債務不履行では債務者側に帰責事由不存在の立証責任が転換される(415条1項ただし書)射程となる。改正前から繰り返し争点化されてきた論点で、原告側の戦略選択は事案ごとに判断する必要がある。個情法は2003年成立、2017年・2020年・2022年・2024年と立て続けに改正され、26条で漏洩等の発生時に個人情報保護委員会への報告と本人通知が義務化された(2022年4月施行)。
判例の射程——最判平成29年10月23日(ベネッセ事件)
個人情報漏洩賠償の射程を画した先例が最判平成29年10月23日民集71巻8号1421頁(ベネッセ事件)である。判旨:『個人情報の漏えいによりプライバシーが侵害された場合、その損害の有無及び程度は、漏えいされた情報の性質、漏えいされた範囲、漏えいによる現実的な被害の有無、その精神的苦痛の程度等を総合考慮して判断すべき』とし、漏洩の事実だけで自動的に精神的損害が発生するのではなく、事案ごとに精神的苦痛の発生・程度を認定する射程を確立した。差戻審以降の下級審判決は、ベネッセ事件で漏洩した子供の氏名・住所・電話番号・生年月日・性別等について一人当たり数千円〜1万円程度の慰謝料を認定する傾向にあり、改正前から続く相場感が定着している。判例の射程として、漏洩情報がセンシティブ(病歴・性的指向・思想信条等)であれば慰謝料額が引き上げられる一方、業務上のメールアドレスのみのような限定的漏洩では損害発生自体が否定される射程もある。最判令和5年11月17日も同枠組みを踏襲した。
5つの判断要素——漏洩賠償成立の射程
個人情報漏洩の損害賠償成立に必要な要素
① 漏洩の事実と因果関係(民法709条)
原告は『どの事業者から漏洩したか』『その漏洩と自分の被害との因果関係』を立証する必要がある射程となる。複数業者に登録している場合、特定業者からの漏洩と他社経由の漏洩の切り分けが争点化する。事業者の漏洩発覚通知書(個情法26条)が決定的な立証資料になるため、受領後の保管を取りこぼさないこと。
② 故意・過失と安全管理措置(個情法23条)
事業者には個情法23条で安全管理措置義務が課されており、これに違反すれば過失が推認される射程にある。技術的・組織的・人的安全管理措置のガイドライン(個人情報保護委員会)が判断軸の中核で、暗号化・アクセス制御・委託先監督義務(25条)の懈怠が認定されると過失立証が容易になる。
③ 精神的損害の発生(最判平成29年10月23日)
ベネッセ判決の射程として『漏洩したから自動的に慰謝料』ではなく、漏洩情報の性質・範囲・現実的被害・精神的苦痛の程度を総合考慮する。氏名・住所・電話番号の流出で1人数千円〜1万円、病歴・収入・思想等のセンシティブ情報で数万円が下級審の相場となる射程にある。
④ 漏洩通知義務(個情法26条)——2022年4月施行
改正個情法26条は事業者に①個人情報保護委員会への報告、②本人への通知を義務化した。違反した場合は行政処分(命令)と公表のリスクがあり、民事訴訟でも過失推認の徴表となる射程にある。本人通知書には漏洩情報の項目・件数・原因・二次被害防止策が記載されるため、受領者は訴訟の立証資料として保管する必要がある。
⑤ 越境移転規制(個情法28条)と海外漏洩事案
外国にある第三者への提供は本人同意が原則必要(個情法28条)。クラウドサービス利用時の越境移転、海外子会社・委託先からの漏洩事案では、国内事業者の監督義務違反として責任追及される射程にある。改正特商法やGDPRと並列で論点化することが多く、改正前から繰り返し争点化されてきた論点。
慰謝料相場——下級審の集積
実務で最も取りこぼされる失点が『慰謝料相場の現実』である。下級審の集積を見ると、ベネッセ事件以降の通常型漏洩(氏名・住所・電話番号・メールアドレス等)では1人あたり3000円〜1万円程度の認容額が多く、訴訟費用・弁護士費用を考えると個別訴訟は採算が合わない射程にある。一方、病歴・収入・性的指向・思想信条等のセンシティブ情報の漏洩では3万円〜10万円程度、現実の二次被害(なりすまし・詐欺被害)が発生した場合は数十万円〜数百万円に達する事例もある射程となる。クレジットカード情報・パスワード等の決済関連情報は中間に位置し、不正利用の現実的危険性で評価される。改正前から繰り返し争点化されてきた論点で、集団訴訟・特定適格消費者団体(消費者裁判手続特例法)による共通義務確認訴訟の活用が現実的な選択肢になる射程にある。個別訴訟では弁護士費用の負担が重く、消費者団体経由での集団的対応が経済合理性を満たす場合が多い。
Elencoの法律情報AIで『個人情報漏洩 損害賠償 ベネッセ最判 個情法26条 精神的損害』と相談すると、ベネッセ判決の射程・改正個情法の通知義務・慰謝料相場までを判例ベースで整理した回答が返る。条文・判例・改正経緯を横断するため、被害対応や答案構成の足場として使える。詳細は[Elencoの法律相談機能](/consult)を参照してほしい。
実務で取りこぼす5つの失敗パターン
漏洩賠償請求の典型的な失点
① 漏洩元の特定を取りこぼす
迷惑メール・営業電話の増加だけでは特定の事業者からの漏洩を立証できない射程にある。複数事業者に登録している場合、メールアドレスのバリエーション(事業者ごとに異なる宛名・別名)を残しておくと特定可能性が上がる。漏洩発覚通知書(個情法26条)の保管を取りこぼすと立証困難な失点になる。
② 慰謝料額を過大に見積もる
ベネッセ判決の射程で1人数千円〜1万円が通常型漏洩の相場。報道される『大規模流出』も1人あたりの認容額は数千円レベルで、訴訟費用・弁護士費用を控除すると赤字になる射程にある。個別訴訟ではなく特定適格消費者団体の集団訴訟・消費者契約法上の共通義務確認訴訟の活用を検討する判断軸が必要。
③ 不法行為と債務不履行の選択を放置
709条と415条は立証責任の構造が異なる射程にある。会員契約等の契約関係がある場合は債務不履行で帰責事由立証責任を事業者側に転換させる戦略が有効な場合がある。これを取りこぼし不法行為一本で進めると、事業者の安全管理措置不備の立証負担を原告が背負う失点になる。
④ 漏洩通知書の保管漏れ
個情法26条により事業者は本人通知を行うが、これを軽視して廃棄すると訴訟段階で立証資料を失う射程にある。漏洩情報の項目・件数・原因・対策が記載される本人通知書は、過失立証・損害認定の基礎資料となるため、原本またはスキャン保存を取りこぼさないこと。
⑤ 二次被害の証拠化を取りこぼす
なりすまし・詐欺被害・迷惑連絡の急増は慰謝料増額要因になる射程にある。被害発生時のメール・SMS・通話記録・被害届のスクリーンショットを保存しないと、現実の被害発生による精神的苦痛の増加分(最判平成29年10月23日の総合考慮要素)を立証できない失点になる。
実務の流れ——漏洩発覚から賠償請求まで
- STEP 1: 事業者からの漏洩発覚通知書(個情法26条)を保管し、漏洩情報の項目・件数・原因を確認する。
- STEP 2: 二次被害(迷惑連絡・なりすまし・詐欺被害)の発生有無を記録し、メール・SMS・通話記録のスクリーンショットを保存する。
- STEP 3: 個人情報保護委員会の公表資料・報道で同事案の集団訴訟・特定適格消費者団体の動向を確認する。
- STEP 4: 個別訴訟の経済合理性が乏しい場合、特定適格消費者団体への情報提供または事業者の自主補償(金券・返金)受領を選択する。
- STEP 5: 高額被害・センシティブ情報・二次被害ありの事案では弁護士に相談し、不法行為(709条)と債務不履行(415条)の構成を比較する。
FAQ——個人情報漏洩賠償の頻出疑問
よくある疑問
Q.
Q.
Q.
Q.
Q.
明日からできること——3STEP
STEP 1: 過去に受領した漏洩発覚通知書(個情法26条)と二次被害の記録(迷惑連絡・なりすまし)を時系列で整理する。STEP 2: 個別訴訟ではなく特定適格消費者団体の動向を確認し、集団訴訟への情報提供を検討する——個別訴訟は弁護士費用倒れになる射程に入る。STEP 3: Elencoで『個人情報漏洩 ベネッセ最判 個情法26条 慰謝料相場』『不法行為709条 債務不履行415条 選択』と検索し、条文・判例・改正経緯を横断的に確認する。さらに[Elencoの法律相談機能](/consult)で個別事案の請求根拠と慰謝料の現実的射程を整理し、必要に応じて弁護士相談・消費者団体経由の集団的対応を組み立てる。