タリーズコーヒージャパンは10月3日、オンライン通販サイトが外部からの不正アクセスを受け、会員登録していた利用者の個人情報やクレジットカード情報が漏えいした可能性があると発表した。
発表によると、2024年5月に警視庁からクレカ情報の漏えいしているおそれがあるとの連絡を受け調査を開始。その結果、2020年10月1日~2024年5月23日の期間中に「タリーズ オンラインストア」で会員登録した92685人の個人情報や、2021年7月20日~2024年5月20日の期間中に同サイトでクレカ決済をした52958人のクレカ情報が漏えいした可能性があるという。
個人情報としては氏名・住所のほか、メールアドレスやログインパスワードなどが、クレカ情報としてはクレカ番号・有効期限に加えセキュリティコードも漏えいしたおそれがあるとしている。
同社は、クレカの利用明細書を確認し、身に覚えのない請求項目の記載があった場合はカード会社に問い合わせるよう呼びかけている。漏えいのおそれがあるとされた利用者がクレカの差し替えを希望する場合、手数料は同社負担となるようクレカ会社に依頼しているという。
漏えいのおそれがあるとされた期間が個人情報は約3年半、クレカ情報は約3年と長期に渡り、ネットでは「不正利用に使えるもの全部漏れてる」との声もあがるなど、対象の利用者が相当な不安になることは想像に難くない。漏えいの可能性という段階ではあるが、同社に対し法的責任を追及することは可能なのだろうか。ベネッセ個人情報流出事件で原告側代理人を務めた金田万作弁護士に聞いた。
●損害賠償請求が認められた場合の予想額は「1万円前後」
──具体的な被害が出ていない段階でも、個人情報やクレカ情報の漏えい「可能性」について損害賠償請求は可能でしょうか。
個人情報やクレカ情報が漏えいしているかを確認できる場合は限られていますので、「漏えいしているおそれ」といっても実際には漏えいしているという前提で対応することになり、損害賠償請求は可能です。
クレジットカードのセキュリティコードまで漏えいしていれば、不正使用によって財産的損害が生じる可能性は格段に高まりますので、比較的重要な個人情報の漏えいと評価でき、損害賠償額も上がると考えられます。
──もし損害賠償請求が認められるとして、損害額はどの程度になるのでしょうか。
氏名住所などの人が社会生活を営む上で一定の範囲の他者に開示することが予定されている情報の漏えいであれば、1人3000~5000円がベネッセ個人情報流出事件での賠償額の相場になります。
本件では、クレジットカード番号やそのセキュリティコードという、他者に開示することが予定されておらず、不正使用によって財産的損害が生じる可能性がある情報ですので、それよりも高くなると思われます。
一方で、病歴や犯罪歴などといったセンシティブな情報(要配慮個人情報)ではなく、漏えいしてもクレジットカードの差し替えをすることで容易に変更可能で不正使用も防げるので、差し替えの手間分程度が加算されると考えられます。「1万円前後」ではないかと思われます。
●個人情報保護委員会から行政指導等を受ける可能性も
──損害賠償請求以外に、同社の法的責任は何かあるのでしょうか。
個人情報保護法23条は、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と定めています。
不正アクセスを許した原因としてシステムのセキュリティ対策に問題(過失)があったとすれば、同条に違反し、個人情報保護委員会から行政指導等を受ける可能性があります。また、同法26条(同法施行規則7条2号)に基づいて、個人情報保護委員会への報告義務もあります。