弁護士谷直樹/医療事件のみを取り扱う法律事務所のブログ

ソニーの個人情報漏洩事故と訴訟

b0206085_6421496.jpg

◆ ソニーの情報漏洩事故

ソニーは,PlayStation®NetworkおよびQriocity™のアカウント情報に不正な侵入を受け,2011年4月17日から19日にかけ,最大7700万人の顧客の個人情報と,最大1000万枚のクレジットカード情報が流出した可能性があると,発表しました.
「漏洩したとみられる個人情報」は,氏名,性別,住所,電子メールアドレス,生年月日,ログインID・パスワードです.
「漏洩の証拠はないが漏洩の可能性がある個人情報」は,購入履歴や請求先住所などのプロフィールデータ,ログインパスワード照合時の質問内容,クレジットカード番号・有効期限です.

サンディエゴ市内のPSNデータセンターにあるアプリケーションサーバーの既知の脆弱性を突かれたそうです.(ただし,Sony Network Entertainment Internationalは,既知の脆弱性を知らなかったそうです.)
ソニーは,米連邦捜査局(FBI)に捜査を依頼しました.

◆ 米下院エネルギー・商業委員会

米下院エネルギー・商業委員会は,4月29日,不正侵入に気付いた経緯やタイミング,当局に報告した時期,利用者への通知が遅れた理由,流出の実態,そしてクレジットカード情報が流出した証拠はないと信じる理由などについて,質問書を送り,回答を求めています. 

本件の時系列は次のとおりです.
1)米国4月19日(日本時間20日),サーバーに異常な動作を確認.
2)米国4月20日(日本時間21日),社内調査で4月17日から19日に不正アクセスが行われていたことが判明.PSNとQriocityのサービスを停止.IT情報セキュリティー会社に調査を依頼し実態の把握に着手.調査のためのミラーサーバーづくりにも着手.
3)米国4月24日(日本時間25日),解析調査会社への依頼をし高度な解析を含めての徹底調査を継続.
4)米国4月26日(日本時間27日),個人情報漏洩の可能性を発表.

ソニーは,遅くても,米国時間4月20日に社内に調査用のミラーサーバーを立てて解析を始めたときには,深刻な事態だと判断していますから,発表が遅れたことは否定し難いでしょう.

◆ 米国での訴訟

アラバマ州バーミングハムのクリストファー・ジョーンズ氏は,米国時間4月27日,「慎重に扱われるべきユーザーの個人データについて,保護,暗号化,安全な場所に保存するといった,適切な配慮をしなかった」として,金銭的な補償および無償でのクレジットカード監視を要求し,カリフォルニア州北部地区米連邦地方裁判所に訴訟を起こしました.集団訴訟(クラスアクション)をめざしています.
また,ソニーが同氏を含む顧客に情報漏洩の発生を通知するまでの時間が長すぎた点も問題視しており,クレジットカード番号の変更や口座の閉鎖,利用状況の確認などといった対応措置が必要かどうかを判断する機会が失われたとも主張しています.
(cnet japan「ソニー、PlayStation Networkの個人情報漏えいで訴えられる.」ご参照)

米国の法律事務所は,流石,提訴まで早いですね.

◆ 日本の裁判例

日本では,宇治市住民基本台帳漏洩事件の最高裁平成14年7月11日判決が知られています.
宇治市が住民基本台帳を使った乳幼児検診システムの開発を民間業者に委託したところ,再々委託先のアルバイト(大学院生)が,約22万人分の台帳をMOにコピーして複数の名簿業者に売却した事案です.
市議3人が提訴し,各慰謝料1万円と弁護士費用5千円が認められました.
日本の民事訴訟にはクラスアクションがないため,たった4万5千円しか賠償が認められなかったのです.
日本の民事裁判は,多数の被害者がいる事案について十分対応していないので,権利行使が事実上困難になっています.

◆ 日本の裁判外での解決

日本では,情報漏洩事故は僅かな金券などを支払ってすんでいます.(それでも,人数が多いと多額になりますが.)
ローソンは,56万人に500円相当の金券を支払いました.
コスモ石油は,92万人に対して500円のガソリン割引ポイントを付与しました.
サントリーは,7万5千人に500円相当の郵便為替を送りました.
ソフトバンクは,460万人に500円相当の金券を支払いました.
1000円の例もありますが,500円がほぼ定着した感じです.

◆ 感想

日本国内では,1人500円で対応できますが(それでも人数が多いとかなりの金額になります.),日本国内の生温い感覚で,情報管理,危機管理を行っていると,国外では大変なことになります.
米国などでは,過去の情報漏洩事件でクラスアクションを活用した集団訴訟が起こされています.クラスアクションが認められると巨額になりますので,和解するしかないでしょう.
さらに,もしこれがソニーバッシングにまで発展すると,市場で被る損害は甚大です.

ソニーがいままで行ってきたネットでのダーティな操作を,日本人はあまり咎めずにきたように思います.
日本人が権利主張をしなさすぎるのは,海外で活躍する日本企業にとって,必ずしも良いことではないのかもしれません.

【5月3日追記】
ソニー・オンラインエンタテインメントからも約2460万人分の氏名や住所などの個人情報が流出した可能性があるとのことです.

【5月5日追記】
カナダの利用者が10億カナダドル(約850億円)超の損害賠償を求めてソニーを提訴したとのことです.

谷直樹
次のバナーをクリックすると,弁護士ブログ165サイト中の順位がわかります.

にほんブログ村 士業ブログ 弁護士へ
にほんブログ村
by medical-law | 2011-05-02 06:46 | コンプライアンス