この辺、使えそうです。
http://www.courts.go.jp/search/jhsp0030?action_id=dspDetail&hanreiSrchKbn=01&hanreiNo=33228&hanreiKbn=03
平成16(ワ)5597
事件名 損害賠償請求事件
裁判年月日 平成18年05月19日
裁判所名・部 大阪地方裁判所 第11民事部http://www.courts.go.jp/hanrei/pdf/20060616142841.pdf
(1) 注意義務の内容
ア個人情報の管理に関する一般的な注意義務
本件サービスが電気通信事業法上の電気通信事業に当たることは争いがなく,被告BBテクノロジーは同法にいう電気通信事業者に当たると認められる(乙3)ところ,本件不正取得が行われた当時,電気通信事業における個人情報保護に関するガイドライン(平成10年12月2日郵政省告示570号)5条4項は,「電気通信事業者が個人情報を管理するに当たっては,当該情報への不正なアクセス又は当該情報の紛失,破壊,改ざん,漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずるものとする。」と定めていた。
また,被告BBテクノロジーは,第2の1(3)ア,(4)のとおり,原告らを含む本件サービスの顧客の個人情報をデータベースとして保有,管理しており,個人情報保護法にいう個人情報取扱事業者に当たると解されるところ,同法20条は,「個人情報取扱事業者は,その取り扱う個人データの漏えい,滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と定めている(なお,同法は,平成15年5月30日に成立したが,本件不正取得が行われた当時は,まだ施行されていなかった。)。
これらの点に鑑みると,被告BBテクノロジーは,本件不正取得が行われた当時,顧客の個人情報を保有,管理する電気通信事業者として,当該情報への不正なアクセスや当該情報の漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていたと認められる。
(中略)
(ウ) 以上の被告BBテクノロジーにおけるリモートアクセスの管理体制は,ユーザー名とパスワードによる認証以外に外部からのアクセスを規制する措置がとられていない上,肝心のユーザー名及びパスワードの管理が極めて不十分であったといわざるを得ず,同被告は,多数の顧客に関する個人情報を保管する電気通信事業者として,不正アクセスを防止するための前記注意義務に違反したものと認められる。(中略)
(2) 原告らは,損害の内容として,不正取得された原告らの個人情報が不特定の第三者にいついかなる目的でそれが利用されるか分からないという不安感を主張する。
確かに,本件においては,原告らの個人情報は,Dらの手に渡り,恐喝未遂という犯罪に用いられたものであり,それらの者が,自己の利益を図るために,恐喝以外の手段に原告らの個人情報を利用した危険性はあったものと考えられる。しかし,1月のデータの回収状況については,4(2)のとおり,二次流出があったとは認められない状況であり,その意味で,1月のデータの流出についての原告らの不安感は,さほど大きいものとは認められない。
3) これらの事情のほか,1月のデータに含まれていた原告らの個人情報は秘匿されるべき必要性が必ずしも高いものではなかったこと,被告BBテクノロジーが,本件恐喝未遂事件後,顧客情報の社外流出について発表を行い,不正取得されたことが確認できた顧客に対してその旨連絡するとともに,本件サービスの全会員に500円の金券を交付するなどして謝罪を行う一方,顧客情報についてのセキュリティ強化等の対策をとっていること(乙7の1〜16,弁論の全趣旨)といった本件に現れた一切の事情を考慮すると,原告らの精神的苦痛に対する慰謝料としては一人あたり5000円と認めるのが相当である。
