前回の神奈川県の事例では、被害者である生徒及びその法定代理人(保護者)から損害賠償訴訟などが提起されることがなかったが、ここでみる宇治市では使用者責任を問われ、被害住民から訴えられている。他の自治体、企業のセキュリティ意識に大きな影響を与えた事件を振り返ってみよう。
事件の概要-委託先漏えい事例
宇治市は、健康管理の総合システム構築を計画し、乳幼児検診システムの開発業務をA社に委託した。A社はすでに同システムの開発実績のあるB社に再委託し、B社はその業務の一部をC社に再々委託した。C社は大学院生Pをアルバイト従業員として雇い本件業務に従事させていた。
C社の正社員O及びアルバイト従業員Pは、宇治市庁舎内で作業していたが時間内に作業が終らなかったため、宇治市担当職員の口頭の承諾を得て、住民の住民票を世帯ごとに編成した住民基本台帳等のデータ(本件データ)を光磁気ディスク(MO)にコピーしC社の社屋内で作業するようになった。ところがアルバイト従業員Pは、C社内で、本件データを自己のパソコンのハードディスクにコピーし自宅に持ち帰った。
そしてさらにこれを自己のMOにコピーし名簿販売業者であるD社に25万8000円で売却した。D社はそれを複数の事業者に販売し、購入した事業者が、一定期間インターネット上でその購人を勧誘する広告を掲載し、この広告がきっかけで新聞報道され本事件が発覚したものである。
ちなみに、本件データは、住民記録が18万5800件、外国人登録関係が3297件、法人関係が2万8520件の合計21万7617件あり、住民記録の内容は、個人連番の住民番号、住所、氏名、性別、生年月日、転入日、転出先、世帯主名、世帯主との続柄等の個人データであった。
・宇治市の民事責任(使用者責任)
宇治市は、宇治市の市民Xらから使用者責任(民法715条)に基づき損害賠償を請求された。この事件では、使用者が宇治市であり、現実に損害を生じさせた被用者はC社のアルバイト従業員Pである。Pは当時大学院生であった。