担当：清瀬伸悟平成 28 年 3 月 7 日、江崎グリコ株式会社（以下「江崎

21★江崎グリコ、不正アクセスにより約 8 万 3 千人の顧客個人情報（うち約 4 万 3 千人はクレジ
ットカード番号含む）流出を公表（7 日）
https://www.glico.com/jp/newscenter/pressrelease/10681
担当：清瀬伸悟
平成 28 年 3 月 7 日、江崎グリコ株式会社（以下「江崎グリコ」という。
）は、同社の通
信販売サイトにおいて、不正アクセスにより約 8 万 3 千件の顧客個人情報が流出した可能
性があり、うち約 4 万 3 千人についてはクレジットカード情報を含む個人情報が流出した
可能性があることを公表した。
発覚の経緯としては、平成 28 年 1 月 29 日にクレジットカード会社からカード情報が流
出している可能性がある旨の連絡を受け、第三者調査機関への調査を依頼した結果、上記
情報流出が発覚したというものである。流出した情報の内容としては、氏名、住所、電話
番号、メールアドレス、クレジットカード情報（番号、有効期限、カード名義）
、お届け先
情報、家族情報が挙げられている。
情報流出の対象となった顧客への対応策としては、情報流出について通知・謝罪するダ
イレクトメールの送付、及び顧客がクレジットカード番号の変更を希望する場合に顧客が
手数料を負担しないようにする旨が公表されている。また、流出の可能性のあるクレジッ
トカード番号については、クレジットカード会社に連絡済みとのことである。
情報流出の原因としては、不正アクセスと述べるのみであって詳細は不明である。不正
アクセスという表現からは、不正アクセス行為の禁止等に関する法律（以下「法」という。
）
の「不正アクセス行為」
（法 2 条 4 項）が連想される。
法は、下図のとおり、他人の ID・パスワードを使用して不正にログインする行為（法 2
条 4 項 1 号）
、及びコンピュータのセキュリティ・ホールを攻撃する行為（法 2 条 4 項 2 号・
3 号）を「不正アクセス行為」とし、「不正アクセス行為」をした者に対し、3 年以下の懲
役又は 100 万円以下の罰金という刑罰を科している（法 11 条、3 条）
。
仮に本件で、
「不正アクセス行為」があったのだとすれば、江崎グリコが犯罪の被害者と
いう立場になる。しかし、その場合も、江崎グリコが顧客に対する責任を免れるとは限ら
ない。
法 8 条は、アクセス管理者（本件の場合、江崎グリコが運用するコンピュータに対する
不正アクセス行為であれば江崎グリコがアクセス管理者となる）に不正アクセス行為から
の防御措置を講じるよう努める義務があることを規定している。また、江崎グリコは、個
人情報の保護に関する法律によっても、個人データの漏えいの防止等のために必要かつ適
切な措置を講じる義務を負っている（同法 20 条）
。これらの義務を果たしていなかった場
合には、江崎グリコが顧客に対して、不法行為等による損害賠償責任を負うことが考えら
れる。
本件では、クレジットカード情報が流出している点について被害の拡大が心配されると
ころであるが、前記のとおり、流出の可能性のあるクレジットカード番号をクレジット会
社に連絡済みであるから、基本的には、流出したクレジットカード情報を利用した被害は
防ぐことができるであろう。
一方で、流出した情報の内容として、氏名、住所、電話番号、メールアドレス、家族情
報などが含まれていたということであるから、これらの情報の流出状況によっては、プラ
イバシー侵害による不法行為の成否が問題になり得ると考えられる。
以
上

Download Report