データ漏洩のeasyJetに対して賠償を求める集団訴訟


賠償総額は最大2兆4千億円の可能性も

集団訴訟のノウハウで国際的に著名な法律事務所 PGMBMは、ブリティッシュ・エアウェイズ傘下のLCC、easyJetが顧客データ900万件を漏洩させた事件について、損害賠償を求める集団訴訟を英国・高等法院(High Court)に起こし、この集団訴訟への参加者募集を始めた。請求する額は被害者一人あたり2,000英ポンド。仮に、データ漏洩対象者900万人全員が集団訴訟に参加し、請求が全面的に認められた場合、賠償総額は、180億英ポンド(約2兆4,000億円)となる。

900万人の氏名、フライト履歴などが漏洩

easyJetが5月19日に同社ウェブサイトで公表したところによると、同社顧客900万人の個人データがサイバーアタックにより流出した。漏洩したのは、顧客の氏名、emailアドレス、予約履歴、フライト履歴など。さらに2000人あまりの顧客については、3桁のセキュリティナンバーを含むクレジットカード情報が漏洩した。同社は、この事故について英データ保護当局ICOおよび国家サイバーセキュリティセンター(NCSC)に報告するとともに、ICOの助言に従い、関連顧客に連絡を取り、警戒するよう呼びかけている。

GDPRは非金銭的被害の損害賠償請求を認める

GDPR第83条は、GDPRに違反する行為(この場合、リスクの大きさに応じた適切なセキュリティ対策を怠ったため、データ漏洩事故を起こしたこと)の結果により金銭的または非金銭的な損害(代表的なものとして、不便、不安、個人データに対するコントロール喪失など)を受けたものは、データ管理者から損害賠償を受ける権利を有すると規定する。また、英国の民事訴訟規則(Civil Procedure Rules)は、複数人が同一の利益(same interest)を有する場合、同一の利益を有する者の代表が訴訟を起こすことができ(19.6条(a))、または、裁判所が同一の利益を有する者のいずれかを代表者として訴訟を遂行することを命じることができる(19.6条(b))と規定する。今回のPGMBMによる集団訴訟は、19.6(b)の集団訴訟命令(Group Litigation Order)を求めるもの。

ブリティッシュ・エアウェイズに対する集団訴訟と同じ手続

2018年にはブリティッシュ・エアウェイズが顧客50万人の個人データを漏洩させたデータ侵害事故があった。英国データ保護当局ICOが1億8,300万英ポンドの行政制裁金を課する意向を表明したほか、今回と同様の集団訴訟が起こされ、2019年10月には高等法院が集団訴訟命令を発し、係争中である。今回の集団訴訟も、高等法院に集団訴訟命令を求めるもので、並行して訴訟参加者を募集している。

精緻に組織化された集団訴訟のスペシャリスト

PGMBMが集団訴訟参加者を募集する下記のウェブサイトでは、参加手続は極めて簡単であること、弁護士報酬は勝訴の場合だけであること(no-win, no-fee)、敗訴の場合の費用は保険でカバーすることなどを訴え、データ漏洩の被害者が簡単に代表訴訟に参加できることをアピールしている。このような組織的、企業的な集団訴訟の動きは、今後も一層活発化するだろう。

企業はリスクを認識すべき

集団訴訟のリスクは、データ漏洩だけに伴うものではない。Googleが利用者の同意なく広告目的でウェブ閲覧履歴を利用したことに対する損害賠償請求について、英国控訴院が代表訴訟の適格性を認めたように、GDPRが求める情報提供義務、同意取得義務を怠ったことに対しても多数当事者訴訟の可能性が出てきた。多数当事者訴訟は、一人に対する損害賠償額が少額であっても、「被害者」が何万人、何百万人に上る場合には、損害賠償の総額が巨額になる。とくに消費者を顧客とする企業は、プライバシーポリシーによる情報提供が不十分、クッキー設定について同意取得に不備があるなど、形式的な、しかし透明性・公正性というGDPRが定める個人データ処理の原則の観点からは重大な違反について、当局による摘発に続いて、さらに言えば、当局の発表から情報を得て、損害賠償を求める多数当事者訴訟が起こされるリスクを認識すべきである。

 

【PGMBMによる集団訴訟参加者募集Webサイト】
https://theeasyjetclaim.com/

【easyJetによるデータ漏洩事故報告】
https://www.easyjet.com/en/infoalert

 

(文責:鎌田博貴)

 

関連記事