四谷大塚の事件で、株式会社四谷大塚が個人情報保護法違反で書類送検されたとのことです。書類送検なので、公権的判断がされたわけではないですが、おそらく初ではないかと思います。

https://www3.nhk.or.jp/news/html/20231002/k10014212661000.html

1

報道によれば、以下のとおりです。

警視庁は森容疑者が講師としてのアクセス権限を利用し、データベースに載っていた被害に遭った児童などの名前や住所をSNSのグループチャットに投稿したとして、個人情報保護法違反の疑いで書類送検しました。

この事件をめぐっては、被害に遭った児童の名前や住所がSNSのグループチャットに投稿されていて、警視庁は情報管理が不十分だったとして、法人としての「四谷大塚」を個人情報保護法違反の疑いで書類送検しました。

2

「情報管理が不十分だった」というのは安全管理措置違反にも見えますが、これについて罰則はないので、講師個人に個人情報DB等提供罪が成立する前提で、株式会社四谷大塚に両罰規定を適用できると判断したのではないかと思います。

両罰規定は、従業者の違反行為につき、法人に行為者の選任、監督その他違反行為を防止するために必要な注意を尽さなかつた過失の存在を推定した規定と解されており（最判昭和40年3月26日刑集19巻2号83頁。外為法の両罰規定が責任主義に反し憲法31条等に違反する旨の主張に対する応答）、個情法上求められる安全管理措置を取っていたかどうかが事実上両罰規定の適否を左右するのだと思われます。

なお、個人情報DB等提供罪の法定刑は最大で懲役1年、罰金50万円（個情法179条）、両罰規定における法人の法定刑は最大で罰金1億円です（同法184条1項1号）。

3

本件で個人情報DB等提供罪が成立するかですが、必ずしも明らかではないように思います。同罪の行為対象は、「その業務に関して取り扱った個人情報データベース等（その全部又は一部を複製し、又は加工したものを含む。）」であり、必ずしもDB全体を提供したといえる事情が要求されているわけではないものの、極めて件数が少ない場合、もはやDBを加工（抽出）したものを提供したとはいえず、本罪は成立しない可能性もあります。

これに関して、立案担当者は、個人情報ではなく個人情報DB等を対象とした理由に言及する（①特定の個人情報を検索できない状態で含んでいるものを提供したとしても権利利益侵害のおそれは小さく、②それゆえ第三者提供規制の対象ではないこと等を述べています）一方、個人データではなく個人情報DB等を対象とした理由には言及していません。もっとも、後者にも何らかの理由があるはずで（②からはむしろ個人データを対象とすることが自然なはずです）、上記のような解釈が成り立つ余地は十分にあるように思われます。

仮にそのように解釈したとすると、手打ちで必ずしも大量とはいえない情報を漏洩させたと思われる本件では、DBをコピーして売ったり、DBにアクセス可能なID/PWを共有したりする事案と異なり、本罪が成立しないと解する余地も十分にあるように思われます。