お客様にとってもっとも関心のある知財や独禁法・金融・労使関係などの最新の話題をお届けします。
御社の法務・経営戦略にお役立てください。

-
データ侵害訴訟時代の到来 (23/02/27)
I. 概要
データ侵害は日常茶飯事であり、注目される大規模な侵害も頻発するようになっている。 過去3年間で、Microsoft(2億5000万件、2019年12月)、Wattpad(2億6800万件、2020年6月)、Meta/Facebook(2億6700万ユーザー、2020年4月)、Estee Lauder(4億4000万件、2020年1月)、Whisper(9億件、2020年3月)、Advanced Info Service(83億件、2020年5月)などの業界大手企業らは全て大規模な侵害事件を経験している。 リモートワークの普及、クラウドストレージへの移行やサイバー犯罪者の高度化などを考えれば、データセキュリティのリスクがなくなることはないだろう。
データ侵害は、標的となった企業に莫大な経済的余波をもたらす。2022年、米国企業のデータ侵害による平均コストは944万ドルに達し、過去最高となった。参照: Cost of a Data Breach Report 2022 at 9-10, IBM (July 2022), https://www.ibm.com/reports/data-breach. 現在、83%の組織が2回以上のデータ侵害の被害に遭っていることから、企業がこの領域において再発によるコストに直面することは確実である。 同上. 4, 6. しかし、企業は、侵害の原因を取り除くための技術的コスト、ブランドへの風評被害、株価下落の可能性などをはるかに超える財政的影響にも直面している。 60%の企業が、データ侵害が原因でサービスや製品の価格を上げざるを得なくなったケースがある。同上.5. 費用がかさむ規制措置も発生する可能性が高い。 例えば、2017年のデータ侵害(約1億5000万人のアメリカ人に影響を与えた)後、Equifaxは48州、コロンビア特別区、プエルトリコから起こされた訴訟に直面、それらを1億7500万ドルで和解し、また、消費者金融保護局より強制措置を追及され、それを民事罰1億ドルで解決した。参照:Equifax to Pay $575 Million as Part of Settlement with FTC, CFPB, and States Related to 2017 Data Breach, FTC Press Release (July 22, 2019), https://www.ftc.gov/news-events/news/press-releases/2019/07/equifax-pay-575-million-part-settlement-ftc-cfpb-states-related-2017-data-breach.
企業は、データ侵害の後に、その数が指数関数的に増加している民間の原告によって起こされるデータ侵害訴訟という、さらに別の大きなリスクに直面している。この訴訟は、こうした訴訟を専門とする洗練された原告団によって起こされるクラスアクションの形態であることが多い。 大規模なデータ侵害後の民間による民事訴訟は、今や可能性ではなく、蓋然性となっている。 2021年には36件の大規模なデータ侵害のクラスアクションが起こされ、その数は2020年から44%増加した。 民間の原告は通常、裁判所へ優位な地位を得ようと駆けつけるが、現在は侵害の発表から平均4週間以内に訴えが起こされている。
これらの訴訟は、10 年前に追求されていたとしたら、成功の見込みはほとんどなかったと思われる。 データ侵害訴訟の初期の波における民間原告は、当事者適格(スタンディング)を立証するのに苦戦し、義務、因果関係、損害賠償をうまく主張することができなかった。参照例: In re: Adobe Sys. Privacy Litig., 66 F. Supp. 3d 1197, 1212 (N.D. Cal. 2014) (データ侵害訴訟にて裁判所は、「将来の損害のリスクの増大は第3条の当事者適格の地位を与えるには不十分」であるとして請求を棄却することが常だと指摘); In re: Sony Gaming Networks & Customer Data Sec. Breach Litig., 996 F. Supp. 2d 942, 963-65 (S.D. Cal. 2014) (「原告の因果関係と被害に関する主張は完全に結論ありきのもの」であり、原告は「Sonyによる侵害の結果として生じた認知可能な損害を一つも主張できていない」として過失請求を棄却). 彼らのタスクは、その性質上、しばしばリスクの増加や潜在的な損害が伴われるという事実のために複雑なものであった。
しかし、その後、数年の間に、原告団は一連の創造的な理論を発展させ、データ侵害訴訟を訴答段階以降へと進めることにしばしば成功している。 その結果、消費者データ侵害訴訟の大規模な和解は今やごく一般的なものとなっており、最近の主な和解事例としては、T-Mobile(消費者に3億5000万ドル)、Equifax(3億850万ドル)、Capital One(1億9000万ドル)、Zoom(8500万ドル)、Hy-Vee(2000万ドル)およびHome Depot(1288万ドル)などが挙げられる。
本稿では、民間によるデータ侵害訴訟の最新動向を探る。 まず、原告が当事者適格と損害賠償を立証する上で直面する課題に焦点を当てる。 これらの原告が(第3条の定める当事者適格に必要な)認識可能な事実上の損害を被ったかどうかの評価は、必然的に彼らが主張する損害の種類とその実行可能性と絡み合っている。 従って、我々はまず、当事者適格と損害賠償の双方を検討する。 次に、現在原告が主張している最新の主張と、それに対して企業が展開している抗弁を分析する。最後に、今後予想される傾向について考察する。
II. 当事者適格と損害賠償 - 重要かつ未解決の争点
被告は通常、訴答段階でデータ侵害原告の当事者適格を争っており、(1) 具体的かつ特定された事実上の損害を立証していない、(2) 申し立てられた損害と被告の行為との因果関係を適切に主張していない、の2点を理由に争う。 近年、被告の因果関係の主張はほとんど成功していない。 因果関係の問題の解決には、棄却の申し立てで解決するには不適切な事実という問題が関わることが多い。さらに、ほとんどの原告は、データセキュリティの不備や監督不行き届きなど、被告企業による一連の明確な行為と不作為を主張することにより、第三者(すなわちハッカー)の参加によって生じる追跡可能性に関する懸念を克服することができるため、非推測的因果関係を立証するには十分であるといえる。
その結果、訴答段階での実際のアクションは、最初のカテゴリー、すなわち、事実上の損害にあるのだ。 米国最高裁がSpokeo, Inc. v. Robinsで説明したように、「第3条の当事者適格は、法令違反の文脈であっても具体的な損害を必要」とし、裁判所は、原告の主張する損害が、米国の裁判所で訴訟の根拠として「伝統的に」認められている損害に「密接な関係」を有するかどうかを評価しなければならない。578 U.S. 330, 341 (2016). 差止による救済に関しては、「将来の損害のリスクにさらされた者は、少なくとも損害のリスクが十分に差し迫っており、かつ実質的である限り、損害の発生を防止するために将来を考慮した差止による救済を追求できる。」とされている。TransUnion LLC v. Ramirez, 141 S. Ct. 2190, 2210 (2021) (Clapper v. Amnesty Int'l USA, 568 U.S. 398, 414 n.5 (2013) を引用).
しかし、「原告が差止による救済を求める資格を有することは、必ずしも原告が遡及的損害賠償を求める当事者適格を有することを意味しない」としており、これは、データ侵害のクラスアクションを起こす上で原告団にとって最も重要な問題の1つである。同上. データ侵害の原告団が求める差止による救済は、原告団と被告企業の双方にとって、依然として重要な検討課題となっている。データ侵害の原告は、彼らが求める規範的な救済について非常に具体的に主張する傾向があり、しばしば、被告が日常的に従業員のセキュリティ対策をテストし、独立した第三者セキュリティ監査人を雇用するよう要求する内容が含まれる。参照例: Marlowe v. Overby-Seawell Co., No. 1:22-mi-99999, ECF Doc. # 2851, Complaint (Prayer for Relief) C(i)-(xvi) (N.D. Ga. Sept. 9, 2022).
損害賠償のクラス(Damages class)に関係することであるため、原告と被告企業の間の、現在の事実上の損害に関しての当事者適格をめぐる戦いを完全に理解するために、データ侵害によって誰がどのような影響を受けるかを理解することは必須である。データ侵害の後、対象となる企業の消費者、ユーザー、従業員、または患者は、通常、次の3つの大きなカテゴリーに分類される。
a) グループ1-直接的な経済的損害を被った原告
まず、データ侵害で盗まれた個人情報(PI)または保護されるべき個人健康情報(PHI)の悪用によって直接的な経済的損害を被った一部のグループがある。(「グループ1」). この種の損害には、クレジットカードの不正請求、銀行口座からの不正引き出し、およびこれらの不正取引を解決するために取られた措置のコスト(これらID窃盗の兆候への対処と軽減に費やされた時間と資金を含む)がよく含まれる。 民間のデータ侵害の原告は、これらの経済的損失、私費の支出、およびこれらの損害の余波に対処するために費やした時間に関連する実損害および派生的損害を通常求めている。
裁判所は、現在、グループ1の原告が第3条の当事者適格のための「事実上の損害」または「具体的損害」の要件を満たしていることを定期的に認めている。参照: Hutton v. Nat’l Bd. of Examiners in Optometry, Inc., 892 F.3d 613, 622 (4th Cir. 2013) (当事者がID窃盗やクレジットカード詐欺の形で実害を受けたため、具体的損害を認定). 自己負担による損失などの「金銭的損害」は、当事者適格に必要な「伝統的な有形損害」に該当することは、よく知られている。TransUnion, 141 S. Ct. at 2204. この集団が被った損失が弁済されたとしても、「コモンローのプライバシー侵害で保護される利益と同様に、個人情報の不正使用や流布という訴えられるべき無形の損害を被ったのだから」同じことである。In re: Am. Med. Collection Agency, Inc. Consumer Data Sec. Breach Litig., 2021 WL 5937742, at *8 (D.N.J. Dec. 16, 2021) (TransUnion, 141 S. Ct. at 2208を引用). また、裁判所は、グループ1の原告が負担した予防的または改善的な費用から生じる妥当と思われる経済的損害を一貫して認めており、実際の損害がすでに「具体化」しているため、これらの「損害」は、もはや推測的ではなく、将来の盗難に対する確証のない恐怖に基づくものでもないとしている。参照: Anderson v. Hannaford Bros. Co., 659 F.3d 151, 164-67 (1st Cir. 2011) 「クレジット・モニタリング・サービスやID盗難用の保険の費用」は、すでに不正請求の被害を受けていた原告がそれを負っていた場合、認知可能な損害である。); FTC v. Wyndham Worldwide Corp., 10 F. Supp. 3d 602, 623-24 (D.N.J. 2014) (類似); Hutton, 892 F.3d at 622 (同様).
b) グループ2 – 自身の個人情報がアクセスされたことを示すことができる原告
影響を受ける人々の中には、直接的な経済的被害を経験していないが、自分のPIまたはPHIが不正にアクセスされ配布された可能性を示唆する出来事を経験している別のセグメントがいる。(「グループ2」) これらの人々は、ID窃盗の試みの失敗、失敗に終わった不正請求の試み、詐欺電話やスパムメールの著しい増加、ダークウェブでのPIの売り込みを目撃している可能性がある。これらの原告の経験はそれぞれ異なるものの、彼らは自分のPIまたはPHIがアクセスされたという確証を得ることができるのである。
特に、米国最高裁が2021年にTransUnion v. Ramirez訴訟で、「内密な情報の開示(disclosure of private information)」と「私的事項への侵入(intrusion upon seclusion)」を伝統的に訴求可能な「無形の損害」と認定したことを考慮すると、裁判所は、グループ1よりも若干議論の余地があるものの、グループ2の原告について、当事者適格を立証するのに十分に「具体的」である「無形の損害」を申し立てたと認めるケースが多くなっている。参照: In re: Am. Med. Collection Agency, 2021 WL 5937742, at *9; TransUnion, 141 S. Ct. at 2204 (伝統的な無害の損害を列挙している). 当事者適格のために審理が認められる(したがって、このグループを潜在的損害賠償集団のメンバーとして保持する)ものの、スパムメールの増加や不正請求の阻止といった無形の損害は、通常、多額の金銭的補償を必要としない。そのため、民間の原告は、この種の損害に対して、名目的損害賠償、あるいは可能であれば法定損害賠償を求めることがよくある。
c) グループ3 – 侵害されたシステムに個人情報が保管されていた原告 - 新しい損害賠償理論
残りの消費者、ユーザー、従業員、または患者は、漏洩したシステムにPIまたはPHIが保存されていたものの、自分のデータが権限のない者によってアクセス、ダウンロード、または不正使用されたという確証がない人々である。(「グループ3」). このグループは、第3条の当事者適格が要求する「具体的な損害」の基準を満たす上で最大のハードルに直面している。
原告団は、グループ3に焦点を当て、これらの被害者を原告として存続させるために、最大限の努力を払っている。 このカテゴリーの原告のために、彼らがより特殊な理論を追求し、事実上の損害を立証することによって、グループ1と2のメンバーが被る損害についてもより幅広く主張することができている。なぜなら、追加で特定された「損害」は、これらのグループのメンバーにも適用されるからである。 以下は、民間の原告がこれらの目的達成のために追求する権利侵害と損害賠償に関して、彼らがそれをどのように明示しているのかについての例である。
d) 混迷は続く-特に主張されたより創造的な損害に関して
グループ3の原告によって提唱され、上記で特定された種類の当事者適格と損害賠償に関する連邦法は、かなり不安定な状況のままである。 主張された事実のわずかな違いや、裁判所の個々の好みが、しばしば結果を左右している。
例えば、2021年4月に判決されたMcMorris v. Carlos Lopez & Assocs., LLC訴訟では、第2巡回区はこのグループの原告の当事者適格を立証する方向に大きく舵を切ったように見えた。この判決は、「原告は、データの不正な開示に伴うID盗難や詐欺のリスクの増加に基づいて、当事者適格を立証することができる」と明確に判示したのだ。995 F.3d 295, 301 (2d Cir. 2021). そして、データ侵害の原告が「リスクの増大」理論に基づく第3条の事実上の損害を適切に主張したかどうかを検討する際に、裁判所が考慮すべき次の3つの「非網羅的要素」を挙げている。「(1) データを入手しようと標的とされた結果として原告のデータが暴露されたかどうか (2) 原告自身がまだ ID 窃盗や詐欺を経験していなくても、データセットの一部が既に悪用されているかどうか、それから (3) 暴露されたデータの種類が ID 窃盗や詐欺のリスクが高いような機密性の高いものかどうか。」 同上.303. しかし、ID 窃盗をまだ経験していない原告にも当事者適格の立証が可能であるという見解の受け入れは、法域によって異なっている。一般に、「第 6 回、第 7 回、第 9 回巡回控訴裁は『ID 窃盗のリスクの増加は事実上の損害を立証するのに十分である』ことを認めたが、対照的に、第 1 回と第 3 回巡回区は ID 窃盗のリスクの増加は事実上の損害を構成しないと判断した」。In re: Rutter’s Inc. Data Sec. Breach Litig., 511 F. Supp. 3d 514, 524-25 (M.D. Pa. 2021) (引用符と内部引用符は省略) In re: Zappos.com, Inc., 888 F.3d 1020, 1027-28 & n.7 (9th Cir. 2018)訴訟 (訴訟の一部の原告はまだID盗難に遭っていなかったが、データが漏洩した他の顧客が不正請求を受けたことを報告したという主張は、原告が将来の被害について相当なリスクを負っていたことの立証に役立つと説明)とTsao v. Captiva MVP Rest. Partners, LLC, 986 F.3d 1332, 1343-44 (11th Cir. 2021) 訴訟(「クラスメンバーのデータが何らか悪用されたという具体的な証拠」がなければ、当事者適格の立証が困難と判断)を比較。
米国最高裁は、2021年6月に下したTransUnion訴訟の判決でこの領域の法律を明確にするのではなく、サルバドール・ダリの格言 「重要なのは混乱を取り除くことではなく、混乱を広げることだ」に従うことを選択した。同裁判所の推論のいくつかの要素は、将来の損害のリスクの高まりに基づくデータ侵害の当事者適格を排除しているように思われる。最高裁は、「損害賠償請求訴訟において、将来の損害の単なるリスクは、単独では具体的な損害として認められない。少なくとも、将来の損害のリスクにさらされること自体が別の具体的な損害を引き起こすのでなければ。」と述べている。141 S. Ct. 2210-11. 同裁判所はまた、ID 窃盗をまだ経験していない原告(グループ 3)に、それを経験したグループメンバー (グループ 1 および 2)の当事者適格を結びつけられるという考えも否定しているように思われる。裁判所は次のように強調した。「原告は、主張する各請求と、求める救済の各形態(例えば、差止による救済と損害賠償)に対して、 当事者適格を証明しなければならない。」と。同上.2208. 従って、裁判所は、虚偽の信用情報が流布されたクラスのメンバーは当事者適格を立証できると結論付けた一方で、虚偽の信用情報が第三者に送信されていない(従って、将来起こりうる損害のみに直面している)メンバーは原告として続行できないとの判断を下した。同上. 2209-13.
しかし、TransUnionの少なくとも4つの要素によって、データ侵害の原告には余地が生まれた。
他の裁判所は、このような拡大解釈を否定し、TransUnionを狭く解釈しているため、グループ3内の原告には当事者適格がないと訴答段階で結論づけている。参照: In re: Am. Med. Collection Agency, 2021 WL 5937742, at *9-11; 次も参照:Patterson v. Med. Review Inst., 2022 WL 3702102, at *2-3 (N.D. Cal. Aug. 26, 2022) (グループ3の原告を当事者適格のグループと認定するに際し、精神的苦痛、時間の喪失、緩和努力を却下); Legg v. Leaders Life Ins. Co., 574 F. Supp. 985, 993 (W.D. Okla. 2021) (「TransUnionの判示を踏まえると、データ侵害後の将来のID盗難の抽象的リスクのみに基づく具体的損害を認めたいかなるケースも、少なくとも損害賠償請求に関しては、依然として良法であるとは到底言えない」). 裁判所が他の関連するグループ 3 の当事者適格の主張(緩和努力、PI の価値の喪失、取引の利益の喪失、過払いなど)を認めるかは、多くの場合、TransUnion を原告側と被告側のどちらの方法で読むかによって決まる。TransUnionを原告寄りの読み方をする裁判所は、これらの関連する当事者適格の主張を説得力のある補足的な当事者適格の根拠とする傾向があり、一方、TransUnionを被告寄りの判断とする裁判所は、逆の結果になることがある。In re: Mednax, 2022 WL 1468057, at *7-9 (そのような議論を認める) とIn re: Am. Med. Collection Agency, 2021 WL 5937742, at *9-11 (同じ議論を拒絶)を比較のこと. 連邦最高裁がこの領域におけるさらなる明確化を行わない限り、同様の事実に基づく格差のある結果が続くと思われる。 ほとんどのデータ侵害訴訟が全米に及んでいることを考えると、これまで原告寄りであることが証明されている司法管轄区において、今後数年間は訴訟が殺到することが予想される。
III. 原告側のアプローチ - 創造的な主張の寄せ集め
a) これまでの民間のデータ侵害訴訟における連邦法の最小限の役割
州法を専占し、全国一律の基準を課す連邦侵害通知法を成立させようという動きがこれまで時折見受けられてきた。 連邦法を制定すれば、規制が簡素化され、現在多数の異なる州法や地域法を遵守しなければならない企業の負担が軽減されることになると、この動きの擁護者たちは主張している。例えば、2022年6月には、データセキュリティの統一基準を作ることを目的とした超党派の下院議員らによって米国データプライバシー保護法(「ADPPA」)が提出された。 このような法案は、消費者保護の水準を低く設定しすぎているということへの懸念や、専占を通して各州の長年にわたるセキュリティや消費者保護の法令を侵害する可能性があることで、これまで難航していた。最近の動向を見ると、ADPPAも同様の運命に遭ったように思われる。
同様の法律が制定されない限り、民間のデータ侵害原告は、少なくとも連邦政府には多数のデータセキュリティ法が存在するものの、そのうちいずれもデータ侵害訴訟に特に適した法律がないという状況に直面することになる。確かに、連邦法としては、コンピュータ不正行為防止法(CFAA)、運転者のプライバシー保護法(DPAA)、電子通信プライバシー法(ECPA)およびその中の2つの法律(盗聴法および通信記録保管法(SCA))、ビデオプライバシー保護法(VPPA)、電話消費者保護法(TCPA)、1996年医療保険の携行性と責任に関する法律(HIPPA)などが他のサイバーセキュリティの文脈で原告によって頻繁に使用されているが、そのうちのいずれもデータ侵害の原告が、侵害によってPIの保護を怠った企業に対して行いたがるような、的確な類いの請求を対象としているものはない。データ侵害の原告の中には、実損害賠償または2,500ドルの約定損害賠償(いずれか額が多い方)、懲罰的損害賠償、妥当な額の弁護士費用、私的訴権を規定するDPPAを武器にしようと試みたものもいる。しかし、これまでのところ裁判所は、データ侵害に関連するDPPAの申し立てにほとんど応じていない。代わりに裁判所は、DDPAを次の2つに区別している。(1) DPPAは、「自動車記録から個人情報を取得した被告にのみ民事責任を負わせ、そのような記録にリンクできる(すなわちそこから派生した)情報を取得しただけの被告には負わせない」 Garey v. James S. Farrin, P.C., 35 F.4th 917, 9, 35 F.4th 917, 927 (4th Cir. 2022) そして、(2)セキュアでない外部サーバーに運転免許証情報を保存する行為は、DPPAの意味における「開示」に当たらないため、この法律は発動されない。Allen v. Vertafore, Inc, 28 F.4th 613, 617 (5th Cir. 2022).
したがって、連邦法の制限により、州の法定およびコモンローの請求が、今日まで民間のデータ侵害訴訟の主な焦点となっている。
b) 州法が民間の訴訟人に提供する豊富な選択肢
データ侵害の原告は、州法およびコモンローに基づく数多くの請求を追求している。 このような原告は、可能な限り多くの請求を訴状に盛り込み、和解でのレバレッジを最大化し、可能な限り多くの請求を存続させるために、不規則な弁論戦略を採用することが多い。裁判所は、これらの請求を扱う際に、特に、クラウド上のデータの増加により、法選択の判断に重要な役割を果たす可能性のある損害(すなわち侵害)の場所が不明瞭になっているため、準拠法選択分析を行うにあたってしばしば独特な問題に直面している。また、裁判所には異なる準拠法選択ルール(例えば、申し立てられた契約が形成された場所、「最も重要な関係」テスト、「政府の利益」分析など)に支配される別々の州の契約請求をこなさなければならないかもしれないという事実により、さらなる複雑さがもたらされる。裁判所は、In re: Mednax Servs.訴訟にて、訴答段階でこれらの問題すべてに対処せざるを得なかった。 参照: 2022 WL 1468057, at *3-5. 要するに、創意工夫を凝らした原告らには、侵害事件によりもうすでに動揺している被告企業をさらに困難に陥れるために利用できるオプションが豊富にあるのである。
州法に基づく請求. 現在、カリフォルニア州は、データ侵害の救済を特に目的とした私的訴権を持つ包括的な消費者プライバシー法を採択している唯一の州である。バージニア州(バージニア州消費者データ保護法、バージニア州法Ann. § 59.1-575 et seq.)、コロラド州(コロラド州プライバシー法、Colo. Rev. Stat. § 6-1-1301~6-1-1313) 、ユタ州(ユタ州消費者プライバシー法、Utah Code Ann. § 13-61-101 et seq.) 、コネチカット州(CT SB 6)も近年、消費者プライバシーに関する包括的な法令を制定している。しかし、これらの法律のいずれも、今日まで私的な訴権を規定していない。 カリフォルニア州消費者プライバシー法(CCPA)は、2020年1月1日に施行された。データ侵害の原告は、CCPAの前身であるカリフォルニア州顧客記録法(CRA)に基づく請求を試みることがあった。参照: Cal. Civ. Code §§ 1798.81-82. これは、ビジネスが合理的なセキュリティ対策及び手続を実施・維持しなかった結果、編集されておらず、暗号化されていない「個人情報」への無許可のアクセス、盗難、開示に対する私的訴権を提供するものである。Cal. Civ. Code § 1798.150(a)(1). CCPAはその後、カリフォルニアプライバシー権法(CPRA)により改正されている。 2023年1月1日より施行されたCPRAは、CCPAにおける「個人情報」の定義を拡大し、バイオメトリクスデータを含むようにし(Cal. Civ. Code § 1798.140(o) (Cal. Civ. Code § 1798.140(v) after Jan. 1, 2023))、私訴権を、そのアカウントへのアクセスを可能にするパスワードまたはセキュリティ質問応答付きの電子メールアドレスが漏洩した消費者に拡大する。CCPA は、カリフォルニア州の居住者または世帯に関連する限りのすべての情報を対象とし、PIを収集し、カリフォルニア州で事業を行い、法令で定められた一定の基準を満たすすべての営利、私企業に適用される。Cal. Civ. Code § 1798.140(c) (Cal. Civ. Code § 1798.140(d) after Jan. 1, 2023).
CCPAはその制定以来、かなりの量のデータ・プライバシー訴訟を牽引してきた。 この法律の範囲は比較的狭いにもかかわらず、発効日から1年以内にCCPAの請求を主張する訴訟が125件以上起こされ、CCPAの請求が主張されたクラスアクションでは、少なくとも17件の和解が成立している。 CCPAの訴訟は、すでに訴答段階における課題を乗り越えている。参照例: Karter v. Epiq Sys., Inc., 2021 WL 4353274, at *2-3 (C.D. Cal. July 16, 2021). この法令がデータ侵害原告の間で人気があるのは、私的訴訟で規定されている損害賠償に起因しており、その内容は次を含む。 (1) 1件の事件につき消費者1人当たり100ドルから750ドルの間の法定額、もしくは実際の損害賠償額のうちの大きい方、(2) 宣言的救済または差止的救済、それから (3) 裁判所が適切とみなすその他の救済。Cal. Civ. Code § 1798.150(a). 被告が利用可能な「通知と治癒」条項(Cal. Civ. Code § 1798.150(b))などを含め、CCPAの一定の側面はまだ完全に決断されていない部分もあるが、CCPAの請求が存在することによって、データ侵害のクラスアクションにおいてカリフォルニア・サブクラスがよく見られるようになった。これらのカリフォルニア・サブクラスのメンバーは、通常、追加の金銭的補償を提供される。それは多くの場合、全米・クラスに提供される和解金よりも50~100ドル多く、CCPAに基づく法定罰則の適用を考慮したものとなっている。
州のコモンローに基づく請求. 民間のデータ侵害の原告は、州のコモンロー上の請求を幅広く利用でき、その多くが効果的であることが証明されている。 典型的に主張される請求は以下を含む。 (1)過失、(2)重過失、(3)行為自体で成立する過失(negligence per se)、 (4)明示的契約違反、(5)黙示的契約違反、(6)黙示的誠実・公正取引義務違反、(7)信義則違反、(8)不正利得、それから(9)プライバシー侵害または私的事項への侵入など。参照例:Kitzler v. Nelnet Servicing, LLC, No.2:22-cv-06550, ECF Doc. # 1, compl. 113-94 (C.D. Cal. Sept. 13, 2022); In re: Rutter's Inc., 511 F. Supp. 3d at 520; Purvis v. Aveanna Healthcare, LLC, 563 F. Supp. 3d 1360, 1365 (N.D. Ga. 2021). これらの請求の成否は、主張される具体的な事実と適用される法域の法律の正確な輪郭に左右されることが多いものの、ある種の明白な傾向が現れてきている。
過失の主張. データ侵害の原告は通常、過去のデータ侵害のインシデント(同じ業界におけるものを含む)を考慮し、被告はデータ侵害の予見可能なリスクが存在することを認識していたと主張する。参照: Kitzler v. Nelnet Servicing, LLC, No.2:22-cv-06550, ECF Doc. # 1, compl. 45-50 (C.D. Cal. Sept. 13, 2022) . さらに、被告は、FTCのガイドラインや、NISTサイバーセキュリティフレームワーク、米国政府機関におけるクラウドセキュリティ認証制度、および/またはCenter for Internet Securityの重要セキュリティコントロールなどのフレームワークなど、データ侵害を防ぐために必要な多くの妥当かつ必要な業界標準を維持していなかったと主張する。参照: 同上 65-70; Krefting v. OneTouchPoint, Inc., No. 2:22-cv-01052, ECF Doc. # 1, compl. 60 (E.D. Wisc. Sept. 12, 2022). ほとんどの州では、被告が原告に実質的なリスクをもたらすことを知っていたか、知るべきであった状況を作り出した場合(すなわち、原告のPIの意図的な収集と保存)、第三者(すなわち、ハッカー)による損害を防ぐために「合理的な予防措置」を取るというコモンロー上の義務を認識している。 そのため、裁判所は、データ侵害の原告は、過失および重過失に対する請求を適切に主張した、と結論付けることが多い。参照例: In re: Am. Med. Collection Agency, 2021 WL 5937742, at *14-15; In re: Blackbaud, Inc. Customer Data Breach Litig., 567 F. Supp. 3d 667, 679-83 (D.S.C. 2021); Purvis, 563 F. Supp. 3d at 1366-71; In re: Rutter’s Inc., 511 F. Supp. 3d at 526-30.
契約上の請求. PIを取得または取り扱う多くの企業は、ユーザーまたは顧客に対し、連邦法の遵守、および不正アクセスや不正使用からのPIの保護に関する一定の表明を含むプライバシー通知を提供している。さらに、データセキュリティの重要性、PI保護のための強力な暗号化の使用、およびPIの違法な開示の禁止に関する声明を、会社は自社のウェブサイトおよびその他の資料に含めることが一般的である。データ侵害の原告は、これらの通知、ポリシー、声明を、被告がその緩いセキュリティ対策によって違反した明示的または黙示的な契約を確立するものとして引用することが多い。被告は通常、このような声明は強制力のある約束ではない(企業方針の広範な描写に過ぎない)、相互の同意/意思の合致がないため強制力のある契約は存在しない、原告はプライバシー通知の条項を読んだこと、あるいは認識していたことを申し立てることができなかった、と反論している。参照: In re: Capital One Consumer Data Sec. Breach Litig., 488 F. Supp. 3d 374, 410 (E.D.Va. 2020) (抗弁を要約). これらのデータセキュリティを持つと判断した裁判所もあるが、データ侵害の原告は、明示的および黙示的な契約違反の請求で驚くべきほどの数の成功を収めている。参照例: In re: Rutter’s, 511 F. Supp. 3d at 533-37 (事例集); Purvis, 563 F. Supp. 3d at 1379-82; In re: Capital One, 488 F. Supp. 3d at 410-11. 誠実かつ公正な取引に関する暗黙の規約の違反に関する請求は、州法に基づく契約に関する請求と重複していたり、それに包含されていたりすることが多いため、失敗する可能性がより高い。参照: In re: Mednax Servs., 2022 WL 1468057, at *13-14 (これを理由に暗黙の規約の請求を棄却).
義務違反の請求. データ侵害の原告は、しばしば受託者の義務違反に関するもっともらしい請求を主張するのに苦労する。 裁判所は、一般的に、事業者がPIを受け取ることによって、独立企業間取引が受託者関係に変わることを認めたがらないのである。参照: 同上*27-28. 企業が雇用に関連してPIを収集する場合も一般に同様で、多くの裁判所は、これを従業員が「ユニークまたは例外的な方法」で雇用主を信頼していることを示唆するものではない、一般的な慣行であるとみなしている。Purvis, 563 F. Supp. 3d at 1384. 受託者の義務違反の請求は、PHIが侵害され、被告が医療提供者の場合に成功する傾向がある。これは、一部の州では、医療の提供は秘密関係を示唆するものであると認識されているためである。同上. at 1383. 機密保持違反の請求も、一般に、被告が PI または PHI を第三者に開示したことを示唆する事実がないため、同様に維持するのが難しい。この必須の要素がない場合には、被告の不十分であるセキュリティは、過失の請求を支持することがはできるものの、機密保持違反のクレームは支持することはできないのである。同上. 1378
不当利得返還請求. 「連邦裁判所らの、データ侵害のクラスアクションにおける不当利得の請求の分析は、一様なものではない。」In re: Rutter's Inc., 511 F. Supp. 3d at 538. 結果は多くの場合、訴答段階での「裁判所が原告の主張をどの程度尊重するか」、被告がPIを使って何をするか、それから被告が関与しているビジネスの種類に左右される。同上. 一般論として、被告がPIを商品化する企業である、もしくはPIを保有することで独立した金銭的利益を得ている場合(例えば、顧客ターゲットを絞り込み利益を上げるためにPIを使用するなど)、裁判所が民間のデータ侵害原告の不当利得返還請求の続行を認める可能性は高くなる。参照: In re: Am. Med. Collection Agency, 2021 WL 5937742, at *18. 被告のビジネスの本質がPIの取得と保護に関わる場合(例えば、被告がクレジットカード会社である場合)も同様である。参照: In re: Capital One, 488 F. Supp. 3d at 411-13. 不当利得返還請求は、これらの文脈以外ではあまり成功しておらず、被告がPIから直接利益を得ていない場合などには(例えば、被告が医療提供者の場合)、特に問題を多くはらんでいる状況である。参照: In re: Blackbaud, 567 F. Supp. 3d at 687-88; In re: Am. Med. Med. Collection Agency, 2021 WL 5937742, at *18.
プライバシーに関する請求. プライバシーの侵害または私生活への侵入/排除に対する単独の不法行為請求は、一般的に民間のデータ侵害訴訟では不利な状況にある。多くの法域において、このような請求は、単なる過失では十分とされない「意図的な」不法行為である。しかし、データ侵害の原告は、被告が意図的に自分のPIまたはPHIを無許可の者に開示したと主張することはめったにできない。むしろ、第三者(ハッカー)が、通常、被告企業の積極的な参加なしにデータ侵害を実行する。 「過失が、(原告の)機密情報を漏らすという意図的な行為に変化することはない」ため、このような請求はしばしば棄却の対象となる。Burton v. MAPCO Exp., Inc., 47 F. Supp. 3d 1279, 1288 (N.D. Ala. 2014); 次も参照: In re: Mednax Servs., 2022 WL 1468057, at *26-27 (collecting cases); Purvis, 563 F. Supp. 3d at 1377-78.
IV. 次は何か?
被告は、データ侵害法が成熟するにつれ、新しい損害理論がますます頻繁に出現するようになると予期すべきである。特に、明確な判例が少ないこと、司法管轄区域によって当事者適格と本案分析の双方に大きな違いがあることから、当面は訴訟リスクを測定することは困難であろう。 また、データ侵害がより一般的になり、より多数に影響を与えるようになれば、名目的損害賠償であったとしても、それが集まれば、並外れた損害金額を生み出す可能性があるために、訴訟リスクは増大するであろう。また、データ侵害訴訟のほとんどは、実際にPIにアクセスされた、またはアクセスされる可能性があった原告を代理して起こされるが、他の領域への波及も予想される。 例えば、株主が、サイバー犯罪を防止するための「合理的なセキュリティ対策」を怠ったとして、経営陣や役員の責任を追及することが増えてくるかもしれない。
しかし、すべての革新が原告側で行われるわけではない。 データ侵害の原告がこれまで以上に想像力を働かせるようになれば、被告は、その影響力を弱めるために、他のクラスアクションの文脈でしばしば見られる手段を取るようになると予想される。クリックラップや類似の契約を通じて、より多くの企業が、消費者、ユーザー、従業員、または患者が、(1)侵害関連の請求が熟する前に、書面による通知の提供や非公式の紛争解決に従事するなどの管理措置を取ることに同意する、(2)請求を仲裁することに同意する、(3)クラス全体または代表ベースで救済を求める権利を放棄する、そして/または(4)被告のサービスの対価として法定外請求権を放棄することに同意する、「プライバシーポリシー」を承諾するモデルに移行していくことが予想される。実際、少なくとも一部の裁判所は、データ侵害の状況において、こうした考えを受け入れているようだ。また、被告が、データ侵害の原告に対し、しばしば個々の問題が優位となる、存続できるクラスの証明というその根本的な能力に対する攻撃を続けることは間違いないであろう。
しかし、このような不確実な環境下では、企業は経験豊富な弁護士と協力して、規定要件を確実に遵守し、侵害対応計画を立案・実行し、最適なデータ侵害訴訟戦略を策定することが重要である。
クイン・エマニュエル・アークハート・サリバン
外国法事務弁護士事務所
東京オフィス代表 ライアン・ゴールドスティン
この件につきましてのお問い合わせ先
マーケティング・ディレクター 外川智恵(とがわちえ)
chietogawa@quinnemanuel.com