個人情報の流出に関する使用者責任 by UK Supreme Court

最近、英国の最高裁で個人情報の流出に関する判決が下されました。日本の研究者や実務家が期待する結論とは真逆。予測が当たったかどうかより、やはり、判例法って面白いです。原審と第一審で責任が認められていたのに、最高裁でひっくり返る。そして、最高裁の方がこれまでの判例法理からすれば当然の大きな流れ。なぜなら、故意による不法行為（本件では犯罪行為）に関する使用者責任は限定的に捉えるのが原則だから。個人情報の流出だから特別に責任が認められる、とはならなかったわけです。残念なのは、最高裁が損害論には踏み込まなかったこと（踏み込むまでもなかったんだろうとは思います）。

※グーグルの事件では、控訴院が損害を認めているみたいで、本件を含めて控訴院までは実損なしの損害を認める方向なのでしょうね（一審で否定されていたので、安心してたらひっくり返ってました）。額の算定の問題にはまだ一度も踏み込んでないのは、あまり指摘されていませんが。参考として、GDPR違反、制裁金よりも怖い代表訴訟と巨額賠償, available at https://blog.bizrisk.iij.jp/401

ちなみに日本では、損害賠償額がいくらか（ゼロも含めて）でもめています。最近の判例では、使用者責任の成立自体はほとんど問題にされていないはず。

UK Supreme Court Rules Morrisons Not Vicariously Liable for Malicious Data Breach by Employee by Sidley Austin LLP, available at https://www.sidley.com/ja/insights/newsupdates/2020/04/uk-supreme-court-rules-morrisons-not-vicariously-liable-for-malicious-data-breach-by-employee

WM Morrison Supermarkets plc v Various Claimants [2020] UKSC 12, available at https://www.supremecourt.uk/cases/docs/uksc-2018-0213-judgment.pdf