Dansk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_da/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdage 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Risikoen for lækage af personlige oplysninger i virksomheder og erstatningsansvar

Risikoen for lækage af personlige oplysninger i virksomheder og erstatningsansvar

General Corporate

Risikoen for lækage af personlige oplysninger i virksomheder og erstatningsansvar

Risiciene, der omgiver virksomhedsledelse, inkluderer ledelseskriser og ulykker forårsaget af virksomhedens overtrædelse af sikkerhedsforpligtelser, men i de senere år er lækage af personlige oplysninger og risikoen for erstatning for skader forårsaget deraf også blevet et stort problem.

Tokyo Handels- og Industriundersøgelse rapporterer, at i 2019 offentliggjorde 66 børsnoterede virksomheder og deres datterselskaber lækage og tab af personlige oplysninger. Antallet af ulykker var 86, og de lækede personlige oplysninger nåede op på 9.031.734 personer. Hvis du tilføjer ikke-børsnoterede virksomheder, udenlandske virksomheder, offentlige institutioner, lokale myndigheder, skoler osv., kan antallet potentielt svulme op til astronomiske tal.

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Blandt lækage- og tabshændelser af personlige oplysninger er den største stadig den, der blev afsløret i juli 2014, hvor 35,04 millioner personers oplysninger blev lækket på grund af ulovlig erhvervelse af kundeoplysninger af en medarbejder hos Benesse Holdings (Benesse Corporation). I 2019 var der nye udviklinger i nogle retssager omkring denne hændelse.
Mens vi sorterer ud i Benesses problem, vil vi overveje risikoen for lækage af personlige oplysninger og erstatning for skader i virksomheder.

Hvad er Benesse persondata lækagesagen?

Risikoen for virksomheders persondata lækage og erstatningsansvar
Benesse persondata lækagesagen, der opstod omkring juni 2014, er en hændelse, der stadig er frisk i hukommelsen.

Omkring juni 2014 begyndte Benesses kunder at modtage direkte mails fra kommunikationsuddannelsesfirmaet “Just System”, hvilket førte til en stigning i henvendelser om, hvorvidt de brugte personlige oplysninger, der kun var registreret hos Benesse, og om der var lækage af personlige oplysninger fra Benesse.

Den 27. juni indledte Benesse en intern undersøgelse, rapporterede til politiet og Ministeriet for Økonomi, Handel og Industri den 30. juni, og afholdt en pressekonference den 9. juli, hvor de annoncerede, at personlige oplysninger som navne, adresser, telefonnumre, køn og fødselsdatoer for børn og deres forældre, der var tilmeldt Shinken Seminar og andre, var blevet lækket.

Den 17. juli blev en 39-årig systemingeniør, der havde adgang til kundeoplysninger og var ansvarlig for at administrere databasesystemet i Synform Co., Ltd., et datterselskab af Benesse, der havde overtaget kundeinformationsstyring fra en underleverandør, anholdt for at have taget personlige oplysninger og solgt dem til en listeoperatør.

I september afholdt Benesse en pressekonference, hvor de annoncerede, at antallet af kundeinformationslækager var 35,04 millioner, og at de allerede havde forberedt 20 milliarder yen som kompensation til ofrene for persondata lækage. De sendte en undskyldning til de kunder, hvor lækagen var bekræftet, og annoncerede, at de ville implementere kompensation ved enten at sende en 500 yen gavekort (elektronisk pengegave eller nationalt bogkort) i overensstemmelse med kundernes valg, eller ved at donere 500 yen pr. lækage til Benesse Children’s Foundation, en non-profit organisation oprettet for at støtte børn, der er blevet påvirket af denne lækage.

En del af ofrene dannede flere advokatgrupper og indledte gruppesøgsmål. Der var nogle bevægelser i denne sag i 2019. Som en straffesag blev systemingeniøren, der tog personlige oplysninger, anklaget for overtrædelse af loven om forebyggelse af urimelig konkurrence (kopiering og offentliggørelse af forretningshemmeligheder), og i en straffedom afsagt af Tokyo High Court den 21. marts 2017 (2017), blev han idømt en ubetinget fængselsstraf på to og et halvt år og en bøde på 3 millioner yen.

Højesterets afgørelse og appelretssagen

Risikoen for lækage af personlige oplysninger og erstatning i virksomheder
Der har været tilfælde, hvor betaling af erstatning blev beordret, idet man tog højde for, at appellanternes adresse, navn og telefonnummer var blevet offentliggjort på hjemmesider og lignende.

En mand og hans barns navn, adresse, telefonnummer osv. blev lækket, hvilket forårsagede psykisk lidelse. I en retssag, hvor manden personligt krævede 100.000 yen i kompensation fra Benesse, ophævede Højesteret afgørelsen fra den oprindelige ret, Osaka High Court, og sendte sagen tilbage, da den ikke var blevet fuldt ud behandlet.

I den første retssag før tilbagesendelsen, Himeji Branch of Kobe District Court, den 2. december 2015 (Heisei 27), anerkendte retten, at mandens navn, som Benesse administrerede, var blevet lækket, som en ubestridt kendsgerning. Retten afviste mandens krav, da der ikke var nogen påstand eller bevis for konkrete omstændigheder, der kunne danne grundlag for, at dette skyldtes Benesses forsømmelse.

Mod dette appellerede manden, og i appelsagen (Osaka High Court, 29. juni 2016 (Heisei 28)) anerkendte retten, at navnet, køn, fødselsdato, postnummer, adresse, telefonnummer og navnet på forælderen (appellantens navn) til appellantens barn, som den appellerede administrerede, var blevet lækket. Retten fastslog, at dette kunne betragtes som en lækage af appellantens personlige oplysninger, herunder hans navn, postnummer, adresse, telefonnummer og navnene, køn og fødselsdatoer for hans familiemedlemmer. Retten anerkendte, at lækagen af appellantens personlige oplysninger kunne forårsage ubehag og angst i henhold til den almindelige opfattelse af en almindelig person. Men retten afviste appellen med den begrundelse, at der ikke var nogen påstand eller bevis for skade ud over dette ubehag osv., og at man ikke umiddelbart kunne kræve erstatning for denne krænkede interesse.

Højesterets afgørelse

Appellanten indgav en anmodning om accept af appel mod dette, og Højesteret accepterede dette og fastslog, at appellantens privatliv var blevet krænket på grund af denne lækage. Osaka High Court skulle have afvist appellantens krav udelukkende på grundlag af, at der ikke var nogen påstand eller bevis for skade ud over ubehag osv., uden at have fuldt ud behandlet spørgsmålet om, hvorvidt der var nogen psykisk skade på appellantens side som følge af krænkelsen af privatlivet, og i hvilket omfang. Højesteret fastslog, at denne afgørelse fra den oprindelige ret var ulovlig, da den var baseret på en fejlagtig fortolkning og anvendelse af loven om skade i forbindelse med ulovlige handlinger, og ophævede den oprindelige afgørelse. For at få yderligere behandling af spørgsmålet om, hvorvidt der var nogen forsømmelse fra den appelleredes side, og om der var nogen psykisk skade på appellantens side, og i hvilket omfang, sendte Højesteret sagen tilbage til High Court (Højesterets afgørelse, 23. oktober 2017 (Heisei 29)).

https://monolith.law/reputation/privacy-invasion[ja]

Afgørelsen i appelretssagen efter tilbagesendelsen

I retssagen efter tilbagesendelsen fastslog Osaka High Court den 20. november 2019 (Reiwa 1), at den ansatte i dette tilfælde ulovligt havde erhvervet personlige oplysninger ved at overføre data via MTP-kommunikation ved at forbinde en smartphone, der understøtter MTP, til en arbejdscomputer med en USB-kabel og solgt dem til en listeoperatør. Symform Corporation skulle have taget passende foranstaltninger for at forhindre, at en MTP-kompatibel smartphone blev bragt ind i det ovennævnte kontor og for at forhindre, at den kom i kontakt med de personlige oplysninger i dette tilfælde, men den forsømte at gøre dette, hvilket udgjorde en forsømmelse. Benesse blev anset for at have forårsaget lækagen ved medarbejderen som følge af en overtrædelse af sin pligt til at overvåge Symform Corporation, som den havde tilladt at bruge de personlige oplysninger, som den administrerede. Derfor blev det fastslået, at Benesse havde et ansvar for ulovlige handlinger for den skade, der var forårsaget af dette, og at dette udgjorde en fælles ulovlig handling af de to virksomheder (Artikel 719, stk. 1, første del, i den japanske civillov).

Retten fastslog, at Benesse havde overtrådt bestemmelsen i artikel 22 i den japanske lov om beskyttelse af personlige oplysninger, som siger, at “når en operatør af personlige oplysninger uddelegerer hele eller en del af behandlingen af personlige data, skal operatøren udføre nødvendig og passende tilsyn med den uddelegerede for at sikre sikkerheden af de personlige data, der er blevet uddelegeret”. Retten anerkendte, at privatlivet var blevet krænket, men idet den tog højde for, at appellantens adresse, navn og telefonnummer var blevet offentliggjort på hjemmesider og lignende, beordrede den betaling af 1.000 yen i erstatning.

Dette er den tredje sag, hvor Benesses erstatningsansvar er blevet anerkendt. I begyndelsen af denne artikel skrev vi, at “der var nogle nye udviklinger i retssagerne om denne sag i 2019”, men alle tre afgørelser, der anerkendte Benesses erstatningsansvar, blev afsagt i 2019.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Den første retssag, der anerkendte Benesses ansvar

Dom i første instans

Risikoen for virksomheders lækage af personlige oplysninger og erstatning
Vi introducerer et eksempel, hvor Benesses ansvar blev anerkendt.

For første gang blev Benesses ansvar anerkendt i en appeldom, hvor en mand krævede kompensation for moralsk skade, baseret på ulovlig handling, hævdende at han og hans kone og søn havde lidt psykisk lidelse som følge af, at Benesse havde lækket deres personlige oplysninger til det ydre.

I første instans (Yokohama District Court, 16. februar 2017) anerkendte retten, at Benesse havde overtrådt sin pligt til at være opmærksom, men afviste kravet mod Benesse, da der ikke var tilstrækkelig bevis for konkrete fakta, der viste, at de havde overtrådt deres pligt til at forstå håndteringen af personlige data. Som følge heraf appellerede manden og de andre.

I første instans blev det påpeget, at selvom Benesse havde modtaget en anbefaling baseret på artikel 34, stk. 1, i den japanske lov om beskyttelse af personlige oplysninger fra ministeren for økonomi, handel og industri for at have forsømt sine forpligtelser i henhold til artikel 20 og 22 i samme lov og forårsaget denne informationslækage, er en anbefaling baseret på denne paragraf ikke en betingelse for eksistensen eller overtrædelsen af en pligt til at forudse resultaterne på tidspunktet for informationslækagen eller en pligt til at undgå resultaterne. Derfor er det ikke tilstrækkeligt at anerkende, at Benesse var skyldig i forsømmelse i henhold til artikel 709 i den japanske civillov på tidspunktet for informationslækagen, bare fordi en sådan anbefaling blev givet.

Appeldomstolens afgørelse

Mod dette, i appeldomstolen, Tokyo High Court (dom af 27. juni 2019), under forudsætning af det faktum, at det ikke var en forbrydelse, der blev begået ved at anvende avanceret viden eller bruge specielle teknikker, men simpelthen en forbrydelse, der blev udført på en indsky, da det blev opdaget, at dataoverførsel var mulig ved blot at forbinde en smartphone til en arbejdscomputer med en kommercielt tilgængelig USB-kabel til opladning, blev det anerkendt, at der var en forsømmelse i, at Synform Corporation ikke havde taget skrivekontrolforanstaltninger for MTP-kompatible smartphones, og at Benesse, som havde outsourcet håndteringen af en stor mængde personlige oplysninger, havde forsømt sin pligt til at overvåge kontraktpartneren korrekt med hensyn til håndteringen af personlige oplysninger på tidspunktet for lækagen. Disse ulovlige handlinger af de to virksomheder blev anset for at være fælles ulovlige handlinger (artikel 719, stk. 1, første del, i den japanske civillov).

Derefter udtalte de, “Det er naturligt for appellanterne at tænke, at de ikke vil have disse personlige oplysninger vilkårligt afsløret for andre, som de ikke ønsker. Derfor er disse personlige oplysninger genstand for juridisk beskyttelse som information relateret til appellanternes privatliv, og det skal siges, at appellanternes privatliv er blevet krænket ved denne lækage.” På baggrund af dette, efter at lækagen blev opdaget, begyndte de straks at reagere, tog foranstaltninger for at forhindre yderligere skade fra informationslækagen, og udførte en undersøgelsesrapport baseret på rapportering og instruktioner til tilsynsmyndighederne. Derudover sendte de en undskyldningsbrev til kunder, der formodedes at have haft lækage af information, og distribuerede gavekort til en værdi af 500 yen efter eget valg, og appellanterne har hver modtaget en elektronisk pengegave på 500 yen. Med dette i betragtning beordrede de Benesse til at betale hver af dem 2000 yen i erstatning.

Anden retssag, der anerkendte Benesses ansvar

En dom i en retssag, hvor 13 kunder krævede i alt 980.000 yen i erstatning fra selskabet og dets associerede selskaber, blev afsagt den 6. september 2019 (Gregoriansk kalender) ved Tokyo District Court. Benesse og Shinform Company blev beordret til at betale 3.000 yen pr. person (en person fik 3.300 yen), i alt 42.300 yen.

Retten anerkendte ikke Benesses ansvar over for Shinform Company, som de sagsøgende havde krævet, da det er et separat juridisk enhed. Men Shinform Company havde ikke revideret indstillingerne for deres sikkerhedssoftware, hvilket gjorde det muligt at overføre data fra arbejdscomputere til MTP-kompatible smartphones. Derfor blev det konkluderet, at de havde overtrådt deres forpligtelse til at kontrollere informationsoverførsel og var skyldige i uagtsomhed. Benesse skulle have haft et ansvar for at vælge og overvåge den virksomhed, de betroede med håndteringen af en stor mængde kundeinformation, herunder de sagsøgende, i forbindelse med udviklingen af deres system. Retten anerkendte dette som en fælles ulovlig handling (Artikel 719, afsnit 1 i den japanske civillov) og beordrede dem til at betale erstatning til de sagsøgende.

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

I denne dom blev artikel 22 i den japanske lov om beskyttelse af personlige oplysninger citeret. Denne artikel siger, at “når en virksomhed, der håndterer personlige data, betror hele eller en del af denne håndtering til en anden part, skal den udføre nødvendig og passende tilsyn med den part, der har modtaget betroelsen, for at sikre sikkerheden af de personlige data, der er betroet.” Desuden blev det påpeget, at “nødvendig og passende tilsyn” i retningslinjerne fra Ministeriet for Økonomi, Handel og Industri (2009) inkluderer at vælge den rette virksomhed til at betro opgaven, indgå den nødvendige kontrakt for at sikre, at virksomheden overholder sikkerhedsforanstaltningerne i artikel 20 i loven om beskyttelse af personlige oplysninger, og at forstå, hvordan de betroede personlige data bliver håndteret af virksomheden.

Opsummering

Benesse havde oprindeligt forberedt 20 milliarder yen som kompensation til ofrene, men det viste sig at være utilstrækkeligt. I november 2014 annullerede Japan Information Economy Society Promotion Association det privatlivsmærke, som Benesse Holdings havde erhvervet, som gives til virksomheder, der korrekt håndterer personlige oplysninger. Medlemstallet for “Shinken Seminar” og “Children’s Challenge” i april 2015 var 2,71 millioner, en nedgang på 940.000 sammenlignet med samme måned året før. Konsolideret regnskab for perioden april til juni viste en 7% nedgang i omsætningen sammenlignet med samme periode året før, og en 88% nedgang i driftsindtægten. Driftsresultatet skiftede fra et overskud på 3,91 milliarder yen i samme periode året før til et underskud på 430 millioner yen. Risikoen for erstatning for lækage af personlige oplysninger kan blive et spørgsmål om liv og død for virksomheder.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Udvidelsen af 'e-sports sektoren': Hvad skal man være opmærksom på ved indgåelse af ansættelseskontrakter?

Udvidelsen af 'e-sports sektoren': Hvad skal man være opmærksom på ved indgåelse af ansættelsesk.

General Corporate

Hvad er en direktørudsendelsesklausul i en investeringsaftale?

Hvad er en direktørudsendelsesklausul i en investeringsaftale?

General Corporate

Juridiske problemer, som medieoperatører af affiliate-modeller bør være opmærksomme på

Juridiske problemer, som medieoperatører af affiliate-modeller bør være opmærksomme på

General Corporate

Regulering af reklame for medicinsk udstyr: Hvad er den japanske 'Pharmaceutical and Medical Device Act'?

Regulering af reklame for medicinsk udstyr: Hvad er den japanske 'Pharmaceutical and Medical Dev.

General Corporate

Vigtige punkter at tjekke i reklameoptrædelseskontrakter mellem IT-virksomheder og berømtheder

Vigtige punkter at tjekke i reklameoptrædelseskontrakter mellem IT-virksomheder og berømtheder

General Corporate

Forklaring af 'straf' i den reviderede 'Japanske Lov om Beskyttelse af Personlige Oplysninger' i Reiwa 4 år (2022)

Forklaring af 'straf' i den reviderede 'Japanske Lov om Beskyttelse af Personlige Oplysninger' i.

General Corporate

Hvad er effekten af retssager på børsnoteringsundersøgelser?

Hvad er effekten af retssager på børsnoteringsundersøgelser?

General Corporate

Er permanent makeup en medicinsk procedure? Den nye meddelelse fra det Japanske Ministerium for Sundhed, Arbejde og Velfærd, som skønhedsklinikker bør være opmærksomme på

Er permanent makeup en medicinsk procedure? Den nye meddelelse fra det Japanske Ministerium for .

General Corporate

Hvilke klausuler bør inkluderes i en kontrakt for systemvedligeholdelse? Forklaring af vigtige punkter

Hvilke klausuler bør inkluderes i en kontrakt for systemvedligeholdelse? Forklaring af vigtige p.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tilbage til toppen