Ο Κίνδυνος Διαρροής Προσωπικών Δεδομένων και Αποζημίωσης Ζημιών στις Επιχειρήσεις

Οι κίνδυνοι που περιβάλλουν τη διοίκηση μιας εταιρείας περιλαμβάνουν κρίσεις στη διοίκηση και ατυχήματα λόγω παραβίασης των υποχρεώσεων ασφάλειας από την πλευρά της εταιρείας, ωστόσο, στα τελευταία χρόνια, η διαρροή προσωπικών δεδομένων και οι συνακόλουθες απαιτήσεις για αποζημίωση έχουν γίνει ένα σημαντικό ζήτημα.

Η Τόκιο Εμπορική και Βιομηχανική Έρευνα (Tokyo Shoko Research) ανέφερε ότι το 2019, 66 εισηγμένες εταιρείες και οι θυγατρικές τους δημοσιοποίησαν περιστατικά διαρροής ή απώλειας προσωπικών δεδομένων, με συνολικά 86 περιστατικά και διαρροή πληροφοριών για 9.031.734 ανθρώπους. Αν προσθέσουμε σε αυτό τις μη εισηγμένες εταιρείες, τις ξένες εταιρείες, τις κρατικές αρχές, τις τοπικές αυτοδιοικήσεις και τα σχολεία, τα νούμερα μπορεί να φτάσουν σε αστρονομικά επίπεδα.

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Ανάμεσα στα περιστατικά διαρροής και απώλειας προσωπικών δεδομένων, το μεγαλύτερο στην ιστορία παραμένει αυτό που αποκαλύφθηκε τον Ιούλιο του 2014, όταν ένας υπάλληλος που είχε αναλάβει εργολαβία από την Benesse Holdings (Benesse Corporation) απέκτησε παράνομα πρόσβαση σε πληροφορίες πελατών, με αποτέλεσμα τη διαρροή προσωπικών δεδομένων 35.040.000 ανθρώπων. Ωστόσο, το 2019 είδαμε νέες εξελίξεις σε μερικές από τις δίκες που αφορούσαν αυτό το συμβάν.
Ενώ αναλύουμε το πρόβλημα της Benesse, θα εξετάσουμε επίσης τον κίνδυνο της διαρροής προσωπικών δεδομένων και της αποζημίωσης για τις εταιρείες.

Το Σκάνδαλο Διαρροής Προσωπικών Δεδομένων της Benesse

Περίπου τον Ιούνιο του 2014, οι πελάτες της Benesse άρχισαν να λαμβάνουν διαφημιστικά ταχυδρομεία από την εταιρεία εκπαίδευσης μέσω αλληλογραφίας “Just System”, προκαλώντας ανησυχίες ότι τα προσωπικά δεδομένα που είχαν καταχωρηθεί μόνο στη Benesse είχαν διαρρεύσει.

Στις 27 Ιουνίου, η Benesse ξεκίνησε μια εσωτερική έρευνα και στις 30 του ίδιου μήνα ανέφερε το περιστατικό στην αστυνομία και στο Υπουργείο Οικονομίας, Εμπορίου και Βιομηχανίας. Στις 9 Ιουλίου, σε συνέντευξη τύπου, ανακοίνωσε ότι προσωπικά δεδομένα όπως ονόματα παιδιών και γονέων, διευθύνσεις, τηλεφωνικοί αριθμοί, φύλο και ημερομηνίες γέννησης είχαν διαρρεύσει.

Στις 17 Ιουλίου, ένας 39χρονος σύστημας μηχανικός που είχε αναλάβει τη διαχείριση του συστήματος βάσης δεδομένων της Benesse και είχε πρόσβαση στις πληροφορίες των πελατών, συνελήφθη για την παράνομη απόσπαση και πώληση των προσωπικών δεδομένων σε εταιρείες καταλόγων.

Τον Σεπτέμβριο, η Benesse πραγματοποίησε μια συνέντευξη τύπου ανακοινώνοντας ότι ο αριθμός των διαρροών πληροφοριών πελατών ανέρχεται σε 35,04 εκατομμύρια και ότι είχε ήδη προετοιμάσει ένα ταμείο 20 δισεκατομμυρίων γιεν για αποζημίωση των θυμάτων. Επιπλέον, ανακοίνωσε ότι θα αποστείλει επιστολές συγγνώμης στους πελάτες που επηρεάστηκαν και θα προσφέρει αποζημίωση είτε με τη μορφή ενός δωροεπιταγής αξίας 500 γιεν (ηλεκτρονικό δώρο ή κοινό βιβλιάριο δωροεπιταγών για όλη τη χώρα) είτε με δωρεά 500 γιεν ανά περίπτωση διαρροής στο Ίδρυμα Benesse για τα Παιδιά, το οποίο ιδρύθηκε με σκοπό την υποστήριξη των παιδιών μετά τη διαρροή.

Σε αντίδραση, ορισμένα θύματα σχημάτισαν ομάδες δικηγόρων και κατέθεσαν αγωγές σε μαζικές δίκες, με κάποιες εξελίξεις να εμφανίζονται το 2019. Όσον αφορά την ποινική υπόθεση, ο σύστημας μηχανικός που απέσπασε τα προσωπικά δεδομένα καταδικάστηκε για παραβίαση του Νόμου Πρόληψης Άδικου Ανταγωνισμού (αντιγραφή και αποκάλυψη εμπορικών μυστικών) και τον Μάρτιο του 2017, το Ανώτατο Δικαστήριο του Τόκιο επιβεβαίωσε την τελική απόφαση με ποινή φυλάκισης δύο ετών και έξι μηνών και πρόστιμο 3 εκατομμυρίων γιεν χωρίς αναστολή εκτέλεσης.

Η απόφαση του Ανώτατου Δικαστηρίου και η επαναπομπή στο Εφετείο

Σε μια δίκη όπου ένας άνδρας αξίωσε από την εταιρεία Benesse αποζημίωση 100.000 γιεν για την πνευματική του δυσφορία, λόγω διαρροής του ονόματος, της διεύθυνσης και του τηλεφωνικού αριθμού του και του παιδιού του, το Ανώτατο Δικαστήριο ακύρωσε την απόφαση του πρωτόδικου δικαστηρίου, του Εφετείου Οσάκα, και επανέπεμψε την υπόθεση, κρίνοντας ότι δεν είχε γίνει επαρκής εξέταση.

Πριν από την επαναπομπή, το πρωτόδικο δικαστήριο, το Περιφερειακό Δικαστήριο Κόμπε, Υποδιαίρεση Χιμέτζι, στις 2 Δεκεμβρίου 2015, αναγνώρισε ως αδιαμφισβήτητο γεγονός τη διαρροή του ονόματος του άνδρα που διαχειριζόταν η Benesse, αλλά απέρριψε την αξίωση του άνδρα λόγω έλλειψης επαρκών συγκεκριμένων στοιχείων που να υποστηρίζουν ότι η διαρροή οφειλόταν σε αμέλεια της Benesse.

Στην έφεση που ακολούθησε, το Εφετείο Οσάκα (απόφαση 29 Ιουνίου 2016) αναγνώρισε ότι είχαν διαρρεύσει τα στοιχεία του παιδιού του ενάγοντος, όπως όνομα, φύλο, ημερομηνία γέννησης, ταχυδρομικός κώδικας, διεύθυνση, τηλεφωνικός αριθμός και το όνομα του κηδεμόνα (το όνομα του ενάγοντος), και αναγνώρισε ότι αυτό συνιστούσε διαρροή των προσωπικών δεδομένων του ενάγοντος. Παρόλο που αναγνώρισε ότι η διαρροή των προσωπικών δεδομένων μπορεί να προκαλέσει δυσφορία και ανησυχία σε έναν κανονικό άνθρωπο, το δικαστήριο απέρριψε την έφεση λόγω έλλειψης αποδείξεων για ζημιά πέραν της αναφερθείσας δυσφορίας.

Η Απόφαση του Ανώτατου Δικαστηρίου

Όταν ο εφεσίβλητος υπέβαλε αίτηση για αναίρεση ενώπιον του Ανώτατου Δικαστηρίου, το δικαστήριο αποδέχθηκε την αίτηση και, αφού την εξέτασε, διαπίστωσε ότι ο εφεσίβλητος υπέστη παραβίαση του απορρήτου του λόγω της διαρροής πληροφοριών. Παρά το γεγονός αυτό, το Εφετείο του Οσάκα απέρριψε το αίτημα του εφεσίβλητου χωρίς να εξετάσει επαρκώς την ύπαρξη και το βαθμό της ψυχικής ζημιάς που προκλήθηκε από την παραβίαση του απορρήτου, βασιζόμενο μόνο στο γεγονός ότι δεν είχε παρουσιαστεί απόδειξη για την πρόκληση ζημιάς πέραν της αναστάτωσης. Το Ανώτατο Δικαστήριο έκρινε ότι η απόφαση του πρωτοβάθμιου δικαστηρίου ήταν παράνομη, καθώς δεν είχε εξετάσει επαρκώς τα σχετικά ζητήματα λόγω λανθασμένης ερμηνείας και εφαρμογής των νόμων που αφορούν τις ζημιές σε περιπτώσεις παράνομων πράξεων. Ως εκ τούτου, ακύρωσε την αρχική απόφαση και διέταξε την υπόθεση να επιστραφεί στο Εφετείο για περαιτέρω εξέταση σχετικά με την ύπαρξη ή μη ευθύνης του κατηγορουμένου και την ύπαρξη και το βαθμό της ψυχικής ζημιάς του εφεσίβλητου (Απόφαση του Ανώτατου Δικαστηρίου της 23ης Οκτωβρίου 2017).

https://monolith.law/φήμη/παραβίαση απορρήτου[ja]

Η Απόφαση του Εφετείου μετά από Αναπομπή

Στην αναπομπή της δίκης, το Εφετείο του Οσάκα (απόφαση της 20ης Νοεμβρίου 2019) κατέληξε ότι ο εν λόγω υπάλληλος απέκτησε παράνομα προσωπικά δεδομένα μέσω μεταφοράς δεδομένων από ένα smartphone συμβατό με MTP σε έναν επαγγελματικό υπολογιστή μέσω USB καλωδίου και τα πούλησε σε επιχειρήσεις καταλόγων. Παρόλο που η εταιρεία Synform έπρεπε να λάβει κατάλληλα μέτρα για να αποτρέψει την είσοδο των smartphones συμβατών με MTP στο γραφείο και να εμποδίσει την πρόσβαση στα προσωπικά δεδομένα, αμέλησε αυτή την υποχρέωση προσοχής και υπήρξε ελαττωματική. Η Benesse, παραβιάζοντας την υποχρέωση εποπτείας που έχει για την εταιρεία Synform, η οποία είχε εξουσιοδοτηθεί να διαχειρίζεται τα εν λόγω προσωπικά δεδομένα, επέτρεψε τη διαρροή από τον υπάλληλο και κρίθηκε ότι φέρει ευθύνη για την προκληθείσα ζημία λόγω παράνομης πράξης, συνιστώντας κοινή παράνομη πράξη των δύο εταιρειών (άρθρο 719, παράγραφος 1, πρώτο μέρος του Ιαπωνικού Αστικού Κώδικα).

Επιπλέον, παρά την παραβίαση του άρθρου 22 του Ιαπωνικού Νόμου για την Προστασία Προσωπικών Δεδομένων, το οποίο απαιτεί από τους επιχειρηματίες που διαχειρίζονται προσωπικά δεδομένα να επιβλέπουν κατάλληλα και επαρκώς τους αναθέτοντες τη διαχείριση αυτών των δεδομένων, το δικαστήριο αποφάσισε να επιβάλει αποζημίωση ύψους 1000 γιεν λαμβάνοντας υπόψη ότι τα στοιχεία όπως διεύθυνση, όνομα και τηλεφωνικός αριθμός του ενάγοντος ήταν ήδη δημοσιευμένα σε ιστοσελίδες και άλλα μέσα.

Αυτή η δίκη αποτελεί το τρίτο παράδειγμα που αναγνωρίζεται η ευθύνη αποζημίωσης της Benesse. Στην εισαγωγή αυτού του άρθρου αναφέρθηκε ότι «το 2019 είδαμε νέες εξελίξεις σε μερικές από τις δίκες που αφορούν αυτό το σκάνδαλο», και όλες οι τρεις αποφάσεις που αναγνωρίζουν την ευθύνη αποζημίωσης της Benesse εκδόθηκαν εντός του έτους 2019.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Η πρώτη δικαστική απόφαση που αναγνώρισε την ευθύνη της Benesse

Η απόφαση του πρωτοβάθμιου δικαστηρίου

Για πρώτη φορά, η ευθύνη της Benesse αναγνωρίστηκε σε απόφαση εφετείου, όπου ένας άνδρας ζήτησε αποζημίωση για ηθική βλάβη, ισχυριζόμενος ότι υπέστη ψυχική ταλαιπωρία εξαιτίας της διαρροής των προσωπικών δεδομένων του, της συζύγου του και του γιου του από την Benesse.

Το πρωτοβάθμιο δικαστήριο (Δικαστήριο Πρώτου Βαθμού της Υοκοχάμα, απόφαση της 16ης Φεβρουαρίου 2017) αναγνώρισε την παράβαση του καθήκοντος προσοχής από την Benesse, αλλά δεν βρήκε αρκετά συγκεκριμένα γεγονότα που να αποδεικνύουν παράβαση του καθήκοντος επίγνωσης της κατάστασης των προσωπικών δεδομένων, και έτσι απέρριψε την αίτηση κατά της Benesse, οδηγώντας τον άνδρα και τους συναγωνιστές του να ασκήσουν έφεση.

Στο πρωτοβάθμιο δικαστήριο, παρά το γεγονός ότι η Benesse είχε λάβει σύσταση βάσει των άρθρων 20 και 22 του Νόμου για την Προστασία Προσωπικών Δεδομένων από τον Υπουργό Οικονομίας, Εμπορίου και Βιομηχανίας και είχε προκληθεί η διαρροή πληροφοριών, η σύσταση βάσει του άρθρου 34, παράγραφος 1 του ίδιου νόμου δεν αποτελεί απόδειξη ότι υπήρχε καθήκον πρόβλεψης ή αποφυγής του αποτελέσματος κατά τη στιγμή της διαρροής, ούτε ότι η Benesse είχε ευθύνη βάσει του άρθρου 709 του Αστικού Κώδικα.

Η απόφαση του εφετείου

Αντιθέτως, το εφετείο, το Ανώτατο Δικαστήριο του Τόκιο (απόφαση της 27ης Ιουνίου 2019), αναγνώρισε ότι η εταιρεία Synform έπρεπε να είχε λάβει μέτρα ελέγχου εξαγωγής δεδομένων για τα smartphones που υποστηρίζουν MTP και δεν το έπραξε, ενώ η Benesse, η οποία είχε αναθέσει τη διαχείριση μεγάλου όγκου προσωπικών δεδομένων, είχε την ευθύνη να επιβλέπει επαρκώς τον ανάδοχο και απέτυχε να το κάνει. Τα παραπάνω παραλείψεις θεωρήθηκαν ως συνδυασμένη παράνομη πράξη (άρθρο 719, παράγραφος 1 του Αστικού Κώδικα).

Επιπλέον, το δικαστήριο δήλωσε ότι «είναι φυσικό για τους ενάγοντες να μην επιθυμούν τα προσωπικά τους δεδομένα να αποκαλύπτονται αδιακρίτως σε τρίτους που δεν τα επιθυμούν, και ως εκ τούτου, τα δεδομένα αυτά αποτελούν πληροφορίες που αφορούν το απόρρητο των ενάγοντων και υπόκεινται σε νομική προστασία. Η διαρροή αυτή προκάλεσε παραβίαση του απορρήτου τους», και με βάση αυτό, διέταξε την Benesse να καταβάλει αποζημίωση 2000 γιεν σε κάθε ενάγοντα, λαμβάνοντας υπόψη ότι η εταιρεία ξεκίνησε άμεσα την αντιμετώπιση της διαρροής, πήρε μέτρα για την πρόληψη της επέκτασης της ζημιάς, υπέβαλε αναφορές και πραγματοποίησε ερευνητικές αναφορές βάσει των οδηγιών της εποπτικής αρχής, και απέστειλε επιστολές συγγνώμης στους πελάτες που πιθανόν επηρεάστηκαν από τη διαρροή, προσφέροντας επίσης δωροεπιταγές αξίας 500 γιεν, τις οποίες και οι ενάγοντες έλαβαν.

Η δεύτερη περίπτωση αναγνώρισης της ευθύνης της Benesse

Στις 6 Σεπτεμβρίου 2019, η απόφαση μιας δίκης στο Περιφερειακό Δικαστήριο του Τόκιο αναγνώρισε την ευθύνη της εταιρείας Benesse και μιας συνδεδεμένης εταιρείας, μετά από αγωγή 13 πελατών που ζητούσαν αποζημίωση συνολικού ύψους 980,000 γιεν. Η Benesse και η εταιρεία Shinform καταδικάστηκαν να πληρώσουν 3,000 γιεν ανά άτομο (εκτός από ένα άτομο που έλαβε 3,300 γιεν), συνολικά 42,300 γιεν.

Το δικαστήριο δεν αναγνώρισε την ευθύνη της Benesse ως εργοδότη της Shinform, καθώς είναι ξεχωριστή νομική οντότητα, αλλά διαπίστωσε ότι η Shinform δεν αναθεώρησε τις ρυθμίσεις του λογισμικού ασφαλείας, επιτρέποντας έτσι τη μεταφορά δεδομένων από επαγγελματικούς υπολογιστές σε smartphones που υποστηρίζουν MTP. Κατά συνέπεια, η Shinform παραβίασε την υποχρέωση ελέγχου της εξαγωγής πληροφοριών και έφερε ευθύνη για αμέλεια. Η Benesse, κατά την ανάθεση της διαχείρισης μεγάλου όγκου πληροφοριών πελατών στην Shinform για την ανάπτυξη του συστήματος, έφερε επίσης την υποχρέωση να επιλέγει και να εποπτεύει τον ανάδοχο με βάση την αρχή της καλής πίστης. Έτσι, το δικαστήριο αναγνώρισε την κοινή παράνομη πράξη (άρθρο 719, παράγραφος 1, πρώτο μέρος του Ιαπωνικού Αστικού Κώδικα) και διέταξε την αποζημίωση των πελατών.

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

Σε αυτή την απόφαση, επικαλέστηκε επίσης το άρθρο 22 του Ιαπωνικού Νόμου Προστασίας Προσωπικών Δεδομένων, το οποίο αναφέρει ότι «οι επιχειρήσεις που διαχειρίζονται προσωπικά δεδομένα πρέπει, κατά την ανάθεση της διαχείρισης προσωπικών δεδομένων εν μέρει ή εξ ολοκλήρου, να επιβλέπουν τον ανάδοχο με τρόπο απαραίτητο και κατάλληλο για την ασφαλή διαχείριση των δεδομένων». Επιπλέον, στις οδηγίες του 2009 (Heisei 21) του Ιαπωνικού Υπουργείου Οικονομίας, Εμπορίου και Βιομηχανίας, τονίζεται ότι η «απαραίτητη και κατάλληλη εποπτεία» περιλαμβάνει την κατάλληλη επιλογή του αναδόχου, τη σύναψη των απαραίτητων συμβάσεων με τον ανάδοχο για την τήρηση των μέτρων ασφαλείας που προβλέπονται από το άρθρο 20 του Νόμου Προστασίας Προσωπικών Δεδομένων, καθώς και την κατανόηση της κατάστασης διαχείρισης των προσωπικών δεδομένων από τον ανάδοχο.

Συνοπτικά

Η εταιρεία Benesse αρχικά είχε προετοιμάσει ένα αποθεματικό 20 δισεκατομμυρίων γιεν για αποζημίωση των θυμάτων, αλλά αυτό αποδείχθηκε ανεπαρκές. Τον Νοέμβριο του 2014 (Heisei 26), η Ιαπωνική Ένωση για την Προώθηση της Κοινωνίας της Πληροφορίας και της Οικονομίας ακύρωσε το Σήμα Ιδιωτικότητας που είχε απονεμηθεί στην Benesse Holdings για την κατάλληλη διαχείριση των προσωπικών δεδομένων. Τον Απρίλιο του 2015, ο αριθμός των μελών των προγραμμάτων “Shinken Zemi” και “Kodomo Challenge” έπεσε στα 2.71 εκατομμύρια, μειωμένος κατά 940.000 από τον προηγούμενο χρόνο την ίδια περίοδο, και τα συνολικά έσοδα για το τρίμηνο Απριλίου-Ιουνίου μειώθηκαν κατά 7% σε σύγκριση με την ίδια περίοδο του προηγούμενου έτους, ενώ τα λειτουργικά κέρδη μειώθηκαν κατά 88%, με το λειτουργικό αποτέλεσμα να καταγράφει ζημιές 430 εκατομμυρίων γιεν από κέρδη 3.91 δισεκατομμυρίων γιεν την ίδια περίοδο του προηγούμενου έτους. Ο κίνδυνος της αποζημίωσης για διαρροή προσωπικών δεδομένων μπορεί να αποτελέσει ζήτημα ζωής ή θανάτου για μια εταιρεία.