MONOLITH LAW OFFICE+81-3-6262-3248Weekdays 10:00-18:00 JST

MONOLITH LAW MAGAZINE

General Corporate

Ettevõtete isikuandmete lekke ja kahjutasu risk

General Corporate

Ettevõtete isikuandmete lekke ja kahjutasu risk

Ettevõtte juhtimisega kaasnevate riskide hulka kuuluvad juhtimiskriisid, ettevõtte poolt turvalisuse tagamise kohustuse rikkumisest tulenevad õnnetused jne, kuid viimasel ajal on suureks probleemiks saanud ka isikuandmete lekkimine ja sellest tulenev kahju hüvitamise risk.

Tokyo Kaubandus- ja Tööstusuuringute Instituut teatas, et 2019. aastal avalikustasid 66 börsil noteeritud ettevõtet ja nende tütarettevõtted isikuandmete lekkimise ja kadumise juhtumid, juhtumite arv oli 86, lekkinud isikuandmeid oli kokku 9 031 734 inimese jagu. Kui lisada siia veel börsil noteerimata ettevõtted, välisettevõtted, valitsusasutused, kohalikud omavalitsused, koolid jne, võib see arv ulatuda astronoomiliste summadeni.

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Isikuandmete lekkimise ja kadumise juhtumite seas on endiselt suurim 2014. aasta juulis ilmsiks tulnud Benesse Holdings (Benesse Corporation) juhtum, kus alltöövõtja töötaja ebaseaduslikult kogus kliendiandmeid ja lekitas 35 040 000 inimese isikuandmeid. 2019. aastal nähti selle juhtumi ümber mitmeid uusi arenguid kohtus.
Korraldades Benesse’i probleemi, mõtleme ettevõtte isikuandmete lekkimise ja kahju hüvitamise riskidele.

Mis on Benesse isikuandmete lekke juhtum?

Ettevõtte isikuandmete leke ja kahjude hüvitamise risk
Benesse isikuandmete lekke juhtum, mis toimus umbes 2014. aasta juunis, on veel värske mälestus.

Umbes 2014. aasta juunis hakkasid Benesse klientidele saabuma otsepostitused Jaapani kaugõppe ettevõttelt “Just System”. See tekitas küsimusi, kas kasutatakse ainult Benesse’ile registreeritud isikuandmeid ja kas Benesse’ist on lekkinud isikuandmeid, misjärel suurenes päringute arv järsult.

27. juunil alustas Benesse sisemist uurimist, 30. juunil teatasid nad politseile ja majandus-, kaubandus- ja tööstusministeeriumile ning 9. juulil teatasid nad pressikonverentsil, et on lekkinud isikuandmed, nagu laste ja nende vanemate nimed, aadressid, telefoninumbrid, sugu ja sünniajad, mis olid seotud Benesse’i õppeprogrammidega, nagu Shinkenzemi.

17. juulil arreteeriti 39-aastane süsteemiinsener, kes töötas Benesse’i tütarettevõttes Shinform, mis oli vastutav klientide andmete haldamise eest. Inseneril oli juurdepääs klientide andmetele ja ta oli need andmed välja toonud ning müünud nimekirjade müüjatele.

Septembris korraldas Benesse pressikonverentsi, kus nad teatasid, et klientide andmete lekke juhtumite arv on 35,04 miljonit. Nad olid juba ette valmistanud 20 miljardit jeeni (umbes 160 miljonit eurot) hüvitistena isikuandmete lekke ohvritele, kuid nad saatsid uuesti vabanduskirjad klientidele, kelle andmete leke oli kinnitatud. Kliendid said valida, kas nad soovivad saada 500 jeeni (umbes 4 euro) väärtuses kinkekaarte (elektrooniline raha või raamatupoe kinkekaart) või annetada 500 jeeni iga lekke juhtumi kohta Benesse’i lastefondile, mis loodi laste toetamiseks pärast seda leket.

Sellele vaatamata moodustasid mõned ohvrid mitu advokaatide rühma ja esitasid grupihagi. 2019. aastal oli selles osas mitmeid arenguid. Kriminaalasjana mõisteti süsteemiinsener, kes oli isikuandmeid välja toonud, süüdi ebaausa konkurentsi tõkestamise seaduse (ärisaladuste kopeerimine, avalikustamine) rikkumises. 21. märtsil 2017 (Tokyo High Court) mõisteti talle kaheaastane vanglakaristus ja 3 miljoni jeeni (umbes 24 000 euro) trahv ilma täitmise edasilükkamiseta.

Ülemkohtu otsus ja tagasipöördumise apellatsioonkaebus

Ettevõtte isikuandmete leke ja kahjude hüvitamise risk
On juhtumeid, kus lõpuks määrati kahjude hüvitamise maksmine, võttes arvesse asjaolu, et apellantide aadressid, nimed ja telefoninumbrid olid avaldatud veebisaitidel jne.

Mehe ja lapse nime, aadressi, telefoninumbri jms lekkimise tõttu vaimse stressi kogenud mees nõudis Benesse’ilt isiklikult 100 000 jeeni suurust hüvitist. Ülemkohus tühistas algkohtu, Osaka kõrgema kohtu otsuse ja saatis selle tagasi, kuna menetlus ei olnud läbi viidud.

Enne tagasipöördumist esimese astme kohtus, Kobe ringkonnakohtus Himeji harukohus, tunnistas 2. detsembril 2015 (Gregoriuse kalendri järgi), et Benesse’i poolt haldatava mehe nime lekkimine on vaidlustamata fakt, kuid puudusid piisavad tõendid, et see oli Benesse’i hooletuse tulemus, ja lükkas mehe nõude tagasi.

Seepeale esitas mees apellatsioonkaebuse. Apellatsioonikohtu (Osaka kõrgem kohus, 29. juuni 2016 otsus Gregoriuse kalendri järgi) otsus tunnistas, et apellandi lapse nime, soo, sünniaja, postiindeksi, aadressi, telefoninumbri ja vanema nime (apellandi nime) lekkis vastustaja poolt haldatud süsteemist. Selle põhjal jõuti järeldusele, et apellandi nime, postiindeksi, aadressi, telefoninumbri ja tema pereliikmete nimede, soo ja sünniaja lekkimine on isikuandmete leke. Samas leiti, et kuigi selline isikuandmete leke võib tavalise inimese üldise taju järgi tekitada mitte ainult ebamugavust, vaid ka ärevust, ei saa sellist ebamugavustunnet jne käsitleda kui rikutud huvi ja nõuda selle eest kohe kahjutasu, kui puuduvad tõendid, et on tekkinud ülaltoodud ebamugavustunnet ületav kahju. Seetõttu lükati apellatsioonkaebus tagasi, kuna puudusid tõendid sellise kahju kohta.

Ülemkohtu otsus

Kui apellant esitas sellele vastu apellatsioonkaebuse, võttis Ülemkohus selle vastu ja leidis, et apellandi privaatsust on lekke tõttu rikutud. Siiski otsustas Osaka Kõrgem Kohus apellandi vaimse kahju olemasolu ja ulatuse üle ilma piisava uurimiseta, tuginedes ainult asjaolule, et ei ole tõestatud, et kahju ületab ebamugavust. Ülemkohus leidis, et selline esialgse kohtu otsus on ebaseaduslik, kuna see põhineb valel tõlgendusel seadusest, mis käsitleb kahju õigusvastases tegevuses. Seetõttu tühistas Ülemkohus esialgse otsuse ja saatis asja tagasi Kõrgemasse Kohtusse edasiseks uurimiseks, et selgitada välja apellandi vaimse kahju olemasolu ja ulatus ning vastustaja hooletuse olemasolu (Ülemkohtu otsus 23. oktoobril 2017 (2017. aasta Gregooriuse kalendri järgi)).

https://monolith.law/reputation/privacy-invasion[ja]

Tagasipöördumise apellatsioonkaebuse otsus

Tagasipöördumise läbivaatamisel otsustas Osaka Kõrgem Kohus (20. november 2019) järgmiselt: antud juhtumi töötaja omandas ebaseaduslikult isikuandmeid, kasutades MTP-ga ühilduvat nutitelefoni, mille ta ühendas tööarvuti USB-porti USB-kaabli abil ning edastas andmeid MTP kaudu, ning müüs need andmed nimekirjade müüjale. Kuid Shinformi ettevõte oleks pidanud võtma asjakohaseid meetmeid, nagu näiteks MTP-ga ühilduva nutitelefoni mitte tööruumi sisse toomine, et vältida kokkupuudet isikuandmetega, kuid nad ei teinud seda, mistõttu neil oli hooletus. Benesse rikkus oma kohustust Shinformi ettevõtte nõuetekohase järelevalve all hoidmiseks, mis lubas neil hallata isikuandmeid, mille tulemusena tekkis töötaja poolt leke. Seetõttu leiti, et nad kannavad ebaseadusliku tegevuse eest vastutust tekkinud kahju eest, mis on mõlema ettevõtte ühine ebaseaduslik tegevus (Tsiviilseadustiku artikkel 719, lõige 1, esimene osa).

Seejärel rikkusid nad Isikuandmete Kaitse Seaduse (Jaapani Isikuandmete Kaitse Seadus) artikli 22 sätet, mis sätestab, et “kui isikuandmete käitleja delegeerib isikuandmete käitlemise osaliselt või täielikult, peab ta tagama, et delegeeritud isikuandmete turvalisus on tagatud, teostades delegeeritud isiku suhtes vajalikku ja asjakohast järelevalvet”, ning määras, et nad rikkusid privaatsust, võttes arvesse asjaolu, et apellantide aadress, nimi ja telefoninumber olid avaldatud veebisaitidel jne., ning määras neile 1000 jeeni trahvi kahjutasuks.

See kohtuotsus on kolmas kord, kui Benesse hüvitamiskohustus on tunnustatud. Artikli alguses kirjutasime, et “2019. aastal (Gregoriaani kalendri järgi) nägime mitmeid uusi arenguid seoses selle juhtumiga”, kuid kõik kolm otsust, mis tunnustasid Benesse hüvitamiskohustust, tehti 2019. aastal.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Esimene kohtupraktika, mis tunnustas Benesse vastutust

Esimene astme otsus

Ettevõtte isikuandmete leke ja kahjutasu risk
Tutvustame juhtumit, kus Benesse vastutus tunnistati.

Benesse lekitas enda, oma naise ja poja isikuandmed väljapoole, mille tõttu mees väitis, et ta kannatas vaimset valu. Esimese astme kohtu otsuses (Yokohama ringkonnakohus, 16. veebruar 2017) tunnistati Benesse hooletus, kuid kuna puudusid konkreetsed tõendid, et Benesse rikkus kohustust jälgida isikuandmete käitlemist, lükati mehe nõue tagasi ja ta esitas apellatsiooni.

Esimene astme kohus märkis, et kuigi Benesse oli saanud majandusministrilt soovituse järgida isikuandmete kaitse seaduse (Jaapani isikuandmete kaitse seadus) artikleid 20 ja 22 ning oli seetõttu põhjustanud infoleke, ei nõua soovitus, mis antakse ainult siis, kui on vaja kaitsta isiku õigusi ja huve, et infoleke oleks ette nähtud või vältimiskohustus rikutud. Seega, ainuüksi soovituse saamine ei ole piisav, et tunnistada, et Benesse oli tsiviilseadustiku (Jaapani tsiviilseadus) artikli 709 alusel hooletu infoleke ajal.

Apellatsioonikohtu otsus

Seevastu apellatsioonikohus (Tokyo kõrgem kohus, 27. juuni 2019) eeldas, et tegemist ei olnud keeruka kuriteoga, mis nõudis kõrgel tasemel teadmisi või erilisi tehnikaid, vaid lihtsa kuriteoga, kus andmeid sai üle kanda, kui nutitelefoni ühendati tööarvutiga tavalise USB-kaabli abil laadimiseks. Kohus tunnistas, et Synformi ettevõttel oli kohustus rakendada MTP-toega nutitelefonidele kirjutamiskontrolli meetmeid, kuid nad olid seda hooletusest jätnud. Samuti tunnistati, et Benessel, kes oli usaldanud suure hulga isikuandmete haldamise, oli lekke ajal kohustus jälgida korrektselt alltöövõtjat, kuid nad olid seda hooletusest jätnud. Seega, mõlema ettevõtte ebaseaduslik tegevus oli ühine ebaseaduslik tegevus (tsiviilseadustiku artikkel 719, lõige 1, esimene lause).

Kohus märkis, et “kaebajad ei soovi, et nende isikuandmeid avaldataks suvaliselt inimestele, keda nad ei soovi, mis on loomulik. Seega, nende isikuandmed on seaduslikult kaitstud kui teave, mis puudutab kaebajate privaatsust. Leke rikkus kaebajate privaatsust.” Lisaks märkis kohus, et pärast lekke avastamist alustati kohe vastumeetmetega, et vältida lekkest tuleneva kahju suurenemist, teavitati järelevalveasutust ja tehti uurimisaruandeid vastavalt nende juhistele. Lisaks saadeti klientidele, kelle andmeid arvati olevat lekkinud, vabanduskirjad ja jagati neile 500 jeeni väärtuses kinkekaarte. Kaebajad said igaüks 500 jeeni eest elektroonilisi kinkekaarte. Arvestades seda, mõistis kohus Benesse’ilt mõlemale kaebajale 2000 jeeni suuruse kahjutasu.

Teine kohtuotsus, mis tunnustas Benesse vastutust

13 kliendi poolt esitatud hagi, milles nõuti ettevõttelt ja seotud ettevõtetelt kokku 980 000 jeeni suurust kahjutasu, otsustati 6. septembril 2019 (2019) Tokyo ringkonnakohtus. Benesse ja Shinformi ettevõttele määrati maksta 3000 jeeni (ühele isikule 3300 jeeni) inimese kohta, kokku 42 300 jeeni.

Kuigi kohus ei tunnustanud Benesse kasutajavastutust Shinformi ettevõtte suhtes, kuna see on eraldi juriidiline isik, oli Shinformi ettevõttel siiski hooletus, kuna nad ei vaadanud läbi turvatarkvara seadeid, mis võimaldasid andmeid üle kanda tööarvutist MTP-toega nutitelefonile. Seega rikkusid nad teabe väljastamise kontrollimeetmete kohustust. Benesse oli suure hulga kliendiandmete käitlemise delegeerinud süsteemi arendamiseks jne. Seega oleks pidanud nad vastavalt hea usu põhimõttele valima hoolikalt alltöövõtja ja jälgima nende tegevust, sealhulgas klientide, sealhulgas hagejate, suhtes. Kohus tunnustas ühise ebaseadusliku tegevuse (Tsiviilseadustiku artikkel 719, lõige 1, esimene lause) ja määras Benessele ja Shinformile kohustuse maksta hagejatele solidaarselt kahjutasu.

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

Ka selles otsuses tsiteeriti isikuandmete kaitse seaduse (Jaapani isikuandmete kaitse seadus) artiklit 22, mis sätestab, et “isikuandmete käitleja peab, kui ta delegeerib isikuandmete käitlemise täielikult või osaliselt, tagama, et delegeeritud isikuandmete turvalisus on tagatud, teostades delegeeritud isiku suhtes vajalikku ja asjakohast järelevalvet”. Samuti märgiti, et 2009. aasta majandusministeeriumi juhendis “vajalik ja asjakohane järelevalve” hõlmab alltöövõtja sobivat valimist, vajaliku lepingu sõlmimist alltöövõtjaga, et tagada isikuandmete kaitse seaduse artikli 20 kohaste turvameetmete järgimine, ning alltöövõtja poolt delegeeritud isikuandmete käitlemise olukorra mõistmist.

Kokkuvõte

Algselt oli Benesse ette valmistanud 20 miljardi jeeni suuruse fondi ohvritele kompensatsiooniks, kuid see osutus ebapiisavaks. Novembris 2014 tühistas Jaapani Infotehnoloogia ja Majanduse Edendamise Assotsiatsioon privaatsusmärgi, mille Benesse Holdings oli saanud isikuandmete nõuetekohase haldamise eest. Aprillis 2015 oli “Shinken Zemi” ja “Kodomo Challenge” liikmete arv 2,71 miljonit, mis on 940 000 võrra vähem kui eelmisel aastal samal ajal, ning aprillist juunini kestnud konsolideeritud finantsaruannetes vähenes müügitulu eelmise aasta sama perioodiga võrreldes 7%, ärikasum aga 88%. Ärikahjum muutus eelmise aasta sama perioodi 3,91 miljardi jeeni suurusest kasumist 430 miljoni jeeni suuruseks kahjumiks. Isikuandmete lekkega seotud kahjutasu risk võib ettevõtetele saada elu ja surma küsimuseks.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Return to Top