suomi English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_fi/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Arkisin 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Yritysten henkilötietovuodot ja korvausvastuun riski

Yritysten henkilötietovuodot ja korvausvastuun riski

General Corporate

Yritysten henkilötietovuodot ja korvausvastuun riski

Yrityksen johtamiseen liittyvät riskit, kuten johtamiskriisit ja yrityksen turvallisuusvelvoitteiden rikkominen, jotka johtavat onnettomuuksiin, ovat yleisiä. Viime vuosina myös henkilötietojen vuotamisen ja siitä johtuvan vahingonkorvauksen riski on muodostunut suureksi ongelmaksi.

Tokyo Shoko Research on raportoinut, että vuonna 2019 66 pörssilistattua yritystä ja niiden tytäryhtiötä julkistivat henkilötietojen vuoto- ja katoamistapauksia. Onnettomuuksien määrä oli 86, ja vuotaneiden henkilötietojen määrä saavutti 9 031 734 henkilöä. Jos tähän lisätään listaamattomat yritykset, ulkomaiset yritykset, viranomaiset, paikallishallinnot ja koulut, määrä voi kasvaa astronomisesti.

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Henkilötietojen vuoto- ja katoamistapauksista suurin on edelleen Benesse Holdingsin (Benesse Corporation) tapaus, jossa alihankkijan työntekijä hankki laittomasti asiakastietoja ja vuoti 35,04 miljoonaa henkilön tietoja heinäkuussa 2014 (2014). Vuonna 2019 (2019) tämän tapauksen ympärillä käydyissä oikeudenkäynneissä nähtiin uusia kehityskulkuja.
Käsittelemme Benessen ongelmaa ja pohdimme yritysten henkilötietojen vuotamisen ja vahingonkorvauksen riskiä.

Mikä on Benesse-yksityisyyden loukkaus?

Yrityksen henkilötietojen vuoto ja korvausvastuun riski
Benesse-yksityisyyden loukkaus, joka tapahtui noin kesäkuussa 2014, on vielä tuoreessa muistissa.

Noin kesäkuussa 2014 Benessen asiakkaille alkoi tulla suorapostia “Just System” -yhtiöstä, mikä johti kyselyjen lisääntymiseen siitä, käytettiinkö Benessen rekisteröityjä henkilötietoja, tai oliko Benessesta vuotanut henkilötietoja.

27. kesäkuuta Benesse aloitti sisäisen tutkimuksen, ja 30. kesäkuuta se ilmoitti poliisille ja talous- ja teollisuusministeriölle. 9. heinäkuuta se järjesti lehdistötilaisuuden ja ilmoitti, että lasten ja heidän vanhempiensa henkilötiedot, kuten nimet, osoitteet, puhelinnumerot, sukupuoli ja syntymäajat, olivat vuotaneet.

17. heinäkuuta 39-vuotias järjestelmäinsinööri, joka oli vastuussa tietokantajärjestelmän hallinnasta ja jolla oli pääsy asiakastietoihin, pidätettiin. Hän oli työskennellyt Benessen tytäryhtiössä, Synformissa, joka oli vastuussa asiakastietojen hallinnasta ja joka oli alihankkinut työn toiselle yritykselle. Insinööri oli vienyt henkilötietoja ja myynyt ne luetteloyritykselle.

Syyskuussa Benesse järjesti lehdistötilaisuuden ja ilmoitti, että asiakastietojen vuotoja oli 35,04 miljoonaa. Se oli jo varannut 20 miljardia jeniä korvauksia varten henkilötietojen vuodon uhreille, mutta se lähetti uudelleen anteeksipyyntökirjeitä asiakkaille, joilla vuoto oli vahvistettu. Asiakkaiden valinnan mukaan se lähetti 500 jenin lahjakortin (sähköinen rahalahja tai yleinen kirjakortti) tai lahjoitti 500 jeniä per vuoto Benesse Lasten Säätiölle, joka oli perustettu tukemaan lapsia tämän vuodon seurauksena.

Joitakin uhreja edustavat asianajajaryhmät nostivat joukkokanteen tästä, ja vuonna 2019 (Gregoriaaninen kalenteri) tapahtui joitakin kehityksiä tässä asiassa. Rikosoikeudellisesti järjestelmäinsinööriä syytettiin laittoman kilpailun estämisestä (liikesalaisuuksien kopiointi ja paljastaminen), ja 21. maaliskuuta 2017 Tokion korkeimman oikeuden päätös vahvisti, että hänelle määrättiin 2,5 vuoden vankeusrangaistus ja 3 miljoonan jenin sakko ilman ehdonalaista.

Korkeimman oikeuden päätös ja palautettu valitusoikeudenkäynti

Yrityksen henkilötietojen vuoto ja korvausvastuun riski
On ollut tapauksia, joissa lopulta on määrätty maksamaan korvauksia, ottaen huomioon, että valittajan osoite, nimi ja puhelinnumero olivat julkisia esimerkiksi verkkosivuilla.

Mies ja lapsi kärsivät henkisestä ahdistuksesta, kun heidän nimensä, osoitteensa, puhelinnumeronsa jne. vuotivat. Mies vaati Benesse-yhtiöltä 100 000 jenin henkisen kärsimyksen korvausta. Korkein oikeus hylkäsi alkuperäisen tuomion, joka oli annettu Osakan korkeimmassa oikeudessa, ja palautti asian, koska se ei ollut käsitelty loppuun.

Ennen palautusta ensimmäisen oikeusasteen tuomioistuin, Kobe District Court Himeji Branch, totesi 2. joulukuuta 2015, että miehen nimen vuotaminen, jota Benesse hallinnoi, oli kiistaton tosiasia. Se hylkäsi miehen vaatimuksen, koska ei ollut riittävästi näyttöä siitä, että tämä johtui Benessen laiminlyönnistä.

Vastauksena tähän mies valitti. Valitusoikeudenkäynti (Osakan korkeimman oikeuden päätös 29. kesäkuuta 2016) totesi, että valittajan lapsen nimi, sukupuoli, syntymäaika, postinumero, osoite, puhelinnumero ja huoltajan nimi (valittajan nimi), joita vastaaja hallinnoi, olivat vuotaneet. Tämän perusteella se totesi, että valittajan henkilökohtaiset tiedot, kuten nimi, postinumero, osoite, puhelinnumero ja perheenjäsenten nimet, sukupuoli ja syntymäaika, olivat vuotaneet. Se tunnusti, että tällainen henkilötietojen vuoto voi aiheuttaa paitsi epämukavuutta, myös ahdistusta normaalin ihmisen yleisen käsityksen mukaan. Kuitenkin, pelkkä epämukavuuden tai vastaavan tunteen kokeminen ei oikeuta vaatimaan välittömästi korvausta loukatuista eduista. Se hylkäsi valituksen, koska ei ollut näyttöä siitä, että olisi kärsitty vahinkoa, joka ylittää edellä mainitun epämukavuuden jne.

Korkeimman oikeuden päätös

Kun valittaja haki valituslupaa tähän, Korkein oikeus hyväksyi sen ja totesi, että vaikka valittajan yksityisyyttä oli loukattu tässä tapauksessa, Osakan korkein oikeus hylkäsi valittajan vaatimuksen suoraan vain sillä perusteella, että ei ollut osoitettu, että vahinko ylittäisi epämukavuuden tason, eikä se tutkinut riittävästi valittajan henkisen vahingon olemassaoloa ja sen astetta yksityisyyden loukkaamisen vuoksi. Tällainen alkuperäisen tuomioistuimen päätös oli laiton, koska se ei tutkinut yllä mainittuja seikkoja ja se oli virheellinen tulkinta ja soveltaminen lainsäädännöstä, joka koskee vahinkoa laittomassa toiminnassa. Tämän seurauksena Korkein oikeus kumosi alkuperäisen tuomion ja palautti asian korkeimpaan oikeuteen lisätutkimuksia varten valittajan henkisen vahingon olemassaolosta ja sen astetta sekä vastaajan huolimattomuuden olemassaolosta (Korkeimman oikeuden päätös 23. lokakuuta 2017 (Gregoriaaninen kalenteri)).

https://monolith.law/reputation/privacy-invasion[ja]

Päätös palautetussa valitusprosessissa

Palautetussa prosessissa Osakan korkein oikeus (20. marraskuuta 2019 päätös) totesi, että kyseinen työntekijä oli hankkinut henkilötietoja laittomasti ja myynyt ne luettelokauppiaalle käyttämällä MTP-yhteensopivaa älypuhelinta, joka oli liitetty työkoneen USB-porttiin USB-kaapelilla ja siirtänyt tietoja MTP-viestinnän avulla. Vaikka Syinfoom-yhtiön olisi pitänyt ryhtyä asianmukaisiin toimenpiteisiin, kuten estämään MTP-yhteensopivan älypuhelimen tuominen työhuoneeseen ja estämään pääsy henkilötietoihin, se laiminlöi tämän velvollisuuden. Benesse oli rikkonut asianmukaisen valvontavelvollisuutensa Syinfoomia kohtaan, joka oli hyväksynyt henkilötietojen käytön, ja tämän seurauksena työntekijän aiheuttama vuoto oli tapahtunut. Tämän vuoksi molemmat yritykset ovat yhteisvastuullisia laittomasta toiminnasta aiheutuneista vahingoista (Japanin siviililaki 719 artiklan 1 momentin ensimmäinen kohta).

Lisäksi, rikkoen Japanin henkilötietosuojalain 22 artiklan määräystä, jonka mukaan “henkilötietojen käsittelijän on, jos hän uskoo henkilötietojen käsittelyn kokonaan tai osittain toisen tehtäväksi, valvottava asianmukaisesti ja tarpeellisesti henkilöä, jolle käsittely on uskottu, jotta henkilötietojen turvallinen hallinta voidaan varmistaa”, tuomioistuin määräsi, että yksityisyyttä oli loukattu ja määräsi 1000 jenin korvauksen ottaen huomioon, että valittajan osoite, nimi ja puhelinnumero oli julkaistu esimerkiksi verkkosivuilla.

Tämä oikeudenkäynti on kolmas esimerkki, jossa Benessen korvausvastuu on tunnustettu. Kirjoitin tämän artikkelin alussa, että “vuonna 2019 nähtiin uusia kehityksiä useissa oikeudenkäynneissä, jotka liittyivät tähän tapaukseen”, ja kaikki kolme päätöstä, joissa Benessen korvausvastuu tunnustettiin, annettiin vuonna 2019.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Ensimmäinen oikeustapaus, jossa Benessen vastuu tunnustettiin

Ensimmäisen oikeusasteen päätös

Yrityksen henkilötietojen vuoto ja korvausvastuun riski
Esittelemme tapauksen, jossa Benessen vastuu tunnustettiin.

Mies vaati korvausta Benesseltä, koska hän, hänen vaimonsa ja poikansa henkilötiedot olivat vuotaneet ulkopuolelle, mikä aiheutti heille henkistä kärsimystä. Ensimmäisessä oikeusasteessa (Yokohama District Court, 16. helmikuuta 2017) Benessen vastuun tunnustettiin ensimmäistä kertaa.

Ensimmäisessä oikeusasteessa Benessen huolimattomuus tunnustettiin, mutta koska ei ollut riittävästi todisteita siitä, että Benesse olisi rikkonut velvollisuutensa tietää henkilötietojen käsittelytilanne, vaatimus Benesseä vastaan hylättiin. Tämän seurauksena mies ja muut valittivat päätöksestä.

Ensimmäisessä oikeusasteessa todettiin, että vaikka Benesse oli saanut suosituksen talous- ja teollisuusministeriöltä laiminlyötyään henkilötietojen suojelulain (Japanese Personal Information Protection Law) 20 ja 22 artiklan velvollisuudet ja aiheuttanut tämän tietovuodon, suositus annetaan vain, kun on tarpeen suojella yksilön oikeuksia ja etuja. Tämä ei edellytä, että tietovuodon aikaan olisi ollut olemassa velvollisuus ennakoida tai välttää seurauksia tai että näitä velvollisuuksia olisi rikottu. Siksi pelkästään suosituksen antaminen ei riitä osoittamaan, että Benessellä olisi ollut siviililain (Japanese Civil Code) 709 artiklan mukainen huolimattomuus tietovuodon aikaan.

Valitusasteen päätös

Tätä vastaan Tokyo High Court (27. kesäkuuta 2019) totesi valitusasteessa, että kyseessä ei ollut erityisen monimutkainen rikos, joka olisi vaatinut erityistä teknistä osaamista tai tietämystä. Sen sijaan rikos tehtiin yksinkertaisesti liittämällä älypuhelin työasemaan latausta varten myytävällä USB-kaapelilla, minkä jälkeen havaittiin, että tiedonsiirto oli mahdollista. Tämän perusteella todettiin, että Shinform-yhtiöllä oli velvollisuus estää tietojen siirto MTP-yhteensopiviin älypuhelimiin, mutta se laiminlöi tämän velvollisuuden. Benessellä, joka oli antanut suuren määrän henkilötietojen hallinnan Shinform-yhtiölle, oli velvollisuus valvoa asianmukaisesti alihankkijaa tietovuodon aikaan, mutta se laiminlöi tämän velvollisuuden. Tämän seurauksena molempien yritysten laiminlyönnit katsottiin yhteisiksi laittomiksi teoiksi (siviililaki, artikla 719, kohta 1).

Valitusaste totesi, että “valittajat eivät halunneet henkilötietojensa olevan vapaasti muiden nähtävillä, joten nämä tiedot ovat oikeudellisesti suojattuja tietoja, jotka liittyvät valittajien yksityisyyteen. Tietovuodon seurauksena valittajien yksityisyyttä on loukattu.” Lisäksi Benesse aloitti välittömästi toimenpiteet tietovuodon paljastumisen jälkeen estääkseen vahingon laajenemisen, teki raportin ja tutkimuksen valvontaviranomaiselle ja lähetti anteeksipyyntökirjeen asiakkaille, joilta tiedot olivat vuotaneet, sekä jakoi 500 jenin arvoisia lahjakortteja asiakkaiden valinnan mukaan. Ottaen huomioon, että valittajat olivat saaneet 500 jenin arvoisen sähköisen lahjakortin, Benesse määrättiin maksamaan kullekin valittajalle 2000 jenin vahingonkorvaus.

Toinen oikeudenkäynti, jossa Benesse tunnusti vastuunsa

13 asiakasta vaati yhteensä 980 000 jenin vahingonkorvausta yritykseltä ja sen liitännäisyrityksiltä. Päätös tehtiin Tokion alioikeudessa 6. syyskuuta 2019, ja Benesse ja Shinform-yhtiöltä vaadittiin maksamaan 3000 jeniä (yksi henkilö 3300 jeniä) per henkilö, yhteensä 42 300 jeniä.

Oikeus ei hyväksynyt Benessen vastuuta Shinform-yhtiötä kohtaan, jota syytetyt olivat vaatineet, koska se on erillinen oikeushenkilö. Kuitenkin, koska Shinform ei ollut tarkistanut tietoturvaohjelmistonsa asetuksia, ja sen seurauksena tietojen siirto työkäyttöön tarkoitetusta tietokoneesta MTP-yhteensopivaan älypuhelimeen oli mahdollista, se oli rikkonut tietojen kirjoittamisen valvontavelvollisuutta. Benessen olisi pitänyt valvoa valitsemansa alihankkijan valintaa, koska se oli uskonut sille suuren määrän asiakastietoja järjestelmän kehittämistä varten. Tämän perusteella oikeus katsoi, että Benesse oli rikkonut yhteistä lainvastaisuutta (Japanin siviililaki 719 artiklan 1 momentin ensimmäinen kohta) ja määräsi sen maksamaan vahingonkorvauksia syytetyille.

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

Tässä päätöksessä viitattiin myös Japanin henkilötietolain 22 artiklaan, jonka mukaan “henkilötietojen käsittelijän on, jos se uskoo henkilötietojen käsittelyn kokonaan tai osittain toiselle, valvottava asianmukaisesti ja tarpeellisesti, että henkilötietojen turvallisuus on taattu”. Lisäksi viitattiin Heisei 21 vuoden (2009) talousministeriön ohjeisiin, joiden mukaan “asianmukainen ja tarpeellinen valvonta” sisältää alihankkijan asianmukaisen valinnan, sopimuksen tekemisen alihankkijan kanssa henkilötietolain 20 artiklan mukaisen turvallisuusjärjestelyjen noudattamiseksi, sekä alihankkijan hallussa olevien henkilötietojen käsittelyn seurannan.

Yhteenveto

Alun perin Benesse oli varannut 200 miljardia jeniä korvauksiksi uhreille, mutta tämä summa osoittautui riittämättömäksi. Marraskuussa 2014 Japanin tieto- ja talousyhteiskunnan edistämisjärjestö peruutti yksityisyyden suojamerkin, jonka Benesse Holdings oli saanut henkilötietojen asianmukaisesta hallinnasta. Huhtikuussa 2015 “Shinken Zemi” ja “Kodomo Challenge” -jäsenten määrä oli 2,71 miljoonaa, mikä oli 940 000 vähemmän kuin edellisenä vuonna samaan aikaan. Huhti-kesäkuun konsolidoidussa tilinpäätöksessä liikevaihto laski 7% edellisvuoden vastaavaan aikaan verrattuna, ja liikevoitto laski 88%. Liiketulos muuttui 3,91 miljardin jenin voitosta 430 miljoonan jenin tappioksi. Henkilötietojen vuotamisesta johtuva vahingonkorvaus on riski, joka voi olla yritykselle eloonjäämiskysymys.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Voiko toisen yrityksen tuotenimen käyttäminen hashtagina johtaa tavaramerkkirikkomukseen? Kotimaisten ja ulkomaisten tapausten selitys

Voiko toisen yrityksen tuotenimen käyttäminen hashtagina johtaa tavaramerkkirikkomukseen? Kotima.

General Corporate

【Reiwa 6 (2024) huhtikuussa voimaan】Mitä ovat 'Japanin epäoikeudenmukaisen kilpailun estämiseen tähtäävän lain' muutosten keskeiset kohdat? Selitämme tärkeät muutokset, jotka sinun tulisi tietää

【Reiwa 6 (2024) huhtikuussa voimaan】Mitä ovat 'Japanin epäoikeudenmukaisen kilpailun estämiseen .

General Corporate

EU:n digitaalisten markkinoiden lainsäädännön (DMA) perusteet – Mikä on vaikutus Japaniin?

EU:n digitaalisten markkinoiden lainsäädännön (DMA) perusteet – Mikä on vaikutus Japaniin?

General Corporate

Pelit ja laki (osa 1): Tekijänoikeuslaki, arpajaislaki, rahansiirtolaki

Pelit ja laki (osa 1): Tekijänoikeuslaki, arpajaislaki, rahansiirtolaki

General Corporate

Mitä ovat verkkosivuston myynti- ja osto- sekä verkkosivuston M&A -prosessit ja huomioitavat seikat?

Mitä ovat verkkosivuston myynti- ja osto- sekä verkkosivuston M&A -prosessit ja huomioitavat.

General Corporate

Miten toimia, jos työntekijä aiheuttaa ongelmia sosiaalisessa mediassa? Onko irtisanominen tai vahingonkorvaus mahdollista?

Miten toimia, jos työntekijä aiheuttaa ongelmia sosiaalisessa mediassa? Onko irtisanominen tai v.

General Corporate

Mitä ovat osakeyhtiön rahoituksen hankkimisen menetelmät? Kattava selitys, joka sisältää muutkin kuin kolmannen osapuolen allokaation lisäksi

Mitä ovat osakeyhtiön rahoituksen hankkimisen menetelmät? Kattava selitys, joka sisältää muutkin.

General Corporate

SaaS-palveluiden, joilla on chat- ja sähköpostiuutiskirjeominaisuudet, suhde Japanin 'sähköisen viestinnän liiketoimintalakiin

SaaS-palveluiden, joilla on chat- ja sähköpostiuutiskirjeominaisuudet, suhde Japanin 'sähköisen .

General Corporate

Mitä ohjeita tulisi noudattaa lääkkeiden ulkopuolisten tuotteiden mainostamisessa?

Mitä ohjeita tulisi noudattaa lääkkeiden ulkopuolisten tuotteiden mainostamisessa?

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

TOPへ戻る