A vállalatok személyes adatok szivárgásának és a kártérítési kockázatának kérdése

A vállalati működést körülvevő kockázatok közé tartozik a vállalati válság, a vállalatok általi biztonsági kötelezettségek megsértése miatti balesetek, de az utóbbi években a személyes adatok szivárgása és ebből eredő kártérítési kockázat is nagy problémává vált.

A Tokyo Shōkō Research szerint 2019-ben 66 tőzsdén jegyzett vállalat és leányvállalataik jelentették be a személyes adatok szivárgását és elvesztését, a balesetek száma 86 volt, a szivárgott személyes adatok száma pedig elérte a 9 031 734 főt. Ha ehhez hozzáadjuk a tőzsdén nem jegyzett vállalatokat, a külföldi vállalatokat, a kormányzati és önkormányzati szerveket, iskolákat stb., akkor az szám astronomikus méreteket ölthet.

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

A személyes adatok szivárgásának és elvesztésének esetei közül a legnagyobb továbbra is a Benesse Holdings (Benesse Corporation) 2014. júliusi esete, amikor egy megbízott alkalmazott jogtalanul szerezte meg az ügyfél adatokat, és 35 040 000 személy adatai szivárogtak ki. 2019-ben azonban több új fejlemény is volt ezzel az esettel kapcsolatban a bíróságon.
Rendezzük a Benesse problémát, és gondolkodjunk el a vállalatok személyes adatok szivárgásának és a kártérítési kockázatának kérdésén.

Mi volt a Benesse személyes adatok kiszivárgásának esete?

2014 júniusában a Benesse ügyfelei elkezdtek közvetlen leveleket kapni a “Just System” távoktatási cégtől, ami arra utalt, hogy a Benesse-nél regisztrált személyes adatokat használják, és felmerült a gyanú, hogy a Benesse-nél szivárognak ki a személyes adatok, ami miatt a bejelentések száma hirtelen megnőtt.

Június 27-én a Benesse belső vizsgálatot indított, június 30-án jelentést tett a rendőrségnek és a Gazdasági, Kereskedelmi és Ipari Minisztériumnak (japán: 経済産業省), július 9-én pedig sajtótájékoztatón jelentették be, hogy a Shinkenzemi és más gyermek- és szülői nevek, címek, telefonszámok, nemek, születési dátumok és egyéb személyes adatok kiszivárogtak.

Július 17-én letartóztattak egy 39 éves rendszermérnököt, aki a Benesse leányvállalatánál, a Shinformnál dolgozott, és aki a vállalat adatbázis-rendszerét kezelte, hozzáféréssel a vásárlói adatokhoz. A mérnököt azzal vádolták, hogy személyes adatokat vitt ki, és eladta azokat egy névjegyzék-üzletnek.

Szeptemberben a Benesse sajtótájékoztatón jelentette be, hogy a személyes adatok kiszivárgásának eseteinek száma 35,04 millió, és már 200 milliárd jen (japán: 円) alapot készített elő a károsultak kártérítésére. Újra elnézést kértek a kiszivárgásban érintett ügyfelektől, és bejelentették, hogy a kártérítést a következő módon hajtják végre: az ügyfelek választása szerint 500 jen értékű kuponokat (elektronikus pénzajándék vagy országosan érvényes könyvutalvány) küldenek, vagy 500 jent adományoznak a Benesse Gyermekalapítványnak (japán: 財団法人ベネッセこども基金), amelyet a kiszivárgás miatt érintett gyermekek támogatására hoztak létre, minden egyes kiszivárgott adat után.

Ezzel szemben néhány károsult több ügyvédi csoportot hozott létre, és csoportos per indult, amelyben 2019-ben több fejlemény is történt. A büntetőügyi eljárásban a rendszermérnököt, aki kivitte a személyes adatokat, a tisztességtelen verseny megakadályozásáról szóló törvény (japán: 不正競争防止法) megsértése miatt (üzleti titkok másolása, közzététele) vonták felelősségre. A büntetőperben a Tokyo High Court (japán: 東京高等裁判所) 2017. március 21-i ítélete szerint a rendszermérnököt 2 és fél év börtönbüntetésre és 3 millió jen bírságra ítélték, amit végrehajtottak.

A Legfelsőbb Bíróság ítélete és a visszautasított fellebbezési tárgyalás

Egy férfi és gyermeke nevét, címét, telefonszámát stb. kiszivárogtatták, ami lelki szenvedést okozott neki. A férfi magánemberként 100 000 jen kártérítést követelt a Benesse-től. A Legfelsőbb Bíróság megsemmisítette az eredeti ítéletet, amelyet az Ósaka Felsőbb Bíróság hozott, és visszautasította a tárgyalást, mert nem volt teljes.

A visszautasítás előtti elsőfokú bíróság, a Kobe Kerületi Bíróság Himeji fiókja 2015. december 2-án elismerte, hogy a Benesse által kezelt férfi neve kiszivárgott, és vitathatatlan tényként fogadta el. Azonban azt állította, hogy nincs elegendő bizonyíték arra, hogy ez a Benesse hibájából történt, és elutasította a férfi követelését.

Ezzel szemben a férfi fellebbezett, és a fellebbezési tárgyalás (Ósaka Felsőbb Bíróság 2016. június 29-i ítélet) elismerte, hogy a fellebbező gyermekének neve, neme, születési dátuma, postai címe, címe, telefonszáma és szülőjének neve (a fellebbező neve) kiszivárgott. Ezt alapul véve megállapította, hogy a fellebbező neve, postai címe, címe, telefonszáma és családtagjainak neve, neme és születési dátuma személyes adatokként szivárgott ki. A fellebbező személyes adatainak kiszivárgását az átlagos ember általános érzékelése szerint nem csak kellemetlenséget, hanem aggodalmat is okozhat. Azonban, ha csak ezt a kellemetlenséget érezzük, nem kérhetünk azonnal kártérítést, mint sértett érdek. A fellebbezést elutasították, mert nem volt bizonyíték arra, hogy a fellebbező túlmutatott ezen a kellemetlenségen.

A Legfelsőbb Bíróság ítélete

Az felperes fellebbezést nyújtott be, amelyet a Legfelsőbb Bíróság elfogadott. A bíróság megállapította, hogy a felperes magánéletét megsértették a szivárgás miatt, de az Osaka Felsőbíróság nem vizsgálta megfelelően a felperes lelki károsodásának meglétét és mértékét a magánélet megsértése miatt. Ehelyett azonnal elutasították a felperes kérelmét, mondván, hogy nincs bizonyíték arra, hogy a kellemetlenségen túlmutató kár keletkezett. A Legfelsőbb Bíróság úgy ítélte meg, hogy az elsőfokú bíróság döntése hibásan értelmezte és alkalmazta a jogszabályokat a jogsértő cselekményekből eredő károkra vonatkozóan, és nem vizsgálta megfelelően a fent említett kérdéseket, ezért törvénytelen. A Legfelsőbb Bíróság ezért megsemmisítette az eredeti ítéletet, és visszaküldte az ügyet a Felsőbíróságra további vizsgálat céljából, hogy megállapítsák a beperelt hibájának meglétét, valamint a felperes lelki károsodásának meglétét és mértékét (Legfelsőbb Bíróság 2017. október 23-i ítélete).

https://monolith.law/reputation/privacy-invasion[ja]

A visszautasított fellebbezési eljárás ítélete

A visszautasított eljárásban az Osaka Felsőbíróság (2019. november 20-i ítélet) megállapította, hogy az érintett alkalmazott jogtalanul szerezte meg a személyes adatokat egy MTP-kompatibilis okostelefonon keresztül, amelyet egy USB-kábellel csatlakoztatott a munkahelyi számítógéphez, majd ezeket az adatokat eladta egy névjegyzék-kereskedőnek. A Synform cégnek figyelmeztetnie kellett volna az alkalmazottat, hogy ne hozza be az MTP-kompatibilis okostelefonját a munkahelyi irodába, és ne érintkezzen a személyes adatokkal, de elmulasztotta ezt a kötelességét, ami hanyagságnak minősül. A Benesse cég megsértette a személyes adatok kezelésére vonatkozó megfelelő felügyeleti kötelezettségét a Synformmal szemben, ami az alkalmazott általi adatszivárgást eredményezte. Ezért mindkét cég közös jogellenes cselekményt követett el (a Polgári Törvénykönyv 719. cikkének 1. bekezdése), és felelősséggel tartoznak a keletkezett károkért.

Ez ellentétes a személyes adatvédelmi törvény 22. cikkével, amely szerint “ha a személyes adatok kezelője a kezelés egészét vagy részét megbízza, gondoskodnia kell arról, hogy a megbízott személyes adatok biztonságos kezelése érdekében szükséges és megfelelő felügyeletet gyakoroljon a megbízott felett”. A bíróság elismerte, hogy a felperes személyes adatait, beleértve a lakcímét, nevét és telefonszámát, megsértették, de figyelembe vette, hogy ezek az adatok már nyilvánosan elérhetőek voltak a honlapon, és ezért 1000 jen kártérítést ítélt meg.

Ez a harmadik ítélet, amely elismeri a Benesse kártérítési felelősségét. Korábban írtam, hogy “2019-ben több új fejlemény is volt ebben az ügyben”, és a Benesse kártérítési felelősségét elismerő három ítélet mindegyike 2019-ben született.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Az első ítélet, amely elismerte a Benesse felelősségét

Az elsőfokú ítélet

Egy férfi kártérítést követelt a Benessetől, mert állítása szerint szenvedett lelki károkat, miután a cég kiszivárogtatta az ő és felesége, valamint fia személyes adatait. Ez volt az első alkalom, hogy a Benesse felelősségét elismerték egy fellebbezési bírósági ítéletben, amely jogellenes cselekmények alapján kártérítést követelt.

Az elsőfokú ítélet (Jokohama Kerületi Bíróság, 2017. február 16.) elismerte a Benesse gondossági kötelezettségének megsértését, de nem találta elégségesen bizonyítottnak a konkrét tényeket, amelyek alapján a személyes adatok kezelésének megsértését el lehetne ismerni, ezért elutasította a férfi keresetét a Benesse ellen, aki ezután fellebbezett.

Az elsőfokú ítéletben a bíróság megállapította, hogy bár a Benesse a gazdasági, ipari és technológiai minisztertől tanácsot kapott a személyes adatvédelmi törvény (japán: 個人情報保護法) 20. és 22. cikkének megsértése miatt, és a törvény 34. cikk (1) bekezdése alapján tanácsot kapott az információszivárgás miatt, ez a tanács csak akkor adható, ha szükségesnek ítélik a személyes jogok és érdekek védelmét. Ez nem feltételezi a következmények előre láthatóságának vagy elkerülésének kötelezettségét vagy annak megsértését. Ezért a bíróság úgy ítélte meg, hogy a tanácsadás önmagában nem elegendő ahhoz, hogy elismerjék, hogy a Benesse hibázott a személyes adatvédelmi törvény 709. cikkének értelmében az információszivárgás időpontjában.

A fellebbezési ítélet

Ezzel szemben a fellebbezési bíróság, a Tokiói Felsőbíróság (2019. június 27-i ítélet) megállapította, hogy a cselekmény nem igényelt magas szintű tudást vagy speciális technikát, hanem egyszerűen azzal kezdődött, hogy a férfi csatlakoztatta okostelefonját egy munkahelyi számítógéphez egy általánosan kapható USB-kábellel töltés céljából, és rájött, hogy lehetséges az adatok átvitele. A bíróság úgy ítélte meg, hogy a Synform Kft.-nek gondoskodnia kellett volna az MTP-kompatibilis okostelefonok írásvédelmi intézkedéseiről, és hibázott, amikor ezt elmulasztotta. A Benesse, amely nagy mennyiségű személyes adat kezelését bízta a Synformra, szintén hibázott, amikor elmulasztotta megfelelően felügyelni a megbízottat az adatok kezelése során. A bíróság úgy ítélte meg, hogy a két cég által elkövetett jogellenes cselekmények közös jogellenes cselekménynek (a Polgári Törvénykönyv 719. cikkének 1. bekezdése) minősülnek.

A bíróság továbbá megállapította, hogy “a felperesek természetesen nem szeretnék, ha személyes adataikat indokolatlanul nyilvánosságra hoznák. Ezért a személyes adatok jogilag védett információk, amelyek a felperesek magánéletéhez kapcsolódnak. Az adatszivárgás miatt a felperesek magánéletét megsértették.” Ezen felül a bíróság figyelembe vette, hogy a Benesse azonnal reagált a szivárgásra, megakadályozta a károk további terjedését, jelentést tett a felügyeleti hatóságnak és utasításai szerint vizsgálatot folytatott. A cég bocsánatot kért az érintett ügyfelektől, és 500 jen értékű ajándékutalványt küldött nekik. A felperesek mindegyike elfogadta az 500 jenes elektronikus ajándékutalványt. Figyelembe véve mindezeket a tényeket, a bíróság arra kötelezte a Benesset, hogy fizessen 2000 jen kártérítést minden felperesnek.

A második ítélet, amely elismerte a Benesse felelősségét

2019. szeptember 6-án a Tokiói Kerületi Bíróság ítéletet hozott egy perben, amelyben 13 ügyfél összesen 980 000 jen kártérítést követelt a cégtől és a kapcsolódó vállalatoktól. A Benesse és a Shinform cégnek egyenként 3000 jen (egy személy esetében 3300 jen), összesen 42 300 jen kifizetését rendelték el.

A bíróság nem ismerte el a Benesse felelősségét a Shinform cég irányában, mivel ez utóbbi egy különálló jogi személy. Ugyanakkor a Shinform cég nem vizsgálta felül a biztonsági szoftver beállításait, és ennek eredményeként lehetővé vált az adatok átvitele a munkahelyi számítógépről az MTP-kompatibilis okostelefonra. Ezért megállapítható, hogy a cég megsértette az információkiírási ellenőrzési kötelezettséget. A Benesse cégnek pedig, amikor megbízást adott a rendszer fejlesztésére és nagy mennyiségű ügyfél-információ kezelésére, etikai szempontból kötelessége volt gondosan kiválasztani és felügyelni a megbízott céget, beleértve az ügyfeleket is. Ezért a bíróság elismerte a közös jogellenes cselekményt (a Polgári Törvénykönyv 719. cikkének 1. bekezdése), és elrendelte, hogy a vádlottak együttesen fizessenek kártérítést az alpereseknek.

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

Ebben az ítéletben is idézték a Személyes Adatok Védelméről szóló törvény (japán: 個人情報保護法) 22. cikkét, amely szerint “ha a személyes adatok kezelője a kezelés egészét vagy egy részét megbízza, gondoskodnia kell arról, hogy a megbízott személyes adatok biztonságos kezelése biztosított legyen, és megfelelő felügyeletet kell gyakorolnia a megbízott felett”. Továbbá felhívták a figyelmet a 2009-es (Heisei 21) Gazdasági, Kereskedelmi és Ipari Minisztérium irányelveire, amelyek szerint a “megfelelő és szükséges felügyelet” magában foglalja a megbízott cég megfelelő kiválasztását, a szükséges szerződés megkötését a Személyes Adatok Védelméről szóló törvény 20. cikkében foglalt biztonsági intézkedések betartásának biztosítása érdekében, valamint a megbízott cég által kezelt személyes adatok kezelésének nyomon követését.

Összefoglalás

A Benesse eredetileg 200 milliárd jent készített elő kártérítésként a károsultak számára, de ez végül nem bizonyult elegendőnek. 2014 novemberében a Japán Információs Gazdasági Társadalom Előmozdító Szövetség (Japanese Information Economy Society Promotion Association) visszavonta a Benesse Holdings által megszerzett adatvédelmi jelölést, amelyet azok a vállalatok kapnak, amelyek megfelelően kezelik a személyes adatokat. 2015 áprilisában a “Shinken Seminar” és a “Kodomo Challenge” tagsága 2,71 millióra csökkent az előző év azonos hónapjához képest, ami 940 ezer fős csökkenést jelent. A 2015 április-júniusi (4-6 hónap) konszolidált eredmények szerint a bevétel 7%-kal csökkent az előző év azonos időszakához képest, a működési eredmény pedig 88%-kal csökkent. A működési eredmény a 3,91 milliárd jenes nyereségről 430 millió jenes veszteségre fordult. A személyes adatok szivárgása miatti kártérítési kockázat halálos veszélyt jelenthet a vállalatok számára.