Risiko Kebocoran Informasi Pribadi Perusahaan dan Ganti Rugi

Risiko yang mengelilingi manajemen perusahaan mencakup krisis manajemen, kecelakaan akibat pelanggaran kewajiban perusahaan untuk mempertimbangkan keselamatan, dan lainnya. Namun, dalam beberapa tahun terakhir, kebocoran informasi pribadi dan risiko ganti rugi yang dihasilkannya telah menjadi masalah besar.

Penelitian Bisnis Tokyo melaporkan bahwa pada tahun 2019 (Tahun 1 Reiwa), 66 perusahaan yang terdaftar dan anak perusahaannya mengumumkan kecelakaan kehilangan dan kebocoran informasi pribadi. Jumlah kecelakaan adalah 86, dan informasi pribadi yang bocor mencapai 9.031.734 orang. Jika kita menambahkan perusahaan yang belum terdaftar, perusahaan asing, lembaga pemerintah, otoritas lokal, sekolah, dan lainnya, jumlahnya bisa membengkak menjadi astronomis.

Dari semua kecelakaan kehilangan dan kebocoran informasi pribadi, yang terbesar masih adalah kebocoran informasi pribadi 35,04 juta orang akibat pengambilan ilegal informasi pelanggan oleh karyawan perusahaan yang diberi tugas oleh Benesse Holdings (Benesse Corporation) yang terungkap pada Juli 2014 (Tahun 26 Heisei). Namun, pada tahun 2019, beberapa perkembangan baru terlihat dalam beberapa kasus pengadilan yang berkaitan dengan insiden ini.
Sambil mengatur masalah Benesse, mari kita pertimbangkan risiko kebocoran informasi pribadi dan ganti rugi perusahaan.

Apa Itu Kasus Kebocoran Informasi Pribadi Benesse

Sekitar bulan Juni 2014, pelanggan Benesse mulai menerima surat langsung dari perusahaan pendidikan jarak jauh ‘Just System’. Hal ini memicu peningkatan pertanyaan apakah mereka menggunakan informasi pribadi yang hanya didaftarkan di Benesse, atau apakah informasi pribadi telah bocor dari Benesse.

Pada tanggal 27 Juni, Benesse memulai investigasi internal dan melaporkan kepada kepolisian dan Kementerian Ekonomi, Perdagangan dan Industri pada tanggal 30 Juni. Pada tanggal 9 Juli, mereka mengadakan konferensi pers dan mengumumkan bahwa informasi pribadi seperti nama anak-anak dan orang tua mereka, alamat, nomor telepon, jenis kelamin, dan tanggal lahir yang terdaftar di program seperti Zemi telah bocor.

Pada tanggal 17 Juli, seorang insinyur sistem berusia 39 tahun yang bertanggung jawab atas manajemen sistem basis data perusahaan dan memiliki akses ke informasi pelanggan, yang ditempatkan oleh vendor yang diberikan kontrak oleh perusahaan afiliasi Benesse, Synform, telah ditangkap karena membawa keluar informasi pribadi dan menjualnya kepada pedagang daftar nama.

Pada bulan September, Benesse mengadakan konferensi pers dan mengumumkan bahwa jumlah kebocoran informasi pelanggan adalah 35,04 juta kasus. Mereka telah menyiapkan dana sebesar 20 miliar yen sebagai kompensasi untuk korban kebocoran informasi pribadi, dan mereka mengirim surat permintaan maaf kepada pelanggan yang kebocorannya telah dikonfirmasi. Mereka juga mengumumkan bahwa mereka akan memberikan kompensasi dengan metode mengirim voucher senilai 500 yen (gift card uang elektronik atau kartu buku nasional) sesuai dengan pilihan pelanggan, atau menyumbangkan 500 yen per kasus kebocoran ke Yayasan Benesse untuk Anak-anak, yang didirikan dengan tujuan mendukung anak-anak yang terkena dampak kebocoran ini.

Sebagai tanggapan, beberapa korban membentuk beberapa tim pengacara dan mengajukan tuntutan hukum kelompok. Ada beberapa perkembangan terkait hal ini pada tahun 2019. Sebagai kasus pidana, dalam persidangan pidana terhadap insinyur sistem yang dituduh melanggar Undang-Undang Pencegahan Persaingan Tidak Sehat Jepang (pembuatan salinan rahasia bisnis, pengungkapan) karena membawa keluar informasi pribadi, putusan penjara selama 2 tahun 6 bulan dan denda 3 juta yen tanpa penangguhan eksekusi telah dikonfirmasi oleh Pengadilan Tinggi Tokyo pada tanggal 21 Maret 2017.

Keputusan Mahkamah Agung dan Banding Pengembalian

Dalam kasus di mana seorang pria dan nama anaknya, alamat, nomor telepon, dll. bocor dan dia menderita stres mental, pria tersebut menuntut Benesse untuk kompensasi sebesar 100.000 yen. Mahkamah Agung membatalkan putusan Pengadilan Tinggi Osaka, yang merupakan pengadilan pertama, dan mengembalikannya karena tidak melakukan pemeriksaan yang cukup.

Pengadilan Distrik Kobe Himeji, yang merupakan pengadilan pertama sebelum pengembalian, pada tanggal 2 Desember 2015, mengakui sebagai fakta yang tidak dipertentangkan bahwa nama pria yang dikelola oleh Benesse bocor, dan menolak klaim pria tersebut karena tidak ada bukti yang cukup untuk mendirikan bahwa ini adalah akibat kelalaian Benesse.

Sebaliknya, pengadilan banding (Pengadilan Tinggi Osaka, putusan 29 Juni 2016) yang diajukan banding oleh pria tersebut, mengakui bahwa nama anak penggugat, jenis kelamin, tanggal lahir, kode pos, alamat, nomor telepon, dan nama wali (nama penggugat) yang dikelola oleh tergugat bocor, dan dengan ini, dapat dikatakan bahwa informasi pribadi penggugat sendiri, seperti nama penggugat, kode pos, alamat, nomor telepon, dan nama, jenis kelamin, dan tanggal lahir anggota keluarganya, bocor. Meskipun mengakui bahwa kebocoran informasi pribadi penggugat seperti ini, dalam pandangan rasa umum orang biasa, dapat menyebabkan perasaan tidak nyaman dan kecemasan, hanya dengan merasa tidak nyaman, dll., tidak dapat langsung menuntut ganti rugi sebagai kepentingan yang dilanggar, dan menolak banding karena tidak ada bukti klaim bahwa kerugian yang melebihi perasaan tidak nyaman, dll. telah terjadi.

Keputusan Mahkamah Agung

Ketika penggugat mengajukan permohonan penerimaan banding terhadap ini, Mahkamah Agung menerimanya dan, meskipun dapat dikatakan bahwa penggugat telah melanggar privasinya karena kebocoran ini, Pengadilan Tinggi Osaka harus menolak klaim penggugat langsung hanya dari fakta bahwa tidak ada bukti klaim tentang terjadinya kerugian yang melebihi perasaan tidak nyaman, dll. tanpa melakukan pemeriksaan yang cukup tentang adanya kerugian mental penggugat dan tingkatnya, dll. karena pelanggaran privasi, dan karena interpretasi dan penerapan hukum yang salah tentang kerugian dalam tindakan melanggar hukum, pengadilan pertama tidak melakukan pemeriksaan yang cukup dan ilegal dalam hal ini, membatalkan putusan asli, dan mengembalikan kasus ini ke pengadilan tinggi untuk lebih lanjut memeriksa adanya kelalaian tergugat dan adanya kerugian mental penggugat dan tingkatnya, dll. (Putusan Mahkamah Agung, 23 Oktober 2017).

Keputusan Banding Pengembalian

Pada pengadilan pengembalian, Pengadilan Tinggi Osaka (putusan 20 November 2019) menyatakan bahwa karyawan dalam kasus ini menggunakan metode transfer data melalui komunikasi MTP dengan menghubungkan smartphone yang kompatibel dengan MTP ke port USB komputer bisnis menggunakan kabel USB dan menjual informasi pribadi yang diperoleh secara ilegal ke pedagang daftar, tetapi Synform Co., Ltd. seharusnya telah mengambil tindakan yang tepat seperti mencegah smartphone yang kompatibel dengan MTP dibawa ke dalam ruangan kantor tersebut dan tidak mengakses informasi pribadi ini, tetapi telah gagal melakukannya dan oleh karena itu ada kelalaian. Benesse, sebagai hasil dari pelanggaran kewajiban pengawasan yang tepat terhadap Synform Co., Ltd., yang memungkinkan penggunaan informasi pribadi yang dikelolanya, dianggap telah menyebabkan kebocoran oleh karyawan, dan oleh karena itu bertanggung jawab atas kerugian yang timbul dari tindakan melanggar hukum ini, dan ini merupakan tindakan melanggar hukum bersama oleh kedua perusahaan (Pasal 719, Ayat 1, Bagian Depan, Hukum Sipil).

Kemudian, melanggar ketentuan Pasal 22 Undang-Undang Perlindungan Informasi Pribadi, “Ketika operator bisnis penanganan data pribadi mengalihkan seluruh atau sebagian penanganan data pribadi, mereka harus melakukan pengawasan yang diperlukan dan tepat terhadap pihak yang menerima pengalihan untuk memastikan manajemen keamanan data pribadi yang ditransfer,” mengakui bahwa privasi telah dilanggar, dan dengan mempertimbangkan bahwa alamat, nama, dan nomor telepon penggugat telah diungkapkan di halaman web dan sebagainya, memerintahkan pembayaran ganti rugi sebesar 1.000 yen.

Ini adalah kasus ketiga yang mengakui tanggung jawab ganti rugi Benesse. Saya menulis “Pada tahun 2019, ada beberapa perkembangan baru dalam beberapa kasus yang melibatkan insiden ini” di awal artikel ini, tetapi ketiga putusan yang mengakui tanggung jawab ganti rugi Benesse semuanya dikeluarkan pada tahun 2019.

Putusan Pengadilan Pertama yang Mengakui Tanggung Jawab Benesse

Keputusan Pengadilan Pertama

Seorang pria telah menuntut pembayaran kompensasi atas penderitaan mental yang dialaminya akibat Benesse membocorkan informasi pribadi dirinya, istrinya, dan anaknya ke pihak luar. Dalam putusan banding, tanggung jawab Benesse diakui untuk pertama kalinya.

Pada pengadilan pertama (Pengadilan Distrik Yokohama, 16 Februari 2017), pengadilan mengakui bahwa Benesse telah melanggar kewajiban untuk berhati-hati, tetapi menolak klaim terhadap Benesse karena tidak ada bukti fakta konkret yang cukup untuk mengakui bahwa mereka telah melanggar kewajiban untuk memahami bagaimana data pribadi ditangani. Oleh karena itu, pria tersebut mengajukan banding.

Pada pengadilan pertama, meskipun Benesse telah menerima rekomendasi berdasarkan Pasal 34 Ayat 1 dari Undang-Undang Perlindungan Informasi Pribadi Jepang dari Menteri Ekonomi, Perdagangan dan Industri karena telah mengabaikan kewajiban di bawah Pasal 20 dan 22 dari undang-undang tersebut dan menyebabkan kebocoran informasi dalam kasus ini, rekomendasi berdasarkan pasal tersebut diberikan hanya ketika dianggap perlu untuk melindungi hak dan kepentingan individu, dan tidak memerlukan adanya kewajiban untuk meramalkan hasil atau menghindari hasil pada saat kebocoran informasi terjadi atau pelanggaran terhadap kewajiban tersebut. Oleh karena itu, hanya karena rekomendasi telah diberikan, tidak cukup untuk mengakui bahwa Benesse telah lalai di bawah Pasal 709 dari Hukum Sipil Jepang pada saat kebocoran informasi terjadi.

Keputusan Pengadilan Banding

Sebagai tanggapan, Pengadilan Tinggi Tokyo (putusan 27 Juni 2019) mengakui bahwa perusahaan Sinform telah lalai karena tidak mengambil tindakan kontrol penulisan untuk smartphone yang kompatibel dengan MTP, meskipun ini bukanlah tindakan yang memerlukan pengetahuan tingkat tinggi atau teknologi khusus, tetapi hanya kejahatan sederhana yang dilakukan karena mereka menyadari bahwa transfer data mungkin ketika mereka menghubungkan smartphone ke komputer bisnis mereka dengan kabel USB yang dijual bebas untuk mengisi daya. Pengadilan juga mengakui bahwa Benesse, yang telah memberikan pengelolaan sejumlah besar informasi pribadi kepada Sinform, telah lalai karena tidak melakukan pengawasan yang tepat terhadap kontraktor tersebut dalam hal manajemen informasi pribadi pada saat kebocoran. Pengadilan menyatakan bahwa tindakan ilegal oleh kedua perusahaan tersebut merupakan tindakan ilegal bersama (Pasal 719 Ayat 1 Bagian Pertama dari Hukum Sipil Jepang).

Kemudian, pengadilan menyatakan, “Adalah hal yang alami bagi penggugat untuk tidak ingin informasi pribadi mereka dibuka secara sembarangan kepada orang lain yang mereka tidak inginkan, sehingga informasi pribadi dalam kasus ini adalah subjek perlindungan hukum sebagai informasi yang berkaitan dengan privasi penggugat, dan penggugat telah melanggar privasi mereka dengan kebocoran ini.” Selanjutnya, setelah kebocoran terungkap, mereka segera mulai merespons, mengambil langkah-langkah untuk mencegah penyebaran lebih lanjut dari kerusakan akibat kebocoran informasi, dan melaporkan dan menyelidiki berdasarkan instruksi dari otoritas pengawas. Selain itu, mereka telah mengirim surat permintaan maaf kepada pelanggan yang mereka pikir informasinya telah bocor dan telah mendistribusikan voucher senilai 500 yen sesuai dengan pilihan mereka, dan penggugat masing-masing telah menerima hadiah uang elektronik senilai 500 yen. Dengan mempertimbangkan hal ini, pengadilan memerintahkan Benesse untuk membayar masing-masing penggugat sejumlah 2000 yen sebagai ganti rugi.

Kasus Kedua yang Mengakui Tanggung Jawab Benesse

Putusan gugatan yang menuntut ganti rugi sebesar 980.000 yen dari 13 pelanggan terhadap perusahaan dan perusahaan terkait telah diberikan pada tanggal 6 September 2019 (Tahun 2019) di Pengadilan Distrik Tokyo, di mana Benesse dan Sinform diperintahkan untuk membayar 3.000 yen per orang (3.300 yen untuk satu orang), total 42.300 yen.

Pengadilan tidak mengakui tanggung jawab pengguna Benesse terhadap Sinform, yang merupakan perusahaan terpisah, tetapi Sinform tidak merevisi pengaturan perangkat lunak keamanan, dan sebagai hasilnya, transfer data dari komputer bisnis ke smartphone yang kompatibel dengan MTP menjadi mungkin. Oleh karena itu, harus dikatakan bahwa ada kelalaian yang melanggar kewajiban kontrol penulisan informasi, dan Benesse harus dikatakan memiliki kewajiban pengawasan pemilihan kontraktor berdasarkan prinsip kepercayaan ketika menugaskan penanganan sejumlah besar informasi pelanggan untuk pengembangan sistem ini, termasuk para penggugat dan pelanggan lainnya. Pengadilan memerintahkan pembayaran ganti rugi kepada para penggugat atas dasar tindakan ilegal bersama (Pasal 719 Ayat 1 Bagian Awal dari Hukum Sipil Jepang).

Dalam putusan ini juga, Pasal 22 dari Undang-Undang Perlindungan Informasi Pribadi Jepang, yang menyatakan, “Operator bisnis yang menangani informasi pribadi harus melakukan pengawasan yang diperlukan dan tepat terhadap pihak yang diberi tugas penanganan semua atau sebagian data pribadi untuk memastikan manajemen keamanan data pribadi yang diberikan,” dikutip, dan juga ditunjukkan bahwa “pengawasan yang diperlukan dan tepat” dalam Pedoman Kementerian Ekonomi, Perdagangan dan Industri Tahun Heisei 21 (Tahun 2009) mencakup pemilihan kontraktor yang tepat, penandatanganan kontrak yang diperlukan untuk memastikan kontraktor mematuhi langkah-langkah manajemen keamanan berdasarkan Pasal 20 Undang-Undang Perlindungan Informasi Pribadi, dan pemahaman tentang status penanganan data pribadi yang diberikan oleh kontraktor.

Ringkasan

Awalnya, Benesse telah menyiapkan dana sebesar 20 miliar yen sebagai kompensasi bagi korban, namun ternyata dana tersebut tidak mencukupi. Pada November 2014 (Tahun 26 Heisei), Asosiasi Promosi Ekonomi dan Informasi Sosial Jepang mencabut tanda privasi yang diberikan kepada perusahaan yang mengelola informasi pribadi dengan tepat, yang telah diperoleh oleh Benesse Holdings. Jumlah anggota “Shinken Seminar” dan “Kodomo Challenge” pada April 2015 (Tahun 27 Heisei) adalah 2,71 juta orang, penurunan sebanyak 940.000 orang dibandingkan dengan bulan yang sama tahun sebelumnya, dan pendapatan konsolidasi untuk periode April-Juni menurun 7% dibandingkan dengan periode yang sama tahun sebelumnya, dan laba operasional menurun 88%, mengubah laba operasional dari 3,91 miliar yen pada periode yang sama tahun sebelumnya menjadi kerugian sebesar 430 juta yen. Risiko ganti rugi akibat kebocoran informasi pribadi dapat menjadi masalah hidup atau mati bagi perusahaan.