MONOLITH LAW OFFICE+81-3-6262-3248Hari Minggu 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Risiko Kebocoran Maklumat Peribadi Syarikat dan Ganti Rugi Kerugian

General Corporate

Risiko Kebocoran Maklumat Peribadi Syarikat dan Ganti Rugi Kerugian

Risiko yang melingkari pengurusan perusahaan termasuk krisis pengurusan, kemalangan akibat pelanggaran kewajipan penjagaan keselamatan oleh pihak syarikat, tetapi dalam beberapa tahun kebelakangan ini, risiko kebocoran maklumat peribadi dan ganti rugi kerana itu juga menjadi masalah besar.

Tokyo Shoko Research melaporkan bahawa pada tahun 2019 (Tahun 1 Reiwa), 66 syarikat yang tersenarai dan anak syarikat mereka telah mengumumkan kebocoran dan kehilangan maklumat peribadi, dengan 86 kes dan maklumat peribadi sebanyak 9,031,734 orang telah bocor. Jika kita menambahkan syarikat yang tidak tersenarai, syarikat asing, agensi kerajaan, badan-badan tempatan, sekolah dan sebagainya, jumlahnya mungkin akan membengkak menjadi jumlah yang astronomi.

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Daripada kebocoran dan kehilangan maklumat peribadi, yang terbesar masih adalah kebocoran maklumat peribadi sebanyak 35,040,000 orang akibat pengambilan maklumat pelanggan secara tidak sah oleh pekerja kontraktor Benesse Holdings (Benesse Corporation) yang terbongkar pada Julai 2014 (Tahun 26 Heisei). Namun, pada tahun 2019, terdapat perkembangan baru dalam beberapa perbicaraan mengenai insiden ini.
Sambil mengatur masalah Benesse, mari kita fikirkan tentang risiko kebocoran maklumat peribadi oleh syarikat dan ganti rugi.

Apa itu Insiden Kebocoran Maklumat Peribadi Benesse

Risiko kebocoran maklumat peribadi syarikat dan pampasan kerosakan
Insiden kebocoran maklumat peribadi Benesse yang berlaku sekitar Jun 2014 masih segar dalam ingatan.

Sekitar Jun 2014, pelanggan Benesse mula menerima surat langsung dari syarikat pendidikan jarak jauh ‘Just System’, dan pertanyaan tentang sama ada mereka menggunakan maklumat peribadi yang hanya didaftarkan dengan Benesse, atau sama ada maklumat peribadi telah bocor dari Benesse, telah meningkat dengan mendadak.

Pada 27 Jun, Benesse memulakan siasatan dalaman dan melaporkan kepada polis dan Kementerian Ekonomi, Perdagangan dan Industri pada 30 Jun. Pada 9 Julai, mereka mengadakan sidang akhbar dan mengumumkan bahawa maklumat peribadi seperti nama kanak-kanak dan penjaga, alamat, nombor telefon, jantina, dan tarikh lahir yang terkait dengan Zemi Shinken dan lain-lain telah bocor.

Pada 17 Julai, seorang jurutera sistem berusia 39 tahun yang bertanggungjawab atas pengurusan sistem pangkalan data syarikat dan yang mempunyai akses kepada maklumat pelanggan telah ditangkap kerana membawa keluar maklumat peribadi dan menjualnya kepada penjual senarai. Dia telah ditempatkan oleh kontraktor yang telah diberi kontrak semula oleh Syarikat Synform, yang menguruskan maklumat pelanggan untuk syarikat-syarikat yang berkaitan dengan Benesse.

Pada bulan September, Benesse mengadakan sidang akhbar dan mengumumkan bahawa jumlah kes kebocoran maklumat pelanggan adalah 35.04 juta, dan mereka telah menyediakan dana sebanyak 20 bilion yen sebagai pampasan kepada mangsa kebocoran maklumat peribadi. Mereka juga menghantar surat maaf kepada pelanggan yang kebocorannya telah disahkan, dan mengumumkan bahawa mereka akan melaksanakan pampasan dengan menghantar baucar senilai 500 yen (hadiah wang elektronik atau kad buku yang boleh digunakan di seluruh negara) mengikut pilihan pelanggan, atau dengan menderma 500 yen per kebocoran kepada Yayasan Benesse Children, yang ditubuhkan dengan tujuan memberi sokongan kepada kanak-kanak yang terjejas oleh kebocoran ini.

Sebagai respons, beberapa mangsa telah membentuk beberapa kumpulan peguam dan mengajukan tuntutan kumpulan. Ada beberapa perkembangan berkenaan dengan ini pada tahun 2019. Sebagai kes jenayah, dalam perbicaraan jenayah terhadap jurutera sistem yang dituduh melanggar Undang-Undang Pencegahan Persaingan Tidak Adil Jepun (pencetakan dan pendedahan rahsia perniagaan) kerana membawa keluar maklumat peribadi, hukuman penjara selama 2 tahun 6 bulan dan denda 3 juta yen tanpa penangguhan pelaksanaan telah diputuskan dalam penghakiman Mahkamah Tinggi Tokyo pada 21 Mac 2017.

Keputusan Mahkamah Agung dan Rayuan Pengulangan

Risiko Kebocoran Maklumat Peribadi Syarikat dan Pampasan Kerosakan
Terdapat kes di mana pembayaran pampasan kerosakan telah diperintahkan berdasarkan fakta seperti alamat, nama, dan nombor telefon penggugat telah didedahkan di laman web dan sebagainya.

Seorang lelaki dan nama anaknya, alamat, nombor telefon dan lain-lain telah bocor, dan kerana menderita tekanan mental, lelaki itu telah menuntut pampasan sebanyak 100,000 yen dari Benesse dalam tuntutan hukum. Mahkamah Agung membatalkan penghakiman Mahkamah Tinggi Osaka, yang merupakan pengadilan asal, dan mengembalikannya kerana tidak melakukan pemeriksaan sepenuhnya.

Pada pengadilan pertama sebelum pengulangan, Mahkamah Daerah Kobe Himeji pada 2 Disember 2015, mengakui sebagai fakta yang tidak dipertikaikan bahawa nama lelaki yang dikelola oleh Benesse telah bocor, dan menolak tuntutan lelaki itu kerana tidak ada bukti yang cukup untuk mendirikan keadaan konkrit yang menyokong bahawa ini adalah kesilapan Benesse.

Sebaliknya, dalam rayuan (penghakiman Mahkamah Tinggi Osaka pada 29 Jun 2016) yang diajukan oleh lelaki itu, pengadilan mengakui bahawa nama anak penggugat, jantina, tarikh lahir, poskod, alamat, nombor telefon, dan nama penjaga (nama penggugat) yang dikelola oleh defendan telah bocor, dan atas dasar ini, dapat dikatakan bahawa maklumat peribadi penggugat sendiri seperti nama penggugat, poskod, alamat, nombor telefon, dan nama, jantina, dan tarikh lahir keluarganya telah bocor. Walaupun pengadilan mengakui bahawa kebocoran maklumat peribadi penggugat ini, menurut rasa umum orang biasa, boleh menimbulkan perasaan tidak selesa dan kebimbangan, hanya kerana merasa tidak selesa dan sebagainya, tidak dapat segera menuntut pampasan kerosakan sebagai kepentingan yang dilanggar. Oleh itu, pengadilan menolak rayuan atas alasan bahawa tidak ada bukti yang menunjukkan bahawa kerugian yang melebihi perasaan tidak selesa dan sebagainya telah dialami.

Keputusan Mahkamah Agung

Apabila penggugat memohon penerimaan rayuan terhadap ini, Mahkamah Agung menerimanya dan, walaupun dapat dikatakan bahawa penggugat telah melanggar privasinya akibat kebocoran ini, Mahkamah Tinggi Osaka seharusnya menolak tuntutan penggugat segera hanya dari fakta bahawa tidak ada bukti yang menunjukkan bahawa kerugian yang melebihi perasaan tidak selesa dan sebagainya telah berlaku tanpa melakukan pemeriksaan yang cukup mengenai sama ada ada kerugian mental penggugat akibat pelanggaran privasi dan sejauh mana, dan sebagainya. Oleh itu, pengadilan membatalkan penghakiman asal dan mengembalikannya ke Mahkamah Tinggi untuk pemeriksaan lebih lanjut mengenai sama ada ada kesilapan oleh defendan dan sama ada ada kerugian mental penggugat dan sejauh mana, dan sebagainya (penghakiman Mahkamah Agung pada 23 Oktober 2017).

https://monolith.law/reputation/privacy-invasion[ja]

Keputusan Rayuan Pengulangan

Dalam pengulangan, Mahkamah Tinggi Osaka (penghakiman pada 20 November 2019) memutuskan bahawa pekerja dalam kes ini telah menjual maklumat peribadi yang diperoleh secara tidak sah kepada penjual senarai dengan menggunakan kaedah penghantaran data melalui komunikasi MTP dengan menyambungkan telefon pintar yang kompatibel dengan MTP ke port USB komputer perniagaan menggunakan kabel USB. Syarikat Shinform seharusnya mengambil langkah-langkah yang sesuai seperti mencegah telefon pintar yang kompatibel dengan MTP dibawa ke dalam bilik kerja di atas dan tidak berhubungan dengan maklumat peribadi ini, tetapi telah gagal melakukan ini dan oleh itu ada kesilapan. Benesse, sebagai hasil daripada melanggar kewajipan pengawasan yang sesuai terhadap Shinform, yang membenarkan penggunaan maklumat peribadi yang dikelolanya, dianggap telah menyebabkan kebocoran oleh pekerja, dan oleh itu bertanggungjawab atas kerugian yang timbul daripada perbuatan salah yang melibatkan kedua-dua syarikat (Perenggan 1 Perenggan 1 Undang-Undang Sivil).

Kemudian, bertentangan dengan peruntukan Artikel 22 Undang-Undang Perlindungan Maklumat Peribadi Jepun, yang mengatakan, “Apabila pengendali maklumat peribadi menyerahkan seluruh atau sebahagian daripada pengendalian data peribadi, pengendali tersebut mesti melakukan pengawasan yang perlu dan sesuai terhadap orang yang menerima penyerahan tersebut untuk memastikan pengurusan keselamatan data peribadi tersebut,” pengadilan mengakui bahawa privasi telah dilanggar dan, dengan mempertimbangkan fakta seperti alamat, nama, dan nombor telefon penggugat telah didedahkan di laman web dan sebagainya, pengadilan memerintahkan pembayaran 1,000 yen sebagai pampasan kerosakan.

Ini adalah kes ketiga yang mengakui tanggungjawab pampasan Benesse. Saya menulis pada permulaan artikel ini bahawa “pada tahun 2019, terdapat beberapa perkembangan baru dalam kes-kes yang melibatkan insiden ini,” dan ketiga-tiga penghakiman yang mengakui tanggungjawab pampasan Benesse dikeluarkan pada tahun 2019.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Contoh Pertama Penghakiman yang Mengakui Tanggungjawab Benesse

Keputusan Perbicaraan Pertama

Risiko penyebaran maklumat peribadi syarikat dan pampasan kerosakan
Kami akan memperkenalkan contoh di mana tanggungjawab Benesse telah diakui.

Seorang lelaki telah menuntut pampasan kerana mengalami tekanan mental akibat Benesse telah membocorkan maklumat peribadi beliau, isteri dan anak lelakinya ke pihak luar. Ini merupakan kali pertama tanggungjawab Benesse diakui dalam keputusan rayuan.

Perbicaraan pertama (Mahkamah Daerah Yokohama, 16 Februari 2017) telah mengakui bahawa Benesse telah melanggar kewajipan untuk berhati-hati, tetapi menolak tuntutan terhadap Benesse kerana tiada bukti fakta konkrit yang mencukupi untuk mengakui bahawa mereka telah melanggar kewajipan untuk memahami cara pengendalian data peribadi. Oleh itu, lelaki itu telah merayu.

Di perbicaraan pertama, walaupun Benesse telah menerima cadangan berdasarkan peruntukan Perkara 34(1) Undang-Undang Perlindungan Maklumat Peribadi (Japanese Personal Information Protection Act) daripada Menteri Ekonomi, Perdagangan dan Industri kerana telah mengabaikan kewajipan di bawah Perkara 20 dan 22 undang-undang tersebut dan menyebabkan kebocoran maklumat ini, cadangan berdasarkan peruntukan tersebut dibuat apabila dianggap perlu untuk melindungi hak dan kepentingan individu, dan bukanlah syarat untuk adanya kewajipan untuk meramalkan hasil atau mengelakkan hasil pada masa kebocoran maklumat, oleh itu, hanya kerana cadangan tersebut telah dibuat, tidak mencukupi untuk mengakui bahawa Benesse telah lalai di bawah Perkara 709 Undang-Undang Sivil (Japanese Civil Code) pada masa kebocoran maklumat ini.

Keputusan Rayuan

Sebagai respons, Mahkamah Tinggi Tokyo (27 Jun 2019) dalam rayuan mereka, berdasarkan fakta bahawa ini bukanlah jenayah yang dilakukan dengan menggunakan pengetahuan tinggi atau teknologi khusus, tetapi hanya jenayah sederhana yang dilakukan dengan menghubungkan telefon pintar ke komputer perniagaan menggunakan kabel USB yang dijual secara umum untuk pengisian bateri dan menyedari bahawa data boleh dipindahkan, telah mengakui bahawa Syarikat Shinform telah lalai dalam kewajipan untuk mengambil langkah-langkah kawalan penulisan untuk telefon pintar yang menyokong MTP dan Benesse, yang telah mengarahkan pengendalian maklumat peribadi dalam jumlah besar, telah lalai dalam kewajipan untuk mengawasi dengan sewajarnya kontraktor dalam pengurusan maklumat peribadi pada masa kebocoran. Mereka telah memutuskan bahawa tindakan haram oleh kedua-dua syarikat ini adalah tindakan haram bersama (Perkara 719(1) Undang-Undang Sivil).

Kemudian, mereka menyatakan bahawa “Adalah perkara biasa bagi penggugat untuk tidak mahu maklumat peribadi mereka dibuka secara sembarangan kepada orang lain yang mereka tidak mahu, oleh itu, maklumat peribadi ini adalah subjek perlindungan undang-undang sebagai maklumat yang berkaitan dengan privasi penggugat, dan dengan kebocoran ini, penggugat telah melanggar privasi mereka.” Selain itu, mereka memulakan tindakan segera setelah penemuan kebocoran, mengambil langkah-langkah untuk mencegah penyebaran lebih lanjut kerugian akibat kebocoran maklumat, melaporkan dan menyiasat berdasarkan arahan dari agensi pengawasan. Mereka juga menghantar surat maaf kepada pelanggan yang dianggap telah bocor maklumatnya dan mengedarkan baucar bernilai 500 yen mengikut pilihan, dan penggugat masing-masing telah menerima hadiah wang elektronik bernilai 500 yen. Berdasarkan ini, mereka memerintahkan Benesse untuk membayar pampasan kerugian sebanyak 2000 yen kepada setiap orang.

Contoh Kedua Penghakiman yang Mengakui Tanggungjawab Benesse

Pada 6 September 2019 (tahun 2019 dalam kalendar Gregorian), penghakiman untuk tuntutan pampasan kerugian sebanyak 980,000 yen yang dituntut oleh 13 pelanggan terhadap syarikat dan syarikat berkaitan telah berlangsung di Mahkamah Daerah Tokyo. Benesse dan Syarikat Shinform telah diarahkan untuk membayar sebanyak 3,000 yen setiap orang (seorang adalah 3,300 yen), dengan jumlah keseluruhan 42,300 yen.

Walaupun mahkamah tidak mengakui tanggungjawab pengguna Benesse terhadap Syarikat Shinform, yang merupakan entiti berasingan, Syarikat Shinform telah gagal untuk mengkaji semula tetapan perisian keselamatan, yang membolehkan pemindahan data dari komputer perniagaan ke telefon pintar yang menyokong MTP. Oleh itu, mereka telah melanggar kewajipan untuk mengawal penulisan maklumat dan mempunyai kecuaian. Benesse, dalam melantik pengendalian maklumat pelanggan dalam jumlah besar untuk pembangunan sistem dan lain-lain, seharusnya mempunyai tanggungjawab untuk memilih dan mengawasi pihak yang dilantik berdasarkan prinsip kepercayaan, termasuk pelanggan termasuk plaintif. Oleh itu, mahkamah mengakui tindakan haram bersama (Perenggan pertama Perkara 719 Undang-Undang Sivil Jepun) dan mengarahkan mereka untuk membayar pampasan kerugian kepada plaintif secara bersama-sama.

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

Dalam penghakiman ini juga, Perkara 22 Undang-Undang Perlindungan Maklumat Peribadi Jepun, yang menyatakan, “Pengendali perniagaan maklumat peribadi, apabila melantik sebahagian atau keseluruhan pengendalian data peribadi, mesti menjalankan pengawasan yang perlu dan sesuai terhadap pihak yang menerima lantikan untuk memastikan pengurusan keselamatan data peribadi yang dilantik,” telah dipetik. Selain itu, ia menunjukkan bahawa “pengawasan yang perlu dan sesuai” dalam Garis Panduan Kementerian Ekonomi, Perdagangan dan Industri tahun Heisei 21 (2009 dalam kalendar Gregorian) termasuk pemilihan pihak yang dilantik dengan betul, penandatanganan kontrak yang diperlukan untuk memastikan pihak yang dilantik mematuhi langkah-langkah pengurusan keselamatan berdasarkan Perkara 20 Undang-Undang Perlindungan Maklumat Peribadi, dan pemahaman tentang keadaan pengendalian data peribadi yang dilantik oleh pihak yang dilantik.

Rumusan

Pada mulanya, Benesse telah menyediakan dana sebanyak 20 bilion yen sebagai pampasan kepada mangsa, tetapi jumlah itu ternyata tidak mencukupi. Pada bulan November 2014, Persatuan Promosi Ekonomi dan Maklumat Jepun telah membatalkan tanda privasi yang diberikan kepada syarikat yang menguruskan maklumat peribadi dengan betul, yang telah diperoleh oleh Benesse Holdings. Bilangan ahli ‘Semin Zemi’ dan ‘Kodomo Challenge’ pada bulan April 2015 adalah 2.71 juta orang, penurunan sebanyak 940,000 orang berbanding bulan yang sama pada tahun sebelumnya, dan pendapatan konsolidasi untuk suku April hingga Jun adalah penurunan 7% berbanding tempoh yang sama pada tahun sebelumnya, dan keuntungan operasi turun 88%, menjadikan keuntungan dan kerugian operasi berubah dari keuntungan 3.91 bilion yen pada tempoh yang sama tahun sebelumnya menjadi kerugian 430 juta yen. Risiko pampasan kerugian akibat kebocoran maklumat peribadi boleh menjadi masalah hidup dan mati bagi syarikat.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Kembali ke Atas