व्यवसायहरूको व्यक्तिगत जानकारी चुहावट र क्षतिपूर्ति सम्बन्धी जोखिम

व्यवसाय प्रबन्धनमा जोखिमहरू छन् जसमा व्यवसायिक संकट, कम्पनीको सुरक्षा विचार गर्ने कर्तव्यको उल्लंघनले गर्दा दुर्घटनाहरू पर्दछन्, तर हालैका वर्षहरूमा व्यक्तिगत जानकारीको चुहावट र त्यसबाट हुने क्षतिपूर्तिको जोखिम पनि ठूलो समस्या बन्दै गएको छ।

२०१९ (रेइवा १) मा, टोक्यो वाणिज्य र उद्योग अनुसन्धानले रिपोर्ट गरेको छ कि सूचीबद्ध कम्पनीहरू र तिनका सहायक कम्पनीहरूमा व्यक्तिगत जानकारीको चुहावट र हराइका घटनाहरू ६६ कम्पनीहरूले सार्वजनिक गरेका छन्, घटनाहरूको संख्या ८६ रहेको छ, र चुहिएको व्यक्तिगत जानकारी ९,०३१,७३४ व्यक्तिहरूको छ। यदि यसमा गैर-सूचीबद्ध कम्पनीहरू, विदेशी कम्पनीहरू, सरकारी कार्यालयहरू, स्थानीय निकायहरू र विद्यालयहरूलाई समावेश गरिएमा, संख्या खगोलीय रूपमा बढ्न सक्छ।

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

व्यक्तिगत जानकारीको चुहावट र हराइका घटनाहरूमध्ये, अझै पनि सबैभन्दा ठूलो घटना २०१४ (हेइसेइ २६) को जुलाईमा पत्ता लागेको बेनेसे होल्डिंग्स (बेनेसे कर्पोरेशन)को घटना हो, जहाँ ठेक्का लिएको कम्पनीका कर्मचारीले ग्राहकको जानकारी अनधिकृत रूपमा प्राप्त गरी ३५,०४०,००० व्यक्तिहरूको व्यक्तिगत जानकारी चुहाएका थिए। २०१९ मा यस घटनाको विषयमा केहि मुद्दाहरूमा नयाँ विकास देखिएको छ।
बेनेसे समस्यालाई व्यवस्थित गर्दै, कम्पनीहरूको व्यक्तिगत जानकारीको चुहावट र क्षतिपूर्तिको जोखिमको बारेमा विचार गरौं।

बेनेसे व्यक्तिगत जानकारी लिक प्रकरण के हो?

२०१४ जुन (2014 June) मा, बेनेसेका ग्राहकहरूले ‘जस्ट सिस्टम’ कम्पनीबाट प्रत्यक्ष मेल प्राप्त गर्न थाले, जसले बेनेसेमा मात्र दर्ता गरिएको व्यक्तिगत जानकारी प्रयोग गरिएको हुन सक्छ भन्ने चिन्ता बढायो।

जुन २७ मा बेनेसेले आन्तरिक अनुसन्धान सुरु गर्यो र जुन ३० मा प्रहरी र अर्थ व्यवसाय मन्त्रालयलाई रिपोर्ट गर्यो। जुलाई ९ मा पत्रकार सम्मेलन गरी बालबालिका र अभिभावकहरूको नाम, ठेगाना, फोन नम्बर, लिङ्ग, जन्म मिति आदि व्यक्तिगत जानकारी लिक भएको घोषणा गरियो।

जुलाई १७ मा, बेनेसेसँग सम्बन्धित कम्पनीमा ग्राहक जानकारी व्यवस्थापन गर्ने जिम्मा लिएको सिन्फोर्म कम्पनीले ठेक्का पाएको व्यक्तिले डाटाबेस प्रणालीको व्यवस्थापन गर्ने जिम्मा पाएको थियो र ग्राहक जानकारीमा पहुँच गर्न सक्ने अधिकार भएको ३९ वर्षीय सिस्टम इन्जिनियरले व्यक्तिगत जानकारी लिएर नामावली व्यापारीलाई बेचेको आरोपमा पक्राउ परे।

सेप्टेम्बरमा बेनेसेले पत्रकार सम्मेलन गरी ग्राहक जानकारी लिक भएको ३५०४ लाख घटनाहरू सार्वजनिक गर्यो र पहिले नै व्यक्तिगत जानकारी लिक पीडितहरूलाई क्षतिपूर्तिका लागि २० अर्ब येनको मूलधन तयार गरिसकेको थियो, तर पुनः, लिक भएका ग्राहकहरूलाई क्षमापत्र पठाउने र ग्राहकहरूको चयनअनुसार, ५०० येन मूल्यको गिफ्ट कार्ड (इलेक्ट्रोनिक मनी गिफ्ट वा राष्ट्रिय पुस्तक कार्ड) पठाउने वा प्रति लिक ५०० येन बालबालिकाहरूलाई सहयोग गर्ने उद्देश्यले स्थापित बेनेसे बालबालिका कोषमा दान गर्ने विधि अपनाउने घोषणा गरियो।

यसको प्रतिक्रियास्वरूप, पीडितहरूको एक समूहले बहुसंख्यक वकिलहरूको समूह गठन गरी सामूहिक मुद्दा दायर गरेका थिए, र २०१९ मा यससँग सम्बन्धित केहि गतिविधिहरू देखा परे। अपराधिक मुद्दामा, व्यक्तिगत जानकारी लिएर गएको भनी आरोपित सिस्टम इन्जिनियरलाई अनुचित प्रतिस्पर्धा निवारण ऐन (व्यापार रहस्यको प्रतिलिपि, प्रकटीकरण) उल्लंघनको आरोपमा २०१७ मार्च २१ (2017 March 21) को टोकियो उच्च अदालतको फैसलामा २ वर्ष ६ महिना कैद र ३० लाख येन जरिवाना बिना कुनै सजाय स्थगनको साथ वास्तविक सजाय सुनाइएको छ।

जापानी सर्वोच्च अदालतको निर्णय र अपील अदालतमा पुनरावलोकन

एक पुरुष र बालकको नाम, ठेगाना, र फोन नम्बर लिक भएपछि मानसिक पीडा भोगेको भन्दै पुरुषले बेनेसेसँग १००,००० येनको मुआब्जा माग्दै मुद्दा हालेका थिए, जसमा जापानी सर्वोच्च अदालतले मूल अदालत ओसाका उच्च अदालतको फैसलालाई खारेज गर्दै, पूर्ण छानबिन नगरिएको भन्दै पुनरावलोकन गर्न आदेश दियो।

पुनरावलोकन अघिको पहिलो अदालत कोबे जिल्ला अदालत हिमेजी शाखाले २०१५ डिसेम्बर २ (२०१५) मा बेनेसेले व्यवस्थापन गरेको पुरुषको नाम लिक भएको विषयलाई विवादरहित तथ्यको रूपमा स्वीकार गर्दै, यसलाई बेनेसेको गल्तीको कारण मान्न पर्याप्त ठोस परिस्थितिको दाबी प्रमाणित नभएको भन्दै पुरुषको दाबीलाई अस्वीकार गरेको थियो।

यसको जवाफमा, पुरुषले अपील गरेको अपील अदालत (ओसाका उच्च अदालत २०१६ जुन २९ (२०१६))ले अपीलकर्ताको बच्चाको नाम, लिङ्ग, जन्म मिति, पोस्टल कोड, ठेगाना, फोन नम्बर, र संरक्षकको नाम (अपीलकर्ताको नाम) लिक भएको स्वीकार गर्दै, यसलाई अपीलकर्ताको व्यक्तिगत जानकारी लिक भएको मान्न सकिन्छ भन्दै, सामान्य मानिसको आम अनुभूतिलाई ध्यानमा राख्दा, यसले केवल असुविधा मात्र होइन, चिन्ता पनि उत्पन्न गर्न सक्छ भन्ने कुरा स्वीकार गर्दै, तर यस्तो असुविधा मात्रले क्षतिपूर्ति माग्न सकिन्न भन्ने निष्कर्षमा पुग्दै, यस्तो असुविधा भन्दा बढीको क्षति भएको भन्ने दाबी प्रमाणित नभएको कारणले अपील अस्वीकार गरेको थियो।

जापानी सर्वोच्च अदालतको निर्णय

जब अपीलकर्ताले यसको विरुद्धमा उच्चतम अदालतमा अपील गर्ने आवेदन दिए, तब जापानी सर्वोच्च अदालतले यसलाई स्वीकार गरी, यस मुद्दामा भएको जानकारी चुहावटले अपीलकर्ताको गोपनीयता उल्लंघन भएको भन्न सकिन्छ भने पनि, ओसाका उच्च अदालतले गोपनीयता उल्लंघनबाट अपीलकर्ताको मानसिक क्षतिको अस्तित्व र त्यसको गम्भीरता आदि कुराहरूमा पर्याप्त छानबिन नगरी, केवल असुविधाभन्दा बढी क्षतिको दावी प्रमाणित नभएको भन्ने मात्रै कारणले अपीलकर्ताको दावीलाई तत्काल खारेज गर्नुपर्ने भन्ने निर्णय गरेको थियो, जुन अवैध थियो किनकि यसले अवैध कार्यमा हुने क्षतिसम्बन्धी कानूनको व्याख्या र लागू गर्नमा गल्ती गरेको थियो। त्यसैले, मूल फैसलालाई खारेज गर्दै, अदालतले मुद्दालाई थप छानबिनका लागि उच्च अदालतमा पठाएको छ (जापानी सर्वोच्च अदालतको 2017 अक्टोबर 23 को निर्णय)।

https://monolith.law/reputation/privacy-invasion[ja]

जापानमा अपिल अदालतको निर्णय

२०१९ (रेइवा पहिलो वर्ष) नोभेम्बर २० मा, ओसाका उच्च अदालतले निर्णय गरेको छ कि, यस मामिलाका कर्मचारीले MTP समर्थित स्मार्टफोनलाई व्यावसायिक कम्प्युटरको USB पोर्टमा USB केबल प्रयोग गरी जडान गरी MTP सञ्चार मार्फत डाटा सार्ने प्रक्रियाबाट व्यक्तिगत जानकारी अनधिकृत रूपमा प्राप्त गरी नामावली व्यवसायीलाई बिक्री गरेका थिए। तर, सिन्फोर्म कम्पनीले MTP समर्थित स्मार्टफोनलाई कार्यालय भित्र ल्याउन अनुमति दिएको थियो र यस मामिलाका व्यक्तिगत जानकारीसँग सम्पर्क नगर्ने उपाय अपनाउनुपर्ने ध्यान दिनुपर्ने जिम्मेवारी बहन गरेको थियो, तर यसलाई अवहेलना गरेको थियो। बेनेस्सले आफ्नो व्यक्तिगत जानकारीको प्रयोगलाई अनुमति दिएको सिन्फोर्म कम्पनीमाथि उचित निगरानी गर्नुपर्ने कर्तव्य उल्लंघन गरेको थियो, जसको परिणामस्वरूप कर्मचारीबाट जानकारी चुहावट भएको थियो। यसले गर्दा उत्पन्न भएको क्षतिको लागि दुवै कम्पनीले अवैध कार्यको जिम्मेवारी बहन गर्नुपर्ने भएको छ (जापानी सिभिल कोड धारा ७१९ को पहिलो उपधारा)।

त्यसैगरी, व्यक्तिगत जानकारी संरक्षण कानून (धारा २२) अनुसार, “व्यक्तिगत जानकारी सञ्चालन व्यवसायीले व्यक्तिगत डाटाको सञ्चालनलाई पूर्ण वा आंशिक रूपमा अर्को पक्षलाई जिम्मा लगाउँदा, त्यस्तो डाटाको सुरक्षित व्यवस्थापन सुनिश्चित गर्न आवश्यक र उपयुक्त निगरानी गर्नुपर्छ,” भन्ने प्रावधानको उल्लंघन गर्दै, गोपनीयता उल्लंघन गरिएको मान्दै, अपिलकर्ताको ठेगाना, नाम, र फोन नम्बर वेबसाइटमा प्रकाशित भएको कुरा ध्यानमा राख्दै, क्षतिपूर्ति रूपमा १००० येन भुक्तानी गर्न आदेश दिइएको छ।

यो मुद्दामा बेनेस्सको क्षतिपूर्ति जिम्मेवारी स्वीकार गरिएको तेस्रो उदाहरण हो। यस लेखको सुरुमा “२०१९ मा यस मुद्दाको विचारणमा नयाँ विकास देखिएको थियो” भनेर लेखिएको थियो, तर बेनेस्सको क्षतिपूर्ति जिम्मेवारी स्वीकार गरिएका तीन फैसला सबै २०१९ मा नै जारी भएका थिए।

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

जापानमा बेनेस्सेको जिम्मेवारी स्वीकार गरिएको पहिलो न्यायिक निर्णय

पहिलो अदालतको निर्णय

बेनेस्सेले आफ्नो र आफ्नी श्रीमती तथा छोराको व्यक्तिगत जानकारी बाहिरी स्रोतमा लिक गरेको भन्दै मानसिक पीडा भोगेको आरोपमा एक पुरुषले क्षतिपूर्ति माग गर्दै दायर गरेको अपिल अदालतको फैसलामा पहिलो पटक बेनेस्सेको जिम्मेवारी स्वीकार गरिएको थियो।

पहिलो अदालत (योकोहामा जिल्ला अदालतको २०१७ फेब्रुअरी १६ (२०१७) को निर्णय)ले बेनेस्सेको ध्यान दिने कर्तव्यको उल्लंघन स्वीकार गरेको थियो तर, व्यक्तिगत डाटाको व्यवस्थापनमा गल्ती गरेको पुष्टि गर्न योग्य प्रमाणको अभावमा बेनेस्सेविरुद्धको दाबी खारेज गरिएको थियो, जसका कारण पुरुषहरूले अपिल गरेका थिए।

पहिलो अदालतमा, बेनेस्सेले अर्थ मन्त्रालयबाट व्यक्तिगत जानकारी संरक्षण ऐनको २० र २२ धाराका कर्तव्यहरू पूरा गर्न चुकेको थियो र यसै ऐनको ३४ धारा १ उपधाराको आधारमा सिफारिस प्राप्त गरेको थियो, तर यो सिफारिस व्यक्तिगत अधिकारहरूको संरक्षणका लागि आवश्यक मानिन्छ जब गरिन्छ, र यसले जानकारी चुहावट भएको समयमा परिणाम पूर्वानुमान गर्ने र परिणाम निवारण गर्ने कर्तव्यको उल्लंघनलाई आवश्यकता राख्दैन, त्यसैले यो सिफारिस मात्रले बेनेस्सेमा नागरिक संहिताको ७०९ धाराको लापरवाही थियो भन्ने पुष्टि गर्न पर्याप्त छैन भनी निर्णय दिएको थियो।

अपिल अदालतको निर्णय

यसको जवाफमा, अपिल अदालत टोकियो उच्च अदालत (२०१९ जुन २७ (२०१९))ले, उच्च ज्ञान र विशेष प्रविधिको प्रयोग गरेर गरिएको होइन, तर केवल स्मार्टफोनलाई चार्ज गर्नका लागि बजारमा पाइने USB केबल प्रयोग गरेर कार्यालयको कम्प्युटरमा जडान गर्दा डाटा सार्न सकिने भएकोले यो विचार आएको र कार्यान्वयन गरिएको साधारण अपराध थियो भन्ने तथ्यलाई आधार मान्दै, सिनफोर्म कम्पनीले MTP समर्थित स्मार्टफोनहरूमा लेखन नियन्त्रण उपाय अपनाउनुपर्ने ध्यान दिने कर्तव्य विस्तारै उल्लंघन गरेको थियो र बेनेस्सेले त्यस समय व्यक्तिगत जानकारीको प्रबन्धनमा ठेक्का प्राप्त कम्पनीलाई उचित निगरानी गर्नुपर्ने ध्यान दिने कर्तव्य विस्तारै उल्लंघन गरेको थियो भनी स्वीकार गरियो, र यी दुई कम्पनीबाट गरिएका यी कानून विपरीत क्रियाकलापहरू सामूहिक अवैध क्रियाकलाप (नागरिक संहिता ७१९ धारा १ उपधारा पहिलो खण्ड)मा पर्छन् भनी निर्णय दिइयो।

अनि, ‘अपिलकर्ताहरूले यी व्यक्तिगत जानकारीहरूलाई आफूले चाहेको अन्य व्यक्तिहरूले अनावश्यक रूपमा प्रकट गर्न नचाहने कुरा स्वाभाविक हो, त्यसैले यी व्यक्तिगत जानकारीहरू कानूनी संरक्षणको विषय बन्न सक्छन् र यस चुहावटले अपिलकर्ताहरूको गोपनीयता उल्लंघन गरेको छ’ भनी निर्णय दिइयो, र त्यसपछि, चुहावट पत्ता लगाएपछि तत्काल कारबाही सुरु गरी, जानकारी चुहावटको क्षति विस्तार रोक्ने उपायहरू अपनाइयो, निगरानी निकायलाई रिपोर्ट गर्ने र निर्देशन अनुसारको अनुसन्धान रिपोर्ट पेश गरियो। साथै, जानकारी चुहिएको भनिएका ग्राहकहरूलाई क्षमापत्र पठाइयो र चयन अनुसार ५०० येन बराबरको गिफ्ट भाउचर वितरण गरियो, र अपिलकर्ताहरूले पनि प्रत्येकले इलेक्ट्रोनिक मनी गिफ्ट ५०० येन प्राप्त गरेका थिए, यसलाई मध्यनजर गर्दै, बेनेस्सेलाई प्रत्येकलाई २००० येनको क्षतिपूर्ति भुक्तानी गर्न आदेश दिइयो।

जापानमा बेनेस्सेको दोस्रो न्यायिक निर्णयमा जिम्मेवारी स्वीकार

२०१९ सेप्टेम्बर ६ (२०१९) मा टोक्यो जिल्ला अदालतमा ग्राहकहरू १३ जनाले बेनेस्से र सम्बन्धित कम्पनीसँग जम्मा ९८,००० येनको क्षतिपूर्ति माग गरेको मुद्दामा फैसला भएको थियो, जसमा बेनेस्से र सिनफॉर्म कम्पनीलाई प्रति व्यक्ति ३,००० येन (एक व्यक्तिलाई ३,३०० येन) गरी कुल ४२,३०० येन भुक्तानी गर्न आदेश दिइएको थियो।

अदालतले बेनेस्सेको सिनफॉर्म कम्पनीमाथि प्रयोगकर्ता जिम्मेवारीको मागलाई अस्वीकार गर्यो किनभने ती अलग कम्पनी हुन्, तर सिनफॉर्म कम्पनीले सुरक्षा सफ्टवेयरको सेटिङ्ग पुनरावलोकन नगरेको थियो र त्यसको परिणामस्वरूप कार्यालयका कम्प्युटरबाट MTP समर्थित स्मार्टफोनमा डाटा सार्न सक्ने भएको थियो, जसले गर्दा जानकारी लेख्ने नियन्त्रण उपायको कर्तव्य उल्लंघन गरेको दोष थियो भन्ने कुरा स्पष्ट थियो। बेनेस्सेले यस प्रणालीको विकासका लागि ठूलो परिमाणमा ग्राहकको जानकारी संकलन गर्ने क्रममा, मुद्दाकारीहरू सहितका ग्राहकहरूप्रति पनि विश्वासको सिद्धान्त अनुसार ठेकेदार चयन र निगरानीको जिम्मेवारी बहन गर्नुपर्ने थियो भनी ठहर गर्दै संयुक्त अवैध कार्य (सिभिल कोड ७१९ धारा १ को पहिलो खण्ड) स्वीकार गरी मुद्दाकारीहरूलाई क्षतिपूर्ति भुक्तानी गर्न आदेश दियो।

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

यस निर्णयमा पनि, व्यक्तिगत जानकारी संरक्षण ऐन (२००९) को २२ धारामा, “व्यक्तिगत जानकारी संचालन व्यवसायीले व्यक्तिगत डाटाको संचालनलाई पूर्ण वा आंशिक रूपमा ठेक्का दिने क्रममा, ठेक्का प्राप्त व्यक्तिलाई व्यक्तिगत डाटाको सुरक्षित व्यवस्थापन सुनिश्चित गर्न आवश्यक र उपयुक्त निगरानी गर्नुपर्छ” भन्ने प्रावधान उद्धृत गरिएको छ, र साथै २००९ को अर्थ मन्त्रालयको निर्देशिकामा ‘आवश्यक र उपयुक्त निगरानी’मा ठेक्का प्राप्त व्यक्तिलाई उपयुक्त रूपमा चयन गर्ने, व्यक्तिगत जानकारी संरक्षण ऐन (२००९) को २० धारा अनुसार सुरक्षा उपायहरू पालना गर्न आवश्यक सम्झौता गर्ने, र ठेक्का प्राप्त व्यक्तिको स्थितिमा ठेक्का प्राप्त व्यक्तिगत डाटाको संचालन अवस्था बुझ्ने कुरा समावेश गरिएको छ।

सारांश

बेनेस्से शुरुमा पीडितहरूलाई क्षतिपूर्ति दिनको लागि २० अर्ब येनको मूलधन तयार पारेको थियो, तर त्यो पर्याप्त नभएको पाइयो। २०१४ नोभेम्बरमा (२०१४), जापान जानकारी अर्थतन्त्र समाज प्रवर्द्धन संघले बेनेस्से होल्डिंग्सले प्राप्त गरेको, व्यक्तिगत जानकारीलाई उचित रूपमा व्यवस्थापन गर्ने कम्पनीहरूलाई दिइने प्राइवेसी मार्क रद्द गरियो। २०१५ अप्रिलमा (२०१५), ‘शिनकेन जेमी’ र ‘कोडोमो च्यालेन्ज’का सदस्यहरूको संख्या २७१ लाख थियो, जुन अघिल्लो वर्षको सोही महिनाको तुलनामा ९४ लाखले घटेको थियो, र अप्रिलदेखि जुनसम्मको त्रैमासिक समेकित नतिजामा बिक्री अघिल्लो वर्षको सोही अवधिको तुलनामा ७% घटेको थियो, र सञ्चालन लाभ ८८%ले घटेको थियो, जसले गर्दा सञ्चालन लाभ/हानि अघिल्लो वर्षको ३९ अर्ब १००० लाख येनको कालो अंकबाट ४ अर्ब ३००० लाख येनको रातो अंकमा परिणत भयो। व्यक्तिगत जानकारीको चुहावटसँग सम्बन्धित क्षतिपूर्ति भरपाईको जोखिमले कम्पनीहरूका लागि मरणासन्न समस्या बन्न सक्छ।