Risico van Persoonlijke Informatielekken en Schadevergoeding bij Bedrijven

Er zijn verschillende risico’s die bedrijfsvoering omringen, zoals managementcrises en ongevallen veroorzaakt door nalatigheid van de veiligheidsplicht van het bedrijf. Echter, in recente jaren is het risico van het lekken van persoonlijke informatie en de daaruit voortvloeiende schadevergoeding een groot probleem geworden.

Tokyo Shoko Research heeft gerapporteerd dat in 2019, 66 bedrijven en hun dochterondernemingen persoonlijke informatie lekken en verliesincidenten hebben aangekondigd. Het aantal incidenten was 86, en de gelekte persoonlijke informatie bereikte 9.031.734 personen. Als we niet-beursgenoteerde bedrijven, buitenlandse bedrijven, overheidsinstanties, lokale overheden en scholen toevoegen, kan het aantal astronomisch toenemen.

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Van de incidenten met betrekking tot het lekken en verlies van persoonlijke informatie, blijft het grootste tot nu toe het lek van persoonlijke informatie van 35,04 miljoen mensen door een werknemer van een gecontracteerde partij bij Benesse Holdings (Benesse Corporation), dat in juli 2014 aan het licht kwam. In 2019 waren er echter nieuwe ontwikkelingen in enkele rechtszaken met betrekking tot dit incident.
Terwijl we de problemen van Benesse ordenen, zullen we nadenken over het risico van het lekken van persoonlijke informatie door bedrijven en schadevergoeding.

Wat is het Benesse Datalek Incident?

Rond juni 2014 begonnen klanten van Benesse directe mail te ontvangen van het correspondentieonderwijsbedrijf ‘Just Systems’. Dit leidde tot een sterke toename van vragen of de persoonlijke informatie die alleen bij Benesse was geregistreerd werd gebruikt, of dat er persoonlijke informatie van Benesse was gelekt.

Op 27 juni startte Benesse een intern onderzoek en rapporteerde op 30 juni aan de politie en het Ministerie van Economie, Handel en Industrie. Op 9 juli hielden ze een persconferentie waarin ze aankondigden dat persoonlijke informatie, zoals namen, adressen, telefoonnummers, geslacht en geboortedata van kinderen en hun ouders die gebruik maakten van diensten zoals Shinken Seminar, was gelekt.

Op 17 juli werd een 39-jarige systeemingenieur gearresteerd. Hij was verantwoordelijk voor het beheer van het databasesysteem van Synform, een bedrijf dat klantinformatiebeheer had uitbesteed van een Benesse-gerelateerd bedrijf, en had toegang tot klantinformatie. Hij wordt ervan beschuldigd persoonlijke informatie te hebben meegenomen en verkocht aan een bedrijf dat adressenlijsten verkoopt.

In september hield Benesse een persconferentie waarin ze aankondigden dat het aantal gelekte klantinformatiegevallen 35,04 miljoen bedroeg. Ze hadden al 20 miljard yen gereserveerd als compensatie voor de slachtoffers van het datalek. Ze stuurden opnieuw een verontschuldigingsbrief naar de getroffen klanten en kondigden aan dat ze compensatie zouden bieden door het sturen van een cadeaubon ter waarde van 500 yen (een elektronisch geldgeschenk of een landelijk boekenbon), of door 500 yen per gelekt geval te doneren aan de Benesse Children’s Foundation, die werd opgericht om kinderen te ondersteunen na dit datalek, afhankelijk van de keuze van de klant.

In reactie hierop hebben sommige slachtoffers meerdere advocatenteams gevormd en collectieve rechtszaken aangespannen. Er waren enkele ontwikkelingen in deze zaken in 2019. In de strafzaak tegen de systeemingenieur die werd beschuldigd van het meenemen van persoonlijke informatie en het overtreden van de Wet ter voorkoming van oneerlijke concurrentie (reproductie en openbaarmaking van handelsgeheimen), werd op 21 maart 2017 door het Hooggerechtshof van Tokio een definitieve straf van 2,5 jaar gevangenisstraf en een boete van 3 miljoen yen zonder voorwaardelijke vrijlating opgelegd.

Het oordeel van de Hoge Raad en het terugverwijzingsberoep

In een rechtszaak waarin een man een schadevergoeding van 100.000 yen eiste van Benesse omdat de namen, adressen en telefoonnummers van hem en zijn kind waren gelekt, wat leidde tot emotionele stress, vernietigde het Hooggerechtshof het oordeel van de oorspronkelijke rechtbank, het Hooggerechtshof van Osaka, en verwees de zaak terug omdat het proces niet volledig was uitgevoerd.

Voor de terugverwijzing, op 2 december 2015, verwierp de Himeji Branch van de Kobe District Court, de eerste instantie, de eis van de man, nadat zij hadden vastgesteld dat het onbetwiste feit dat de naam van de man die door Benesse werd beheerd was gelekt, en dat er geen voldoende concrete omstandigheden waren om dit te baseren op de nalatigheid van Benesse.

In reactie hierop erkende het beroep (het oordeel van het Hooggerechtshof van Osaka op 29 juni 2016), dat de man had aangespannen, dat de naam, geslacht, geboortedatum, postcode, adres, telefoonnummer en naam van de voogd (de naam van de appellant) van het kind van de appellant, die onder het beheer van de gedaagde stond, waren gelekt. Op basis hiervan werd gesteld dat de persoonlijke informatie van de appellant zelf, waaronder de naam, postcode, adres, telefoonnummer van de appellant en de namen, geslachten en geboortedata van zijn familieleden, was gelekt. Hoewel het erkende dat het lekken van de persoonlijke informatie van de appellant ongemak en angst kan veroorzaken volgens het algemene gevoel van een gewoon persoon, werd gesteld dat men niet onmiddellijk schadevergoeding kan eisen voor dergelijk ongemak, tenzij men schade heeft geleden die verder gaat dan dit ongemak. Het beroep werd verworpen op grond van het feit dat er geen bewijs was van dergelijke schade.

Het oordeel van de Hoge Raad

De appellant heeft beroep in cassatie ingesteld tegen dit oordeel, en de Hoge Raad heeft dit geaccepteerd. De Hoge Raad stelde dat de appellant door het lekken van informatie in zijn privacy was geschonden. Echter, de rechtbank van Osaka heeft de zaak afgewezen zonder voldoende onderzoek te doen naar de aanwezigheid en de mate van emotionele schade van de appellant door de inbreuk op de privacy. Ze baseerden hun beslissing enkel op het feit dat er geen bewijs was van schade die verder ging dan ongemak. De Hoge Raad oordeelde dat dit een verkeerde interpretatie en toepassing van de wetgeving met betrekking tot schade in onrechtmatige daad was, en dat het daarom illegaal was om geen volledig onderzoek te doen naar deze punten. Daarom heeft de Hoge Raad het oorspronkelijke vonnis vernietigd en de zaak teruggestuurd naar de rechtbank van Osaka voor verder onderzoek naar de aanwezigheid van nalatigheid van de gedaagde en de aanwezigheid en de mate van emotionele schade van de appellant (Hoge Raad, 23 oktober 2017 (Gregoriaanse kalender)).

https://monolith.law/reputatie/privacy-inbreuk[ja]

Oordeel van het beroep na verwijzing

In het beroep na verwijzing oordeelde het Hooggerechtshof van Osaka (vonnis van 20 november 2019 (Gregoriaanse kalender)) dat de betrokken werknemer persoonlijke informatie onrechtmatig had verkregen door een smartphone die compatibel is met MTP aan te sluiten op de USB-poort van een bedrijfscomputer met behulp van een USB-kabel en de gegevens over te dragen via MTP-communicatie, en deze vervolgens aan een adreslijstverkoper had verkocht. Ondanks dat het bedrijf Symform de plicht had om passende maatregelen te nemen, zoals het voorkomen dat MTP-compatibele smartphones in het kantoor werden gebracht en in contact kwamen met de betreffende persoonlijke informatie, werd dit nagelaten. Hierdoor werd geoordeeld dat er sprake was van nalatigheid. Benesse, die de verwerking van de betreffende persoonlijke informatie had toegestaan, had de plicht om Symform adequaat te controleren. Door deze plicht te schenden, werd geoordeeld dat het lek door de werknemer was veroorzaakt. Daarom werd geoordeeld dat beide bedrijven aansprakelijk zijn voor de schade die door deze onrechtmatige daad is veroorzaakt (Artikel 719, lid 1, eerste deel, van het Japanse Burgerlijk Wetboek).

Daarnaast werd geoordeeld dat in strijd met artikel 22 van de ‘Japanse Wet op de Bescherming van Persoonsgegevens’, dat stelt dat “een persoonlijke informatiebeheerder, wanneer hij de verwerking van geheel of gedeeltelijk persoonlijke gegevens uitbesteedt, de uitbestede partij adequaat en noodzakelijk moet controleren om de veilige beheer van de uitbestede persoonlijke gegevens te waarborgen”, de privacy was geschonden. Rekening houdend met het feit dat de naam, het adres en het telefoonnummer van de appellant openbaar waren gemaakt op websites en dergelijke, werd bevolen om 1000 yen te betalen als schadevergoeding.

Dit is de derde keer dat de aansprakelijkheid van Benesse wordt erkend. Aan het begin van dit artikel schreef ik dat “er in 2019 nieuwe ontwikkelingen waren in enkele rechtszaken over deze zaak”, maar alle drie de vonnissen die de aansprakelijkheid van Benesse erkenden, werden uitgesproken in 2019.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Het eerste rechtszaak waarin de verantwoordelijkheid van Benesse werd erkend

Oordeel van de eerste aanleg

Een man eiste een schadevergoeding voor emotioneel leed, omdat Benesse persoonlijke informatie over hem, zijn vrouw en zoon had gelekt. In het beroepsvonnis werd voor het eerst de verantwoordelijkheid van Benesse erkend.

In de eerste aanleg (Yokohama District Court, 16 februari 2017 (2017)) werd erkend dat Benesse zijn zorgplicht had geschonden, maar er was geen bewijs van specifieke feiten die voldoende waren om te erkennen dat het bedrijf de verplichting had geschonden om de behandeling van persoonlijke gegevens te begrijpen. Daarom werd de eis tegen Benesse afgewezen en ging de man in beroep.

In de eerste aanleg werd gesteld dat, hoewel Benesse een aanbeveling had ontvangen van de Minister van Economie, Handel en Industrie voor het niet nakomen van zijn verplichtingen onder de artikelen 20 en 22 van de Japanse Wet op de Bescherming van Persoonsgegevens, en het lekken van informatie had veroorzaakt, een aanbeveling op grond van artikel 34, lid 1, van de Wet alleen wordt gedaan wanneer het noodzakelijk wordt geacht om de rechten en belangen van individuen te beschermen. Het is niet bedoeld om de aanwezigheid of schending van de plicht om de gevolgen te voorzien of te voorkomen op het moment van het lekken van informatie te vereisen. Daarom is het feit dat een aanbeveling is gedaan niet voldoende om te erkennen dat Benesse nalatig was onder artikel 709 van het Japanse Burgerlijk Wetboek op het moment dat de informatie werd gelekt.

Oordeel van het beroep

In reactie hierop oordeelde het Tokyo High Court (27 juni 2019 (2019)) in het beroep dat, uitgaande van het feit dat het een eenvoudige misdaad was die werd uitgevoerd door simpelweg een smartphone aan te sluiten op een bedrijfscomputer met een commercieel verkrijgbare USB-kabel om deze op te laden, en het mogelijk was om gegevens over te dragen, het bedrijf Synform een zorgplicht had om schrijfbeveiligingsmaatregelen te nemen voor MTP-compatibele smartphones, maar deze had verwaarloosd. Benesse, die een groot aantal persoonlijke gegevens had toevertrouwd aan het beheer, had op het moment van het lek een zorgplicht om passend toezicht te houden op de aannemer met betrekking tot het beheer van persoonlijke informatie, maar had deze verwaarloosd. Deze onrechtmatige daden van beide bedrijven werden beschouwd als gezamenlijke onrechtmatige daden (artikel 719, lid 1, eerste zin, van het Japanse Burgerlijk Wetboek).

Vervolgens stelde het hof dat “het natuurlijk is dat de appellanten niet willen dat deze persoonlijke informatie willekeurig wordt onthuld aan anderen die ze niet willen, dus deze persoonlijke informatie is onderwerp van wettelijke bescherming als informatie met betrekking tot de privacy van de appellanten, en door dit lek zijn de privacy van de appellanten geschonden”. Op basis hiervan, na het ontdekken van het lek, begon het bedrijf onmiddellijk met het nemen van maatregelen, nam maatregelen om de uitbreiding van de schade door het lekken van informatie te voorkomen, en voerde een onderzoeksrapport uit op basis van rapporten en instructies aan de toezichthoudende autoriteiten. Bovendien, het bedrijf stuurde een verontschuldigingsbrief naar klanten die dachten dat hun informatie was gelekt, en afhankelijk van de keuze, verdeelde het vouchers ter waarde van 500 yen, en de appellanten ontvingen elk 500 yen aan elektronisch geld. Rekening houdend met deze feiten, beval het hof Benesse om elk 2000 yen aan schadevergoeding te betalen.

Tweede rechtszaak waarin de verantwoordelijkheid van Benesse werd erkend

Op 6 september 2019 (Heisei 31) werd er een uitspraak gedaan in de Tokyo District Court in een rechtszaak waarin 13 klanten in totaal 980.000 yen aan schadevergoeding eisten van het bedrijf en zijn gelieerde ondernemingen. Benesse en Shinform werden bevolen om per persoon 3.000 yen (één persoon ontving 3.300 yen) te betalen, in totaal 42.300 yen.

De rechtbank erkende niet de verantwoordelijkheid van Benesse voor Shinform, zoals geëist door de eisers, omdat het een aparte entiteit is. Echter, Shinform had de instellingen van hun beveiligingssoftware niet herzien, waardoor het mogelijk was om gegevens over te dragen van bedrijfscomputers naar MTP-compatibele smartphones. Daarom werd geoordeeld dat er sprake was van nalatigheid door het overtreden van de verplichting tot controle op het uitschrijven van informatie. Benesse had de verantwoordelijkheid om een geschikte opdrachtnemer te selecteren en toezicht te houden op deze selectie, ook ten opzichte van klanten, waaronder de eisers, volgens de regels van goed vertrouwen, bij het uitbesteden van de behandeling van grote hoeveelheden klantinformatie voor de ontwikkeling van het systeem. De rechtbank erkende een gezamenlijke onrechtmatige daad (Artikel 719, lid 1, eerste deel, van het Japanse Burgerlijk Wetboek) en beval hen om de eisers gezamenlijk een schadevergoeding te betalen.

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

In dit vonnis werd ook verwezen naar artikel 22 van de Japanse Wet op de Bescherming van Persoonsgegevens, dat stelt: “Wanneer een persoonlijke informatiebeheerder het geheel of een deel van de behandeling van persoonlijke gegevens uitbesteedt, moet hij ervoor zorgen dat de veiligheid van de uitbestede persoonlijke gegevens wordt gewaarborgd door noodzakelijk en passend toezicht uit te oefenen op de persoon die de opdracht heeft gekregen.” Bovendien werd erop gewezen dat de “noodzakelijke en passende supervisie” in de richtlijnen van het Ministerie van Economie, Handel en Industrie van 2009 (Heisei 21) omvat het selecteren van een geschikte opdrachtnemer, het sluiten van een noodzakelijk contract met de opdrachtnemer om de naleving van de veiligheidsmaatregelen op grond van artikel 20 van de Wet op de Bescherming van Persoonsgegevens te waarborgen, en het begrijpen van de behandeling van de uitbestede persoonlijke gegevens door de opdrachtnemer.

Samenvatting

Hoewel Benesse oorspronkelijk 20 miljard yen had gereserveerd als compensatie voor de slachtoffers, bleek dit onvoldoende te zijn. In november 2014 heeft de Japanse Vereniging voor de Bevordering van de Informatie-economie en de Samenleving (JIPDEC) het Privacy Mark, dat wordt toegekend aan bedrijven die persoonlijke informatie correct beheren, ingetrokken van Benesse Holdings. In april 2015 was het aantal leden van ‘Shinken Seminar’ en ‘Kodomo Challenge’ 2,71 miljoen, een daling van 940.000 ten opzichte van dezelfde maand vorig jaar. De geconsolideerde resultaten voor de periode van april tot juni toonden een omzetdaling van 7% ten opzichte van dezelfde periode vorig jaar, en een operationele winstdaling van 88%. Het operationele resultaat veranderde van een winst van 3,91 miljard yen in dezelfde periode vorig jaar naar een verlies van 430 miljoen yen. Het risico van schadevergoeding als gevolg van het lekken van persoonlijke informatie kan een kwestie van leven of dood zijn voor bedrijven.