Risikoen for personlig informasjonslekkasje og skadeerstatning i bedrifter

Risikoene som omgir bedriftsledelse inkluderer ledelseskriser og ulykker forårsaket av brudd på bedriftens sikkerhetsforpliktelser. Imidlertid har risikoen for lekkasje av personopplysninger og derav følgende erstatningskrav blitt et stort problem i de senere år.

Tokyo Shoko Research rapporterer at i 2019 offentliggjorde 66 børsnoterte selskaper og deres datterselskaper lekkasjer og tap av personopplysninger. Antall ulykker var 86, og antall lekkede personopplysninger nådde 9,031,734. Hvis vi legger til private selskaper, utenlandske selskaper, offentlige etater, lokale myndigheter og skoler, kan antallet potensielt bli astronomisk.

https://monolith-law.jp/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Blant lekkasjer og tap av personopplysninger, er den største fortsatt den som ble avdekket i juli 2014, hvor 35,04 millioner personopplysninger ble lekket fra Benesse Holdings (Benesse Corporation) på grunn av ulovlig tilegnelse av kundeinformasjon av en ansatt hos en underleverandør. I 2019 var det flere nye utviklinger i rettssaker knyttet til denne hendelsen.
La oss tenke over risikoen for lekkasje av personopplysninger og erstatningskrav mens vi sorterer ut problemene med Benesse.

Hva er Benesse personlig informasjonslekkasje hendelsen?

Rundt juni 2014 begynte Benesses kunder å motta direkte post fra kommunikasjonsutdanningsselskapet “Just System”. Dette førte til en økning i henvendelser om hvorvidt de brukte personlig informasjon registrert kun hos Benesse, og om det var en lekkasje av personlig informasjon fra Benesse.

Den 27. juni startet Benesse en intern undersøkelse, og den 30. juni rapporterte de til politiet og departementet for økonomi, handel og industri. Den 9. juli holdt de en pressekonferanse og kunngjorde at personlig informasjon, som navn, adresse, telefonnummer, kjønn og fødselsdato for barn og deres foresatte som var registrert i deres Zemi kurs, hadde lekket ut.

Den 17. juli ble en 39 år gammel systemingeniør som hadde tilgang til kundeinformasjon og som var ansvarlig for databasestyring hos Synform, et selskap som Benesse hadde outsourcet kundeinformasjonsstyring til, arrestert. Han ble anklaget for å ha tatt med seg personlig informasjon og solgt den til en listeoperatør.

I september holdt Benesse en pressekonferanse og kunngjorde at antallet kundeinformasjonslekkasjer var 35,04 millioner. De hadde allerede forberedt 20 milliarder yen for kompensasjon til ofrene for personlig informasjonslekkasje. De sendte en unnskyldning til kundene som hadde fått bekreftet lekkasje, og kunngjorde at de ville implementere kompensasjon ved å sende en kupong verdt 500 yen (enten som elektronisk penger gave eller en nasjonalt gyldig bokkort), eller donere 500 yen per lekkasje til Benesse Children’s Foundation, en stiftelse etablert for å støtte barn som et resultat av denne lekkasjen, i henhold til kundenes valg.

Enkelte ofre dannet flere advokatgrupper og reiste gruppesøksmål. Det var noen bevegelser i forhold til dette i 2019. Som en kriminalsak, i straffesaken mot systemingeniøren som ble anklaget for å ha tatt med seg personlig informasjon og brudd på loven om forebygging av urettferdig konkurranse (reproduksjon og avsløring av forretningshemmeligheter), ble det i en dom fra Tokyo High Court den 21. mars 2017 (Heisei 29) fastslått en endelig dom på 2,5 års fengsel og en bot på 3 millioner yen uten betinget dom.

Høyesteretts avgjørelse og ankeprosessen

En mann og hans barns navn, adresse, telefonnummer, etc. ble lekket, noe som førte til psykisk lidelse. I søksmålet der mannen personlig krevde 100 000 yen i kompensasjon fra Benesse, opphevet Høyesterett dommen fra Osaka High Court, som var den opprinnelige retten, og sendte saken tilbake fordi den ikke hadde blitt fullt ut undersøkt.

Før anken ble sendt tilbake, bekreftet Himeji Branch of Kobe District Court, som var den første instansen, den 2. desember 2015 (Heisei 27), at det var en ubestridt faktum at mannens navn, som Benesse administrerte, hadde blitt lekket. Imidlertid avviste de mannens krav fordi det ikke var noen påstander eller bevis for spesifikke omstendigheter som kunne grunnlegge at dette var på grunn av Benesses uaktsomhet.

I respons til dette, i ankeprosessen (dom av Osaka High Court 29. juni 2016 (Heisei 28)), bekreftet de at appellants barns navn, kjønn, fødselsdato, postnummer, adresse, telefonnummer, og navnet på vergen (appellants navn) som ble administrert av den anklagede, hadde blitt lekket. På denne bakgrunn konkluderte de med at appellants personlige informasjon, inkludert navn, postnummer, adresse, telefonnummer og navn, kjønn og fødselsdato for familiemedlemmer, hadde blitt lekket. De anerkjente at lekkasjen av appellants personlige informasjon, i lys av den generelle oppfatningen av en vanlig person, kunne føre til ubehag og angst. Imidlertid, bare å føle slik ubehag, etc., kan ikke umiddelbart kreve erstatning som en krenket fordel. Derfor avviste de anken fordi det ikke var noen påstander eller bevis for skade utover det nevnte ubehaget, etc.

Høyesteretts avgjørelse

Da ankeparten søkte om å få anken godkjent, aksepterte Høyesterett dette og uttalte at ankeparten hadde fått sitt privatliv krenket som følge av lekkasjen. Likevel hadde Osaka Høyesterett avvist ankepartens krav uten å undersøke tilstrekkelig om det var noen psykisk skade på ankeparten på grunn av krenkelsen av privatlivet, og omfanget av slik skade, basert kun på det faktum at det ikke var fremlagt bevis for skade utover ubehag. Høyesterett uttalte at denne avgjørelsen fra førsteinstansretten var ulovlig fordi den ikke hadde fullført undersøkelsen av ovennevnte punkter som et resultat av feilaktig tolkning og anvendelse av loven om skade i ulovlige handlinger, og opphevet den opprinnelige dommen. For å ytterligere undersøke om det var noen uaktsomhet fra den anklagede og om det var noen psykisk skade på ankeparten og omfanget av slik skade, ble saken sendt tilbake til Høyesterett (Høyesterettsdom 23. oktober 2017 (2017)).

https://monolith-law.jp/reputation/privacy-invasion[ja]

Vurdering av anke i tilbakeføringsfasen

I tilbakeføringsfasen konkluderte Osaka High Court (20. november 2019) med at den ansatte i denne saken ulovlig skaffet personlig informasjon ved å koble en MTP-kompatibel smarttelefon til en arbeids-PC via en USB-port med en USB-kabel og overføre data via MTP-kommunikasjon, og deretter solgte den til en registeroperatør. Imidlertid hadde Synform Company en plikt til å ta passende tiltak, som å forhindre at MTP-kompatible smarttelefoner ble brakt inn i kontoret og komme i kontakt med den personlige informasjonen, men de forsømte denne plikten. Det ble funnet at de var uaktsomme i denne forbindelse. Benesse hadde brutt sin plikt til å overvåke Synform Company, som de tillot å håndtere den personlige informasjonen de styrte, noe som resulterte i en lekkasje av informasjon av en ansatt. Derfor ble det konkludert med at de begge hadde et felles ansvar for ulovlig handling (Artikkel 719, paragraf 1 i den japanske sivilloven) for skaden som oppstod som et resultat av dette.

Det ble også funnet at de hadde brutt artikkel 22 i den japanske personvernloven, som sier at “når en personlig informasjonshåndteringsoperatør delegerer hele eller deler av håndteringen av personlig informasjon, må de utføre nødvendig og passende tilsyn med den delegerte for å sikre sikker håndtering av den personlige informasjonen”. Mens det ble anerkjent at personvernet deres hadde blitt krenket, ble det beordret en betaling på 1000 yen i erstatning, med tanke på at appellanten sin adresse, navn og telefonnummer hadde blitt offentliggjort på nettsteder og lignende.

Dette er den tredje dommen som anerkjenner Benesses erstatningsansvar. I begynnelsen av denne artikkelen skrev vi at “i 2019 så vi noen nye utviklinger i rettssaker rundt denne saken”. Alle de tre dommene som anerkjenner Benesses erstatningsansvar, ble utstedt i 2019.

https://monolith-law.jp/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Den første rettssaken som anerkjente Benesses ansvar

Dom i første instans

En mann hevdet at han hadde lidd psykisk nød som følge av at Benesse hadde lekket hans, hans kones og sønns personlige informasjon til eksterne parter. I en ankeavgjørelse der mannen søkte kompensasjon for tort og svie, ble Benesses ansvar anerkjent for første gang.

I første instans (Yokohama District Court, 16. februar 2017) ble det anerkjent at Benesse hadde brutt sin plikt til å utvise forsiktighet, men ettersom det ikke var tilstrekkelig bevis for konkrete fakta som ville anerkjenne at de hadde brutt sin plikt til å forstå håndteringen av personlige data, ble mannens krav mot Benesse avvist, og han anket.

I første instans ble det påpekt at selv om Benesse hadde mottatt en anbefaling basert på paragraf 34, avsnitt 1 i den japanske personvernloven for å ha forsømt sine plikter under paragraf 20 og 22 i samme lov, og dermed forårsaket denne informasjonslekkasjen, er en anbefaling basert på denne paragrafen gitt når det er nødvendig for å beskytte individets rettigheter og interesser. Det krever ikke eksistensen eller brudd på en plikt til å forutse eller unngå resultater på tidspunktet for informasjonslekkasjen. Derfor er det ikke tilstrekkelig å anerkjenne at Benesse var uaktsom i henhold til paragraf 709 i den japanske sivilloven på tidspunktet for informasjonslekkasjen, bare fordi en slik anbefaling ble gitt.

Ankeinstansens dom

Derimot, i ankeinstansen, Tokyo High Court (27. juni 2019), ble det anerkjent at det var uaktsomhet i at Synform Company ikke hadde tatt skrivekontrolltiltak for MTP-kompatible smarttelefoner, til tross for at dette var en enkel forbrytelse som ble utført ved å bare koble en smarttelefon til en arbeids-PC med en kommersielt tilgjengelig USB-kabel for å lade den, og deretter overføre dataene fordi det var mulig. Det ble også anerkjent at Benesse, som hadde delegert håndteringen av store mengder personlig informasjon, hadde vært uaktsom ved ikke å utøve passende tilsyn med kontraktsparter i forhold til håndteringen av personlig informasjon på tidspunktet for lekkasjen. Disse ulovlige handlingene av de to selskapene ble ansett som felles ulovlige handlinger (paragraf 719, avsnitt 1, første ledd i den japanske sivilloven).

Deretter uttalte de at “det er naturlig for ankeinstansen å tenke at de ikke vil at denne personlige informasjonen skal bli vilkårlig avslørt for andre som de ikke ønsker. Derfor er denne personlige informasjonen gjenstand for juridisk beskyttelse som informasjon relatert til ankeinstansens personvern, og det bør sies at deres personvern har blitt krenket av denne lekkasjen.” På grunnlag av dette, etter at lekkasjen ble oppdaget, startet de umiddelbart responsen, tok tiltak for å forhindre ytterligere skade fra informasjonslekkasjen, og rapporterte og undersøkte basert på instruksjoner fra tilsynsmyndighetene. De sendte også et unnskyldningsbrev til kunder som de trodde informasjonen hadde lekket til, og distribuerte gavekort til en verdi av 500 yen etter eget valg. Med tanke på at ankeinstansen også mottok en elektronisk pengegave på 500 yen hver, beordret de Benesse til å betale hver av dem 2000 yen i erstatning.

Den andre rettssaken der Benesse ble holdt ansvarlig

En dom i en søksmål der 13 kunder krevde totalt 980 000 yen i erstatning fra selskapet og dets tilknyttede selskaper, ble avsagt i Tokyo District Court den 6. september 2019 (Gregoriansk kalender). Benesse og Shinform ble pålagt å betale 3000 yen per person (3300 yen for én person), totalt 42 300 yen.

Retten anerkjente ikke Benesses ansvar overfor Shinform, som de hadde engasjert, siden det er et separat selskap. Men det ble påpekt at Shinform hadde vært uaktsom ved å ikke revidere innstillingene for sikkerhetsprogramvaren, noe som gjorde det mulig å overføre data fra en arbeids-PC til en MTP-kompatibel smarttelefon. Dermed hadde de brutt plikten til å kontrollere informasjonsutskrift. Videre ble det fastslått at Benesse, ved å delegere håndteringen av store mengder kundeinformasjon for utvikling av systemet, hadde et ansvar for å velge og overvåke tjenesteleverandøren i henhold til prinsippet om god tro, også overfor kunder, inkludert saksøkerne. Retten anerkjente deres felles ulovlige handling (Artikkel 719, paragraf 1 i den japanske sivilloven) og beordret dem til å betale erstatning til saksøkerne.

https://monolith-law.jp/reputation/employer-liability-responsibility-in-defamation[ja]

I denne dommen ble det også sitert fra Artikkel 22 i den japanske personvernloven, som sier at “når en personopplysningsbehandler delegerer hele eller deler av håndteringen av personopplysninger, må de utføre nødvendig og passende tilsyn med den personen som har mottatt delegasjonen for å sikre sikker håndtering av personopplysningene.” Det ble også påpekt at “nødvendig og passende tilsyn” i retningslinjene fra Ministry of Economy, Trade and Industry (2009) inkluderer å velge tjenesteleverandøren på en passende måte, inngå nødvendige kontrakter for å sikre at tjenesteleverandøren overholder sikkerhetstiltakene i Artikkel 20 i personvernloven, og å forstå hvordan den delegerte personopplysningen håndteres av tjenesteleverandøren.

Oppsummering

Benesse hadde opprinnelig forberedt 20 milliarder yen som kompensasjon til ofrene, men det viste seg å være utilstrekkelig. I november 2014 trakk Japan Information Economy Society Promotion Association tilbake personvernsmerket som Benesse Holdings hadde oppnådd, som blir gitt til selskaper som håndterer personlig informasjon på en passende måte. Medlemstallet for “Shinken Seminar” og “Children’s Challenge” i april 2015 var 2,71 millioner, en nedgang på 940 000 sammenlignet med samme måned året før. Konsolidert resultat for perioden fra april til juni viste en 7% nedgang i salgsinntekter sammenlignet med samme periode året før, og en 88% nedgang i driftsinntekt. Driftsresultatet gikk fra et overskudd på 3,91 milliarder yen i samme periode året før, til et underskudd på 430 millioner yen. Risikoen for erstatning for skade som følge av lekkasje av personlig informasjon kan potensielt være et spørsmål om liv eller død for et selskap.