Ryzyko wycieku danych osobowych w firmach i ryzyko odszkodowań

Ryzyka związane z zarządzaniem firmą obejmują kryzys zarządzania, wypadki spowodowane naruszeniem obowiązku zapewnienia bezpieczeństwa przez firmę, ale w ostatnich latach duży problem stanowi również ryzyko wycieku danych osobowych i wynikających z tego odszkodowań.

Tokyo Shoko Research donosi, że w 2019 roku 66 spółek giełdowych i ich spółek zależnych ujawniło wypadki związane z wyciekiem lub utratą danych osobowych. Liczba takich incydentów wyniosła 86, a liczba wyciekłych danych osobowych osiągnęła 9 031 734. Jeśli dodamy do tego firmy niepubliczne, zagraniczne, agencje rządowe, samorządy lokalne i szkoły, liczba ta może wzrosnąć do astronomicznych rozmiarów.

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Wśród wypadków związanych z wyciekiem lub utratą danych osobowych, największy do tej pory miał miejsce w lipcu 2014 roku, kiedy to ujawniono, że pracownik firmy zlecającej Benesse Holdings (Benesse Corporation) nielegalnie zdobył dane osobowe 35 040 000 klientów. W 2019 roku w kilku procesach sądowych związanych z tą sprawą pojawiły się nowe rozwinięcia.
Podczas analizowania problemu Benesse, zastanówmy się nad ryzykiem wycieku danych osobowych przez firmy i odszkodowań.

Co to jest incydent z wyciekiem danych osobowych Benesse?

Około czerwca 2014 roku, klienci Benesse zaczęli otrzymywać bezpośrednie maile od firmy oferującej edukację na odległość “Just System”. Zaczęły pojawiać się pytania, czy nie korzystają oni z informacji osobowych zarejestrowanych tylko w Benesse, czy informacje osobowe nie wyciekły z Benesse.

27 czerwca Benesse rozpoczęło wewnętrzne dochodzenie, 30 czerwca zgłosiło sprawę policji i Ministerstwu Gospodarki, Handlu i Przemysłu, a 9 lipca na konferencji prasowej ogłosiło, że wyciekły informacje osobowe, takie jak imiona i nazwiska dzieci i ich opiekunów, adresy, numery telefonów, płeć, daty urodzenia, związane z kursem przygotowawczym Shinkenzemi.

17 lipca, 39-letni inżynier systemowy, który zarządzał systemem baz danych firmy i miał dostęp do informacji o klientach w firmie Synform, która była zobowiązana do zarządzania informacjami o klientach w firmie powiązanej z Benesse, został aresztowany pod zarzutem wywożenia informacji osobowych i sprzedaży ich firmie zajmującej się listami mailingowymi.

We wrześniu Benesse na konferencji prasowej ogłosiło, że liczba przypadków wycieku informacji o klientach wynosi 35,04 miliona, i że już przygotowano 20 miliardów jenów jako odszkodowanie dla ofiar wycieku informacji osobowych. Ponownie wysłano listy z przeprosinami do klientów, których wyciek został potwierdzony, i ogłoszono, że w zależności od wyboru klientów, zostaną wysłane bony o wartości 500 jenów (elektroniczny bon podarunkowy lub karta książkowa o zasięgu ogólnokrajowym), lub 500 jenów za każdy przypadek wycieku zostanie przekazane na fundację Benesse Children’s Foundation, założoną w celu wsparcia dzieci, które ucierpiały w wyniku tego wycieku.

W odpowiedzi na to, niektóre ofiary utworzyły kilka grup adwokackich i wnieśli zbiorowe pozwy. W 2019 roku (rok 31 Heisei) zauważono kilka ruchów w tej sprawie. W sprawie kryminalnej, inżynier systemowy, który został oskarżony o wywożenie informacji osobowych i naruszenie prawa o zapobieganiu nieuczciwej konkurencji (kopiowanie i ujawnianie tajemnic handlowych), został skazany na 2,5 roku więzienia i grzywnę 3 milionów jenów bez zawieszenia wykonania kary w wyroku Sądu Najwyższego w Tokio z dnia 21 marca 2017 roku (rok 29 Heisei).

Decyzja Sądu Najwyższego i apelacja po jej odrzuceniu

Mężczyzna, który cierpiał psychicznie z powodu wycieku swojego i swojego dziecka imienia, adresu, numeru telefonu itp., złożył pozew przeciwko Benesse, domagając się 100 000 jenów odszkodowania. Sąd Najwyższy unieważnił wyrok Sądu Okręgowego w Osace, który był sądem pierwszej instancji, twierdząc, że nie przeprowadził pełnego postępowania i odesłał sprawę.

Sąd Okręgowy w Kobe, Himeji Branch, który był sądem pierwszej instancji przed odesłaniem, uznał 2 grudnia 2015 roku (2015), że nie ma sporu co do faktu, że imię i nazwisko mężczyzny, które Benesse zarządzało, wyciekło, ale nie było wystarczających dowodów na to, że było to wynikiem zaniedbania Benesse, i odrzucił roszczenie mężczyzny.

W odpowiedzi na to, mężczyzna odwołał się do sądu apelacyjnego (wyrok Sądu Okręgowego w Osace z dnia 29 czerwca 2016 roku (2016)), który uznał, że imię i nazwisko dziecka powoda, płeć, data urodzenia, kod pocztowy, adres, numer telefonu i imię i nazwisko opiekuna (imię i nazwisko powoda), które były zarządzane przez pozwanego, wyciekły. Na tej podstawie stwierdzono, że można uznać, że wyciekły informacje osobowe powoda, takie jak imię i nazwisko powoda, kod pocztowy, adres, numer telefonu i imię i nazwisko członka rodziny, płeć, data urodzenia. Jednak, mimo że uznano, że wyciek informacji osobowych powoda może powodować nie tylko dyskomfort, ale także niepokój dla przeciętnego człowieka, nie można domagać się odszkodowania za sam dyskomfort, itp., a odwołanie zostało odrzucone z powodu braku dowodów na szkodę przekraczającą ten dyskomfort, itp.

Decyzja Sądu Najwyższego

Kiedy powód złożył wniosek o przyjęcie apelacji, Sąd Najwyższy przyjął go i stwierdził, że mimo że powód mógł naruszyć swoją prywatność z powodu wycieku, Sąd Okręgowy w Osace odrzucił roszczenie powoda bez pełnego rozpatrzenia kwestii, czy powód doznał szkody psychicznej z powodu naruszenia prywatności i jaki był stopień tej szkody, itp., tylko na podstawie faktu, że nie było dowodów na wystąpienie szkody przekraczającej dyskomfort, itp. Sąd Najwyższy uznał, że taka decyzja sądu pierwszej instancji była nielegalna, ponieważ błędnie zinterpretowała i zastosowała przepisy prawne dotyczące szkód w delikcie, i nie przeprowadziła pełnego postępowania w tej sprawie, i unieważniła oryginalny wyrok, odesławszy sprawę do Sądu Okręgowego w celu dalszego rozpatrzenia kwestii, czy pozwany był winny i czy powód doznał szkody psychicznej i jaki był stopień tej szkody, itp. (wyrok Sądu Najwyższego z dnia 23 października 2017 roku (2017)).

https://monolith.law/reputation/privacy-invasion[ja]

Decyzja apelacyjna po odesłaniu

Sąd Okręgowy w Osace (wyrok z dnia 20 listopada 2019 roku (2019)) stwierdził w postępowaniu po odesłaniu, że pracownik w tej sprawie nielegalnie zdobył informacje osobowe za pomocą metody transferu danych za pomocą komunikacji MTP, łącząc smartfon obsługujący MTP z komputerem służbowym za pomocą kabla USB do portu USB, i sprzedał je do firmy zajmującej się listami adresowymi. Synform miał obowiązek podjąć odpowiednie środki, takie jak zapobieganie wprowadzeniu smartfonów obsługujących MTP do powyższego biura i dostępu do informacji osobowych w tej sprawie, ale zaniedbał to, co stanowi zaniedbanie. Benesse naruszył swoje obowiązki nadzoru nad Synform, który zezwolił na korzystanie z tych informacji osobowych, co doprowadziło do wycieku przez pracownika. Dlatego Benesse jest odpowiedzialny za szkody wynikłe z tego deliktu, ponieważ stanowi to wspólne delikty obu firm (Artykuł 719, ustęp 1, pierwsze zdanie, Kodeksu Cywilnego).

Następnie, naruszając przepis art. 22 Ustawy o ochronie informacji osobowych, który stanowi, że “gdy operator informacji osobowych powierza całość lub część obsługi danych osobowych, musi przeprowadzić niezbędne i odpowiednie nadzór nad osobą, której powierzono obsługę, aby zapewnić bezpieczne zarządzanie danymi osobowymi”, a jednocześnie uznając, że naruszono prywatność, biorąc pod uwagę, że adres, imię i nazwisko oraz numer telefonu powoda były ujawnione na stronie internetowej itp., nakazał zapłatę 1000 jenów jako odszkodowanie.

Ten proces jest trzecim przykładem uznania odpowiedzialności Benesse za odszkodowanie. Na początku tego artykułu napisałem, że “w 2019 roku (2019) w kilku procesach dotyczących tej sprawy pojawiły się nowe rozwinięcia”, ale wszystkie trzy wyroki uznające odpowiedzialność Benesse za odszkodowanie zostały wydane w 2019 roku (2019).

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Pierwszy przypadek sądowy, który uznał odpowiedzialność firmy Benesse

Decyzja sądu pierwszej instancji

Mężczyzna domagał się odszkodowania za cierpienie psychiczne spowodowane wyciekiem jego danych osobowych, jak również jego żony i syna, przez firmę Benesse. W wyroku apelacyjnym, po raz pierwszy, uznano odpowiedzialność firmy Benesse.

Sąd pierwszej instancji (Sąd Okręgowy w Jokohamie, wyrok z dnia 16 lutego 2017 roku) uznał, że Benesse naruszył obowiązek zwracania uwagi, ale odrzucił roszczenie przeciwko Benesse, ponieważ nie było wystarczających dowodów na konkretny fakt naruszenia obowiązku monitorowania sposobu przetwarzania danych osobowych, co skłoniło mężczyznę do odwołania się.

W pierwszej instancji, mimo że Benesse otrzymało zalecenie na podstawie artykułu 34 ust. 1 Japońskiej Ustawy o Ochronie Danych Osobowych (Japanese Personal Information Protection Act) za zaniedbanie obowiązków wynikających z artykułów 20 i 22 tej ustawy, które doprowadziły do wycieku informacji, zalecenie na podstawie tego artykułu jest wydawane tylko wtedy, gdy uznaje się to za konieczne do ochrony praw i interesów jednostki, a nie wymaga istnienia lub naruszenia obowiązku przewidywania wyników lub obowiązku unikania wyników w momencie wycieku informacji. Dlatego samo wydanie zalecenia nie jest wystarczające do uznania, że Benesse miało winę na podstawie artykułu 709 Kodeksu Cywilnego (Japanese Civil Code) w momencie wycieku informacji.

Decyzja sądu apelacyjnego

W odpowiedzi na to, sąd apelacyjny, czyli Sąd Najwyższy w Tokio (wyrok z dnia 27 czerwca 2019 roku), przyjął jako fakt, że nie była to zbrodnia wymagająca zastosowania zaawansowanej wiedzy lub specjalistycznych umiejętności, ale prosta zbrodnia, która została popełniona po prostym podłączeniu smartfona do komputera służbowego za pomocą komercyjnego kabla USB do ładowania, co umożliwiło transfer danych. Uznano, że firma Synform miała obowiązek zastosować środki kontroli wyjścia dla smartfonów obsługujących MTP, ale zaniedbała to, a Benesse, która powierzyła zarządzanie dużą ilością danych osobowych, miała obowiązek odpowiednio nadzorować kontrahenta w zakresie zarządzania danymi osobowymi w momencie wycieku, ale zaniedbała to. Uznano, że te nielegalne działania obu firm stanowią wspólne działanie niezgodne z prawem (artykuł 719 ust. 1 pierwsze zdanie Kodeksu Cywilnego).

Następnie stwierdzono, że “apelanci naturalnie nie chcieliby, aby te dane osobowe były bezmyślnie ujawniane osobom, których nie chcą, więc te dane osobowe są przedmiotem ochrony prawnej jako informacje dotyczące prywatności apelantów, a wyciek tych danych naruszył ich prywatność”. Na tej podstawie, po odkryciu wycieku, natychmiast rozpoczęto działania, podjęto środki mające na celu zapobieganie rozszerzeniu szkód spowodowanych wyciekiem informacji, przeprowadzono badania na podstawie zgłoszeń i instrukcji od organów nadzorczych. Ponadto, przesłano listy z przeprosinami do klientów, którzy prawdopodobnie mieli wyciek informacji, a także rozdano bony o wartości 500 jenów, zgodnie z wyborem. Biorąc pod uwagę, że apelanci otrzymali również elektroniczne prezenty pieniężne o wartości 500 jenów, nakazano Benesse zapłacić każdemu z nich 2000 jenów odszkodowania.

Drugi wyrok uznający odpowiedzialność firmy Benesse

Wyrok w sprawie, w której 13 klientów domagało się od firmy i jej powiązanych spółek odszkodowania w wysokości łącznie 980 000 jenów, zapadł 6 września 2019 roku (rok 2019 według kalendarza gregoriańskiego) w Sądzie Okręgowym w Tokio. Firma Benesse i spółka Shinform zostały zobowiązane do zapłaty 3000 jenów od osoby (jedna osoba otrzymała 3300 jenów), co łącznie wyniosło 42 300 jenów.

Sąd nie uznał odpowiedzialności firmy Benesse jako pracodawcy wobec spółki Shinform, jako że są to odrębne podmioty prawne. Jednakże stwierdził, że spółka Shinform ponosi winę za naruszenie obowiązku kontroli przepływu informacji, ponieważ nie dokonała przeglądu ustawień oprogramowania zabezpieczającego, co umożliwiło transfer danych z komputera służbowego na smartfon z obsługą MTP. Sąd uznał, że Benesse powinna ponosić odpowiedzialność za wybór i nadzór nad podmiotem, któremu powierzyła obsługę dużej ilości danych klientów, w tym danych powodów, zgodnie z zasadą dobrej wiary, podczas rozwijania systemu. Sąd uznał, że obie firmy dopuściły się wspólnego czynu niedozwolonego (zgodnie z art. 719 ust. 1 Kodeksu Cywilnego Japonii) i nakazał im solidarną zapłatę odszkodowania powodom.

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

W tym wyroku również zacytowano artykuł 22 japońskiej Ustawy o ochronie danych osobowych, który stanowi, że “operatorzy danych osobowych, którzy powierzają przetwarzanie wszystkich lub części danych osobowych, muszą zapewnić odpowiedni i skuteczny nadzór nad osobą, której powierzono przetwarzanie danych, aby zapewnić bezpieczeństwo przetwarzanych danych”. Wyrok wskazuje również na wytyczne Ministerstwa Gospodarki, Handlu i Przemysłu z 2009 roku (rok 2009 według kalendarza gregoriańskiego), które określają, że “odpowiedni i skuteczny nadzór” obejmuje odpowiedni dobór podmiotu, z którym powierza się przetwarzanie danych, zawarcie odpowiedniej umowy z podmiotem, aby zapewnić przestrzeganie środków bezpieczeństwa określonych w artykule 20 Ustawy o ochronie danych osobowych, oraz monitorowanie sposobu przetwarzania powierzonych danych osobowych przez podmiot.

Podsumowanie

Początkowo Benesse przygotowało 20 miliardów jenów jako fundusz rekompensat dla ofiar, jednak okazało się to niewystarczające. W listopadzie 2014 roku, Japońskie Stowarzyszenie Promocji Społeczeństwa Informacyjno-Gospodarczego anulowało “Znak Prywatności”, przyznawany firmom odpowiednio zarządzającym danymi osobowymi, który posiadało Benesse Holdings. W kwietniu 2015 roku liczba członków “Shinken Seminar” i “Kodomo Challenge” wynosiła 2,71 miliona, co oznaczało spadek o 940 tysięcy w porównaniu do tego samego miesiąca w poprzednim roku. Skonsolidowany bilans na okres od kwietnia do czerwca wykazał, że przychody spadły o 7% w porównaniu do tego samego okresu w poprzednim roku, a zysk operacyjny spadł o 88%. Zysk operacyjny spadł z 3,91 miliarda jenów z poprzedniego roku do 430 milionów jenów straty. Ryzyko odszkodowań za wyciek danych osobowych może stanowić dla firm kwestię życia i śmierci.