Риск утечки персональных данных компании и возмещения ущерба

Среди рисков, окружающих управление предприятием, такие как кризис управления и аварии, вызванные нарушением обязанности предприятия обеспечить безопасность, в последние годы большой проблемой становится утечка личной информации и риск возмещения ущерба, вызванного этим.

Токийская торгово-промышленная исследовательская компания сообщает, что в 2019 году 66 компаний, включая публичные компании и их дочерние компании, объявили о утечке или потере личной информации, число инцидентов составило 86, а утечка личной информации достигла 9 031 734 человек. Если к этому добавить непубличные компании, иностранные компании, государственные учреждения, муниципалитеты, школы и т.д., то число может увеличиться до астрономических размеров.

Среди инцидентов с утечкой и потерей личной информации, самым большим до сих пор остается утечка информации о 35 040 000 людях, вызванная незаконным получением информации о клиентах сотрудником компании, которой было поручено выполнение работ, в Benesse Holdings (Benesse Corporation), которая была обнаружена в июле 2014 года. Однако в 2019 году в нескольких судебных процессах, связанных с этим инцидентом, были замечены новые развития.
Рассмотрим вопрос утечки личной информации в компаниях и риск возмещения ущерба, анализируя проблему Benesse.

Что такое инцидент с утечкой персональных данных Benesse

В июне 2014 года клиенты Benesse начали получать прямые рассылки от компании “Just System”, специализирующейся на дистанционном образовании. Это вызвало волну вопросов о том, не используют ли они персональные данные, зарегистрированные только в Benesse, и не произошла ли утечка данных из Benesse.

27 июня Benesse начала внутреннее расследование, 30 июня сообщила о ситуации полиции и Министерству экономики, торговли и промышленности, а 9 июля провела пресс-конференцию, на которой объявила о утечке персональных данных, включая имена, адреса, номера телефонов, пол, даты рождения детей и их родителей, которые были зарегистрированы в системе обучения “Zemi”.

17 июля был арестован 39-летний системный инженер, который был ответственным за управление базой данных в компании Shinform, которая занималась обработкой информации о клиентах для компании Benesse. Он был обвинен в том, что вынес персональные данные и продал их компании, занимающейся регистрацией.

В сентябре Benesse провела еще одну пресс-конференцию, на которой объявила, что количество утечек персональных данных достигло 35,04 миллиона случаев. Компания заявила, что уже выделила 20 миллиардов иен на компенсацию пострадавшим, и отправила извинения тем клиентам, у которых были подтверждены утечки данных. В качестве компенсации Benesse предложила отправить клиентам подарочные сертификаты на 500 иен (в виде электронных денег или книжных карт) или же пожертвовать 500 иен с каждого случая утечки в фонд “Benesse Children’s Foundation”, созданный для поддержки детей, пострадавших от утечки данных.

В ответ на это, некоторые пострадавшие сформировали группы адвокатов и подали коллективные иски. В 2019 году было замечено несколько изменений в этом вопросе. В криминальном процессе против системного инженера, обвиненного в нарушении закона о предотвращении недобросовестной конкуренции (копирование и раскрытие коммерческой тайны), 21 марта 2017 года Токийский высший суд вынес окончательное решение о наказании в виде двух с половиной лет тюремного заключения и штрафа в размере 3 миллионов иен без условного освобождения.

Решение Верховного Суда и апелляционное обжалование

В судебном процессе, где мужчина требовал от компании Benesse компенсацию в размере 100 000 иен за моральный ущерб, вызванный утечкой его имени, адреса и номера телефона, а также имени его ребенка, Верховный Суд отменил решение Осакского Высшего Суда и отправил дело на новое рассмотрение, поскольку суд первой инстанции не провел полного рассмотрения дела.

Суд первой инстанции, отделение Химедзи в Кобе, 2 декабря 2015 года, признав, что имя мужчины, которое контролировалось Benesse, было утрачено, отклонил иск мужчины, поскольку не было достаточно доказательств, подтверждающих, что это произошло из-за халатности Benesse.

В ответ на это, мужчина подал апелляцию (решение Осакского Высшего Суда от 29 июня 2016 года), которая признала, что имя, пол, дата рождения, почтовый индекс, адрес, номер телефона и имя родителя (имя истца) ребенка истца, которые контролировались ответчиком, были утрачены. Однако, суд отклонил апелляцию, поскольку не было доказательств, подтверждающих, что истец понес ущерб, превышающий чувство дискомфорта.

Решение Верховного Суда

Когда истец подал заявление о приеме кассационной жалобы, Верховный Суд принял его и отменил оригинальное решение, поскольку Осакский Высший Суд отклонил иск истца, не проведя полного рассмотрения вопроса о наличии и степени морального ущерба истца, вызванного нарушением его приватности, исходя только из того, что не было представлено доказательств ущерба, превышающего чувство дискомфорта. Верховный Суд отправил дело обратно в Высший Суд для дальнейшего рассмотрения вопроса о наличии халатности со стороны ответчика и наличии и степени морального ущерба истца (решение Верховного Суда от 23 октября 2017 года).

Решение апелляционного суда после отправки дела на новое рассмотрение

Осакский Высший Суд (решение от 20 ноября 2019 года) в процессе рассмотрения дела после отправки его на новое рассмотрение признал, что сотрудник компании, используя смартфон, совместимый с MTP, и подключив его к рабочему компьютеру через USB-порт с помощью USB-кабеля, незаконно получил персональные данные и продал их компании, занимающейся продажей списков контактов. Компания Shinform не приняла должных мер для предотвращения доступа к персональным данным с помощью смартфона, совместимого с MTP, в офисе, что является халатностью. Benesse нарушила свои обязанности по надлежащему контролю над Shinform, которой было разрешено использовать персональные данные, которые она контролировала, в результате чего произошла утечка данных сотрудником. Суд признал, что обе компании несут совместную ответственность за незаконные действия (статья 719, пункт 1, Гражданского кодекса Японии).

Затем, нарушив положение статьи 22 Закона о защите персональных данных Японии, которое гласит: “Операторы обработки персональных данных должны осуществлять необходимый и адекватный контроль над лицами, которым они поручают обработку персональных данных, чтобы обеспечить безопасность обработки персональных данных”, суд признал нарушение приватности истца и, учитывая, что адрес, имя и номер телефона истца были раскрыты на веб-сайтах и т.д., приказал выплатить компенсацию за ущерб в размере 1000 иен.

Это третий случай, когда признана ответственность Benesse за компенсацию ущерба. В начале этой статьи мы написали, что “в 2019 году были новые развития в судебных процессах, связанных с этим инцидентом”, и все три решения, признавшие ответственность Benesse за компенсацию ущерба, были вынесены в 2019 году.

Первый судебный прецедент, признавший ответственность компании Benesse

Решение суда первой инстанции

Впервые ответственность компании Benesse была признана в апелляционном суде, где мужчина требовал компенсацию за моральный ущерб, утверждая, что Benesse допустила утечку его личной информации, а также информации его жены и сына.

Суд первой инстанции (Районный суд Йокогамы, решение от 16 февраля 2017 года) признал, что Benesse нарушила свои обязательства по обеспечению безопасности, но отклонил иск против Benesse, поскольку не было представлено достаточных доказательств того, что компания нарушила свои обязательства по контролю за обработкой персональных данных. В связи с этим, мужчина подал апелляцию.

В суде первой инстанции было отмечено, что, хотя Benesse получила рекомендацию от министра экономики, торговли и промышленности за нарушение обязательств, предусмотренных статьями 20 и 22 Закона о защите персональных данных (Японский Закон о защите персональных данных), и вызвала утечку информации, рекомендация, основанная на пункте 1 статьи 34 этого закона, не является условием наличия обязательства предвидеть и предотвращать последствия на момент утечки информации. Поэтому просто наличие такой рекомендации недостаточно для признания наличия у Benesse вины по статье 709 Гражданского кодекса на момент утечки информации.

Решение апелляционного суда

В ответ на это, апелляционный суд, Токийский высший суд (решение от 27 июня 2019 года), предположил, что преступление было совершено не с применением высоких знаний или специальных технологий, а просто подключением смартфона к рабочему компьютеру через коммерческий USB-кабель для зарядки, что позволило передать данные. Суд признал, что компания Synform не выполнила свои обязательства по контролю за передачей данных с смартфонов, поддерживающих MTP, и что Benesse, которой было поручено управление большим количеством персональных данных, не выполнила свои обязательства по надлежащему контролю за обработкой персональных данных на момент утечки. Эти незаконные действия обеих компаний признаны совместным нарушением закона (первая часть статьи 719 Гражданского кодекса).

Затем суд заявил: “Естественно, что апеллянты не хотят, чтобы их персональные данные были произвольно раскрыты третьим лицам. Эти данные являются объектом юридической защиты как информация, касающаяся приватности апеллянтов, и утечка этих данных нарушила их приватность”. Учитывая, что Benesse немедленно начала принимать меры после обнаружения утечки, предприняла шаги для предотвращения распространения ущерба от утечки информации, провела расследование в соответствии с указаниями и отчетами надзорного органа, а также отправила письма с извинениями клиентам, которые, как предполагается, пострадали от утечки информации, и предложила им подарочные сертификаты на сумму 500 иен по их выбору, суд приказал Benesse выплатить каждому из апеллянтов компенсацию в размере 2000 иен.

Второй прецедент, признавший ответственность компании Benesse

6 сентября 2019 года в Токийском окружном суде было вынесено решение по иску, в котором 13 клиентов требовали от компании и связанных с ней компаний компенсацию ущерба в размере 980 000 иен. Компаниям Benesse и Shinform было приказано выплатить каждому по 3000 иен (одному из них – 3300 иен), всего 42 300 иен.

Суд не признал ответственность Benesse как работодателя по отношению к компании Shinform, поскольку они являются отдельными юридическими лицами. Однако, поскольку Shinform не пересмотрел настройки своего антивирусного программного обеспечения, что позволило перенос данных с рабочих компьютеров на смартфоны с поддержкой MTP, суд пришел к выводу, что они нарушили обязательные меры контроля за передачей информации. Кроме того, суд пришел к выводу, что Benesse, поручив разработку системы и обработку большого количества информации о клиентах, должна была нести ответственность за выбор и контроль над исполнителем в соответствии с принципами добросовестности и справедливости. Суд признал совместное незаконное действие (статья 719, пункт 1, первая часть Японского гражданского кодекса) и приказал выплатить компенсацию ущерба истцам.

В этом решении также цитируется статья 22 Закона о защите персональных данных Японии, которая гласит: “Операторы, обрабатывающие персональные данные, должны осуществлять необходимый и адекватный контроль над лицами, которым они поручают обработку всей или части персональных данных, чтобы обеспечить их безопасное управление”. Также указывается на руководящие принципы Министерства экономики, торговли и промышленности 2009 года (Heisei 21), которые включают в себя необходимость адекватного выбора исполнителя, заключения необходимого контракта с исполнителем для соблюдения мер безопасности, предусмотренных статьей 20 Закона о защите персональных данных, и контроля за обработкой персональных данных исполнителем.

Итог

Изначально компания Benesse планировала выделить 20 миллиардов иен на компенсацию пострадавшим, однако это оказалось недостаточно. В ноябре 2014 года, Японская ассоциация по продвижению информационного общества отозвала у Benesse Holdings марку конфиденциальности, которая выдается компаниям, надлежащим образом управляющим личной информацией. В апреле 2015 года количество участников “Shinken Seminar” и “Kodomo Challenge” составило 2,71 миллиона человек, что на 940 тысяч меньше, чем в том же месяце предыдущего года. Консолидированный отчет за второй квартал показал снижение выручки на 7% по сравнению с тем же периодом предыдущего года, а операционная прибыль упала на 88%. Операционный доход сменился с прибыли в 3,91 миллиарда иен в предыдущем году на убыток в 430 миллионов иен. Риск ущерба в результате утечки личной информации может стать вопросом жизни и смерти для компании.