MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Företagets risk för personuppgiftsläckage och skadestånd

General Corporate

Företagets risk för personuppgiftsläckage och skadestånd

Riskerna som omger företagsledning inkluderar ledningskriser och olyckor orsakade av företagets brist på säkerhetsåtgärder. På senare år har dock läckage av personuppgifter och därmed förknippade skadeståndsrisker blivit ett stort problem.

Tokyo Shoko Research rapporterar att 66 företag och deras dotterbolag som är noterade på börsen offentliggjorde incidenter med läckage eller förlust av personuppgifter under 2019. Antalet incidenter var 86 och antalet läckta personuppgifter uppgick till 9 031 734. Om du inkluderar icke-noterade företag, utländska företag, statliga myndigheter, kommuner och skolor, kan antalet potentiellt svälla till astronomiska proportioner.

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Av alla incidenter med läckage eller förlust av personuppgifter, är den största fortfarande den som upptäcktes i juli 2014, där 35,04 miljoner personuppgifter läckte ut på grund av obehörig åtkomst av kundinformation av en anställd hos Benesse Holdings (Benesse Corporation). Under 2019 sågs nya utvecklingar i flera rättegångar kring denna incident.
Låt oss överväga riskerna med företags läckage av personuppgifter och skadestånd medan vi sorterar ut problemen med Benesse.

Vad var Benesse personuppgiftsläckan?

Risk för företagets personuppgiftsläcka och skadestånd
Benesse personuppgiftsläckan som inträffade runt juni 2014 är en händelse som fortfarande är färsk i minnet.

Runt juni 2014 började Benesses kunder att få direktreklam från företaget “Just System”, som erbjuder distansutbildning. Detta ledde till en kraftig ökning av förfrågningar om Benesse använde personuppgifter som endast registrerats hos dem, och om personuppgifter läckt ut från Benesse.

Den 27 juni inledde Benesse en intern utredning och rapporterade till polisen och ekonomi- och industriministeriet den 30 juni. Den 9 juli höll de en presskonferens och meddelade att personuppgifter, inklusive namn, adresser, telefonnummer, kön och födelsedatum för barn och deras föräldrar som var registrerade på deras utbildningsprogram, som Shinken Seminar, hade läckt ut.

Den 17 juli arresterades en 39-årig systemingenjör som hade tillgång till kundinformation och ansvarade för databashantering hos Synform, ett företag som Benesse hade outsourcat kundinformationshantering till. Han anklagades för att ha tagit med sig personuppgifter och sålt dem till en företagskatalogoperatör.

I september höll Benesse en presskonferens och meddelade att antalet kundinformation som hade läckt ut var 35,04 miljoner. De hade redan förberett 20 miljarder yen för att kompensera de drabbade av personuppgiftsläckan. De skickade också ursäktbrev till kunderna vars information hade bekräftats läckt ut och erbjöd att skicka presentkort värda 500 yen (antingen som elektroniska pengar eller som en nationell bokkupong), eller att donera 500 yen per läcka till Benesse Children’s Foundation, som hade inrättats för att stödja barn som drabbats av läckan.

Detta ledde till att flera advokatgrupper bildades av vissa offer, och grupptalan inleddes. Det fanns några utvecklingar i detta avseende 2019. Som en brottslig fråga, i den brottsliga rättegången mot systemingenjören som anklagades för att ha tagit med sig personuppgifterna, blev domen på 2,5 års fängelse och en böter på 3 miljoner yen utan villkorlig dom definitiv i Tokyo High Court den 21 mars 2017 (Heisei 29).

Högsta domstolens beslut och överklagandet

Risk för företags personuppgiftsläckor och skadestånd
Det finns fall där skadestånd har beordrats att betalas, med hänsyn till att överklagarens adress, namn och telefonnummer har offentliggjorts på hemsidor och liknande.

En man och hans barns namn, adress, telefonnummer, etc. läckte ut, vilket ledde till psykiskt lidande. I rättegången där mannen personligen krävde 100 000 yen i skadestånd från Benesse, upphävde Högsta domstolen den ursprungliga domen från Osaka högsta domstol och återförde fallet på grund av att rättegången inte hade genomförts fullständigt.

Före återförandet, i den första rättegången vid Kobe distriktsdomstol Himeji gren den 2 december 2015, erkände domstolen att mannens namn, som Benesse hanterade, hade läckt ut som en oomtvistad faktum. Men eftersom det inte fanns några konkreta omständigheter som kunde stödja att detta berodde på Benesses försummelse, avvisades mannens krav.

Emot detta överklagade mannen och i överklagandet (Osaka högsta domstol, dom den 29 juni 2016) erkände domstolen att överklagarens barns namn, kön, födelsedatum, postnummer, adress, telefonnummer och föräldrarnas namn (överklagarens namn) som hanterades av den svarande hade läckt ut. På grundval av detta, kunde det konstateras att överklagarens personliga information, inklusive hans namn, postnummer, adress, telefonnummer och namn, kön och födelsedatum för hans familjemedlemmar, hade läckt ut. Trots att domstolen erkände att läckan av överklagarens personliga information, i ljuset av en normal persons allmänna känsla, kan orsaka inte bara obehag utan också ångest, kan man inte omedelbart kräva skadestånd för detta om man bara känner sådant obehag etc. Därför avvisades överklagandet på grund av att det inte fanns några påståenden eller bevis för att skador utöver ovanstående obehag etc. hade lidits.

Domstolens beslut

Appellanten ansökte om att överklagandet skulle godkännas, och Högsta domstolen godkände detta. Trots att appellanten hade fått sin integritet kränkt genom läckan, ansåg Osaka högsta domstol att det inte var nödvändigt att noggrant undersöka om det fanns någon psykisk skada på appellanten på grund av integritetskränkningen och dess omfattning. De ansåg att det inte fanns några bevis för att det hade uppstått skada utöver obehag, och avvisade omedelbart appellantens krav på denna grund. Högsta domstolen ansåg att denna bedömning av den ursprungliga domstolen var olaglig eftersom den missförstod tillämpningen av lagar om skada i olagliga handlingar och inte fullgjorde sin undersökning av ovanstående punkter. De upphävde det ursprungliga beslutet och skickade tillbaka ärendet till högsta domstolen för ytterligare undersökning av förekomsten och omfattningen av appellantens psykiska skada och om det fanns någon försummelse från den svarande (Högsta domstolens dom den 23 oktober 2017 (2017)).

https://monolith.law/reputation/privacy-invasion[ja]

Dom i överklagandet av återförvisningen

I återförvisningsdomen beslutade Osaka högsta domstol (20 november 2019) att den anställde i fråga olagligt erhöll personuppgifter genom att ansluta en smartphone som stöder MTP till en arbetsdator med en USB-kabel och överföra data via MTP-kommunikation, och sedan sålde dessa till en adressboksförsäljare. Trots att Synform Corporation borde ha vidtagit lämpliga åtgärder för att förhindra att en MTP-kompatibel smartphone tas in i kontoret och kommer i kontakt med personuppgifterna, har de försummat denna skyldighet. Benesse har brutit mot sin skyldighet att lämpligt övervaka Synform Corporation, som de tillät att använda personuppgifterna de hanterar, vilket resulterade i att en anställd läckte informationen. Därför anses de båda företagen vara gemensamt ansvariga för skadan som uppstått på grund av detta olagliga beteende (enligt paragraf 1 i den japanska civilrätten).

Domstolen beslutade också att Benesse hade brutit mot artikel 22 i den japanska lagen om skydd av personuppgifter, som säger att “när en personuppgiftsoperatör delegerar hela eller delar av hanteringen av personuppgifter, måste de övervaka den delegerade på ett nödvändigt och lämpligt sätt för att säkerställa säker hantering av personuppgifterna”. Trots att de erkände att de hade kränkt privatlivet, beordrade de Benesse att betala 1 000 yen i skadestånd, med hänsyn till att klagandens adress, namn och telefonnummer hade offentliggjorts på webbplatser och liknande.

Detta är det tredje fallet där Benesses skadeståndsansvar har erkänts. I början av denna artikel skrev vi att “det har varit några nya utvecklingar i rättegångarna kring denna händelse 2019”, och alla tre domar som erkände Benesses skadeståndsansvar utfärdades 2019.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Första rättsfallet som erkände Benesses ansvar

Domstolens första bedömning

Risk för företag att läcka personuppgifter och skadestånd
Vi presenterar ett fall där Benesses ansvar erkändes.

En man krävde skadestånd för psykiskt lidande orsakat av att Benesse läckt hans, hans frus och sons personuppgifter till en tredje part. Detta var första gången Benesses ansvar erkändes i en överklagande dom.

I första instans (Yokohama District Court, 16 februari 2017) erkändes Benesses brott mot sin skyldighet att vara försiktig, men eftersom det inte fanns tillräckliga bevis för att de hade brutit mot sin skyldighet att förstå hur personuppgifter hanterades, avslogs mannens krav. Mannen överklagade därför beslutet.

I första instans konstaterades att trots att Benesse hade fått en rekommendation baserad på artikel 34, paragraf 1 i den japanska lagen om skydd av personuppgifter (Personuppgiftsskyddslagen) från ekonomiministern för att ha försummat sina skyldigheter enligt artikel 20 och 22 i samma lag och därmed orsakat läckan, är en sådan rekommendation endast utfärdad när det anses nödvändigt att skydda individens rättigheter och intressen. Det innebär inte att det fanns en skyldighet att förutse eller förhindra resultatet vid tidpunkten för läckan, eller att denna skyldighet har brutits. Därför räcker det inte att en rekommendation har utfärdats för att erkänna att Benesse var försumlig enligt artikel 709 i den japanska civilrätten vid tidpunkten för läckan.

Överklagandedomstolens bedömning

Överklagandedomstolen, Tokyo High Court (27 juni 2019), utgick från det faktum att brottet inte utfördes med hjälp av avancerad kunskap eller specialteknik, utan var ett enkelt brott som utfördes när det upptäcktes att data kunde överföras genom att ansluta en smartphone till en arbetsdator med en kommersiellt tillgänglig USB-kabel för laddning. Domstolen erkände att företaget Shinform hade varit försumligt genom att inte vidta åtgärder för att kontrollera dataöverföring från MTP-kompatibla smartphones, och att Benesse, som hade anförtrott Shinform med hanteringen av en stor mängd personuppgifter, hade varit försumligt genom att inte övervaka Shinform på lämpligt sätt vid tidpunkten för läckan. Dessa olagliga handlingar av de två företagen ansågs utgöra gemensamt olagligt beteende enligt artikel 719, paragraf 1 i den japanska civilrätten.

Domstolen konstaterade sedan att “det är naturligt för appellanterna att inte vilja att deras personuppgifter ska avslöjas för andra utan deras samtycke. Därför är dessa personuppgifter föremål för lagligt skydd som information relaterad till appellanternas privatliv, och genom denna läcka har appellanternas privatliv kränkts.” Med hänsyn till att Benesse omedelbart vidtog åtgärder efter att läckan upptäckts, vidtog åtgärder för att förhindra att skadan blev större, rapporterade till tillsynsmyndigheten och genomförde en undersökning baserad på myndighetens instruktioner, skickade ett ursäktbrev till kunder som tros ha drabbats av läckan och distribuerade presentkort värda 500 yen (ca 40 SEK) beroende på kundens val, och att appellanterna också mottog elektroniska pengar värda 500 yen, beordrade domstolen Benesse att betala varje appellants 2000 yen (ca 160 SEK) i skadestånd.

Det andra rättsfallet där Benesses ansvar erkändes

En dom i en rättegång där 13 kunder krävde totalt 980 000 yen i skadestånd från företaget och dess dotterbolag avkunnades den 6 september 2019 (Gregorianska kalendern) vid Tokyo District Court. Benesse och Shinform Co. beordrades att betala 3 000 yen per person (en person fick 3 300 yen), totalt 42 300 yen.

Rätten erkände inte Benesses arbetsgivaransvar gentemot Shinform Co., som de klagande hade begärt, eftersom det är ett separat företag. Men eftersom Shinform Co. inte hade granskat inställningarna för säkerhetsprogramvaran, vilket gjorde det möjligt att överföra data från företagsdatorer till MTP-kompatibla smartphones, ansågs de ha varit försumliga genom att bryta mot skyldigheten att kontrollera informationsskrivning. Benesse borde ha haft en skyldighet att övervaka valet av entreprenörer enligt principen om god tro när de anförtrodde hanteringen av stora mängder kundinformation för utvecklingen av detta system, inklusive de klagande. Rätten erkände gemensamt olagligt beteende (Artikel 719, paragraf 1, första stycket i den japanska civilrätten) och beordrade dem att solidariskt betala skadestånd till de klagande.

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

I denna dom citerades artikel 22 i den japanska lagen om skydd av personuppgifter, som säger att “när en personuppgiftsoperatör anförtroddar hela eller delar av hanteringen av personuppgifter, måste de utföra nödvändig och lämplig övervakning av den person som har anförtroddats hanteringen för att säkerställa säker hantering av personuppgifterna”. Dessutom påpekades det att “nödvändig och lämplig övervakning” i riktlinjerna från ministeriet för ekonomi, handel och industri (2009, Gregorianska kalendern) inkluderar att välja entreprenören på lämpligt sätt, att ingå nödvändiga avtal för att få entreprenören att följa säkerhetsåtgärderna enligt artikel 20 i lagen om skydd av personuppgifter, och att förstå hur de anförtrodda personuppgifterna hanteras av entreprenören.

Sammanfattning

Från början hade Benesse förberett 20 miljarder yen som kompensation till offren, men det visade sig vara otillräckligt. I november 2014 återkallade Japan Information Economy Society Promotion Association det integritetsmärke som Benesse Holdings hade erhållit, vilket ges till företag som hanterar personuppgifter på ett lämpligt sätt. I april 2015 var antalet medlemmar i “Shinken Seminar” och “Children’s Challenge” 2,71 miljoner, en minskning med 940 000 jämfört med samma månad föregående år. Konsoliderade resultat för perioden april till juni visade att försäljningen minskade med 7% jämfört med samma period föregående år, och rörelsevinsten minskade med 88%. Rörelseresultatet gick från en vinst på 3,91 miljarder yen föregående år till en förlust på 430 miljoner yen. Risken för skadestånd på grund av läckage av personuppgifter kan bli en fråga om liv och död för företag.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Tillbaka till toppen