ความเสี่ยงที่เกี่ยวกับการรั่วไหลของข้อมูลส่วนบุคคลในองค์กรและความเสียหายจากการชดใช้ค่าเสียหาย

ความเสี่ยงที่มีต่อการบริหารธุรกิจขององค์กร ได้แก่ วิกฤตการจัดการ อุบัติเหตุที่เกิดจากการละเว้นหน้าที่ในการระมัดระวังความปลอดภัยขององค์กร แต่ในปัจจุบัน การรั่วไหลของข้อมูลส่วนบุคคลและความเสี่ยงในการชดใช้ค่าเสียหายที่เกิดขึ้นจากสิ่งนี้ก็กลายเป็นปัญหาที่ใหญ่ขึ้น

ตามที่รายงานโดย Tokyo Shoko Research ในปี 2019 (พ.ศ. 2562) บริษัทที่เข้าสู่ตลาดหลักทรัพย์และบริษัทลูกของพวกเขาที่ได้เปิดเผยเกี่ยวกับการรั่วไหล/การสูญหายของข้อมูลส่วนบุคคลมีจำนวน 66 บริษัท จำนวนคดีที่เกิดขึ้นคือ 86 คดี และข้อมูลส่วนบุคคลที่รั่วไหลออกไปมีจำนวน 9,031,734 คน ถ้าเราเพิ่มบริษัทที่ยังไม่ได้เข้าสู่ตลาดหลักทรัพย์ บริษัทต่างประเทศ หน่วยงานของรัฐ องค์กรอิสระ และโรงเรียน เป็นต้น จำนวนนี้อาจจะเพิ่มขึ้นอย่างมาก

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

ในการรั่วไหล/การสูญหายของข้อมูลส่วนบุคคล คดีที่ใหญ่ที่สุดในอดีตยังคงเป็นเรื่องที่เกิดขึ้นในเดือนกรกฎาคม ปี 2014 (พ.ศ. 2557) ที่ Benesse Holdings (บริษัท Benesse Corporation) ที่มีข้อมูลส่วนบุคคลของ 35,040,000 คนรั่วไหลออกไปจากการที่พนักงานของบริษัทที่ได้รับมอบหมายได้รับข้อมูลของลูกค้าอย่างไม่เป็นธรรม แต่ในปี 2019 (พ.ศ. 2562) มีการพัฒนาใหม่ในบางคดีที่เกี่ยวข้องกับเหตุการณ์นี้
เราจะพิจารณาเรื่องของ Benesse ในขณะที่พิจารณาความเสี่ยงที่เกี่ยวข้องกับการรั่วไหลของข้อมูลส่วนบุคคลและการชดใช้ค่าเสียหายขององค์กร

เหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคลของ Benesse คืออะไร

ในประมาณเดือนมิถุนายน 2014 ลูกค้าของ Benesse ได้รับจดหมายโดยตรงจากบริษัท “Just System” ซึ่งเป็นบริษัทที่ให้บริการการศึกษาทางไกล ซึ่งทำให้มีคำถามว่าบริษัทนี้ใช้ข้อมูลส่วนบุคคลที่ลงทะเบียนกับ Benesse เท่านั้นหรือไม่ หรือข้อมูลส่วนบุคคลจาก Benesse ได้รั่วไหลออกไปหรือไม่ ซึ่งทำให้มีการสอบถามเพิ่มขึ้นอย่างรวดเร็ว

ในวันที่ 27 มิถุนายน Benesse ได้เริ่มการสอบสวนภายใน และในวันที่ 30 มิถุนายน ได้รายงานให้กับตำรวจและกระทรวงเศรษฐกิจ อุตสาหกรรมและการค้า และในวันที่ 9 กรกฎาคม ได้จัดการประชุมข่าวและประกาศว่าข้อมูลส่วนบุคคลของเด็กและผู้ปกครองที่เป็นสมาชิกของ Z-kai ได้รั่วไหลออกไป ซึ่งรวมถึงชื่อ ที่อยู่ หมายเลขโทรศัพท์ เพศ และวันเดือนปีเกิด

ในวันที่ 17 กรกฎาคม วิศวกรระบบที่อายุ 39 ปี ที่รับผิดชอบการจัดการระบบฐานข้อมูลของบริษัทและมีสิทธิ์ในการเข้าถึงข้อมูลของลูกค้า ซึ่งได้รับการส่งเสริมจากผู้รับเหมาที่บริษัท Synform ได้รับมอบหมายให้จัดการข้อมูลของลูกค้าของ Benesse ถูกจับกุมเนื่องจากได้นำข้อมูลส่วนบุคคลออกไปและขายให้กับผู้ประกอบการรายชื่อ

ในเดือนกันยายน Benesse ได้จัดการประชุมข่าวและประกาศว่าจำนวนข้อมูลส่วนบุคคลของลูกค้าที่รั่วไหลออกไปคือ 35,040,000 รายการ และได้เตรียมเงินทุน 20 พันล้านเยนเพื่อชดเชยผู้ที่ได้รับความเสียหายจากการรั่วไหลของข้อมูลส่วนบุคคล แต่อย่างไรก็ตาม บริษัทได้ส่งจดหมายขอโทษให้กับลูกค้าที่ได้รับความเสียหายจากการรั่วไหลของข้อมูลส่วนบุคคคล และตามความเลือกของลูกค้า บริษัทจะส่งคูปองมูลค่า 500 เยน (เป็นเงินอิเล็กทรอนิกส์หรือบัตรหนังสือทั่วประเทศ) หรือบริจาค 500 เยนต่อการรั่วไหลข้อมูลส่วนบุคคล 1 รายการให้กับมูลนิธิ Benesse Children’s Foundation ที่จัดตั้งขึ้นเพื่อสนับสนุนเด็กๆ ที่ได้รับผลกระทบจากการรั่วไหลของข้อมูลส่วนบุคคลนี้

ต่อมา มีการสร้างกลุ่มทนายความหลายๆ กลุ่มโดยผู้ที่ได้รับความเสียหายและยื่นฟ้องคดีรวม แต่ในปี 2019 มีการเคลื่อนไหวบางอย่างเกี่ยวกับเรื่องนี้ ในส่วนของคดีอาญา วิศวกรระบบที่นำข้อมูลส่วนบุคคลออกไปถูกตั้งข้อหาฝ่าฝืนกฎหมายป้องกันการแข่งขันที่ไม่เป็นธรรม (การทำซ้ำและเปิดเผยความลับทางธุรกิจ) และในวันที่ 21 มีนาคม 2017 ศาลอุทธรณ์ของโตเกียวได้ตัดสินคดีนี้ด้วยโทษจำคุก 2 ปี 6 เดือน และปรับ 3 ล้านเยน โดยไม่มีการรอลงโทษ

การตัดสินของศาลฎีกาและการอุทธรณ์คดีที่ถูกส่งคืน

ในคดีที่ชายคนหนึ่งและเด็กของเขามีชื่อ, ที่อยู่, และหมายเลขโทรศัพท์รั่วไหลและทำให้เขาเดือดร้อนทางจิตใจ, ชายคนนั้นได้ยื่นคำร้องขอค่าสินไหมทดแทน 100,000 เยนจาก Benesse ในศาลฎีกา, ศาลฎีกาได้ทำลายคำตัดสินของศาลอุทธรณ์ที่ Osaka และส่งคืนคดีเนื่องจากไม่ได้พิจารณาคดีอย่างเต็มที่

ศาลชั้นต้นที่ Kobe ก่อนที่จะถูกส่งคืนได้ยืนยันในวันที่ 2 ธันวาคม พ.ศ. 2558 (2015) ว่าชื่อของชายที่ Benesse จัดการได้รั่วไหล ซึ่งเป็นความจริงที่ไม่มีการโต้แย้ง และไม่มีการอ้างอิงหรือการพิสูจน์สถานการณ์ที่เฉพาะเจาะจงที่เพียงพอในการสร้างพื้นฐานว่าสิ่งนี้เกิดขึ้นเนื่องจากความผิดของ Benesse ดังนั้นศาลได้ปฏิเสธคำร้องของชายคนนั้น

ต่อมา, ชายคนนั้นได้ยื่นอุทธรณ์และในการพิจารณาคดีอุทธรณ์ (คำตัดสินของศาลอุทธรณ์ Osaka วันที่ 29 มิถุนายน พ.ศ. 2559 (2016)) ศาลได้ยืนยันว่าชื่อ, เพศ, วันเดือนปีเกิด, รหัสไปรษณีย์, ที่อยู่, หมายเลขโทรศัพท์, และชื่อผู้ปกครอง (ชื่อของผู้อุทธรณ์) ของเด็กของผู้อุทธรณ์ที่ถูกจัดการโดยผู้ถูกอุทธรณ์ได้รั่วไหล ด้วยเหตุนี้, ศาลได้ยืนยันว่าข้อมูลส่วนบุคคลของผู้อุทธรณ์ได้รับความเสียหาย อย่างไรก็ตาม, ศาลได้ปฏิเสธการอุทธรณ์เนื่องจากไม่มีการอ้างอิงหรือการพิสูจน์ว่าผู้อุทธรณ์ได้รับความเสียหายที่เกินกว่าความไม่สบายใจดังกล่าว

การตัดสินของศาลฎีกา

เมื่อผู้อุทธรณ์ยื่นคำร้องขอรับการอุทธรณ์ ศาลฎีกาได้รับรองคำร้องนี้ และตัดสินว่า ผู้อุทธรณ์ได้รับการละเมิดความเป็นส่วนตัวจากการรั่วไหลข้อมูลนี้ แต่ศาลอุทธรณ์โอซาก้าไม่ได้พิจารณาอย่างเพียงพอเกี่ยวกับการเกิดความเสียหายทางจิตใจของผู้อุทธรณ์และระดับของความเสียหายดังกล่าวจากการละเมิดความเป็นส่วนตัว และเพียงเพราะไม่มีการยืนยันว่ามีความเสียหายที่เกินกว่าความไม่พอใจเกิดขึ้น ศาลจึงได้ปฏิเสธคำร้องของผู้อุทธรณ์ทันที การตัดสินของศาลชั้นต้นดังกล่าว ผิดกฎหมายเนื่องจากการตีความและใช้กฎหมายที่เกี่ยวข้องกับความเสียหายในการกระทำผิดทางกฎหมายผิดพลาด และไม่ได้พิจารณาเรื่องดังกล่าวอย่างเพียงพอ ดังนั้น ศาลฎีกาได้ยกเลิกคำตัดสินเดิม และส่งคดีนี้กลับไปยังศาลอุทธรณ์เพื่อพิจารณาเรื่องการมีความผิดของผู้ถูกอุทธรณ์ และการเกิดความเสียหายทางจิตใจของผู้อุทธรณ์และระดับของความเสียหายดังกล่าวอีกครั้ง (คำตัดสินของศาลฎีกา วันที่ 23 ตุลาคม พ.ศ. 2560).

https://monolith.law/reputation/privacy-invasion[ja]

การตัดสินใจของศาลอุทธรณ์ในกรณีที่ถูกส่งคืน

ในการพิจารณาคดีที่ถูกส่งคืน ศาลอุทธรณ์สูงสุดโอซาก้า (วันที่ 20 พฤศจิกายน 2562) ได้ตัดสินว่า พนักงานในคดีนี้ได้ทำการรับข้อมูลส่วนบุคคลอย่างผิดกฎหมายผ่านการเชื่อมต่อสมาร์ทโฟนที่รองรับ MTP กับคอมพิวเตอร์ที่ใช้งานผ่านพอร์ต USB ด้วยสาย USB และขายข้อมูลนี้ให้กับผู้ประกอบการรายชื่อ โดยบริษัท Shinform ควรจะมีมาตรการที่เหมาะสมเพื่อป้องกันการนำสมาร์ทโฟนที่รองรับ MTP เข้าไปในห้องทำงานและเข้าถึงข้อมูลส่วนบุคคล แต่บริษัทไม่ได้ทำตามนี้ ซึ่งเป็นความผิดที่มีความประมาท และ Benesse ได้ละเมิดหน้าที่ในการดูแลที่เหมาะสมต่อบริษัท Shinform ที่ได้รับอนุญาตให้ใช้ข้อมูลส่วนบุคคลที่บริษัทจัดการ ซึ่งทำให้เกิดการรั่วไหลของข้อมูลจากพนักงาน ดังนั้น บริษัทต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้นจากการกระทำที่ผิดกฎหมายนี้ ซึ่งเป็นการกระทำที่ผิดกฎหมายร่วมกันของทั้งสองบริษัท (ตามมาตรา 719 ข้อ 1 ของกฎหมายญี่ปุ่น)

และตามมาตรา 22 ของ “กฎหมายญี่ปุ่นเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล” ที่กำหนดว่า “ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลต้องดำเนินการดูแลที่เหมาะสมและจำเป็นต่อผู้ที่ได้รับการมอบหมายในการจัดการข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วนเพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลจะได้รับการจัดการอย่างปลอดภัย” ศาลได้ตัดสินว่า การละเมิดความเป็นส่วนตัวนี้เป็นการละเมิดกฎหมาย โดยพิจารณาจากข้อมูลที่เปิดเผยอยู่บนเว็บไซต์ เช่น ที่อยู่ ชื่อ และหมายเลขโทรศัพท์ของผู้อุทธรณ์ และสั่งให้ชำระค่าเสียหายจำนวน 1,000 เยน

การพิจารณาคดีนี้เป็นครั้งที่สามที่ศาลยอมรับความรับผิดชอบในการชดใช้ของ Benesse ในบทความนี้เราได้เขียนว่า “ในปี 2019 มีการพัฒนาใหม่ในการพิจารณาคดีที่เกี่ยวข้องกับเหตุการณ์นี้” แต่สำหรับการตัดสินที่ยอมรับความรับผิดชอบในการชดใช้ของ Benesse ทั้งสามครั้ง ได้ถูกตัดสินในปี 2019

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

ตัวอย่างคดีศาลที่ยอมรับความรับผิดชอบของ Benesse ครั้งแรก

การตัดสินครั้งแรก

Benesse ได้รับการยอมรับความรับผิดชอบครั้งแรกในการตัดสินคดีอุทธรณ์ที่ชายคนหนึ่งเรียกร้องการชำระค่าเยียวยาเนื่องจากเขาและภรรยา ลูกชายของเขาได้รับความทุกข์ทรมานทางจิตใจจากการที่ Benesse ได้ทำให้ข้อมูลส่วนบุคคลของพวกเขารั่วไหลไปยังภายนอก

ในการตัดสินครั้งแรก (ศาลจังหวัดโยโกฮามา วันที่ 16 กุมภาพันธ์ 2560) ได้ยอมรับว่า Benesse ได้ละเมิดหน้าที่ในการให้ความสนใจ แต่ไม่มีการพิสูจน์ข้อเท็จจริงที่เพียงพอในการยอมรับว่าได้ละเมิดหน้าที่ในการทราบสถานะการจัดการข้อมูลส่วนบุคคล ดังนั้น การร้องขอต่อ Benesse ถูกปฏิเสธ และชายคนนั้นได้ยื่นอุทธรณ์

ในการตัดสินครั้งแรก ศาลได้แสดงว่า แม้ว่า Benesse จะได้รับคำแนะนำตามข้อบังคับที่ 34 ข้อ 1 ของ “Japanese Personal Information Protection Law” จากกระทรวงเศรษฐกิจ อุตสาหกรรมและการค้า ว่าได้ละเมิดหน้าที่ตามข้อ 20 และ 22 ของ “Japanese Personal Information Protection Law” และได้ทำให้เกิดการรั่วไหลของข้อมูลในคดีนี้ แต่คำแนะนำตามข้อบังคับนี้จะถูกให้เมื่อมีความจำเป็นในการปกป้องสิทธิและผลประโยชน์ของบุคคล และไม่ได้เป็นเงื่อนไขที่ต้องมีหน้าที่ในการคาดการณ์ผลลัพธ์หรือหน้าที่ในการหลีกเลี่ยงผลลัพธ์ที่เกิดขึ้นในขณะที่เกิดการรั่วไหลของข้อมูล ดังนั้น แค่เพราะได้รับคำแนะนำนี้ ยังไม่เพียงพอในการยอมรับว่า Benesse มีความผิดตามข้อ 709 ของ “Japanese Civil Code” ในขณะที่เกิดการรั่วไหลของข้อมูล

การตัดสินคดีอุทธรณ์

ต่อมา ศาลอุทธรณ์ซึ่งคือศาลสูงสุดของโตเกียว (วันที่ 27 มิถุนายน 2562) ได้ตัดสินว่า ตามความเป็นจริงที่เป็นอาชญากรรมง่ายๆ ที่ไม่ได้ใช้ความรู้ที่สูงซึ่งหรือใช้เทคนิคพิเศษ แต่เพียงแค่เชื่อมต่อสมาร์ทโฟนกับคอมพิวเตอร์ที่ใช้งานด้วยสาย USB ที่ขายในท้องตลาดเพื่อการชาร์จ และพบว่าสามารถถ่ายโอนข้อมูลได้ บริษัท Synform มีความผิดที่ไม่ได้ดำเนินมาตรการควบคุมการเขียนข้อมูลสำหรับสมาร์ทโฟนที่รองรับ MTP และ Benesse ที่ได้มอบหมายการจัดการข้อมูลส่วนบุคคลจำนวนมาก มีความผิดที่ไม่ได้ดูแลการจัดการข้อมูลส่วนบุคคลอย่างเหมาะสมต่อบริษัทที่ได้รับมอบหมายในขณะที่เกิดการรั่วไหลข้อมูล ศาลได้ตัดสินว่าการกระทำผิดของทั้งสองบริษัทนี้เป็นการกระทำผิดร่วมกันตามข้อ 719 ข้อ 1 ของ “Japanese Civil Code”

และศาลได้กล่าวว่า “ผู้อุทธรณ์ทั้งหมดมีความคิดที่ไม่ต้องการให้ข้อมูลส่วนบุคคลของพวกเขาถูกเปิดเผยให้กับผู้อื่นที่พวกเขาไม่ต้องการ ซึ่งเป็นสิ่งที่เป็นธรรมชาติ ดังนั้น ข้อมูลส่วนบุคคลนี้เป็นข้อมูลที่เกี่ยวข้องกับความเป็นส่วนตัวของผู้อุทธรณ์และเป็นวัตถุประสงค์ที่ได้รับการปกป้องตามกฎหมาย และผู้อุทธรณ์ทั้งหมดได้รับการละเมิดความเป็นส่วนตัวจากการรั่วไหลข้อมูลนี้” และด้วยเหตุนี้ หลังจากที่เกิดการรั่วไหลข้อมูล Benesse ได้เริ่มต้นการตอบสนองทันที ดำเนินมาตรการป้องกันการขยายผลกระทบของการรั่วไหลข้อมูล และทำรายงานการสอบสวนตามคำสั่งจากหน่วยงานผู้ดูแล นอกจากนี้ ยังส่งจดหมายขอโทษถึงลูกค้าที่คาดว่าข้อมูลของพวกเขาอาจจะรั่วไหล และแจกคูปองมูลค่า 500 เยนตามที่ลูกค้าเลือก และผู้อุทธรณ์ทั้งหมดได้รับคูปองเงินอิเล็กทรอนิกส์มูลค่า 500 เยน ดังนั้น ศาลได้สั่งให้ Benesse ชำระค่าเสียหายจำนวน 2,000 เยนต่อคน

ตัวอย่างคดีที่สองที่ยอมรับความรับผิดชอบของบริษัท Benesse

ในวันที่ 6 กันยายน 2562 (2019) ที่ศาลชั้นต้นโตเกียว มีคำพิพากษาในคดีที่ลูกค้า 13 คนฟ้องบริษัทและบริษัทที่เกี่ยวข้องเรียกค่าเสียหายรวม 980,000 เยน ศาลสั่งให้บริษัท Benesse และบริษัท Shinform จ่ายเงินให้แต่ละคน 3,000 เยน (มีคนหนึ่งได้รับ 3,300 เยน) รวมทั้งหมด 42,300 เยน

ศาลไม่ยอมรับความรับผิดชอบของผู้ใช้งานของบริษัท Benesse ต่อบริษัท Shinform ที่ผู้ฟ้องเรียกร้อง โดยอ้างว่าเป็นบริษัทที่แยกกัน แต่บริษัท Shinform ไม่ได้ทบทวนการตั้งค่าซอฟต์แวร์รักษาความปลอดภัย ทำให้สามารถถ่ายโอนข้อมูลจากคอมพิวเตอร์สำหรับงานไปยังสมาร์ทโฟนที่รองรับ MTP ดังนั้น มีความผิดที่ฝ่าฝืนหน้าที่ในการควบคุมการเขียนข้อมูลออก และบริษัท Benesse ในการที่ได้รับมอบหมายการจัดการข้อมูลลูกค้าจำนวนมากสำหรับการพัฒนาระบบนี้ ควรรับผิดชอบในการเลือกและตรวจสอบบริษัทที่ได้รับมอบหมายตามหลักศีลธรรมต่อลูกค้าทั้งหมดที่รวมถึงผู้ฟ้อง ดังนั้น ศาลยอมรับการกระทำผิดร่วมกัน (มาตรา 719 ข้อ 1 ของกฎหมายญี่ปุ่น) และสั่งให้จ่ายเงินค่าเสียหายให้กับผู้ฟ้อง

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

ในคำพิพากษานี้ มีการอ้างถึงมาตรา 22 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น ที่กำหนดว่า “ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคล ในกรณีที่มอบหมายการจัดการข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วน ต้องดำเนินการตรวจสอบที่เหมาะสมและจำเป็นต่อผู้ที่ได้รับมอบหมาย เพื่อให้การจัดการข้อมูลส่วนบุคคลที่ได้รับมอบหมายมีความปลอดภัย” และมีการชี้แจงว่า “การตรวจสอบที่เหมาะสมและจำเป็น” ในแนวทางของกระทรวงเศรษฐกิจ ญี่ปุ่น ปี 21 ฮีเซ (2009) รวมถึงการเลือกบริษัทที่ได้รับมอบหมายอย่างเหมาะสม การทำสัญญาที่จำเป็นเพื่อให้บริษัทที่ได้รับมอบหมายปฏิบัติตามมาตรการจัดการความปลอดภัยตามมาตรา 20 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล และการทราบสถานะการจัดการข้อมูลส่วนบุคคลที่ได้รับมอบหมายที่บริษัทที่ได้รับมอบหมาย

สรุป

ในตอนแรก บริษัทเบเนสเซ่ได้เตรียมเงินทุน 20 พันล้านเยนเพื่อชดเชยผู้ประสบความเสียหาย แต่กลับพบว่ายังไม่เพียงพอ ในเดือนพฤศจิกายน พ.ศ. 2557 (พ.ศ. 2014) สมาคมส่งเสริมสังคมและเศรษฐกิจด้านข้อมูลของญี่ปุ่นได้ยกเลิกเครื่องหมายความเป็นส่วนตัวที่บริษัทเบเนสเซ่โฮลดิ้งส์ได้รับ ซึ่งเป็นสัญลักษณ์ที่ให้แก่บริษัทที่จัดการข้อมูลส่วนบุคคลอย่างเหมาะสม ในเดือนเมษายน พ.ศ. 2558 (พ.ศ. 2015) จำนวนสมาชิกของ “Shinken Seminar” และ “Kodomo Challenge” ลดลงเป็น 2.71 ล้านคน หรือลดลง 940,000 คนเมื่อเทียบกับเดือนเดียวกันในปีก่อน ๆ และในไตรมาสที่ 4-6 การตัดสินบัญชีรวมแสดงว่ายอดขายลดลง 7% เมื่อเทียบกับช่วงเดียวกันในปีก่อน ๆ และกำไรจากการดำเนินงานลดลง 88% ผลประกอบการดำเนินงานเปลี่ยนจากกำไร 3.91 พันล้านเยนในช่วงเดียวกันในปีก่อน ๆ เป็นขาดทุน 430 ล้านเยน ความเสี่ยงที่เกี่ยวข้องกับการชดเชยความเสียหายจากการรั่วไหลของข้อมูลส่วนบุคคลอาจกลายเป็นปัญหาที่สำคัญสำหรับธุรกิจ