Şirketlerin Kişisel Bilgi Sızıntıları ve Tazminat Riski

Şirket yönetimini çevreleyen riskler arasında yönetim krizleri, şirketin güvenlik önlemlerine aykırı davranışları sonucu oluşan kazalar bulunmaktadır. Ancak, son yıllarda, kişisel bilgilerin sızdırılması ve bunun sonucunda ortaya çıkan tazminat riskleri de büyük bir sorun haline gelmiştir.

Tokyo Ticaret Araştırması, 2019 yılında halka açık şirketler ve bunların iştiraklerinin kişisel bilgi sızıntıları ve kayıp kazalarını 66 şirketin açıkladığını, kaza sayısının 86 olduğunu ve sızdırılan kişisel bilgilerin 9.031.734 kişiye ulaştığını bildirmiştir. Bu duruma, halka açık olmayan şirketler, yabancı şirketler, devlet kurumları, yerel yönetimler ve okullar eklenirse, bu sayının astronomik boyutlara ulaşma olasılığı da vardır.

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Kişisel bilgi sızıntı ve kayıp kazaları arasında, hala en büyüğü, 2014 yılında (Gregorian takvimine göre) Temmuz ayında ortaya çıkan ve Benesse Holdings (Benesse Corporation) tarafından müşteri bilgilerinin yetkisiz bir şekilde alınması sonucu 35.040.000 kişinin kişisel bilgilerinin sızdırıldığı olaydır. Ancak, 2019 yılında bu olayla ilgili davalarda yeni gelişmeler görüldü.
Benesse’nin sorununu düzenlerken, şirketlerin kişisel bilgi sızıntıları ve tazminat riskleri hakkında düşünmeye devam ediyoruz.

Benesse Kişisel Bilgi Sızıntı Olayı Nedir?

2014 yılının Haziran ayında, Benesse müşterilerine “Just System” adlı uzaktan eğitim şirketinden direkt postalar gelmeye başladı. Bu durum, sadece Benesse’ye kayıtlı olan kişisel bilgilerin kullanıldığı ve Benesse’den kişisel bilgilerin sızdığı şüphelerini artırdı.

27 Haziran’da Benesse, şirket içi bir soruşturma başlattı ve aynı ayın 30’unda durumu polise ve Ekonomi, Ticaret ve Sanayi Bakanlığı’na bildirdi. 9 Temmuz’da bir basın toplantısı düzenleyerek, Shinken Seminar ve diğerlerinden çocuklar ve ebeveynlerin adları, adresleri, telefon numaraları, cinsiyetleri, doğum tarihleri gibi kişisel bilgilerin sızdığını açıkladı.

17 Temmuz’da, müşteri bilgilerinin yönetimini Benesse ile ilişkili olan Synform şirketine devreden bir sistem mühendisi, 39 yaşında, şirketin veritabanı sistemini yönetmek ve müşteri bilgilerine erişim yetkisine sahip olmakla suçlandı. Bu kişi, kişisel bilgileri çalmış ve bir liste satıcısına satmıştı ve bu nedenle tutuklandı.

Eylül ayında Benesse, bir basın toplantısı düzenleyerek, müşteri bilgi sızıntılarının sayısının 35.04 milyon olduğunu açıkladı ve kişisel bilgi sızıntısı mağdurlarına tazminat olarak 200 milyar yen (yaklaşık 1.8 milyar dolar) ayırdığını belirtti. Ancak, sızıntının doğrulandığı müşterilere özür mektubu göndermeye ve müşterilerin seçimine göre, 500 yenlik bir hediye çeki (elektronik para hediyesi veya ulusal kitap hediye kartı) göndermeye veya her sızıntı için 500 yen’i çocuklara destek amacıyla kurulan Benesse Çocuk Fonu’na bağışlamaya karar verdi.

Bu duruma karşı, mağdurların bir kısmı tarafından, birçok avukat grubu oluşturuldu ve toplu dava açıldı. 2019 yılında bu konuda bazı gelişmeler oldu. Ayrıca, kişisel bilgileri çaldığı için Haksız Rekabetin Önlenmesi Yasası’na (iş sırlarının çoğaltılması, ifşa edilmesi) aykırı hareket ettiği iddia edilen sistem mühendisi hakkında açılan ceza davası, 21 Mart 2017 tarihli Tokyo Yüksek Mahkemesi kararıyla, 2.5 yıl hapis ve 3 milyon yen para cezası olmak üzere hüküm kesinleşmiştir.

Yüksek Mahkemenin Kararı ve Temyiz Mahkemesine Geri Gönderme

Bir erkek ve çocuğunun adı, adresi, telefon numarası vb. bilgilerinin sızdırılması sonucu ruhsal acı çektiklerini belirterek, erkek kişi Benesse’den kişisel olarak 100.000 yen tazminat talep etti. Yüksek Mahkeme, orijinal mahkeme olan Osaka Yüksek Mahkemesi’nin kararını bozdu ve duruşmayı tamamlamadığı gerekçesiyle davayı geri gönderdi.

Geri göndermeden önceki ilk duruşmada, Kobe Bölge Mahkemesi Himeji Şubesi (2 Aralık 2015 tarihli karar), Benesse’nin yönettiği erkeğin adının sızdırıldığını tartışmasız bir gerçek olarak kabul etti. Ancak, bu durumun Benesse’nin ihmali sonucu olduğunu belirleyecek somut durumların iddia ve kanıtlanmasının olmadığını belirterek, erkeğin talebini reddetti.

Buna karşılık, erkeğin temyiz ettiği temyiz duruşması (Osaka Yüksek Mahkemesi, 29 Haziran 2016 tarihli karar), davalının yönettiği davacının çocuğunun adı, cinsiyeti, doğum tarihi, posta kodu, adresi, telefon numarası, veli adı (davacının adı) sızdırıldığını kabul etti. Bu durumu, davacının adı, posta kodu, adresi, telefon numarası ve ailesinin adı, cinsiyeti, doğum tarihi gibi kişisel bilgilerinin sızdırıldığı şeklinde kabul etti. Ancak, davacının kişisel bilgilerinin sızdırılmasının, normal bir insanın genel hislerine göre, sadece rahatsızlık hissi değil, aynı zamanda endişe duyabileceği bir durum olduğunu kabul etti. Ancak, sadece bu tür bir rahatsızlık hissi duyulduğunda, bunu ihlal edilen çıkarlar olarak kabul edip hemen tazminat talep edilemez. Bu nedenle, yukarıda belirtilen rahatsızlık hissini aşan bir zararın iddia ve kanıtlanmasının olmadığı gerekçesiyle temyizi reddetti.

Yüksek Mahkemenin Kararı

Davacı, buna karşı temyiz kabulü başvurusunda bulundu. Yüksek Mahkeme, bu başvuruyu kabul etti ve bu sızıntı sonucunda davacının gizliliğinin ihlal edildiğini belirtti. Ancak, Osaka Yüksek Mahkemesi, davacının gizliliğinin ihlal edilmesi sonucu oluşan ruhsal zararın varlığı ve derecesi hakkında yeterince duruşma yapmadan, sadece rahatsızlık hissi aşan zararın iddia ve kanıtlanmasının yapılmadığı gerekçesiyle hemen davacının talebini reddetti. Bu nedenle, bu tür bir orijinal mahkemenin kararı, haksız fiil hukukunda zarar hakkındaki yasaların yorum ve uygulamasını yanlış anladığı ve bu nedenle yukarıdaki noktada duruşmayı tamamlamadığı için hukuka aykırıdır. Bu nedenle, orijinal kararı bozdu ve davalının ihmali ve davacının ruhsal zararının varlığı ve derecesi hakkında daha fazla duruşma yapmak için bu dava Yüksek Mahkemeye geri gönderildi (Yüksek Mahkeme, 23 Ekim 2017 tarihli karar).

https://monolith.law/reputation/privacy-invasion[ja]

Temyiz Mahkemesine Geri Gönderme Kararı

Geri gönderme duruşmasında Osaka Yüksek Mahkemesi (20 Kasım 2019 tarihli karar), bu olayda çalışan, MTP uyumlu bir akıllı telefonu iş bilgisayarının USB portuna bir USB kablosu kullanarak bağladı ve MTP iletişimi ile veri aktardı. Şirket, MTP uyumlu bir akıllı telefonu yukarıdaki ofise getirerek, bu kişisel bilgilere erişimin olmaması gibi uygun önlemler alması gereken bir dikkat borcu vardı, ancak bu göz ardı edildi. Benesse, yönettiği bu kişisel bilgilerin kullanımını kabul eden Synform şirketine karşı uygun bir denetim yükümlülüğü ihlal etti ve sonuç olarak, çalışanın sızıntısına neden oldu. Bu nedenle, bu durumdan kaynaklanan zararlar için haksız fiil sorumluluğu taşır. Bu, iki şirketin ortak haksız fiili olarak kabul edildi (Japon Medeni Kanunu’nun 719. maddesi, 1. fıkra, ilk cümle).

Ardından, Kişisel Bilgi Koruma Yasası’nın 22. maddesine göre, “Kişisel bilgi işleyen işletmeler, kişisel verilerin tümünün veya bir kısmının işlenmesini başkasına devrettiğinde, devredilen kişisel verilerin güvenli yönetiminin sağlanması için, devralan kişiye gerekli ve uygun denetimi yapmalıdır” hükmüne aykırı olarak, gizliliği ihlal edildiği kabul edilirken, davacının adresi, adı ve telefon numarası gibi bilgilerin web sitelerinde vb. yerlerde açıklanmış olması gibi durumlar göz önünde bulundurularak, tazminat olarak 1.000 yen ödeme emri verildi.

Bu dava, Benesse’nin tazminat sorumluluğunu kabul eden üçüncü örnektir. Bu makalenin başında “2019 yılında bu olayla ilgili birkaç dava hakkında yeni gelişmeler görüldü” diye yazmıştık, ancak Benesse’nin tazminat sorumluluğunu kabul eden üç kararın hepsi 2019 yılında verildi.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Benesse’nin Sorumluluğunu Kabul Eden İlk Yargı Kararı

Birinci Derece Mahkeme Kararı

Bir erkek, Benesse’nin kendisinin, eşinin ve oğlunun kişisel bilgilerini dışarıya sızdırdığı ve bu durumun ruhsal acıya neden olduğunu iddia ederek, haksız eylem temelinde tazminat talep etti. İlk kez, Benesse’nin sorumluluğu kabul edildi.

Birinci derece mahkeme (Yokohama Bölge Mahkemesi, 16 Şubat 2017 tarihli karar) Benesse’nin dikkat yükümlülüğünü ihlal ettiğini kabul etti, ancak kişisel verilerin nasıl ele alındığına dair yükümlülüğü ihlal ettiğini kabul etmek için somut kanıtların yetersiz olduğunu belirtti ve Benesse’ye karşı talebi reddetti. Bu nedenle, erkek ve diğerleri temyize başvurdu.

Birinci derece mahkemede, Benesse’nin Ekonomi, Ticaret ve Sanayi Bakanı’ndan Kişisel Bilgi Koruma Yasası’nın (Japon Kişisel Bilgi Koruma Yasası) 20. ve 22. maddelerindeki yükümlülükleri ihmal ettiği ve bu durumun bilgi sızıntısına yol açtığı belirtildi. Ancak, bu yasa maddesine dayalı öneri, kişisel hak ve çıkarların korunması gerektiği kabul edildiğinde yapılır ve bilgi sızıntısının oluştuğu anda sonuç öngörme yükümlülüğü veya sonucu önleme yükümlülüğünün varlığı veya ihlali gerektirmez. Bu nedenle, sadece bu önerinin yapıldığı gerçeği, bilgi sızıntısının meydana geldiği anda Benesse’nin Medeni Kanun 709. maddeye göre kusurunun olduğunu kabul etmek için yeterli değildir.

Temyiz Mahkemesi Kararı

Buna karşılık, temyiz mahkemesi olan Tokyo Yüksek Mahkemesi (27 Haziran 2019 tarihli karar), yüksek düzeyde bilgi uygulaması veya özel tekniklerin kullanılmasını gerektirmeyen, sadece bir akıllı telefonun iş bilgisayarına bir USB kablosu ile bağlanması ve veri transferinin mümkün olduğunu fark etmesi üzerine basit bir suç işlendiği gerçeğini kabul etti. Ayrıca, Benesse’nin, sızıntı sırasında, kişisel bilgilerin yönetimi konusunda taşeronlara uygun denetim yapma yükümlülüğünü ihmal ettiği kabul edildi. Bu nedenle, bu iki şirketin haksız eylemleri, ortaklaşa haksız eylem (Medeni Kanun 719. madde 1. fıkra) olarak kabul edildi.

Daha sonra, “Temyiz başvurusunda bulunanların, bu kişisel bilgiler hakkında, kendilerinin istemediği başkalarının rastgele açıklanmasını istememeleri doğal bir durumdur, bu nedenle bu kişisel bilgiler, temyiz başvurusunda bulunanların gizlilik bilgileri olarak hukuki koruma konusu olmalıdır ve bu sızıntı nedeniyle, temyiz başvurusunda bulunanların gizlilikleri ihlal edilmiştir” denildi. Bunun üzerine, sızıntının ortaya çıkmasının hemen ardından yanıt vermeye başladılar, bilgi sızıntısının zararlarının genişlemesini önlemek için önlemler aldılar ve denetim kurumlarına raporlar ve talimatlara dayalı araştırma raporları sundular. Ayrıca, bilgilerin sızdığı düşünülen müşterilere özür mektubu gönderdiler ve 500 yen değerinde hediye çeki dağıttılar. Temyiz başvurusunda bulunanlar da her biri 500 yenlik elektronik para hediyesini kabul etti. Bu durumu göz önünde bulundurarak, Benesse’nin her birine 2000 yen tazminat ödemesi emredildi.

Benesse’nin Sorumluluğunu Kabul Eden İkinci Mahkeme Kararı

13 müşterinin, toplamda 980.000 yen tazminat talep ettiği dava, 6 Eylül 2019’da (2019) Tokyo Bölge Mahkemesi’nde görüldü ve Benesse ve Shinform şirketlerine, kişi başı 3.000 yen (bir kişi için 3.300 yen) olmak üzere toplam 42.300 yen ödeme yapılması emredildi.

Mahkeme, davacıların Benesse’nin Shinform şirketine karşı işveren sorumluluğunu, ayrı bir tüzel kişilik olduğu gerekçesiyle kabul etmedi. Ancak, Shinform şirketi, güvenlik yazılımının ayarlarını gözden geçirmedi ve sonuç olarak iş bilgisayarından MTP uyumlu akıllı telefonlara veri transferi mümkün hale geldi. Bu nedenle, bilgi yazma kontrol önlemlerine aykırı bir hata yapmış olması gerektiği belirtildi. Benesse, büyük miktarda müşteri bilgisini bu sistem geliştirme vb. için Shinform’a devrederken, davacılar da dahil olmak üzere müşterilere karşı, dürüstlük ilkesi gereği, taşeron seçim ve denetim sorumluluğunu taşımalıydı. Bu nedenle, ortaklaşa hukuka aykırı eylem (Japon Medeni Kanunu’nun 719. maddesi 1. fıkrası) kabul edildi ve davacılara tazminat ödenmesi emredildi.

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

Bu kararda da, Kişisel Bilgi Koruma Yasası’nın 22. maddesinde, “Kişisel bilgi işlem işletmecisi, kişisel verilerin işlenmesinin tamamını veya bir kısmını devrettiğinde, devredilen kişisel verilerin güvenli yönetiminin sağlanması için, devralan kişiye gerekli ve uygun denetimi yapmalıdır.” hükmüne atıfta bulunuldu. Ayrıca, 2009 (Heisei 21) yılında Ekonomi, Ticaret ve Sanayi Bakanlığı’nın yayınladığı yönergede, “gerekli ve uygun denetim” kapsamında, taşeronun uygun bir şekilde seçilmesi, Kişisel Bilgi Koruma Yasası’nın 20. maddesine dayalı güvenli yönetim önlemlerine uyulması için gerekli sözleşmenin yapılması ve taşeronun kişisel verilerin işlenme durumunun anlaşılması gerektiği belirtildi.

Özet

Benesse başlangıçta, mağdurlara tazminat olarak 20 milyar yen (yaklaşık 1.1 milyar TL) ayırmıştı, ancak bu miktar yetersiz kaldı. Kasım 2014’te, Japonya Bilgi Ekonomisi Toplum Geliştirme Derneği, Benesse Holdings’in sahip olduğu ve kişisel bilgileri uygun bir şekilde yöneten şirketlere verilen ‘Japon Gizlilik İşareti’ni iptal etti. Nisan 2015’te “Shinken Zemi” ve “Kodomo Challenge” üye sayısı 2.71 milyon olup bir önceki yıla göre 940 bin azaldı. Nisan-Haziran dönemi konsolide bilançosunda, satışlar bir önceki yıla göre %7 azaldı, işletme karı %88 azaldı ve işletme kar/zararı, bir önceki yılın 3.91 milyar yen (yaklaşık 220 milyon TL) karından 430 milyon yen (yaklaşık 24 milyon TL) zarara döndü. Kişisel bilgi sızıntısı nedeniyle tazminat riski, şirketler için hayati bir sorun haline gelebilir.