Ризик витоку особистих даних у компаніях та відшкодування збитків

Ризики, що оточують управління підприємством, включають кризу управління, аварії, спричинені порушенням обов’язку забезпечення безпеки з боку підприємства, але в останні роки великою проблемою стає витік особистої інформації та ризик відшкодування збитків, спричинених цим.

Токійське дослідницьке товариство комерції повідомило, що у 2019 році 66 компаній, що входять до складу біржових компаній та їх дочірніх підприємств, оголосили про витоки та втрати особистої інформації, кількість інцидентів становила 86, а витоки особистої інформації досягли 9 031 734 осіб. Якщо до цього додати небіржові компанії, закордонні компанії, державні установи, місцеві органи влади, школи тощо, ця кількість може зрости до астрономічних розмірів.

Серед випадків витоку та втрати особистої інформації найбільшим до цього часу залишається витік інформації про 35 040 000 осіб, спричинений незаконним отриманням інформації про клієнтів працівником компанії, якій було доручено обслуговування, виявлений у липні 2014 року (Benesse Holdings, Benesse Corporation). Однак у 2019 році в декількох судових процесах, пов’язаних з цим інцидентом, були виявлені нові обставини.
Розглядаючи проблему Benesse, ми розглянемо ризик витоку особистої інформації та відшкодування збитків для підприємств.

Що таке інцидент з витоком особистої інформації від Benesse

Близько червня 2014 року, клієнти Benesse почали отримувати прямі поштові відправлення від компанії “Just System”, яка займається дистанційною освітою. Це призвело до різкого зростання запитів, чи не використовується особиста інформація, зареєстрована лише в Benesse, або чи не витікає особиста інформація з Benesse.

27 червня Benesse розпочала внутрішнє розслідування, 30 червня повідомила поліцію та Міністерство економіки, торгівлі та промисловості, а 9 липня провела прес-конференцію, на якій оголосила про витік особистої інформації, такої як імена, адреси, телефонні номери, стать, дата народження дітей та їхніх батьків, які користуються послугами Benesse, включаючи “Shinken Seminar”.

17 липня було арештовано 39-річного інженера-системника, який був відповідальний за управління базою даних системи в компанії Synform, що була підрядником Benesse та мала доступ до інформації клієнтів. Він був звинувачений у тому, що виніс особисту інформацію та продав її компанії, що займається реєстрацією.

У вересні Benesse провела прес-конференцію, на якій оголосила, що кількість випадків витоку інформації клієнтів становить 35,04 мільйони. Вони вже готували 20 мільярдів єн (близько 180 мільйонів доларів) як відшкодування збитків для потерпілих від витоку особистої інформації, але знову відправили вибачення клієнтам, у яких було підтверджено витік, і оголосили, що вони виконають відшкодування шляхом відправки подарункових сертифікатів на 500 єн (електронні грошові подарунки або загальнодержавні книжкові карти) відповідно до вибору клієнтів, або пожертвування 500 єн за кожен випадок витоку до Фонду Benesse для дітей, створеного з метою підтримки дітей, які постраждали від цього витоку.

На це відреагували деякі з потерпілих, було створено кілька груп адвокатів, і було подано груповий позов. У 2019 році було декілька рухів щодо цього. Щодо кримінального випадку, у кримінальному суді над системним інженером, який був звинувачений у порушенні Закону про запобігання недобросовісній конкуренції (копіювання та розкриття комерційних таємниц) за винесення особистої інформації, 21 березня 2017 року в Токійському вищому суді було винесено остаточний вирок: 2 роки та 6 місяців ув’язнення без відстрочки виконання та штраф 3 мільйони єн.

Рішення Верховного Суду та апеляційне слухання після відправлення справи на новий розгляд

Чоловік подав позов до компанії Benesse, вимагаючи відшкодування моральної шкоди в розмірі 100 000 єн, стверджуючи, що він і його діти зазнали душевних страждань через витік їх імен, адрес та номерів телефонів. Верховний Суд Японії скасував рішення суду першої інстанції – Осакського вищого суду, стверджуючи, що справу не було належним чином розглянуто, і відправив справу на новий розгляд.

Суд першої інстанції перед відправленням справи на новий розгляд, Хімедзінський відділ Кобе Дистриктного Суду, 2 грудня 2015 року (Heisei 27) визнав, що ім’я чоловіка, яке було в управлінні Benesse, було розголошено, але відхилив позов чоловіка, стверджуючи, що не було достатньо доказів, що це сталося через недбалість Benesse.

На апеляційному слуханні (рішення Осакського вищого суду від 29 червня 2016 року (Heisei 28)), на яке чоловік подав апеляцію, було визнано, що ім’я, стать, дата народження, поштовий індекс, адреса, номер телефону та ім’я опікуна (ім’я апелянта) дитини апелянта, які були під контролем відповідача, були розголошені. Він визнав, що це може бути вважено за витік персональних даних апелянта, включаючи його ім’я, поштовий індекс, адресу, номер телефону та імена, стать та дату народження його членів сім’ї. Однак, він відхилив апеляцію, стверджуючи, що не було надано доказів, що він зазнав шкоди, що перевищує відчуття незручності, і що він не може вимагати відшкодування збитків тільки на основі цього відчуття незручності.

Рішення Верховного Суду

Коли апелянт подав клопотання про прийняття касаційної скарги, Верховний Суд прийняв його і визнав, що, хоча можна стверджувати, що приватність апелянта була порушена через витік інформації, Осакський вищий суд відхилив позов апелянта тільки на основі того, що не було надано доказів про наявність та ступінь душевної шкоди внаслідок порушення приватності, не проводячи належного розгляду цього питання. Верховний Суд визнав, що таке рішення суду першої інстанції було незаконним, оскільки воно було засноване на помилковому тлумаченні та застосуванні закону про відшкодування збитків у випадку незаконних дій, і скасував початкове рішення, відправивши справу на новий розгляд вищому суду, щоб провести додатковий розгляд щодо наявності та ступеня душевної шкоди апелянта та наявності недбалості відповідача (рішення Верховного Суду від 23 жовтня 2017 року (Heisei 29)).

Рішення апеляційного слухання після відправлення справи на новий розгляд

На слуханні після відправлення справи на новий розгляд, Осакський вищий суд (рішення від 20 листопада 2019 року (Reiwa 1)) визнав, що працівник компанії незаконно отримав персональні дані за допомогою смартфона, сумісного з MTP, підключивши його до робочого комп’ютера за допомогою USB-кабелю та передавши дані через MTP, і продав їх компанії, яка займається продажем списків імен. Він визнав, що компанія Shinform не виконала свій обов’язок забезпечити належну увагу, таку як запобігання тому, що смартфон, сумісний з MTP, потрапить до офісу та отримає доступ до персональних даних, і що Benesse порушила свій обов’язок належного нагляду над Shinform, якій було дозволено використовувати персональні дані під її контролем, в результаті чого відбувся витік інформації через дії працівника. Він визнав, що обидві компанії несуть відповідальність за незаконні дії, які призвели до збитків (пункт 1 статті 719 Цивільного кодексу Японії).

Він також визнав, що порушено статтю 22 Закону Японії “Про захист персональних даних”, яка гласить: “Оператор, який обробляє персональні дані, повинен забезпечити безпеку оброблених персональних даних, проводячи необхідний та належний нагляд над особою, якій було доручено обробку, у випадку, коли він доручає обробку всіх або частини персональних даних”. Враховуючи те, що адреса, ім’я та номер телефону апелянта були оприлюднені на веб-сайтах та інших ресурсах, він наклав обов’язок сплатити 1000 єн як відшкодування збитків.

Це третій випадок, коли було визнано відповідальність Benesse за відшкодування збитків. На початку цієї статті ми написали, що “у 2019 році було кілька нових розвитків у судових процесах, пов’язаних з цією подією”, але всі три рішення, які визнали відповідальність Benesse за відшкодування збитків, були винесені у 2019 році.

Перший судовий прецедент, що визнав відповідальність Benesse

Рішення суду першої інстанції

Вперше відповідальність Benesse було визнано в апеляційному рішенні, коли чоловік вимагав відшкодування моральної шкоди за незаконні дії, стверджуючи, що Benesse допустила витік його особистих даних, даних його дружини та сина.

Суд першої інстанції (Рішення Йокогамського окружного суду від 16 лютого 2017 року) визнав, що Benesse порушила обов’язок бути уважним, але відхилила вимогу до Benesse, оскільки не було достатньо доказів конкретних фактів, що порушили обов’язок контролювати обробку персональних даних. Внаслідок цього, чоловік та інші особи подали апеляцію.

У суді першої інстанції було вказано, що хоча Benesse отримала рекомендацію від Міністра економіки, торгівлі та промисловості за порушення обов’язків, передбачених статтями 20 та 22 Японського закону про захист персональних даних, і спричинила витік інформації, рекомендація за цим пунктом видається тільки тоді, коли визнається необхідність захисту прав та інтересів особи. Це не означає, що на момент витоку інформації Benesse порушила обов’язок передбачити наслідки або обов’язок уникнути наслідків. Тому просто тому, що була висловлена рекомендація, недостатньо для визнання, що на момент витоку інформації Benesse мала халатність за статтею 709 Цивільного кодексу Японії.

Рішення апеляційного суду

На це, апеляційний суд, Токійський вищий суд (Рішення від 27 червня 2019 року), вважає, що злочин було вчинено не за допомогою високих знань або спеціальних технік, а просто підключивши смартфон до робочого комп’ютера за допомогою комерційного USB-кабелю для зарядки, і виявивши, що передача даних можлива, визнав, що компанія Synform мала обов’язок бути уважною і вжити заходів контролю запису для смартфонів, що підтримують MTP, але цього не зробила. Benesse, яка доручила управління великою кількістю персональних даних, мала обов’язок бути уважною і належним чином контролювати підрядника з управління персональними даними на момент витоку, але цього не зробила. Ці незаконні дії обох компаній визнано спільними незаконними діями (передбачені пунктом 1 статті 719 Цивільного кодексу Японії).

Тоді суд зазначив, що “апелянти, які не хочуть, щоб їхні персональні дані були випадково розкриті іншим людям, мають право на захист своєї приватності, і їхні персональні дані є об’єктом юридичного захисту. Внаслідок цього витоку, апелянти були позбавлені своєї приватності”. Враховуючи те, що після виявлення витоку вони негайно почали вживати заходів, вжили заходів для запобігання поширенню шкоди від витоку інформації, провели розслідування та звітували перед наглядовим органом. Крім того, вони відправили листи з вибаченням клієнтам, які, як вони вважали, могли бути потерпілими від витоку інформації, і роздали купони на суму 500 єн за вибором. Враховуючи це, суд вирішив, що Benesse повинна заплатити кожному з них 2000 єн відшкодування збитків.

Другий судовий приклад, що визнає відповідальність Benesse

Рішення у справі, в якій 13 клієнтів вимагали від компанії та її афілійованих компаній відшкодування збитків у розмірі 980 тисяч єн, було прийнято 6 вересня 2019 року (Рейва 1) у Токійському окружному суді. Benesse та Sinform були зобов’язані сплатити 3000 єн на особу (одна особа – 3300 єн), загалом 42 300 єн.

Суд не визнав відповідальність Benesse перед Sinform, як використовувача, оскільки вони є окремими юридичними особами. Однак, Sinform не переглянув налаштування свого антивірусного програмного забезпечення, що дозволило передачу даних з робочого комп’ютера на смартфон, що підтримує MTP. Тому вони порушили обов’язок контролю за виведенням інформації. Benesse, замовляючи обробку великої кількості інформації клієнтів для розробки системи, мала брати на себе обов’язок вибору та контролю над виконавцем відповідно до принципу добросовісності, включаючи клієнтів-позивачів. Суд визнав їх спільну незаконну дію (параграф 1, частина 1, стаття 719 Японського цивільного кодексу) та наклав на них обов’язок сплатити відшкодування збитків позивачам.

У цьому рішенні також цитується стаття 22 Японського закону про захист персональних даних, яка говорить: “Оператор, який обробляє персональні дані, повинен забезпечити безпечне управління персональними даними, які були йому доручені, проводячи необхідний та відповідний нагляд за особою, якій було доручено обробку”. Також вказується на наявність вказівок Міністерства економіки, торгівлі та промисловості 2009 року (Хейсей 21) про “необхідний та відповідний нагляд”, який включає вибір відповідного виконавця, укладання необхідного договору з виконавцем для дотримання заходів безпечного управління відповідно до статті 20 Закону про захист персональних даних, та контроль за станом обробки персональних даних, які були доручені виконавцю.

Підсумки

Спочатку компанія “Бенессе” призначила 20 мільярдів єн на відшкодування збитків потерпілим, але цього виявилося недостатньо. У листопаді 2014 року, Японська асоціація з підтримки інформаційно-економічного суспільства відкликала “Приватність Марк”, який надається компаніям, що належно керують особистою інформацією, яку отримала Бенессе Холдингс. Кількість членів “Shinken Seminar” та “Kodomo Challenge” у квітні 2015 року становила 2,71 мільйона осіб, що на 940 тисяч менше, ніж у тому ж місяці попереднього року. Консолідований фінансовий результат за період з квітня по червень показав зниження обсягу продажів на 7% у порівнянні з аналогічним періодом попереднього року, а операційний прибуток знизився на 88%. Операційний прибуток перетворився з чорного числа у 3,91 мільярда єн у попередньому році на червоне число у 430 мільйонів єн. Ризик відшкодування збитків внаслідок витоку особистої інформації може стати питанням життя та смерті для компанії.