Rủi ro về việc rò rỉ thông tin cá nhân trong doanh nghiệp và bồi thường thiệt hại

Các rủi ro xung quanh việc quản lý doanh nghiệp bao gồm khủng hoảng kinh doanh, tai nạn do vi phạm nghĩa vụ chăm sóc an toàn từ phía doanh nghiệp, nhưng gần đây, rủi ro bồi thường thiệt hại do rò rỉ thông tin cá nhân cũng trở thành vấn đề lớn.

Tokyo Shoko Research đã báo cáo rằng vào năm 2019 (năm Heisei 31), có 66 công ty niêm yết và các công ty con của họ công bố về tai nạn mất hoặc rò rỉ thông tin cá nhân, với tổng số 86 vụ tai nạn, và số thông tin cá nhân bị rò rỉ đã đạt 9.031.734 người. Nếu thêm vào đó các công ty chưa niêm yết, các công ty nước ngoài, cơ quan chính phủ, tự chủ và trường học, số lượng có thể tăng lên đến mức không tưởng.

Trong số các tai nạn mất hoặc rò rỉ thông tin cá nhân, vụ lớn nhất từ trước đến nay vẫn là vụ rò rỉ thông tin cá nhân của 35.04 triệu người do nhân viên của công ty được ủy quyền của Benesse Holdings (Benesse Corporation) lấy thông tin khách hàng một cách bất hợp pháp vào tháng 7 năm 2014 (năm Heisei 26). Tuy nhiên, vào năm 2019 (năm Heisei 31), đã có một số diễn biến mới trong các vụ kiện liên quan đến sự cố này.
Chúng ta sẽ xem xét vấn đề rò rỉ thông tin cá nhân của doanh nghiệp và rủi ro bồi thường thiệt hại trong khi sắp xếp vấn đề của Benesse.

Sự kiện rò rỉ thông tin cá nhân của Benesse là gì?

Vào khoảng tháng 6 năm 2014, khách hàng của Benesse bắt đầu nhận được thư trực tiếp từ công ty giáo dục trực tuyến “Just System”. Điều này đã dẫn đến sự tăng vọt trong số lượng yêu cầu xác minh liệu thông tin cá nhân mà họ chỉ đăng ký với Benesse có đang được sử dụng hay không, và liệu thông tin cá nhân của họ có bị rò rỉ từ Benesse hay không.

Vào ngày 27 tháng 6, Benesse đã bắt đầu điều tra nội bộ và đã báo cáo cho cảnh sát và Bộ Kinh tế, Thương mại và Công nghiệp vào ngày 30 cùng tháng. Vào ngày 9 tháng 7, họ đã tổ chức một cuộc họp báo và công bố rằng thông tin cá nhân bao gồm tên, địa chỉ, số điện thoại, giới tính, ngày tháng năm sinh của trẻ em và người giám hộ đã bị rò rỉ.

Vào ngày 17 tháng 7, một kỹ sư hệ thống 39 tuổi, người có quyền truy cập vào thông tin khách hàng và đang quản lý hệ thống cơ sở dữ liệu của công ty, đã bị bắt vì đã mang thông tin cá nhân ra khỏi công ty và bán cho một công ty danh sách. Người này làm việc cho một nhà thầu mà công ty Synform, một công ty liên kết với Benesse và chịu trách nhiệm quản lý thông tin khách hàng, đã giao phó.

Vào tháng 9, Benesse đã tổ chức một cuộc họp báo khác và công bố số lượng thông tin khách hàng bị rò rỉ là 35,04 triệu. Họ đã chuẩn bị 20 tỷ yên (khoảng 200 triệu đô la) để bồi thường cho những nạn nhân của rò rỉ thông tin cá nhân. Họ đã gửi thư xin lỗi đến khách hàng mà thông tin của họ đã bị rò rỉ và đã thực hiện việc bồi thường bằng cách gửi phiếu quà tặng trị giá 500 yên (dưới dạng tiền điện tử hoặc thẻ sách quốc gia) hoặc đóng góp 500 yên cho mỗi trường hợp rò rỉ thông tin cá nhân vào Quỹ Benesse dành cho trẻ em, một tổ chức phi lợi nhuận được thành lập để hỗ trợ trẻ em sau sự cố rò rỉ này.

Đối với điều này, một số nạn nhân đã thành lập nhiều nhóm luật sư và đã khởi kiện tập thể. Có một số diễn biến liên quan đến vụ kiện này vào năm 2019. Trong khi đó, trong vụ kiện hình sự, kỹ sư hệ thống đã bị kết tội vi phạm Luật cạnh tranh không hợp pháp của Nhật Bản (sao chép và tiết lộ bí mật kinh doanh) vì đã mang thông tin cá nhân ra khỏi công ty. Vào ngày 21 tháng 3 năm 2017, Tòa án cấp cao Tokyo đã xác nhận bản án tù 2 năm 6 tháng và phạt 3 triệu yên mà không có án treo.

Phán quyết của Tòa án tối cao và phúc thẩm sau khi trả lại

Một người đàn ông và tên của con trai, địa chỉ, số điện thoại, v.v. đã bị rò rỉ và anh ta đã chịu đựng nỗi đau tinh thần, trong một vụ kiện mà người đàn ông yêu cầu Benesse trả 100.000 yên tiền đền bù tinh thần, Tòa án tối cao đã hủy bỏ phán quyết của Tòa án cao cấp Osaka, là tòa án sơ thẩm, và đã trả lại vụ kiện vì không thực hiện đầy đủ việc xem xét.

Tại phiên tòa sơ thẩm trước khi trả lại, Tòa án quận Kobe, chi nhánh Himeji, vào ngày 2 tháng 12 năm 2015 (năm 2015), đã xác nhận là sự thật không còn tranh cãi rằng tên của người đàn ông mà Benesse quản lý đã bị rò rỉ, và đã từ chối yêu cầu của người đàn ông vì không có bằng chứng cụ thể đủ để xác định rằng điều này là do sự cẩu thả của Benesse.

Đối với điều này, người đàn ông đã kháng cáo và trong phiên tòa phúc thẩm (phán quyết ngày 29 tháng 6 năm 2016 của Tòa án cao cấp Osaka), đã xác nhận rằng tên, giới tính, ngày tháng năm sinh, mã bưu điện, địa chỉ, số điện thoại, tên người giám hộ (tên của người kháng cáo) của con trai người kháng cáo mà người bị kháng cáo quản lý đã bị rò rỉ, và dựa trên điều này, có thể nói rằng thông tin cá nhân của người kháng cáo bao gồm tên, mã bưu điện, địa chỉ, số điện thoại và tên, giới tính, ngày tháng năm sinh của người trong gia đình của mình đã bị rò rỉ. Tuy nhiên, mặc dù đã công nhận rằng việc rò rỉ thông tin cá nhân của người kháng cáo như trên, theo cảm giác chung của người bình thường, không chỉ gây cảm giác khó chịu mà còn có thể gây ra lo lắng, nhưng chỉ vì cảm thấy khó chịu như vậy, không thể yêu cầu bồi thường thiệt hại ngay lập tức như là lợi ích bị xâm phạm, và đã từ chối kháng cáo vì không có bằng chứng về việc chịu thiệt hại vượt quá cảm giác khó chịu như trên.

Phán quyết của Tòa án tối cao

Khi người kháng cáo đã nộp đơn xin chấp nhận kháng cáo, Tòa án tối cao đã chấp nhận điều này và, mặc dù có thể nói rằng người kháng cáo đã bị xâm phạm quyền riêng tư của mình do việc rò rỉ này, Tòa án cao cấp Osaka đã quyết định nên từ chối yêu cầu của người kháng cáo ngay lập tức chỉ từ việc không có bằng chứng về việc xảy ra thiệt hại vượt quá cảm giác khó chịu, mà không xem xét đầy đủ về sự tồn tại và mức độ của thiệt hại tinh thần của người kháng cáo do việc xâm phạm quyền riêng tư, và vì vậy, phán quyết gốc đã bị hủy bỏ vì vi phạm pháp luật do sai lầm trong việc diễn giải và áp dụng quy định pháp luật về thiệt hại trong hành vi phạm pháp, và vụ kiện đã được trả lại cho Tòa án cao cấp để tiếp tục xem xét về sự tồn tại và mức độ của sự cẩu thả của người bị kháng cáo và thiệt hại tinh thần của người kháng cáo (phán quyết ngày 23 tháng 10 năm 2017 của Tòa án tối cao).

Phán quyết của phiên tòa phúc thẩm sau khi trả lại

Tại phiên tòa sau khi trả lại, Tòa án cao cấp Osaka (phán quyết ngày 20 tháng 11 năm 2019) đã xác định rằng, nhân viên trong vụ việc này đã sử dụng phương pháp truyền dữ liệu qua giao tiếp MTP bằng cách kết nối điện thoại thông minh tương thích MTP với cổng USB của máy tính dùng cho công việc bằng cáp USB và bán thông tin cá nhân mà họ đã thu thập một cách bất hợp pháp cho người kinh doanh danh sách, nhưng công ty Shinform đã phải chịu trách nhiệm chú ý phải thực hiện các biện pháp thích hợp như không cho phép mang điện thoại thông minh tương thích MTP vào phòng làm việc như trên và không tiếp xúc với thông tin cá nhân trong vụ việc này, nhưng đã bỏ qua điều này, và Benesse đã vi phạm nghĩa vụ giám sát thích hợp đối với Shinform, mà họ đã cho phép sử dụng thông tin cá nhân mà họ quản lý, và do đó, họ đã gây ra việc rò rỉ do nhân viên, và do đó, họ phải chịu trách nhiệm phạm pháp cho thiệt hại phát sinh do điều này, và họ đã xác định rằng đây là hành vi phạm pháp chung của cả hai công ty (Điều 719, Đoạn 1, Phần đầu của Bộ luật dân sự).

Và sau đó, vi phạm Điều 22 của Luật bảo vệ thông tin cá nhân, “Khi một người kinh doanh xử lý thông tin cá nhân ủy thác việc xử lý toàn bộ hoặc một phần của dữ liệu cá nhân, họ phải thực hiện giám sát cần thiết và thích hợp đối với người nhận ủy thác để đảm bảo quản lý an toàn của dữ liệu cá nhân mà họ đã được ủy thác”, và trong khi công nhận rằng quyền riêng tư đã bị xâm phạm, dựa trên việc địa chỉ, tên, số điện thoại của người kháng cáo đã được công bố trên trang web và những nơi khác, họ đã ra lệnh thanh toán 1.000 yên tiền bồi thường thiệt hại.

Đây là vụ kiện thứ ba công nhận trách nhiệm bồi thường của Benesse. Tôi đã viết ở đầu bài viết này rằng “Có một số sự phát triển mới trong một số vụ kiện liên quan đến vụ việc này vào năm 2019”, nhưng tất cả ba phán quyết công nhận trách nhiệm bồi thường của Benesse đã được đưa ra vào năm 2019.

Phán quyết đầu tiên công nhận trách nhiệm của Benesse

Phán đoán của tòa án sơ thẩm

Một người đàn ông đã yêu cầu bồi thường tinh thần dựa trên hành vi phạm pháp vì cho rằng anh ta và vợ, con trai đã chịu đau khổ tinh thần do Benesse để lộ thông tin cá nhân của họ ra bên ngoài. Trong phán quyết của tòa phúc thẩm, trách nhiệm của Benesse đã được công nhận lần đầu tiên.

Tòa án sơ thẩm (Tòa án quận Yokohama, ngày 16 tháng 2 năm 2017) đã công nhận rằng Benesse đã vi phạm nghĩa vụ cảnh báo, nhưng đã từ chối yêu cầu đối với Benesse vì không có bằng chứng cụ thể đủ để công nhận rằng họ đã vi phạm nghĩa vụ nắm bắt tình hình xử lý dữ liệu cá nhân, do đó, người đàn ông và người khác đã kháng cáo.

Ở tòa án sơ thẩm, mặc dù Benesse đã nhận được lời khuyên dựa trên điều 34, khoản 1 của Luật bảo vệ thông tin cá nhân từ Bộ trưởng Bộ Kinh tế, Thương mại và Công nghiệp vì đã bỏ qua nghĩa vụ theo điều 20 và 22 của Luật và gây ra rò rỉ thông tin trong vụ việc này, tuy nhiên, lời khuyên dựa trên điều này được đưa ra khi cần thiết để bảo vệ quyền lợi của cá nhân, và không yêu cầu sự tồn tại hoặc vi phạm nghĩa vụ dự đoán kết quả hoặc nghĩa vụ tránh kết quả tại thời điểm rò rỉ thông tin. Do đó, chỉ vì lời khuyên đã được đưa ra, không đủ để công nhận rằng Benesse đã có lỗi theo điều 709 của Bộ luật dân sự tại thời điểm rò rỉ thông tin trong vụ việc này.

Phán đoán của tòa phúc thẩm

Đối với điều này, tòa phúc thẩm là Tòa án cao cấp Tokyo (phán quyết ngày 27 tháng 6 năm 2019) đã công nhận rằng công ty Synform đã có lỗi vì đã không thực hiện biện pháp kiểm soát viết ra cho điện thoại thông minh tương thích MTP, mặc dù đây không phải là một tội phạm phức tạp được thực hiện bằng cách áp dụng kiến thức cao cấp hoặc sử dụng kỹ thuật đặc biệt, mà chỉ là một tội phạm đơn giản được thực hiện khi nghĩ ra việc chuyển dữ liệu có thể thực hiện được khi kết nối điện thoại thông minh với máy tính dùng cho công việc bằng cáp USB thương mại để sạc. Benesse, người đã ủy thác quản lý thông tin cá nhân lớn, đã có lỗi vì đã không thực hiện giám sát thích hợp đối với nhà thầu về quản lý thông tin cá nhân tại thời điểm rò rỉ. Hành vi phạm pháp của hai công ty này được xem là hành vi phạm pháp chung (điều 719, khoản 1, phần đầu của Bộ luật dân sự).

Và sau đó, “Nguyên đơn, về thông tin cá nhân này, tự nhiên họ không muốn nó được tiết lộ một cách tùy tiện cho người khác mà họ không muốn, vì vậy, thông tin cá nhân này là đối tượng của sự bảo vệ pháp lý như thông tin liên quan đến quyền riêng tư của nguyên đơn, và nguyên đơn đã bị xâm phạm quyền riêng tư của mình do rò rỉ này,” và dựa trên việc bắt đầu phản ứng ngay sau khi rò rỉ được phát hiện, thực hiện biện pháp để ngăn chặn sự mở rộng của thiệt hại do rò rỉ thông tin, và thực hiện báo cáo điều tra dựa trên báo cáo và hướng dẫn cho cơ quan giám sát. Ngoài ra, họ đã gửi thư xin lỗi đến khách hàng mà họ nghĩ rằng thông tin của họ đã bị rò rỉ, và phân phát phiếu quà tặng trị giá 500 yên tùy theo lựa chọn, và nguyên đơn cũng đã nhận được quà tặng tiền điện tử trị giá 500 yên mỗi người, dựa trên điều này, họ đã ra lệnh cho Benesse trả tiền bồi thường thiệt hại 2000 yên cho mỗi người.

Thụ án thứ hai công nhận trách nhiệm của Benesse

Phán quyết của vụ kiện mà 13 khách hàng yêu cầu công ty và các công ty liên kết bồi thường thiệt hại tổng cộng 980,000 yên đã được đưa ra vào ngày 6 tháng 9 năm 2019 (2019) tại Tòa án quận Tokyo, Benesse và công ty Synform đã được ra lệnh phải trả tổng cộng 42,300 yên, với mỗi người nhận 3,000 yên (một người nhận 3,300 yên).

Tòa án không công nhận trách nhiệm của Benesse đối với Synform, một công ty riêng biệt, nhưng Synform đã không xem xét lại cài đặt phần mềm bảo mật, do đó, việc chuyển dữ liệu từ máy tính công việc sang điện thoại thông minh tương thích MTP đã trở nên khả thi. Do đó, họ đã vi phạm nghĩa vụ kiểm soát việc xuất thông tin và có lỗi. Khi Benesse ủy thác việc xử lý thông tin khách hàng lớn cho việc phát triển hệ thống, họ cũng nên chịu trách nhiệm giám sát việc chọn người được ủy thác theo nguyên tắc tín nhiệm đối với khách hàng, bao gồm các nguyên đơn. Tòa án đã công nhận hành vi phạm pháp chung (Điều 719, Đoạn 1, Phần đầu của Bộ luật dân sự Nhật Bản) và ra lệnh cho họ phải trả tiền bồi thường thiệt hại cho các nguyên đơn.

Trong phán quyết này, Điều 22 của Luật bảo vệ thông tin cá nhân Nhật Bản, nói rằng “Khi một doanh nghiệp xử lý thông tin cá nhân ủy thác việc xử lý toàn bộ hoặc một phần dữ liệu cá nhân, họ phải giám sát người nhận ủy thác một cách cần thiết và thích hợp để đảm bảo quản lý an toàn dữ liệu cá nhân đã được ủy thác.” đã được trích dẫn, và cũng được chỉ ra rằng “giám sát cần thiết và thích hợp” trong Hướng dẫn của Bộ Kinh tế, Thương mại và Công nghiệp Nhật Bản năm 2009 (2009) bao gồm việc chọn người được ủy thác một cách thích hợp, ký kết hợp đồng cần thiết để tuân thủ các biện pháp quản lý an toàn dựa trên Điều 20 của Luật bảo vệ thông tin cá nhân với người được ủy thác, và hiểu rõ tình hình xử lý dữ liệu cá nhân đã được ủy thác tại người được ủy thác.

Tóm tắt

Ban đầu, Benesse đã chuẩn bị 20 tỷ yên làm nguồn tiền bồi thường cho nạn nhân, nhưng số tiền này đã trở nên không đủ. Vào tháng 11 năm 2014, Hiệp hội Thúc đẩy Kinh tế và Xã hội Thông tin Nhật Bản đã thu hồi dấu hiệu bảo mật cá nhân mà Benesse Holdings đã nhận được. Số lượng thành viên của “Shinken Seminar” và “Kodomo Challenge” vào tháng 4 năm 2015 (năm 2015) là 2,71 triệu người, giảm 940.000 người so với cùng kỳ năm trước, doanh thu kỳ hợp nhất từ tháng 4 đến tháng 6 giảm 7% so với cùng kỳ năm trước, lợi nhuận từ hoạt động giảm 88% so với cùng kỳ năm trước, và lợi nhuận từ hoạt động đã chuyển từ 3,91 tỷ yên lãi năm trước sang 430 triệu yên lỗ. Rủi ro bồi thường thiệt hại do rò rỉ thông tin cá nhân có thể trở thành vấn đề sống còn đối với doanh nghiệp.