MONOLITH LAW OFFICE+81-3-6262-3248工作日 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

企业的个人信息泄露与赔偿风险

General Corporate

企业的个人信息泄露与赔偿风险

围绕企业经营的风险包括经营危机、企业方面的安全考虑义务违反导致的事故等,但近年来,个人信息的泄露以及由此导致的损害赔偿风险也成为了一个大问题。

东京商业研究所报告,2019年(平成31年)在上市公司及其子公司中,公开了个人信息泄露和丢失事故的有66家,事故数量为86起,泄露的个人信息达到了903万1734人。如果再加上未上市公司、海外公司、政府机构、自治体、学校等,可能会膨胀到天文数字。

https://monolith-law.jp/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

在个人信息的泄露和丢失事故中,至今最大的一起仍然是2014年7月(平成26年)曝光的Benesse Holdings(日本Benesse公司)的委托员工非法获取客户信息,导致3504万人的个人信息泄露。然而,2019年(平成31年)在围绕这个事件的一些法庭审判中,出现了新的进展。
在整理Benesse的问题的同时,我们将考虑企业的个人信息泄露和损害赔偿风险。

关于贝内斯个人信息泄露事件

企业的个人信息泄露和赔偿风险
2014年6月左右发生的贝内斯个人信息泄露事件是令人记忆犹新的事件。

2014年6月左右,贝内斯的客户开始收到来自通信教育公司“Just System”的直邮广告,这引发了人们的疑问,他们怀疑这些广告是不是使用了只在贝内斯注册的个人信息,贝内斯的个人信息是否已经泄露,相关的询问急剧增加。

6月27日,贝内斯开始进行内部调查,并在同月30日向警方和经济产业省报告。7月9日,贝内斯在新闻发布会上宣布,儿童和家长的个人信息,如姓名、地址、电话号码、性别、出生日期等,已经泄露。

7月17日,一名39岁的系统工程师被逮捕。他在贝内斯的关联公司Synform公司负责管理数据库系统,并有权访问客户信息。他被指控将个人信息带出并卖给名册公司。

到了9月,贝内斯在新闻发布会上公布,客户信息泄露的数量达到3504万条。虽然贝内斯已经准备了200亿日元的基金作为对个人信息泄露受害者的赔偿,但他们决定再次向确认泄露的客户发送道歉信,并根据客户的选择,发送价值500日元的礼券(电子货币礼品或全国通用图书卡),或者将每条泄露信息500日元的赔偿捐给贝内斯儿童基金,这是一个为了支持受此次泄露影响的儿童而设立的基金。

对此,一部分受害者组成了多个律师团,提起了集体诉讼。2019年,这个问题有了一些新的进展。在刑事案件中,系统工程师因为携带个人信息而被指控违反了不正当竞争防止法(复制、公开商业秘密)。在2017年3月21日的东京高等法院判决中,他被判处2年6个月的有期徒刑和300万日元的罚款,没有缓刑。

最高法院的判断与重审上诉案

企业个人信息泄露与赔偿风险
考虑到上诉人的地址、姓名、电话号码等信息在网页上被公开,最终被判定需要支付赔偿金的案例。

一名男性和他的孩子的姓名、地址、电话号码等信息被泄露,造成精神痛苦,男性个人向Benesse(日本Benesse公司)提出了10万日元的赔偿诉讼。最高法院撤销了原审大阪高等法院的判决,并因审理不足而进行了重审。

重审前的一审,即神户地方法院姬路支部在2015年12月2日,确认了Benesse管理的男性姓名被泄露这一无争议的事实,但认为没有足够的具体情况来证明这是Benesse的过失,因此驳回了男性的请求。

对此,男性提出上诉,上诉审(大阪高等法院2016年6月29日判决)确认了被上诉人管理的上诉人的孩子的姓名、性别、出生日期、邮编、地址、电话号码、监护人姓名(上诉人的姓名)的泄露,认为这可以证明上诉人自己的个人信息,包括姓名、邮编、地址、电话号码以及其家庭成员的姓名、性别、出生日期等信息的泄露。同时,上诉审认为,上述上诉人的个人信息的泄露,按照一般人的常识,不仅会引起不快感,还可能引发不安。然而,仅仅因为感到不快或不安,并不能立即要求赔偿,除非超出了上述的不快感等损害。由于没有证明超出上述不快感等的损害,因此驳回了上诉。

最高法院的判断

当上诉人对此提出上诉请求时,最高法院在接受上诉后,认为由于本案的泄露,上诉人的隐私权被侵犯,然而,大阪高等法院并未充分审理上诉人因隐私权被侵犯所造成的精神损害的存在及其程度等问题,仅仅因为没有证明超过不快感等损害的发生,就直接驳回了上诉人的请求,这样的原审判断,由于误解了关于侵权行为中损害的法律的解释和适用,未能充分审理上述问题,因此是非法的,因此,最高法院撤销了原判决,并为了进一步审理被上诉人的过失的存在以及上诉人的精神损害的存在及其程度等问题,将本案退回到高等法院(最高法院2017年10月23日(公历)判决)。

https://monolith.law/reputation/privacy-invasion[ja]

差回上诉审判的判断

在差回审判中,大阪高等法院(2019年11月20日判决,即2019年公历)裁定,本案中的员工通过将支持MTP的智能手机通过USB线连接到工作电脑的USB端口,并通过MTP通信传输数据,非法获取个人信息并将其卖给名册商。尽管新方公司应该采取适当的措施,如不允许员工将支持MTP的智能手机带入办公室,以防止接触到相关个人信息,但他们未能做到这一点,因此存在过失。由于Benesse公司违反了对新方公司(新方公司被允许使用其管理的个人信息)的适当监督义务,导致员工泄露信息,因此,Benesse公司应对由此产生的损害承担非法行为责任,这被视为两家公司的共同非法行为(依据日本民法第719条第1款前段)。

此外,该判决违反了《日本个人信息保护法》第22条的规定,即“个人信息处理业务者在全部或部分委托处理个人数据时,必须对被委托者进行必要且适当的监督,以确保被委托处理的个人数据的安全管理”。尽管法院承认了上诉人的隐私权被侵犯,但考虑到上诉人的地址、姓名和电话号码已在网页等地方公开,因此,法院判决Benesse公司必须支付1000日元的赔偿金。

这是第三次确认Benesse公司的赔偿责任的判决。在本文的开头,我们写到“2019年,关于这起事件的一些诉讼中出现了新的进展”,这三个确认Benesse公司赔偿责任的判决都是在2019年做出的。

https://monolith-law.jp/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

首次确认贝内斯责任的判例

一审判决

企业的个人信息泄露和赔偿风险
我们将介绍确认贝内斯责任的案例。

贝内斯因泄露自己及其妻子和儿子的个人信息给外部,男性主张因此遭受精神痛苦,基于非法行为,首次在上诉审判决中要求支付赔偿金,贝内斯的责任得到了确认。

一审(横滞地方法院2017年2月16日判决)承认了贝内斯的注意义务违反,但由于没有足够的具体事实证明违反了掌握个人数据处理状况的义务,因此驳回了对贝内斯的请求,男性提出了上诉。

在一审中,尽管贝内斯已经从经济产业大臣那里接受了基于《日本个人信息保护法》第20条和第22条的义务的忽视,以及基于该法第34条第1款的建议,但这些建议是在认为有必要保护个人权益时提出的,并不要求存在预见结果义务和避免结果义务的违反,因此,仅仅因为这些建议被提出,并不能认为在本案信息泄露发生时,贝内斯存在《日本民法》第709条的过失。

上诉审判决

对此,上诉审(东京高等法院2019年6月27日判决)以以下事实为前提,即这并非应用高级知识或使用特殊技术进行的行为,而只是简单地将智能手机通过市售USB线连接到工作电脑进行充电,发现可以传输数据,然后执行的简单犯罪,认为新福公司应对MTP兼容智能手机采取写出控制措施的注意义务,但未能做到,存在过失,贝内斯委托大量个人信息的运营管理,在泄露时,应对委托方进行适当的监督,存在注意义务,但未能做到,存在过失,这两家公司的这些非法行为构成共同非法行为(《日本民法》第719条第1款前段)。

然后,“上诉人对这些个人信息,自然会认为不希望被他人随意公开,因此,这些个人信息是上诉人的隐私信息,应受法律保护,由于本案的泄露,上诉人的隐私权被侵犯”,并在此基础上,泄露发现后立即开始应对,采取了防止信息泄露扩大的措施,向监督机构报告并根据指示进行调查报告。此外,向可能泄露信息的客户发送道歉信,并根据选择分发价值500日元的优惠券等,上诉人也各自收到了价值500日元的电子货币礼品,考虑到这些,命令贝内斯向每人支付2000日元的赔偿金。

承认贝内西责任的第二个判例

2019年9月6日,东京地方法院对13名客户向该公司及其关联公司提出的总计98万日元的损害赔偿诉讼作出了判决,命令贝内西和新风公司每人支付3000日元(其中一人为3300日元),总计42300日元。

虽然法院没有承认原告们所主张的贝内西对新风公司的使用者责任,因为新风公司是一个独立的法人,但新风公司没有重新审查安全软件的设置,结果使得从工作用电脑向MTP兼容智能手机的数据传输成为可能,因此应该说存在违反信息输出控制措施义务的过失。贝内西在委托大量客户信息的处理以开发本案系统等时,应该说对包括原告在内的客户等,根据信义原则,负有选择委托方和监督义务。因此,法院认定了共同非法行为(日本民法第719条第1款前段),命令他们连带向原告支付损害赔偿金。

https://monolith-law.jp/reputation/employer-liability-responsibility-in-defamation[ja]

在这个判决中,也引用了《个人信息保护法》第22条的规定:“个人信息处理业者在委托全部或部分个人数据的处理时,必须对接受委托的人进行必要且适当的监督,以确保被委托的个人数据的安全管理。”此外,还指出了平成21年(2009年)经济产业省指南中“必要且适当的监督”包括选择适当的委托方,签订必要的合同以使委托方遵守基于《个人信息保护法》第20条的安全管理措施,以及了解委托方处理被委托的个人数据的情况。

总结

虽然贝内塞最初为赔偿受害者准备了200亿日元的基金,但这还不够。2014年11月,日本信息经济社会推进协会取消了贝内塞控股公司获得的,授予能够适当管理个人信息的公司的隐私标志。2015年4月,“进研研究会”和“儿童挑战”会员人数为271万人,比前年同月减少了94万人,4-6月期的合并财务报告显示,销售额比前年同期减少了7%,营业利润减少了88%,营业损益从前年同期的39亿1000万日元的盈余变为4亿3000万日元的亏损。个人信息泄露带来的损害赔偿风险,可能成为企业的生死问题。

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Return to Top