企業的個人資訊洩露與損害賠償的風險
環繞企業經營的風險包括經營危機、企業方的安全考慮義務違反導致的事故等,然而,近年來,個人資訊的洩漏以及由此導致的損害賠償風險也成為了一個大問題。
東京商工研究所報告,2019年(西元2019年)在上市公司及其子公司中,公開個人資訊洩漏和遺失事故的有66家,事故件數為86件,洩漏的個人資訊達到903萬1734人。如果再加上未上市公司、海外公司、政府機關、自治體、學校等,可能會膨脹到一個天文數字。
在個人資訊的洩漏和遺失事故中,過去最大的一次仍然是2014年7月(西元2014年)被揭露的Benesse Holdings(日本Benesse公司)的案件,其中一個受託員工非法獲取了3504萬人的個人資訊。然而,2019年(西元2019年)關於這個事件的一些訴訟中,出現了新的進展。
在整理Benesse的問題的同時,本所將思考企業的個人資訊洩漏和損害賠償風險。
關於Benesse個人資訊外洩事件
2014年6月左右,Benesse的客戶開始收到來自通信教育「Just System」公司的直接郵件,因此,問詢是否使用了僅在Benesse註冊的個人資訊,或者是否從Benesse洩露了個人資訊的問題急劇增加。
6月27日,Benesse開始進行內部調查,並於同月30日向警察和經濟產業省報告,7月9日舉行記者會議,宣布了進研研究所等兒童和監護人的姓名、地址、電話號碼、性別、出生日期等個人資訊的洩露。
7月17日,負責客戶資訊管理的Benesse關聯公司Synform公司的再委託商派遣的39歲系統工程師,負責該公司的數據庫系統管理,並有權訪問客戶資訊,他將個人資訊帶出並出售給名錄業者,因此被逮捕。
到了9月,Benesse在記者會議上公開了客戶資訊洩露的案件數量為3504萬件,並表示已為個人資訊洩露的受害者準備了200億日元的補償基金,但是,他們再次向確認洩露的客戶發送了道歉信,並根據客戶的選擇,發送價值500日元的禮券(電子錢包禮品或全國通用圖書卡),或者每洩露一件資訊捐款500日元給為了支援受此事件影響的兒童而設立的公益法人Benesse兒童基金。
對此,受害者的一部分組成了多個律師團,提起了集體訴訟,2019年有關此事有了一些動向。另外,在刑事案件中,對於將個人資訊帶出的系統工程師,以違反不正競爭防止法(複製、公開商業秘密)進行審判,2017年3月21日東京高等法院的判決確定為無緩刑的實刑2年6個月,罰款300萬日元。
最高法院的判決與重審上訴審
一名男性和他的孩子的名字、地址、電話號碼等資訊被洩漏,造成精神痛苦,因此,該男性向Benesse個人索賠10萬日元的慰撫金。最高法院撤銷了原審大阪高等法院的判決,並將案件發回重審,因為審理並未完全。
在重審前的一審,神戶地方法院姬路支部於2015年12月2日確認了Benesse管理的男性姓名洩漏的無爭議事實,並認為沒有足夠的具體情況來證明這是Benesse的過失,因此駁回了男性的請求。
對此,男性提出上訴,上訴審(大阪高等法院2016年6月29日判決)確認了被上訴人管理的上訴人的孩子的姓名、性別、出生日期、郵政編碼、地址、電話號碼、監護人名稱(上訴人的姓名)的洩漏,並認為,根據上述情況,可以認為上訴人自己的個人資訊,包括姓名、郵政編碼、地址、電話號碼以及其家庭成員的姓名、性別、出生日期等都被洩漏。然而,儘管認為上訴人的個人資訊的洩漏可能會讓一般人感到不安和不快,但只有感到不快等情緒並不能直接要求損害賠償,因為沒有證明超出這種不快等情緒的損害,所以駁回了上訴。
最高法院的判決
對此,上訴人提出上訴受理申請,最高法院接受了這一申請,並認為,儘管可以說上訴人的隱私權因本案的洩漏而受到侵犯,但大阪高等法院並未充分審理上訴人因隱私權侵犯所受的精神損害的存在及其程度等問題,僅僅因為沒有證明超出不快等情緒的損害的發生就直接駁回上訴人的請求,這種原審的判決是錯誤的,因為它錯誤地解釋和應用了關於侵權行為中的損害的法律規定,並未充分審理上述問題,因此是非法的。因此,最高法院撤銷了原判決,並將案件發回高等法院,以便進一步審理被上訴人的過失的存在以及上訴人的精神損害的存在及其程度等問題(最高法院2017年10月23日判決)。
https://monolith-law.jp/reputation/privacy-invasion[ja]
重審上訴審的判決
在重審中,大阪高等法院(2019年11月20日判決)認為,本案的員工使用MTP相容的智能手機,通過業務用電腦的USB端口連接USB線,並通過MTP通信傳輸數據,非法獲取個人資訊並將其出售給名錄業者。然而,Synform公司應該採取適當的措施,例如不讓MTP相容的智能手機進入上述辦公室,以防止接觸到本案的個人資訊,但未能做到這一點,因此存在過失。Benesse公司違反了對Synform公司的適當監督義務,該公司被允許使用其管理的該個人資訊,結果導致員工洩漏資訊,因此,對於由此產生的損害,Benesse公司應承擔侵權行為責任,這被認為是兩家公司的共同侵權行為(日本民法第719條第1項前段)。
然後,違反了《個人資訊保護法》第22條的規定,即「個人資訊處理業者在委託全部或部分處理個人資料時,必須對被委託者進行必要且適當的監督,以確保被委託處理的個人資料的安全管理」,並認為侵犯了隱私權,考慮到上訴人的地址、姓名、電話號碼等在網頁上被公開,因此命令支付1000日元的損害賠償金。
這是承認Benesse賠償責任的第三個案例。在本文的開頭,本所寫道「2019年,這個事件的一些訴訟出現了新的進展」,承認Benesse賠償責任的三個判決都是在2019年做出的。
https://monolith-law.jp/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]
首次確認貝納詩公司的責任的判例
第一審的判決
貝納詩公司因為洩漏了自己、妻子和兒子的個人資訊給外部,導致精神上的痛苦,男性基於非法行為,首次在上訴審判決中要求支付慰撫金,確認了貝納詩公司的責任。
第一審(橫濱地方法院2017年2月16日判決)確認了貝納詩公司的注意義務違反,但由於沒有足夠的具體事實證明違反了掌握個人數據處理狀況的義務,因此駁回了對貝納詩公司的請求,男性等人提出上訴。
在第一審中,儘管貝納詩公司已經接受了經濟產業大臣基於《日本個人資訊保護法》第20條和第22條的義務的勸告,並因此引發了本案的資訊洩漏,但該條款的勸告是在認為有必要保護個人的權利和利益時才會做出的,並不要求存在結果預見義務或結果避免義務的違反,因此,僅僅因為該勸告已經做出,並不能認為在本案資訊洩漏發生時,貝納詩公司存在《日本民法》第709條的過失。
上訴審的判決
對此,上訴審的東京高等法院(2019年6月27日判決)以以下事實為前提:這並非是利用高度知識或特殊技術進行的,而只是因為將智能手機用市售的USB線連接到業務用電腦進行充電,發現可以傳輸數據,於是就這麼做了,這是一種簡單的犯罪。認為新型公司應該對MTP兼容智能手機進行寫出控制措施,但卻疏忽了這一注意義務,存在過失。貝納詩公司,作為委託大量個人資訊運營管理的公司,在洩漏發生時,應該對委託方進行適當的監督,但卻疏忽了這一注意義務,存在過失。因此,兩家公司的這些非法行為構成了共同非法行為(《日本民法》第719條第1項前段)。
然後,他們說,“上訴人對於這些個人資訊,自然不希望被他人隨意公開,因此,這些個人資訊應被視為涉及上訴人隱私的資訊,受到法律保護,由於本案的洩漏,上訴人選定者的隱私被侵犯。”並且,在洩漏發現後立即開始應對,採取了防止資訊洩漏擴大的措施,向監督機關報告並根據指示進行調查報告。此外,他們還向可能洩漏資訊的客戶發送了道歉信,並根據選擇分發了價值500日元的禮券等,上訴人也各自收到了500日元的電子錢禮品。考慮到這些情況,他們命令貝納詩公司支付每人2000日元的賠償金。
承認貝內塞公司的責任的第二個判例
在2019年9月6日於東京地方法院的判決中,13名客戶對該公司及其關聯公司提出了總計98萬日元的損害賠償訴訟,貝內塞公司和新形公司被命令每人支付3000日元(其中一人是3300日元),總計42300日元。
雖然法院並未承認原告所主張的貝內塞公司對新形公司的使用者責任,因為新形公司是一個獨立的法人,但新形公司並未重新檢視安全軟體的設定,結果使得從業務用電腦到MTP相容智慧型手機的數據傳輸成為可能,因此應認為違反了資訊輸出控制措施義務的過失存在。貝內塞公司在委託大量客戶資訊的處理,包括原告等客戶在內,為了開發本案系統等,應認為有選擇委託對象和監督的義務。因此,法院認定了共同侵權行為(日本民法第719條第1項前段),並命令他們連帶對原告支付損害賠償金。
https://monolith-law.jp/reputation/employer-liability-responsibility-in-defamation[ja]
在這個判決中,也引用了《個人資訊保護法》第22條的規定,「個人資訊處理業者在全部或部分委託處理個人資料時,必須對接受委託的人進行必要且適當的監督,以確保被委託的個人資料的安全管理。」此外,還指出了平成21年(2009年)經濟產業省指導方針中「必要且適當的監督」包括適當選擇委託對象,簽訂必要的合約以使委託對象遵守《個人資訊保護法》第20條的安全管理措施,以及掌握委託對象處理被委託的個人資料的情況等內容。
總結
雖然Benesse最初為了賠償受害者準備了200億日元的基金,但這筆錢還是不夠。2014年11月,日本資訊經濟社會推進協會取消了Benesse控股獲得的,給予能適當管理個人資訊的企業的隱私標記。2015年4月,「進研研習班」和「兒童挑戰」的會員數量為271萬人,比前年同月減少了94萬人,4月至6月期間的合併財務報表顯示,銷售額比前年同期減少了7%,營業利潤減少了88%,營業損益從前年同期的39億1000萬日元的盈餘變為4億3000萬日元的虧損。個人資訊洩露所帶來的損害賠償風險,可能成為企業的生死存亡問題。
