Was Unternehmen bei einem Informationsleck offenlegen sollten
Im Falle eines Informationslecks kann es je nach Situation notwendig sein, administrative Maßnahmen wie Berichte durchzuführen. Neben der Reaktion auf die Verwaltung ist es auch notwendig, Informationen wie “welche Informationen”, “wann” und “wie sie durchgesickert sind” auf angemessene Weise offenzulegen.
In diesem Artikel erklären wir, was Unternehmen in Bezug auf die Offenlegung von Informationen tun sollten, wenn ein Informationsleck auftritt, insbesondere für diejenigen in der Rechtsabteilung eines Unternehmens.
Über den Unterschied zwischen Verwaltungsreaktion und Informationsfreigabe
Im Falle eines Datenlecks von persönlichen Informationen ist es notwendig, auf die administrativen Vorschriften, wie das japanische Gesetz zum Schutz persönlicher Informationen, zu reagieren. Es ist jedoch zu sagen, dass eine bloße Verwaltungsreaktion als Unternehmensreaktion unzureichend ist.
Zum Beispiel, wenn ein Unternehmen ein Datenleck verursacht, kann dies gesellschaftliche Auswirkungen haben.
Außerdem, wenn es sich um ein börsennotiertes Unternehmen handelt, besteht die Notwendigkeit, Informationen schnell an Stakeholder wie Aktionäre, Geschäftspartner und Kunden freizugeben.
Während die Verwaltungsreaktion einen Aspekt der gesetzlich geregelten Reaktion hat, kann man sagen, dass die Informationsfreigabe, die ein Unternehmen durchführt, stark den Aspekt der sozialen Verantwortung als Unternehmen, das mit Informationen umgeht, hat.
Verwandter Artikel: Was passiert, wenn ein Datenleck auftritt? Erläuterung der Verwaltungsreaktion, die Unternehmen ergreifen sollten[ja]
Verwandter Artikel: Lernen aus dem Krisenmanagement und der Rolle des Anwalts im Fall des Datenlecks von 650.000 Informationen bei der Tokken Corporation[ja]
Über die rechtzeitige Offenlegung von börsennotierten Unternehmen
Für börsennotierte Unternehmen ist es verpflichtend, Informationen offenzulegen, da ein Informationsleck weitreichende Auswirkungen haben kann.
Zum Beispiel sind in den von der Tokyo Stock Exchange veröffentlichten Regeln für die Notierung von Wertpapieren (japanische “Regeln für die Notierung von Wertpapieren”) Bestimmungen zur rechtzeitigen Offenlegung wie folgt festgelegt:
(Offenlegung von Unternehmensinformationen)
Tokyo Stock Exchange | Regeln für die Notierung von Wertpapieren[ja]
Artikel 402
Börsennotierte Unternehmen müssen, ausgenommen Fälle, die den in den Ausführungsbestimmungen festgelegten Kriterien entsprechen oder andere Fälle, die die Börse als geringfügige Auswirkungen auf die Anlageentscheidungen der Anleger ansieht, unverzüglich den Inhalt offenlegen, wenn sie einer der folgenden Punkte zutreffen:
(…)
x Neben den in den Punkten a bis w aufgeführten Tatsachen, wichtige Tatsachen in Bezug auf das Management, die Geschäfte oder das Vermögen des betreffenden börsennotierten Unternehmens oder die betreffenden börsennotierten Wertpapiere, die einen erheblichen Einfluss auf die Anlageentscheidungen der Anleger haben
Es wird angenommen, dass das Auftreten von Informationslecks unter “wichtige Tatsachen in Bezug auf das Management, die Geschäfte oder das Vermögen des betreffenden börsennotierten Unternehmens oder die betreffenden börsennotierten Wertpapiere, die einen erheblichen Einfluss auf die Anlageentscheidungen der Anleger haben” fällt, daher wird angenommen, dass eine rechtzeitige Offenlegung notwendig ist.
Insbesondere könnte man überlegen, Informationen wie eine Übersicht über das aufgetretene Informationsleck, den Hintergrund des Informationslecks und die zukünftigen Aussichten für die Reaktion auf das aufgetretene Informationsleck offenzulegen.
Über die freiwillige Offenlegung von Informationen durch Unternehmen
Wie oben erwähnt, gibt es Fälle, in denen Unternehmen Informationen gemäß den Vorschriften für den Börsengang von Wertpapieren offenlegen. Unternehmen können jedoch auch freiwillig Informationen offenlegen, um Risiken zu minimieren.
Verwandter Artikel: Das Risiko von Datenschutzverletzungen und Schadenersatzforderungen für Unternehmen[ja]
In welchen Fällen sollte die Offenlegung von Informationen erfolgen?
Bei der freiwilligen Offenlegung von Informationen können Unternehmen theoretisch wählen, ob sie Informationen offenlegen oder nicht.
Es ist daher wichtig für Unternehmen, klare Kriterien für die Entscheidung zu haben, ob sie Informationen offenlegen oder nicht.
Ein erstes Kriterium könnte sein, ob es realistisch ist, dass ein Datenleck zu erheblichen Schäden führt.
Wenn ein Datenleck tatsächlich aufgetreten ist, aber keine realistischen Auswirkungen erwartet werden, ist die Notwendigkeit einer freiwilligen Offenlegung von Informationen gering.
Wenn Sie freiwillig Informationen offenlegen, wenn kein erheblicher Schaden durch ein Datenleck zu erwarten ist, kann dies zu Verwirrung führen und die Situation verschlimmern.
Ein zweites Kriterium könnte sein, ob die Offenlegung von Informationen tatsächlich zu einem größeren Schaden durch das Datenleck führen könnte.
Wenn ein Unternehmen trotz unzureichender Maßnahmen gegen ein Datenleck die Tatsache des Datenlecks veröffentlicht, könnte dies die Aufmerksamkeit von Personen auf sich ziehen, die versuchen, Informationen illegal zu erlangen, und zu weiteren Datenlecks führen.
Dies könnte dazu führen, dass die freiwillige Offenlegung von Informationen den Schaden durch das Datenleck tatsächlich vergrößert und letztendlich zu einer größeren Verletzung von Rechten führt.
Die oben genannten Kriterien sind jedoch nicht unbedingt allgemeingültig, und es ist notwendig, die Kriterien für die Offenlegung von Informationen in jedem Fall sorgfältig zu prüfen und die Vor- und Nachteile der Offenlegung von Informationen zu beurteilen.
Über die Punkte, die bei der Offenlegung von Informationen berücksichtigt werden sollten
Wenn Sie Informationen offenlegen, müssen Sie auch sorgfältig überlegen, welche Informationen Sie offenlegen sollten.
Die Punkte, die bei der Offenlegung von Informationen berücksichtigt werden sollten, könnten beispielsweise die folgenden sein:
- Art des aufgetretenen Datenlecks
- Datum, an dem das Unternehmen das Datenleck bemerkt hat
- Datum des Datenlecks
- Umstände, unter denen das Datenleck festgestellt wurde
- Ursache des Datenlecks
- Mögliche Schäden durch das Datenleck
- Ob es eine Möglichkeit gibt, dass der Schaden in der Zukunft zunimmt oder sekundäre Schäden auftreten
- Maßnahmen, die das Unternehmen gegen das Datenleck ergriffen hat
- Inhalt der Untersuchung zur Ursache des Datenlecks
- Ob ein Bericht an die Polizei oder andere Behörden erstattet wurde
Bei den Punkten, die bei der Offenlegung von Informationen berücksichtigt werden sollten, können jedoch die Punkte, die je nach Fall offengelegt werden sollten, variieren, so dass eine individuelle Beurteilung je nach Fall erforderlich ist.
Über die Methoden der Offenlegung von Informationen
Die Methoden zur Offenlegung von Informationen könnten beispielsweise die folgenden sein:
- Veröffentlichung auf der Unternehmenswebsite
- Pressekonferenz an die Medien
- Individuelle Kontaktaufnahme mit Personen, deren Rechte und Interessen durch das Datenleck möglicherweise verletzt werden
Die oben genannten Methoden zur Offenlegung von Informationen sind nur Beispiele, und es ist notwendig, die geeignete Methode für jeden Fall auszuwählen.
Punkte, die bei der Durchführung einer Pressekonferenz zu beachten sind
Wenn Sie eine Pressekonferenz abhalten, wird der Inhalt der Offenlegung von Informationen von vielen Menschen wahrgenommen. Daher ist es notwendig, sorgfältig zu prüfen, ob es angemessen ist, Informationen durch eine Pressekonferenz zu offenbaren.
Zum Beispiel, wenn es keine Informationen gibt, die über das hinausgehen, was das Unternehmen bereits auf seiner Website veröffentlicht hat, wird eine Pressekonferenz keine neuen Informationen veröffentlichen können. Wenn Sie eine Pressekonferenz abhalten, bei der keine neuen Informationen herauskommen, könnten die Menschen, die die Pressekonferenz sehen, das Bild haben, dass Sie “ein unehrliches Unternehmen sind, das seine Informationspflichten nicht erfüllt”. Daher ist Vorsicht geboten.
Außerdem kann es in einigen Fällen praktisch schwierig sein, die Inhalte, die bei einer Pressekonferenz gesprochen wurden, zurückzuziehen oder zu korrigieren.
Daher ist es notwendig, sich sorgfältig auf das vorzubereiten, was bei einer Pressekonferenz gesagt wird, einschließlich der Einbeziehung von Experten wie Anwälten, und im Voraus zu entscheiden, was gesagt wird.
Punkte, die bei der individuellen Kontaktaufnahme mit Personen, deren Rechte und Interessen durch das Datenleck möglicherweise verletzt werden, zu beachten sind
Wenn bekannt ist, dass Personen, deren Rechte und Interessen durch das Datenleck möglicherweise verletzt werden, sollten Sie sich idealerweise zuerst individuell mit den Opfern in Verbindung setzen, bevor Sie die Tatsache des Datenlecks veröffentlichen.
Wenn Sie zuerst veröffentlichen, bevor Sie individuell Kontakt aufnehmen, könnten die Opfer Misstrauen gegenüber dem Unternehmen entwickeln und eine feindliche Haltung einnehmen.
Außerdem, wenn es möglich war, individuell Kontakt aufzunehmen, aber Sie zuerst veröffentlichen, könnte das soziale Vertrauen in das Unternehmen beschädigt werden.
Wie können Unternehmen Informationslecks verhindern?
Bisher haben wir erklärt, wie Unternehmen Informationen offenlegen sollten, wenn ein Informationsleck auftritt. Es ist jedoch wichtig, Informationslecks zu verhindern.
Artikel 23 des japanischen Datenschutzgesetzes (Japanisches Datenschutzgesetz) legt Sicherheitsmaßnahmen wie folgt fest:
(Sicherheitsmaßnahmen)
e-Gov|Datenschutzgesetz[ja]
Artikel 23: Personenbezogene Datenverarbeiter müssen notwendige und angemessene Maßnahmen ergreifen, um das Austreten, den Verlust oder die Beschädigung von personenbezogenen Daten, die sie verarbeiten, und andere Sicherheitsmaßnahmen für personenbezogene Daten zu verhindern.
Als Inhalt der Sicherheitsmaßnahmen könnten beispielsweise folgende Maßnahmen ergriffen werden:
- Erstellung einer Grundrichtlinie für den Umgang mit personenbezogenen Daten
- Einrichtung von Regeln für den Umgang mit personenbezogenen Daten
- Organisationsstruktur
- Betrieb gemäß den Regeln für den Umgang mit personenbezogenen Daten
- Einrichtung von Mitteln zur Überprüfung des Umgangs mit personenbezogenen Daten
- Einrichtung eines Systems zur Bewältigung von Informationsleckfällen
- Überwachung des Umgangs mit personenbezogenen Daten und Überprüfung der Sicherheitsmaßnahmen
- Bildung von Mitarbeitern, die personenbezogene Daten verarbeiten
- Durchführung von physischen Sicherheitsmaßnahmen zur Verhinderung von Datenlecks
- Durchführung von technischen Sicherheitsmaßnahmen zur Verhinderung von Datenlecks
Es wird angenommen, dass das Risiko von Informationslecks durch die Durchführung der oben genannten Sicherheitsmaßnahmen entsprechend der Situation des Unternehmens reduziert werden kann.
Zusammenfassung: Konsultieren Sie einen Anwalt für die Offenlegung von Informationen im Zusammenhang mit Datenlecks
In diesem Artikel haben wir uns an die Rechtsabteilungen von Unternehmen gewandt und erklärt, welche Informationen ein Unternehmen im Falle eines Datenlecks offenlegen sollte.
Es wäre natürlich am besten, wenn kein Datenleck auftritt, aber es ist realistisch gesehen schwierig, Datenlecks zu 100% zu verhindern.
Daher ist es wichtig für ein Unternehmen, angemessen zu reagieren, wenn ein Datenleck auftritt.
Bei der Reaktion auf Datenlecks ist eine sorgfältige Prüfung je nach Fall erforderlich. Daher empfehlen wir, einen Anwalt mit Fachwissen zu konsultieren.
Maßnahmen unserer Kanzlei
Die Monolith Rechtsanwaltskanzlei ist eine Kanzlei mit hoher Fachkompetenz in IT, insbesondere Internet und Recht. Fachwissen ist unerlässlich bei der Erstellung von Unternehmensrichtlinien. Unsere Kanzlei überprüft eine Vielzahl von Fällen, von Unternehmen, die an der Tokyo Stock Exchange gelistet sind, bis hin zu Start-up-Unternehmen. Wenn Sie Probleme mit internen Richtlinien haben, lesen Sie bitte den folgenden Artikel.