Jika Terjadi Kebocoran Maklumat Peribadi? Penjelasan Mengenai Tindakan Pentadbiran yang Perlu Diambil oleh Syarikat

Dengan perkembangan internet dan kemampuan untuk bertukar maklumat secara online, terdapat peningkatan dalam kes-kes di mana maklumat penting syarikat bocor dalam cara yang tidak dijangka.

Dalam beberapa tahun kebelakangan ini, nilai maklumat telah meningkat, dan sekiranya kebocoran maklumat berlaku, ia boleh menjadi masalah besar yang merosakkan reputasi. Oleh itu, syarikat dikehendaki untuk bertindak balas dengan segera dan tepat apabila kebocoran maklumat berlaku.

Di sini, kami akan menerangkan secara terperinci tentang tindakan yang perlu diambil oleh syarikat apabila kebocoran maklumat berlaku, dengan fokus pada tindakan pentadbiran.

Kebocoran Maklumat yang Memerlukan Tindakan Pentadbiran

Walaupun kita bercakap tentang kebocoran maklumat, kandungan dan kepentingan maklumat berbeza-beza. Tindakan pentadbiran diperlukan apabila kebocoran maklumat berlaku, khususnya apabila maklumat peribadi bocor.

Definisi maklumat peribadi ditetapkan dalam Perenggan 1 Artikel 2 dari Undang-Undang Perlindungan Maklumat Peribadi Jepun (selanjutnya disebut “Undang-Undang Perlindungan Maklumat Peribadi”).

(Definisi)
Artikel 2 Dalam undang-undang ini, “maklumat peribadi” merujuk kepada maklumat mengenai individu yang masih hidup dan memenuhi salah satu daripada syarat berikut:
1. Maklumat yang boleh mengenal pasti individu tertentu melalui nama, tarikh lahir dan butiran lain yang terkandung dalam maklumat tersebut (termasuk semua perkara yang dinyatakan, direkodkan atau dipersembahkan melalui suara, gerakan atau kaedah lain dalam rekod, lukisan atau rekod elektronik (merujuk kepada rekod yang dibuat dengan cara elektronik, magnetik atau cara lain yang tidak dapat dikenal pasti oleh persepsi manusia. Sama dalam Perenggan 2 di bawah.) (kecuali kod pengenalan peribadi). Termasuk juga maklumat yang boleh dikenal pasti dengan mudah dengan maklumat lain dan boleh mengenal pasti individu tertentu.
2. Maklumat yang mengandungi kod pengenalan peribadi.

e-GOV｜Undang-Undang Perlindungan Maklumat Peribadi

Maklumat yang memenuhi definisi di atas akan dilindungi sebagai maklumat peribadi di bawah Undang-Undang Perlindungan Maklumat Peribadi.

Artikel Berkaitan: Apa itu Undang-Undang Perlindungan Maklumat Peribadi dan Maklumat Peribadi? Penjelasan oleh Peguam

Selain itu, dalam kes kebocoran maklumat, tindakan yang perlu diambil oleh syarikat termasuk tindakan pentadbiran dan pendedahan maklumat. Sila rujuk artikel di bawah untuk maklumat lanjut.

Artikel Berkaitan: Apa itu Pendedahan Maklumat yang Perlu Dilakukan oleh Syarikat Apabila Kebocoran Maklumat Berlaku

Kewajipan Melaporkan Kebocoran Maklumat Peribadi

Pengendali perniagaan maklumat peribadi mempunyai kewajipan untuk melaporkan kepada Suruhanjaya Perlindungan Maklumat Peribadi (Japanese Personal Information Protection Commission) apabila situasi kebocoran maklumat peribadi atau potensi kebocoran berlaku.

Sebelum 1 April 2024 (tahun 4 era Reiwa), laporan kepada Suruhanjaya Perlindungan Maklumat Peribadi apabila situasi kebocoran atau potensi kebocoran berlaku bukanlah suatu kewajipan, tetapi sesuatu yang harus diusahakan. Namun, dengan pindaan kepada Akta Perlindungan Maklumat Peribadi (Japanese Personal Information Protection Act), mulai 1 April 2024, menjadi kewajipan untuk melaporkan kepada Suruhanjaya Perlindungan Maklumat Peribadi.

“Pengendali perniagaan maklumat peribadi” di sini merujuk kepada mereka yang menggunakan pangkalan data maklumat peribadi dan sebagainya untuk tujuan perniagaan (Perenggan 2, Artikel 16, Akta Perlindungan Maklumat Peribadi). Walau bagaimanapun, agensi kerajaan, badan awam tempatan, badan pentadbiran bebas dan badan pentadbiran bebas tempatan tidak termasuk dalam pengendali perniagaan maklumat peribadi.

“Pangkalan data maklumat peribadi dan sebagainya” merujuk kepada kumpulan maklumat yang mengandungi maklumat peribadi, kecuali yang ditetapkan oleh perintah kerajaan sebagai yang mempunyai risiko rendah untuk merosakkan hak dan kepentingan individu, yang memenuhi salah satu daripada dua syarat berikut (Perenggan 1, Artikel 16, Akta Perlindungan Maklumat Peribadi):

• Yang disusun secara sistematik untuk membolehkan pencarian maklumat peribadi tertentu menggunakan komputer
• Yang disusun secara sistematik untuk memudahkan pencarian maklumat peribadi tertentu

Pengendali perniagaan maklumat peribadi yang menggunakan pangkalan data maklumat peribadi dan sebagainya untuk tujuan perniagaan akan memikul kewajipan untuk melaporkan kepada Suruhanjaya Perlindungan Maklumat Peribadi.

Artikel berkaitan: Penjelasan tentang “Tanggungjawab Perniagaan” dalam Akta Perlindungan Maklumat Peribadi 2022 yang dipinda

Empat Kes yang Memerlukan Laporan kepada Suruhanjaya Perlindungan Maklumat Peribadi

Apabila terdapat kebocoran maklumat peribadi, terdapat empat kes yang memerlukan laporan kepada Suruhanjaya Perlindungan Maklumat Peribadi seperti yang ditetapkan di bawah (Peraturan Pelaksanaan Undang-Undang Perlindungan Maklumat Peribadi Jepun, Perkara 7).

1. Kebocoran data peribadi yang mengandungi maklumat peribadi yang memerlukan pertimbangan khusus, atau kemungkinan berlakunya
2. Kebocoran data peribadi yang boleh menimbulkan kerugian harta benda jika digunakan secara tidak sah, atau kemungkinan berlakunya
3. Kebocoran data peribadi yang mungkin dilakukan dengan tujuan penyelewengan, atau kemungkinan berlakunya
4. Kebocoran data peribadi yang melibatkan lebih daripada 1,000 individu, atau kemungkinan berlakunya

Di bawah ini, kami akan menerangkan tentang kes-kes ini.

Kebocoran Maklumat Peribadi yang Memerlukan Pertimbangan Khusus

“Maklumat Peribadi yang Memerlukan Pertimbangan Khusus” merujuk kepada maklumat peribadi yang ditetapkan oleh perintah kerajaan yang memerlukan pertimbangan khusus dalam pengendaliannya untuk mengelakkan diskriminasi tidak adil, prasangka dan kerugian lain terhadap individu tersebut, seperti bangsa, kepercayaan, status sosial, sejarah penyakit, rekod jenayah, dan mangsa jenayah.

Sebagai contoh, maklumat tentang sejarah penyakit pekerja yang diperoleh melalui pemeriksaan kesihatan pekerja adalah contoh maklumat peribadi yang memerlukan pertimbangan khusus.

Kebocoran Maklumat Peribadi yang Boleh Menyebabkan Kerugian Harta Benda

Di sini, ia merujuk kepada kebocoran data peribadi yang boleh menimbulkan kerugian harta benda jika digunakan secara tidak sah.

Sebagai contoh, jika syarikat membocorkan maklumat kad kredit pelanggan, ia akan termasuk dalam kategori ini.

Kebocoran Maklumat Peribadi dengan Tujuan Penyelewengan

Ini merujuk kepada kes di mana subjek yang menyebabkan kebocoran data peribadi mempunyai tujuan penyelewengan.

Sebagai contoh, jika pihak ketiga atau pekerja syarikat mengakses rangkaian syarikat secara tidak sah dengan tujuan menggunakan maklumat peribadi secara tidak sah, dan menyebabkan kebocoran data peribadi, ia akan termasuk dalam kategori ini.

Kebocoran Maklumat Peribadi dalam Skala Besar

Ini merujuk kepada kes di mana jumlah individu yang terlibat dalam data peribadi melebihi 1,000 orang.

Untuk syarikat yang mengendalikan sejumlah besar data peribadi, perlu berhati-hati kerana ada kemungkinan kebocoran data peribadi dalam jumlah besar pada satu masa.

Perkara yang Perlu Dilaporkan kepada Suruhanjaya Perlindungan Data Peribadi Semasa Kebocoran Maklumat

Sekiranya situasi memerlukan laporan kepada Suruhanjaya Perlindungan Data Peribadi, anda perlu membuat laporan mengenai perkara yang ditetapkan dalam Peraturan Pelaksanaan Undang-Undang Perlindungan Data Peribadi Jepun (Japanese Personal Information Protection Law) Artikel 8, Perenggan 1.

(Laporan kepada Suruhanjaya Perlindungan Data Peribadi)
Artikel 8: Pemilik perniagaan yang mengendalikan data peribadi perlu membuat laporan segera selepas mengetahui situasi yang ditetapkan dalam setiap item dalam artikel sebelumnya, berkenaan dengan perkara berikut (hanya yang diketahui pada masa ingin membuat laporan. Sama dalam artikel berikutnya.)

e-GOV｜Undang-Undang Perlindungan Data Peribadi

Sekiranya anda memenuhi salah satu daripada empat kes yang memerlukan laporan seperti yang disebutkan di atas, pemilik perniagaan perlu segera melaporkan perkara berikut kepada Suruhanjaya Perlindungan Data Peribadi:

• Ringkasan
• Item data peribadi yang mungkin telah bocor atau berisiko bocor
• Bilangan individu yang terlibat dalam data peribadi yang mungkin telah bocor atau berisiko bocor
• Punca
• Kewujudan dan kandungan kemungkinan kerugian sekunder
• Status tindakan terhadap individu yang terlibat
• Status penerbitan
• Tindakan untuk mencegah kejadian berulang
• Perkara lain yang boleh dijadikan rujukan

Walau bagaimanapun, anda hanya perlu melaporkan perkara yang anda ketahui pada masa membuat laporan.

Tempoh Masa untuk Melaporkan Kepada Suruhanjaya Perlindungan Data Peribadi Jepun (Japanese Personal Information Protection Commission) Semasa Kebocoran Maklumat

Ada tempoh masa yang ditetapkan untuk melaporkan kepada Suruhanjaya Perlindungan Data Peribadi Jepun (Peraturan Pelaksanaan Undang-Undang Perlindungan Data Peribadi Jepun, Artikel 8, Perenggan 2).

Sebagai prinsipnya, laporan kepada Suruhanjaya Perlindungan Data Peribadi Jepun perlu dibuat dalam tempoh 30 hari dari tarikh pengetahuan tentang kebocoran dan sebagainya. Jika subjek yang menyebabkan kebocoran data peribadi dan sebagainya mempunyai tujuan jahat, laporan perlu dibuat dalam tempoh 60 hari.

Kewajipan Memberitahu Individu

Sekiranya berlaku kebocoran maklumat peribadi, selain daripada kewajipan melaporkan kepada Suruhanjaya Perlindungan Maklumat Peribadi, terdapat juga peraturan mengenai kewajipan memberitahu individu berkenaan (Perenggan 2 Artikel 26, Akta Perlindungan Maklumat Peribadi Jepun).

Tujuan memberitahu individu adalah untuk memastikan individu dapat bertindak secepat mungkin dalam menangani kebocoran maklumat peribadi dan sekaligus mencegah pelanggaran terhadap hak dan kepentingan individu tersebut. Oleh itu, pengendali perniagaan yang mengendalikan maklumat peribadi perlu memberitahu individu berkenaan dengan segera.

Rumusan: Sila rujuk kepada peguam untuk tindakan pentadbiran terhadap kebocoran maklumat peribadi

Sehingga kini, kami telah menerangkan tentang tindakan yang perlu diambil oleh syarikat jika berlaku kebocoran maklumat peribadi, dengan fokus kepada tindakan pentadbiran.

Sebagai syarikat, sudah tentu penting untuk membina sistem yang dapat mengelakkan kebocoran maklumat. Walau bagaimanapun, jika berlaku kebocoran maklumat, adalah penting untuk bertindak dengan tepat.

Undang-undang Perlindungan Maklumat Peribadi (Japanese Personal Information Protection Law) seringkali dipinda dan mempunyai struktur yang kompleks. Oleh itu, untuk bertindak dengan tepat, kami mencadangkan anda berunding dengan peguam yang mempunyai pengetahuan pakar dalam bidang ini.

Panduan Langkah-langkah oleh Firma Kami

Firma undang-undang Monolis adalah sebuah firma undang-undang yang memiliki kepakaran tinggi dalam bidang IT, khususnya internet dan undang-undang. Kebocoran maklumat peribadi telah menjadi masalah besar pada masa kini. Sekiranya maklumat peribadi bocor, ia boleh memberi kesan yang sangat buruk kepada aktiviti syarikat. Kami memiliki pengetahuan pakar tentang langkah-langkah pencegahan dan tindakan bagi kebocoran maklumat. Butiran lanjut dinyatakan dalam artikel di bawah.