MONOLITH LAW OFFICE+81-3-6262-3248Dni powszednie 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Czym jest ujawnienie informacji, które firmy powinny przeprowadzić w przypadku wycieku informacji?

General Corporate

Czym jest ujawnienie informacji, które firmy powinny przeprowadzić w przypadku wycieku informacji?

W przypadku wystąpienia wycieku informacji, w niektórych przypadkach może być konieczne podjęcie działań administracyjnych, takich jak zgłoszenia. Oprócz reagowania na administrację, istotne jest również, aby odpowiednio ujawnić informacje na temat “jakie informacje”, “kiedy” i “w jaki sposób doszło do wycieku”.

W tym artykule wyjaśniamy, jakie powinny być ujawnione przez firmę w przypadku wycieku informacji, skierowane do osób z działu prawnego firmy.

Różnica między reakcją administracyjną a ujawnieniem informacji

W przypadku wycieku danych osobowych, konieczne jest podjęcie działań w odpowiedzi na regulacje administracyjne, takie jak Japońska Ustawa o Ochronie Danych Osobowych. Jednakże, samo podjęcie działań administracyjnych może być niewystarczające jako reakcja ze strony firmy.

Na przykład, jeśli firma dopuści do wycieku informacji, może to mieć potencjalny wpływ społeczny.

Ponadto, jeśli firma jest notowana na giełdzie, istnieje konieczność szybkiego ujawnienia informacji dla akcjonariuszy, partnerów biznesowych, klientów i innych interesariuszy.

Podczas gdy reakcja administracyjna ma aspekt zgodności z prawem, ujawnienie informacji przez firmę ma silny aspekt spełniania społecznej odpowiedzialności jako firma zarządzająca informacjami.

Artykuł powiązany: Co zrobić, gdy dojdzie do wycieku danych osobowych? Wyjaśniamy, jakie działania administracyjne powinna podjąć firma[ja]

Artykuł powiązany: Zarządzanie kryzysowe i rola prawnika na przykładzie wycieku 650 000 informacji w firmie Tōken Corporation[ja]

O odpowiednim czasie ujawniania informacji przez spółki giełdowe

Spółki giełdowe są zobowiązane do ujawniania informacji, ponieważ w przypadku wycieku informacji, wpływ może rozprzestrzeniać się na szeroką skalę.

Na przykład, w regulaminie notowania papierów wartościowych opublikowanym przez Giełdę Papierów Wartościowych w Tokio (Tokyo Stock Exchange), ustalono następujące przepisy dotyczące odpowiedniego czasu ujawniania informacji:

(Ujawnianie informacji o firmie)
Artykuł 402
Spółka giełdowa musi natychmiast ujawnić treść w przypadku, gdy spełnione są następujące warunki (z wyjątkiem tych, które spełniają kryteria określone w przepisach wykonawczych i innych, które Giełda uznaje za mające niewielki wpływ na decyzje inwestycyjne inwestorów):
(Pominięto)
x Poza faktami wymienionymi od a do w, istotne fakty dotyczące zarządzania, działalności lub majątku spółki giełdowej lub związane z papierami wartościowymi spółki giełdowej, które mają znaczący wpływ na decyzje inwestycyjne inwestorów

Giełda Papierów Wartościowych w Tokio | Regulamin notowania papierów wartościowych[ja]

Uważa się, że w przypadku wystąpienia wycieku informacji, należy przeprowadzić odpowiednie ujawnienie informacji, ponieważ można to uznać za “istotne fakty dotyczące zarządzania, działalności lub majątku spółki giełdowej lub związane z papierami wartościowymi spółki giełdowej, które mają znaczący wpływ na decyzje inwestycyjne inwestorów”.

Konkretnie, można rozważyć ujawnienie takich informacji jak ogólny zarys wycieku informacji, okoliczności jego wystąpienia oraz przewidywane działania w odpowiedzi na wyciek informacji.

O dobrowolnym ujawnianiu informacji przez przedsiębiorstwa

O dobrowolnym ujawnianiu informacji przez przedsiębiorstwa

Jak widać powyżej, istnieją przypadki, w których przedsiębiorstwa ujawniają informacje zgodnie z regulacjami dotyczącymi publicznej oferty papierów wartościowych, ale przedsiębiorstwa mogą również rozważyć dobrowolne ujawnienie informacji jako środek zarządzania ryzykiem.

Powiązane artykuły: Ryzyko wycieku danych osobowych w firmie i odszkodowanie za szkody[ja]

W jakich przypadkach należy ujawnić informacje

Jeśli chodzi o dobrowolne ujawnianie informacji, przedsiębiorstwa mają teoretycznie możliwość wyboru między nieujawnianiem informacji a jej ujawnieniem.

W związku z tym, ważne jest, aby przedsiębiorstwo jasno określiło kryteria decyzji, czy ujawnić informacje, czy nie.

Pierwszym kryterium może być to, czy istnieje realne ryzyko rozszerzenia szkód spowodowanych wyciekiem informacji.

Jeśli wyciek informacji faktycznie nastąpił, ale nie ma realnego wpływu, konieczność dobrowolnego ujawnienia informacji jest niska.

Jeśli dobrowolnie ujawnisz informacje, gdy nie ma realnego ryzyka rozszerzenia szkód spowodowanych wyciekiem informacji, może to spowodować zamieszanie i pogorszenie sytuacji.

Drugim kryterium może być to, czy ujawnienie informacji może faktycznie zwiększyć szkody spowodowane wyciekiem informacji.

Jeśli ujawnisz fakt wycieku informacji, mimo że nie jesteś w stanie odpowiednio zareagować na wyciek informacji, może to przyciągnąć uwagę osób, które chcą nielegalnie uzyskać informacje, co może prowadzić do dalszych wycieków informacji.

W rezultacie, dobrowolne ujawnienie informacji może zwiększyć szkody spowodowane wyciekiem informacji, co z kolei może prowadzić do dalszego naruszenia praw.

Jednak powyższe kryteria nie są zawsze uniwersalne, a kryteria ujawniania informacji powinny być dokładnie analizowane w każdym przypadku, a decyzja o ujawnieniu informacji powinna być podjęta na podstawie tych analiz.

O sprawach, które należy ujawnić

Jeśli decydujesz się na ujawnienie informacji, musisz również starannie rozważyć, jakie informacje powinny być ujawnione.

Informacje, które powinny być ujawnione, mogą obejmować na przykład następujące kwestie:

  • Rodzaj wycieku informacji
  • Data, kiedy firma dowiedziała się o wycieku informacji
  • Data wycieku informacji
  • Okoliczności, w których firma dowiedziała się o wycieku informacji
  • Przyczyna wycieku informacji
  • Potencjalne szkody spowodowane wyciekiem informacji
  • Czy istnieje ryzyko dalszego rozprzestrzeniania się szkód lub powstania szkód wtórnych
  • Środki podjęte przez firmę w odpowiedzi na wyciek informacji
  • Zawartość dochodzenia dotyczącego przyczyny wycieku informacji
  • Czy zgłoszono to policji

Jednakże, co do kwestii, które powinny być ujawnione, różne sprawy mogą wymagać ujawnienia różnych informacji, więc decyzje powinny być podejmowane indywidualnie w zależności od sprawy.

O metodach ujawniania informacji

Metody ujawniania informacji mogą obejmować na przykład następujące:

  • Publikowanie na stronie internetowej firmy
  • Organizowanie konferencji prasowej dla mediów
  • Kontaktowanie się indywidualnie z osobami, które mogą mieć naruszone prawa lub interesy z powodu wycieku informacji

Powyższe metody ujawniania informacji są tylko przykładami, a odpowiednia metoda powinna być wybrana w zależności od sprawy.

Co należy uwzględnić podczas organizowania konferencji prasowej dla mediów

Podczas konferencji prasowej treść ujawnionej informacji staje się szeroko znana wielu osobom. Dlatego ważne jest, aby starannie rozważyć, czy konferencja prasowa jest odpowiednim sposobem na ujawnienie informacji.

Na przykład, jeśli firma nie ma więcej informacji do ujawnienia niż te, które już opublikowała na swojej stronie internetowej, konferencja prasowa nie pozwoli na ujawnienie nowych informacji. Organizowanie konferencji prasowej, na której nie pojawiają się nowe informacje, może sprawić, że osoby oglądające konferencję prasową będą miały wrażenie, że firma nie jest odpowiedzialna za ujawnianie informacji i jest niewiarygodna, więc należy zachować ostrożność.

Ponadto, treść wygłoszona na konferencji prasowej może być trudna do wycofania lub poprawienia.

Dlatego treść, którą zamierzasz powiedzieć na konferencji prasowej, powinna być starannie przygotowana z udziałem ekspertów, takich jak prawnicy.

Co należy uwzględnić podczas indywidualnego kontaktowania się z osobami, które mogą mieć naruszone prawa lub interesy z powodu wycieku informacji

Jeśli jest możliwe zidentyfikowanie osób, które mogą mieć naruszone prawa lub interesy z powodu wycieku informacji, zaleca się, aby skontaktować się z nimi indywidualnie przed ujawnieniem faktu wycieku informacji.

Jeśli ujawnisz informacje publicznie przed skontaktowaniem się indywidualnie z ofiarami, mogą one poczuć nieufność wobec firmy i zaostrzyć swoje postawy wobec niej.

Ponadto, jeśli możliwe było indywidualne skontaktowanie się z ofiarami, a mimo to najpierw ujawniono informacje publicznie, może to zaszkodzić społecznemu zaufaniu do firmy.

Jak firmy mogą zapobiegać wyciekom informacji

Jak firmy mogą zapobiegać wyciekom informacji

Do tej pory omówiliśmy, jakie informacje powinny być ujawnione przez firmę w przypadku wycieku informacji, ale najważniejsze jest zapobieganie wyciekom informacji.

Artykuł 23 Japońskiej Ustawy o Ochronie Danych Osobowych (Japanese Personal Information Protection Act) reguluje środki zarządzania bezpieczeństwem w następujący sposób:

(Środki zarządzania bezpieczeństwem)
Artykuł 23. Operatorzy danych osobowych muszą podjąć niezbędne i odpowiednie środki w celu zapobiegania wyciekom, utracie lub zniszczeniu danych osobowych, które obsługują, oraz innym środkom zarządzania bezpieczeństwem danych osobowych.

e-Gov|Ustawa o ochronie danych osobowych[ja]

Przykładowe środki zarządzania bezpieczeństwem mogą obejmować:

  • Formułowanie podstawowych zasad dotyczących przetwarzania danych osobowych
  • Ustalanie zasad dotyczących przetwarzania danych osobowych
  • Organizowanie struktury organizacyjnej
  • Przestrzeganie zasad dotyczących przetwarzania danych osobowych
  • Ustalanie środków do sprawdzania stanu przetwarzania danych osobowych
  • Organizowanie struktury reagowania na incydenty związane z wyciekiem informacji
  • Monitorowanie stanu przetwarzania danych osobowych i przeglądanie środków zarządzania bezpieczeństwem
  • Edukacja pracowników przetwarzających dane osobowe
  • Wdrażanie fizycznych środków zarządzania bezpieczeństwem w celu zapobiegania wyciekom danych osobowych
  • Wdrażanie technicznych środków zarządzania bezpieczeństwem w celu zapobiegania wyciekom danych osobowych

Uważamy, że poprzez wdrożenie powyższych środków zarządzania bezpieczeństwem, dostosowanych do sytuacji firmy, można zminimalizować ryzyko wycieku informacji.

Podsumowanie: Konsultacje z prawnikiem w sprawie ujawnienia informacji o wycieku danych

W tym artykule, skierowanym do działów prawnych firm, omówiliśmy, jakie informacje powinny być ujawnione przez firmę w przypadku wycieku danych.

Najlepszym rozwiązaniem jest oczywiście uniknięcie wycieku danych, ale w praktyce jest to trudne do osiągnięcia w 100%.

Dlatego, jeśli dojdzie do wycieku danych, ważne jest, aby firma podjęła odpowiednie działania.

W przypadku reagowania na wyciek danych, wymagane jest ostrożne rozważenie zgodnie z konkretnym przypadkiem, dlatego zalecamy skonsultowanie się z prawnikiem posiadającym specjalistyczną wiedzę.

Informacje o środkach podejmowanych przez naszą kancelarię

Kancelaria prawna Monolis specjalizuje się w IT, a w szczególności w prawie internetowym. Profesjonalna wiedza jest niezbędna przy tworzeniu wewnętrznych regulaminów. W naszej kancelarii przeprowadzamy przeglądy różnych spraw, od firm notowanych na Giełdzie Papierów Wartościowych w Tokio (TSE) do startupów. Jeśli masz problemy z wewnętrznymi regulaminami, zapoznaj się z poniższym artykułem.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Wróć do góry