Что такое раскрытие информации, которое компания должна провести в случае утечки информации

В случае утечки информации, в зависимости от обстоятельств, может потребоваться административное вмешательство, такое как сообщение о происшествии. Помимо взаимодействия с администрацией, также необходимо раскрыть информацию о том, какая именно информация, когда и как утекла, используя соответствующие методы.

В этой статье мы объясним, какие меры по раскрытию информации должны предпринять компании в случае утечки информации, ориентируясь на работников юридического отдела компаний.

О разнице между административным реагированием и раскрытием информации

В случае утечки персональных данных, необходимо принять меры в соответствии с административными регулятивными требованиями, такими как Японский закон о защите персональных данных. Однако, простое выполнение административных требований может быть недостаточным в качестве ответа со стороны компании.

Например, если компания допускает утечку информации, это может вызвать социальные последствия.

Кроме того, для публичных компаний существует необходимость быстрого раскрытия информации своим акционерам, партнерам, клиентам и другим заинтересованным сторонам.

В то время как административное реагирование включает в себя соблюдение законодательства, раскрытие информации со стороны компании имеет больше отношения к выполнению социальной ответственности как организации, работающей с информацией.

Связанные статьи: Что делать при утечке персональных данных? Объясняем, какие административные меры должна принять компания[ja]

Связанные статьи: Уроки управления кризисом и роли адвоката, изученные на примере утечки 650 000 записей в компании Touken Corporation[ja]

О своевременном раскрытии информации публичными компаниями

Публичные компании обязаны раскрывать информацию, поскольку утечка информации может иметь широкий ряд последствий.

Например, в Правилах листинга ценных бумаг, опубликованных Токийской фондовой биржей (Japanese Tokyo Stock Exchange), установлены следующие положения о своевременном раскрытии информации:

(Раскрытие информации о компании)
Статья 402
Публичная компания должна немедленно раскрыть информацию в следующих случаях (за исключением случаев, которые соответствуют критериям, установленным в исполнительных правилах, и других случаев, которые биржа считает несущественными для инвестиционного решения инвесторов):
(Пропуск)
x Другие факты, связанные с управлением, операциями или активами публичной компании или соответствующими ценными бумагами, которые могут существенно повлиять на инвестиционное решение инвесторов

Токийская фондовая биржа | Правила листинга ценных бумаг[ja]

Считается, что утечка информации соответствует “другим фактам, связанным с управлением, операциями или активами публичной компании или соответствующими ценными бумагами, которые могут существенно повлиять на инвестиционное решение инвесторов”, поэтому необходимо своевременно раскрывать информацию.

Конкретно, можно предположить, что следует раскрыть общую информацию об утечке информации, обстоятельства ее возникновения, а также перспективы будущих действий в отношении утечки информации.

О добровольном раскрытии информации компаниями

Как уже упоминалось, есть случаи, когда компании раскрывают информацию в соответствии с правилами листинга ценных бумаг и т.д., но компании также могут рассматривать возможность добровольного раскрытия информации в целях снижения рисков.

Связанные статьи: Риск утечки персональных данных компании и возмещение ущерба[ja]

В каких случаях следует раскрывать информацию

Что касается добровольного раскрытия информации, поскольку это добровольное, компания может выбрать либо не раскрывать информацию, либо раскрывать ее.

Поэтому важно для компании четко определить критерии выбора между раскрытием информации и ее нераскрытием.

Первым критерием может быть вопрос о том, можно ли реально предположить, что ущерб от утечки информации не увеличится.

Если утечка информации действительно произошла, но считается, что она не окажет реального влияния, то необходимость добровольного раскрытия информации считается низкой.

Если добровольно раскрывать информацию, когда реально не предполагается увеличение ущерба от утечки информации, это может привести к путанице и усугублению ситуации.

Вторым критерием может быть вопрос о том, можно ли признать, что раскрытие информации может на самом деле увеличить ущерб от утечки информации.

Если компания не смогла адекватно реагировать на утечку информации и раскрыла факт утечки, это может привлечь внимание тех, кто хочет незаконно получить информацию, и привести к дальнейшей утечке информации.

Таким образом, добровольное раскрытие информации может привести к увеличению ущерба от утечки информации и, в конечном итоге, к расширению нарушения прав.

Однако, эти критерии не всегда могут быть обобщены, и необходимо тщательно рассмотреть критерии для раскрытия информации в каждом конкретном случае и принять решение о целесообразности раскрытия информации.

О вопросах, которые следует раскрыть

При раскрытии информации необходимо тщательно рассмотреть вопросы, которые следует раскрыть.

Вопросы, которые следует раскрыть, могут включать, например, следующее:

• Тип произошедшей утечки информации
• Дата, когда компания узнала о произошедшей утечке информации
• Дата утечки информации
• Обстоятельства, при которых стало известно о произошедшей утечке информации
• Причина утечки информации
• Содержание возможного ущерба от утечки информации
• Наличие риска расширения ущерба или вторичного ущерба в будущем
• Меры, принятые компанией в отношении утечки информации
• Содержание расследования причин утечки информации
• Сообщение в полицию и т.д.

Однако, вопросы, которые следует раскрыть, могут отличаться в зависимости от конкретного случая, поэтому необходимо принимать решение индивидуально для каждого случая.

О способах раскрытия информации

Способы раскрытия информации могут включать, например, следующее:

• Размещение на веб-сайте компании
• Проведение пресс-конференции для СМИ
• Индивидуальное обращение к лицам, чьи права и интересы могут быть нарушены в результате утечки информации

Вышеупомянутые способы раскрытия информации являются лишь примерами, и необходимо выбирать подходящий способ в каждом конкретном случае.

Осторожность при проведении пресс-конференции для СМИ

При проведении пресс-конференции содержание раскрытой информации становится известным широкому кругу людей. Поэтому необходимо тщательно рассмотреть, является ли проведение пресс-конференции подходящим способом раскрытия информации.

Например, если у компании нет информации, превышающей ту, которую она уже разместила на своем веб-сайте, то проведение пресс-конференции не позволит раскрыть новую информацию. Если провести пресс-конференцию, на которой не будет новой информации, люди, которые ее посмотрят, могут получить впечатление, что компания не осуществляет должного раскрытия информации и не выполняет свою обязанность по объяснению, что может создать образ недобросовестной компании. Поэтому необходима осторожность.

Кроме того, содержание, о котором говорили на пресс-конференции, фактически сложно отозвать или исправить.

Поэтому необходимо тщательно подготовиться к содержанию, о котором будет говорить на пресс-конференции, включая привлечение специалистов, таких как адвокаты, и заранее определить, о чем будет говорить.

Осторожность при индивидуальном обращении к лицам, чьи права и интересы могут быть нарушены в результате утечки информации

Если известны лица, чьи права и интересы могут быть нарушены в результате утечки информации, желательно связаться с ними индивидуально до того, как будет объявлен факт утечки информации.

Если сначала сделать публичное заявление, а затем связаться с потерпевшими, они могут почувствовать недоверие к компании и усилить враждебное отношение.

Кроме того, если возможно индивидуальное обращение к потерпевшим, но сначала сделать публичное заявление, это может подорвать общественное доверие к компании.

Как компании могут предотвратить утечку информации

Мы уже обсудили, какие меры по раскрытию информации должна предпринять компания в случае утечки информации, но, безусловно, важнее всего предотвратить саму утечку.

В статье 23 Закона о защите персональных данных (Японский Закон о защите персональных данных) предусмотрены следующие меры безопасности:

(Меры безопасности)
Статья 23. Операторы, обрабатывающие персональные данные, должны принимать необходимые и адекватные меры для предотвращения утечки, утраты или повреждения персональных данных, а также для обеспечения их безопасности.

e-Gov｜Закон о защите персональных данных[ja]

В качестве мер безопасности можно рассмотреть, например, следующие действия:

• Разработка основных принципов обработки персональных данных
• Установление правил обработки персональных данных
• Организация структуры управления
• Соблюдение правил обработки персональных данных
• Установление средств для проверки обработки персональных данных
• Организация системы реагирования на инциденты утечки информации
• Понимание обработки персональных данных и пересмотр мер безопасности
• Обучение сотрудников, обрабатывающих персональные данные
• Реализация физических мер безопасности для предотвращения утечки персональных данных
• Реализация технических мер безопасности для предотвращения утечки персональных данных

Считается, что применение таких мер безопасности, как указано выше, в соответствии с ситуацией в компании, может снизить риск утечки информации.

Вывод: Обратитесь к адвокату для консультации по вопросам раскрытия информации о утечке данных

В этой статье мы обсуждали вопросы, которые должны быть рассмотрены компаниями в случае утечки информации, ориентируясь на работников юридических отделов компаний.

Хотя лучшим вариантом было бы полное предотвращение утечек информации, в реальности на 100% предотвратить утечку информации сложно.

Поэтому, если утечка информации все же произошла, важно, чтобы компания приняла соответствующие меры.

В отношении реагирования на утечки информации требуется тщательное рассмотрение каждого конкретного случая, поэтому мы рекомендуем обратиться за консультацией к адвокату, обладающему специализированными знаниями.

Информация о мерах, предпринимаемых нашей юридической фирмой

Юридическая фирма “Монолит” обладает высокой специализацией в области IT, особенно в интернете и праве. При разработке внутренних регламентов необходимы специализированные знания. В нашей фирме мы проводим обзоры различных дел, от компаний, котировавшихся на Токийской бирже, до стартапов. Если у вас возникли проблемы с внутренними регламентами, пожалуйста, обратите внимание на статью ниже.

https://monolith.law/contractcreation[ja]