Что делать при утечке персональных данных? Объясняем, какие административные меры должны принять компании

С развитием интернета и возможностью обмена информацией онлайн, случаи непредвиденной утечки важной информации компаний стали все более частыми.

В последние годы, в связи с ростом ценности информации, случаи утечки информации могут привести к серьезным проблемам, подрывающим доверие. Для компаний важно быстро и адекватно реагировать на случаи утечки информации.

В этой статье мы подробно рассмотрим, какие меры должны предпринять компании в случае утечки информации, сосредоточив внимание на взаимодействии с государственными органами.

Также требуется административное вмешательство при утечке информации

Утечка информации может быть разной по своему содержанию и важности. Административное вмешательство требуется, когда происходит утечка персональных данных.

Определение персональных данных приведено в статье 2 пункт 1 Закона о защите персональных данных (далее “Закон о защите персональных данных”).

(Определение)
Статья 2. В этом законе под “персональными данными” понимаются сведения, относящиеся к живущему индивиду, которые соответствуют любому из следующих пунктов:
1. Сведения, содержащие имя, дату рождения и другие описания (включая документы, рисунки или электронные записи (записи, созданные электронными, магнитными или иными способами, недоступными для восприятия человеком. То же относится и к пункту 2 ниже.) и т.д., которые могут идентифицировать конкретного индивидуа (исключая индивидуальные идентификационные коды).
2. Сведения, содержащие индивидуальные идентификационные коды

e-GOV｜Закон о защите персональных данных[ja]

Информация, соответствующая вышеуказанному определению, будет защищена в качестве персональных данных в соответствии с Законом о защите персональных данных.

Связанные статьи: Что такое Закон о защите персональных данных и персональные данные? Объяснение адвоката[ja]

Кроме того, в случае утечки информации, компании могут потребоваться такие меры, как раскрытие информации, помимо административного вмешательства. Пожалуйста, обратитесь к следующей статье для получения дополнительной информации.

Связанные статьи: Что такое раскрытие информации, которое компании должны провести в случае утечки информации[ja]

Обязанность сообщать о утечке персональных данных

Операторы, обрабатывающие персональные данные, обязаны сообщать Японской комиссии по защите персональных данных в случае утечки или возможной утечки персональных данных.

До 1 апреля 2022 года (4 года эры Рейва) сообщение Японской комиссии по защите персональных данных о возможной утечке данных не было обязательным, но рекомендовалось. Однако с изменением Закона о защите персональных данных (Японский ~) с 1 апреля 2022 года стало обязательным сообщать о таких случаях.

Термин “оператор, обрабатывающий персональные данные” относится к лицам, использующим базы данных персональной информации в своей деятельности (статья 16, пункт 2 Закона о защите персональных данных (Японский ~)). Однако государственные учреждения, местные общественные организации, независимые административные корпорации и местные независимые административные корпорации не включаются в эту категорию.

“База данных персональной информации” – это совокупность информации, содержащей персональные данные, исключая те, которые определены постановлением как имеющие мало вероятности нарушения прав и интересов индивидуума, и которые удовлетворяют одному из следующих двух условий (статья 16, пункт 1 Закона о защите персональных данных (Японский ~)):

• Систематически организованы таким образом, что можно использовать компьютер для поиска конкретной персональной информации
• Систематически организованы таким образом, что можно легко найти конкретную персональную информацию

Операторы, использующие базу данных персональной информации в своей деятельности, обязаны сообщать Японской комиссии по защите персональных данных.

Связанные статьи: Изменения в Законе о защите персональных данных в 2022 году: что нужно знать о “обязанностях оператора”[ja]

Четыре случая, когда необходимо сообщить в Комиссию по защите персональных данных

Существуют четыре случая, когда при утечке персональных данных необходимо сообщить в Комиссию по защите персональных данных, как определено в статье 7 Правил применения Закона о защите персональных данных (Японский Закон о защите персональных данных).

1. Когда происходит утечка персональных данных, содержащих информацию, требующую особого внимания, или есть вероятность такой утечки
2. Когда происходит утечка персональных данных, которые могут быть использованы незаконно и привести к материальному ущербу, или есть вероятность такой утечки
3. Когда происходит утечка персональных данных, которые могли быть использованы с незаконной целью, или есть вероятность такой утечки
4. Когда происходит утечка персональных данных, касающихся более чем 1000 человек, или есть вероятность такой утечки

Ниже мы рассмотрим каждый из этих случаев.

Утечка информации, требующей особого внимания

“Информация, требующая особого внимания”, это персональные данные, которые определены постановлением как такие, что требуют особого внимания при обработке, чтобы предотвратить недобросовестную дискриминацию, предвзятость и другие неблагоприятные последствия для субъекта данных. Это может включать расу, вероисповедание, социальный статус, медицинскую историю, уголовное прошлое, статус жертвы преступления и т.д.

Например, информация о медицинской истории сотрудника, полученная в результате медицинского осмотра, будет относиться к информации, требующей особого внимания.

Утечка персональных данных, которая может привести к материальному ущербу

Здесь речь идет о случаях утечки персональных данных, которые могут быть использованы незаконно и привести к материальному ущербу.

Конкретным примером может служить утечка информации о кредитной карте клиента компанией.

Утечка персональных данных с незаконной целью

Этот случай относится к ситуациям, когда у лица, ответственного за утечку персональных данных, есть незаконные намерения.

Например, это может быть ситуация, когда третья сторона или сотрудник компании незаконно получает доступ к корпоративной сети с целью незаконного использования персональных данных.

Массовая утечка персональных данных

Этот случай относится к ситуациям, когда происходит утечка персональных данных, касающихся более чем 1000 человек.

Компаниям, которые обрабатывают большое количество персональных данных, следует быть особенно внимательными, так как существует вероятность массовой утечки данных.

Сведения для отчета в Комиссию по защите персональных данных в случае утечки информации

В случае, когда требуется сообщить в Комиссию по защите персональных данных, необходимо представить отчет о вопросах, предусмотренных в пункте 1 статьи 8 Правил применения Закона о защите персональных данных (Японский ~).

(Отчет в Комиссию по защите персональных данных)
Статья 8. Операторы, обрабатывающие персональные данные, должны немедленно сообщить в Комиссию о следующих вопросах, связанных с ситуацией, о которой они узнали, в случае подачи отчета в соответствии с положениями основного текста пункта 1 статьи 26 Закона (только те, которые они знают на момент подачи отчета. То же относится к следующей статье).

e-GOV｜Закон о защите персональных данных (Японский ~)[ja]

Если ситуация соответствует любому из четырех случаев, когда требуется отчет, указанный выше, оператор должен немедленно сообщить в Комиссию по защите персональных данных о следующих вопросах:

• Общий обзор
• Пункты персональных данных, которые были или могли быть утечкой
• Количество субъектов, связанных с персональными данными, которые были или могли быть утечкой
• Причина
• Наличие или отсутствие вторичного ущерба и его содержание
• Состояние реагирования на субъекта
• Состояние публикации
• Меры для предотвращения повторения
• Прочие вопросы, которые могут быть полезны для справки

Однако достаточно сообщить только о тех вопросах, которые известны на момент подачи отчета.

Сроки отчетности перед Комиссией по защите персональных данных в случае утечки информации

Существуют установленные сроки для отчетности перед Комиссией по защите персональных данных (в соответствии со статьей 8, пункт 2 Правил применения Закона о защите персональных данных).

В качестве основного правила, отчет перед Комиссией по защите персональных данных должен быть представлен в течение 30 дней с момента обнаружения утечки или подобного инцидента. Если у субъекта, допустившего утечку персональных данных или подобное нарушение, имеются противоправные намерения, отчет должен быть представлен в течение 60 дней.

Обязанность уведомления субъекта данных

В случае утечки персональных данных, помимо обязанности сообщить об этом в Комиссию по защите персональных данных, также предусмотрена обязанность уведомления субъекта данных (статья 26, пункт 2, Японского закона о защите персональных данных).

Целью уведомления субъекта данных является предотвращение нарушения прав и интересов субъекта данных путем обеспечения возможности для него принять меры в ответ на утечку персональных данных на как можно более раннем этапе. Поэтому, операторы, обрабатывающие персональные данные, обязаны незамедлительно уведомить субъекта данных.

Вывод: В случае утечки персональных данных обратитесь за консультацией к адвокату

Выше мы рассмотрели, какие меры должны быть предприняты компанией в случае утечки персональных данных, с акцентом на взаимодействие с государственными органами.

Для компании важно создать систему, которая предотвращает утечку информации. Однако, если утечка информации все же произошла, необходимо адекватно реагировать на эту ситуацию.

Закон о защите персональных данных часто подвергается изменениям и имеет сложную структуру, поэтому для адекватного реагирования на ситуацию рекомендуется обратиться к адвокату, специализирующемуся на этом вопросе.

Информация о мерах, предпринимаемых нашим юридическим бюро

Юридическое бюро “Monolith” обладает высокой специализацией в области IT, особенно в вопросах, связанных с Интернетом и законодательством. В наши дни утечка личной информации стала большой проблемой. В случае утечки личной информации, это может оказать смертельное воздействие на деятельность компании. Наша компания обладает специализированными знаниями в области предотвращения утечки информации и мер по ее устранению. Подробности приведены в статье ниже.

https://monolith.law/practices/itlaw[ja]