MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Vad händer om det sker ett personuppgiftsläckage? En förklaring av de administrativa åtgärder företag bör vidta

General Corporate

Vad händer om det sker ett personuppgiftsläckage? En förklaring av de administrativa åtgärder företag bör vidta

Med utvecklingen av internet och möjligheten att utbyta information online, har det blivit allt vanligare att företags viktiga information läcker ut på oväntade sätt.

Under de senaste åren har värdet av information ökat, och om information läcker ut kan det leda till stora problem genom att skada företagets rykte. Det är därför viktigt för företag att snabbt vidta lämpliga åtgärder om en informationsläcka inträffar.

I det här avsnittet kommer vi att detaljerat förklara de åtgärder som företag bör vidta om en informationsläcka inträffar, med fokus på administrativa åtgärder.

Även informationsläckor som kräver administrativ åtgärd

Även informationsläckor som kräver administrativ åtgärd

Även om vi talar om informationsläckor, varierar innehållet och vikten av informationen. Administrativ åtgärd krävs när det har skett en informationsläcka och personuppgifter har läckt ut.

Definitionen av personuppgifter definieras i följande lag om skydd av personuppgifter (härefter kallad “Lagen om skydd av personuppgifter”) artikel 2, punkt 1.

(Definition)
Artikel 2 I denna lag avses med “personuppgifter” information om en levande individ som uppfyller något av följande krav:
1. Information som innehåller namn, födelsedatum och andra beskrivningar (dokument, ritningar eller elektroniska register (register skapade med elektroniska metoder, magnetiska metoder eller andra metoder som inte kan uppfattas av mänskliga sinnen. Samma gäller i nästa punkt.) som kan identifiera en specifik individ (inklusive information som lätt kan matchas med annan information och därmed kan identifiera en specifik individ.)
2. Information som innehåller en personlig identifieringskod

e-GOV|Lagen om skydd av personuppgifter[ja]

Information som uppfyller ovanstående definition behandlas som personuppgifter och skyddas enligt lagen om skydd av personuppgifter.

Relaterad artikel: Vad är lagen om skydd av personuppgifter och personuppgifter? En advokat förklarar[ja]

Dessutom, när en informationsläcka inträffar, kan det finnas fall där företaget behöver vidta åtgärder som att avslöja information, förutom att hantera administrationen. För mer information, se följande artikel.

Relaterad artikel: Vad är informationsavslöjande som företag bör göra när en informationsläcka inträffar?[ja]

Skyldighet att rapportera läckage av personuppgifter

Personuppgiftsansvariga har en skyldighet att rapportera till den japanska personuppgiftsskyddskommittén (Japanese Personal Information Protection Commission) när en situation uppstår där personuppgifter har läckt ut eller det finns en risk för läckage.

Tidigare, före den 1 april 2023 (Reiwa 4), var det inte en skyldighet utan snarare en strävan att rapportera till personuppgiftsskyddskommittén när en situation uppstod där det fanns en risk för läckage. Men med ändringen av den japanska lagen om skydd av personuppgifter (Japanese Personal Information Protection Law) blev det obligatoriskt att rapportera till personuppgiftsskyddskommittén från och med den 1 april 2023.

Med “personuppgiftsansvariga” menas de som använder personuppgiftsdatabaser etc. för affärsändamål (Artikel 16.2 i den japanska lagen om skydd av personuppgifter). Dock inkluderar detta inte statliga organ, lokala offentliga enheter, oberoende administrativa organ etc., eller lokala oberoende administrativa organ.

“Personuppgiftsdatabaser etc.” avser en samling av information som innehåller personuppgifter, med undantag för de som definieras av förordningen som har liten risk att skada individens rättigheter och intressen, och som uppfyller något av följande två krav (Artikel 16.1 i den japanska lagen om skydd av personuppgifter):

  • De som är systematiskt organiserade så att specifika personuppgifter kan sökas med hjälp av en dator
  • De som är systematiskt organiserade så att specifika personuppgifter lätt kan sökas

Personuppgiftsansvariga som använder personuppgiftsdatabaser etc. för affärsändamål har en skyldighet att rapportera till personuppgiftsskyddskommittén.

Relaterad artikel: Förklaring av viktiga punkter om “företags ansvar” i den reviderade japanska lagen om skydd av personuppgifter 2022[ja]

Fyra fall då rapportering till Dataskyddsmyndigheten är nödvändig

Det finns fyra fall då det är nödvändigt att rapportera till Dataskyddsmyndigheten (japanska Dataskyddsmyndigheten) när det har skett ett läckage av personuppgifter. Dessa fall definieras i artikel 7 i förordningen om skydd av personuppgifter (japanska lagen om skydd av personuppgifter).

  1. När det har skett eller finns risk för läckage av personuppgifter som innehåller känslig personinformation
  2. När det har skett eller finns risk för läckage av personuppgifter som, om de används olovligt, kan leda till ekonomisk skada
  3. När det har skett eller finns risk för läckage av personuppgifter som kan ha orsakats av olagliga syften
  4. När det har skett eller finns risk för läckage av personuppgifter som berör mer än 1 000 individer

Nedan förklaras dessa fall mer i detalj.

Läckage av känslig personinformation

“Känslig personinformation” avser personuppgifter som definieras i en förordning och som kräver särskild hänsyn för att förhindra orättvis diskriminering, fördomar och andra nackdelar mot individen. Detta inkluderar information om individens ras, tro, sociala status, medicinska historia, brottslig bakgrund och brottsoffer.

Till exempel, information om en anställds medicinska historia som erhållits genom hälsokontroller räknas som känslig personinformation.

Läckage av personuppgifter som kan leda till ekonomisk skada

Detta avser fall där personuppgifter som, om de används olovligt, kan leda till ekonomisk skada, har läckt ut.

Ett konkret exempel skulle vara om ett företag oavsiktligt läcker ut sina kunders kreditkortsinformation.

Läckage av personuppgifter med olagliga syften

Detta avser fall där det finns olagliga syften bakom läckaget av personuppgifter.

Till exempel, om en tredje part eller en anställd i ett företag olagligt får tillgång till företagets nätverk för att använda personuppgifter för olagliga syften, skulle detta falla under denna kategori.

Storskaligt läckage av personuppgifter

Detta avser fall där läckaget av personuppgifter berör mer än 1 000 individer.

För företag som hanterar stora mängder personuppgifter är det viktigt att vara medveten om risken för storskaliga läckage av personuppgifter.

Rapporteringskrav till den japanska dataskyddsmyndigheten vid informationsläckage

Rapporteringskrav till den japanska dataskyddsmyndigheten vid informationsläckage

När en situation uppstår där det är nödvändigt att rapportera till den japanska dataskyddsmyndigheten, måste du rapportera följande punkter som anges i paragraf 1 i artikel 8 i förordningen om genomförande av den japanska lagen om skydd av personuppgifter.

(Rapportering till den japanska dataskyddsmyndigheten)
Artikel 8: När en personuppgiftsansvarig ska rapportera enligt bestämmelserna i huvudtexten i artikel 26.1 i lagen, ska denne, efter att ha blivit medveten om situationen som anges i varje punkt i föregående artikel, omedelbart rapportera följande punkter (begränsat till de som är kända vid tidpunkten för rapportering. Detsamma gäller i nästa artikel.)

e-GOV|Lagen om skydd av personuppgifter[ja]

Om något av de fyra fallen som kräver rapportering ovan inträffar, måste företaget omedelbart rapportera följande punkter till den japanska dataskyddsmyndigheten:

  • Översikt
  • Typ av personuppgifter som har läckt ut eller riskerar att läcka ut
  • Antalet berörda individer vars personuppgifter har läckt ut eller riskerar att läcka ut
  • Orsak
  • Förekomst och innehåll av sekundär skada eller risk för sådan skada
  • Status för åtgärder gentemot de berörda individerna
  • Status för offentliggörande
  • Åtgärder för att förhindra återkommande händelser
  • Övriga relevanta punkter

Observera dock att det endast är nödvändigt att rapportera de punkter som är kända vid tidpunkten för rapportering.

Rapporteringsfrist till Datainspektionen vid informationsläckage

Det finns en fastställd tidsfrist för att rapportera till Datainspektionen (enligt paragraf 2 i artikel 8 i den japanska lagen om skydd av personuppgifter).

Rapportering till Datainspektionen ska i princip ske inom 30 dagar från det att informationsläckaget upptäcktes. Om det finns en olämplig avsikt hos den part som orsakade läckaget av personuppgifter, måste en rapport lämnas inom 60 dagar.

Skyldighet att meddela den berörda personen

Om det inträffar ett läckage av personuppgifter, finns det inte bara en skyldighet att rapportera till den japanska dataskyddsmyndigheten (japanska: 個人情報保護委員会), utan det finns också bestämmelser om skyldigheten att meddela den berörda personen (japanska: 個人情報保護法第26条第2項).

Syftet med att meddela den berörda personen är att förhindra att personens rättigheter och intressen kränks genom att personen kan vidta åtgärder mot läckaget av personuppgifter så snart som möjligt. Därför måste företag som hanterar personuppgifter meddela den berörda personen utan dröjsmål.

Sammanfattning: Rådfråga en advokat för administrativ hantering av personuppgiftsläckor

Vi har nu gått igenom vilka åtgärder ett företag måste vidta om det inträffar en läcka av personuppgifter, med fokus på administrativ hantering.

För företag är det självklart viktigt att skapa system som förhindrar läckage av information. Men om en sådan läcka ändå skulle inträffa, är det nödvändigt att hantera situationen på ett lämpligt sätt.

Den japanska lagen om skydd av personuppgifter (Japanese Personal Information Protection Law) ändras ofta och har en komplex struktur. För att kunna hantera situationen på ett lämpligt sätt rekommenderar vi att du rådfrågar en advokat med expertkunskaper inom detta område.

Information om åtgärder från vår byrå

Monolith Advokatbyrå är en juridisk byrå med hög expertis inom IT, särskilt internet och lag. På senare tid har läckage av personuppgifter blivit ett stort problem. Om personuppgifter skulle läcka ut, kan det i vissa fall ha en dödlig inverkan på företagsverksamheten. Vårt företag har expertkunskap om förebyggande av informationsläckage och åtgärder. Detaljer finns i artikeln nedan.

https://monolith.law/practices/itlaw[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Tillbaka till toppen