Що таке інформаційна розкриття, яке компанії повинні здійснювати у разі витоку інформації

У випадку витоку інформації, залежно від обставин, може бути необхідною адміністративна реакція, така як звітність. Крім відповіді на адміністративні запити, також необхідно відповідно розкрити інформацію про “яку інформацію”, “коли” та “в яких обставинах” було витрачено.

Тому в цій статті ми пояснимо, що компанії повинні розкривати інформацію у випадку витоку інформації, звертаючись до юридичного відділу компанії.

Про різницю між адміністративною реакцією та розкриттям інформації

У випадку витоку персональних даних, вам доведеться відповідати на адміністративні регулювання, такі як Японський закон про захист персональних даних. Однак, просто відповідь на адміністративні вимоги може бути недостатньою як реакція компанії.

Наприклад, якщо компанія допускає витік інформації, це може мати соціальні наслідки.

Крім того, якщо компанія є публічною, вона має обов’язок швидко розкрити інформацію своїм акціонерам, партнерам, клієнтам та іншим зацікавленим сторонам.

Хоча адміністративна реакція має аспект дотримання закону, розкриття інформації, яке проводить компанія, має сильний аспект виконання соціальної відповідальності як компанії, що працює з інформацією.

Пов’язана стаття: Що робити, якщо сталася витік персональних даних? Роз’яснення адміністративної реакції, яку повинна взяти компанія[ja]

Пов’язана стаття: Управління кризою та роль адвоката, вивчаючи приклад витоку 650 тисяч записів від компанії Touken Co.[ja]

Про своєчасне розкриття інформації публічними компаніями

Публічні компанії зобов’язані розкривати інформацію, оскільки витік інформації може мати вплив на широкий спектр ситуацій.

Наприклад, в Правилах лістингу цінних паперів, опублікованих Токійською фондовою біржею, встановлено наступні положення щодо своєчасного розкриття інформації:

(Розкриття інформації про компанію)
Стаття 402
Публічна компанія повинна негайно розкрити інформацію в таких випадках (за винятком випадків, які відповідають критеріям, встановленим виконавчими правилами, та інших випадків, які біржа вважає незначними для інвестиційних рішень інвесторів):
(Пропуск)
x До цього включаються факти, які мають значний вплив на інвестиційні рішення інвесторів, та стосуються управління, діяльності або майна публічної компанії або її публічних акцій тощо.

Токійська фондова біржа | Правила лістингу цінних паперів[ja]

Вважається, що витоки інформації відповідають “фактам, які мають значний вплив на інвестиційні рішення інвесторів, та стосуються управління, діяльності або майна публічної компанії або її публічних акцій тощо”, тому необхідно здійснювати своєчасне розкриття інформації.

Конкретно, можна розглядати можливість розкриття такої інформації, як опис витоку інформації, обставини його виникнення, а також перспективи майбутньої реакції на витік інформації.

Про добровільне розкриття інформації компаніями

Як вже було сказано, іноді компанії розкривають інформацію відповідно до правил лістингу цінних паперів та інших регулятив. Однак, компанії також можуть розглядати можливість добровільного розкриття інформації як засіб управління ризиками.

Пов’язана стаття: Ризик витоку персональної інформації з компанії та відшкодування збитків[ja]

У яких випадках слід розкривати інформацію

Щодо добровільного розкриття інформації, оскільки це добровільне, компанія може вибрати, чи розкривати інформацію, чи ні.

Тому важливо для компанії чітко визначити критерії для вибору, чи розкривати інформацію, чи ні.

Першим критерієм може бути те, чи можна реально припустити, що витік інформації призведе до поширення шкоди.

Якщо витік інформації вже відбувся, але вважається, що він не має реального впливу, то потреба в добровільному розкритті інформації може бути низькою.

Якщо ви добровільно розкриваєте інформацію, коли немає реальної загрози поширення шкоди внаслідок витоку інформації, це може призвести до паніки та можливого погіршення ситуації.

Другим критерієм може бути те, чи можна визнати, що розкриття інформації може призвести до поширення шкоди внаслідок витоку інформації.

Якщо ви розкриєте факт витоку інформації, не здійснивши достатніх заходів щодо витоку інформації, це може привернути увагу тих, хто хоче незаконно отримати інформацію, і може призвести до подальшого витоку інформації.

Таким чином, добровільне розкриття інформації може призвести до поширення шкоди внаслідок витоку інформації, і в результаті може призвести до подальшого порушення прав.

Однак, ці критерії не обов’язково можуть бути узагальнені, і потрібно ретельно перевірити критерії для вибору, чи розкривати інформацію в кожному випадку, і вирішити, чи слід розкривати інформацію.

Про питання, які слід розкрити

При розкритті інформації важливо ретельно розглянути питання, які слід розкрити.

Питання, які слід розкрити, можуть включати, наприклад, наступне:

• Тип витоку інформації
• Дата, коли компанія виявила витік інформації
• Дата витоку інформації
• Обставини виявлення витоку інформації
• Причина витоку інформації
• Можливі наслідки витоку інформації
• Чи існує ризик подальшого поширення шкоди або вторинної шкоди
• Заходи, які компанія вжила щодо витоку інформації
• Зміст розслідування причин витоку інформації
• Чи було повідомлено поліції

Однак, щодо питань, які слід розкрити, в залежності від ситуації, бажані питання для розкриття можуть відрізнятися, тому потрібно вирішувати їх індивідуально в залежності від ситуації.

Про способи розкриття інформації

Способи розкриття інформації можуть включати, наприклад, наступне:

• Розміщення на веб-сайті компанії
• Оголошення на прес-конференції для ЗМІ
• Індивідуальний контакт з особами, чиї права та інтереси можуть бути порушені внаслідок витоку інформації

Ці способи розкриття інформації є лише прикладами, і ви повинні вибрати відповідний спосіб в залежності від ситуації.

На що слід звернути увагу при проведенні прес-конференції для ЗМІ

При проведенні прес-конференції вміст розкриття інформації стає відомим широкому колу людей. Тому важливо ретельно розглянути, чи є прес-конференція відповідним способом розкриття інформації.

Наприклад, якщо не існує інформації, яка перевищує ту, яку компанія вже розкрила на своєму веб-сайті, то проведення прес-конференції не дозволить вам розкрити нову інформацію. Якщо ви проведете прес-конференцію без нової інформації, люди, які дивляться прес-конференцію, можуть отримати враження, що ви є “недобросовісною компанією, яка не виконує свої обов’язки по розкриттю інформації”, тому вам слід бути обережними.

Крім того, вміст, про який говорили на прес-конференції, фактично важко відкликати або виправляти.

Тому вам потрібно ретельно підготуватися до того, що ви скажете на прес-конференції, включаючи юристів та інших фахівців, і визначити заздалегідь, що ви скажете.

На що слід звернути увагу при індивідуальному контакті з особами, чиї права та інтереси можуть бути порушені внаслідок витоку інформації

Якщо ви визначили осіб, чиї права та інтереси можуть бути порушені внаслідок витоку інформації, то доцільно спочатку зв’язатися з цими потерпілими індивідуально, ніж розкривати факт витоку інформації.

Якщо ви почнете з розкриття, перед тим як зв’язатися з потерпілими індивідуально, потерпілі можуть відчути недовіру до компанії і посилити вороже ставлення.

Крім того, якщо ви розкриєте інформацію перед індивідуальним контактом з потерпілими, хоча це було можливо, це може підривати соціальну довіру до компанії.

Як компанії можуть запобігти витоку інформації

До цього моменту ми обговорювали, які дії компанія повинна вжити у випадку витоку інформації, але, безумовно, важливо запобігти витоку інформації.

У статті 23 Закону Японії про захист персональних даних (Japanese Personal Information Protection Law) встановлено наступні вимоги до заходів щодо безпеки:

(Заходи щодо безпеки)
Стаття 23. Оператори, які обробляють персональні дані, повинні вживати необхідні та відповідні заходи для запобігання витоку, втрати або пошкодження персональних даних та інших заходів щодо безпеки персональних даних.

e-Gov｜Закон про захист персональних даних[ja]

Заходи щодо безпеки можуть включати, наприклад, наступні дії:

• Розробка основних принципів обробки персональних даних
• Створення правил обробки персональних даних
• Створення організаційної структури
• Виконання правил обробки персональних даних
• Створення засобів для перевірки стану обробки персональних даних
• Створення системи реагування на випадки витоку інформації
• Моніторинг стану обробки персональних даних та перегляд заходів щодо безпеки
• Навчання працівників, які обробляють персональні дані
• Впровадження фізичних заходів безпеки для запобігання витоку персональних даних
• Впровадження технічних заходів безпеки для запобігання витоку персональних даних

Вважається, що виконання вищезазначених заходів безпеки відповідно до ситуації в компанії може зменшити ризик витоку інформації.

Підсумок: Консультуйтеся з адвокатом щодо розкриття інформації про витік інформації

У цій статті ми розглянули, які відомості компанія повинна розкрити у випадку витоку інформації, звертаючись до юридичного відділу компанії.

Найкращим варіантом було б ніколи не стикатися з витоком інформації, але в реальності 100% запобігання витоку інформації є складним завданням.

Тому, якщо витік інформації все ж відбувся, важливо, щоб компанія відповідно реагувала на це.

Щодо реагування на виток інформації, вимагається обережне розглядання кожного випадку, тому ми рекомендуємо звертатися за консультацією до адвоката, який має спеціалізовані знання.

Інформація про заходи, що вживаються нашим бюро

Юридичне бюро “Monolith” є висококваліфікованим у сфері IT, особливо в інтернеті та праві. При розробці внутрішніх правил компанії необхідні професійні знання. Наше бюро здійснює огляд різних справ, від компаній, що входять до складу Токійської фондової біржі, до стартапів. Якщо у вас виникли проблеми з внутрішніми правилами, будь ласка, зверніться до наведеної нижче статті.

https://monolith.law/digitaltattoo[ja]