Nếu xảy ra rò rỉ thông tin cá nhân? Giải thích về cách ứng phó hành chính mà doanh nghiệp nên thực hiện

Với sự phát triển của Internet và khả năng trao đổi thông tin trực tuyến, số lượng các trường hợp thông tin quan trọng của doanh nghiệp bị rò rỉ một cách không mong muốn cũng đang tăng lên.

Gần đây, giá trị của thông tin đang ngày càng tăng lên, và một khi thông tin bị rò rỉ, đó có thể trở thành một vấn đề lớn làm mất đi sự tin tưởng. Đối với doanh nghiệp, khi xảy ra rò rỉ thông tin, việc nhanh chóng đưa ra phản ứng phù hợp là điều cần thiết.

Ở đây, chúng tôi sẽ giải thích chi tiết về các biện pháp mà doanh nghiệp nên thực hiện khi xảy ra rò rỉ thông tin, tập trung vào việc đối phó với chính quyền.

Cũng cần phải đối phó với chính quyền khi có rò rỉ thông tin

Rò rỉ thông tin, tùy thuộc vào nội dung và tầm quan trọng của thông tin, sẽ có những hậu quả khác nhau. Trường hợp cần phải đối phó với chính quyền khi có rò rỉ thông tin là khi thông tin cá nhân bị rò rỉ.

Định nghĩa về thông tin cá nhân được quy định trong Điều 2, Khoản 1 của Luật Bảo vệ thông tin cá nhân Nhật Bản (sau đây gọi là “Luật Bảo vệ thông tin cá nhân”).

(Định nghĩa)
Điều 2 Trong luật này, “thông tin cá nhân” là thông tin liên quan đến một cá nhân còn sống, và là một trong những điều sau đây:
1. Thông tin bao gồm tên, ngày tháng năm sinh và các mô tả khác (bao gồm tất cả các vấn đề được mô tả hoặc ghi chép trong tài liệu, hình vẽ hoặc hồ sơ từ điện từ (hồ sơ được tạo bằng phương pháp từ điện (phương pháp điện tử, phương pháp từ tính và các phương pháp khác không thể nhận biết bằng giác quan của con người. Cùng áp dụng cho mục 2 dưới đây.) Được gọi là hồ sơ từ điện. Cùng áp dụng dưới đây.) hoặc được biểu thị bằng âm thanh, hành động hoặc phương pháp khác (trừ mã định danh cá nhân.) Được gọi là vậy. Cùng áp dụng dưới đây.) có thể xác định một cá nhân cụ thể (bao gồm những thông tin có thể dễ dàng so sánh với thông tin khác, và do đó có thể xác định một cá nhân cụ thể.)
2. Thông tin bao gồm mã định danh cá nhân

e-GOV｜Luật Bảo vệ thông tin cá nhân[ja]

Thông tin phù hợp với định nghĩa trên sẽ được bảo vệ như thông tin cá nhân theo Luật Bảo vệ thông tin cá nhân.

Bài viết liên quan: Luật Bảo vệ thông tin cá nhân và thông tin cá nhân là gì? Luật sư giải thích[ja]

Ngoài việc đối phó với chính quyền, khi có rò rỉ thông tin, doanh nghiệp cũng cần phải thực hiện các biện pháp như công bố thông tin. Vui lòng tham khảo bài viết dưới đây để biết thêm thông tin.

Bài viết liên quan: Công bố thông tin mà doanh nghiệp cần thực hiện khi có rò rỉ thông tin[ja]

Nghĩa vụ báo cáo về việc rò rỉ thông tin cá nhân

Người kinh doanh xử lý thông tin cá nhân có nghĩa vụ báo cáo cho Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản (Japanese Personal Information Protection Commission) khi có tình huống rò rỉ thông tin cá nhân hoặc có nguy cơ rò rỉ.

Trước ngày 1 tháng 4 năm 2023 (năm thứ 4 của kỷ nguyên Reiwa), việc báo cáo cho Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản khi có tình huống rò rỉ thông tin cá nhân hoặc có nguy cơ rò rỉ không phải là nghĩa vụ mà chỉ là nỗ lực. Tuy nhiên, do Luật Bảo vệ Thông tin Cá nhân Nhật Bản (Japanese Personal Information Protection Law) đã được sửa đổi, từ ngày 1 tháng 4 năm 2023 trở đi, việc báo cáo cho Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản đã trở thành nghĩa vụ.

“Người kinh doanh xử lý thông tin cá nhân” ở đây là người sử dụng cơ sở dữ liệu thông tin cá nhân, v.v. cho mục đích kinh doanh (Điều 16, Khoản 2 của Luật Bảo vệ Thông tin Cá nhân Nhật Bản). Tuy nhiên, các cơ quan của quốc gia, tổ chức công cộng địa phương, tổ chức hành chính độc lập, v.v. và tổ chức hành chính độc lập địa phương không được coi là người kinh doanh xử lý thông tin cá nhân.

“Cơ sở dữ liệu thông tin cá nhân, v.v.” là tập hợp thông tin bao gồm thông tin cá nhân, trừ những thông tin được quy định bởi pháp lệnh là ít có khả năng gây hại cho quyền lợi của cá nhân dựa trên phương pháp sử dụng, và thỏa mãn một trong hai yêu cầu sau (Điều 16, Khoản 1 của Luật Bảo vệ Thông tin Cá nhân Nhật Bản):

• Thông tin được tổ chức một cách hệ thống để có thể tìm kiếm thông tin cá nhân cụ thể bằng máy tính
• Thông tin được tổ chức một cách hệ thống để có thể dễ dàng tìm kiếm thông tin cá nhân cụ thể

Người kinh doanh xử lý thông tin cá nhân sử dụng cơ sở dữ liệu thông tin cá nhân, v.v. cho mục đích kinh doanh sẽ phải chịu nghĩa vụ báo cáo cho Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản.

Bài viết liên quan: Giải thích về những điểm cần lưu ý trong “Trách nhiệm của doanh nghiệp” theo Luật Bảo vệ Thông tin Cá nhân Nhật Bản sửa đổi năm 2022[ja]

4 trường hợp cần báo cáo cho Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản

Có bốn trường hợp cần phải báo cáo cho Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản khi xảy ra sự rò rỉ thông tin cá nhân, được quy định như sau (Điều 7 của Quy tắc thi hành Luật Bảo vệ Thông tin Cá nhân của Nhật Bản).

1. Khi xảy ra rò rỉ dữ liệu cá nhân chứa thông tin cá nhân cần được xem xét kỹ lưỡng, hoặc có nguy cơ xảy ra
2. Khi xảy ra rò rỉ dữ liệu cá nhân có nguy cơ gây thiệt hại tài sản do sử dụng trái phép
3. Khi xảy ra rò rỉ dữ liệu cá nhân có nguy cơ được thực hiện với mục đích trái phép
4. Khi xảy ra rò rỉ dữ liệu cá nhân liên quan đến hơn 1,000 người, hoặc có nguy cơ xảy ra

Dưới đây, chúng tôi sẽ giải thích về những trường hợp này.

Rò rỉ thông tin cá nhân cần được xem xét kỹ lưỡng

“Thông tin cá nhân cần được xem xét kỹ lưỡng” là thông tin cá nhân được quy định bởi pháp lệnh, cần được xem xét đặc biệt trong việc xử lý để tránh phân biệt đối xử, đánh đồng và những thiệt hại khác đối với người đó. Điều này bao gồm chủng tộc, tín ngưỡng, tình trạng xã hội, lịch sử bệnh tật, tiền án, và nạn nhân tội phạm của người đó.

Ví dụ, thông tin về lịch sử bệnh tật của nhân viên từ kết quả kiểm tra sức khỏe của họ sẽ được coi là thông tin cá nhân cần được xem xét kỹ lưỡng.

Rò rỉ thông tin cá nhân có nguy cơ gây thiệt hại tài sản

Ở đây, quy định về trường hợp rò rỉ dữ liệu cá nhân có nguy cơ gây thiệt hại tài sản do sử dụng trái phép.

Ví dụ cụ thể là trường hợp doanh nghiệp rò rỉ thông tin thẻ tín dụng của khách hàng.

Rò rỉ thông tin cá nhân với mục đích trái phép

Trường hợp này áp dụng khi người chịu trách nhiệm rò rỉ dữ liệu cá nhân có mục đích trái phép.

Ví dụ, khi một bên thứ ba hoặc nhân viên của doanh nghiệp truy cập trái phép vào mạng lưới của doanh nghiệp với mục đích sử dụng thông tin cá nhân một cách trái phép, và rò rỉ dữ liệu cá nhân.

Rò rỉ thông tin cá nhân quy mô lớn

Trường hợp này áp dụng khi xảy ra rò rỉ dữ liệu cá nhân liên quan đến hơn 1,000 người.

Đối với các doanh nghiệp xử lý một lượng lớn dữ liệu cá nhân, cần lưu ý rằng có thể xảy ra rò rỉ dữ liệu cá nhân quy mô lớn cùng một lúc.

Mục cần báo cáo cho Ủy ban Bảo vệ Thông tin Cá nhân khi có rò rỉ thông tin

Khi có tình huống cần phải báo cáo cho Ủy ban Bảo vệ Thông tin Cá nhân, bạn cần thực hiện báo cáo về các mục quy định trong Điều 8, Khoản 1 của Luật thi hành về bảo vệ thông tin cá nhân Nhật Bản.

(Báo cáo cho Ủy ban Bảo vệ Thông tin Cá nhân)
Điều 8: Người kinh doanh xử lý thông tin cá nhân, khi cần thực hiện báo cáo theo quy định của Điều 26, Khoản 1 của Luật, sau khi biết về tình huống quy định trong các mục của Điều trước, phải nhanh chóng báo cáo về các mục sau đây liên quan đến tình huống đó (chỉ giới hạn trong phạm vi đã nắm bắt được tại thời điểm dự định báo cáo. Tương tự áp dụng cho Điều tiếp theo).

e-GOV｜Luật về Bảo vệ Thông tin Cá nhân[ja]

Nếu thuộc một trong bốn trường hợp cần báo cáo nêu trên, người kinh doanh phải nhanh chóng báo cáo các mục sau đây cho Ủy ban Bảo vệ Thông tin Cá nhân:

• Tổng quan
• Mục dữ liệu cá nhân có thể bị rò rỉ hoặc có nguy cơ bị rò rỉ
• Số lượng người liên quan đến dữ liệu cá nhân có thể bị rò rỉ hoặc có nguy cơ bị rò rỉ
• Nguyên nhân
• Sự tồn tại của thiệt hại thứ cấp hoặc nguy cơ thiệt hại thứ cấp và nội dung của nó
• Tình hình thực hiện phản ứng với người liên quan
• Tình hình thực hiện công bố
• Biện pháp ngăn ngừa tái phát
• Các mục khác có thể tham khảo

Tuy nhiên, bạn chỉ cần báo cáo những mục mà bạn đã nắm bắt được tại thời điểm báo cáo.

Thời hạn báo cáo tới Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản khi có sự rò rỉ thông tin

Đối với việc báo cáo tới Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản, đã có quy định về thời hạn (Điều 8, Khoản 2 của Luật thi hành về Bảo vệ Thông tin Cá nhân Nhật Bản).

Nguyên tắc, việc báo cáo tới Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản cần được thực hiện trong vòng 30 ngày kể từ ngày biết về sự cố rò rỉ thông tin. Trong trường hợp chủ thể gây ra sự rò rỉ thông tin cá nhân có mục đích xấu, việc báo cáo cần được thực hiện trong vòng 60 ngày.

Nghĩa vụ thông báo đến cá nhân

Trong trường hợp xảy ra rò rỉ thông tin cá nhân, ngoài nghĩa vụ báo cáo đến Ủy ban Bảo vệ Thông tin Cá nhân (Japanese Personal Information Protection Commission), cũng có quy định về nghĩa vụ thông báo đến cá nhân (Điều 26, Khoản 2 của Luật Bảo vệ Thông tin Cá nhân Nhật Bản).

Mục đích của việc thông báo đến cá nhân là để ngăn chặn việc vi phạm quyền lợi của cá nhân bằng cách cho phép cá nhân phản ứng đối với việc rò rỉ thông tin cá nhân càng sớm càng tốt. Do đó, các doanh nghiệp xử lý thông tin cá nhân có nghĩa vụ phải thông báo cho cá nhân một cách nhanh chóng.

Tóm tắt: Hãy thảo luận với luật sư về cách ứng phó của chính quyền đối với việc rò rỉ thông tin cá nhân

Chúng tôi đã giải thích về cách ứng phó mà doanh nghiệp cần thực hiện khi xảy ra rò rỉ thông tin cá nhân, tập trung vào cách ứng phó của chính quyền.

Đối với doanh nghiệp, việc xây dựng hệ thống để không xảy ra rò rỉ thông tin là điều cần thiết, nhưng nếu rò rỉ thông tin xảy ra, bạn cần phải ứng phó một cách thích hợp.

Về Luật bảo vệ thông tin cá nhân Nhật Bản, đây là một luật phức tạp và thường xuyên được sửa đổi, do đó, để ứng phó một cách thích hợp, chúng tôi khuyên bạn nên thảo luận với một luật sư có kiến thức chuyên môn.

Giới thiệu về các biện pháp của văn phòng luật sư của chúng tôi

Văn phòng luật sư Monolis, chuyên về IT, đặc biệt là Internet và luật, là một văn phòng luật sư có chuyên môn cao về cả hai mặt. Gần đây, việc rò rỉ thông tin cá nhân đã trở thành một vấn đề lớn. Trong trường hợp xấu nhất, nếu thông tin cá nhân bị rò rỉ, nó có thể gây ra tác động chết người đối với hoạt động kinh doanh. Công ty chúng tôi có kiến thức chuyên môn về việc ngăn chặn và đối phó với việc rò rỉ thông tin. Chi tiết được mô tả trong bài viết dưới đây.

https://monolith.law/practices/itlaw[ja]