企业在信息泄露发生时应进行的信息披露是什么
一旦发生信息泄露,根据情况,可能需要进行如报告等的行政应对。除了对行政的应对外,还需要以适当的方式公开“何种信息”、“何时”以及“以何种情况泄露”的信息。
因此,本文将针对企业法务部门的人员,解释一旦发生信息泄露,企业应进行的信息公开。
行政应对与信息披露的区别
当发生个人信息泄露时,我们需要对日本《个人信息保护法》等行政法规进行应对。然而,仅仅进行行政应对可能对企业来说是不够的。
例如,如果企业发生信息泄露,可能会产生社会影响。
另外,如果是上市公司,需要尽快向股东、交易对手、客户等利益相关者披露信息。
行政应对有遵循法律的一面,而企业进行的信息披露则更强调履行作为处理信息的企业的社会责任。
相关文章:个人信息泄露发生了怎么办?企业应采取的行政应对措施[ja]
相关文章:从东建公司65万条信息泄露案例学习危机管理和律师的角色[ja]
关于上市公司的及时披露
对于上市公司来说,一旦发生信息泄露,将会对广泛的范围产生影响,因此,有义务进行信息披露。
例如,在东京证券交易所公布的《有价证券上市规程》(Japanese Securities Listing Regulations)中,规定了关于及时披露的规定,如下:
(公司信息的披露)
东京证券交易所|有价证券上市规程[ja]
第402条
上市公司在以下各项中的任何一项适用的情况下(除了交易所认为影响投资者投资决策的影响微小的情况和执行规则中规定的标准适用的情况),必须立即披露其内容。
(略)
x 除了前w中列出的事实之外,对于该上市公司的运营、业务或财产,或者该上市股票等有重大影响的事实,对投资者的投资决策产生显著影响的事实
关于信息泄露的发生,可以认为是”对于该上市公司的运营、业务或财产,或者该上市股票等有重大影响的事实,对投资者的投资决策产生显著影响的事实”,因此,需要进行及时披露。
具体来说,可能需要披露的内容包括发生的信息泄露的概要,信息泄露发生的经过,以及对发生的信息泄露的应对措施的未来预期等。
关于企业应自行进行的信息披露
如上所述,虽然有些情况下,企业会根据有价证券上市规程等进行信息披露,但作为企业,也可以考虑自行进行信息披露,以达到风险对冲的目的。
相关文章:企业个人信息泄露和赔偿风险[ja]
在何种情况下应进行信息披露
对于自行进行的信息披露,由于其自行性,企业在理论上可以选择披露或不披露信息。
因此,作为企业,明确是否进行信息披露的标准是非常重要的。
第一个标准是,是否实质上考虑到了由于信息泄露导致的损害扩大的可能性。
虽然信息泄露确实发生了,但如果认为实际影响不大,那么进行自行的信息披露的必要性就较低。
如果在实质上不考虑信息泄露导致的损害扩大的可能性的情况下进行自行的信息披露,反而可能引起混乱,使情况变得更加严重。
第二个标准是,是否认为通过公开信息,反而可能导致信息泄露导致的损害扩大。
尽管对信息泄露的应对措施尚未充分,但如果公开了信息泄露的事实,可能会引起那些想要非法获取信息的人的注意,从而可能导致更多的信息泄露。
因此,通过自行公开信息,可能会导致信息泄露的损害进一步扩大,结果可能会导致权利侵犯进一步扩大。
然而,对于上述标准,不一定能够一般化,需要根据每个案例仔细审查是否进行信息公开的标准,并判断是否进行信息公开。
应进行信息披露的事项
在进行信息披露时,也需要谨慎考虑应披露的事项。
应进行信息披露的事项,例如,可以考虑以下事项:
- 发生的信息泄露的类型
- 企业认识到信息泄露发生的日期
- 信息泄露发生的日期
- 发现信息泄露发生的经过
- 信息泄露发生的原因
- 可能由于信息泄露而发生的损害内容
- 是否存在未来损害扩大或二次损害发生的可能性
- 企业对信息泄露采取的对策
- 关于信息泄露原因的调查内容
- 是否向警察等报告
然而,对于应进行信息披露的事项,由于每个案件希望披露的事项可能不同,因此需要根据每个案件进行个别判断。
进行信息披露的方法
进行信息披露的方法,例如,可以考虑以下方法:
- 在企业的网站上发布
- 通过对媒体的新闻发布会形式进行公告
- 向可能因信息泄露而权益受到侵害的个人进行个别联系
以上的信息披露方法只是一例,需要根据每个案件选择适当的方法。
进行媒体新闻发布会时的注意事项
在进行新闻发布会时,信息披露的内容将被广大群众所知。因此,首先需要谨慎考虑是否适合通过新闻发布会的方式进行信息披露。
例如,如果企业已经在其网站等上公开了所有的信息,那么即使进行新闻发布会,也无法公开新的信息。如果开设了没有新信息的新闻发布会,可能会给观看新闻发布会的人留下“没有充分进行信息公开,没有履行解释责任的不诚实公司”的印象,因此需要注意。
此外,新闻发布会上所说的内容在事实上很难撤回或更正。
因此,对于新闻发布会上的发言内容,需要与律师等专家一起,提前确定发言内容,做好充分的准备。
向可能因信息泄露而权益受到侵害的个人进行个别联系时的注意事项
如果已经确定可能因信息泄露而权益受到侵害的人,那么在公开信息泄露的事实之前,首先应该与该受害者进行个别联系。
如果在与受害者进行个别联系之前就公开了信息,受害者可能会对企业产生不信任感,并加强敌对意识。
此外,尽管可以与受害者进行个别联系,但如果先行公开,可能会损害企业的社会信誉。
企业如何防止信息泄露
到目前为止,我们已经解释了企业在信息泄露发生时应该进行的信息披露,但是,防止信息泄露的发生显然是最重要的。
在《日本个人信息保护法》(Japanese Personal Information Protection Law)第23条中,对安全管理措施进行了如下规定:
(安全管理措施)
e-Gov|个人信息保护法[ja]
第二十三条 个人信息处理业务者必须采取必要且适当的措施,以防止其处理的个人数据的泄露、丧失或损坏,以及其他个人数据的安全管理。
作为安全管理措施的内容,例如可以考虑采取以下措施:
- 制定关于个人数据处理的基本方针
- 建立关于个人数据处理的规则
- 建立组织结构
- 按照关于个人数据处理的规则进行操作
- 建立确认个人数据处理情况的手段
- 建立应对信息泄露事件的体制
- 掌握个人数据处理情况并审查安全管理措施
- 对处理个人数据的员工进行教育
- 实施防止个人数据泄露的物理安全管理措施
- 实施防止个人数据泄露的技术安全管理措施
我们认为,根据企业的情况,通过采取上述安全管理措施,可以减少信息泄露的风险。
总结:关于信息泄露的信息披露,请咨询律师
本文针对企业法务部门的人员,解释了在发生信息泄露的情况下,企业应该进行的信息披露。
虽然最好的情况是不发生信息泄露,但实际上,100%防止信息泄露是困难的。
因此,一旦发生信息泄露的情况,作为企业,进行适当的应对是非常重要的。
关于应对信息泄露,需要根据具体情况进行谨慎的考虑,因此,我们建议您咨询具有专业知识的律师。
我們事務所的對策介紹
Monolith法律事務所是一家在IT,特別是互聯網和法律兩方面具有高度專業性的法律事務所。在制定公司內部規定時,專業的知識是必不可少的。在我們的事務所,我們為從東京證券交易所上市公司到創業公司的各種案件進行審查。如果您在公司內部規定方面有任何困擾,請參考以下文章。
