如果发生个人信息泄露?解释企业应采取的行政应对措施
随着互联网的发展,人们可以在线交换信息,这也导致了企业重要信息以意想不到的方式泄露的案例日益增多。
近年来,信息的价值日益提高,一旦发生信息泄露,可能会导致信誉受损,成为一个大问题。因此,对于企业来说,一旦发生信息泄露,就需要立即采取适当的应对措施。
在这里,我们将详细解释企业在发生信息泄露时应采取的行政应对措施。
也需要行政应对的信息泄露
虽然说是信息泄露,但信息的内容和重要性各不相同。需要行政应对的信息泄露是指个人信息泄露的情况。
关于个人信息的定义,以下是《关于保护个人信息的法律》(以下简称“个人信息保护法”)第2条第1款的规定。
(定义)
e-GOV|关于保护个人信息的法律[ja]
第二条 在本法中,“个人信息”是指关于存活个人的信息,包括以下各项:
一、包含姓名、出生日期等描述(包括文档、图画或电磁记录(指用电磁方式(电子方式、磁性方式等不能通过人的感知识别的方式。下款第二项同。)制作的记录。以下同。)记录或表达的所有事项(不包括个人识别码。以下同。),可以识别特定个人(包括可以容易与其他信息对照,从而可以识别特定个人的信息)。
二、包含个人识别码的信息
符合上述定义的信息将作为个人信息,受到个人信息保护法的保护。
此外,信息泄露发生时,企业应采取的对策除了行政应对外,还可能需要进行信息披露等。关于这一点,请参考以下文章。
相关文章:企业在信息泄露发生时应进行的信息披露是什么[ja]
关于个人信息泄露的报告义务
处理个人信息的企业在出现个人信息泄露或可能泄露的情况时,根据发生的情况,有义务向日本个人信息保护委员会报告。
需要注意的是,在2022年4月1日(令和4年4月1日)之前,对于出现泄露或可能泄露的情况时向日本个人信息保护委员会的报告,并非义务,而是应尽力而为。但是,由于日本个人信息保护法的修订,从2022年4月1日(令和4年4月1日)开始,向日本个人信息保护委员会的报告成为了义务。
这里所说的“处理个人信息的企业”,是指将个人信息数据库等用于业务的人(日本个人信息保护法第16条第2款)。但是,国家机关、地方公共团体、独立行政法人等、地方独立行政法人不包括在内。
“个人信息数据库等”,是指包含个人信息的信息集合,除了根据使用方法来看,可能损害个人权益的可能性较小的由政令规定的事项外,满足以下两个要求之一的事项(日本个人信息保护法第16条第1款)。
- 使用电子计算机可以搜索特定个人信息的系统化的事项
- 可以容易地搜索特定个人信息的系统化的事项
将个人信息数据库等用于业务的处理个人信息的企业,将承担向日本个人信息保护委员会报告的义务。
相关文章:2022年修订的日本个人信息保护法“企业的责任”注意事项解析[ja]
需要向个人信息保护委员会报告的四种情况
当个人信息泄露时,需要向个人信息保护委员会报告的情况有以下四种(日本《个人信息保护法》实施规则第7条)。
- 涉及需要特别注意的个人信息的个人数据泄露,或者有可能发生泄露的情况
- 个人数据泄露可能导致财产损失的情况,或者有可能发生泄露的情况
- 有可能出于不正当目的而导致个人数据泄露的情况,或者有可能发生泄露的情况
- 涉及超过1000人的个人数据泄露的情况,或者有可能发生泄露的情况
以下将对这些情况进行详细说明。
需要特别注意的个人信息泄露
“需要特别注意的个人信息”是指,通过政令规定,需要特别注意处理以防止对个人造成不公平的歧视、偏见或其他不利影响的个人信息,如个人的种族、信仰、社会地位、病史、犯罪记录、犯罪受害等。
例如,员工的健康检查结果等涉及员工病史的信息,就属于需要特别注意的个人信息。
可能导致财产损失的个人信息泄露
这里规定的是,如果泄露的个人数据可能因被不正当利用而导致财产损失的情况。
具体例子包括,企业泄露客户的信用卡信息等。
出于不正当目的的个人信息泄露
如果泄露个人数据的主体有不正当目的,就属于这种情况。
例如,第三方或企业员工为了不正当利用个人信息,非法访问企业网络,导致个人数据泄露等情况。
大规模个人信息泄露
涉及超过1000人的个人数据泄露的情况属于这种情况。
对于处理大量个人数据的企业,需要注意可能一次性发生大量个人数据泄露的风险。
信息泄露时向个人信息保护委员会报告的事项
当出现需要向个人信息保护委员会报告的情况时,需要按照《日本个人信息保护法》实施规则第8条第1款的规定,报告以下事项。
(向个人信息保护委员会的报告)
e-GOV|日本个人信息保护法[ja]
第八条 个人信息处理业者在根据法律第二十六条第一款的规定进行报告时,应在了解到前条各项所规定的情况后,立即报告以下事项(仅限于在打算报告的时点已经掌握的事项。下条同。)。
如果符合上述需要报告的四种情况中的任何一种,业者必须立即向个人信息保护委员会报告以下事项:
- 概述
- 可能发生或已经发生的个人数据泄露的项目
- 可能发生或已经发生的个人数据泄露涉及的人数
- 原因
- 是否存在二次损害或其可能性及其内容
- 对本人的处理情况
- 公开的实施情况
- 防止再次发生的措施
- 其他参考事项
但是,只需报告在报告时点已经掌握的这些事项即可。
信息泄露时向个人信息保护委员会的报告期限
向个人信息保护委员会报告的期限已经被规定(日本《个人信息保护法》实施规则第8条第2款)。
原则上,从知道信息泄露等情况的那一天起,必须在30天内向个人信息保护委员会报告。如果泄露个人数据的主体有不正当目的,那么必须在60天内报告。
对本人的通知义务
如果发生个人信息泄露,除了向个人信息保护委员会报告的义务外,还规定了对本人的通知义务(日本《个人信息保护法》第26条第2款)。
对本人的通知旨在让本人尽早采取行动应对个人信息的泄露等情况,防止侵犯本人的权益。因此,个人信息处理业务者必须立即通知本人。
总结:请向律师咨询个人信息泄露的行政应对措施
以上,我们主要介绍了企业在发生个人信息泄露时,需要采取的行政应对措施。
作为企业,自然而然地,建立防止信息泄露的机制是非常重要的,但是,万一发生了信息泄露,就需要采取适当的应对措施。
关于《日本个人信息保护法》,这是一部经常修订且结构复杂的法律,为了采取适当的应对措施,我们建议您向具有专业知识的律师进行咨询。
我們事務所的對策介紹
Monolith法律事務所是一家在IT,特別是互聯網和法律兩方面具有高度專業性的法律事務所。近年來,個人信息洩露已成為一個大問題。如果個人信息不慎洩露,可能對企業活動產生致命影響。我們公司擁有防止信息洩露和應對策略的專業知識。詳細內容已在下面的文章中說明。
