當信息泄露發生時,企業應進行的信息揭露有什麼
當發生信息泄露時,根據情況,可能需要進行如報告等行政應對。除了對行政的應對外,還需要以適當的方式進行信息揭露,例如「何種資訊」、「何時」以及「如何洩露」等。
因此,本文將針對企業法務部門的人員,解釋在發生信息泄露的情況下,企業應進行的信息揭露。
行政應對與信息揭露的區別
當個人信息泄露發生時需要對「日本個人資訊保護法」等行政規範進行應對。然而,僅僅進行行政應對,對於企業的應對來說可能是不足夠的。
例如,如果企業導致信息泄露,可能會產生社會影響。
此外,如果是上市公司,則需要對股東、交易對象、客戶等利益相關者進行及時的信息揭露。
行政應對有遵循法律的一面,而企業進行的信息揭露則強調履行作為處理資訊的企業的社會責任。
關於上市公司的適時揭露
對於上市公司,一旦發生信息洩露,將對廣大範圍產生影響,因此,有義務進行信息揭露。
例如,東京證券交易所公布的「日本有價證券上市規程」中,規定了關於適時揭露的規定,如下所示:
(公司信息的揭露)
東京證券交易所|有價證券上市規程 [日語]
第402條
上市公司在以下各項情況下(除了交易所認為影響投資者投資決策的影響輕微的情況和執行規則中規定的標準之外),必須立即揭露其內容。
(略)
x 除了前述a至w的事實之外,該上市公司的經營、業務或財產,或者該上市股票等相關的重要事實,對投資者的投資決策產生重大影響的事實
對於信息洩露的發生,可以認為是「該上市公司的經營、業務或財產,或者該上市股票等相關的重要事實,對投資者的投資決策產生重大影響的事實」,因此,需要進行適時揭露。
具體來說,可以考慮揭露發生的信息洩露的概要,信息洩露的發生經過,以及對於發生的信息洩露的應對措施的未來展望等。
企業應自行進行的信息披露
如上所述,雖然有些情況下需要根據有價證券上市規定等進行信息披露,但作為企業,也可以考慮出於風險規避的目的自行進行信息披露。
在哪些情況下應進行信息披露
對於自行進行的信息披露,由於其自主性,企業在理論上可以選擇進行或不進行信息披露。
因此,作為企業,明確選擇是否進行信息披露的標準是非常重要的。
第一個標準可以是,是否實質上考慮到由於信息洩露而導致的損害擴大的可能性。
即使信息洩露實際上已經發生,但如果認為其實際影響不大,則自行進行信息披露的必要性可能較低。
如果在實質上不考慮到由於信息洩露而導致的損害擴大的可能性的情況下進行自行的信息披露,可能反而會引起混亂,使情況變得更加嚴重。
第二個標準可以是,是否認為由於進行信息公開,反而可能導致由於信息洩露而導致的損害擴大。
即使對信息洩露的應對還不夠充分,如果公開信息洩露的事實,可能會引起那些想要非法獲取信息的人的注意,進一步導致信息洩露。
因此,由於自行進行信息公開,可能會導致信息洩露的損害進一步擴大,結果可能會導致權利侵害進一步擴大。
然而,對於上述標準,並不一定能夠一般化,需要根據每個案例仔細審查是否進行信息公開的標準,並判斷是否進行信息公開。
應進行信息披露的事項
在進行信息披露時,也需要謹慎考慮應進行信息披露的事項。
應進行信息披露的事項可以包括以下幾點:
- 發生的信息洩露的類型
- 企業認識到信息洩露發生的日期
- 信息洩露發生的日期
- 發現信息洩露發生的經過
- 信息洩露發生的原因
- 可能由於信息洩露而產生的損害的內容
- 是否存在未來損害擴大或二次損害發生的可能性
- 企業對信息洩露採取的對策
- 對信息洩露原因的調查內容
- 是否向警察等報告
然而,對於應進行信息披露的事項,由於每個案例中希望披露的事項可能不同,因此需要根據每個案例進行個別判斷。
進行信息披露的方法
進行信息披露的方法可以包括以下幾種:
- 在企業的網站上發布
- 通過記者會議的形式向媒體發布
- 向可能因信息洩露而權益受到侵害的個人進行個別聯繫
對於上述的信息披露方法,只是一個例子,需要根據每個案例選擇適當的方法。
進行記者會議時的注意事項
在進行記者會議時,信息披露的內容將被廣大群眾所知。因此,首先需要謹慎考慮是否適合通過記者會議的方式進行信息披露。
例如,如果企業已經在其網站等地方披露了所有的信息,那麼即使進行記者會議,也無法公開新的信息。如果開設了沒有新信息的記者會議,可能會給觀看記者會議的人留下”沒有充分進行信息公開,沒有履行說明責任的不誠實公司”的印象,因此需要注意。
此外,記者會議上講的內容在事實上很難撤回或更正。
因此,對於記者會議上的講話內容,需要與律師等專業人士一起,提前確定講話內容,並做好充分的準備。
向可能因信息洩露而權益受到侵害的個人進行個別聯繫時的注意事項
如果已經確定可能因信息洩露而權益受到侵害的人,則在公開信息洩露的事實之前,首先應該與該受害者進行個別聯繫。
如果在與受害者進行個別聯繫之前就公開了信息,受害者可能會對企業產生不信任感,並加強敵對意識。
此外,即使有可能與受害者進行個別聯繫,如果先行公開,也可能損害企業的社會信譽。
企業如何防止信息洩露
到目前為止,本所已經解釋了一旦發生信息洩露,企業應該進行的信息披露。然而,最重要的是防止信息洩露的發生。
在日本《個人信息保護法》第23條中,對於安全管理措施有如下規定:
(安全管理措施)
e-Gov|日本《個人信息保護法》[日語]
第二十三條 個人信息處理業者必須採取必要且適當的措施,以防止其處理的個人數據洩露、丟失或損壞,並確保個人數據的安全管理。
安全管理措施的內容可以包括以下幾點:
- 制定處理個人數據的基本政策
- 建立處理個人數據的規範
- 建立組織結構
- 按照處理個人數據的規範進行操作
- 建立確認處理個人數據狀況的手段
- 建立應對信息洩露事件的體制
- 掌握處理個人數據的狀況並審查安全管理措施
- 對處理個人數據的員工進行教育
- 實施防止個人數據洩露的物理安全管理措施
- 實施防止個人數據洩露的技術安全管理措施
本所認為,根據企業的實際情況,進行上述安全管理措施,可以減少信息洩露的風險。
總結:關於信息泄露的信息披露,請諮詢律師
本文針對企業的法務部門,說明了在發生信息泄露的情況下,企業應該進行的資訊披露。
雖然最好的情況是不發生信息泄露,但實際上,100%防止信息泄露是困難的。
因此,一旦發生信息泄露的情況,作為企業,進行適當的應對是非常重要的。
對於信息泄露的應對,需要根據情況進行謹慎的考慮,因此,本所建議您諮詢具有專業知識的律師。
本事務所提供的對策介紹
MONOLITH法律事務所是一家在IT,特別是互聯網和法律兩方面具有高度專業性的法律事務所。在制定公司內部規程時,專業的知識是必不可少的。本所為從東京證券交易所上市公司到初創企業的各種案件進行審查。