如果個人資料洩露了怎麼辦?解釋企業應採取的行政應對措施
隨著網際網路的發展,人們可以在線上進行資訊交換,因此,企業重要資訊以意想不到的方式洩露的案例也在增加。
近年來,由於資訊價值的提升,一旦發生資訊洩露,可能會導致信譽受損,成為一個大問題。對於企業來說,如果發生資訊洩露,必須迅速採取適當的對策。
在這裡,本所將詳細解釋企業在發生資訊洩露時應採取的對策,重點是行政對策。
需要行政對應的資訊洩露
即使是資訊洩露,資訊的內容和重要性也會有所不同。當資訊洩露發生時,需要行政對應的是個人資料洩露的情況。
關於個人資料的定義,以下是日本《個人情報保護法》(以下稱為「個人情報保護法」)第2條第1項的規定。
(定義)
e-GOV|日本個人情報保護法[日語]
第二條 在本法中,「個人情報」指的是關於生存的個人的資料,並符合以下各項的任何一項。
一 該資料包含姓名、出生日期和其他描述等(文件、圖畫或電磁記錄(電磁方式(電子方式、磁性方式和其他無法通過人的感知認識的方式。在下項第二號中同樣。)製作的記錄。以下同樣。)記載或記錄,或者通過聲音、動作或其他方式表達的所有事項(不包括個人識別碼。以下同樣。)可以識別特定的個人(包括可以輕易與其他資訊對照,並可以識別特定的個人的資訊。)
二 包含個人識別碼的資料
符合上述定義的資訊將作為個人資料,受到個人資訊保護法的保護。
此外,當資訊洩露發生時,企業需要採取的對策除了行政對應外,還可能需要進行資訊揭露等。
關於個人資料洩露的報告義務
處理個人資料的業者,當出現個人資料洩露或可能洩露的情況時,根據發生的情況,有義務向日本個人情報保護委員會報告。
值得注意的是,在2022年(令和4年)4月1日之前,對於可能出現個人資料洩露的情況向日本個人情報保護委員會的報告並非義務,而是應盡力而為。然而,由於日本個人情報保護法的修訂,從2022年(令和4年)4月1日開始,向日本個人情報保護委員會報告成為了義務。
這裡所說的「處理個人資料的業者」,是指將個人資料數據庫等用於業務的人(日本個人情報保護法第16條第2項)。但是,國家機關、地方公共團體、獨立行政法人等、地方獨立行政法人並不包括在處理個人資料的業者之內。
「個人情報數據庫等」是指包含個人資料的資訊集合,除了政令規定的從使用方法來看對個人權益影響較小的資訊外,滿足以下兩個要求之一的資訊(日本個人情報保護法第16條第1項):
- 使用電腦系統組織的可以搜尋特定個人資料的資訊
- 系統組織的可以容易搜尋特定個人資料的資訊
將個人情報數據庫等用於業務的處理個人資料的業者,將負擔向日本個人情報保護委員會報告的義務。
需要向個人情報保護委員會報告的四種情況
當個人資料洩露時,需要向個人情報保護委員會報告的情況有以下四種(根據日本《個人情報保護法》實施條例第7條)。
- 涉及需要特別注意的個人資料的個人資料洩露,或有洩露的可能
- 個人資料洩露可能導致財產損失的非法使用,或有此種情況發生的可能
- 個人資料洩露可能是出於非法目的,或有此種情況發生的可能
- 涉及超過1,000人的個人資料洩露,或有此種情況發生的可能
以下將對這些情況進行詳細說明。
需要特別注意的個人資料的洩露
“需要特別注意的個人資訊”指的是,為了避免對個人造成不公平的歧視、偏見或其他不利影響,需要特別注意處理的個人資訊,如個人的種族、信仰、社會地位、病歷、犯罪歷史、犯罪受害等。
例如,員工的健康檢查結果等涉及員工病歷的事項,就屬於需要特別注意的個人資訊。
可能導致財產損失的個人資料的洩露
這裡規定的是,如果非法使用個人資料可能導致財產損失的個人資料洩露的情況。
具體例子包括,企業洩露客戶的信用卡資訊等情況。
出於非法目的的個人資料洩露
如果洩露個人資料的主體有非法目的,則屬於此種情況。
例如,第三方或企業員工為了非法使用個人資料,非法訪問企業網絡,導致個人資料洩露等情況。
大規模的個人資料洩露
如果涉及的個人資料超過1,000人的洩露,則屬於此種情況。
對於處理大量個人資料的企業,需要注意可能一次性洩露大量個人資料的風險。
資訊洩露時向個人情報保護委員會報告的事項
當出現需要向個人情報保護委員會報告的情況時,必須按照以下《日本個人情報保護法》施行規則第8條第1項的規定,報告相關事項。
(向個人情報保護委員會的報告)
e-GOV|日本個人情報保護法[日語]
第八條 個人情報處理業者在根據法律第二十六條第一項的規定進行報告時,應在知悉前條各項情況後,立即報告以下事項(僅限於在打算報告時已經掌握的事項。下條同。)。
如果符合上述需要報告的四種情況之一,業者必須立即向個人資訊保護委員會報告以下事項:
- 概要
- 可能發生或已經發生洩露的個人資料項目
- 可能發生或已經發生洩露的個人資料涉及的人數
- 原因
- 是否存在二次受害或其可能性及其內容
- 對本人的處理情況
- 公開的實施情況
- 防止再次發生的措施
- 其他參考事項
但是,只需要報告在報告時已經掌握的這些事項即可。
資訊洩露時向個人情報保護委員會的報告期限
向個人情報保護委員會報告的期限已經被規定(日本《個人情報保護法》實施條例第8條第2項)。
原則上,向個人情報保護委員會的報告應在得知洩露等情況的當日起30日內完成。如果洩露個人資料等行為的主體有不正當目的,則需要在60日內完成報告。
對本人的通知義務
如果發生個人資料洩露,除了有向個人情報保護委員會報告的義務外,也規定了對本人的通知義務(日本《個人情報保護法》第26條第2項)。
對本人的通知旨在讓本人在最早的階段就對個人資料的洩露等進行應對,以防止侵犯本人的權利和利益。因此,處理個人資料的業者必須立即通知本人。
總結:如有個人資料洩露的行政對應問題,請諮詢律師
以上,本所主要說明了企業在發生個人資料洩露的情況下,需要進行的行政對應措施。
作為企業,當然,建立防止資料洩露的機制是重要的,但是,如果不幸發生了資料洩露,則需要適當地應對。
關於日本的《個人情報保護法》,由於該法經常進行修訂,且部分結構複雜,因此,為了進行適當的應對,本所建議您諮詢具有專業知識的律師。
由本所事務所提供的對策介紹
Monolith法律事務所是一家在IT,特別是互聯網和法律兩方面具有高度專業性的法律事務所。近年來,個人資料的洩露已成為一個大問題。如果個人資料不幸洩露,可能對企業活動產生致命的影響。本所公司擁有防止資料洩露和應對策略的專業知識。詳細內容已在下面的文章中說明。