Neustálé úniky osobních údajů, v roce Reiwa 5 (2023) o 1,5krát více než v předchozím roce. Vysvětlení nejnovějších trendů

V posledních letech dochází k nárůstu úniků osobních údajů způsobených sofistikovanými kybernetickými útoky a lidskými chybami, což představuje vážný problém pro podniky. Únik osobních údajů může pro firmy přinést vážné škody, jako jsou poškození pověsti, riziko soudních sporů a dokonce i zastavení podnikání.

V tomto článku se budeme věnovat trendům v případech úniků osobních údajů, které vyplývají z roční zprávy Japonské komise pro ochranu osobních údajů za fiskální rok Reiwa 5 (2023). Využijte informace z tohoto článku k posílení bezpečnostních opatření vaší společnosti a k prevenci rizika úniku údajů.

Co je roční zpráva Komise pro ochranu osobních údajů

V dubnu roku Reiwa 4 (2022) byl zaveden novelizovaný Zákon o ochraně osobních údajů, který ukládá povinnost podnikům zpracovávajícím osobní údaje hlásit případy úniku osobních údajů a podobné incidenty na webové stránce Komise pro ochranu osobních údajů (PPC), pokud tyto případy splňují určité podmínky.

Komise pro ochranu osobních údajů zveřejnila v červnu roku Reiwa 6 (2024) roční zprávu za fiskální rok Reiwa 5[ja].

Související článek: Klíčové body novelizace Zákona o ochraně osobních údajů v roce Reiwa 6 (2024)? Změny a opatření, která byste měli znát[ja]

Dohled nad subjekty zpracovávajícími osobní údaje

V roce Reiwa 5 (2023) bylo zaznamenáno 12 120 případů úniků a podobných incidentů, což představuje výrazný nárůst oproti 7 685 případům v předchozím roce. Podívejme se nyní podrobněji na konkrétní obsah těchto případů.

Zpracování a stav případů úniku informací a podobně

Z hlášených případů bylo 11 635 případů (96,0 %), kde počet osob postižených únikem informací byl nižší než 1000, a 61 případů (0,5 %), kde bylo postiženo více než 50 000 osob.

V případech přímo hlášených výboru byl nejčastějším typem úniku informací únik zákaznických údajů (83,5 %), a pokud jde o formu, úniky se týkaly především papírových dokumentů (82,0 %), což bylo více než úniky z elektronických médií (12,2 %).

Podle klasifikace typů povinnosti hlášení, které stanoví Zákon o ochraně osobních údajů a prováděcí předpisy k tomuto zákonu, byly nejčastějšími případy úniky osobních údajů obsahující citlivé informace, jako jsou zdravotní záznamy nebo rasové údaje (89,7 %), následované úniky osobních údajů, které mohly být způsobeny neoprávněným přístupem nebo jinými nezákonnými činy (8,1 %).

Tento trend je možné vysvětlit tím, že mnoho případů úniku informací bylo způsobeno takzvanými lidskými chybami, jako jsou nesprávné doručení, odeslání, likvidace nebo ztráta (celkem 86,3 %). V případě úniku citlivých osobních údajů, kde je povinnost hlášení i při postižení jediné osoby, bylo mnoho případů způsobeno nesprávným doručením papírových dokumentů obsahujících tyto údaje (například účty za lékařské služby v zdravotnických zařízeních).

V reakci na tyto zprávy Komise pro ochranu osobních údajů prověřila, zda byla postiženým osobám řádně oznámena (podle § 26 odst. 2 Zákona o ochraně osobních údajů), zda byly příčiny úniku řádně identifikovány a analyzovány a zda byla v rámci opatření k zabránění opakování případů adekvátně reagováno na příčiny úniku. Komise podle potřeby poskytla informace o metodách analýzy příčin a o způsobech prevence opakování úniků.

Stav vyžadování zpráv, směrnice a poradenství

Bylo provedeno 73 vyžadování zpráv, 333 směrnic a poradenství vůči subjektům zpracovávajícím osobní údaje.

Jako vážné případy byly uvedeny následující:

• Případ, kdy obecný distributor elektřiny využíval informace o zákaznících nové elektrické energie, které byly přístupné jeho skupinové společnosti nebo maloobchodní divizi stejné společnosti, která je poskytovatelem elektrické energie.
• Případ, kdy byly ID a hesla účtů přidělených obecným distributorům elektrické energie použity poskytovatelem elektrické energie k přístupu a využití osobních údajů v systému správy obnovitelných zdrojů energie, který spravuje Agentura pro přírodní zdroje a energii.
• Případ, kdy Toyota Motor Corporation svěřila zpracování osobních údajů týkajících se služeb poskytovaných uživatelům vozidel své dceřiné společnosti Toyota Connected Corporation, a data byla zpřístupněna z externích zdrojů kvůli serveru, který společnost spravovala.
• Případ, kdy nezávislá administrativní korporace Národní nemocniční organizace, která je zpracovatelem zdravotnických údajů podle zákona o anonymizovaných zdravotnických informacích pro výzkum a vývoj v medicíně (zákon č. 28 z roku 2017), unikla pacientovy zdravotní informace.
• Případ, kdy tři subjekty podávající oznámení o opt-out porušily ustanovení zákona o ochraně osobních údajů.
• Případ, kdy NTT DOCOMO, Inc. svěřila NTT NEXIA, Inc. zpracování informací o zákaznících pro telefonní prodej, a zaměstnanec agentury NEXIA bez oprávnění přistoupil k osobním cloudovým službám z počítače používaného pro práci a nahrál na něj celkem přibližně 5,96 milionu osobních údajů, čímž došlo k úniku dat.
• Případ, kdy učitel provozující střední školu Yotsuya Otsuka Corporation, zatímco byl zaměstnán, vyhledával a prohlížel osobní údaje žáků, které škola spravovala, spolu s fotografiemi a videi žáků základních škol, zaznamenal je do svého soukromého smartphonu a zveřejnil údaje šesti osob na svém účtu na sociální síti, čímž došlo k úniku údajů.
• Případ, kdy server společnosti MK System byl napaden a osobní údaje spravované v daném systému byly šifrovány ransomwarem, což vedlo k riziku úniku údajů.
• Případ, kdy bylo možné zobrazit GUID (interní identifikátor) aukčního prodejce na určitých stránkách produktů na “Yahoo! Auctions” po zadání určitých příkazů, což vedlo k možnosti, že GUID může být přístupný třetím stranám a vzniklo riziko úniku osobních údajů.

V reakci na tyto případy byla podle článku 23 zákona o ochraně osobních údajů provedena směrnice a v některých případech bylo požadováno podání zprávy o stavu implementace opatření proti opakování.

Situace ohledně doporučení

Byla vydána tři doporučení subjektům zabývajícím se zpracováním osobních údajů. Níže jsou uvedeny jejich shrnutí.

V případě, kdy zaměstnanec společnosti NTT Business Solutions Corporation, který byl pověřen údržbou a provozem systému používaného v call centru provozovaném společností NTT Marketing Act ProCX na základě smlouvy uzavřené s soukromými podniky, nezávislými administrativními právnickými osobami a místními veřejnými organizacemi, neoprávněně odnesl osobní data přibližně 9,28 milionu lidí týkající se zákazníků zadavatele nebo obyvatel, což vedlo k úniku informací, oběma společnostem bylo doporučeno přijmout nezbytná opatření k nápravě porušení ustanovení článku 23 zákona o ochraně osobních údajů (Japanese Personal Information Protection Act).

V případě společnosti LINE Yahoo Corporation, kde došlo k úniku osobních dat uživatelů, obchodních partnerů a zaměstnanců souvisejících s LINE, po tom, co byl počítač používaný zaměstnancem jihokorejské společnosti zajišťující bezpečnostní údržbu nakažen malwarem, což vedlo k neoprávněnému přístupu k informačnímu systému, bylo vydáno doporučení k přijetí nezbytných opatření k nápravě porušení ustanovení článku 23 zákona o ochraně osobních údajů (Japanese Personal Information Protection Act) a bylo požadováno podání zprávy o stavu provedení opatření k zabránění opakování incidentu, včetně stavu zlepšení v reakci na doporučení.

Dozor nad správními orgány a podobnými institucemi

Na základě zákona o ochraně osobních údajů byl prováděn dohled i nad správními orgány a podobnými institucemi.

Zpracování hlášení o únicích osobních údajů a podobných incidentech

V rámci dozoru nad správními orgány a podobnými institucemi bylo zpracováno 1159 hlášení o únicích osobních údajů a podobných incidentech. Z toho 162 hlášení pocházelo od státních správních orgánů a 997 od místních veřejných institucí.

Většina hlášených incidentů byla, stejně jako v předchozím roce, spojena s únikem osobních údajů, které vyžadují zvláštní pozornost (státní správní orgány a podobné instituce: 61,1 %, místní veřejné instituce: 80,3 %), následovaná úniky osobních údajů více než 100 osob (státní správní orgány a podobné instituce: 31,5 %, místní veřejné instituce: 18,8 %).

Nejčastější příčinou incidentů byly takzvané lidské chyby, jako jsou nesprávné doručení, zaslání, likvidace nebo ztráta (státní správní orgány a podobné instituce: celkem 6,8 %, místní veřejné instituce: celkem 78,8 %), následované chybami nastavení systému a dalšími příčinami (státní správní orgány a podobné instituce: 22,8 %, místní veřejné instituce: 17,7 %).

Co se týče počtu osob zasažených jednotlivými incidenty, nejčastěji se jednalo o méně než 1000 osob (státní správní orgány a podobné instituce: 93,2 %, místní veřejné instituce: 96,7 %), a nejčastěji uniklé informace se týkaly údajů občanů (státní správní orgány a podobné instituce: 78,4 %, místní veřejné instituce: 91,1 %). Co se týče formy uniklých informací, nejčastěji šlo o úniky informací pouze na papírových nosičích (státní správní orgány a podobné instituce: 58,0 %, místní veřejné instituce: 76,8 %).

Požadavky na předložení dokumentů, kontrolní šetření, pokyny a rady

Pro ověření dodržování směrnic týkajících se ochrany osobních údajů (pro správní orgány a podobné instituce) bylo provedeno 65 plánovaných kontrolních šetření, během nichž byly vydávány pokyny k zlepšení správného zacházení s osobními údaji a požadavky na předložení dokumentace týkající se pokynů.

Kromě kontrolních šetření bylo v souvislosti s přijímáním hlášení o únicích osobních údajů a podobných incidentech vydáno 73 pokynů a rad, které se týkaly zejména nedostatků v opatřeních pro zabezpečení informací a požadavků na zavedení opatření proti opětovnému výskytu těchto nedostatků. Mezi vážné případy patřily následující:

• Případ, kdy byly ID a hesla účtů přidělených všeobecným distribučním společnostem používány maloobchodními elektrickými společnostmi pro přístup a použití osobních údajů v systému správy obchodů s obnovitelnou energií, který spravuje Agentura pro přírodní zdroje a energii.
• Případ v městě Noheji v prefektuře Aomori, kde došlo ke ztrátě USB obsahujícího osobní údaje většiny obyvatel, včetně jména, data narození, výsledků zdravotních prohlídek a historie očkování proti COVID-19, což vedlo k riziku úniku těchto informací.
• Případ, kdy dva učitelé ze dvou středních škol pod správou vzdělávací komise prefektury Nagano, kteří se stali oběťmi podvodné podpory, nainstalovali na školní počítače software pro vzdálený přístup podle pokynů podvodníků, což vedlo k riziku úniku osobních údajů studentů a zaměstnanců těchto škol.

V těchto případech byly podle článku 66 odstavec 1 zákona o ochraně osobních údajů vydány pokyny k řešení nedostatků v bezpečnostním řízení a v případech z prefektur Aomori a Nagasaki bylo požadováno také předložení dokumentace týkající se opatření proti opětovnému výskytu těchto nedostatků.

Shrnutí: Počet případů úniku osobních údajů je od zahájení hlášení nejvyšší

Od revize zákona v roce Reiwa 4 (2022), je povinnost hlásit případy úniku osobních údajů Japonské komisi pro ochranu osobních údajů. Počet hlášení v roce Reiwa 5 (2023) dosáhl 12 120 případů, což je o zhruba 58 % více než v předchozím roce a je to nejvyšší počet od zavedení povinnosti hlášení v roce Heisei 25 (2013).

Při zpracování osobních údajů může dojít k chybám a následnému úniku údajů, který bude následně zveřejněn na webu Japonské komise pro ochranu osobních údajů, což může vést k poškození značky firmy a ztrátě společenského kreditu. Proto doporučujeme konzultovat zpracování a správu osobních údajů s právníkem a připravit se předem na takové situace.

Představení opatření naší kanceláře

Advokátní kancelář Monolith má bohaté zkušenosti v oblasti IT, zejména internetového práva a právních předpisů. Únik osobních údajů se v poslední době stal velkým problémem. Pokud dojde k úniku osobních údajů, může to mít fatální dopady na podnikání společnosti. Naše kancelář má odborné znalosti v prevenci úniku informací a v reakci na takové situace. Podrobnosti naleznete v následujícím článku.

Oblasti práce advokátní kanceláře Monolith: Právní služby související se zákonem o ochraně osobních údajů[ja]