Dansk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_da/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdage 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Lær om krisehåndtering og advokatens rolle fra det japanske 'Touken Corporation' eksempel med lækage af 650.000 oplysninger

Lær om krisehåndtering og advokatens rolle fra det japanske 'Touken Corporation' eksempel med lækage af 650.000 oplysninger

General Corporate

Lær om krisehåndtering og advokatens rolle fra det japanske 'Touken Corporation' eksempel med lækage af 650.000 oplysninger

Den 1. april 2005 (Heisei 17) blev den japanske lov om beskyttelse af personlige oplysninger (Japansk: 個人情報保護法) fuldt implementeret, og virksomheder, der håndterer personlige oplysninger, er forpligtet til at træffe sikkerhedsforanstaltninger. Dog fortsætter hændelser med lækage af personlige oplysninger ufortrødent.

Når en informationslækagehændelse opstår, er det særligt vigtigt at have en hurtig og effektiv reaktionsprocedure. Især i små og mellemstore virksomheder, hvor der ikke er specialiseret personale inden for informationssikkerhed, kan det være svært at afgøre, hvordan man skal reagere hurtigt.

I denne artikel vil vi, baseret på Tōken Corporation’s håndtering af en informationslækagehændelse, forklare, hvordan man opbygger en krisehåndteringsstruktur i tilfælde af informationslækage.

Oversigt over datalæk

De primære detaljer om datalækket hos Tōken Corporation, forårsaget af uautoriseret adgang, er som følger:

  • Tidspunkt for hændelsen: Fra 20. august til 12. september 2020 (24 dage)
  • Opdaget: 20. oktober 2020
  • Årsag: Uautoriseret adgang til serveren, der opbevarede forskellige brugeroplysninger fra gruppens hjemmeside
  • Målgruppe: Dem, der har henvendt sig til gruppens virksomhedswebsteder, medlemmer, og ansøgere til forskellige kampagner
  • Oplysninger: “E-mailadresse”, “navn”, “adresse”, “telefonnummer”, “password”, “køn”, “fødselsdato” osv.
  • Antal: I alt 657.096 personlige oplysninger kan være blevet lækket

Opdagelse af uautoriseret adgang og indledende respons

Den 20. oktober 2020 opdagede Tokken Corporation under en rutinemæssig inspektion af deres hjemmeside uautoriseret adgang til deres driftsside ‘Nasurak Kitchen’, og tog følgende indledende skridt.

  • ‘Nasurak Kitchen’ blev lukket som en nødsikkerhedsforanstaltning, og alle tjenester fra siden blev også stoppet.
  • En ‘Informationsikkerhedsforanstaltning hovedkvarter’ blev oprettet og konsulterede med en ekstern tredjepartsorganisation.
  • Indtil den 11. november blev alle gruppens hjemmesider undersøgt, midlertidige sårbarheder blev rettet, og det maksimale antal lækager og emner blev fastlagt.

Nøglepunkter i den indledende respons

Hvis risikoen for informationslækage på grund af uautoriseret adgang er bekræftet, skal følgende foranstaltninger straks iværksættes for at forhindre yderligere skade, sekundær skade og gentagelse.

  • Bekræftelse af fakta (årsager til uautoriseret adgang, ruter osv.)
  • Stop af udstyr eller sider, der har været udsat for uautoriseret adgang
  • Afbrydelse fra netværket af udstyr eller sider, der har været udsat for uautoriseret adgang

Det er vigtigt at bemærke, at man skal undgå unødvendige handlinger og tage forholdsregler for at bevare beviser, så man ikke sletter beviser, der er efterladt på systemet.

Pressemeddelelse efter afsløring af informationslækage

Den første offentliggørelse blev foretaget den 17. november 2020 (2020年11月17日) på hjemmesiden for Tokken Corporation (東建コーポレーション).

Offentliggørelsen indeholdt detaljerede oplysninger om ulovlig adgang, fremtidige modforanstaltninger og en “Q&A om informationslækagehændelsen forårsaget af ulovlig adgang”.

Tokken Corporation (東建コーポレーション) og vores gruppevirksomheder (herefter vores gruppe) bekræftede den 20. oktober 2020 (2020年10月20日), at vores gruppes netværk var blevet ulovligt tilgået af en tredjepart, og at personlige oplysninger, såsom forespørgsler til Home Mate, som vores gruppe driver, medlemsinformation fra gruppevirksomheder og oplysninger om ansøgere til forskellige kampagner, muligvis er blevet lækket til det ydre.

Om lækage af personlige oplysninger på grund af ulovlig adgang[ja]

I den “Q&A om informationslækagehændelsen forårsaget af ulovlig adgang”[ja], der er linket til ovenstående webside, er følgende indhold inkluderet.

Om indholdet af de lækkede oplysninger

Q Hvad er de oplysninger, der er blevet lækket denne gang?
A Vi mener, at “navn”, “adresse”, “telefonnummer”, “e-mailadresse” og “password” er blevet lækket på alle sider, inklusive vores gruppevirksomheder, som vi driver.

Q Er kreditkortoplysninger blevet lækket?
A På de sider, som vores gruppevirksomheder og vi driver, opbevarer vi ikke oplysninger som kreditkortnumre og My Number (japansk personnummer), så der er ingen risiko for lækage.

Ved at specificere i forklaringen om de lækkede oplysninger, hvilke oplysninger der kan være lækket (①) og hvilke oplysninger der ikke er risiko for at lække (②), kan unødvendig angst og forvirring undgås.

Om fremtidige modforanstaltninger

Q Er det sikkert at fortsætte med at bruge siderne, inklusive Tokken’s gruppevirksomheder?
A For alle sider, inklusive vores gruppevirksomheder, som vi driver, er sikkerhedsforstærkningen mod lignende ulovlig adgang allerede fuldført.

Q Hvordan planlægger I at håndtere informationsstyring i fremtiden?
A I fremtiden vil vi, om nødvendigt, modtage checks fra tredjeparts undersøgelsesorganer, og hvis der findes sårbarheder på siden, vil vi straks rette dem og stræbe efter strengere informationsstyring.

I de fremtidige modforanstaltninger er det vigtigt at forklare omhyggeligt om sikkerhedsforanstaltningerne på det websted, brugerne har brugt, om det kan genbruges, og om det fremtidige informationssystem.

Q&A om erstatning for skader

Q Vil der blive betalt en undskyldningspenge eller ulejlighedsgebyr til de personer, der har lidt skade på grund af informationslækagen?
A Baseret på de oplysninger, der er lækket på grund af denne ulovlige adgang, har vi ingen planer om at betale undskyldningspenge eller ulejlighedsgebyr. Dog, hvis der er opstået økonomisk skade på kunden på grund af denne informationslækage, og der præsenteres konkret bevis, bedes du kontakte vores “Personlige oplysninger konsultationscenter”.

Q Der er blevet trukket penge fra min konto, som jeg ikke kan huske. Kan jeg få erstatning?
A Hvis der er blevet trukket penge fra din konto, som du ikke kan huske, beder vi dig kontakte det firma, der har trukket pengene, direkte. Hvis det bliver klart, at denne informationslækage er årsagen til, at der er blevet trukket penge, som du ikke kan huske, beder vi dig kontakte vores “Personlige oplysninger konsultationscenter”.

Virksomheden har klart angivet sin politik om ikke at betale undskyldningspenge eller ulejlighedsgebyr, men at den vil overveje erstatning for økonomisk skade forårsaget af informationslækagen på individuel basis.

Spørgsmål om timingen af den første pressemeddelelse

Som en del af virksomhedens krisehåndtering skal “begrænsning af skader”, “forebyggelse af sekundær skade” og “forebyggelse af gentagelse” prioriteres.

Derfor er det vigtigt at informere de relevante parter så hurtigt som muligt efter at have taget de første skridt, når en informationslækage er opdaget.

Q&A fra Tokken Corporation dækker et bredt spektrum af forventede spørgsmål og svarer omhyggeligt på dem, hvilket antyder, at de er blevet omhyggeligt forberedt i samråd med eksperter som advokater på forhånd. Men der er spørgsmål om timingen af offentliggørelsen, som kom omkring en måned efter opdagelsen af den ulovlige adgang.

Selvom virksomheden utvivlsomt ønsker at offentliggøre efter at have gennemført undersøgelser og modforanstaltninger, burde de følgende fire punkter ikke have været offentliggjort tidligere som en første rapport?

  • Opdagelsen af informationslækagen og de forventede mål
  • Indholdet af de lækkede personlige oplysninger
  • At der ikke er nogen risiko for lækage af kreditkortnumre og lignende kreditoplysninger
  • Fremtidige systemer og tidsplaner
  • Kontaktcenter

Punkter for meddelelse, rapportering og offentliggørelse

Når information lækker, er det nødvendigt at overveje at meddele brugere og forretningspartnere, rapportere til tilsynsmyndigheder og politi, og offentliggøre informationen via hjemmesider og medier, afhængigt af årsagen og indholdet af informationen.

I tilfælde af kriminalitet

Hvis der er en mulighed for kriminalitet i forbindelse med uautoriseret adgang, skal du efter at have undersøgt fakta og truffet foranstaltninger til bevarelse af beviser, hurtigt rapportere til politiet.

I tilfældet med den japanske Tōken Corporation, blev der indgivet en skaderapport til de relevante myndigheder, såsom Ministeriet for Land, Infrastruktur, Transport og Turisme og Aichi Prefecture Police Department, dagen efter at undersøgelsen af hele gruppens websted var afsluttet.

Hvis der er en mulighed for lækage af personlige kreditoplysninger

Hvis der er en mulighed for lækage af My Number (japansk social sikringsnummer), kreditkortnummer, bankkonto, ID og adgangskode, skal du hurtigt underrette personen og opfordre dem til at stoppe disse for at forhindre sekundær skade.

Hvis omfanget eller virkningen er stor, eller hvis individuel meddelelse til alle involverede parter er vanskelig

Offentliggørelse af information på hjemmesiden og pressemeddelelser vil blive foretaget. Dog, hvis offentliggørelse kan føre til yderligere skade, skal du overveje tidspunktet for offentliggørelsen og målgruppen.

Desuden vil sikring af gennemsigtighed og offentliggørelse af fakta så vidt muligt, når du offentliggør, bidrage til virksomhedens tillid og også forhindre yderligere skade og lignende ulykker.

Offentliggørelse af den anden pressemeddelelse

Den 9. februar 2021, efter årsskiftet, offentliggjorde Tōken Corporation (Japansk: Tōken Corporation) en anden rapport på deres hjemmeside om lækage af personlige oplysninger, hvor de foretog rettelser til de lækkede elementer og antallet af lækager.

Efter en genundersøgelse af de lækkede elementer ved hjælp af en forensisk undersøgelse udført af en tredjeparts institution, blev der konstateret nogle forskelle. Vi beder dig venligst om at bekræfte dette i bilag 1 “Om elementer for hver site og service”. (Udeladelse) Desuden er det maksimale antal lækager ændret fra 657.096 til 655.488.

Indholdet var stort set det samme som den første pressemeddelelse, bortset fra ovenstående rettelser, og der blev tilføjet nogle oplysninger om, hvordan man håndterer spam og mistænkelige e-mails. Denne offentliggørelse blev den sidste.

Krisecenteret er kernen i håndteringen

Efter at have opdaget uautoriseret adgang, har det japanske firma, Tōken Corporation, oprettet et ‘Informationsikkerhedscenter’ og samarbejder med eksterne tredjepartsorganisationer og politiet for at forhindre gentagelse.

Strukturen af denne organisation er ukendt, men det er nødvendigt at håndtere ikke kun systemets sikkerhedsforanstaltninger, men også at kontakte de berørte brugere, håndtere medierne, håndtere aktionærer og overveje juridisk ansvar samtidigt. Generelt kræver dette deltagelse af følgende eksterne tredjepartsorganisationer og eksperter:

  • Store softwarevirksomheder
  • Store sikkerhedsspecialistfirmaer
  • Eksterne advokater med dyb viden om cybersikkerhed

Opsummering

I tilfælde som dette, hvor der er opdaget en lækage af personlige oplysninger i stor skala, der overstiger 650.000 sager, er det vigtigt med en ‘første reaktion’ og en ‘meddelelse, rapportering og offentliggørelse’ centreret omkring en strategi hovedkvarter, samt ‘sikkerhedsforanstaltninger’.

Det er ikke kun den første reaktion, der kræver hastighed, men også meddelelse og rapportering til politiet og relevante ministerier, samt offentliggørelse (pressemeddelelser) til de involverede parter.

Men hvis du håndterer det forkert, kan du blive holdt ansvarlig for erstatning for skader, så det anbefales at du ikke træffer beslutninger på egen hånd, men går frem med rådgivning fra en advokat med rigelig viden og erfaring inden for cybersikkerhed.

Hvis du er interesseret i krisehåndtering i tilfælde af informationslækage forårsaget af Capcoms malware, kan du se detaljerne i artiklen.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Introduktion til vores kontors tiltag

Monolis Advokatfirma er et advokatfirma med høj ekspertise inden for IT, især internettet og lovgivning. På vores kontor laver vi kontraktudarbejdelse og gennemgang for en bred vifte af sager, fra top-tier organisationer noteret på Tokyo Stock Exchange Prime til tidlige startups. Hvis du har problemer, kan du henvise til artiklen nedenfor.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Lettes bevisbyrden for skader forårsaget af piratkopiering - En forklaring på ændringerne i den japanske ophavsretslov, der træder i kraft i januar i Reiwa 6 (2024)

Lettes bevisbyrden for skader forårsaget af piratkopiering - En forklaring på ændringerne i den .

General Corporate

Hvad er risikoen ved at sælge produkter uden evidens for effekt? En forklaring på den japanske 'Præmieudstillingslov' baseret på et eksempel med hårvækstprodukter

Hvad er risikoen ved at sælge produkter uden evidens for effekt? En forklaring på den japanske '.

General Corporate

Er permanent makeup en medicinsk procedure? Den nye meddelelse fra det Japanske Ministerium for Sundhed, Arbejde og Velfærd, som skønhedsklinikker bør være opmærksomme på

Er permanent makeup en medicinsk procedure? Den nye meddelelse fra det Japanske Ministerium for .

General Corporate

Supplement Abonnement. Hvad skal man være opmærksom på, når man tilbyder en førstegangs rabat?

Supplement Abonnement. Hvad skal man være opmærksom på, når man tilbyder en førstegangs rabat?

General Corporate

Hvad er de vigtige punkter at tjekke, når du modtager en ansættelseskontrakt?

Hvad er de vigtige punkter at tjekke, når du modtager en ansættelseskontrakt?

General Corporate

Hvordan håndteres mangel på efterfølgere? Forklaring af støtteprogrammer for virksomhedsoverdragelse og overlevering

Hvordan håndteres mangel på efterfølgere? Forklaring af støtteprogrammer for virksomhedsoverdrag.

General Corporate

Tjekpunkter ved oprettelse af fortrolighedsaftaler (NDA)

Tjekpunkter ved oprettelse af fortrolighedsaftaler (NDA)

General Corporate

Nødvendigheden af at indgå investeringsaftaler i seed-runden

Nødvendigheden af at indgå investeringsaftaler i seed-runden

General Corporate

Fordele og ulemper ved ICO set i forhold til IPO

Fordele og ulemper ved ICO set i forhold til IPO

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tilbage til toppen