Ustoppelig lækage af personlige oplysninger, 1,5 gange flere tilfælde i Reiwa 5 (2023) sammenlignet med det foregående år. En forklaring på de seneste tendenser

I de senere år er antallet af sofistikerede cyberangreb og lækager af personlige oplysninger som følge af menneskelige fejl steget, hvilket udgør en alvorlig udfordring for virksomheder. Lækager af personlige oplysninger kan føre til alvorlig skade for virksomheder, såsom omdømmetab, retssagsrisiko og i værste fald forretningsophør.

I denne artikel vil vi forklare tendenserne i sager om lækage af personlige oplysninger, som fremgår af den årlige rapport for det 5. år i Reiwa (2023) udgivet af den Japanske Kommission for Beskyttelse af Personlige Oplysninger. Brug denne artikel til at forstærke jeres virksomheds informationssikkerhedsforanstaltninger og forhindre potentielle lækager før de sker.

Hvad er den årlige rapport fra Kommissionen for Beskyttelse af Personlige Oplysninger?

I april måned i Reiwa 4 (2022) blev den reviderede Japanese Personal Information Protection Law (Personoplysningsbeskyttelsesloven) gennemført, hvilket pålægger virksomheder, der håndterer personlige oplysninger, at rapportere til Kommissionen for Beskyttelse af Personlige Oplysninger (PPC) via deres hjemmeside, hvis der opstår en hændelse såsom lækage af personlige oplysninger, og denne hændelse opfylder visse kriterier.

Kommissionen for Beskyttelse af Personlige Oplysninger har i juni måned i Reiwa 6 (2024) offentliggjort den årlige rapport for Reiwa 5 (2023)[ja].

Relateret artikel: Hvad er de væsentlige punkter i den reviderede Japanese Personal Information Protection Law (Personoplysningsbeskyttelsesloven) i Reiwa 6 (2024)? En forklaring på de væsentlige ændringer og tiltag, man bør være opmærksom på[ja]

Tilsyn med virksomheder, der håndterer personoplysninger

I løbet af Reiwa 5 (2023), blev der behandlet 12.120 rapporteringer om hændelser såsom datalæk, hvilket er en betydelig stigning sammenlignet med de 7.685 rapporteringer i det foregående år. Lad os nu se nærmere på indholdet.

Behandlingsstatus for lækage- og lignende hændelser

Blandt de rapporterede hændelser var der 11.635 tilfælde (96,0 %), hvor antallet af berørte personer i hver sag var under 1.000, og 61 tilfælde (0,5 %), hvor mere end 50.000 personer var involveret.

I de sager, der blev rapporteret direkte til komitéen, var den mest almindelige type af lækkede oplysninger kundeinformation (83,5 %), og når det kommer til formen, var papirbaserede lækager (82,0 %) mere almindelige end dem på elektroniske medier (12,2 %).

Inddelt efter de typer af rapporteringspligter, som er defineret i den Japanske Lov om Beskyttelse af Personoplysninger og dens gennemførelsesregler, udgjorde lækager af persondata, der indeholder følsomme personoplysninger såsom sygehistorie og etnicitet, det største antal (89,7 %), efterfulgt af lækager af persondata, hvor der var en mulighed for ulovlig adgang eller andre ulovlige hensigter (8,1 %).

En faktor, der har bidraget til denne tendens, er, at mange af årsagerne til lækagehændelserne var menneskelige fejl såsom fejlagtig udlevering, fejlsendelse, fejlagtig bortskaffelse og tab (i alt 86,3 %). Det tyder på, at der var mange tilfælde af lækager forårsaget af fejlagtig udlevering af papirbaserede dokumenter (for eksempel detaljerede regninger for lægebehandlinger på hospitaler), som indeholdt persondata, der kræver særlig opmærksomhed, selvom antallet af berørte personer i hvert tilfælde var kun én.

På baggrund af disse rapporter har den Japanske Kommission for Beskyttelse af Personoplysninger bekræftet indholdet af de rapporterede forhold, såsom om notifikationer til de involverede personer (i henhold til artikel 26, stk. 2 i Lov om Beskyttelse af Personoplysninger) blev udført korrekt, om årsagerne til hændelsen blev korrekt identificeret og analyseret, og om de foranstaltninger, der blev beskrevet for at forhindre gentagelse, var passende i forhold til årsagerne. Der blev også givet vejledning omkring metoder til årsagsanalyse og overvejelser omkring foranstaltninger til at forhindre gentagelse, hvor det var nødvendigt.

Rapportering, vejledning og rådgivning

Der blev foretaget 73 rapporteringsindsamlinger, 333 vejledninger og rådgivninger over for virksomheder, der håndterer personoplysninger.

Følgende alvorlige sager blev rapporteret:

• En sag, hvor en almindelig strømdistributionsvirksomhed tillod, at information om nye strømkunder blev set og brugt af et gruppeselskab eller den samme virksomheds detailafdeling, som er en relateret detailstrømleverandør.
• En sag, hvor en relateret detailstrømleverandør brugte en konto-ID og adgangskode, som var tildelt en almindelig strømdistributionsvirksomhed, til at se og bruge personoplysninger i ‘Renewable Energy Business Management System’, som administreres af Agency for Natural Resources and Energy.
• En sag, hvor Toyota Motor Corporation havde outsourcet håndteringen af persondata relateret til tjenester for køretøjsbrugere til datterselskabet Toyota Connected Corporation, og hvor persondata på servere, som blev administreret af sidstnævnte, var tilgængelige udefra.
• En sag, hvor den uafhængige administrative organisation National Hospital Organization, som er en virksomhed, der håndterer medicinsk information under loven om anonymiseret behandling af medicinsk information til støtte for forskning og udvikling inden for sundhedsområdet (Japanese Law No. 28 of 2017), lækkede patienters medicinske oplysninger.
• En sag, hvor tre virksomheder, der havde indgivet opt-out anmeldelser, havde overtrådt bestemmelserne i loven om beskyttelse af personoplysninger.
• En sag, hvor NTT DOCOMO, Inc. havde outsourcet kundehåndtering til telefonmarkedsføring til NTT NEXIA Corporation, og hvor en vikar fra NEXIA uden tilladelse havde adgang til en cloud-tjeneste fra en arbejds-PC og uploadet persondata for omkring 5,96 millioner mennesker til cloud-tjenesten, hvilket førte til en risiko for lækage.
• En sag, hvor en lærer fra Yotsuya Otsuka Corporation, som driver en junior high school forberedelsesskole, søgte og så persondata for elever, der gik på skolen, sammen med fotos og videoer af grundskoleelever, mens han var ansat, indtastede disse på sin private smartphone og offentliggjorde persondata for seks personer på sin egen SNS-konto.
• En sag, hvor MK System Corporation’s server blev udsat for et cyberangreb, og persondata, der blev administreret på systemet, blev krypteret af ransomware, hvilket skabte en risiko for lækage.
• En sag, hvor en særlig kommando eller lignende input på en specifik produkt side på “Yahoo! Auctions” gjorde, at en auktionsudbyders GUID (internt identifikationsnummer) blev vist, hvilket gjorde GUID’en synlig for tredjeparter og skabte en risiko for lækage af persondata.

I forbindelse med disse sager blev vejledning udført i henhold til artikel 23 i loven om beskyttelse af personoplysninger, og for nogle af sagerne blev der anmodet om rapporter om implementering af foranstaltninger for at forhindre gentagelse.

Anbefalingernes status

Der er blevet fremsat tre anbefalinger over for virksomheder, der håndterer personoplysninger. Følgende oversigter er nævnt:

I en sag, hvor en ansat hos NTT Business Solutions Corporation, som var blevet betroet vedligeholdelsen og driften af systemer anvendt i callcenter-virksomheden drevet af Aktieselskabet NTT Marketing Act ProCX – på vegne af private virksomheder, selvstændige administrative organer og lokale myndigheder – uretmæssigt tog omkring 9,28 millioner persondata med sig, som vedrørte kunder eller borgere fra den oprindelige opdragsgiver, hvilket førte til en datalækage, blev begge virksomheder anbefalet at tage de nødvendige skridt for at rette overtrædelserne af Personoplysningslovens (Japanese Personal Information Protection Law) artikel 23.

Hos LINE Yahoo Corporation blev der, som følge af at en PC, der blev anvendt af en ansat hos en sikkerhedsmaintenance-virksomhed i Sydkorea – som var en underleverandør – blev inficeret med malware, hvilket førte til uautoriseret adgang til informationssystemet og en lækage af persondata relateret til LINE-brugere, forretningspartnere, ansatte m.fl., fremsat en anbefaling om at tage de nødvendige skridt for at rette overtrædelserne af Personoplysningslovens artikel 23 og at rapportere om forbedringer, herunder implementeringen af foranstaltninger for at forhindre gentagelse.

Overvågning af offentlige myndigheder og lignende

Under den Japanske Lov om Beskyttelse af Personoplysninger (Personal Information Protection Law) er der også gennemført overvågning af offentlige myndigheder og lignende.

Behandling af rapporter om hændelser med læk af personoplysninger

Som en del af overvågningen af offentlige myndigheder og lignende, er 1159 rapporter om hændelser med læk af personoplysninger blevet behandlet. Heraf var 162 rapporter fra nationale myndigheder og lignende, og 997 rapporter fra lokale myndigheder og lignende.

De fleste rapporterede hændelser var, ligesom i det foregående år, læk af personoplysninger, som kræver særlig opmærksomhed (nationale myndigheder og lignende: 61,1 %, lokale myndigheder og lignende: 80,3 %), efterfulgt af læk af personoplysninger, der involverede mere end 100 personer (nationale myndigheder og lignende: 31,5 %, lokale myndigheder og lignende: 18,8 %).

De fleste årsager til hændelserne var såkaldte menneskelige fejl, såsom fejlagtig udlevering, fejlsendelse, fejlagtig bortskaffelse og tab (nationale myndigheder og lignende: i alt 6,8 %, lokale myndigheder og lignende: i alt 78,8 %), efterfulgt af fejl i systemkonfigurationer og andre lignende årsager (nationale myndigheder og lignende: 22,8 %, lokale myndigheder og lignende: 17,7 %).

Antallet af personer berørt af en enkelt hændelse var i de fleste tilfælde under 1000 (nationale myndigheder og lignende: 93,2 %, lokale myndigheder og lignende: 96,7 %), og de lækede oplysninger involverede oftest borgerinformation (nationale myndigheder og lignende: 78,4 %, lokale myndigheder og lignende: 91,1 %). Med hensyn til formen på de lækede oplysninger var det primært papirdokumenter, der var involveret (nationale myndigheder og lignende: 58,0 %, lokale myndigheder og lignende: 76,8 %).

Status for anmodninger om dokumentation, stedlige undersøgelser, vejledning og rådgivning

For at bekræfte efterlevelsen af retningslinjerne for beskyttelse af personoplysninger (for offentlige myndigheder og lignende) i henhold til den Japanske Lov om Beskyttelse af Personoplysninger og relateret lovgivning, blev 65 stedlige undersøgelser gennemført hos offentlige myndigheder og lignende, og der blev givet vejledning for at forbedre den korrekte håndtering af personoplysninger, samt anmodet om dokumentation for de forhold, der blev vejledt om.

Ud over de stedlige undersøgelser blev der i forbindelse med modtagelse af rapporter om hændelser med læk af personoplysninger givet vejledning og rådgivning i 73 tilfælde, herunder krav om grundig implementering af foranstaltninger for at forhindre gentagelse af mangler i sikkerhedsforanstaltningerne. Følgende alvorlige hændelser blev rapporteret:

• En sag, hvor ID’er og passwords tildelt til generelle strømdistributionsvirksomheder, som blev administreret af Agency for Natural Resources and Energy, blev brugt af relaterede detailstrømleverandører til at få adgang til og bruge personoplysninger i ‘Renewable Energy Business Management System’.
• En sag i Noheji Town, Aomori Prefecture, hvor en USB-nøgle indeholdende personoplysninger såsom navne, fødselsdatoer, sundhedstjekresultater og vaccinationshistorik for COVID-19 for størstedelen af byens beboere blev mistet, hvilket skabte en risiko for lækage.
• En sag, hvor to lærere fra to forskellige gymnasier under Nagano Prefecture Board of Education blev ofre for supportsvindel og efter vejledning fra svindlerne installerede fjernstyringssoftware på deres arbejdscomputere uden tilladelse, hvilket skabte en risiko for lækage af personoplysninger om elever og personale på de pågældende skoler.

I disse tilfælde blev vejledning givet i henhold til artikel 66, stk. 1 i den Japanske Lov om Beskyttelse af Personoplysninger på grund af utilstrækkelige sikkerhedsforanstaltninger, og i tilfældene fra Aomori og Nagasaki blev der også anmodet om dokumentation for implementeringen af foranstaltninger for at forhindre gentagelse.

Opsummering: Antallet af rapporterede tilfælde af læk af personlige oplysninger er det højeste nogensinde siden rapporteringsstarten

Efter ændringen af den Japanske Lov om Beskyttelse af Personlige Oplysninger i Reiwa 4 (2022), er det blevet obligatorisk at rapportere til den Japanske Kommission for Beskyttelse af Personlige Oplysninger. I Reiwa 5 (2023) blev der rapporteret 12.120 tilfælde, hvilket er en stigning på ca. 58% sammenlignet med det foregående år, og det er det højeste antal siden rapporteringspligten blev en forpligtelse i Heisei 25 (2013).

Når det kommer til håndtering af personlige oplysninger, kan fejl i foranstaltningerne føre til faktiske lækager, som derefter vil blive offentliggjort på den Japanske Kommission for Beskyttelse af Personlige Oplysningers hjemmeside. Dette kan skade virksomhedens brand og føre til tab af social tillid. Vi anbefaler, at du konsulterer en advokat om håndtering og drift af personlige oplysninger for at være forberedt på forhånd.

Vejledning i foranstaltninger fra vores kontor

Monolith Advokatfirma er et advokatfirma med omfattende erfaring inden for IT, især internet og jura. I nyere tid er lækage af personlige oplysninger blevet et alvorligt problem. Skulle personlige oplysninger lække, kan det i værste fald have en fatal indvirkning på virksomhedens aktiviteter. Vores firma besidder ekspertise inden for forebyggelse af og reaktion på informationstab. Vi har beskrevet detaljerne i nedenstående artikel.

Monolith Advokatfirmas ekspertiseområder: Japansk lovgivning relateret til beskyttelse af personlige oplysninger[ja]