Unaufhörlicher Anstieg von Datenschutzverletzungen, im Jahr Reiwa 7 (2023) um 1,5-mal höher als im Vorjahr. Erläuterung der neuesten Trends

In den letzten Jahren hat die Zunahme von raffinierten Cyberangriffen und durch menschliche Fehler verursachten Datenschutzverletzungen zu einem ernsthaften Problem für Unternehmen geführt. Datenschutzverletzungen können für Unternehmen schwerwiegende Schäden wie Rufschädigung, Prozessrisiken und Betriebsunterbrechungen nach sich ziehen.

In diesem Artikel erläutern wir die Trends bei Datenschutzverletzungen, die aus dem Jahresbericht für das Jahr Reiwa 7 (2025) der Japanischen Kommission zum Schutz persönlicher Informationen ersichtlich sind. Nutzen Sie diesen Artikel, um Ihre Informationssicherheitsmaßnahmen zu verstärken und das Risiko von Lecks im Vorfeld zu verhindern.

Was ist der Jahresbericht der Kommission für den Schutz persönlicher Informationen?

Im April des Jahres Reiwa 4 (2022) trat das überarbeitete Gesetz zum Schutz persönlicher Informationen in Kraft, welches Unternehmen, die persönliche Informationen handhaben, dazu verpflichtet, Vorfälle wie Datenlecks zu melden, sofern diese bestimmte Kriterien erfüllen. Die Meldung muss über die Website der Kommission für den Schutz persönlicher Informationen (Japanese PPC) erfolgen.

Die Kommission für den Schutz persönlicher Informationen hat im Juni des Jahres Reiwa 6 (2024) ihren Jahresbericht für das Jahr Reiwa 5 (2023)[ja] veröffentlicht.

Verwandter Artikel: Die Kernpunkte des überarbeiteten Gesetzes zum Schutz persönlicher Informationen im Jahr Reiwa 6 (2024)? Wichtige Änderungen und Maßnahmen, die man kennen sollte[ja]

Überwachung von Unternehmen, die personenbezogene Daten verarbeiten

Im Geschäftsjahr Reiwa 5 (2023) wurden 12.120 Fälle von Datenlecks und ähnlichen Vorfällen gemeldet, was im Vergleich zum Vorjahr mit 7.685 Fällen einen deutlichen Anstieg darstellt. Lassen Sie uns nun einen genaueren Blick auf die Details werfen.

Bearbeitungsstatus von Leckage- und ähnlichen Vorfällen

Von den gemeldeten Vorfällen betrafen 11.635 Fälle (96,0 %) jeweils weniger als 1.000 Personen, während in 61 Fällen (0,5 %) mehr als 50.000 Personen von einer Datenpanne etc. betroffen waren.

Bei den direkt an den Ausschuss gemeldeten Vorfällen waren Kundendaten mit 83,5 % am häufigsten von einer Leckage etc. betroffen. Betrachtet man die Form der Daten, waren Papierdokumente mit 82,0 % häufiger von einer Leckage etc. betroffen als elektronische Medien mit 12,2 %.

Nach den Kategorien der Meldepflicht gemäß dem japanischen Gesetz zum Schutz personenbezogener Daten und den zugehörigen Durchführungsbestimmungen machten Datenlecks etc., die sensible persönliche Informationen wie Krankengeschichten oder ethnische Zugehörigkeit enthielten, den größten Anteil aus (89,7 %). Es folgten Datenlecks etc., bei denen die Gefahr bestand, dass sie durch unbefugten Zugriff oder zu unrechtmäßigen Zwecken erfolgten (8,1 %).

Ein Grund für diese Tendenz könnte sein, dass viele der Leckagefälle auf menschliches Versagen zurückzuführen waren, wie falsche Zustellung, falscher Versand, falsche Entsorgung und Verlust (insgesamt 86,3 %). Insbesondere gab es viele Vorfälle, bei denen Papierdokumente, die sensible persönliche Daten enthielten (zum Beispiel Abrechnungen von medizinischen Einrichtungen), irrtümlich ausgehändigt wurden.

Basierend auf diesen Berichten hat die japanische Kommission zum Schutz personenbezogener Daten überprüft, ob die Benachrichtigung der Betroffenen (gemäß Artikel 26 Absatz 2 des japanischen Gesetzes zum Schutz personenbezogener Daten) angemessen erfolgte, ob die Ursachen korrekt identifiziert und analysiert wurden und ob die vorgeschlagenen Maßnahmen zur Verhinderung weiterer Vorfälle angemessen auf die Ursachen abgestimmt waren. Darüber hinaus wurden, falls erforderlich, Informationen zur Analyse der Ursachen und zur Überprüfung von Präventionsmaßnahmen bereitgestellt.

Berichterstattung, Anleitung und Beratung

Es wurden 73 Berichte eingefordert und 333 Anleitungen sowie Beratungen für Unternehmen, die personenbezogene Daten verarbeiten, durchgeführt.

Als schwerwiegende Fälle wurden die folgenden aufgeführt:

• Ein Fall, in dem ein allgemeiner Stromnetzbetreiber Informationen über Kunden von neuen Stromversorgern besaß und diese von einem verbundenen Unternehmen oder der Einzelhandelsabteilung desselben Unternehmens, einem entsprechenden Einzelhandelsstromversorger, eingesehen und genutzt wurden.
• Ein Fall, in dem ein vom Japanischen Amt für Ressourcen und Energiewirtschaft verwaltetes “Erneuerbare-Energien-Geschäftsmanagementsystem” betroffen war, bei dem ein allgemeiner Stromnetzbetreiber einem verbundenen Einzelhandelsstromversorger die Nutzung von zugewiesenen Konten-IDs und Passwörtern ermöglichte, um auf personenbezogene Daten innerhalb des Systems zuzugreifen und diese zu nutzen.
• Ein Fall, in dem die Toyota Motor Corporation einem Tochterunternehmen, der Toyota Connected Corporation, die Verarbeitung von persönlichen Daten im Zusammenhang mit Dienstleistungen für Fahrzeugnutzer übertragen hatte, und festgestellt wurde, dass die von diesem Unternehmen verwalteten Serverdaten von außen einsehbar waren.
• Ein Fall, in dem die unabhängige Verwaltungsbehörde National Hospital Organization, ein Geschäftsführer von medizinischen Informationen gemäß dem Gesetz über die Verarbeitung von anonymisierten medizinischen Informationen zur Förderung der medizinischen Forschung und Entwicklung (Japanisches Gesetz Nr. 28 von 2017), Patientendaten durchsickern ließ.
• Ein Fall, in dem drei Opt-out-Meldeunternehmen gegen die Bestimmungen des Japanischen Gesetzes zum Schutz personenbezogener Daten verstoßen hatten.
• Ein Fall, in dem die NTT DOCOMO, Inc. der NTT NEXIA, Inc. Aufgaben übertragen hatte, die die Verwaltung von Kundeninformationen für Telefonmarketing beinhalteten, und ein Zeitarbeiter von NEXIA ohne Erlaubnis auf einen Cloud-Dienst über einen dienstlich genutzten PC zugriff und etwa 5,96 Millionen Datensätze von Personen hochlud, was zu einem möglichen Datenleck führte.
• Ein Fall, in dem ein Lehrer der Yotsuya Otsuka Corporation, die eine Mittelschulvorbereitungsschule betreibt, während seiner Anstellung Fotos und Videos von Grundschülern zusammen mit persönlichen Daten von Schülern, die von der Schule verwaltet wurden, durchsuchte, diese auf seinem privaten Smartphone speicherte und die Daten von sechs Personen auf seinem eigenen SNS-Account veröffentlichte, was zu einem Datenleck führte.
• Ein Fall, in dem der Server der MK System Corporation durch einen Cyberangriff kompromittiert wurde und durch Ransomware die auf dem System verwalteten persönlichen Daten verschlüsselt wurden, was zu einem möglichen Datenleck führte.
• Ein Fall, in dem auf bestimmten Produktseiten von “Yahoo! Auctions” durch die Eingabe bestimmter Befehle die GUID (interne Kennung) des Auktionators angezeigt wurde, was dazu führte, dass die GUID von Dritten eingesehen werden konnte und somit ein Datenleck drohte.

Zu diesen Fällen wurden gemäß Artikel 23 des Japanischen Gesetzes zum Schutz personenbezogener Daten Anleitungen erteilt, und für einige wurde die Berichterstattung über die Umsetzung von Maßnahmen zur Verhinderung von Wiederholungsfällen gefordert.

Situation bezüglich Empfehlungen

Es wurden drei Empfehlungen an Unternehmen, die mit persönlichen Informationen umgehen, ausgesprochen. Die folgenden Punkte fassen die Situation zusammen:

Im Zusammenhang mit dem Callcenter-Geschäft, das von der Aktiengesellschaft NTT Marketing Act ProCX durchgeführt wurde, welches von privaten Unternehmen, unabhängigen Verwaltungsbehörden und lokalen öffentlichen Körperschaften beauftragt wurde, kam es zu einem Vorfall, bei dem ein Mitarbeiter der NTT Business Solutions Corporation, der mit der Wartung und dem Betrieb des verwendeten Systems beauftragt war, unrechtmäßig persönliche Daten von etwa 9,28 Millionen Kunden oder Bürgern entwendete, was zu einem Datenleck führte. In diesem Fall wurden beide Unternehmen aufgefordert, gemäß Artikel 23 des Japanischen Gesetzes zum Schutz persönlicher Informationen (Personal Information Protection Act) die erforderlichen Maßnahmen zur Korrektur der Verstöße zu ergreifen, und es wurden entsprechende Empfehlungen ausgesprochen.

Bei der LINE Yahoo Corporation kam es zu einem Vorfall, bei dem ein von einem südkoreanischen Sicherheitswartungsunternehmen beschäftigter Mitarbeiter auf seinem dienstlich genutzten PC Malware entdeckte, was zu einem unbefugten Zugriff auf das Informationssystem führte und persönliche Daten von LINE-Nutzern, Geschäftspartnern und Mitarbeitern usw. offenlegte. In diesem Fall wurde eine Empfehlung ausgesprochen, gemäß Artikel 23 des Japanischen Gesetzes zum Schutz persönlicher Informationen die erforderlichen Korrekturmaßnahmen zu ergreifen, und es wurde eine Berichterstattung über den Status der Umsetzung von Maßnahmen zur Verhinderung einer Wiederholung, einschließlich der Reaktion auf die Empfehlung, angefordert.

Überwachung von Verwaltungsbehörden und ähnlichen Einrichtungen

Gemäß dem japanischen Gesetz zum Schutz personenbezogener Daten (Japanese Personal Information Protection Law) wurde auch eine Überwachung von Verwaltungsbehörden und ähnlichen Einrichtungen durchgeführt.

Bearbeitungsstatus von Meldungen bezüglich Datenschutzverletzungen und ähnlichen Vorfällen

Im Rahmen der Überwachung von Verwaltungsbehörden und ähnlichen Einrichtungen wurden 1159 Meldungen bezüglich Datenschutzverletzungen und ähnlichen Vorfällen bearbeitet. Davon entfielen 162 Meldungen auf nationale Verwaltungsbehörden und 997 Meldungen auf lokale öffentliche Körperschaften.

Die meisten gemeldeten Fälle waren, wie im Vorjahr, Datenschutzverletzungen, die sensible personenbezogene Daten beinhalteten (nationale Verwaltungsbehörden: 61,1 %, lokale öffentliche Körperschaften: 80,3 %), gefolgt von Datenschutzverletzungen, die die Daten von mehr als 100 Personen umfassten (nationale Verwaltungsbehörden: 31,5 %, lokale öffentliche Körperschaften: 18,8 %).

Die häufigsten Ursachen für diese Vorfälle waren menschliche Fehler wie falsche Zustellungen, falsche Versendungen, falsche Entsorgungen und Verluste (nationale Verwaltungsbehörden: insgesamt 6,8 %, lokale öffentliche Körperschaften: insgesamt 78,8 %), gefolgt von Fehlern in Systemkonfigurationen und anderen entsprechenden Fällen (nationale Verwaltungsbehörden: 22,8 %, lokale öffentliche Körperschaften: 17,7 %).

Die Anzahl der Personen, die von einem einzelnen Vorfall betroffen waren, lag in den meisten Fällen unter 1000 (nationale Verwaltungsbehörden: 93,2 %, lokale öffentliche Körperschaften: 96,7 %), und die am häufigsten betroffenen Informationen waren die von Bürgern und anderen (nationale Verwaltungsbehörden: 78,4 %, lokale öffentliche Körperschaften: 91,1 %). Die Form der geleakten Informationen war überwiegend in Papierform (nationale Verwaltungsbehörden: 58,0 %, lokale öffentliche Körperschaften: 76,8 %).

Situation bezüglich der Aufforderung zur Vorlage von Unterlagen, Vor-Ort-Inspektionen, Anleitung und Beratung

Zur Überprüfung der Einhaltung der Richtlinien zum japanischen Gesetz zum Schutz personenbezogener Daten (Japanese Personal Information Protection Law) und ähnlicher Gesetze wurden 65 geplante Vor-Ort-Inspektionen bei Verwaltungsbehörden und ähnlichen Einrichtungen durchgeführt, und es wurden Anweisungen zur Verbesserung der ordnungsgemäßen Handhabung personenbezogener Daten sowie Aufforderungen zur Vorlage von Berichten über die umgesetzten Anweisungen erteilt.

Zusätzlich zu den Vor-Ort-Inspektionen wurden in 73 Fällen Anleitungen und Beratungen durchgeführt, um die Durchsetzung von Maßnahmen zur Verhinderung erneuter Datenschutzverletzungen im Zusammenhang mit unzureichenden Sicherheitsmaßnahmen zu fordern. Zu den schwerwiegenden Fällen gehören die folgenden:

• Ein Fall, in dem die von der Agentur für natürliche Ressourcen und Energie verwaltete ‘Erneuerbare-Energien-Geschäftsmanagement-System’ von Einzelhandelsstromversorgern genutzt wurde, um mit Konten, die den allgemeinen Stromverteilern zugewiesen waren, auf personenbezogene Daten im System zuzugreifen und diese zu verwenden.
• Ein Fall in der Stadt Noheji in der Präfektur Aomori, bei dem ein USB-Stick verloren ging, auf dem die Namen, Geburtsdaten, Gesundheitsuntersuchungsergebnisse und Impfgeschichten gegen COVID-19 eines Großteils der Stadtbewohner gespeichert waren, was zu einem Risiko des Datenlecks führte.
• Ein Fall, bei dem zwei Lehrer an zwei verschiedenen Oberschulen, die unter der Aufsicht des Bildungsausschusses der Präfektur Nagano stehen, Opfer von Support-Betrug wurden und auf Anleitung der Betrüger eine Fernsteuerungssoftware ohne Erlaubnis auf ihren dienstlichen PCs installierten, was zu einem Risiko des Datenlecks von personenbezogenen Informationen von Schülern und Lehrpersonal führte.

In diesen Fällen wurden gemäß Artikel 66 Absatz 1 des japanischen Gesetzes zum Schutz personenbezogener Daten (Japanese Personal Information Protection Law) Anweisungen bezüglich unzureichender Sicherheitsmaßnahmen erteilt, und in den Fällen in Aomori und Nagasaki wurden auch Unterlagen zur Überprüfung der Umsetzung von Maßnahmen zur Verhinderung erneuter Vorfälle angefordert.

Zusammenfassung: Rekordzahl an gemeldeten Datenschutzverletzungen seit Beginn der Berichtspflicht

Seit der Änderung im Jahr Reiwa 4 (2022) ist die Meldung von Datenschutzverletzungen an die Japanische Kommission zum Schutz persönlicher Informationen verpflichtend geworden. Im Geschäftsjahr Reiwa 5 (2023) erreichte die Anzahl der gemeldeten Fälle mit 12.120 einen Anstieg von etwa 58% im Vergleich zum Vorjahr und markierte damit den höchsten Stand seit der Einführung der Berichtspflicht als Sorgfaltspflicht im Jahr Heisei 25 (2013).

Bei der Handhabung personenbezogener Daten können Fehler zu tatsächlichen Datenlecks führen, die dann auf der Website der Japanischen Kommission zum Schutz persönlicher Informationen veröffentlicht werden. Dies kann zu einer Beschädigung der Unternehmensmarke und einem Verlust des gesellschaftlichen Ansehens führen. Wir empfehlen, sich bezüglich der Handhabung und Verwaltung personenbezogener Daten im Vorfeld an einen Anwalt zu wenden, um angemessene Maßnahmen zu ergreifen.

Maßnahmen unserer Kanzlei

Die Monolith Rechtsanwaltskanzlei ist eine Kanzlei mit umfangreicher Erfahrung in IT, insbesondere im Bereich Internet und Recht. In letzter Zeit ist die Offenlegung von persönlichen Informationen zu einem großen Problem geworden. Sollten persönliche Informationen einmal durchsickern, kann dies sogar verheerende Auswirkungen auf die Geschäftstätigkeit eines Unternehmens haben. Unsere Kanzlei verfügt über spezialisiertes Wissen in der Prävention von Informationslecks und den entsprechenden Gegenmaßnahmen. Weitere Details finden Sie im untenstehenden Artikel.

Rechtsgebiete der Monolith Rechtsanwaltskanzlei: Rechtsangelegenheiten im Zusammenhang mit dem Schutz persönlicher Informationen[ja]