Η αδιάκοπη διαρροή προσωπικών δεδομένων, το έτος Reiwa 7 (2023) αυξήθηκε κατά 1,5 φορές σε σύγκριση με το προηγούμενο έτος. Εξηγώντας τις τελευταίες τάσεις

Στα τελευταία χρόνια, η αύξηση των περίπλοκων κυβερνοεπιθέσεων και των διαρροών προσωπικών δεδομένων λόγω ανθρώπινων λαθών αποτελεί μια σοβαρή πρόκληση για τις επιχειρήσεις. Η διαρροή προσωπικών δεδομένων μπορεί να προκαλέσει σημαντικές ζημιές στις εταιρείες, όπως βλάβη στη φήμη, κινδύνους δικαστικών διαφορών και ακόμα και διακοπή των επιχειρησιακών δραστηριοτήτων.

Σε αυτό το άρθρο, θα αναλύσουμε τις τάσεις των περιστατικών διαρροής προσωπικών δεδομένων που προκύπτουν από την ετήσια έκθεση της Επιτροπής Προστασίας Προσωπικών Δεδομένων για το έτος Reiwa 5 (2023). Χρησιμοποιήστε αυτό το άρθρο ως αφετηρία για να ενισχύσετε τα μέτρα ασφαλείας πληροφοριών της εταιρείας σας και να προλάβετε τους κινδύνους διαρροής.

Τι είναι η Ετήσια Έκθεση της Επιτροπής Προστασίας Προσωπικών Δεδομένων

Με την τροποποιημένη Ιαπωνική Νομοθεσία για την Προστασία Προσωπικών Δεδομένων που τέθηκε σε ισχύ τον Απρίλιο του έτους Reiwa 4 (2022), επιβλήθηκε στους επιχειρηματίες που χειρίζονται προσωπικά δεδομένα η υποχρέωση να αναφέρουν στην ιστοσελίδα της Επιτροπής Προστασίας Προσωπικών Δεδομένων (PPC) περιστατικά διαρροής προσωπικών δεδομένων, εφόσον αυτά πληρούν ορισμένες συνθήκες.

Η Επιτροπή Προστασίας Προσωπικών Δεδομένων δημοσίευσε την Ετήσια Έκθεση του έτους Reiwa 5[ja] τον Ιούνιο του έτους Reiwa 6 (2024).

Σχετικό Άρθρο: Τα σημεία της τροποποίησης του Νόμου για την Προστασία Προσωπικών Δεδομένων του έτους Reiwa 6 (2024) – Τι πρέπει να γνωρίζετε για τις αλλαγές και τα μέτρα αντιμετώπισης[ja]

Εποπτεία Φορέων Επεξεργασίας Προσωπικών Δεδομένων κ.λπ.

Κατά τη διάρκεια του έτους Reiwa 5 (2023), διεκπεραιώθηκαν 12.120 αναφορές σχετικά με περιστατικά διαρροής και άλλα συμβάντα, αριθμός που αποτελεί σημαντική αύξηση σε σύγκριση με τις 7.685 αναφορές του προηγούμενου έτους. Ας εξετάσουμε λοιπόν το περιεχόμενο ειδικότερα.

Κατάσταση Επεξεργασίας Συμβάντων Διαρροής και Σχετικών Θεμάτων

Από τα αναφερθέντα συμβάντα, 11.635 περιστατικά (96,0%) αφορούσαν λιγότερα από 1.000 άτομα ανά περιστατικό, ενώ συμβάντα που ξεπερνούσαν τα 50.000 άτομα ανέρχονταν σε 61 περιπτώσεις (0,5%).

Στα περιστατικά που αναφέρθηκαν απευθείας στην Επιτροπή, οι πληροφορίες που διέρρευσαν αφορούσαν κυρίως πελατειακά δεδομένα (83,5%), και όσον αφορά τη μορφή τους, τα περιστατικά διαρροής σε χάρτινα μέσα (82,0%) ήταν περισσότερα σε σύγκριση με αυτά σε ηλεκτρονικά μέσα (12,2%).

Σύμφωνα με τις κατηγορίες των υποχρεώσεων αναφοράς που ορίζονται από τον Νόμο Προστασίας Προσωπικών Δεδομένων και τους Κανονισμούς Εφαρμογής του (Κανονισμοί Εφαρμογής), η πλειοψηφία των περιστατικών αφορούσε διαρροές προσωπικών δεδομένων που περιλαμβάνουν ευαίσθητες πληροφορίες όπως ιατρικό ιστορικό ή φυλετική καταγωγή (89,7%), ακολουθούμενες από διαρροές που πιθανόν να έγιναν με παράνομο σκοπό (8,1%).

Οι λόγοι που οδήγησαν σε αυτή την τάση, λαμβάνοντας υπόψη ότι πολλά από τα περιστατικά διαρροής προκλήθηκαν από λάθη όπως λανθασμένη παράδοση, αποστολή, καταστροφή ή απώλεια (συνολικά 86,3%), φαίνεται ότι οφείλονται στην υψηλή συχνότητα των περιστατικών διαρροής ευαίσθητων προσωπικών δεδομένων που περιλαμβάνονται σε χάρτινα έγγραφα (όπως λάθος παράδοση ιατρικών λογαριασμών σε ιατρικά κέντρα).

Μετά την παραλαβή αυτών των αναφορών, η Επιτροπή Προστασίας Προσωπικών Δεδομένων εξέτασε την κατάσταση της αντίδρασης προς τα άτομα που επηρεάστηκαν, ελέγχοντας αν οι ειδοποιήσεις προς τα άτομα (άρθρο 26, παράγραφος 2 του Νόμου Προστασίας Προσωπικών Δεδομένων) έγιναν κατάλληλα, αν οι αιτίες των περιστατικών είχαν ταυτοποιηθεί και αναλυθεί σωστά, και αν τα μέτρα πρόληψης επανάληψης που αναφέρονται ανταποκρίνονται κατάλληλα στις αιτίες που προκάλεσαν τα περιστατικά. Επιπλέον, όπου χρειάστηκε, παρείχε πληροφορίες και συμβουλές για την ανάλυση των αιτιών και την εξέταση των μέτρων πρόληψης επανάληψης.

Κατάσταση Συλλογής Αναφορών, Καθοδήγησης και Συμβουλών

Πραγματοποιήθηκαν 73 συλλογές αναφορών, 333 περιπτώσεις καθοδήγησης και συμβουλών προς επιχειρήσεις που χειρίζονται προσωπικά δεδομένα.

Ως σοβαρά περιστατικά αναφέρονται τα εξής:

• Περιστατικό όπου ο γενικός πάροχος διανομής ενέργειας είχε επιτρέψει σε θυγατρική εταιρεία ή στον ίδιο τον λιανικό τομέα της εταιρείας να προβαίνει σε προβολή και χρήση πληροφοριών πελατών νέας ενέργειας.
• Περιστατικό όπου οι λιανικοί πάροχοι ενέργειας χρησιμοποίησαν τα ID και κωδικούς πρόσβασης που είχαν ανατεθεί στους γενικούς πάροχους διανομής για να προβαίνουν σε προβολή και χρήση προσωπικών δεδομένων μέσα στο «Σύστημα Διαχείρισης Εργασιών Ανανεώσιμης Ενέργειας» που διαχειρίζεται η Αρχή Πόρων και Ενέργειας.
• Περιστατικό όπου η Toyota Motor Corporation είχε αναθέσει στη θυγατρική της, Toyota Connected Corporation, τη διαχείριση προσωπικών δεδομένων που σχετίζονται με τις υπηρεσίες προς τους χρήστες οχημάτων, και διαπιστώθηκε ότι τα προσωπικά δεδομένα που διαχειριζόταν η εν λόγω εταιρεία σε διακομιστή ήταν προσβάσιμα από το εξωτερικό, προκαλώντας έτσι διαρροή.
• Περιστατικό όπου ο Εθνικός Οργανισμός Νοσοκομείων, ο οποίος είναι επιχείρηση διαχείρισης ιατρικών πληροφοριών σύμφωνα με τον Νόμο για την Ανώνυμη Επεξεργασία Ιατρικών Πληροφοριών για την Έρευνα και Ανάπτυξη στον Ιατρικό Τομέα (Νόμος του 2017, Αριθμός 28), διέρρευσε πληροφορίες ασθενών.
• Περιστατικό όπου τρεις επιχειρήσεις που είχαν υποβάλει αίτηση opt-out παραβίασαν τις διατάξεις του Νόμου Προστασίας Προσωπικών Δεδομένων.
• Περιστατικό όπου η NTT DOCOMO Inc. είχε αναθέσει στην NTT NEXIA Inc. τη διαχείριση πληροφοριών πελατών για τηλεφωνικές πωλήσεις, και ένας αποσπασμένος εργαζόμενος της NEXIA χρησιμοποίησε τον υπολογιστή του για να ανεβάσει παράνομα περίπου 5.96 εκατομμύρια προσωπικά δεδομένα σε υπηρεσία cloud, προκαλώντας τον κίνδυνο διαρροής.
• Περιστατικό όπου ένας δάσκαλος της εταιρείας Yotsuya Otsuka, η οποία διαχειρίζεται φροντιστήρια προετοιμασίας για τις εξετάσεις εισαγωγής στο γυμνάσιο, κατά τη διάρκεια της απασχόλησής του αναζήτησε και προβάλλει προσωπικά δεδομένα μαθητών που φοιτούσαν στο φροντιστήριο, τα κατέγραψε στο προσωπικό του smartphone και δημοσίευσε τα δεδομένα έξι ατόμων στον λογαριασμό του στα κοινωνικά δίκτυα, προκαλώντας διαρροή.
• Περιστατικό όπου οι διακομιστές της εταιρείας MK System υπέστησαν παράνομη πρόσβαση και τα προσωπικά δεδομένα που διαχειριζόταν το σύστημα κρυπτογραφήθηκαν με ransomware, δημιουργώντας τον κίνδυνο διαρροής.
• Περιστατικό όπου, σε συγκεκριμένες σελίδες προϊόντων του «Yahoo! Auctions», η εισαγωγή συγκεκριμένων εντολών οδηγούσε στην εμφάνιση του GUID (εσωτερικού αναγνωριστικού) του πωλητή, καθιστώντας τον έτσι προσβάσιμο από τρίτους και δημιουργώντας τον κίνδυνο διαρροής προσωπικών δεδομένων.

Σε αυτά τα περιστατικά, δόθηκαν καθοδηγήσεις βάσει του Άρθρου 23 του Νόμου Προστασίας Προσωπικών Δεδομένων και σε κάποιες περιπτώσεις ζητήθηκαν αναφορές σχετικά με την εφαρμογή μέτρων πρόληψης επανάληψης.

Κατάσταση Συστάσεων

Έχουν γίνει τρεις συστάσεις προς επιχειρήσεις και άλλους φορείς που χειρίζονται προσωπικά δεδομένα. Παρακάτω αναφέρονται οι περιλήψεις τους.

Σε περίπτωση που ένας εργαζόμενος της εταιρείας NTT Business Solutions Ltd., η οποία είχε αναλάβει τη συντήρηση και λειτουργία συστημάτων από την εταιρεία NTT Marketing Act ProCX Inc., που διεξήγαγε επιχειρήσεις κέντρου κλήσεων για ιδιωτικές επιχειρήσεις, ανεξάρτητες διοικητικές νομικές οντότητες και τοπικές δημόσιες οργανώσεις, αποκάλυψε παράνομα περίπου 9.28 εκατομμύρια στοιχεία προσωπικών δεδομένων πελατών ή κατοίκων, προκαλώντας διαρροή, και στις δύο εταιρείες δόθηκαν συστάσεις να λάβουν τα απαραίτητα μέτρα για τη διόρθωση της παραβίασης του άρθρου 23 του Νόμου για την Προστασία Προσωπικών Δεδομένων (Japanese Personal Information Protection Law).

Στην εταιρεία LINE Yahoo Japan Corporation, μετά από μόλυνση με κακόβουλο λογισμικό ενός υπολογιστή που χρησιμοποιούσε εργαζόμενος σε εταιρεία ασφάλειας στην Κορέα, η οποία είχε αναλάβει τη συντήρηση των συστημάτων, προκλήθηκε παράνομη πρόσβαση στο σύστημα πληροφοριών και διαρροή προσωπικών δεδομένων χρηστών, επιχειρήσεων και εργαζομένων του LINE. Σε αυτή την περίπτωση, δόθηκε σύσταση για τη λήψη των απαραίτητων μέτρων για τη διόρθωση της παραβίασης του άρθρου 23 του Νόμου για την Προστασία Προσωπικών Δεδομένων και ζητήθηκε η υποβολή εκθέσεων σχετικά με την κατάσταση βελτίωσης σε σχέση με τις συστάσεις, περιλαμβανομένων των μέτρων πρόληψης επανάληψης.

Εποπτεία Αρχών και Οργανισμών

Βάσει του Νόμου για την Προστασία Προσωπικών Δεδομένων, έχει διενεργηθεί εποπτεία και στις κρατικές αρχές και οργανισμούς.

Κατάσταση επεξεργασίας αναφορών σχετικά με περιστατικά διαρροής προσωπικών δεδομένων

Στο πλαίσιο της εποπτείας των κρατικών αρχών και οργανισμών, έχουν επεξεργαστεί 1159 αναφορές σχετικά με περιστατικά διαρροής προσωπικών δεδομένων. Από αυτές, 162 αφορούσαν εθνικές κρατικές αρχές και οργανισμούς, ενώ 997 αφορούσαν τοπικές δημόσιες ενώσεις και οργανισμούς.

Οι περισσότερες αναφορές, όπως και το προηγούμενο έτος, αφορούσαν διαρροές προσωπικών δεδομένων που περιλαμβάνουν ευαίσθητες πληροφορίες (εθνικές κρατικές αρχές και οργανισμοί: 61.1%, τοπικές δημόσιες ενώσεις και οργανισμοί: 80.3%), ακολουθούμενες από διαρροές που αφορούν πάνω από 100 άτομα (εθνικές κρατικές αρχές και οργανισμοί: 31.5%, τοπικές δημόσιες ενώσεις και οργανισμοί: 18.8%).

Η πλειονότητα των περιστατικών οφείλεται σε λάθη όπως λανθασμένη παράδοση, αποστολή, καταστροφή ή απώλεια, τα λεγόμενα ανθρώπινα λάθη (εθνικές κρατικές αρχές και οργανισμοί: συνολικά 6.8%, τοπικές δημόσιες ενώσεις και οργανισμοί: συνολικά 78.8%), ενώ ακολουθούν λάθη στη ρύθμιση συστημάτων και άλλα σχετικά περιστατικά (εθνικές κρατικές αρχές και οργανισμοί: 22.8%, τοπικές δημόσιες ενώσεις και οργανισμοί: 17.7%).

Στα περιστατικά ανά περίπτωση, οι διαρροές που αφορούσαν λιγότερα από 1000 άτομα ήταν οι πιο συχνές (εθνικές κρατικές αρχές και οργανισμοί: 93.2%, τοπικές δημόσιες ενώσεις και οργανισμοί: 96.7%), και οι πληροφορίες που διέρρευσαν αφορούσαν κυρίως πολίτες (εθνικές κρατικές αρχές και οργανισμοί: 78.4%, τοπικές δημόσιες ενώσεις και οργανισμοί: 91.1%), ενώ οι διαρροές συνήθως αφορούσαν μόνο έγγραφα (εθνικές κρατικές αρχές και οργανισμοί: 58.0%, τοπικές δημόσιες ενώσεις και οργανισμοί: 76.8%).

Κατάσταση αιτημάτων για υποβολή εγγράφων, επιτόπιων ελέγχων, καθοδήγησης και συμβουλών

Για την επιβεβαίωση της τήρησης των οδηγιών σχετικά με τον Νόμο για την Προστασία Προσωπικών Δεδομένων και τον Νόμο για την Προστασία Προσωπικών Δεδομένων (Έκδοση για Κρατικές Αρχές και Οργανισμούς), διενεργήθηκαν 65 επιτόπιοι έλεγχοι και ζητήθηκαν βελτιώσεις στην κατάλληλη διαχείριση των προσωπικών δεδομένων, καθώς και υποβολή εγγράφων για τα θέματα που καθοδηγήθηκαν.

Εκτός από τους επιτόπιους ελέγχους, δόθηκαν 73 καθοδηγήσεις και συμβουλές για την ενίσχυση των μέτρων πρόληψης επανάληψης σε περιπτώσεις που υπήρχαν ελλείψεις στα μέτρα ασφαλείας κατά την υποδοχή αναφορών διαρροής προσωπικών δεδομένων. Μεταξύ των σοβαρών περιστατικών περιλαμβάνονται τα εξής:

• Στο σύστημα διαχείρισης εργασιών ανανεώσιμης ενέργειας που διαχειρίζεται η Αρχή Πόρων και Ενέργειας, χρησιμοποιήθηκαν από σχετικούς λιανικούς παρόχους ηλεκτρικής ενέργειας τα ID και κωδικοί πρόσβασης που είχαν ανατεθεί σε γενικούς διανομείς, για την προβολή και χρήση προσωπικών δεδομένων μέσα στο σύστημα.
• Στην πόλη Νομπετσι της περιφέρειας Αομόρι, χάθηκε ένα USB που περιείχε προσωπικά δεδομένα των περισσότερων κατοίκων, όπως ονόματα, ημερομηνίες γέννησης, αποτελέσματα ιατρικών εξετάσεων και ιστορικό εμβολιασμών για τον νέο κορονοϊό, δημιουργώντας κίνδυνο διαρροής.
• Στην περιφέρεια Ναγκάνο, δύο δάσκαλοι από δύο διαφορετικά λύκεια που υπάγονται στην Επιτροπή Εκπαίδευσης, έπεσαν θύματα απάτης υποστήριξης και ακολουθώντας τις οδηγίες των επιτήδειων, εγκατέστησαν παράνομα λογισμικό απομακρυσμένου ελέγχου στους υπολογιστές τους, δημιουργώντας κίνδυνο διαρροής προσωπικών δεδομένων μαθητών και εκπαιδευτικών.

Σε αυτά τα περιστατικά, δόθηκαν οδηγίες βάσει του άρθρου 66 παράγραφος 1 του Νόμου για την Προστασία Προσωπικών Δεδομένων για την ανεπαρκή αντιμετώπιση των θεμάτων ασφαλείας, και για τα περιστατικά στις περιφέρειες Αομόρι και Ναγκάνο ζητήθηκε επίσης η υποβολή εγγράφων σχετικά με την κατάσταση εφαρμογής των μέτρων πρόληψης επανάληψης.

Συνοπτικά: Ρεκόρ αναφορών περιστατικών διαρροής προσωπικών δεδομένων

Μετά την τροποποίηση του έτους Reiwa 4 (2022), η υποβολή αναφορών στην Επιτροπή Προστασίας Προσωπικών Δεδομένων έχει καταστεί υποχρεωτική. Το έτος Reiwa 5 (2023), ο αριθμός των αναφορών ανήλθε σε 12.120, αυξημένος κατά περίπου 58% σε σύγκριση με το προηγούμενο έτος, σημειώνοντας τον υψηλότερο αριθμό από τότε που η υποβολή αναφορών έγινε υποχρεωτική το έτος Heisei 25 (2013).

Σε περίπτωση που η διαχείριση των προσωπικών δεδομένων δεν είναι σωστή και προκύψει διαρροή, τα περιστατικά αυτά θα δημοσιευτούν στην ιστοσελίδα της Επιτροπής Προστασίας Προσωπικών Δεδομένων, με πιθανές συνέπειες την υποβάθμιση της εταιρικής εικόνας και την απώλεια κοινωνικής εμπιστοσύνης. Συνιστάται η συμβουλή με δικηγόρο για τη διαχείριση και τη λειτουργία των προσωπικών δεδομένων, ώστε να είστε προετοιμασμένοι εκ των προτέρων.

Οδηγίες για τα Μέτρα από το Δικηγορικό μας Γραφείο

Το Δικηγορικό Γραφείο Monolith είναι ένα γραφείο με πλούσια εμπειρία στον τομέα της πληροφορικής και ειδικότερα στο διαδίκτυο και το δίκαιο. Στις μέρες μας, η διαρροή προσωπικών δεδομένων αποτελεί μεγάλο πρόβλημα. Σε περίπτωση που συμβεί διαρροή προσωπικών πληροφοριών, μπορεί να έχει καταστροφικές συνέπειες στην επιχειρηματική δραστηριότητα. Η εταιρεία μας διαθέτει εξειδικευμένη γνώση στην πρόληψη και την αντιμετώπιση διαρροών πληροφοριών. Παρακαλούμε δείτε το παρακάτω άρθρο για περισσότερες λεπτομέρειες.

Τομείς εξειδίκευσης του Δικηγορικού Γραφείου Monolith: Σχετικά νομικά θέματα με την Προστασία Προσωπικών Δεδομένων[ja]