MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Aprendiendo de la gestión de crisis y el papel del abogado en el caso de la filtración de información de 650,000 casos de la empresa japonesa 'Touken Corporation

General Corporate

Aprendiendo de la gestión de crisis y el papel del abogado en el caso de la filtración de información de 650,000 casos de la empresa japonesa 'Touken Corporation

El 1 de abril de 2005 (año 2005 del calendario gregoriano), la Ley Japonesa de Protección de Información Personal entró en plena vigencia, y los operadores que manejan información personal están obligados a tomar medidas de seguridad. Sin embargo, los incidentes de filtración de información personal no cesan.

En caso de un incidente de filtración de información, lo más importante es el procedimiento y la velocidad de respuesta. En particular, en las pequeñas y medianas empresas que no cuentan con personal especializado en seguridad de la información, puede ser difícil decidir rápidamente cómo responder.

Por lo tanto, en esta ocasión, explicaremos el sistema de gestión de crisis en caso de filtración de información, basándonos en la respuesta de la empresa Tokken Corporation a su incidente de filtración de información.

Resumen de la fuga de información

Los detalles principales sobre la fuga de información debido al acceso no autorizado que ocurrió en la Corporación Tōken son los siguientes:

  • Ocurrencia: Durante 24 días, desde el 20 de agosto hasta el 12 de septiembre de 2020
  • Detección: 20 de octubre de 2020
  • Causa: El acceso no autorizado a un servidor que almacenaba información de varios usuarios desde la página web del grupo
  • Objetivo: Personas que se pusieron en contacto con el sitio web de la empresa del grupo, miembros, solicitantes de varias campañas
  • Información: “Dirección de correo electrónico”, “nombre”, “dirección”, “número de teléfono”, “contraseña”, “género”, “fecha de nacimiento”, etc.
  • Número de casos: Se estima que la fuga de información podría afectar a un total de 657,096 registros de información personal

Detección de acceso no autorizado y respuesta inicial

El 20 de octubre de 2020, la Corporación Tokken descubrió un acceso no autorizado a su sitio web operativo “Nasluck Kitchen” durante una inspección regular del sitio web, y tomó las siguientes medidas iniciales de respuesta.

  • Como respuesta de seguridad de emergencia, cerró “Nasluck Kitchen” y detuvo todos los servicios proporcionados desde el sitio.
  • Estableció un “Departamento de Medidas de Seguridad de la Información” y consultó con una organización externa independiente.
  • Investigó todos los sitios web del grupo hasta el 11 de noviembre, tomó medidas provisionales para corregir las vulnerabilidades y determinó el número y los elementos máximos de fugas.

Puntos clave de la respuesta inicial

Si se confirma el riesgo de fuga de información debido a un acceso no autorizado, se deben tomar inmediatamente las siguientes medidas para prevenir la expansión del daño, la aparición de daños secundarios y la recurrencia.

  • Confirmación de los hechos (causas del acceso no autorizado, rutas, etc.)
  • Detención de los equipos o sitios que han sido objeto de acceso no autorizado
  • Desconexión de los equipos o sitios que han sido objeto de acceso no autorizado de la red

Lo que hay que tener en cuenta en este momento es que se deben tomar medidas para preservar la evidencia sin realizar operaciones imprudentes y sin borrar las pruebas que quedan en el sistema.

Comunicado de prensa tras la detección de una filtración de información

La primera publicación se realizó el 17 de noviembre de 2020 (2020年11月17日) en la página web de la Corporación Tōken (東建コーポレーション).

El contenido de la publicación incluía detalles sobre el acceso no autorizado y las medidas futuras, además de una sección de “Preguntas y respuestas sobre el incidente de filtración de información debido al acceso no autorizado”, que proporcionaba información detallada requerida.

La Corporación Tōken (東建コーポレーション) y nuestras empresas asociadas (en adelante, nuestro grupo) confirmaron el 20 de octubre de 2020 (2020年10月20日) que nuestra red había sido objeto de un acceso no autorizado por parte de terceros y que había la posibilidad de que la información personal, como las consultas a Home Mate operado por nuestro grupo, la información de los miembros de las empresas del grupo y la información de los solicitantes de varias campañas, se hubiera filtrado al exterior.

Sobre la filtración de información personal debido al acceso no autorizado[ja]

En el enlace a la página web anterior, el “Preguntas y respuestas sobre el incidente de filtración de información debido al acceso no autorizado”[ja] incluye el siguiente contenido:

Sobre el contenido de la información filtrada

P ¿Qué información se filtró esta vez?
R Creemos que se filtraron “nombres”, “direcciones”, “números de teléfono”, “direcciones de correo electrónico” y “contraseñas” en todos los sitios que opera nuestra empresa, incluyendo las empresas del grupo.

P ¿Se filtró la información de la tarjeta de crédito?
R En los sitios que opera nuestra empresa, incluyendo las empresas del grupo, no almacenamos ninguna información como números de tarjetas de crédito o números de identificación personal, por lo que no hay riesgo de filtración.

En la explicación sobre la información filtrada, se puede evitar la ansiedad y la confusión innecesarias al especificar claramente la información que podría haberse filtrado (①) y la información que no corre riesgo de filtración (②).

Sobre las medidas futuras

P ¿Es seguro seguir utilizando los sitios, incluyendo las empresas del grupo de Tōken, en el futuro?
R En todos los sitios que opera nuestra empresa, incluyendo las empresas del grupo, ya hemos completado el fortalecimiento de la seguridad contra accesos no autorizados similares.

P ¿Cómo planean gestionar la información en el futuro?
R En el futuro, recibiremos chequeos de instituciones de investigación de terceros según sea necesario, y si encontramos alguna vulnerabilidad en el sitio, la corregiremos inmediatamente y nos esforzaremos por una gestión de la información más estricta.

En las medidas futuras, es importante explicar cuidadosamente la respuesta de seguridad del sitio que el usuario estaba utilizando, la posibilidad de reutilización y el sistema de gestión de la información en el futuro.

Preguntas y respuestas sobre indemnizaciones por daños y perjuicios, etc.

P ¿Se pagará una indemnización o una compensación por molestias a las personas que sufrieron daños por la filtración de información?
R No tenemos planes de pagar indemnizaciones o compensaciones por molestias basándonos en la información que se filtró debido a este acceso no autorizado. Sin embargo, si se produce algún daño económico debido a esta filtración de información y se presenta evidencia concreta, por favor consulte con nuestro “Centro de Consulta de Información Personal”.

P Hay un retiro que no recuerdo. ¿Puedo recibir una indemnización?
R Si se ha realizado un retiro que no recuerda de la cuenta que posee, le pedimos que se ponga en contacto directamente con la empresa que realizó el retiro. Además, si se determina que el retiro que no recuerda se debió a esta filtración de información, le pedimos que se ponga en contacto con nuestro “Centro de Consulta de Información Personal”, aunque sea una molestia.

La política de la empresa es clara: no se pagará una indemnización o compensación por molestias, pero se consultará individualmente sobre la indemnización por daños si se produce un daño económico debido a la filtración de información.

El momento del primer comunicado de prensa deja preguntas sin respuesta

Como parte de la gestión de crisis de una empresa, es necesario considerar en primer lugar “la expansión del daño”, “la ocurrencia de daño secundario” y “la prevención de la recurrencia”.

Por lo tanto, cuando se detecta una filtración de información, es importante informar a las partes interesadas lo más pronto posible después de tomar medidas iniciales.

Aunque las preguntas y respuestas de la Corporación Tōken responden cuidadosamente a una amplia gama de preguntas anticipadas y se puede ver que se crearon después de una cuidadosa consulta con expertos como abogados, hay preguntas sobre la publicación aproximadamente un mes después de la detección del acceso no autorizado.

Es cierto que la empresa querría hacer una declaración después de llevar a cabo una investigación y medidas, pero ¿no deberían los siguientes cuatro puntos haberse anunciado mucho antes como el primer informe?

  • La detección de la filtración de información y las personas objetivo previstas
  • El contenido de la información personal filtrada
  • La ausencia de riesgo de filtración de información de crédito, como números de tarjetas
  • El sistema y el calendario futuros
  • El punto de contacto para consultas

Puntos clave sobre notificaciones, informes y divulgaciones

Cuando se produce una fuga de información, es necesario considerar la notificación a usuarios y socios comerciales, la presentación de informes a las autoridades supervisoras y la policía, y la divulgación a través de la página web y los medios de comunicación, dependiendo de la causa y el contenido de la información.

En caso de posible actividad delictiva

Si existe la posibilidad de un delito en relación con el acceso no autorizado, es necesario informar a la policía de inmediato después de investigar los hechos y tomar medidas para preservar la evidencia.

En el caso de la Corporación Tōken (Japanese Tōken Corporation), se informó del daño a la Agencia de Tierras, Infraestructura, Transporte y Turismo y a la Prefectura de Aichi, entre otros, el día después de completar la investigación del sitio web de todo el grupo.

En caso de posible fuga de información personal y financiera

Si existe la posibilidad de una fuga de información como el número de tarjeta de crédito, cuenta bancaria, ID y contraseña, es necesario notificar inmediatamente a la persona y alentar la suspensión de estos para prevenir daños secundarios.

En caso de que la escala o el alcance del impacto sea grande, o si es difícil notificar individualmente a todas las partes interesadas

Se realizará una divulgación a través de la publicación de información en la página web y anuncios a la prensa. Sin embargo, si existe la posibilidad de que la divulgación pueda llevar a una mayor propagación del daño, se debe considerar el momento y los destinatarios de la divulgación.

Además, asegurar la transparencia y divulgar los hechos en la medida de lo posible cuando se hace una divulgación, contribuirá a la confianza en la empresa y también ayudará a prevenir la propagación del daño y la prevención de incidentes similares.

Publicación del segundo comunicado de prensa

El 9 de febrero de 2021, al comienzo del año, la Corporación Tōken publicó en su página web el segundo informe sobre la filtración de información personal, en el que se corrigieron los elementos y el número de casos de filtración.

Como resultado de una nueva investigación de los elementos de filtración realizada por una institución externa a través de una investigación forense, se confirmaron algunas diferencias. Por lo tanto, le pedimos que vuelva a verificar en el Anexo 1 “Sobre los elementos por sitio y servicio”. (Omisión) Además, el número de casos de filtración ha cambiado de un máximo de 657,096 a un máximo de 655,488.

El contenido, aparte de las correcciones mencionadas anteriormente, incluye la adición de métodos para lidiar con correos electrónicos no deseados y sospechosos. El contenido básico es casi el mismo que el del primer comunicado de prensa, y esta publicación fue la última.

El cuartel general de medidas, el núcleo de la respuesta a la crisis

Tras la revelación de un acceso no autorizado, la Corporación Tōken estableció un “Departamento de Seguridad de la Información”, y está trabajando en colaboración con una entidad externa independiente y la policía para prevenir la recurrencia.

Aunque la estructura de esta organización no está clara, no solo se necesitan medidas de seguridad del sistema, sino también la comunicación con los usuarios objetivo, la gestión de los medios, la respuesta a los accionistas y la consideración de la responsabilidad legal, todo al mismo tiempo. Por lo tanto, generalmente se requiere la participación de las siguientes entidades externas independientes y expertos:

  • Grandes empresas de software
  • Principales proveedores especializados en seguridad
  • Abogados externos con profundo conocimiento en ciberseguridad

Resumen

En casos como el presente, donde se ha revelado una fuga de información personal a gran escala que supera los 650,000 registros, es crucial la “respuesta inicial” y las “notificaciones, informes y divulgaciones” centradas en el cuartel general de medidas, así como las “medidas de seguridad”.

Lo que se requiere con especial rapidez no es solo la respuesta inicial, sino también las notificaciones e informes a la policía y a las agencias gubernamentales relevantes, y la divulgación a las partes interesadas (comunicados de prensa).

Sin embargo, si se maneja de manera incorrecta, existe la posibilidad de ser considerado responsable de indemnización por daños y perjuicios, por lo que recomendamos que no tome decisiones por su cuenta, sino que proceda consultando previamente con un abogado con amplios conocimientos y experiencia en ciberseguridad.

Si está interesado en la gestión de crisis durante la fuga de información causada por el malware de Capcom, por favor vea el artículo en detalle.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Presentación de las medidas propuestas por nuestro despacho

El Despacho de Abogados Monolis es una firma legal con alta especialización en IT, especialmente en aspectos de Internet y derecho. En nuestro despacho, creamos y revisamos contratos para una variedad de casos, desde empresas cotizadas en la Bolsa de Valores de Tokio hasta startups. Si necesita ayuda, consulte el artículo a continuación.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Volver arriba