Tendencias actuales explicadas: La incesante fuga de información personal en el año fiscal de Reiwa 5 (2023) se incrementa en un 1.5 veces en comparación con el año anterior.
En los últimos años, el aumento de fugas de información personal debido a ataques cibernéticos cada vez más sofisticados y errores humanos se ha convertido en un problema grave para las empresas. Las fugas de información personal pueden ocasionar a las empresas daños significativos como daño a la reputación, riesgos de litigio y hasta la suspensión de sus operaciones.
En este artículo, explicaremos las tendencias en casos de fuga de información personal que se desprenden del informe anual del año fiscal Reiwa 5 (2023) publicado por la Comisión de Protección de Información Personal de Japón. Utilice este artículo como referencia para fortalecer las medidas de seguridad de la información de su empresa y prevenir los riesgos de fuga de información antes de que ocurran.
¿Qué es el Informe Anual de la Comisión de Protección de Información Personal?
Con la enmienda de la Ley de Protección de Información Personal Japonesa, implementada en abril de Reiwa 4 (2022), se ha establecido la obligación de que los operadores de negocios que manejan información personal reporten a través del sitio web de la Comisión de Protección de Información Personal (PPC) en caso de que ocurra una fuga de información personal u otros incidentes similares, siempre y cuando se cumplan ciertas condiciones.
La Comisión de Protección de Información Personal publicó su informe anual correspondiente al año fiscal de Reiwa 5[ja] en junio de Reiwa 6 (2024).
Artículo relacionado: ¿Cuáles son los puntos clave de la enmienda de la Ley de Protección de Información Personal Japonesa de Reiwa 6 (2024)? Explicación de los cambios importantes y las estrategias de respuesta[ja]
Supervisión de Entidades que Manejan Información Personal
En el año fiscal Reiwa 5 (2023), se procesaron 12,120 reportes de incidentes de filtración de información, lo que representa un aumento significativo en comparación con los 7,685 casos del año fiscal anterior. Ahora, veamos los detalles específicos.
Estado de Procesamiento de Casos de Fugas de Información y Similares
De los casos reportados, 11,635 casos (96.0%) involucraron a menos de 1,000 personas afectadas por cada incidente de fuga de información, mientras que los casos que involucraron a más de 50,000 personas representaron 61 casos (0.5%).
En los casos reportados directamente al comité, el tipo de información más frecuentemente expuesta fue la información de clientes (83.5%), y al observar por el tipo de medio, las fugas que involucraron únicamente medios en papel (82.0%) fueron más comunes que aquellas que involucraron únicamente medios electrónicos (12.2%).
Según las categorías de obligaciones de reporte establecidas por la Ley de Protección de Información Personal de Japón y las normas de implementación de dicha ley (normas de implementación), la mayoría de los casos involucraron la fuga de datos personales que incluyen información personal sensible, como historiales médicos o raza (89.7%), seguido por fugas de datos personales que podrían haber sido objeto de acceso no autorizado o con propósitos ilícitos (8.1%).
La razón de esta tendencia, considerando que la mayoría de las causas de incidentes de fuga de información se deben a errores humanos tales como entrega errónea, envío erróneo, desecho inadecuado y pérdida (en total 86.3%), parece ser que hubo muchos casos de fugas de información causadas por la entrega errónea de documentos en papel que contienen información personal sensible (por ejemplo, facturas detalladas de tratamientos en instituciones médicas).
Tras estos informes, la Comisión de Protección de Información Personal de Japón ha revisado si la notificación a los afectados (según el artículo 26, párrafo 2 de la Ley de Protección de Información Personal de Japón) se ha realizado adecuadamente, si las causas de los incidentes han sido identificadas y analizadas correctamente, y si las medidas propuestas para prevenir la reincidencia corresponden adecuadamente a las causas identificadas, entre otros aspectos de los incidentes reportados según lo estipulado en las normas de implementación. Además, se han proporcionado orientaciones sobre métodos de análisis de causas y consideración de estrategias de prevención de reincidencia cuando ha sido necesario.
Situación de Recopilación de Informes, Orientación y Asesoramiento
Se realizaron 73 acciones de recopilación de informes, 333 de orientación y asesoramiento a entidades que manejan información personal.
Entre los casos graves se incluyen los siguientes:
- Un caso en el que un operador de distribución de electricidad general tenía información de clientes de nuevas compañías eléctricas, la cual fue vista y utilizada por la empresa del mismo grupo o por el departamento de ventas al por menor de la misma empresa.
- Un caso en el que se utilizó la ID y contraseña de una cuenta asignada a un operador de distribución de electricidad general para acceder y utilizar información personal dentro del “Sistema de Gestión de Negocios de Energía Renovable” administrado por la Agencia de Recursos y Energía.
- Un caso de fuga de datos en el que Toyota Motor Corporation había subcontratado el manejo de datos personales relacionados con los servicios a los usuarios de vehículos a Toyota Connected Corporation, y los datos personales administrados por esta última estaban accesibles desde el exterior.
- Un caso de fuga de información médica de pacientes por parte de la Organización Nacional de Hospitales, una entidad de manejo de información médica bajo la Ley de Información Médica Anónima para la Investigación y Desarrollo en el Ámbito Médico (Ley Nº 28 de 2017).
- Un caso en el que tres empresas que habían presentado notificaciones de exclusión voluntaria violaron las disposiciones de la Ley de Protección de Información Personal.
- Un caso en el que un empleado temporal de NTT Nexia Co., Ltd., a quien NTT DOCOMO Inc. había subcontratado la gestión de información de clientes para televentas, accedió sin autorización a un servicio de nube personal desde un PC utilizado para el trabajo y subió datos personales de aproximadamente 5.96 millones de personas, lo que resultó en una posible fuga de datos.
- Un caso en el que un profesor de la academia de preparación para exámenes de ingreso a secundaria, Yotsuya Otsuka Co., Ltd., durante su empleo, buscó y visualizó datos personales de estudiantes de primaria que asistían a la academia, ingresó y registró dichos datos en su teléfono inteligente personal junto con fotos y videos de los niños, y publicó la información personal de seis personas en su cuenta de SNS, causando una fuga de datos.
- Un caso en el que los servidores de MK System Co. sufrieron un acceso no autorizado y los datos personales administrados en el sistema fueron encriptados por ransomware, generando el riesgo de una fuga de datos.
- Un caso en el que, al ingresar ciertos comandos en páginas específicas de productos en “Yahoo! Auctions”, se mostraba el GUID (identificador interno) del vendedor de la subasta, lo que permitía que terceros pudieran ver el GUID, generando el riesgo de una fuga de datos personales.
En respuesta a estos casos, se llevaron a cabo orientaciones basadas en el Artículo 23 de la Ley de Protección de Información Personal, y en algunos casos se solicitó informes sobre la implementación de medidas para prevenir la recurrencia.
Situación de las recomendaciones
Se han realizado tres recomendaciones a los operadores de negocios que manejan información personal. A continuación, se presentan los resúmenes de dichas recomendaciones.
En el caso de la empresa NTT Marketing Act ProCX, que había sido contratada por operadores privados, organismos administrativos independientes y entidades públicas locales para llevar a cabo un negocio de call center, y que a su vez subcontrató a NTT Business Solutions Corporation para el mantenimiento y la operación del sistema utilizado en el negocio, se produjo una fuga de información cuando un empleado encargado del mantenimiento y operación del sistema extrajo de manera indebida datos personales de aproximadamente 9.28 millones de clientes o residentes. A ambas compañías se les recomendó tomar las medidas necesarias para corregir la violación del artículo 23 de la Ley de Protección de Información Personal (Japanese Personal Information Protection Act).
En el caso de LINE Yahoo Corporation, un incidente de fuga de datos personales de usuarios, socios comerciales y empleados relacionados con LINE ocurrió cuando un PC utilizado por un empleado de una empresa de seguridad de mantenimiento en Corea, subcontratada por LINE, se infectó con malware, lo que llevó a un acceso no autorizado al sistema de información. Se emitió una recomendación para tomar las medidas necesarias para corregir la violación del artículo 23 de la Ley de Protección de Información Personal (Japanese Personal Information Protection Act), y se solicitó un informe sobre el estado de implementación de las medidas para prevenir la recurrencia, incluyendo una respuesta a la recomendación.
Vigilancia de las Agencias Administrativas y Otros Organismos
Basándose en la Ley de Protección de Información Personal Japonesa, se ha llevado a cabo la vigilancia de agencias administrativas y otros organismos.
Estado del Procesamiento de Informes sobre Casos de Fugas de Información Personal
Como parte de la vigilancia de agencias administrativas y otros organismos, se procesaron 1159 informes sobre casos de fugas de información personal. De estos, 162 informes correspondieron a agencias administrativas nacionales y 997 a entidades públicas locales.
La mayoría de los casos reportados, al igual que el año anterior, involucraron fugas de información personal que incluía datos sensibles (agencias administrativas nacionales: 61.1%, entidades públicas locales: 80.3%), seguido por fugas de información personal que afectaban a más de 100 individuos (agencias administrativas nacionales: 31.5%, entidades públicas locales: 18.8%).
La mayoría de las causas de estos incidentes fueron errores humanos tales como entrega, envío o desecho incorrecto, y pérdida (agencias administrativas nacionales: total 6.8%, entidades públicas locales: total 78.8%), seguido por errores en la configuración de sistemas y otros (agencias administrativas nacionales: 22.8%, entidades públicas locales: 17.7%).
En cuanto al número de personas afectadas por cada incidente, la mayoría involucraba a menos de 1000 personas (agencias administrativas nacionales: 93.2%, entidades públicas locales: 96.7%), y la información filtrada correspondía mayoritariamente a datos de ciudadanos (agencias administrativas nacionales: 78.4%, entidades públicas locales: 91.1%). La forma en que se filtró la información fue principalmente en papel (agencias administrativas nacionales: 58.0%, entidades públicas locales: 76.8%).
Situación de Solicitudes de Documentación, Inspecciones en Sitio, Orientación y Asesoramiento
Para verificar el cumplimiento de las directrices de la Ley de Protección de Información Personal Japonesa y la Ley de Protección de Información Personal (versión para agencias administrativas y otros organismos), se llevaron a cabo 65 inspecciones planificadas en sitio, y se impartieron orientaciones para mejorar el manejo adecuado de la información personal, así como solicitudes de documentación sobre las medidas instruidas.
Además de las inspecciones en sitio, se realizaron 73 acciones de orientación y asesoramiento, como exigir la implementación de medidas para prevenir la reincidencia de deficiencias en las medidas de seguridad de gestión, en respuesta a informes de incidentes de fuga de información personal.
- En el caso del ‘Sistema de Gestión de Negocios de Energía Renovable’ operado por la Agencia de Recursos Energéticos, se descubrió que un distribuidor de electricidad general había utilizado el ID y la contraseña de una cuenta asignada para acceder y utilizar información personal contenida en el sistema.
- En Noboribetsu, Aomori, se perdió una USB que contenía información personal como nombres, fechas de nacimiento, resultados de exámenes de salud y registros de vacunación contra el COVID-19 de la mayoría de los residentes, lo que generó el riesgo de una fuga de información.
- En dos escuelas secundarias supervisadas por la Junta de Educación de Nagano, dos maestros fueron víctimas de fraude de soporte técnico y, siguiendo las instrucciones del estafador, instalaron software de control remoto en sus computadoras de trabajo sin autorización, lo que generó el riesgo de fuga de información personal de estudiantes y personal docente.
En estos casos, se impartieron orientaciones basadas en el Artículo 66, Párrafo 1 de la Ley de Protección de Información Personal Japonesa debido a la respuesta insuficiente a los problemas de seguridad. En los casos de Aomori y Nagasaki, también se solicitaron documentos sobre la implementación de medidas para prevenir la reincidencia.
Resumen: Casos de fuga de información personal alcanzan su máximo desde el inicio de los informes
Desde la reforma del año Reiwa 4 (2022), se ha hecho obligatorio reportar a la Comisión de Protección de Información Personal de Japón. Sin embargo, el número de informes en el año fiscal Reiwa 5 (2023) fue de 12,120 casos, lo que representa un aumento de aproximadamente el 58% en comparación con el año anterior, marcando el número más alto desde que el reporte se convirtió en un deber de diligencia en el año fiscal Heisei 25 (2013).
En cuanto al manejo de información personal, si se comete un error en las medidas y se produce una fuga real, la información se publicará en el sitio web de la Comisión de Protección de Información Personal de Japón de esta manera, lo que puede llevar a dañar la marca de la empresa y a la pérdida de confianza social. Recomendamos consultar con un abogado sobre el manejo y la operación de la información personal para prepararse adecuadamente con antelación.
Medidas de Prevención y Respuesta de Nuestro Despacho
El despacho de abogados Monolith es una firma legal con una amplia experiencia en IT, y en particular en Internet y derecho. En la actualidad, la fuga de información personal se ha convertido en un grave problema. En caso de que se produzca una fuga de información personal, esto puede tener un impacto devastador en las actividades Negocios. Nuestro despacho posee conocimientos especializados en la prevención de fugas de información y en las estrategias de respuesta. Los detalles se encuentran en el artículo a continuación.
Áreas de práctica de Monolith Law Office: Ley de Protección de Información Personal y asuntos legales relacionados[ja]