Kasvamaton henkilötietovuoto, Reiwa 7 (2025) vuonna edellisvuoteen verrattuna 1,5-kertainen. Selitämme viimeisimmät suuntaukset.

Viime vuosina yhä monimutkaistuvat kyberhyökkäykset ja inhimilliset virheet ovat johtaneet henkilötietojen vuotojen lisääntymiseen, mikä on muodostunut yrityksille vakavaksi ongelmaksi. Henkilötietojen vuoto voi aiheuttaa yritykselle mainehaittaa, oikeudenkäyntiriskejä ja jopa toiminnan keskeytymistä.

Tässä artikkelissa käsitellään henkilötietojen vuotojen suuntauksia, jotka käyvät ilmi Japanin henkilötietojen suojaa käsittelevän komission (Personal Information Protection Commission) julkaisemasta Reiwa 5 (2023) vuosiraportista. Käyttäkää tätä artikkelia hyväksenne vahvistaaksenne yrityksenne tietoturvatoimia ja ehkäistäksenne tietovuotoja ennalta.

Henkilötietojen suojavaltuutetun vuosiraportti

Uudistettu henkilötietolaki (jäljempänä “Japanin henkilötietolaki”), joka astui voimaan Reiwa 4 -vuonna (2022), velvoittaa henkilötietojen käsittelijöitä raportoimaan Henkilötietojen suojavaltuutetun toimistolle (PPC) verkkosivuston kautta, mikäli henkilötietojen vuoto tai vastaava tapahtuma ilmenee ja se täyttää tietyt ehdot.

Henkilötietojen suojavaltuutettu julkaisi Reiwa 6 -vuoden (2024) kesäkuussa Reiwa 5 -vuoden (2023) vuosiraportin[ja].

Liittyvä artikkeli: Mitä Reiwa 6 -vuoden (2024) uudistetussa henkilötietolaissa on tärkeää tietää? Muutokset ja toimenpiteet selitettynä[ja]

Henkilötietojen käsittelijöiden valvonta

Reiwa 5 (2023) vuoden aikana tapahtuneiden tietovuotojen ja muiden vastaavien tapausten osalta käsiteltiin 12 120 ilmoitusta, mikä on huomattava kasvu verrattuna edellisvuoden 7 685 tapaukseen. Katsotaanpa nyt tarkemmin, mitä nämä tapaukset pitävät sisällään.

Vuoto- ja muissa tapauksissa käsittelytilanne

Raportoiduista tapauksista 11 635 tapausta (96,0 %) koski tilanteita, joissa vuodettujen henkilöiden määrä oli alle 1000 henkilöä, kun taas yli 50 000 henkilön tietoja vuotaneiden tapausten osuus oli 61 tapausta (0,5 %).

Valiokunnalle suoraan raportoiduissa tapauksissa eniten vuodettiin asiakastietoja (83,5 %), ja kun tarkastellaan vuotojen muotoja, paperimuodossa vuodetut tiedot (82,0 %) olivat yleisempiä kuin pelkästään sähköisessä muodossa vuodetut tiedot (12,2 %).

Henkilötietojen suojaa koskevan Japanin lain (Personal Information Protection Law) ja henkilötietojen suojaa koskevien lakien täytäntöönpanosääntöjen (täytäntöönpanosäännöt) määrittelemien raportointivelvollisuuksien luokittelussa eniten tapauksia liittyi erityistä huomiota vaativien henkilötietojen, kuten sairaushistorian tai etnisen alkuperän, vuotoihin (89,7 %), ja seuraavaksi eniten tapauksia oli mahdollisesti vilpillisessä tarkoituksessa tehtyihin henkilötietojen vuotoihin (8,1 %).

Tällaiseen suuntaukseen vaikuttaneet tekijät ovat, kun otetaan huomioon, että vuotojen ja muiden tapausten yleisimmät syyt olivat ihmisen tekemät virheet, kuten väärin toimitetut, väärin lähetetyt, väärin hävitetyt tai kadonneet tiedot (yhteensä 86,3 %), erityistä huomiota vaativien henkilötietojen sisältävien henkilötietojen vuodot, joissa kyseiset tiedot sisältävät paperimuodossa olevat asiakirjat (esimerkiksi lääketieteellisten laitosten hoitokorvauslaskelmat) olivat yleisiä.

Näiden raporttien perusteella Henkilötietojen suojavaliokunta on tarkistanut, onko asianomaisille henkilöille ilmoitettu asianmukaisesti (Henkilötietojen suojalain 26 pykälän 2 momentti), onko tapahtuman syytä määritelty ja analysoitu asianmukaisesti, ja ovatko toistumisen estämiseksi tehdyt toimenpiteet sopivia tapahtuman syihin nähden. Valiokunta on tarvittaessa tarjonnut tietoa syiden analysointimenetelmistä ja toistumisen estämistoimista.

Raportointi, ohjaus ja neuvonta

Henkilötietojen käsittelijöille on tehty 73 raportointia, 333 ohjausta ja neuvontaa.

Seuraavat tapaukset on nostettu esiin vakavina asioina:

• Yleinen sähkönjakeluyritys oli antanut ryhmäyhtiölleen tai omalle vähittäismyyntiyksikölleen pääsyn uusien sähköasiakkaiden tietoihin ja näitä tietoja oli käytetty hyväksi.
• Japanin Energia- ja luonnonvaravirasto hallinnoi “Uusiutuvan energian liiketoiminnan hallintajärjestelmää”, jossa yleinen sähkönjakeluyritys oli antanut vähittäismyyntiyksikölleen käyttöoikeudet, ja nämä olivat käyttäneet järjestelmässä olevia henkilötietoja.
• Toyota Motor Corporation oli ulkoistanut henkilökohtaisten ajoneuvotietojen käsittelyn tytäryhtiölleen Toyota Connected Corporationille, jonka hallinnoimassa palvelimessa oli havaittu ulkopuolisen pääsyn mahdollistava tietovuoto.
• Kansallisen sairaalalaitoksen (National Hospital Organization), joka on Japanin Anonyymien lääketieteellisten tietojen käsittelyä koskevan lain (2017年法律第28号) mukainen lääketieteellisten tietojen käsittelijä, oli vuotanut potilastietoja.
• Kolme opt-out-ilmoituksen tehnyttä yritystä oli rikkonut henkilötietolakia.
• NTT DOCOMO Inc. oli ulkoistanut asiakastietojen hallinnan telemarkkinointia varten NTT NEXIA Inc.:lle, jonka lähettämä työntekijä oli luvatta ladannut noin 5,96 miljoonan henkilön tiedot pilvipalveluun työkäyttöön tarkoitetulta PC:ltä, mikä aiheutti tietovuodon riskin.
• Yoyogi Seminar Co., Ltd., joka hallinnoi keskiasteen oppilaitoksia, oli kohdannut tapauksen, jossa opettaja oli työaikanaan käyttänyt oppilaitoksen hallinnoimia henkilötietoja, ottanut kuvia ja videoita alaikäisistä oppilaista, tallentanut tiedot henkilökohtaiseen älypuhelimeensa ja julkaissut kuuden oppilaan tiedot omalla sosiaalisen median tilillään.
• MK System Co., Ltd.:n palvelin oli joutunut luvattoman käytön kohteeksi, ja ransomware oli salannut järjestelmässä hallinnoituja henkilötietoja, mikä aiheutti tietovuodon riskin.
• Yahoo! Auctions -sivustolla tietyillä tuotesivuilla oli mahdollista nähdä myyjän GUID (sisäinen tunniste), jos syötti tietyn komennon, mikä mahdollisti henkilötietojen vuotamisen kolmansille osapuolille.

Näihin tapauksiin on puututtu henkilötietolain 23 artiklan mukaisesti, ja joissakin tapauksissa on vaadittu raporttia toimenpiteistä uusien vuotojen estämiseksi.

Suositusten tilanne

Kolme suositusta on annettu henkilötietojen käsittelyä harjoittaville yrityksille ja muille vastaaville tahoille. Alla on tiivistelmä näistä tapauksista.

Yksityisen sektorin yrityksille, itsenäisille hallintoviranomaisille ja paikallisille julkisoikeudellisille yhteisöille alihankintana toimineen osakeyhtiö NTT Marketing Act ProCX:n call center -liiketoiminnassa käytettyjen järjestelmien ylläpitoa ja käyttöä oli alihankittu NTT Business Solutions osakeyhtiölle. Kyseisen yhtiön palveluksessa ollut henkilö, joka työskenteli järjestelmän ylläpidossa ja käytössä, vei luvattomasti noin 9,28 miljoonan asiakkaan tai asukkaan henkilötiedot, mikä johti tietovuotoon. Tässä tapauksessa molemmille yhtiöille annettiin suositus, jossa vaadittiin henkilötietolain (Japanese Personal Information Protection Act) 23 artiklan määräysten rikkomisen korjaamiseksi tarvittavien toimenpiteiden toteuttamista.

LINE Yahoo osakeyhtiössä tapahtui tietovuoto, kun alihankkijana toimineen eteläkorealaisen tietoturvaylläpitoyrityksen työntekijän käyttämä tietokone oli saanut haittaohjelmatartunnan, mikä johti luvattomaan pääsyyn tietojärjestelmiin. Tämän seurauksena vuoti henkilötietoja, jotka liittyivät LINE:n käyttäjiin, yhteistyökumppaneihin ja työntekijöihin. Tässä tapauksessa annettiin suositus, jossa vaadittiin henkilötietolain 23 artiklan määräysten rikkomisen korjaamiseksi tarvittavien toimenpiteiden toteuttamista sekä raportoimaan suosituksen noudattamisen ja toistumisen estotoimien toteutumisen tilanteesta.

Valvonta hallintoelimiä ja vastaavia kohtaan

Henkilötietojen suojaa koskevan Japanin lainsäädännön mukaisesti valvontaa on suoritettu myös hallintoelimiä ja vastaavia kohtaan.

Henkilötietojen vuotoja ja vastaavia tapauksia koskevien ilmoitusten käsittelytilanne

Hallintoelimiä ja vastaavia kohtaan suoritetun valvonnan yhteydessä käsiteltiin 1159 ilmoitusta henkilötietojen vuodoista ja vastaavista tapauksista. Näistä ilmoituksista 162 oli kansallisten hallintoelinten ja 997 paikallishallinnon yksiköiden tekemiä.

Ilmoitetuista tapauksista suurin osa oli edellisvuoden tapaan arkaluonteisten henkilötietojen vuotoja (kansalliset hallintoelimet: 61.1 %, paikallishallinnon yksiköt: 80.3 %), ja seuraavaksi yleisimpiä olivat yli 100 henkilön henkilötietojen vuodot (kansalliset hallintoelimet: 31.5 %, paikallishallinnon yksiköt: 18.8 %).

Yleisimmät syyt tapahtumiin olivat niin sanotut inhimilliset virheet, kuten väärin toimitetut, väärin lähetetyt, väärin hävitetyt tai kadonneet tiedot (kansalliset hallintoelimet: yhteensä 6.8 %, paikallishallinnon yksiköt: yhteensä 78.8 %), ja seuraavaksi yleisimpiä olivat järjestelmän virheelliset asetukset ja muut vastaavat syyt (kansalliset hallintoelimet: 22.8 %, paikallishallinnon yksiköt: 17.7 %).

Yksittäisissä tapauksissa vuodettujen henkilötietojen määrä oli useimmiten alle tuhat henkilöä (kansalliset hallintoelimet: 93.2 %, paikallishallinnon yksiköt: 96.7 %), ja vuodetut tiedot koskivat useimmiten kansalaisia (kansalliset hallintoelimet: 78.4 %, paikallishallinnon yksiköt: 91.1 %). Vuodettujen tietojen muodossa paperimuotoiset tiedot olivat yleisimpiä (kansalliset hallintoelimet: 58.0 %, paikallishallinnon yksiköt: 76.8 %).

Dokumenttien toimittamisen pyynnöt, paikan päällä tehtävät tarkastukset sekä ohjeistus ja neuvonta

Henkilötietojen suojaa koskevan Japanin lainsäädännön sekä hallintoelimiä ja vastaavia koskevien ohjeiden noudattamisen varmistamiseksi suoritettiin 65 suunniteltua paikan päällä tehtävää tarkastusta, ja henkilötietojen asianmukaisen käsittelyn parantamiseksi annettiin ohjeistusta ja pyydettiin raportoimaan ohjeistettujen asioiden toteutuksesta.

Paikan päällä tehtyjen tarkastusten lisäksi annettiin 73 ohjeistusta ja neuvontaa, jotka liittyivät puutteellisiin turvatoimiin ja niiden parantamiseen henkilötietojen vuotojen ja vastaavien tapausten ilmoittamisen yhteydessä. Merkittäviä tapauksia olivat muun muassa seuraavat:

• Japanin Energia- ja luonnonvaratoimiston hallinnoiman uusiutuvan energian liiketoiminnan hallintajärjestelmän osalta tapaus, jossa yleisen jakeluverkon operaattoreille jaettuja käyttäjätunnuksia ja salasanoja käytti hyväkseen liittyvä vähittäismyyntisähköyhtiö henkilötietojen katseluun ja käyttöön järjestelmässä.
• Noheji-kaupungissa, Aomorin prefektuurissa, tapaus, jossa USB-muistitikku, joka sisälsi suurimman osan kaupungin asukkaiden nimiä, syntymäaikoja, terveystarkastustuloksia ja COVID-19-rokotushistoriaa, katosi ja aiheutti tietovuodon riskin.
• Naganon prefektuurin koulutuskomitean alaisuudessa olevien kahden lukion kahden opettajan tapaus, jossa he joutuivat tukihuijauksen kohteeksi ja asensivat koulun tietokoneisiin luvatta etäkäyttöohjelmiston huijareiden ohjeiden mukaisesti, mikä aiheutti riskin oppilaiden ja henkilökunnan henkilötietojen vuotamisesta.

Näihin tapauksiin on puututtu henkilötietojen suojaa koskevan Japanin lainsäädännön 66 artiklan 1 momentin mukaisesti, ja Aomorin ja Nagasakin prefektuurien tapauksissa on pyydetty toimenpiteiden toteutumista koskevia dokumentteja.

Yhteenveto: Henkilötietojen vuotojen määrä on ennätyksellisen korkea

Reiwa 4 (2022) vuoden tietosuojalain uudistuksen jälkeen henkilötietojen vuotojen raportointi on tullut pakolliseksi Japanin Henkilötietojen Suojelukomissiolle. Reiwa 5 (2023) vuoden raportoitujen tapausten määrä, 12 120, on noin 58 % suurempi kuin edellisenä vuonna ja on suurin määrä sitten Heisei 25 (2013) vuoden, jolloin raportointi muuttui yrityksille velvollisuudeksi.

Henkilötietojen käsittelyssä virheiden seurauksena tapahtunut vuoto johtaa siihen, että tapaus julkaistaan Japanin Henkilötietojen Suojelukomission verkkosivustolla. Tämä voi vahingoittaa yrityksen brändiä ja johtaa yhteiskunnallisen luottamuksen menetykseen. Suosittelemme, että konsultoitte asianajajaa henkilötietojen käsittelyssä ja hallinnassa, jotta voitte ennaltaehkäistä mahdolliset ongelmat.

Toimenpiteemme teidän turvallisuutenne takaamiseksi

Monolith Lakitoimisto on IT-alan, erityisesti internetin ja oikeudellisten kysymysten, rikkaan kokemuksen omaava lakitoimisto. Nykyään henkilötietojen vuotaminen on muodostunut merkittäväksi ongelmaksi. Mikäli henkilötietoja vuotaa, se voi aiheuttaa yritystoiminnalle kohtalokkaita seurauksia. Meillä on erikoisosaamista tietovuotojen ehkäisemisessä ja niiden hallinnassa. Alla olevassa artikkelissa kerromme asiasta tarkemmin.

Monolith Lakitoimiston palvelualueet: Henkilötietojen suojaa koskeva lainsäädäntö[ja]