Magyar English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_hu/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hétköznapokon 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Crisis management and the role of lawyers learned from the case of Tōken Corp, where 650,000 pieces of information were leaked

Crisis management and the role of lawyers learned from the case of Tōken Corp, where 650,000 pieces of information were leaked

General Corporate

Crisis management and the role of lawyers learned from the case of Tōken Corp, where 650,000 pieces of information were leaked

2005. április 1-jén (2005) teljes mértékben hatályba lépett a Japán Személyes Adatvédelmi Törvény, és azok a vállalkozások, amelyek személyes adatokat kezelnek, kötelesek biztonsági intézkedéseket tenni. Ennek ellenére a személyes adatok szivárgásának esetei nem szűnnek meg.

Információszivárgás esetén különösen fontos a kezelési eljárás és a gyorsaság. Különösen a kis- és középvállalkozásoknál, ahol nincs információbiztonsági szakember, előfordulhat, hogy nem tudják azonnal eldönteni, hogyan kell reagálni.

Ezért most a Tōken Corporation információszivárgási esetének kezelését alapul véve magyarázzuk el az információszivárgás kezelésének válságkezelési rendszerét.

Információszivárgás áttekintése

A Tóken Corporationnál történt jogosulatlan hozzáférésből eredő információszivárgás főbb jellemzői a következők:

  • Időpont: 2020. augusztus 20-tól szeptember 12-ig tartó 24 nap
  • Felfedezés: 2020. október 20.
  • Ok: A csoport honlapjáról történt jogosulatlan hozzáférés egy harmadik fél által a különböző felhasználói információkat tároló szerverhez
  • Érintettek: A csoport vállalatainak weboldalára kérdéseket intézők, tagok, különböző kampányokra jelentkezők
  • Információ: “E-mail cím”, “név”, “lakcím”, “telefonszám”, “jelszó”, “nem”, “születési dátum” stb.
  • Esetek száma: Az információszivárgás lehetősége 657 096 személyes adatot érint

Tisztességtelen hozzáférés felfedezése és az elsődleges reagálás

2020. október 20-án a Tōken Corporation felfedezte a tisztességtelen hozzáférési kísérletet a “Nasurak Kitchen” nevű weboldalukon, amikor a weboldaluk rendszeres ellenőrzését végezték. Az alábbi elsődleges intézkedéseket hajtották végre:

  • Sürgősségi biztonsági intézkedésként lezárták a “Nasurak Kitchen” weboldalt, és leállították az oldalról nyújtott szolgáltatásokat.
  • Létrehoztak egy “Információbiztonsági Intézkedések Központját” és konzultáltak külső harmadik fél szervezetekkel.
  • November 11-ig a csoport összes weboldalát átvizsgálták, ideiglenes sebezhetőségi javításokat hajtottak végre, és meghatározták a legnagyobb számú szivárgási eseteket és elemeket.

Az elsődleges reagálás kulcspontjai

Ha a tisztességtelen hozzáférés által okozott információszivárgás veszélyét megerősítik, azonnal a következő intézkedéseket kell végrehajtani a károk további terjedésének, a másodlagos károk bekövetkezésének és az újbóli előfordulásának megelőzése érdekében:

  • A tények megerősítése (a tisztességtelen hozzáférés okai, útvonalai stb.)
  • A tisztességtelen hozzáférés által érintett eszközök vagy weboldalak leállítása
  • A tisztességtelen hozzáférés által érintett eszközök vagy weboldalak leválasztása a hálózatról

Fontos, hogy ebben a szakaszban ne végezzünk meggondolatlan műveleteket, és ne töröljük a rendszeren maradt bizonyítékokat, hanem tegyünk lépéseket a bizonyítékok megőrzése érdekében.

Sajtóközlemény az információszivárgás felfedezése után

Az első bejelentés 2020. november 17-én történt a Tóken Corporation honlapján.

A bejelentés tartalmazta a jogosulatlan hozzáférés részleteit és a jövőbeni intézkedéseket, valamint a “Kérdések és válaszok a jogosulatlan hozzáférésből eredő információszivárgásról” formájában a szükséges információkat nagyon részletesen ismertették.

A Tóken Corporation és a csoportunkhoz tartozó vállalatok (a továbbiakban: csoportunk) 2020. október 20-án megerősítették, hogy csoportunk hálózatát harmadik fél jogosulatlanul használta, és lehetséges, hogy a csoportunk által üzemeltetett HomeMate felé irányuló megkeresések, a csoport vállalatainak tagjainak információi és a különböző kampányokra jelentkezők adatai kiszivárogtak.

Információ a jogosulatlan hozzáférésből eredő személyes adatok szivárgásáról[ja]

A fenti weboldalon található linken, a “Kérdések és válaszok a jogosulatlan hozzáférésből eredő információszivárgásról”[ja] a következő tartalmak találhatók.

A szivárgott információk tartalmáról

Q Milyen információk szivárogtak ki ez alkalommal?
A A cégünk által üzemeltetett összes weboldal, beleértve a csoportvállalatainkat is, esetében úgy gondoljuk, hogy a ‘név’, ‘cím’, ‘telefonszám’, ‘e-mail cím’ és a ‘jelszó’ szivárgott ki.

Q Kiszivárgott a hitelkártya információ?
A A cégünk és a csoportvállalataink által üzemeltetett oldalakon nem tárolunk olyan személyes azonosító információkat, mint a hitelkártya szám vagy a My Number (japán személyazonosító szám), így nincs veszélyben a kiszivárgásuk.

A szivárgott információkra vonatkozó magyarázatban, ha a ① kiszivárgásra hajlamos információkat és a ② kiszivárgás veszélye nélküli információkat külön-külön és konkrétan jelöljük meg, elkerülhető a felesleges aggodalom és zavar.

A jövőbeli intézkedésekről

Q Biztonságosan használhatom továbbra is a Tóken csoport vállalatainak weboldalait?
A A csoport vállalatait is magában foglaló, általunk üzemeltetett összes weboldal esetében már befejeztük a biztonsági erősítést a hasonló jogosulatlan hozzáférések ellen.

Q Milyen információkezelési gyakorlatot terveznek a jövőben?
A A jövőben szükség esetén harmadik fél vizsgáló szervezetének ellenőrzését is igénybe vesszük, és ha a weboldalon bármilyen sebezhetőséget találnánk, azonnal orvosoljuk azt, és még szigorúbb információkezelési gyakorlatot fogunk folytatni.

A jövőbeli intézkedések során fontos, hogy alaposan tájékoztassuk a felhasználókat a weboldalak biztonsági intézkedéseiről, az újrafelhasználás lehetőségéről, valamint a jövőbeli információkezelési rendszerről.

Kártérítés és egyéb kérdések-válaszok

Q Fizetnek-e bocsánatkérő összeget vagy kárpótlást az információszivárgás áldozatainak?
A Az illegális hozzáférésből származó szivárgott információk alapján nincs tervben bocsánatkérő összeg vagy kárpótlás fizetése. Azonban, ha az információszivárgás miatt pénzügyi kára keletkezett az ügyfeleinknek, és konkrét bizonyítékot tudnak bemutatni, kérjük, forduljanak a cégünk ‘Személyes Adatokkal Kapcsolatos Tanácsadó Irodájához’.

Q Van egy könyvelési tétel, amire nem emlékszem. Kaphatok kártérítést?
A Ha az Ön által birtokolt számláról olyan könyvelési tétel került levonásra, amire nem emlékszik, kérjük, forduljon közvetlenül a levonást végrehajtó céghez. Ha azonban bebizonyosodik, hogy az információszivárgás okozta a nem emlékezett levonást, kérjük, értesítse cégünk ‘Személyes Adatokkal Kapcsolatos Tanácsadó Irodáját’.

Nem fizetünk bocsánatkérő összeget vagy kárpótlást, de ha az információszivárgás miatt pénzügyi kár keletkezik, a kártérítést egyedi alapon tárgyaljuk meg, és ezt a vállalati politikánkat egyértelműen meghatározzuk.

Kétségek maradtak az első sajtóközlemény időzítésével kapcsolatban

A vállalatok válságkezelése során elsődlegesen a “károk kiterjedésének”, a “másodlagos károk bekövetkezésének” és a “megismétlődés megelőzésének” kell szem előtt tartaniuk.

Ezért, ha információszivárgás történik, fontos, hogy a kezdeti válaszlépéseket követően minél hamarabb értesítsük az érintetteket.

A Tōken Corporation Q&A-ja széles körben válaszol a várható kérdésekre, és láthatóan alaposan előkészítették jogászok és más szakértők bevonásával. Azonban kérdések merülnek fel a jogosulatlan hozzáférés felfedezése után körülbelül egy hónappal később történt közzététellel kapcsolatban.

Biztosan a vállalatok szeretnének először vizsgálatokat végezni és intézkedéseket hozni a közzététel előtt, de nem lett volna-e az alábbi négy pontot korábban kellene közzétenni az első jelentésként?

  • Az információszivárgás felfedezése és a várható érintettek
  • Az elszivárgott személyes adatok tartalma
  • A hitelinformációk, mint például a kártyaszámok szivárgásának lehetősége nincs
  • A jövőbeni struktúra és ütemterv
  • Kapcsolattartási pont

Értesítés, jelentés és közzététel szempontjai

Amikor információ szivárog ki, fontos megfontolni a felhasználók, ügyfelek stb. felé történő értesítést, a felügyeleti hatóságok és a rendőrség felé történő bejelentést, valamint a honlapon és a médiában történő közzétételt, attól függően, hogy mi volt a szivárgás oka és milyen információ szivárgott ki.

Ha bűncselekmény gyanúja áll fenn

Ha a jogosulatlan hozzáférés bűncselekmény gyanúját veti fel, akkor a tények kivizsgálása és a bizonyítékok megőrzése után haladéktalanul jelenteni kell a rendőrségnek.

A Tōken Corporation esetében a csoport összes weboldalának vizsgálata után a következő napon jelentést tettek a károkról a hatóságoknak, mint például a Japán Földrajzi és Közlekedési Minisztérium (Japanese Ministry of Land, Infrastructure, Transport and Tourism) és az Aichi Prefektúra Rendőrségi Főkapitányság (Aichi Prefectural Police Headquarters).

Ha fennáll a személyes hitelinformációk kiszivárgásának lehetősége

Ha fennáll a lehetősége annak, hogy olyan adatok szivárognak ki, mint a személyi szám (My Number), a hitelkártya szám, a bankszámla, az ID és a jelszó, akkor haladéktalanul értesíteni kell az érintett személyt, és felszólítani őt ezek leállítására, hogy megelőzzük a további károkat.

Ha a méret vagy a hatókör nagy, vagy ha minden érintett személynek történő egyéni értesítés nehézkes

Információkat teszünk közzé a honlapon, vagy sajtótájékoztatón. Azonban, ha a közzététel további károkat okozhat, fontos megfontolni a közzététel időzítését és a célcsoportot.

Továbbá, a közzététel során fontos a transzparencia biztosítása és a tények lehető legteljesebb közzététele, mivel ez hozzájárul a vállalat hitelességéhez, valamint a károk további terjedésének és hasonló esetek megelőzésének megakadályozásához.

A második sajtóközlemény közzététele

A Tōken Corporation (Japán Tōken Corporation) 2021. február 9-én, az év kezdetét követően, közzétette honlapján a személyes adatok szivárgásáról szóló második jelentést, amelyben módosította a szivárgásra került elemeket és az esetek számát.

Egy harmadik fél által végzett forenzikai vizsgálat eredményeként újra megvizsgáltuk a szivárgásra került elemeket, és néhány eltérést találtunk, ezért kérjük, hogy ismét ellenőrizze az 1. mellékletben található “Elemek webhelyenként és szolgáltatásonként” című részt. (…) Továbbá a szivárgásra került esetek száma a korábbi maximum 657 096-ról maximum 655 488-ra csökkent.

A tartalom alapvetően megegyezik az első sajtóközleményével, kivéve a fent említett módosításokat, és néhány új elemet, mint például a spam és gyanús e-mailek kezelésének módja. Ez volt az utolsó közzététel ebben a témában.

Az intézkedési központ, mint a válságkezelés központja

A Tōken Corporation a jogosulatlan hozzáférés felfedezése után létrehozta az “Információbiztonsági Központot”, és együttműködik külső harmadik fél szervezetekkel és a rendőrséggel, hogy megakadályozza az ilyen események ismétlődését.

A szervezet felépítése nem ismert, de nem csak a rendszer biztonsági intézkedéseire van szükség, hanem a célcsoporttal való kommunikációra, a médiakezelésre, a részvényesi kapcsolatokra, a jogi felelősség megvizsgálására is, ezért általában szükség van a következő külső harmadik fél szervezetek és szakértők részvételére:

  • Nagy szoftvervállalatok
  • Nagy biztonsági szakértői cégek
  • Külső ügyvédek, akik mélyen ismerik a kiberbiztonságot

Összefoglalás

Ahogy ez alkalommal is láthattuk, amikor több mint 650 ezer személyes adat szivárgott ki, a “kezdeti reakció”, a “értesítés, jelentés és nyilvánosságra hozatal”, valamint a “biztonsági intézkedések” központi szerepet játszanak.

Különösen gyorsaság szükséges nem csak a kezdeti reakcióban, hanem a rendőrség és más kapcsolódó hatóságok felé történő értesítésben és jelentésben, valamint az érintettek felé történő nyilvánosságra hozatalban (sajtóközlemény).

Ugyanakkor, ha rosszul kezeljük a helyzetet, akkor kártérítési felelősséggel is szembe kell néznünk, ezért javasoljuk, hogy ne hozzon önálló döntéseket, hanem konzultáljon előzetesen egy olyan ügyvéddel, aki rendelkezik gazdag tapasztalattal és tudással a kiberbiztonság területén.

Ha érdekli a Capcom malware által okozott információszivárgás kezelése, olvassa el a részletes cikkünket erről a témáról.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Intézkedéseink bemutatása irodánk részéről

A Monolis Jogi Iroda egy olyan jogi iroda, amely magas szakmai szinten rendelkezik az IT, különösen az internet és a jog területén. Irodánkban a tokiói tőzsde prémium kategóriájú vállalataitól a startup vállalkozásokig különböző ügyekben készítünk és felülvizsgálunk szerződéseket. Ha bármilyen problémája van, kérjük, olvassa el az alábbi cikket.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Milyen mértékig elfogadhatók az interneten kínált termékek? Magyarázat a 'japán Ajándéktárgyak Megjelenítésének Törvénye' által meghatározott szabályozásra

Milyen mértékig elfogadhatók az interneten kínált termékek? Magyarázat a 'japán Ajándéktárgyak M.

General Corporate

Cégeknek milyen munkaügyi szabályzatot kellene felülvizsgálniuk, ha elfogadják a mellékállás rendszerét

Cégeknek milyen munkaügyi szabályzatot kellene felülvizsgálniuk, ha elfogadják a mellékállás ren.

General Corporate

Az orvosi hirdetések szabályozásában tiltott tapasztalati beszámolók és előtte-utána fotók részletes magyarázata

Az orvosi hirdetések szabályozásában tiltott tapasztalati beszámolók és előtte-utána fotók részl.

General Corporate

Mik a J-KISS által ajánlott befektetési szerződések ellenőrzési pontjai?

Mik a J-KISS által ajánlott befektetési szerződések ellenőrzési pontjai?

General Corporate

Csempészett jegyeken kívül más átadások is illegálisak? Milyen konkrét intézkedéseket tehetnek a vállalatok a károk megelőzése érdekében?

Csempészett jegyeken kívül más átadások is illegálisak? Milyen konkrét intézkedéseket tehetnek a.

General Corporate

Mi az a nemzetközi választottbíráskodás? Ismertetjük azokat a dolgokat, amelyeket tudni érdemes, ha vitába keveredünk

Mi az a nemzetközi választottbíráskodás? Ismertetjük azokat a dolgokat, amelyeket tudni érdemes,.

General Corporate

A 'Venture befektetési szerződésekben kibocsátott részvényfajták és azok tartalma

A 'Venture befektetési szerződésekben kibocsátott részvényfajták és azok tartalma

General Corporate

Cégek által alkalmazandó adminisztratív válaszlépések személyes adatok szivárgása esetén: Egy magyarázat

Cégek által alkalmazandó adminisztratív válaszlépések személyes adatok szivárgása esetén: Egy ma.

General Corporate

Az Európai Unió jogi rendszerének kulcsfontosságú pontjai – Kötelező olvasmány az Európába terjeszkedő vállalatok számára

Az Európai Unió jogi rendszerének kulcsfontosságú pontjai – Kötelező olvasmány az Európába terje.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Vissza a tetejére