Az egyre növekvő személyes adatok szivárgása, a Reiwa 5 (2023) évben 1,5-szerese az előző évinek. A legfrissebb trendek magyarázata

Az utóbbi években növekszik a kifinomult kibertámadások és az emberi hibákból eredő személyes adatok szivárgásának száma, ami komoly kihívást jelent a vállalatok számára. A személyes adatok szivárgása jelentős károkat okozhat a vállalatoknak, mint például hírnevük csorbulása, pereskedési kockázatok és akár a tevékenységük felfüggesztése is.

Ebben a cikkben a Japán Személyes Adatvédelmi Bizottság által közzétett Reiwa 5 (2023) évi éves jelentés alapján ismertetjük a személyes adatok szivárgásával kapcsolatos esetek tendenciáit. Használja ezt a cikket referenciaként, hogy megerősítse vállalata információbiztonsági intézkedéseit és megelőzze a szivárgási kockázatokat.

A Személyes Adatvédelmi Bizottság éves jelentése

A módosított Japán Személyes Adatvédelmi Törvény (2022) áprilisában lépett hatályba, amely előírja, hogy ha egy személyes adatokat kezelő vállalkozásnál adatvédelmi incidens történik, és az megfelel bizonyos feltételeknek, akkor kötelező jelentést tenni a Személyes Adatvédelmi Bizottság (PPC) weboldalán keresztül.

A Személyes Adatvédelmi Bizottság 2024 (Reiwa 6) júniusában tette közzé a 2023-as (Reiwa 5) éves jelentését[ja].

Kapcsolódó cikk: A 2024-es (Reiwa 6) módosított Személyes Adatvédelmi Törvény főbb pontjai – Ismerje meg a változásokat és a teendőket[ja]

A személyes adatok kezelésével foglalkozó vállalkozások felügyelete

A Reiwa 5 (2023) évben a szivárgásokkal és hasonló esetekkel kapcsolatban összesen 12,120 jelentést kezeltek, ami jelentős növekedést jelent az előző évi 7,685 esethez képest. Nézzük meg részletesen, hogy milyen tartalmakról van szó.

Szivárgási és hasonló esetek kezelési helyzete

A bejelentett esetek közül, ahol személyes adatok szivárogtak ki, 1000 főnél kevesebb érintett volt 11 635 esetben (96,0%), míg az 50 000 főt meghaladó esetek aránya 61 eset volt (0,5%).

A bizottságnak közvetlenül bejelentett esetekben a szivárgott információk típusa közül a vevői információk voltak a leggyakoribbak (83,5%), és ha a formátum szerint nézzük, a papíralapú adathordozókon keresztül történt szivárgások (82,0%) voltak többségben az elektronikus adathordozókon keresztül történt szivárgásokhoz (12,2%) képest.

A személyes adatok védelméről szóló törvény és a személyes adatok védelméről szóló törvény végrehajtási rendelete (végrehajtási rendelet) által meghatározott jelentési kötelezettség típusai szerinti besorolásban a legtöbbet a különös figyelmet igénylő személyes adatok, mint például az egészségügyi adatok vagy etnikai hovatartozás szivárgása tette ki (89,7%), ezt követte az illetéktelen hozzáférés vagy más jogellenes célból történt személyes adatok szivárgása (8,1%).

Ez a tendencia részben annak köszönhető, hogy a szivárgási esetek leggyakoribb okai az úgynevezett emberi hibák voltak, mint például téves kézbesítés, téves küldeményezés, helytelen megsemmisítés és elvesztés (összesen 86,3%). Figyelembe véve, hogy a különös figyelmet igénylő személyes adatokat tartalmazó esetekben, még ha csak egyetlen személy adatai is érintettek, jelentési kötelezettség áll fenn, valószínűsíthető, hogy a papíralapú adathordozókon (például egészségügyi intézményekben használt kezelési díjszabások) történt téves kézbesítések miatt voltak gyakoriak a szivárgási esetek.

Ezekre a jelentésekre reagálva a Személyes Adatok Védelméért Felelős Bizottság ellenőrizte, hogy a személyeknek történő értesítés (a személyes adatok védelméről szóló törvény 26. cikk (2) bekezdése) megfelelően történt-e, hogy a keletkezési okokat megfelelően azonosították és elemezték-e, és hogy a megelőző intézkedések a keletkezési okokra megfelelően reagálnak-e, valamint a végrehajtási rendelet által előírt jelentési kötelezettségek tartalmát ellenőrizte, és szükség esetén információkat nyújtott az okok elemzésére és a megelőző stratégiák kidolgozására vonatkozóan.

Jelentések beszedése, irányítás és tanácsadás helyzete

A személyes adatok kezelésével foglalkozó vállalkozásokkal szemben 73 jelentés beszedése, 333 irányítási és tanácsadási esemény történt.

A súlyos esetek között a következők emelhetők ki:

• Egy általános villamosenergia-szolgáltató által birtokolt új villamosenergia-ügyfelek adatait egy csoportvállalat vagy ugyanazon vállalat kiskereskedelmi részlege, a kapcsolódó kiskereskedelmi villamosenergia-szolgáltató használta fel és tekintette meg.
• A Japán Erőforrás- és Energiaügynökség által kezelt “Megújuló Energia Üzleti Menedzsment Rendszer” esetében egy általános villamosenergia-szolgáltatóhoz rendelt fiók azonosítója és jelszava a kapcsolódó kiskereskedelmi villamosenergia-szolgáltató által használatra került, aki a rendszeren belül megtekintette és felhasználta a birtokolt személyes adatokat.
• A Toyota Motor Corporation egy leányvállalatának, a Toyota Connected Corporation-nak bízta a járműhasználók szolgáltatásával kapcsolatos személyes adatok kezelését, ahol a vállalat által kezelt szerveren lévő személyes adatok külső személyek számára is hozzáférhetővé váltak, ami adatszivárgáshoz vezetett.
• Az orvosi kutatás és fejlesztés elősegítésére szolgáló anonimizált orvosi információkról szóló törvény (2017. évi törvény 28. szám) alapján az orvosi információkat kezelő vállalkozó, a Nemzeti Kórházi Szervezet egy beteg orvosi adatait szivárogtatta ki.
• Három opt-out bejelentési vállalkozás megsértette a személyes adatok védelméről szóló törvény előírásait.
• A NTT DOCOMO Inc. a NTT NEXIA Inc.-nek bízta a telefonos értékesítési ügyfelek adatainak kezelését, ahol a NEXIA egyik kölcsönzött alkalmazottja a munkához használt PC-ről engedély nélkül lépett be egy személyes felhőszolgáltatásba, és összesen körülbelül 5,96 millió személyes adatot töltött fel a felhőszolgáltatásra, ami külső szivárgást és adatvesztés kockázatát okozta.
• A Yotsuya Otsuka Co., Ltd. által üzemeltetett középiskolai előkészítő tanfolyam egyik tanára munkavégzés közben keresett rá és tekintette meg a tanulók személyes adatait, majd a saját okostelefonjára mentette le a kisiskolás gyerekek fényképeit és videóit, és hat gyermek személyes adatait közzétette a saját közösségi média fiókján, ami adatszivárgást okozott.
• A MK System Co., Ltd. szervere jogosulatlan hozzáférést szenvedett, és a ransomware által titkosították a rendszeren kezelt személyes adatokat, ami adatszivárgás kockázatát eredményezte.
• A “Yahoo! Auctions” egyes termékoldalain, bizonyos parancsok vagy más bevitel esetén az aukció kiíróinak GUID-ja (belső azonosító) megjelenítésre került, ami lehetővé tette a GUID harmadik fél általi megtekintését, és így személyes adatok szivárgásának kockázatát okozta.

Ezekre az esetekre a személyes adatok védelméről szóló törvény 23. cikkének alapján irányítás történt, és egyes esetekben a megelőző intézkedések végrehajtásának jelentését is kérték.

Ajánlások helyzete

Három ajánlást tettek a személyes adatok kezelésével foglalkozó vállalkozások számára. Az alábbiakban a helyzet összefoglalása található.

Az NTT Marketing Act ProCX Co., Ltd. által végzett call center üzletágban, amelyet magánvállalkozások, független közigazgatási szervek és helyi önkormányzatok bíztak meg, az NTT Business Solutions Co., Ltd. egy olyan alkalmazottja, aki a rendszer karbantartásával és üzemeltetésével foglalkozott, jogellenesen kivitt körülbelül 9,28 millió ügyfél és lakos személyes adatait, ami adatszivárgáshoz vezetett. Mindkét vállalatot felszólították, hogy tegyenek meg minden szükséges intézkedést a személyes adatok védelméről szóló törvény (Japanese Personal Information Protection Act) 23. cikkének megsértésének kijavítására.

A LINE Yahoo Japan Corporation esetében egy dél-koreai biztonsági karbantartó vállalat alkalmazottja által használt, munkához kapcsolódó számítógép malware fertőzése vezetett az információs rendszer jogosulatlan hozzáféréséhez, ami a LINE felhasználók, üzleti partnerek és alkalmazottak személyes adatainak szivárgásához vezetett. Az esetben az ajánlás arra szólította fel a vállalatot, hogy tegyen meg minden szükséges intézkedést a személyes adatok védelméről szóló törvény 23. cikkének megsértésének kijavítására, és jelentést kértek az ajánlásnak megfelelő javítási intézkedések, beleértve a megelőző intézkedések végrehajtásának helyzetét is.

Az állami szervek felügyelete

A személyes adatok védelméről szóló japán törvény (Japanese Personal Information Protection Law) alapján az állami szervek felügyelete is megvalósult.

A birtokolt személyes adatok szivárgásával kapcsolatos esetek jelentésének feldolgozási helyzete

Az állami szervek felügyelete keretében 1159 esetben történt meg a birtokolt személyes adatok szivárgásával kapcsolatos jelentések feldolgozása. Ezen belül a nemzeti állami szervek által tett jelentések száma 162, a helyi önkormányzatoké 997 volt.

A jelentett esetek többsége, hasonlóan az előző évihez, a különös figyelmet igénylő személyes adatok szivárgását érintette (nemzeti állami szervek: 61.1%, helyi önkormányzatok: 80.3%), ezt követte a 100 főt meghaladó személyes adatok szivárgása (nemzeti állami szervek: 31.5%, helyi önkormányzatok: 18.8%).

A szivárgások leggyakoribb okai az úgynevezett emberi hibák voltak, mint például téves kézbesítés, téves küldemény, helytelen megsemmisítés, elvesztés (nemzeti állami szervek: összesen 6.8%, helyi önkormányzatok: összesen 78.8%), ezt követte a rendszerek téves beállítása és egyéb okok (nemzeti állami szervek: 22.8%, helyi önkormányzatok: 17.7%).

Az egyes esetekben érintett személyek száma leggyakrabban 1000 fő alatti volt (nemzeti állami szervek: 93.2%, helyi önkormányzatok: 96.7%), a szivárgott információk többségét a polgárok adatai tették ki (nemzeti állami szervek: 78.4%, helyi önkormányzatok: 91.1%), és a szivárgott adatformátumok közül a papíralapú dokumentumok voltak a leggyakoribbak (nemzeti állami szervek: 58.0%, helyi önkormányzatok: 76.8%).

Dokumentumok benyújtásának kérése, helyszíni vizsgálatok, irányítás és tanácsadás helyzete

Az állami szervek ellenőrzése érdekében, a személyes adatok védelméről szóló japán törvény (Japanese Personal Information Protection Law) és a személyes adatok védelmére vonatkozó irányelvek (állami szervek kiadása) betartásának ellenőrzése céljából 65 tervezett helyszíni vizsgálatot hajtottak végre, és számos esetben kértek javításokat a személyes adatok megfelelő kezelésével kapcsolatban, valamint dokumentumok benyújtását az irányított intézkedésekkel kapcsolatban.

A helyszíni vizsgálatokon kívül, a személyes adatok szivárgásával kapcsolatos jelentések fogadásakor 73 alkalommal történt irányítás és tanácsadás, amelyek a biztonsági intézkedések hiányosságainak megelőzésére irányultak. Az alábbiakban néhány súlyos esetet sorolunk fel:

• A Japán Erőforrás- és Energiaügynökség által kezelt ‘Megújuló Energia Üzleti Menedzsment Rendszer’ esetében, egy általános áramszolgáltatóhoz rendelt fiók azonosítóját és jelszavát egy kapcsolódó kiskereskedelmi villamosenergia-szolgáltató használta fel a rendszerben tárolt személyes adatok megtekintésére és felhasználására.
• Aomori prefektúra Noheji városában egy USB meghajtó tűnt el, amelyen a város lakosainak többségének neve, születési dátuma, egészségügyi vizsgálati eredményei és a COVID-19 vakcina oltási előzményei voltak rögzítve, ami adatszivárgás veszélyét jelentette.
• Nagano prefektúra Oktatási Bizottságának két középiskolájában két tanár áldozatul esett egy támogatási csalásnak, és a csalók utasításait követve távoli hozzáférésű szoftvert telepítettek a hivatali PC-re engedély nélkül, ami a középiskolák diákjainak és tanárainak személyes adatainak szivárgásának kockázatát jelentette.

Ezekkel kapcsolatban a biztonsági menedzsment problémáira adott elégtelen válaszok miatt irányítást végeztek a személyes adatok védelméről szóló japán törvény (Japanese Personal Information Protection Law) 66. cikk (1) bekezdése alapján, és Aomori és Nagasaki prefektúrák esetében dokumentumok benyújtását is kérték a megelőző intézkedések végrehajtásának helyzetével kapcsolatban.

Összefoglalás: A személyes adatok szivárgásával kapcsolatos esetek száma a jelentési kötelezettség bevezetése óta a legmagasabb

A Reiwa 4 (2022) évi módosítás óta kötelezővé vált a személyes adatvédelmi bizottság felé történő jelentés, de a Reiwa 5 (2023) évi jelentések száma 12 120 eset, ami körülbelül 58%-os növekedést jelent az előző évhez képest, és ez a legmagasabb szám a jelentési kötelezettség bevezetése óta, ami Heisei 25 (2013) évre tehető.

A személyes adatok kezelésével kapcsolatban, ha téves intézkedések következtében tényleges adatszivárgás következik be, akkor az esetek a személyes adatvédelmi bizottság weboldalán kerülnek nyilvánosságra, ami a vállalati márka rongálódásához és a társadalmi hitel elvesztéséhez vezethet. A személyes adatok kezelésével és működtetésével kapcsolatban javasoljuk, hogy konzultáljon egy ügyvéddel, és előzetesen készüljön fel a megfelelő intézkedésekre.

Intézkedéseink bemutatása a Monolith Ügyvédi Irodánál

A Monolith Ügyvédi Iroda az IT területén, különösen az internet és a jogi kérdésekben rendelkezik gazdag tapasztalattal. Manapság a személyes adatok szivárgása komoly problémát jelent. Ha személyes adatok szivárognak ki, az vállalati tevékenységekre is végzetes hatással lehet. Irodánk szakértői tudással rendelkezik az információszivárgás megelőzésében és kezelésében. A részleteket az alábbi cikkben ismertetjük.

A Monolith Ügyvédi Iroda szakterületei: Japán személyes adatvédelmi törvényekkel kapcsolatos jogi szolgáltatások[ja][ja]