MONOLITH LAW OFFICE+81-3-6262-3248Hari kerja 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Kebocoran Informasi Pribadi yang Tak Kunjung Terhenti, Tahun Fiskal Reiwa 7 (2023) Meningkat 1,5 Kali Lipat Dibandingkan Tahun Sebelumnya. Menjelaskan Tren Terkini

General Corporate

Kebocoran Informasi Pribadi yang Tak Kunjung Terhenti, Tahun Fiskal Reiwa 7 (2023) Meningkat 1,5 Kali Lipat Dibandingkan Tahun Sebelumnya. Menjelaskan Tren Terkini

Dalam beberapa tahun terakhir, peningkatan kebocoran informasi pribadi akibat serangan siber yang semakin canggih dan kesalahan manusia telah menjadi masalah serius bagi perusahaan. Kebocoran informasi pribadi dapat menyebabkan kerugian besar bagi perusahaan, seperti kerusakan reputasi, risiko litigasi, dan penghentian operasional bisnis.

Artikel ini akan menjelaskan tren kasus kebocoran informasi pribadi yang terlihat dari laporan tahunan Komisi Perlindungan Informasi Pribadi Jepang untuk tahun fiskal Reiwa 5 (2023). Gunakan artikel ini sebagai referensi untuk memperkuat langkah-langkah keamanan informasi perusahaan Anda dan mencegah risiko kebocoran informasi sebelum terjadi.

Apa Itu Laporan Tahunan Komisi Perlindungan Data Pribadi?

Pada bulan April tahun Reiwa 4 (2022), Undang-Undang Perlindungan Data Pribadi yang telah direvisi mulai berlaku, yang mana mengharuskan para pelaku bisnis yang menangani data pribadi untuk melaporkan ke situs web Komisi Perlindungan Data Pribadi (Japanese PPC) jika terjadi kebocoran data pribadi atau insiden serupa yang memenuhi kriteria tertentu.

Komisi Perlindungan Data Pribadi telah mempublikasikan Laporan Tahunan untuk Tahun Fiskal Reiwa 5 (2024)[ja] pada bulan Juni tahun Reiwa 6 (2024).

Artikel terkait: Apa Itu Poin-Poin Revisi Undang-Undang Perlindungan Data Pribadi Tahun Reiwa 6 (2024)? Penjelasan Tentang Perubahan yang Perlu Diketahui dan Langkah-langkah yang Harus Diambil[ja]

Pengawasan terhadap Pengelola Informasi Pribadi

Pada tahun fiskal Reiwa 5 (2023), terdapat 12.120 kasus pelaporan yang telah diproses terkait dengan insiden kebocoran informasi dan lainnya, menunjukkan peningkatan yang signifikan dibandingkan dengan 7.685 kasus pada tahun fiskal sebelumnya. Mari kita lihat secara detail isi laporannya.

Status Penanganan Kasus Kebocoran Data dan Lainnya

Status Penanganan Kasus Kebocoran Data dan Lainnya

Dari kasus yang dilaporkan, jumlah orang yang terdampak dalam satu kasus kebocoran data dan sejenisnya adalah kurang dari 1000 orang sebanyak 11.635 kasus (96,0%), sedangkan kasus dengan lebih dari 50.000 orang terdampak hanya berjumlah 61 kasus (0,5%).

Dalam kasus yang dilaporkan langsung kepada komite, jenis informasi yang paling sering bocor adalah informasi pelanggan (83,5%), dan jika dilihat berdasarkan media, kebocoran data pada media cetak (82,0%) lebih banyak dibandingkan dengan media elektronik (12,2%).

Berdasarkan klasifikasi kewajiban pelaporan yang ditetapkan oleh Undang-Undang Perlindungan Data Pribadi Jepang dan Peraturan Pelaksanaannya, kebocoran data pribadi yang mencakup informasi sensitif seperti riwayat kesehatan dan ras merupakan yang terbanyak (89,7%), diikuti oleh kebocoran data pribadi yang mungkin terjadi akibat akses ilegal atau dengan tujuan yang tidak sah (8,1%).

Faktor yang menyebabkan tren ini, mengingat bahwa banyaknya kasus kebocoran data dan sejenisnya disebabkan oleh kesalahan manusia seperti salah penyerahan, salah pengiriman, salah pembuangan, dan kehilangan (total 86,3%), adalah bahwa bahkan jika jumlah orang yang terdampak hanya satu orang, masih ada kewajiban untuk melaporkan kebocoran data pribadi yang mencakup informasi sensitif, dan banyaknya kasus kebocoran data akibat kesalahan dalam penyerahan dokumen cetak (seperti kesalahan dalam penyerahan rincian biaya perawatan di fasilitas kesehatan).

Menanggapi laporan ini, Komisi Perlindungan Data Pribadi telah memeriksa apakah pemberitahuan kepada individu yang terdampak (sesuai dengan Pasal 26 Ayat (2) Undang-Undang Perlindungan Data Pribadi Jepang) telah dilakukan dengan tepat, apakah penyebab kejadian telah diidentifikasi dan dianalisis dengan tepat, dan apakah langkah-langkah yang dijelaskan sebagai tindakan pencegahan kejadian serupa telah sesuai dengan penyebab kejadian, serta melakukan konfirmasi terhadap isi laporan yang ditentukan oleh Peraturan Pelaksanaan, dan melakukan tindakan yang diperlukan seperti menyediakan informasi mengenai metode analisis penyebab kejadian dan pertimbangan strategi pencegahan kejadian serupa.

Situasi Pengumpulan Laporan, Bimbingan, dan Nasihat

Sebanyak 73 kasus pengumpulan laporan, 333 kasus bimbingan dan nasihat telah dilakukan terhadap pengusaha yang menangani informasi pribadi.

Beberapa kasus serius yang diidentifikasi adalah sebagai berikut:

  • Kasus di mana perusahaan distribusi dan pengiriman umum telah membiarkan perusahaan grup atau divisi ritel yang merupakan perusahaan listrik ritel terkait untuk mengakses dan menggunakan informasi pelanggan listrik baru.
  • Kasus di mana perusahaan distribusi dan pengiriman umum menggunakan ID dan kata sandi akun yang diberikan kepada mereka untuk mengakses dan menggunakan informasi pribadi dalam “Sistem Manajemen Bisnis Energi Terbarukan” yang dikelola oleh Badan Energi dan Sumber Daya Mineral Jepang.
  • Kasus kebocoran dan lainnya di mana Toyota Motor Corporation telah menugaskan Toyota Connected Corporation, sebuah anak perusahaan, untuk menangani data pribadi yang berkaitan dengan layanan kepada pengguna kendaraan, dan data pribadi yang dikelola oleh server perusahaan tersebut dapat diakses dari luar.
  • Kasus kebocoran informasi medis pasien oleh Organisasi Administrasi Independen Nasional Rumah Sakit, yang merupakan pengusaha yang menangani informasi medis berdasarkan Undang-Undang Informasi Medis Anonim untuk Penelitian dan Pengembangan di Bidang Kedokteran (Undang-Undang Jepang No. 28 tahun 2017).
  • Kasus di mana tiga perusahaan yang telah mengajukan pemberitahuan opt-out telah melanggar ketentuan Undang-Undang Perlindungan Informasi Pribadi Jepang.
  • Kasus di mana NTT DOCOMO Inc. telah menugaskan NTT NEXIA Inc. untuk menangani manajemen informasi pelanggan untuk penjualan telepon, dan seorang karyawan kontrak dari NEXIA telah mengakses layanan cloud pribadi tanpa izin dari PC yang digunakan untuk pekerjaan dan mengunggah total sekitar 5,96 juta data pribadi ke layanan cloud, menyebabkan kebocoran dan risiko kebocoran ke luar.
  • Kasus di mana seorang guru dari Yotsuya Otsuka Corporation, yang mengoperasikan juku persiapan masuk sekolah menengah, telah mencari dan melihat data pribadi siswa yang dikelola oleh juku saat masih bekerja, memasukkan data tersebut ke ponsel pribadi, dan memposting data pribadi enam orang ke akun SNS-nya, menyebabkan kebocoran.
  • Kasus di mana server MK System Corporation telah diserang secara ilegal, dan data pribadi yang dikelola dalam sistem tersebut telah dienkripsi oleh ransomware, menyebabkan risiko kebocoran dan lainnya.
  • Kasus di mana GUID (pengenal internal) penjual lelang dapat dilihat oleh pihak ketiga jika perintah tertentu dimasukkan pada halaman produk tertentu di “Yahoo! Auctions”, menyebabkan risiko kebocoran data pribadi.

Atas kasus-kasus tersebut, bimbingan berdasarkan Pasal 23 Undang-Undang Perlindungan Informasi Pribadi Jepang telah dilakukan, dan untuk beberapa kasus, laporan tentang implementasi langkah-langkah pencegahan kejadian serupa diminta.

Situasi Rekomendasi

Telah dilakukan tiga rekomendasi terhadap pengusaha yang menangani informasi pribadi. Berikut adalah ringkasan dari kasus-kasus tersebut:

Dalam kasus di mana seorang individu yang bekerja untuk NTT Business Solutions Co., Ltd., yang telah diberi tugas oleh NTT Marketing Act ProCX Co., Ltd. untuk melakukan pemeliharaan dan operasional sistem yang digunakan dalam bisnis pusat panggilan yang dijalankan oleh NTT Marketing Act ProCX atas permintaan dari perusahaan swasta, badan administrasi independen, dan organisasi publik lokal, telah membawa keluar secara ilegal data pribadi sekitar 9,28 juta orang yang berkaitan dengan pelanggan atau penduduk yang diberikan oleh klien, menyebabkan kebocoran informasi. Dalam kasus ini, kedua perusahaan tersebut diberi rekomendasi untuk mengambil langkah-langkah yang diperlukan untuk memperbaiki pelanggaran terhadap Pasal 23 dari Undang-Undang Perlindungan Informasi Pribadi Jepang (Japanese Personal Information Protection Act).

Di LINE Yahoo Japan Corporation, sebuah insiden kebocoran data pribadi yang berkaitan dengan pengguna LINE, mitra bisnis, dan karyawan, dll., terjadi setelah PC yang digunakan oleh karyawan perusahaan pemeliharaan keamanan Korea, yang merupakan kontraktor, terinfeksi malware, yang menyebabkan sistem informasi mengalami akses ilegal. Dalam kasus ini, perusahaan tersebut diberi rekomendasi untuk mengambil langkah-langkah yang diperlukan untuk memperbaiki pelanggaran terhadap Pasal 23 dari Undang-Undang Perlindungan Informasi Pribadi Jepang, dan diminta untuk melaporkan status implementasi tindakan pencegahan kejadian serupa di masa depan, termasuk situasi perbaikan terhadap rekomendasi yang diberikan.

Pengawasan terhadap Badan Administrasi Pemerintah

Pengawasan terhadap Badan Administrasi Pemerintah

Berdasarkan Undang-Undang Perlindungan Data Pribadi Jepang, pengawasan juga telah dilakukan terhadap badan administrasi pemerintah.

Penanganan Laporan Terkait Insiden Kebocoran Informasi Pribadi yang Dimiliki

Sebagai bagian dari pengawasan terhadap badan administrasi pemerintah, telah dilakukan penanganan terhadap 1159 laporan insiden kebocoran informasi pribadi yang dimiliki. Dari jumlah tersebut, 162 laporan berasal dari badan administrasi pemerintah pusat dan 997 laporan dari badan publik lokal.

Kebanyakan laporan insiden, sama seperti tahun sebelumnya, berkaitan dengan kebocoran informasi pribadi yang memerlukan perhatian khusus (badan administrasi pemerintah pusat: 61.1%, badan publik lokal: 80.3%), diikuti oleh kebocoran informasi pribadi yang melibatkan lebih dari 100 individu (badan administrasi pemerintah pusat: 31.5%, badan publik lokal: 18.8%).

Penyebab utama insiden tersebut kebanyakan adalah kesalahan dalam penyerahan, pengiriman, pembuangan, atau kehilangan, yang dikenal sebagai human error (badan administrasi pemerintah pusat: total 6.8%, badan publik lokal: total 78.8%), diikuti oleh kesalahan konfigurasi sistem dan lainnya (badan administrasi pemerintah pusat: 22.8%, badan publik lokal: 17.7%).

Jumlah individu yang terdampak dalam setiap insiden kebocoran informasi kebanyakan kurang dari 1000 orang (badan administrasi pemerintah pusat: 93.2%, badan publik lokal: 96.7%), dan informasi yang bocor kebanyakan adalah data warga negara (badan administrasi pemerintah pusat: 78.4%, badan publik lokal: 91.1%), dengan bentuk kebocoran yang paling banyak adalah melalui media cetak (badan administrasi pemerintah pusat: 58.0%, badan publik lokal: 76.8%).

Situasi Permintaan Dokumen, Inspeksi Lapangan, Arahan dan Nasihat

Untuk memastikan kepatuhan terhadap Pedoman Undang-Undang Perlindungan Data Pribadi Jepang dan hukum terkait yang berlaku untuk badan administrasi pemerintah, telah dilakukan 65 inspeksi lapangan yang terencana, serta pemberian arahan untuk perbaikan dalam penanganan data pribadi yang tepat, termasuk permintaan dokumen terkait laporan atas arahan yang telah diberikan.

Selain dari inspeksi lapangan, terdapat 73 kasus arahan dan nasihat yang diberikan terkait dengan penerimaan laporan insiden kebocoran informasi pribadi, termasuk penekanan pada penerapan langkah-langkah pencegahan kejadian serupa di masa depan yang berkaitan dengan pengamanan yang tidak memadai.

  • Insiden di mana akun ID dan kata sandi yang diberikan kepada operator distribusi umum oleh Badan Energi dan Sumber Daya Mineral Jepang digunakan oleh perusahaan ritel listrik terkait untuk mengakses dan menggunakan informasi pribadi dalam “Sistem Manajemen Bisnis Energi Terbarukan”.
  • Insiden di Noboribetsu, Prefektur Aomori, di mana USB yang berisi informasi pribadi seperti nama, tanggal lahir, hasil pemeriksaan kesehatan, dan riwayat vaksinasi COVID-19 dari sebagian besar penduduk kota hilang, menimbulkan risiko kebocoran data.
  • Insiden di dua sekolah menengah atas di Prefektur Nagano di mana dua guru terkena penipuan dukungan teknis dan mengikuti instruksi dari penipu untuk menginstal perangkat lunak kontrol jarak jauh pada komputer sekolah tanpa izin, yang berpotensi menyebabkan kebocoran informasi pribadi siswa dan staf sekolah.

Untuk kasus-kasus tersebut, telah diberikan arahan berdasarkan Pasal 66 Ayat 1 Undang-Undang Perlindungan Data Pribadi Jepang terkait dengan respons yang tidak memadai terhadap masalah keamanan, dan untuk insiden di Prefektur Aomori dan Nagano, juga diminta penyampaian dokumen terkait dengan pelaksanaan langkah-langkah pencegahan kejadian serupa di masa depan.

Kesimpulan: Kasus Kebocoran Informasi Pribadi Mencapai Jumlah Tertinggi Sejak Dimulainya Pelaporan

Sejak amandemen pada tahun Reiwa 4 (2022), pelaporan kepada Komisi Perlindungan Informasi Pribadi telah menjadi kewajiban. Namun, jumlah laporan pada tahun fiskal Reiwa 5 (2023) sebanyak 12.120 kasus, meningkat sekitar 58% dibandingkan tahun sebelumnya, dan merupakan jumlah tertinggi sejak pelaporan menjadi kewajiban pada tahun fiskal Heisei 25 (2013).

Dalam hal penanganan informasi pribadi, jika terjadi kebocoran akibat kesalahan dalam pengambilan tindakan, informasi tersebut akan dipublikasikan di situs Komisi Perlindungan Informasi Pribadi seperti ini, yang dapat menyebabkan kerusakan merek perusahaan dan kehilangan kepercayaan sosial. Oleh karena itu, kami menyarankan untuk berkonsultasi dengan pengacara mengenai penanganan dan pengoperasian informasi pribadi untuk mempersiapkan langkah-langkah yang tepat sebelumnya.

Panduan Tindakan oleh Kantor Kami

Kantor Hukum Monolith adalah sebuah firma hukum yang memiliki pengalaman kaya dalam IT, khususnya hukum internet. Akhir-akhir ini, kebocoran informasi pribadi telah menjadi masalah besar. Jika informasi pribadi bocor, hal itu dapat berdampak fatal pada aktivitas perusahaan. Kantor kami memiliki keahlian khusus dalam pencegahan dan penanganan kebocoran informasi. Detailnya telah kami uraikan dalam artikel di bawah ini.

Bidang layanan Kantor Hukum Monolith: Hukum Perlindungan Informasi Pribadi Jepang[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Kembali ke atas