MONOLITH LAW OFFICE+81-3-6262-3248Hari kerja 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Mengambil Pelajaran dari Manajemen Krisis dan Peran Pengacara dalam Kasus Kebocoran Informasi 650.000 dari Perusahaan Touken Corp

General Corporate

Mengambil Pelajaran dari Manajemen Krisis dan Peran Pengacara dalam Kasus Kebocoran Informasi 650.000 dari Perusahaan Touken Corp

Pada tanggal 1 April 2005 (Tahun 2005 dalam Kalender Gregorian), Undang-Undang Perlindungan Data Pribadi Jepang telah sepenuhnya diberlakukan, dan para pelaku usaha yang menangani informasi pribadi wajib mengambil tindakan pengamanan. Namun, insiden kebocoran informasi pribadi terus terjadi tanpa henti.

Ketika terjadi insiden kebocoran informasi, yang sangat penting adalah prosedur penanganan dan kecepatannya. Terutama di perusahaan kecil dan menengah yang tidak memiliki staf khusus keamanan informasi, mungkin sulit untuk segera menentukan bagaimana harus merespons.

Oleh karena itu, kali ini kami akan menjelaskan sistem manajemen krisis dalam kebocoran informasi berdasarkan respons perusahaan Tokyu Construction terhadap insiden kebocoran informasi mereka.

Ringkasan Kebocoran Informasi

Isi utama dari kebocoran informasi yang disebabkan oleh akses tidak sah yang terjadi di perusahaan Touken Corporation adalah sebagai berikut:

  • Terjadi: Selama 24 hari, dari 20 Agustus 2020 hingga 12 September 2020
  • Ditemukan: 20 Oktober 2020
  • Penyebab: Akses tidak sah oleh pihak ketiga ke server yang menyimpan berbagai informasi pengguna dari situs web grup menjadi penyebabnya
  • Subjek: Orang yang menghubungi situs perusahaan grup, anggota, dan pelamar untuk berbagai kampanye
  • Informasi: “Alamat email”, “Nama”, “Alamat”, “Nomor telepon”, “Kata sandi”, “Jenis kelamin”, “Tanggal lahir”, dll.
  • Jumlah: Total 657.096 informasi pribadi yang berpotensi bocor

Pelanggaran Akses dan Respons Awal

Pada tanggal 20 Oktober 2020 (Tahun 2020 Masehi), Tokken Corporation menemukan akses ilegal ke situs web operasional mereka, ‘Nasurak Kitchen’, saat melakukan pemeriksaan rutin pada situs web. Mereka kemudian mengambil langkah-langkah respons awal berikut ini:

  • Sebagai respons keamanan darurat, mereka menutup ‘Nasurak Kitchen’ dan menghentikan semua layanan yang disediakan melalui situs tersebut.
  • Mereka mendirikan ‘Pusat Tindakan Keamanan Informasi’ dan berkonsultasi dengan lembaga pihak ketiga eksternal.
  • Mereka melakukan pemeriksaan pada semua situs web grup hingga 11 November, mengambil tindakan perbaikan sementara terhadap kerentanan yang ditemukan, dan menentukan jumlah dan item kebocoran maksimum.

Poin Respons Awal

Jika risiko kebocoran informasi akibat akses ilegal telah dikonfirmasi, Anda harus segera mengambil tindakan berikut untuk mencegah penyebaran kerusakan, terjadinya kerusakan sekunder, dan pencegahan kejadian ulang:

  • Mengkonfirmasi fakta (penyebab akses ilegal, jalur, dll.)
  • Menghentikan perangkat atau situs yang telah diakses secara ilegal
  • Memutuskan perangkat atau situs yang telah diakses secara ilegal dari jaringan

Hal yang harus diperhatikan di sini adalah untuk tidak melakukan operasi yang tidak perlu dan untuk mengambil tindakan untuk melestarikan bukti agar bukti yang tersisa di sistem tidak dihapus.

Siaran Pers Setelah Kebocoran Informasi Terungkap

Pengumuman pertama dilakukan pada tanggal 17 November 2020 (Tahun 2020 Masehi) di situs web perusahaan Tokyu Corporation.

Isi pengumuman mencakup ringkasan akses ilegal dan langkah-langkah yang akan diambil selanjutnya, serta informasi yang diperlukan yang ditulis secara rinci dalam bentuk “Q&A mengenai Insiden Kebocoran Informasi Akibat Akses Ilegal”.

Perusahaan Tokyu Corporation dan perusahaan grup kami (selanjutnya disebut “Grup Kami”) telah mengkonfirmasi pada tanggal 20 Oktober 2020 (Tahun 2020 Masehi) bahwa jaringan Grup Kami telah menerima akses ilegal oleh pihak ketiga, dan ada kemungkinan informasi pribadi seperti pertanyaan kepada Home Mate yang dioperasikan oleh Grup Kami, informasi anggota perusahaan grup, dan informasi pelamar berbagai kampanye telah bocor ke luar.

Mengenai Kebocoran Informasi Pribadi Akibat Akses Ilegal[ja]

Halaman web yang terhubung di atas, “Q&A mengenai Insiden Kebocoran Informasi Akibat Akses Ilegal”[ja] mencakup konten sebagai berikut.

Mengenai Isi Informasi yang Bocor

Q Apa informasi yang bocor kali ini?
A Kami percaya bahwa “nama”, “alamat”, “nomor telepon”, “alamat email”, dan “kata sandi” telah bocor di semua situs yang dioperasikan oleh perusahaan kami, termasuk perusahaan grup.

Q Apakah informasi kartu kredit bocor?
A Di situs yang dioperasikan oleh perusahaan kami, termasuk perusahaan grup, kami tidak menyimpan informasi seperti nomor kartu kredit atau nomor identifikasi pribadi lainnya, jadi tidak ada risiko kebocoran.

Dalam penjelasan tentang informasi yang bocor, dengan secara spesifik mencantumkan ① informasi yang mungkin bocor dan ② informasi yang tidak berisiko bocor, kita dapat menghindari kebingungan dan kecemasan yang tidak perlu.

Mengenai Langkah-langkah di Masa Depan

Q Apakah aman untuk terus menggunakan situs web perusahaan grup Touken, termasuk perusahaan anaknya, di masa mendatang?
A Untuk semua situs web yang dioperasikan oleh perusahaan kami, termasuk perusahaan grup, saat ini telah selesai melakukan peningkatan keamanan terhadap akses ilegal yang sama.

Q Bagaimana rencana manajemen informasi di masa mendatang?
A Di masa mendatang, kami akan menerima pemeriksaan oleh lembaga investigasi pihak ketiga sesuai kebutuhan, dan jika ditemukan kerentanan atau sejenisnya di situs web, kami akan segera memperbaikinya dan berusaha untuk manajemen informasi yang lebih ketat.

Dalam langkah-langkah di masa depan, penting untuk menjelaskan secara detail tentang respons keamanan situs web yang digunakan oleh pengguna, apakah dapat digunakan kembali, dan sistem manajemen informasi di masa depan.

Tanya Jawab Mengenai Ganti Rugi dan Lainnya

Q Apakah orang yang menjadi korban kebocoran informasi akan menerima kompensasi seperti uang permintaan maaf atau biaya ketidaknyamanan?
A Berdasarkan informasi yang bocor akibat akses ilegal kali ini, kami tidak berencana untuk membayar uang permintaan maaf atau biaya ketidaknyamanan. Namun, jika kebocoran informasi kali ini telah menyebabkan kerugian finansial kepada pelanggan dan Anda dapat memberikan bukti konkret, silakan konsultasikan dengan “Layanan Konsultasi Informasi Pribadi” kami.

Q Ada penarikan uang yang tidak saya ingat. Apakah saya bisa mendapatkan kompensasi?
A Jika ada penarikan uang yang tidak Anda ingat dari rekening yang Anda miliki, kami meminta Anda untuk menghubungi langsung perusahaan yang melakukan penarikan tersebut. Jika terbukti bahwa penarikan uang yang tidak Anda ingat ini disebabkan oleh kebocoran informasi kali ini, kami mohon maaf atas ketidaknyamanannya, tetapi harap beri tahu “Layanan Konsultasi Informasi Pribadi” kami.

Kami tidak membayar uang permintaan maaf atau biaya ketidaknyamanan, tetapi jika kebocoran informasi menyebabkan kerugian finansial, kami akan melakukan konsultasi individu mengenai ganti rugi. Ini adalah kebijakan perusahaan kami.

Waktu Rilis Pers Pertama yang Meninggalkan Pertanyaan

Dalam manajemen krisis perusahaan, hal pertama yang harus dipertimbangkan adalah ‘mencegah kerusakan lebih lanjut’, ‘mencegah kerusakan sekunder’, dan ‘mencegah terulangnya insiden’.

Oleh karena itu, jika terjadi kebocoran informasi, penting untuk segera memberi tahu pihak terkait setelah melakukan respons awal secepat mungkin.

Q&A dari Japanese Tokyu Corporation menjawab berbagai pertanyaan yang diantisipasi dengan teliti, dan tampaknya telah dibuat dengan konsultasi yang baik dengan ahli hukum dan lainnya sebelumnya, tetapi ada pertanyaan tentang pengumuman sekitar satu bulan setelah penemuan akses yang tidak sah.

Memang, sebagai perusahaan, Anda mungkin ingin mengumumkan setelah melakukan investigasi dan tindakan, tetapi apakah empat poin berikut ini seharusnya tidak diumumkan lebih awal sebagai laporan pertama?

  • Penemuan kebocoran informasi dan pihak yang diantisipasi
  • Isi informasi pribadi yang bocor
  • Tidak ada kemungkinan kebocoran informasi kredit seperti nomor kartu
  • Struktur dan jadwal ke depan
  • Kontak untuk pertanyaan

Poin-Poin dalam Pemberitahuan, Laporan, dan Pengumuman

Ketika terjadi kebocoran informasi, perlu dipertimbangkan untuk memberitahukan kepada pengguna atau mitra bisnis tergantung pada penyebab dan isi informasi tersebut, melaporkannya kepada otoritas pengawas atau polisi, dan mengumumkannya melalui halaman web atau media massa.

Jika Ada Kemungkinan Kejahatan

Jika ada kemungkinan kejahatan terkait akses ilegal, setelah melakukan penyelidikan fakta dan mengambil langkah-langkah untuk melestarikan bukti, Anda harus segera melaporkannya kepada polisi.

Dalam kasus Tokyu Corporation (Perusahaan Konstruksi Tokyu), laporan kerugian telah diajukan kepada Kementerian Infrastruktur, Transportasi dan Pariwisata Jepang (Japanese Ministry of Land, Infrastructure, Transport and Tourism) dan Kepolisian Prefektur Aichi (Aichi Prefectural Police Headquarters) pada hari berikutnya setelah penyelesaian investigasi situs web seluruh grup.

Jika Ada Kemungkinan Kebocoran Informasi Kredit Pribadi

Jika ada kemungkinan kebocoran informasi seperti Nomor Individu (My Number), nomor kartu kredit, rekening bank, ID dan kata sandi, Anda harus segera memberitahu individu tersebut dan mendorong mereka untuk menghentikan penggunaan informasi tersebut untuk mencegah kerugian lebih lanjut.

Jika Skala atau Lingkup Pengaruhnya Besar, atau Jika Sulit untuk Memberitahukan Secara Individual kepada Semua Pihak yang Terlibat

Anda akan melakukan pengumuman melalui publikasi informasi di halaman web atau konferensi pers. Namun, jika ada kemungkinan bahwa pengumuman dapat menyebabkan penyebaran kerugian, pertimbangkan waktu dan target pengumuman.

Selain itu, memastikan transparansi saat membuat pengumuman dan mengungkapkan fakta sebanyak mungkin akan meningkatkan kepercayaan perusahaan dan mencegah penyebaran kerugian dan kejadian serupa.

Pengumuman Rilis Pers Kedua

Pada tanggal 9 Februari 2021 setelah pergantian tahun, Touken Corporation telah mengumumkan laporan kedua mengenai kebocoran informasi pribadi di situs web mereka, dan melakukan koreksi pada item dan jumlah kebocoran.

Sebagai hasil dari penyelidikan forensik oleh lembaga pihak ketiga pada item yang bocor, beberapa perbedaan telah dikonfirmasi, jadi kami meminta Anda untuk memeriksa lagi di Lampiran 1 “Tentang Item di Setiap Situs/Layanan”. (Omitted) Juga, jumlah kasus yang bocor adalah maksimal 657,096 kasus → maksimal 655,488 kasus.

Konten tersebut, selain dari koreksi di atas, hanya menambahkan metode penanganan untuk spam dan email mencurigakan, dan konten dasarnya hampir sama dengan rilis pers pertama, dan pengumuman ini adalah yang terakhir.

Pusat Tindakan sebagai Inti Penanganan Krisis

Setelah terungkap adanya akses ilegal, Tokyu Corporation telah mendirikan ‘Divisi Keamanan Informasi’ dan berupaya mencegah terulangnya insiden tersebut dengan berkoordinasi dengan lembaga pihak ketiga eksternal dan kepolisian.

Struktur organisasi ini belum jelas, namun, bukan hanya tindakan keamanan sistem, tetapi juga perlu melakukan kontak dengan pengguna target, penanganan media, penanganan pemegang saham, dan peninjauan tanggung jawab hukum secara bersamaan. Oleh karena itu, umumnya diperlukan partisipasi dari lembaga pihak ketiga eksternal dan para ahli berikut ini.

  • Perusahaan perangkat lunak besar
  • Vendor spesialis keamanan besar
  • Pengacara eksternal yang memiliki pengetahuan mendalam tentang keamanan siber

Ringkasan

Ketika terjadi kebocoran informasi pribadi dalam skala besar seperti kali ini yang melampaui 650.000 kasus, “respon awal” dan “pemberitahuan, pelaporan, dan pengumuman” berpusat pada pusat tindakan, serta “tindakan keamanan” menjadi penting.

Yang membutuhkan kecepatan bukan hanya respon awal, tetapi juga pemberitahuan dan pelaporan kepada polisi dan kementerian terkait, serta pengumuman kepada pihak terkait (siaran pers).

Namun, jika Anda salah dalam mengambil tindakan, Anda mungkin akan dituntut untuk tanggung jawab ganti rugi, jadi kami menyarankan Anda untuk berkonsultasi terlebih dahulu dengan pengacara yang memiliki pengetahuan dan pengalaman yang kaya tentang keamanan siber, bukan membuat keputusan sendiri.

Jika Anda tertarik dalam manajemen krisis saat kebocoran informasi oleh malware Capcom, silakan lihat artikel ini untuk penjelasan lebih detail.

Panduan Mengenai Tindakan yang Diambil oleh Kantor Kami

Kantor hukum Monolis adalah kantor hukum yang memiliki keahlian tinggi dalam IT, khususnya internet dan hukum. Di kantor kami, kami membuat dan meninjau kontrak untuk berbagai kasus, mulai dari perusahaan yang terdaftar di Tokyo Stock Exchange Prime hingga perusahaan startup. Jika Anda mengalami kesulitan, silakan merujuk ke artikel di bawah ini.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Kembali ke atas