Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Apprendere dalla gestione delle crisi e dal ruolo dell'avvocato nel caso di fuga di informazioni di 650.000 casi presso la società giapponese 'Touken Corp

Apprendere dalla gestione delle crisi e dal ruolo dell'avvocato nel caso di fuga di informazioni di 650.000 casi presso la società giapponese 'Touken Corp

General Corporate

Apprendere dalla gestione delle crisi e dal ruolo dell'avvocato nel caso di fuga di informazioni di 650.000 casi presso la società giapponese 'Touken Corp

Il 1 aprile 2005 (anno 2005 del calendario gregoriano), la ‘Legge Giapponese sulla Protezione dei Dati Personali’ è entrata in vigore in modo completo, e gli operatori che gestiscono i dati personali sono obbligati a prendere misure di sicurezza. Tuttavia, gli incidenti di perdita di dati personali continuano a verificarsi senza sosta.

Quando si verifica un incidente di perdita di informazioni, ciò che diventa particolarmente importante è la procedura di gestione e la velocità di risposta. In particolare, nelle piccole e medie imprese che non dispongono di personale specializzato in sicurezza delle informazioni, può essere difficile decidere immediatamente come rispondere.

Quindi, in questa occasione, spiegheremo il sistema di gestione delle crisi in caso di perdita di informazioni, basandoci sulla risposta della ‘Touken Corporation’ all’incidente di perdita di informazioni che ha coinvolto la società.

Panoramica sulla violazione dei dati

Di seguito sono riportati i dettagli principali relativi alla violazione dei dati causata da un accesso non autorizzato che ha avuto luogo presso la società Tōken Corporation.

  • Data dell’evento: dal 20 agosto al 12 settembre 2020, per un totale di 24 giorni
  • Data della scoperta: 20 ottobre 2020
  • Causa: l’accesso non autorizzato da parte di terzi a un server che conservava varie informazioni degli utenti, accessibile dal sito web del gruppo, è stato la causa
  • Target: coloro che hanno contattato il sito delle società del gruppo, i membri e coloro che hanno partecipato a varie campagne
  • Informazioni: “Indirizzo e-mail”, “Nome”, “Indirizzo”, “Numero di telefono”, “Password”, “Sesso”, “Data di nascita”, ecc.
  • Numero di casi: il numero totale di informazioni personali che potrebbero essere state violate è di 657.096

Rilevazione di accesso non autorizzato e risposta iniziale

Il 20 ottobre 2020, durante un controllo periodico del sito web, la Tokken Corporation ha scoperto un accesso non autorizzato al proprio sito web gestito, “Nasluck Kitchen”, e ha intrapreso le seguenti azioni iniziali.

  • Chiusura di “Nasluck Kitchen” come misura di sicurezza d’emergenza, interrompendo anche la fornitura di servizi dal sito.
  • Creazione di un “Quartier Generale per le Misure di Sicurezza delle Informazioni” e consultazione con un’organizzazione terza esterna.
  • Esaminando tutti i siti web del gruppo fino all’11 novembre, si è cercato di correggere temporaneamente le vulnerabilità e di determinare il numero massimo di perdite e gli elementi.

Punti chiave della risposta iniziale

Se viene confermato il rischio di perdita di informazioni a causa di un accesso non autorizzato, è necessario immediatamente implementare le seguenti misure per prevenire l’espansione del danno, l’insorgenza di danni secondari e la ricorrenza.

  • Conferma dei fatti (cause dell’accesso non autorizzato, percorsi, ecc.)
  • Arresto dei dispositivi o siti che hanno subito un accesso non autorizzato
  • Disconnessione dei dispositivi o siti che hanno subito un accesso non autorizzato dalla rete

È importante notare che durante questo processo, è necessario prendere misure per preservare le prove senza effettuare operazioni incaute e senza cancellare le prove lasciate sul sistema.

Comunicato stampa dopo la scoperta di una fuga di informazioni

La prima divulgazione è stata effettuata il 17 novembre 2020 (anno 2 dell’era Reiwa) sul sito web della Tokken Corporation.

Oltre a una panoramica dell’accesso non autorizzato e delle future misure, la divulgazione includeva dettagli molto specifici su informazioni richieste sotto forma di “Domande e risposte sulla fuga di informazioni dovuta ad accesso non autorizzato”.

La Tokken Corporation e le nostre società affiliate (di seguito, il nostro gruppo) hanno confermato il 20 ottobre 2020 (anno 2 dell’era Reiwa) che la rete del nostro gruppo è stata soggetta ad accesso non autorizzato da parte di terzi e che le informazioni personali, come le richieste di informazioni a Home Mate gestito dal nostro gruppo, le informazioni degli iscritti delle società del gruppo e le informazioni dei candidati per varie campagne, potrebbero essere state divulgate all’esterno.

Informazioni sulla fuga di informazioni personali dovuta ad accesso non autorizzato[ja]

Il contenuto incluso nelle “Domande e risposte sulla fuga di informazioni dovuta ad accesso non autorizzato” linkate alla pagina web sopra menzionata è il seguente.

Informazioni sulla fuga di informazioni

Q Quali informazioni sono state divulgate questa volta?
A Riteniamo che siano state divulgate “nome”, “indirizzo”, “numero di telefono”, “indirizzo e-mail” e “password” su tutti i siti, compresi quelli gestiti dalle nostre società affiliate.

Q Le informazioni sulla carta di credito sono state divulgate?
A Nei siti gestiti da noi e dalle nostre società affiliate, non conserviamo affatto informazioni come il numero della carta di credito o il My Number, quindi non c’è rischio di divulgazione.

Nella spiegazione sulla fuga di informazioni, è possibile evitare inutili ansie e confusione dividendo e specificando chiaramente le informazioni che potrebbero essere divulgate e le informazioni che non corrono il rischio di essere divulgate.

Misure future

Q È sicuro continuare a utilizzare i siti, compresi quelli delle società affiliate di Tokken, in futuro?
A Per tutti i siti gestiti da noi e dalle nostre società affiliate, il rafforzamento della sicurezza contro accessi non autorizzati simili è già stato completato.

Q Che tipo di gestione delle informazioni prevedete in futuro?
A In futuro, riceveremo controlli da agenzie di indagine terze secondo necessità e, se vengono scoperte vulnerabilità nel sito, le correggeremo immediatamente e ci impegneremo per una gestione delle informazioni più rigorosa.

Nelle misure future, è importante spiegare attentamente la risposta alla sicurezza del sito che l’utente stava utilizzando, la possibilità di riutilizzo e il sistema di gestione delle informazioni in futuro.

Domande e risposte su risarcimenti per danni, ecc.

Q Verranno pagati indennizzi o compensi per i disagi alle persone che hanno subito danni a causa della fuga di informazioni?
A Non prevediamo di pagare indennizzi o compensi per i disagi sulla base delle informazioni divulgate a causa di questo accesso non autorizzato. Tuttavia, se si verificano danni finanziari a causa di questa fuga di informazioni e si forniscono prove concrete, si prega di consultare il nostro “Sportello di consulenza sulle informazioni personali”.

Q C’è stato un prelievo che non riconosco. Posso essere risarcito?
A Se c’è stato un prelievo che non riconoscete dal vostro conto, vi preghiamo di contattare direttamente l’azienda che ha effettuato il prelievo. Inoltre, se si scopre che la fuga di informazioni di questa volta ha portato a un prelievo che non riconoscete, ci scusiamo per il disturbo, ma vi preghiamo di informare il nostro “Sportello di consulenza sulle informazioni personali”.

Non prevediamo di pagare indennizzi o compensi per i disagi, ma abbiamo chiaramente stabilito la nostra politica di consultazione individuale per il risarcimento dei danni nel caso in cui si verifichino danni finanziari a causa della fuga di informazioni.

Il tempismo del primo comunicato stampa lascia dei dubbi

Nella gestione delle crisi aziendali, è necessario considerare prima di tutto “la prevenzione dell’espansione del danno”, “la prevenzione della ricorrenza del danno secondario” e “la prevenzione della ricorrenza”.

Quindi, quando si scopre una fuga di informazioni, è importante informare le parti interessate il più presto possibile dopo aver preso le prime misure.

Sebbene le domande e risposte della Tokken Corporation rispondano attentamente a una vasta gamma di domande previste e si può vedere che sono state create dopo un’attenta discussione con esperti come avvocati, rimangono dubbi sulla divulgazione circa un mese dopo la scoperta dell’accesso non autorizzato.

Certo, come azienda, vorremmo annunciare dopo aver condotto indagini e misure, ma non avremmo dovuto annunciare i seguenti quattro punti molto prima come primo rapporto?

  • Scoperta della fuga di informazioni e soggetti previsti
  • Contenuto delle informazioni personali divulgate
  • Non c’è possibilità di fuga di informazioni di credito come il numero della carta
  • Sistema e programma futuri
  • Sportello di consulenza

Punti chiave su notifiche, rapporti e divulgazioni

Quando si verifica una fuga di informazioni, è necessario considerare la notifica agli utenti e ai partner commerciali, la segnalazione alle autorità di supervisione e alla polizia, e la divulgazione attraverso il sito web e i media, a seconda della causa e del contenuto delle informazioni.

Se c’è un potenziale crimine

Se c’è la possibilità di un crimine legato all’accesso non autorizzato, è necessario segnalare immediatamente alla polizia dopo aver condotto un’indagine sui fatti e aver preso misure per preservare le prove.

Nel caso della Tōken Corporation (Corporazione Tōken giapponese), hanno segnalato il danno al Ministero dei Trasporti e delle Infrastrutture e alla Prefettura di Aichi Police Headquarters il giorno dopo aver completato l’indagine sul sito web dell’intero gruppo.

Se c’è la possibilità di una fuga di informazioni personali di credito

Se c’è la possibilità di una fuga di informazioni come il My Number (Numero personale giapponese), il numero della carta di credito, il conto bancario, l’ID e la password, è necessario notificare immediatamente alla persona interessata e incoraggiare la sospensione di tali informazioni per prevenire ulteriori danni.

Se la scala o l’ambito di impatto è grande, o se è difficile notificare individualmente a tutti i soggetti coinvolti

Si effettueranno divulgazioni attraverso la pubblicazione di informazioni sul sito web e conferenze stampa. Tuttavia, se c’è la possibilità che la divulgazione possa portare a un aumento del danno, si dovrebbe considerare il momento e i destinatari della divulgazione.

Inoltre, garantire la trasparenza e divulgare i fatti il più possibile quando si effettua una divulgazione può contribuire alla fiducia nell’azienda e prevenire ulteriori danni e incidenti simili.

Pubblicazione del secondo comunicato stampa

Il 9 febbraio 2021, all’inizio del nuovo anno, la Tohken Corporation ha pubblicato sul suo sito web un secondo rapporto sulla fuga di informazioni personali, correggendo gli elementi e il numero di casi di fuga.

A seguito di un’indagine forense condotta da un’organizzazione terza, abbiamo riesaminato gli elementi di fuga e abbiamo riscontrato alcune differenze. Pertanto, vi chiediamo di confermare nuovamente l’Allegato 1 “Elementi per sito e servizio”. (Omissione) Inoltre, il numero massimo di casi di fuga è stato ridotto da 657.096 a 655.488.

Il contenuto, oltre alle correzioni sopra menzionate, includeva solo l’aggiunta di metodi per affrontare spam e email sospette, e il contenuto di base era quasi lo stesso del primo comunicato stampa. Questa è stata l’ultima pubblicazione.

Il quartier generale delle misure, fulcro della gestione delle crisi

Dopo la scoperta di un accesso non autorizzato, la società giapponese Tōken Corporation ha istituito un “Quartier Generale per la Sicurezza delle Informazioni”, collaborando con enti terzi esterni e la polizia per prevenire ulteriori incidenti.

La struttura di questa organizzazione non è chiara, ma non solo è necessario adottare misure di sicurezza del sistema, ma è anche necessario procedere simultaneamente con il contatto con gli utenti target, la gestione dei media, la gestione degli azionisti e l’esame della responsabilità legale. Pertanto, generalmente è necessaria la partecipazione dei seguenti enti terzi esterni e specialisti:

  • Grandi aziende di software
  • Principali fornitori specializzati in sicurezza
  • Avvocati esterni con profonda conoscenza della sicurezza informatica

Riassunto

Nel caso in cui si verifichi una fuga di informazioni personali su larga scala, come quella di oltre 650.000 casi di questa volta, è importante concentrarsi sulla “risposta iniziale” e sulle “notifiche, rapporti e divulgazioni” centralizzate dal quartier generale delle misure, così come sulle “misure di sicurezza”.

In particolare, la velocità è richiesta non solo per la risposta iniziale, ma anche per le notifiche e i rapporti alle forze dell’ordine e alle agenzie governative correlate, e per la divulgazione agli stakeholder (comunicati stampa).

Tuttavia, se si sbaglia il metodo di gestione, si potrebbe essere soggetti a responsabilità per danni, quindi si consiglia di consultare un avvocato con una vasta conoscenza ed esperienza in materia di sicurezza informatica, invece di prendere decisioni da soli.

Se siete interessati alla gestione delle crisi durante la fuga di informazioni causata dal malware di Capcom, vi preghiamo di leggere l’articolo in cui ne parliamo in dettaglio.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Presentazione delle misure adottate dal nostro studio legale

Lo Studio Legale Monolis è un’agenzia legale con una forte specializzazione in IT, in particolare nell’intersezione tra internet e legge. Nel nostro studio, creiamo e rivediamo contratti per una varietà di casi, che vanno dalle aziende quotate alla Borsa di Tokyo Prime alle startup. Se avete bisogno di aiuto, si prega di fare riferimento all’articolo sottostante.

creazionedicontratti
Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Stema è una rappresentazione ingiusta? Movimenti verso un rafforzamento della regolamentazione e spiegazione sulla Legge Giapponese sulla presentazione dei premi

Stema è una rappresentazione ingiusta? Movimenti verso un rafforzamento della regolamentazione e.

General Corporate

Spiegazione delle leggi che gli operatori di siti di abbinamento per lavori secondari dovrebbero comprendere

Spiegazione delle leggi che gli operatori di siti di abbinamento per lavori secondari dovrebbero.

General Corporate

【In vigore nel 2024 (Reiwa 6)】Che cosa comporta la revisione della 'Legge Giapponese sull'Assicurazione per la Cura a Lungo Termine'? Spiegazione del contesto e delle misure che gli operatori del settore assistenziale dovrebbero adottare

【In vigore nel 2024 (Reiwa 6)】Che cosa comporta la revisione della 'Legge Giapponese sull'Assicu.

General Corporate

Cosa sono la 'Legge sulla protezione delle informazioni personali' e le 'informazioni personali'? Spiegazione di un avvocato

Cosa sono la 'Legge sulla protezione delle informazioni personali' e le 'informazioni personali'.

General Corporate

Quali sono le questioni legali che le aziende sponsor dell'eSport dovrebbero considerare? Spiegazione anche degli aspetti contrattuali previsti

Quali sono le questioni legali che le aziende sponsor dell'eSport dovrebbero considerare? Spiega.

General Corporate

Spiegazione dello sfondo dell'adozione della 'Sezione Super 301' statunitense che le aziende giapponesi dovrebbero conoscere

Spiegazione dello sfondo dell'adozione della 'Sezione Super 301' statunitense che le aziende gia.

General Corporate

I freelancer sono considerati 'lavoratori'? Criteri di valutazione della natura del lavoratore che il responsabile del personale dovrebbe conoscere

I freelancer sono considerati 'lavoratori'? Criteri di valutazione della natura del lavoratore c.

General Corporate

Punti da notare riguardo alle espressioni pubblicitarie per cosmetici e alimenti salutari

Punti da notare riguardo alle espressioni pubblicitarie per cosmetici e alimenti salutari

General Corporate

Differenze e distinzioni tra 'Deputazione, Invio, Quasi-incarico, Appalto, Appalto Falso, Fornitura di Lavoratori' in Giappone

Differenze e distinzioni tra 'Deputazione, Invio, Quasi-incarico, Appalto, Appalto Falso, Fornit.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su