Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > La continua fuga di informazioni personali, nell'anno fiscale Reiwa 5 (2023) è aumentata del 50% rispetto all'anno precedente. Spiegazione delle ultime tendenze

La continua fuga di informazioni personali, nell'anno fiscale Reiwa 5 (2023) è aumentata del 50% rispetto all'anno precedente. Spiegazione delle ultime tendenze

General Corporate

La continua fuga di informazioni personali, nell'anno fiscale Reiwa 5 (2023) è aumentata del 50% rispetto all'anno precedente. Spiegazione delle ultime tendenze

Negli ultimi anni, l’aumento delle sofisticate cyber-attacchi e degli errori umani ha portato a un incremento delle fughe di informazioni personali, diventando un problema grave per le aziende. La perdita di dati personali può causare alle aziende danni significativi come danni alla reputazione, rischi legali e interruzioni dell’attività commerciale.

In questo articolo, analizzeremo le tendenze degli incidenti di fuga di informazioni personali rivelate nel rapporto annuale dell’anno Reiwa 5 (2023) pubblicato dalla Commissione Giapponese per la Protezione delle Informazioni Personali. Utilizzate questo articolo come riferimento per rafforzare le misure di sicurezza informatica della vostra azienda e prevenire proattivamente il rischio di perdite di dati.

Cos’è il rapporto annuale della Commissione per la protezione delle informazioni personali

Con l’entrata in vigore della legge riveduta sulla protezione delle informazioni personali (Legge Giapponese sulla Protezione delle Informazioni Personali) in aprile del Reiwa 4 (2022), è stato imposto agli operatori che gestiscono informazioni personali l’obbligo di segnalare alla Commissione per la protezione delle informazioni personali (PPC) tramite il suo sito web, qualora si verifichino incidenti come la perdita di dati personali che soddisfino determinate condizioni.

La Commissione per la protezione delle informazioni personali ha pubblicato il rapporto annuale per l’anno fiscale Reiwa 5[ja] in giugno del Reiwa 6 (2024).

Articoli correlati: Quali sono i punti chiave della legge riveduta sulla protezione delle informazioni personali del Reiwa 6 (2024)? Scopri le modifiche importanti e le strategie di risposta[ja]

Sorveglianza degli operatori che gestiscono informazioni personali

Nell’anno fiscale Reiwa 7 (2023), si sono verificati 12.120 casi di trattamento di segnalazioni relative a fughe di informazioni e altri incidenti, un aumento significativo rispetto ai 7.685 casi dell’anno fiscale precedente. Ora, esaminiamo più dettagliatamente il contenuto di questi casi.

Stato dell’elaborazione degli incidenti di fuga di informazioni

Stato dell'elaborazione degli incidenti di fuga di informazioni

Dei casi segnalati, 11.635 incidenti (96,0%) hanno coinvolto meno di 1.000 persone per ogni incidente, mentre gli incidenti che hanno interessato più di 50.000 persone hanno rappresentato 61 casi (0,5%).

Per quanto riguarda gli incidenti segnalati direttamente al Comitato, il tipo di informazioni più frequentemente esposte sono state quelle dei clienti (83,5%), e analizzando la forma in cui si è verificata la fuga di informazioni, i documenti cartacei sono stati quelli più colpiti (82,0%), rispetto a quelli in formato elettronico (12,2%).

Classificando gli incidenti secondo le categorie di obbligo di segnalazione definite dal Regolamento di attuazione della Legge sulla Protezione dei Dati Personali (Regolamento), la maggior parte degli incidenti ha riguardato la fuga di dati personali che includevano informazioni sensibili come la storia clinica o l’etnia (89,7%), seguita da fughe di dati personali che potrebbero essere state causate da accessi non autorizzati o con intenti illeciti (8,1%).

La ragione di questa tendenza, considerando che la maggior parte delle cause degli incidenti è dovuta a errori umani come consegne errate, invii errati, smaltimenti inappropriati e perdite (per un totale dell’86,3%), sembra essere l’alto numero di incidenti causati da errori nella consegna di documenti cartacei contenenti dati personali sensibili (come, per esempio, i dettagli delle fatture mediche nelle strutture sanitarie).

In risposta a queste segnalazioni, la Commissione per la Protezione dei Dati Personali ha verificato se la notifica alle persone interessate (articolo 26, paragrafo 2, della Legge sulla Protezione dei Dati Personali) fosse stata adeguatamente effettuata, se le cause degli incidenti fossero state correttamente identificate e analizzate, e se le misure adottate per prevenire la ricorrenza degli incidenti fossero adeguate alle cause identificate, tra gli altri aspetti richiesti dal Regolamento. Inoltre, quando necessario, sono state fornite informazioni e consigli sulle metodologie di analisi delle cause e sulla valutazione delle misure preventive.

Situazione di raccolta rapporti, orientamento e consulenza

Sono state effettuate 73 azioni di raccolta rapporti, 333 di orientamento e consulenza nei confronti degli operatori che gestiscono dati personali.

Come casi di particolare gravità sono stati segnalati i seguenti:

  • Un caso in cui le informazioni dei clienti di nuove forniture elettriche detenute da un operatore generale di trasmissione e distribuzione sono state visualizzate e utilizzate dall’operatore di vendita al dettaglio di energia elettrica appartenente allo stesso gruppo aziendale o alla stessa azienda.
  • Un caso in cui l’ID e la password di un account assegnato a un operatore generale di trasmissione e distribuzione sono stati utilizzati dall’operatore di vendita al dettaglio di energia elettrica per accedere e utilizzare le informazioni personali contenute nel “Sistema di gestione delle attività per le energie rinnovabili” gestito dall’Agenzia per le Risorse Energetiche.
  • Un caso di fuga di dati in cui Toyota Motor Corporation aveva affidato a Toyota Connected Corporation, una sua sussidiaria, la gestione dei dati personali relativi ai servizi per gli utenti dei veicoli, e i dati personali gestiti sui server della società erano diventati accessibili dall’esterno.
  • Un caso di fuga di informazioni mediche dei pazienti da parte dell’Organizzazione Nazionale degli Ospedali, un’entità amministrativa indipendente e operatore di gestione delle informazioni sanitarie ai sensi della legge sull’informazione medica anonimizzata per la ricerca e lo sviluppo nel campo medico (Legge del 2017, n. 28).
  • Un caso in cui tre aziende che avevano presentato una notifica di opt-out avevano violato le disposizioni della Legge sulla Protezione dei Dati Personali.
  • Un caso in cui un dipendente temporaneo di NTT Nexia Co., Ltd., a cui NTT DOCOMO Inc. aveva affidato la gestione delle informazioni dei clienti per le vendite telefoniche, aveva accesso non autorizzato a un servizio cloud personale dal PC utilizzato per lavoro e aveva caricato su di esso dati personali di circa 5,96 milioni di persone, causando il rischio di una fuga di dati.
  • Un caso in cui un insegnante della società di doposcuola per l’esame di ammissione alle scuole medie Yotsuya Otsuka, mentre era in servizio, aveva cercato e visualizzato dati personali degli studenti gestiti dalla scuola, insieme a foto e video di bambini delle scuole elementari che frequentavano la scuola, li aveva inseriti nel proprio smartphone privato e aveva pubblicato i dati personali di sei persone sul proprio account SNS, causando una fuga di dati.
  • Un caso in cui i server della società MK System sono stati soggetti a un accesso non autorizzato e i dati personali gestiti dal sistema sono stati criptati a causa di un ransomware, generando il rischio di una fuga di dati.
  • Un caso in cui, inserendo un certo comando in pagine specifiche di prodotti su “Yahoo! Auctions”, veniva visualizzato il GUID (identificatore interno) del venditore all’asta, rendendo tale GUID visibile a terzi e causando il rischio di una fuga di dati.

In risposta a questi casi, sono state fornite direttive basate sull’articolo 23 della Legge sulla Protezione dei Dati Personali, e per alcuni di essi è stato richiesto un rapporto sullo stato di implementazione delle misure per prevenire la ricorrenza.

Situazione delle Raccomandazioni

A soggetti che gestiscono dati personali sono state effettuate tre raccomandazioni. Di seguito sono riportati i dettagli.

In relazione all’attività di un call center condotta da NTT Marketing Act ProCX Co., Ltd., su incarico di operatori privati, enti amministrativi indipendenti e enti pubblici locali, si è verificato un caso di fuga di dati in cui un individuo appartenente a NTT Business Solutions Co., Ltd., a cui era stato affidato il mantenimento e l’operatività del sistema utilizzato nell’attività, ha illecitamente sottratto dati personali relativi a clienti o cittadini, per un totale di circa 9,28 milioni di persone. In questo caso, entrambe le società sono state invitate a prendere le misure necessarie per correggere la violazione dell’articolo 23 della Legge Giapponese sulla Protezione dei Dati Personali.

Presso LINE Yahoo Japan Corporation, a seguito dell’infezione da malware di un PC utilizzato da un dipendente di una società di sicurezza coreana, a cui era stato affidato il compito di manutenzione, si è verificato un caso di accesso non autorizzato al sistema informativo e di conseguente fuga di dati personali relativi a utenti, partner commerciali e dipendenti di LINE. In questo caso, è stata fatta una raccomandazione per prendere le misure necessarie per correggere la violazione dell’articolo 23 della Legge Giapponese sulla Protezione dei Dati Personali e sono state richieste relazioni sullo stato di attuazione delle misure per prevenire la ricorrenza, compreso lo stato di miglioramento in risposta alla raccomandazione.

Sorveglianza degli enti amministrativi

Sorveglianza degli enti amministrativi

In base alla Legge sulla Protezione dei Dati Personali giapponese, è stata condotta una sorveglianza anche sugli enti amministrativi.

Stato del trattamento dei rapporti relativi agli incidenti di divulgazione delle informazioni personali in possesso

Nell’ambito della sorveglianza degli enti amministrativi, sono stati trattati 1159 rapporti relativi a incidenti di divulgazione delle informazioni personali in possesso. Di questi, 162 rapporti provengono da enti amministrativi nazionali e 997 da enti pubblici locali.

La maggior parte degli incidenti segnalati, come nell’anno precedente, riguarda la divulgazione di informazioni personali sensibili (enti amministrativi nazionali: 61.1%, enti pubblici locali: 80.3%), seguita da divulgazioni che hanno interessato più di 100 individui (enti amministrativi nazionali: 31.5%, enti pubblici locali: 18.8%).

Le principali cause degli incidenti sono errori umani come consegne errate, invii errati, smaltimenti inappropriati e perdite (enti amministrativi nazionali: totale 6.8%, enti pubblici locali: totale 78.8%), seguiti da errori di configurazione del sistema e altre cause (enti amministrativi nazionali: 22.8%, enti pubblici locali: 17.7%).

Per quanto riguarda il numero di persone colpite da ogni singolo incidente, la maggior parte ha interessato meno di 1000 persone (enti amministrativi nazionali: 93.2%, enti pubblici locali: 96.7%), e le informazioni divulgate riguardavano principalmente dati dei cittadini (enti amministrativi nazionali: 78.4%, enti pubblici locali: 91.1%). La forma più comune di informazioni divulgate era su supporto cartaceo (enti amministrativi nazionali: 58.0%, enti pubblici locali: 76.8%).

Richiesta di documentazione, ispezioni sul campo, direttive e consulenze

Per verificare la conformità alle linee guida relative alla Legge sulla Protezione dei Dati Personali giapponese e alle leggi sulla protezione dei dati personali (versione per gli enti amministrativi), sono state condotte 65 ispezioni programmate sul campo, durante le quali sono state richieste direttive per migliorare la gestione appropriata dei dati personali e la presentazione di rapporti relativi alle direttive impartite.

Oltre alle ispezioni sul campo, sono state effettuate 73 azioni di direttiva e consulenza, tra cui richieste di rafforzamento delle misure di prevenzione per le carenze nelle misure di sicurezza legate alla gestione dei dati personali segnalati. Tra gli incidenti gravi si segnalano:

  • Un caso in cui gli account ID e password assegnati agli operatori di distribuzione generale dall’Agenzia per le Risorse e l’Energia giapponese, utilizzati per l’accesso e l’uso non autorizzato delle informazioni personali contenute nel “Sistema di Gestione delle Attività di Energia Rinnovabile”.
  • Un caso a Noheji, nella prefettura di Aomori, dove è stata smarrita una USB contenente informazioni personali come nome, data di nascita, risultati di esami sanitari e cronologia delle vaccinazioni per il COVID-19 della maggior parte dei cittadini, con il rischio di una possibile divulgazione.
  • Un caso in cui due insegnanti di due scuole superiori sotto la giurisdizione della Commissione Educativa della Prefettura di Nagano, cadendo vittime di una truffa di supporto, hanno installato software di controllo remoto non autorizzato sui PC destinati agli affari scolastici, creando il rischio di divulgazione delle informazioni personali degli studenti e del personale scolastico.

In questi casi, sono state impartite direttive basate sull’articolo 66, paragrafo 1, della Legge sulla Protezione dei Dati Personali giapponese per affrontare le inadeguate misure di sicurezza, e per gli incidenti nelle prefetture di Aomori e Nagasaki sono state richieste anche la presentazione di documenti relativi all’attuazione delle misure di prevenzione.

Riepilogo: Il numero di casi di violazione dei dati personali è il più alto da quando sono iniziati i rapporti

Dopo la revisione dell’anno Reiwa 4 (2022), è diventato obbligatorio segnalare alla Commissione per la Protezione dei Dati Personali del Giappone, ma il numero di segnalazioni nell’anno fiscale Reiwa 5, che ammonta a 12.120 casi, è aumentato di circa il 58% rispetto all’anno precedente, segnando il numero più alto dal momento in cui la segnalazione è diventata un obbligo di sforzo nell’anno fiscale Heisei 25 (2013).

Quando si tratta della gestione dei dati personali, se si commettono errori nelle misure adottate e si verifica effettivamente una violazione, le informazioni verranno pubblicate sul sito della Commissione per la Protezione dei Dati Personali del Giappone in questo modo, portando a danni al marchio aziendale e alla perdita di credibilità sociale. È consigliabile consultare un avvocato per la gestione e l’operatività dei dati personali, per essere preparati in anticipo.

Guida alle misure adottate dal nostro studio legale

Lo Studio Legale Monolith possiede una vasta esperienza sia in IT, in particolare in Internet, sia nel settore legale. Oggi, la fuga di informazioni personali è diventata un problema significativo. Nel caso in cui si verifichi una fuga di dati personali, ciò può avere un impatto devastante sull’attività aziendale. Il nostro studio offre una conoscenza specializzata nella prevenzione e nelle strategie di risposta alle fughe di informazioni. Troverete maggiori dettagli nell’articolo sottostante.

Settori di competenza dello Studio Legale Monolith: Servizi legali relativi alla protezione dei dati personali[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Cosa sono le espressioni non consentite nella pubblicità dei supplementi? Spiegazione di tre leggi giapponesi che richiedono attenzione

Cosa sono le espressioni non consentite nella pubblicità dei supplementi? Spiegazione di tre leg.

General Corporate

Foglio di termini del contratto di investimento relativo all'aumento di capitale mediante assegnazione a terzi

Foglio di termini del contratto di investimento relativo all'aumento di capitale mediante assegn.

General Corporate

Sui vantaggi e le procedure per effettuare la successione aziendale tramite M&A

Sui vantaggi e le procedure per effettuare la successione aziendale tramite M&A

General Corporate

Abolizione del divieto di volo per i droni di livello 4, spiegazione delle leggi che le startup correlate dovrebbero comprendere

Abolizione del divieto di volo per i droni di livello 4, spiegazione delle leggi che le startup .

General Corporate

Annullamento della richiesta in e-commerce da parte di minori

Annullamento della richiesta in e-commerce da parte di minori

General Corporate

Si può essere arrestati per violazione della 'Legge Giapponese sui Dispositivi Farmaceutici e Medici'? Spiegazione delle sanzioni per violazione della 'Legge Giapponese sui Dispositivi Farmaceutici e Medici'

Si può essere arrestati per violazione della 'Legge Giapponese sui Dispositivi Farmaceutici e Me.

General Corporate

Non fallire! “Leggi da conoscere per le 'M&A personali'”

Non fallire! “Leggi da conoscere per le 'M&A personali'”

General Corporate

Cosa sono le clausole di invio di direttori nei contratti di investimento

Cosa sono le clausole di invio di direttori nei contratti di investimento

General Corporate

Cosa dovrebbe rivelare un'azienda in caso di una violazione dei dati

Cosa dovrebbe rivelare un'azienda in caso di una violazione dei dati

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su