MONOLITH LAW OFFICE+81-3-6262-3248Hari Minggu 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Mengambil Pelajaran dari Kes Pengurusan Krisis dan Peranan Peguam dalam Insiden Kebocoran Maklumat 650,000 Kes oleh Japanese Touken Corporation

General Corporate

Mengambil Pelajaran dari Kes Pengurusan Krisis dan Peranan Peguam dalam Insiden Kebocoran Maklumat 650,000 Kes oleh Japanese Touken Corporation

Pada 1 April 2005 (Tahun 2005 dalam Kalendar Gregorian), Akta Perlindungan Maklumat Peribadi Jepun (Japanese Personal Information Protection Act) telah dilaksanakan sepenuhnya, dan pengendali perniagaan yang mengendalikan maklumat peribadi wajib mengambil langkah-langkah pengurusan keselamatan. Walau bagaimanapun, insiden kebocoran maklumat peribadi tidak berhenti berlaku.

Apabila insiden kebocoran maklumat berlaku, prosedur penanganan dan kelajuan tindakan adalah sangat penting. Terutamanya dalam perusahaan kecil dan sederhana yang tidak mempunyai staf khusus keselamatan maklumat, mungkin sukar untuk membuat keputusan segera tentang bagaimana harus bertindak.

Oleh itu, kali ini, berdasarkan respons syarikat terhadap insiden kebocoran maklumat di Touken Corporation, kami akan menjelaskan sistem pengurusan krisis dalam kebocoran maklumat.

Ringkasan Kebocoran Maklumat

Isi kandungan utama berkenaan kebocoran maklumat akibat akses tidak sah yang berlaku di Japanese 東建コーポレーション adalah seperti berikut:

  • Kejadian: Selama 24 hari dari 20 Ogos hingga 12 September 2020
  • Pendedahan: 20 Oktober 2020
  • Punca: Akses tidak sah oleh pihak ketiga ke server yang menyimpan maklumat pelbagai pengguna dari laman web syarikat kumpulan
  • Sasaran: Orang yang menghubungi laman web syarikat kumpulan, ahli, pemohon untuk pelbagai kempen
  • Maklumat: “Alamat e-mel”, “Nama”, “Alamat”, “Nombor telefon”, “Kata laluan”, “Jantina”, “Tarikh lahir” dan lain-lain
  • Bilangan: Jumlah maklumat peribadi yang mungkin bocor adalah 657,096 kes

Pendedahan Akses Tidak Sah dan Tindakan Awal

Pada 20 Oktober 2020 (Tahun Reiwa 2), semasa menjalankan pemeriksaan berkala laman web, Touken Corporation telah menemui akses tidak sah ke laman web operasi mereka sendiri, ‘Nasurak Kitchen’, dan telah mengambil tindakan awal berikut.

  • Sebagai tindakan keselamatan kecemasan, ‘Nasurak Kitchen’ telah ditutup dan semua perkhidmatan dari laman web tersebut juga dihentikan.
  • Mendirikan ‘Pusat Tindakan Keselamatan Maklumat’ dan berunding dengan badan pihak ketiga luaran.
  • Menjalankan pemeriksaan ke atas semua laman web kumpulan hingga 11 November, dan mengambil tindakan pembaikan kelemahan sementara, serta menentukan jumlah dan item kebocoran maksimum.

Titik Utama Tindakan Awal

Sekiranya risiko kebocoran maklumat akibat akses tidak sah disahkan, tindakan berikut mesti diambil segera untuk mengelakkan peningkatan kerugian, kejadian kerugian sekunder, dan pengulangan.

  • Mengesahkan fakta yang berkaitan (punca akses tidak sah, laluan, dan lain-lain)
  • Menghentikan peralatan atau laman web yang menerima akses tidak sah
  • Memisahkan peralatan atau laman web yang menerima akses tidak sah dari rangkaian

Perkara yang perlu diberi perhatian pada masa ini adalah untuk tidak melakukan operasi yang tidak perlu dan mengambil langkah-langkah untuk memelihara bukti agar bukti yang ditinggalkan di sistem tidak dihapuskan.

Siaran Pers Selepas Penzahiran Kebocoran Maklumat

Pengumuman pertama dibuat pada 17 November 2020 di laman web Korporasi Touken (Tokken Corporation).

Isi pengumuman termasuk ringkasan akses tidak sah dan langkah-langkah masa depan, serta maklumat yang diperlukan yang ditulis dengan sangat terperinci dalam bentuk “Soalan Lazim mengenai Insiden Kebocoran Maklumat Akibat Akses Tidak Sah”.

Syarikat Touken Corporation dan syarikat-syarikat kumpulan kami (selanjutnya, Kumpulan kami) telah mengesahkan pada 20 Oktober 2020 bahawa rangkaian Kumpulan kami telah menerima akses tidak sah oleh pihak ketiga, dan terdapat kemungkinan maklumat peribadi seperti pertanyaan kepada Home Mate yang dijalankan oleh Kumpulan kami, maklumat ahli syarikat kumpulan, dan maklumat pemohon untuk pelbagai kempen telah bocor ke luar.

Mengenai Kebocoran Maklumat Peribadi Akibat Akses Tidak Sah[ja]

Di laman web yang dipautkan di atas, “Soalan Lazim mengenai Insiden Kebocoran Maklumat Akibat Akses Tidak Sah”[ja] memasukkan kandungan seperti berikut.

Mengenai Kandungan Maklumat yang Bocor

Q Apakah maklumat yang bocor kali ini?
A Kami percaya bahawa “Nama”, “Alamat”, “Nombor Telefon”, “Alamat E-mel”, dan “Kata Laluan” telah bocor di semua laman web termasuk syarikat-syarikat kumpulan yang dikendalikan oleh syarikat kami.

Q Adakah maklumat kad kredit telah bocor?
A Di laman web yang dikendalikan oleh syarikat kami termasuk syarikat-syarikat kumpulan, kami tidak menyimpan sebarang maklumat seperti nombor kad kredit atau My Number yang merupakan nombor pengenalan peribadi, jadi tiada risiko kebocoran.

Dalam penjelasan mengenai maklumat yang bocor, dengan secara spesifik mencatatkan ① maklumat yang mungkin bocor dan ② maklumat yang tidak berisiko bocor, kita boleh mengelakkan kekeliruan dan kebimbangan yang tidak perlu.

Tentang Langkah-langkah di Masa Depan

Q Adakah selamat untuk terus menggunakan laman web syarikat kumpulan Touken, termasuk syarikat anak syarikat?
A Untuk semua laman web yang diuruskan oleh syarikat kami termasuk syarikat kumpulan, peningkatan keselamatan terhadap akses tidak sah yang sama telah selesai pada masa ini.

Q Bagaimanakah pengurusan maklumat akan dilakukan di masa depan?
A Di masa depan, kami akan menerima pemeriksaan oleh agensi penyelidikan pihak ketiga mengikut keperluan, dan jika kelemahan atau seumpamanya ditemui di laman web, kami akan segera membetulkannya dan berusaha untuk pengurusan maklumat yang lebih ketat.

Dalam langkah-langkah masa depan, adalah penting untuk menjelaskan dengan teliti tentang tindak balas keselamatan laman web yang digunakan oleh pengguna, sama ada boleh digunakan semula, dan sistem pengurusan maklumat di masa depan.

Soalan Lazim Mengenai Pampasan Kerugian dan lain-lain

Q Adakah bayaran permintaan maaf atau bayaran gangguan dibayar kepada mangsa kebocoran maklumat?
A Berdasarkan penilaian kami terhadap maklumat yang bocor akibat akses tidak sah kali ini, kami tidak merancang untuk membuat bayaran permintaan maaf atau bayaran gangguan. Walau bagaimanapun, jika kebocoran maklumat kali ini telah menyebabkan kerugian kewangan kepada pelanggan dan anda dapat memberikan bukti konkrit, sila berunding dengan kami melalui ‘Kaunter Rundingan Maklumat Peribadi’ kami.

Q Saya tidak ingat membuat pengeluaran tertentu. Bolehkah saya mendapatkan pampasan?
A Jika ada pengeluaran yang anda tidak ingat dibuat dari akaun yang anda miliki, kami meminta anda untuk menghubungi syarikat yang membuat pengeluaran tersebut secara langsung. Jika didapati bahawa pengeluaran yang tidak diingati ini disebabkan oleh kebocoran maklumat kali ini, kami meminta maaf atas kesulitan yang ditimbulkan dan meminta anda untuk memberi tahu kami melalui ‘Kaunter Rundingan Maklumat Peribadi’ kami.

Kami tidak akan membuat bayaran permintaan maaf atau bayaran gangguan, tetapi jika kebocoran maklumat menyebabkan kerugian kewangan, kami akan berunding secara individu mengenai pampasan kerugian, dan kami telah menjelaskan dengan jelas dasar syarikat kami.

Penentuan Masa Untuk Siaran Akhbar Pertama Yang Meninggalkan Keraguan

Dalam pengurusan krisis syarikat, kita mesti mempertimbangkan ‘pengembangan kerugian’, ‘kejadian kerugian sekunder’, dan ‘pencegahan berulang’ sebagai keutamaan.

Oleh itu, apabila penyebaran maklumat dikesan, adalah penting untuk memberitahu pihak yang berkenaan secepat mungkin setelah mengambil tindakan awal.

Soalan dan Jawapan dari Korporasi Touken meliputi pelbagai soalan yang dijangka dengan jawapan yang teliti, dan dapat dilihat bahawa mereka telah dibuat dengan perbincangan yang teliti dengan pakar seperti peguam sebelumnya, tetapi masih ada keraguan tentang pengumuman kira-kira sebulan selepas penemuan akses yang tidak sah.

Memang, sebagai syarikat, kita ingin membuat pengumuman setelah melakukan penyiasatan dan tindakan, tetapi adakah empat perkara berikut seharusnya diumumkan lebih awal sebagai laporan pertama?

  • Penemuan penyebaran maklumat dan individu yang dijangka terlibat
  • Kandungan maklumat peribadi yang bocor
  • Tiada kemungkinan penyebaran maklumat kredit seperti nombor kad
  • Struktur dan jadual masa depan
  • Hubungi pusat pertanyaan

Poin-Poin Pengumuman, Laporan, dan Penerbitan

Apabila terdapat kebocoran maklumat, perlu dipertimbangkan untuk memberi notis kepada pengguna dan rakan niaga berdasarkan punca dan kandungan maklumat tersebut, membuat laporan kepada pihak berkuasa pengawasan dan polis, serta menerbitkan maklumat tersebut melalui laman web dan media massa.

Jika terdapat unsur jenayah

Jika terdapat kemungkinan jenayah berkaitan dengan akses yang tidak sah, anda perlu menyiasat fakta dan mengambil langkah-langkah untuk memelihara bukti, kemudian segera melaporkan kepada polis.

Sebagai contoh, dalam kes Tokyo Corporation (東建コーポレーション), laporan kerugian telah dibuat kepada Kementerian Pengangkutan dan Infrastruktur Jepun (Japanese Ministry of Land, Infrastructure, Transport and Tourism) dan Ibu Pejabat Polis Aichi (Aichi Prefectural Police Headquarters) pada hari berikutnya setelah penyiasatan laman web seluruh kumpulan selesai.

Jika terdapat kemungkinan kebocoran maklumat kredit peribadi

Jika terdapat kemungkinan kebocoran maklumat seperti nombor My Number, nombor kad kredit, akaun bank, ID dan kata laluan, anda perlu segera memberi notis kepada individu yang terlibat dan menggalakkan mereka untuk menghentikan penggunaan maklumat tersebut untuk mencegah kerugian sekunder.

Jika skala atau lingkungan kesan adalah besar, atau jika sukar untuk memberi notis individu kepada semua pihak yang berkepentingan

Anda akan membuat penerbitan melalui pengumuman di laman web atau siaran pers. Walau bagaimanapun, jika terdapat kemungkinan bahawa penerbitan boleh menyebabkan peningkatan kerugian, anda perlu membuat keputusan dengan mempertimbangkan masa dan sasaran penerbitan.

Selain itu, memastikan ketelusan dan mendedahkan fakta sebanyak mungkin semasa membuat penerbitan akan membantu dalam memelihara kepercayaan perusahaan dan mencegah peningkatan kerugian dan kejadian serupa.

Pengumuman Siaran Pers Kedua

Pada 9 Februari 2021, selepas tahun baru, Toyo Construction Corporation telah mengumumkan laporan kedua mengenai kebocoran maklumat peribadi di laman web mereka dan telah membuat pembetulan pada item dan jumlah kebocoran.

Sebagai hasil daripada penyiasatan forensik oleh pihak ketiga, beberapa perbezaan telah ditemui dalam item yang bocor, jadi kami meminta anda untuk semak semula di Lampiran 1 ‘Mengenai Item untuk Setiap Laman Web dan Perkhidmatan’. (omitted) Jumlah kes yang bocor juga telah berubah dari maksimum 657,096 kes menjadi maksimum 655,488 kes.

Selain pembetulan di atas, kandungan adalah hampir sama dengan siaran pers pertama, dengan penambahan cara-cara untuk menangani e-mel spam dan e-mel mencurigakan, dan pengumuman ini adalah yang terakhir.

Pusat Tindakan sebagai Tumpuan dalam Menangani Krisis

Selepas penemuan akses tidak sah, Touken Corporation telah menubuhkan ‘Pusat Keselamatan Maklumat’ dan berusaha untuk mencegah kejadian berulang dengan bekerjasama dengan pihak ketiga luaran dan polis.

Walaupun struktur organisasi ini tidak diketahui, bukan hanya langkah-langkah keselamatan sistem yang diperlukan, tetapi juga perlu untuk melakukan komunikasi dengan pengguna sasaran, penanganan media, penanganan pemegang saham, dan pertimbangan tanggungjawab undang-undang secara serentak. Oleh itu, umumnya diperlukan penyertaan pihak ketiga luaran dan pakar seperti berikut:

  • Syarikat perisian utama
  • Vendor pakar keselamatan utama
  • Peguam luar yang berpengalaman dalam keselamatan siber

Rumusan

Seperti kes kali ini, apabila penyebaran maklumat peribadi berskala besar melebihi 650,000 kes terdedah, tindakan awal (‘respon awal’) dan ‘pemberitahuan, laporan, dan pengumuman’ berpusat di pusat tindakan serta ‘langkah-langkah keselamatan’ menjadi penting.

Yang diperlukan bukan hanya respon awal tetapi juga kecepatan dalam memberitahu dan melaporkan kepada polis dan agensi kerajaan yang berkaitan serta pengumuman kepada pihak yang berkepentingan (siaran akhbar).

Namun, jika anda salah dalam mengambil tindakan, anda mungkin akan dituntut atas tanggungjawab ganti rugi, jadi kami menyarankan anda untuk berunding dengan peguam yang berpengalaman dan berpengetahuan tentang keselamatan siber sebelum membuat keputusan sendiri.

Bagi mereka yang berminat tentang pengurusan krisis semasa penyebaran maklumat oleh perisian jahat Capcom, sila lihat artikel ini untuk keterangan lanjut.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Panduan Mengenai Langkah-langkah yang Diambil oleh Firma Kami

Firma guaman Monolis adalah sebuah firma guaman yang memiliki keahlian tinggi dalam bidang IT, khususnya internet dan undang-undang. Di firma kami, kami melakukan pembuatan dan ulasan kontrak untuk pelbagai kes, dari syarikat yang tersenarai di Bursa Saham Tokyo Prime hingga syarikat startup. Jika anda menghadapi masalah, sila rujuk artikel di bawah.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Kembali ke Atas