De onophoudelijke lek van persoonsgegevens, 1,5 keer meer in 2023 (Reiwa 5) dan het voorgaande jaar. Een uitleg van de nieuwste trends.

In de afgelopen jaren is het aantal gevallen van persoonsgegevenslekken als gevolg van steeds geraffineerdere cyberaanvallen en menselijke fouten toegenomen, wat een ernstig probleem vormt voor bedrijven. Het lekken van persoonsgegevens kan leiden tot ernstige schade voor een bedrijf, zoals reputatieschade, het risico op rechtszaken en zelfs een mogelijke stopzetting van de bedrijfsactiviteiten.

In dit artikel bespreken we de trends in gevallen van persoonsgegevenslekken zoals die blijken uit het jaarverslag van de Japanse Persoonsgegevensbeschermingscommissie (Personal Information Protection Commission) voor het jaar Reiwa 5 (2023). Gebruik dit artikel om uw eigen informatiebeveiligingsmaatregelen te versterken en het risico op lekken te voorkomen.

Wat is het jaarverslag van de Japanse Persoonsgegevens Beschermingscommissie?

In april van Reiwa 4 (2022) werd de gewijzigde Japanse Wet op de Bescherming van Persoonsgegevens van kracht, die bedrijven die persoonsgegevens verwerken verplicht om incidenten zoals datalekken te rapporteren via de website van de Persoonsgegevens Beschermingscommissie (PPC), mits deze incidenten aan bepaalde voorwaarden voldoen.

De Persoonsgegevens Beschermingscommissie heeft in juni van Reiwa 6 (2024) het jaarverslag van Reiwa 5 (2023)[ja] gepubliceerd.

Gerelateerd artikel: De belangrijkste punten van de herziene Japanse Wet op de Bescherming van Persoonsgegevens in Reiwa 6 (2024)? Een uitleg van de belangrijkste wijzigingen en maatregelen die u moet kennen[ja]

Toezicht op ondernemingen die persoonsgegevens verwerken

In het fiscale jaar Reiwa 5 (2023) zijn er 12.120 meldingen van datalekken en gerelateerde incidenten behandeld, wat een aanzienlijke toename is vergeleken met de 7.685 gevallen in het voorgaande jaar. Laten we nu de specifieke details bekijken.

Behandeling van lekkage- en soortgelijke incidenten

Van de gerapporteerde incidenten betrof het in 11.635 gevallen (96,0%) een aantal van 1000 of minder mensen die getroffen waren door een lek, en in 61 gevallen (0,5%) ging het om incidenten waarbij meer dan 50.000 mensen betrokken waren.

In de gevallen die rechtstreeks aan de commissie zijn gemeld, was klantinformatie het meest gelekte type informatie (83,5%), en qua vorm was het lekken van alleen papieren media (82,0%) vaker dan het lekken van alleen elektronische media (12,2%).

Bij de indeling naar de typen rapportageverplichtingen zoals vastgesteld in de Wet Bescherming Persoonsgegevens en de uitvoeringsregels daarvan, was het meest voorkomende type het lekken van persoonsgegevens die gevoelige informatie bevatten, zoals medische geschiedenis of ras (89,7%), gevolgd door lekken van persoonsgegevens die mogelijk met onrechtmatige toegang of met een onrechtmatig doel zijn verkregen (8,1%).

Deze trend kan worden verklaard door het feit dat de meeste oorzaken van lekkage- en soortgelijke incidenten menselijke fouten waren, zoals onjuiste levering, verzending, vernietiging of verlies (in totaal 86,3%). Dit in overweging nemend, waren er veel gevallen van lekkage door onjuiste levering van papieren media die persoonsgegevens bevatten die speciale aandacht vereisen, zelfs als het slechts één persoon betrof, zoals foutief uitgegeven gedetailleerde facturen voor medische behandelingen in zorginstellingen.

Naar aanleiding van deze rapporten heeft de Persoonsgegevensbeschermingscommissie de uitvoering van maatregelen voor de getroffenen beoordeeld, zoals de kennisgeving aan de betrokkenen (Artikel 26, lid 2 van de Wet Bescherming Persoonsgegevens), of de oorzaken van het incident correct zijn geïdentificeerd en geanalyseerd, en of de maatregelen ter voorkoming van herhaling in de rapporten overeenkomen met de oorzaken van het incident. Indien nodig werden maatregelen genomen zoals het verstrekken van informatie over methoden voor oorzaakanalyse en het overwegen van preventieve maatregelen.

Rapportage, Begeleiding en Advies

Aan ondernemingen die persoonsgegevens beheren zijn 73 rapportageverzoeken, 333 begeleidings- en adviesacties uitgevoerd.

Als ernstige gevallen kunnen de volgende worden aangehaald:

• Een algemene elektriciteitsdistributeur had klantinformatie van nieuwe elektriciteitsklanten die werd bekeken en gebruikt door een groepsmaatschappij of de retailafdeling van hetzelfde bedrijf, namelijk de gerelateerde retail elektriciteitsleverancier.
• De Japanse Agency for Natural Resources and Energy, die het ‘Renewable Energy Business Management System’ beheert, had een situatie waarin de aan algemene elektriciteitsdistributeurs toegewezen account-ID’s en wachtwoorden werden gebruikt door gerelateerde retail elektriciteitsleveranciers om persoonlijke informatie in het systeem te bekijken en te gebruiken.
• Toyota Motor Corporation had de verwerking van persoonlijke data gerelateerd aan diensten voor voertuiggebruikers uitbesteed aan haar dochteronderneming Toyota Connected Corporation, waarbij persoonlijke data op de servers van laatstgenoemde toegankelijk was van buitenaf, wat leidde tot een datalek.
• De onafhankelijke administratieve instelling National Hospital Organization, een medische informatiebehandelaar onder de Japanse Wet op de Anonieme Verwerking van Medische Informatie voor Onderzoek en Ontwikkeling in de Medische Sector (Wet Nr. 28 van 2017), had een patiëntinformatielek.
• Drie opt-out aangemelde bedrijven hadden de Japanse Wet Bescherming Persoonsgegevens geschonden.
• NTT DOCOMO, Inc. had klantinformatiebeheer voor telefonische verkoop uitbesteed aan NTT NEXIA Corporation, waarbij een uitzendkracht van NEXIA zonder toestemming toegang had verkregen tot een cloudservice via een werk-PC en in totaal ongeveer 5,96 miljoen persoonsgegevens naar de cloudservice had geüpload, wat leidde tot een potentieel datalek.
• Een docent van Yotsuya Otsuka Corporation, een bedrijf dat middelbare school voorbereidingscursussen aanbiedt, had tijdens zijn dienstverband foto’s en video’s van basisschoolleerlingen, samen met de door de school beheerde persoonlijke data van leerlingen, opgezocht en bekeken, en deze ingevoerd in zijn privé-smartphone en de persoonlijke data van zes leerlingen op zijn eigen SNS-account gepost, wat leidde tot een datalek.
• MK System Corporation’s server was het doelwit van een ongeautoriseerde toegang, en de persoonsgegevens die in het systeem werden beheerd, werden versleuteld door ransomware, wat een potentieel datalek tot gevolg had.
• Op bepaalde productpagina’s van ‘Yahoo! Auctions’ werd, indien bepaalde commando’s werden ingevoerd, de GUID (intern identificatienummer) van de veilingverkoper zichtbaar, waardoor de GUID toegankelijk werd voor derden en een potentieel datalek ontstond.

In reactie op deze gevallen zijn er begeleidingen uitgevoerd op basis van Artikel 23 van de Japanse Wet Bescherming Persoonsgegevens, en voor sommige gevallen is gevraagd om rapporten over de implementatie van maatregelen om herhaling te voorkomen.

Situatie omtrent aanbevelingen

Aan drie ondernemingen die persoonsgegevens beheren, zijn aanbevelingen gedaan. Hieronder volgt een samenvatting van de situaties.

Bij het callcenterbedrijf dat door NTT Marketing Act ProCX, een dochteronderneming van het Japanse NTT, werd uitgevoerd in opdracht van particuliere bedrijven, onafhankelijke administratieve agentschappen en lokale overheden, heeft een medewerker van NTT Business Solutions, die de opdracht had gekregen voor het onderhoud en de exploitatie van het gebruikte systeem, onrechtmatig persoonsgegevens van ongeveer 9,28 miljoen klanten of burgers meegenomen, wat leidde tot een datalek. In dit geval zijn beide bedrijven aangeraden om de noodzakelijke maatregelen te treffen om de schending van Artikel 23 van de Japanse Wet Bescherming Persoonsgegevens te corrigeren.

Bij LINE Yahoo Japan Corporation, heeft een medewerker van een Zuid-Koreaanse beveiligingsbedrijf, dat was ingehuurd voor onderhoud, een computer gebruikt die besmet was met malware. Dit was de aanleiding voor een ongeautoriseerde toegang tot het informatiesysteem, wat resulteerde in het lekken van persoonsgegevens van gebruikers, zakelijke partners en werknemers gerelateerd aan LINE. Er is een aanbeveling gedaan om de noodzakelijke maatregelen te treffen om de schending van Artikel 23 van de Japanse Wet Bescherming Persoonsgegevens te corrigeren, en er is gevraagd om verslag uit te brengen over de status van de verbeteringen, inclusief de uitvoering van maatregelen om herhaling te voorkomen.

Toezicht op overheidsinstanties en dergelijke

Op basis van de Wet Bescherming Persoonsgegevens (Japanese Personal Information Protection Act) is er toezicht gehouden op overheidsinstanties en dergelijke.

Verwerking van meldingen over datalekken van persoonsgegevens

In het kader van toezicht op overheidsinstanties zijn 1159 meldingen van datalekken van persoonsgegevens behandeld. Hiervan waren 162 meldingen afkomstig van nationale overheidsinstanties en 997 van lokale overheden.

De meeste meldingen waren, net als in het voorgaande jaar, gerelateerd aan datalekken van gevoelige persoonsgegevens (nationale overheidsinstanties: 61.1%, lokale overheden: 80.3%). Daarna volgden datalekken waarbij de persoonsgegevens van meer dan 100 mensen betrokken waren (nationale overheidsinstanties: 31.5%, lokale overheden: 18.8%).

De meeste incidenten werden veroorzaakt door menselijke fouten zoals onjuiste bezorging, verzending, vernietiging of verlies (nationale overheidsinstanties: in totaal 6.8%, lokale overheden: in totaal 78.8%). Daarna kwamen fouten in systemen en andere gerelateerde oorzaken (nationale overheidsinstanties: 22.8%, lokale overheden: 17.7%).

De meeste datalekken per incident betroffen minder dan 1000 mensen (nationale overheidsinstanties: 93.2%, lokale overheden: 96.7%). De gelekte informatie was voornamelijk die van burgers (nationale overheidsinstanties: 78.4%, lokale overheden: 91.1%). De vorm van de gelekte informatie was vooral op papier (nationale overheidsinstanties: 58.0%, lokale overheden: 76.8%).

Situatie met verzoeken om informatie, inspecties ter plaatse, en advies en begeleiding

Om de naleving van de richtlijnen van de Wet Bescherming Persoonsgegevens (Japanese Personal Information Protection Act) en de wetgeving inzake de bescherming van persoonsgegevens (Japanese Act on the Protection of Personal Information) door overheidsinstanties te beoordelen, zijn 65 geplande inspecties ter plaatse uitgevoerd. Er zijn verbeteringen gevraagd in de juiste omgang met persoonsgegevens, en er zijn verzoeken om informatie gedaan over de begeleide maatregelen.

Naast de inspecties ter plaatse zijn er 73 gevallen van advies en begeleiding geweest in verband met de ontvangst van meldingen van datalekken, waarbij werd gevraagd om de doorvoering van maatregelen om herhaling te voorkomen bij onvoldoende veiligheidsmaatregelen. Er zijn ernstige gevallen gemeld, waaronder:

• Een geval waarin de door de Agency for Natural Resources and Energy beheerde ‘Renewable Energy Business Management System’ werd gebruikt door gerelateerde elektriciteitsretailers om persoonsgegevens in het systeem te bekijken en te gebruiken met behulp van accounts en wachtwoorden die aan algemene transmissie- en distributiebedrijven waren toegewezen.
• Een geval in de stad Noheji, Aomori, waar een USB-stick met persoonsgegevens van de meeste inwoners, waaronder namen, geboortedata, gezondheidsonderzoeksresultaten en vaccinatiegeschiedenis voor COVID-19, verloren ging, wat leidde tot een risico op datalekken.
• Een geval waarin twee docenten van twee middelbare scholen onder beheer van de Nagano Prefectural Board of Education, na het slachtoffer te zijn geworden van supportfraude, ongeautoriseerde externe toegangssoftware installeerden op hun werkcomputers, wat leidde tot een potentieel datalek van persoonsgegevens van studenten en personeel.

Op deze gevallen is begeleiding gebaseerd op artikel 66, lid 1 van de Wet Bescherming Persoonsgegevens uitgevoerd, en voor de gevallen in Aomori en Nagasaki is gevraagd om informatie over de uitvoering van maatregelen om herhaling te voorkomen.

Samenvatting: Recordaantal gevallen van datalekken sinds de start van de rapportage

Sinds de wijziging in het vierde jaar van Reiwa (2022) is het verplicht geworden om datalekken te rapporteren aan de Japanse Commissie voor de Bescherming van Persoonsgegevens. Het aantal gerapporteerde gevallen in het vijfde jaar van Reiwa (2023) bedroeg 12.120, wat een toename van ongeveer 58% is ten opzichte van het voorgaande jaar en het hoogste aantal sinds de rapportageverplichting werd ingevoerd in het 25e jaar van Heisei (2013).

Bij de verwerking van persoonsgegevens kan een fout leiden tot een daadwerkelijk datalek, wat vervolgens gepubliceerd wordt op de website van de Japanse Commissie voor de Bescherming van Persoonsgegevens. Dit kan schade toebrengen aan het merk van een bedrijf en leiden tot het verlies van maatschappelijk vertrouwen. Het is aan te bevelen om voorafgaand overleg te plegen met een advocaat over de behandeling en het beheer van persoonsgegevens, om zodoende de juiste maatregelen te treffen.

Maatregelen van ons kantoor

Monolith Advocatenkantoor is een advocatenkantoor met een schat aan ervaring op het gebied van IT, en in het bijzonder internet en recht. Tegenwoordig is het lekken van persoonlijke informatie een groot probleem geworden. In het geval dat persoonlijke informatie onverhoopt wordt gelekt, kan dit een verwoestende impact hebben op de activiteiten van een onderneming. Ons kantoor beschikt over gespecialiseerde kennis in het voorkomen van en reageren op informatie lekken. Meer details vindt u in het onderstaande artikel.

Expertisegebieden van Monolith Advocatenkantoor: Wetgeving gerelateerd aan de bescherming van persoonsgegevens[ja]