Norsk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_no/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdager 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Lære om krisehåndtering og advokatens rolle fra eksemplet med informasjonslekkasje på 650 000 saker hos det japanske selskapet Tōken Corp.

Lære om krisehåndtering og advokatens rolle fra eksemplet med informasjonslekkasje på 650 000 saker hos det japanske selskapet Tōken Corp.

General Corporate

Lære om krisehåndtering og advokatens rolle fra eksemplet med informasjonslekkasje på 650 000 saker hos det japanske selskapet Tōken Corp.

Den 1. april 2005 (Heisei 17) ble den japanske personvernloven (Japanese Personal Information Protection Law) fullt ut implementert, og virksomheter som håndterer personopplysninger er pålagt å ta sikkerhetstiltak. Likevel er det ingen slutt på hendelser med lekkasje av personopplysninger.

Når en informasjonslekkasje oppstår, er det spesielt viktig med rask respons og riktig håndtering. Spesielt i små og mellomstore bedrifter uten dedikert informasjonssikkerhetspersonell, kan det være vanskelig å umiddelbart bestemme hvordan man skal reagere.

Derfor vil vi i denne artikkelen forklare krisehåndtering i tilfelle informasjonslekkasje, basert på hvordan Tokyu Construction Corporation håndterte sin egen informasjonslekkasjehendelse.

Oversikt over informasjonslekkasje

Hovedinnholdet i informasjonslekkasjen som oppstod hos Tōken Corporation på grunn av uautorisert tilgang er som følger:

  • Tidspunkt for hendelsen: Fra 20. august til 12. september 2020, en periode på 24 dager
  • Oppdaget: 20. oktober 2020
  • Årsak: Uautorisert tilgang til serveren som lagret forskjellige brukerinformasjon fra gruppens hjemmeside
  • Målgruppe: De som har henvendt seg til gruppens selskapsnettsteder, medlemmer, og de som har søkt på forskjellige kampanjer
  • Informasjon: “E-postadresse”, “navn”, “adresse”, “telefonnummer”, “passord”, “kjønn”, “fødselsdato” osv.
  • Antall saker: Det er mulig at informasjonen til totalt 657,096 personer har lekket ut

Avdekking av uautorisert tilgang og første respons

Den 20. oktober 2020 oppdaget Tokken Corporation uautorisert tilgang til deres driftsnettsted “Nasurak Kitchen” under en rutinemessig inspeksjon av nettstedet, og iverksatte følgende første respons.

  • Stengte “Nasurak Kitchen” som en nødsikkerhetstiltak, og stoppet også tjenestelevering fra nettstedet.
  • Opprettet “Informasjonssikkerhetsresponskontor” og konsulterte med eksterne tredjepartsorganisasjoner.
  • Undersøkte alle gruppens nettsteder frem til 11. november, og gjorde midlertidige tiltak for å rette opp i sikkerhetssvakheter, samtidig som de fastsatte det maksimale antallet og elementene for lekkasjer.

Poeng med første respons

Hvis risikoen for informasjonslekkasje på grunn av uautorisert tilgang er bekreftet, må du umiddelbart iverksette følgende tiltak for å forhindre utvidelse av skade, sekundær skade og gjentakelse.

  • Bekreftelse av fakta (årsaker til uautorisert tilgang, ruter, etc.)
  • Stopp av utstyr eller nettsteder som har blitt utsatt for uautorisert tilgang
  • Frakobling av utstyr eller nettsteder som har blitt utsatt for uautorisert tilgang fra nettverket

Det du må være oppmerksom på i denne forbindelse er å ta tiltak for å bevare bevis uten å slette bevisene som er igjen på systemet ved å unngå unødvendige operasjoner.

Pressemelding etter avsløring av informasjonslekkasje

Den første offentliggjøringen ble gjort på hjemmesiden til Tokken Corporation den 17. november 2020.

Offentliggjøringen inneholdt detaljert informasjon som var nødvendig i form av en “Q&A om informasjonslekkasjehendelsen forårsaket av uautorisert tilgang”, i tillegg til en oversikt over uautorisert tilgang og fremtidige mottiltak.

Tokken Corporation og våre gruppeselskaper (heretter kalt vår gruppe) bekreftet den 20. oktober 2020 at nettverket til vår gruppe hadde blitt utsatt for uautorisert tilgang av en tredjepart, og at det var en mulighet for at personlig informasjon, som henvendelser til Home Mate som vår gruppe driver, medlemsinformasjon fra gruppeselskaper og informasjon om søkere til forskjellige kampanjer, kunne ha lekket ut.

Om lekkasje av personlig informasjon forårsaket av uautorisert tilgang

På den ovennevnte nettsiden er det en lenke til “Q&A om informasjonslekkasjehendelsen forårsaket av uautorisert tilgang”, som inneholder følgende informasjon.

Om innholdet i lekket informasjon

Q Hva er informasjonen som ble lekket denne gangen?
A Vi tror at “navn”, “adresse”, “telefonnummer”, “e-postadresse” og “passord” har lekket fra alle nettstedene vi driver, inkludert våre datterselskaper.

Q Ble kredittkortinformasjon lekket?
A På nettstedene vi driver, inkludert våre datterselskaper, lagrer vi ikke informasjon som kredittkortnumre eller personlige identifikasjonsnumre som My Number, så det er ingen fare for lekkasje.

Ved å forklare om lekket informasjon, kan vi unngå unødvendig angst og forvirring ved å spesifikt notere ① informasjon som kan lekke og ② informasjon som det ikke er fare for å lekke.

Om fremtidige tiltak

Q Er det trygt å fortsette å bruke nettstedene til Tōken Group, inkludert datterselskapene?
A For alle nettstedene vi driver, inkludert våre datterselskaper, er sikkerhetsforsterkningen mot lignende uautorisert tilgang nå fullført.

Q Hva slags informasjonshåndtering planlegger dere i fremtiden?
A I fremtiden vil vi, om nødvendig, motta sjekker fra tredjeparts undersøkelsesorganisasjoner, og hvis det oppdages sårbarheter på nettstedet, vil vi umiddelbart rette dem og streve for strengere informasjonshåndtering.

I fremtidige tiltak er det viktig å forklare nøye om sikkerhetshåndteringen av nettstedene brukerne brukte, om de kan brukes igjen, og om informasjonshåndteringssystemet i fremtiden.

Spørsmål og svar om skadeerstatning

Q Blir det utbetalt en unnskyldningsbetaling eller bøter til personer som har blitt rammet av informasjonslekkasje?
A Basert på informasjonen som ble lekket gjennom denne uautoriserte tilgangen, er det ingen planer om å betale unnskyldningsbetaling eller bøter. Imidlertid, hvis det har oppstått økonomisk skade på kundene våre som følge av denne informasjonslekkasjen, og spesifikke bevis blir presentert, vennligst kontakt vår “Personvern Hjelpelinje”.

Q Det har vært en uttak jeg ikke kjenner til. Kan jeg få erstatning?
A Hvis det har vært et uttak fra kontoen din som du ikke kjenner til, ber vi deg kontakte selskapet som gjorde uttaket direkte. Hvis det imidlertid blir klart at denne informasjonslekkasjen er årsaken til uttaket du ikke kjenner til, ber vi deg, selv om det kan være brysomt, om å rapportere til vår “Personvern Hjelpelinje”.

Vi har klargjort vår bedriftspolitikk om at vi ikke betaler unnskyldningsbetaling eller bøter, men vi vil diskutere individuelt om erstatning for økonomisk skade som oppstår som følge av informasjonslekkasje.

Tvilsom timing for den første pressemeldingen

Som en del av bedriftens krisehåndtering, må man først og fremst tenke på å “begrense skaden”, “forhindre sekundær skade” og “forhindre gjentakelse”.

Derfor, når en informasjonslekkasje blir oppdaget, er det viktig å handle raskt og informere de berørte partene så snart som mulig.

Q&A-seksjonen til det japanske selskapet Tōken Corporation gir grundige svar på et bredt spekter av forventede spørsmål, noe som tyder på at de har hatt grundige diskusjoner med eksperter som advokater på forhånd. Imidlertid er det tvil om hvorfor de ventet omtrent en måned etter at den uautoriserte tilgangen ble oppdaget før de offentliggjorde det.

Selvfølgelig vil et selskap ønske å utføre undersøkelser og implementere tiltak før de offentliggjør noe, men burde de ikke ha offentliggjort følgende fire punkter tidligere som en første rapport?

  • Oppdagelsen av informasjonslekkasjen og de antatte berørte partene
  • Innholdet i den lekkede personlige informasjonen
  • At det ikke er noen mulighet for lekkasje av kredittinformasjon, som kortnummer
  • Fremtidige planer og tidsplaner
  • Kontaktinformasjon for henvendelser

Punkter for varsling, rapportering og offentliggjøring

Når informasjon lekker ut, er det nødvendig å vurdere varsling til brukere og forretningspartnere, rapportering til tilsynsmyndigheter og politi, og offentliggjøring gjennom hjemmesider og media, avhengig av årsaken og innholdet i informasjonen.

Hvis det er kriminell aktivitet

Hvis det er en mulighet for kriminalitet i forbindelse med uautorisert tilgang, må du etter å ha undersøkt fakta og tatt bevisbevarende tiltak, umiddelbart rapportere til politiet.

I tilfellet med det japanske selskapet Tōken Corporation, ble skaderapporter sendt til relevante myndigheter som Ministry of Land, Infrastructure, Transport and Tourism og Aichi Prefectural Police Department dagen etter at undersøkelsen av hele gruppens nettsider var fullført.

Hvis det er en mulighet for lekkasje av personlig kredittinformasjon

Hvis det er en mulighet for lekkasje av My Number (japansk personnummer), kredittkortnummer, bankkonto, ID og passord, etc., må du umiddelbart varsle personen og oppfordre dem til å stoppe disse for å forhindre sekundær skade.

Hvis skalaen eller innvirkningsområdet er stort, eller hvis individuell varsling til alle berørte parter er vanskelig

Offentliggjøring vil bli gjort gjennom informasjonsutgivelse på hjemmesiden og pressekonferanser. Imidlertid, hvis offentliggjøring kan føre til ytterligere skade, bør du vurdere tidspunktet for offentliggjøring og målgruppen.

Ved offentliggjøring er det også viktig å sikre transparens og avsløre fakta så langt som mulig. Dette vil bidra til å opprettholde bedriftens tillit og forhindre ytterligere skade og lignende hendelser.

Offentliggjøring av den andre pressemeldingen

Den 9. februar 2021, etter årsskiftet, offentliggjorde Tōken Corporation (japansk Tōken Corporation) en andre rapport på hjemmesiden sin om lekkasje av personlig informasjon, og korrigerte antall og type lekkasjer.

Etter en ny undersøkelse av lekkasjene utført av en tredjeparts forensisk institusjon, ble det bekreftet noen forskjeller. Vi ber dere derfor om å sjekke vedlegget 1 “Om elementer for hver side og tjeneste” igjen. (Utelatt) Antall lekkasjer har også blitt endret fra maksimalt 657,096 til maksimalt 655,488.

Bortsett fra de ovennevnte korrigeringene, ble det lagt til noen tiltak for å håndtere spam og mistenkelige e-poster. Innholdet var stort sett det samme som i den første pressemeldingen, og dette ble den siste offentliggjøringen.

Kriseresponsens kjerne: Tiltaksavdelingen

Etter å ha oppdaget uautorisert tilgang, etablerte Tokyu Corporation en “Informasjonssikkerhetsavdeling”. De samarbeider med eksterne tredjepartsorganisasjoner og politiet for å forhindre gjentakelse.

Strukturen til denne organisasjonen er ukjent, men det er ikke bare nødvendig med sikkerhetstiltak for systemet, men også samtidig fremdrift av kontakt med målbrukere, mediehåndtering, aksjonærrespons og vurdering av juridisk ansvar. Generelt kreves det derfor deltakelse fra følgende eksterne tredjepartsorganisasjoner og eksperter:

  • Store programvareselskaper
  • Store sikkerhetsspesialistforhandlere
  • Eksterne advokater med dyp kunnskap om cybersikkerhet

Oppsummering

Når det oppdages en storstilt lekkasje av personlig informasjon som overstiger 650 000 tilfeller, som i dette tilfellet, blir “første respons” og “varsling, rapportering og offentliggjøring” sentrert rundt tiltaksstaben, samt “sikkerhetstiltak”, viktige.

Det som spesielt krever hastighet er ikke bare den første responsen, men også varsling og rapportering til politiet og relevante myndigheter, samt offentliggjøring (presseutgivelser) til de involverte parter.

Imidlertid, hvis du håndterer det feil, kan du bli holdt ansvarlig for skadeerstatning, så det anbefales å konsultere med en advokat med rikelig kunnskap og erfaring innen cybersikkerhet på forhånd, i stedet for å ta en egen beslutning.

Hvis du er interessert i krisehåndtering ved informasjonslekkasje forårsaket av Capcoms skadelige programvare, vennligst se artikkelen for mer detaljert informasjon.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Introduksjon til tiltakene våre

Monolis Law Firm er et advokatfirma med høy spesialisering innen IT, spesielt internett og juss. Vi håndterer opprettelse og gjennomgang av kontrakter for en rekke saker, fra selskaper notert på Tokyo Stock Exchange Prime til oppstartsselskaper. Hvis du har problemer, vennligst referer til artikkelen nedenfor.

contractcreation
Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Sjekkpunkter ved utarbeidelse av konfidensialitetsavtale (NDA)

Sjekkpunkter ved utarbeidelse av konfidensialitetsavtale (NDA)

General Corporate

【施行 i 2024 (令和6年)】Hva innebærer endringene i den japanske 'Long-Term Care Insurance Law'? En forklaring på bakgrunnen og tiltakene omsorgstjenesteleverandører bør ta

【施行 i 2024 (令和6年)】Hva innebærer endringene i den japanske 'Long-Term Care Insurance Law'? En for.

General Corporate

Hvordan håndtere ondsinnede videreselgere? Eksperter forklarer 5 tiltak

Hvordan håndtere ondsinnede videreselgere? Eksperter forklarer 5 tiltak

General Corporate

Lovreguleringer knyttet til reklame og markedsføringsaktiviteter som STEM i matindustrien

Lovreguleringer knyttet til reklame og markedsføringsaktiviteter som STEM i matindustrien

General Corporate

Hva er metoder for kapitalinnhenting for aksjeselskaper? En omfattende forklaring inkludert alternativer til tredjepartsallokering av økt kapital

Hva er metoder for kapitalinnhenting for aksjeselskaper? En omfattende forklaring inkludert alte.

General Corporate

Er videresalg av annet enn billetter også ulovlig? Konkrete tiltak bedrifter kan ta for å forhindre skade

Er videresalg av annet enn billetter også ulovlig? Konkrete tiltak bedrifter kan ta for å forhin.

General Corporate

Kan det oppstå opphavsrett til AI-genererte tekster? En forklaring av naturlig språkbehandlings-AI-tjenester og den japanske opphavsrettsloven

Kan det oppstå opphavsrett til AI-genererte tekster? En forklaring av naturlig språkbehandlings-.

General Corporate

Hva er problemene med rabattsalg av kontaktlinser? Forklaring av viktige punkter ved salg av medisinsk utstyr

Hva er problemene med rabattsalg av kontaktlinser? Forklaring av viktige punkter ved salg av med.

General Corporate

IoT-tjenester: Bruk av innsamlede data og juridiske problemstillinger

IoT-tjenester: Bruk av innsamlede data og juridiske problemstillinger

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection Personal Information Protection#Cross-border System Development Terms of Use

Weekly Popular Articles

Tilbake til toppen