Ustoppelig lekkasje av personopplysninger, en økning på 1,5 ganger sammenlignet med forrige år i Reiwa 5 (2023). Forklarer de nyeste trendene

I de senere årene har det vært en økning i personopplysningslekkasjer forårsaket av stadig mer sofistikerte cyberangrep og menneskelige feil, noe som har blitt en alvorlig utfordring for bedrifter. Lekkasjer av personopplysninger kan føre til alvorlig skade for bedrifter, som rykteskade, risiko for søksmål og forretningsstans.

I denne artikkelen vil vi forklare trendene i saker om lekkasje av personopplysninger, som kan ses fra den årlige rapporten for det femte året av Reiwa (2023) publisert av den japanske Personal Information Protection Commission. Bruk denne artikkelen til å forsterke bedriftens informasjonssikkerhetstiltak og forhindre risikoen for lekkasjer før de inntreffer.

Hva er den årlige rapporten fra Personvernkomiteen?

I april i Reiwa 4 (2022), ble det vedtatt en revidert versjon av den japanske loven om beskyttelse av personopplysninger, som pålegger virksomheter som håndterer personopplysninger å rapportere til Personvernkomiteen (PPC) via deres nettsted, dersom det oppstår en hendelse som involverer lekkasje av personopplysninger og denne oppfyller visse betingelser.

Personvernkomiteen publiserte sin årlige rapport for Reiwa 5 (2023) i juni Reiwa 6 (2024), som kan finnes på deres nettside[ja].

Relatert artikkel: Hovedpunktene i den reviderte personopplysningsloven i Reiwa 6 (2024)? Viktige endringer og tiltak du bør kjenne til[ja]

Tilsyn med virksomheter som behandler personopplysninger

I løpet av Reiwa 5 (2023), ble det behandlet 12,120 rapporter om lekkasjer og lignende hendelser, noe som er en betydelig økning sammenlignet med de 7,685 tilfellene rapportert i forrige år. La oss nå se nærmere på detaljene.

Behandlingsstatus for lekkasje- og lignende hendelser

Av de rapporterte hendelsene var det 11 635 tilfeller (96,0 %) hvor antall berørte personer per hendelse var under 1000, og 61 tilfeller (0,5 %) hvor antallet overgikk 50 000 personer.

I saker som ble rapportert direkte til komiteen, var kundens informasjon den mest lekkede typen (83,5 %), og når man ser på formen av lekkasjen, var det flere tilfeller hvor kun papirbaserte medier var involvert (82,0 %), sammenlignet med tilfeller hvor kun elektroniske medier var involvert (12,2 %).

Når det gjelder klassifiseringen basert på rapporteringsplikten definert av den japanske loven om beskyttelse av personopplysninger og dens gjennomføringsforskrifter, var det flest tilfeller av lekkasjer som inkluderte persondata med sensitiv informasjon som medisinske historier og etnisitet (89,7 %), etterfulgt av lekkasjer av persondata som kunne ha vært mål for ulovlig tilgang eller andre ulovlige formål (8,1 %).

En mulig årsak til denne tendensen, gitt at mange av lekkasjehendelsene skyldtes menneskelige feil som feilutlevering, feilsending, feilaktig kassering og tap (totalt 86,3 %), kan være at det var mange tilfeller av lekkasjer forårsaket av feilutlevering av papirbaserte medier som inneholder sensitiv persondata (for eksempel detaljerte fakturaer for medisinske tjenester i helseinstitusjoner).

Basert på disse rapportene, har den japanske personvernkomiteen sjekket om varsling til de involverte personene (i henhold til paragraf 26, avsnitt 2 i den japanske loven om beskyttelse av personopplysninger) har blitt utført på en passende måte, om årsakene til hendelsen har blitt korrekt identifisert og analysert, og om de tiltakene som er beskrevet for å forhindre gjentakelse, er passende i forhold til årsakene til hendelsen. Videre har komiteen, når det er nødvendig, gitt informasjon og veiledning om metoder for årsaksanalyse og utvikling av forebyggende strategier.

Status for rapportering, veiledning og rådgivning

Det ble utført 73 tilfeller av rapportering, samt 333 tilfeller av veiledning og rådgivning overfor virksomheter som håndterer personopplysninger.

Følgende alvorlige saker har blitt rapportert:

• En sak hvor en generell strømdistributør hadde tillatt at informasjon om nye strømkunder ble sett og brukt av et tilknyttet selskap eller av den samme bedriftens detaljhandelsavdeling for strøm.
• En sak hvor ID-er og passord tildelt generelle strømdistributører ble brukt av detaljhandelsstrømselskaper for å få tilgang til og bruke personopplysninger i ‘Fornybar Energi Forretningssystem’ som administreres av Agency for Natural Resources and Energy.
• En sak hvor Toyota Motor Corporation hadde outsourcet håndteringen av persondata relatert til tjenester for kjøretøybrukere til datterselskapet Toyota Connected Corporation, og persondataene som ble forvaltet på serverne ble tilgjengelige for uvedkommende.
• En sak hvor den uavhengige administrative institusjonen National Hospital Organization, som er en virksomhet som håndterer medisinsk informasjon under loven om anonymisert behandling av medisinsk informasjon for forskning og utvikling i medisinsk felt (Lov nr. 28 fra 2017), hadde lekket pasientinformasjon.
• En sak hvor tre selskaper som hadde meldt seg ut, hadde brutt bestemmelsene i loven om beskyttelse av personopplysninger.
• En sak hvor NTT DOCOMO Inc. hadde outsourcet kundeinformasjonshåndtering for telefonmarkedsføring til NTT NEXIA Corporation, og en vikar fra NEXIA hadde uten tillatelse lastet opp persondata for omtrent 5,96 millioner mennesker til en skytjeneste fra en PC brukt i arbeidet, noe som førte til en mulig datalekkasje.
• En sak hvor en lærer ved Yotsuya Otsuka, et selskap som driver en privatundervisningsskole for ungdomsskoleeksamen, søkte opp og så på persondata for barn som deltok på skolen, sammen med bilder og videoer av barna, og lagret dette på sin private smarttelefon, og senere publiserte persondata for seks barn på sin egen SNS-konto.
• En sak hvor serverne til MK System Corporation ble utsatt for et datainnbrudd, og persondata som ble forvaltet på systemet ble kryptert av ransomware, noe som førte til en mulig datalekkasje.
• En sak hvor en spesifikk kommando eller lignende inndata på enkelte produktsider på ‘Yahoo! Auctions’ førte til at auksjonsdeltakernes GUID (internt identifikasjonsnummer) ble synlig, noe som gjorde det mulig for tredjeparter å se GUID og skapte en mulig risiko for datalekkasje.

I forbindelse med disse sakene ble det gitt veiledning basert på Artikkel 23 i loven om beskyttelse av personopplysninger, og for noen av sakene ble det etterspurt rapporter om implementering av tiltak for å forhindre gjentakelse.

Situasjonen for anbefalinger

Det har blitt gitt tre anbefalinger til virksomheter som behandler personopplysninger. Følgende sammendrag presenteres.

I en sak hvor en ansatt hos NTT Business Solutions Corporation, som hadde fått i oppdrag å vedlikeholde og operere systemer brukt i et callsenterprosjekt utført av NTT Marketing Act ProCX på vegne av private virksomheter, selvstendige administrative institusjoner og lokale myndigheter, urettmessig tok med seg persondata tilsvarende omtrent 9,28 millioner mennesker, noe som førte til en datalekkasje, ble begge selskapene anbefalt å treffe nødvendige tiltak for å rette opp i brudd på artikkel 23 i den japanske personvernloven (Japanese Personal Information Protection Act).

Hos LINE Yahoo Japan Corporation førte en hendelse hvor en PC i bruk av en ansatt hos et sikkerhetsvedlikeholdsfirma i Sør-Korea, som var en underleverandør, ble infisert med skadelig programvare, noe som førte til uautorisert tilgang til informasjonssystemet og lekkasje av persondata knyttet til LINE-brukere, forretningspartnere og ansatte. Her ble det også gitt en anbefaling om å treffe nødvendige tiltak for å rette opp i brudd på artikkel 23 i den japanske personvernloven, og det ble etterspurt en rapport om forbedringstiltakene, inkludert status for implementering av forebyggende tiltak mot gjentakelse.

Overvåkning av offentlige etater og lignende

Basert på den japanske personvernloven, har også overvåkning blitt utført overfor offentlige etater og lignende.

Behandlingsstatus for rapportering av hendelser knyttet til lekkasje av personopplysninger

Som en del av overvåkningen av offentlige etater og lignende, ble det behandlet 1159 rapporter om hendelser knyttet til lekkasje av personopplysninger. Av disse var 162 rapporter fra nasjonale myndigheter og 997 fra lokale myndigheter.

De fleste rapporterte hendelsene, som i forrige år, involverte lekkasje av personopplysninger som krever særlig hensyn (nasjonale myndigheter: 61.1 %, lokale myndigheter: 80.3 %), etterfulgt av lekkasjer som involverte mer enn 100 individer (nasjonale myndigheter: 31.5 %, lokale myndigheter: 18.8 %).

De fleste årsakene til hendelsene var såkalte menneskelige feil, som feil utlevering, feilsendelse, feilaktig kassering og tap (nasjonale myndigheter: totalt 6.8 %, lokale myndigheter: totalt 78.8 %), etterfulgt av feil i systemkonfigurasjon og andre tilsvarende årsaker (nasjonale myndigheter: 22.8 %, lokale myndigheter: 17.7 %).

Antall berørte personer per hendelse var oftest under 1000 (nasjonale myndigheter: 93.2 %, lokale myndigheter: 96.7 %), og de lekkede opplysningene involverte oftest informasjon om borgere (nasjonale myndigheter: 78.4 %, lokale myndigheter: 91.1 %). Når det gjelder formen på de lekkede opplysningene, var det oftest kun papirdokumenter som ble lekket (nasjonale myndigheter: 58.0 %, lokale myndigheter: 76.8 %).

Status for anmodning om dokumentasjon, feltundersøkelser, veiledning og rådgivning

For å bekrefte overholdelse av retningslinjene for den japanske personvernloven og loven om beskyttelse av personopplysninger (for offentlige etater og lignende), ble det gjennomført 65 planlagte feltundersøkelser av offentlige etater og lignende, og det ble gitt veiledning for å forbedre riktig håndtering av personopplysninger, samt anmodninger om innsending av rapporter om veiledningstiltak.

I tillegg til feltundersøkelser, ble det gitt 73 veiledninger og råd, inkludert krav om grundige forebyggende tiltak knyttet til sikkerhetsforanstaltninger som hadde mangler ved rapportering av lekkasjer av personopplysninger og lignende.

• En sak hvor Japan’s Agency for Natural Resources and Energy’s “Renewable Energy Business Management System” ble brukt av en detaljhandel elektrisitetsleverandør til å se og bruke personopplysninger i systemet ved hjelp av en konto-ID og passord tildelt til en generell strømoverføringsoperatør.
• En sak i Noboribetsu, Aomori, hvor en USB-stasjon som inneholdt personopplysninger som navn, fødselsdato, helseundersøkelsesresultater og vaksinasjonshistorikk for Covid-19 for de fleste innbyggerne, ble mistet og skapte en risiko for lekkasje.
• En sak hvor to lærere ved to videregående skoler underlagt Nagano Prefecture’s Board of Education ble utsatt for supportsvindel og installerte fjernstyringsprogramvare på sine arbeids-PCer uten tillatelse, etter å ha fulgt instruksjoner fra svindleren, noe som førte til en mulig lekkasje av personopplysninger knyttet til studenter og ansatte ved de aktuelle skolene.

I disse tilfellene ble det gitt veiledning basert på paragraf 66, avsnitt 1 i den japanske personvernloven for utilstrekkelige sikkerhetstiltak, og for hendelsene i Aomori og Nagano ble det også anmodet om innsending av dokumentasjon og andre tiltak for å sikre at forebyggende strategier ble implementert.

Oppsummering: Antall tilfeller av lekkasje av personopplysninger er det høyeste siden rapporteringen begynte

Etter endringene i den japanske personopplysningsbeskyttelsesloven i Reiwa 4 (2022), har det vært obligatorisk å rapportere til Personopplysningsbeskyttelseskommisjonen. I Reiwa 5 (2023) var det 12 120 rapporterte tilfeller, en økning på omtrent 58 % fra foregående år, og det høyeste antallet siden rapportering ble en innsatsplikt i Heisei 25 (2013).

Når det gjelder håndtering av personopplysninger, kan feil tiltak føre til faktiske lekkasjer, og slik blir det publisert på nettstedet til Personopplysningsbeskyttelseskommisjonen, noe som kan skade bedriftens merkevare og føre til tap av samfunnsmessig tillit. Vi anbefaler at du konsulterer en advokat for å diskutere håndtering og operasjonell praksis av personopplysninger, slik at du kan være forberedt på forhånd.

Veiledning om tiltak fra vår advokatfirma

Monolith Advokatfirma har omfattende erfaring innen IT, og særlig internett og juss. I dagens samfunn har lekkasje av personopplysninger blitt et alvorlig problem. Skulle personopplysninger lekke ut, kan det i noen tilfeller ha en fatal effekt på bedriftens aktiviteter. Vårt firma besitter spesialisert kunnskap om forebygging av og tiltak mot informasjonslekkasjer. Vi har beskrevet detaljene i artikkelen nedenfor.

Monolith Advokatfirmas tjenesteområder: Tjenester relatert til den japanske personvernloven[ja]