Português English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_pt/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Dias da semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Aprender sobre gestão de crises e o papel dos advogados com o caso da Tokyu Corporation e a fuga de informação de 650.000 registos

Aprender sobre gestão de crises e o papel dos advogados com o caso da Tokyu Corporation e a fuga de informação de 650.000 registos

General Corporate

Aprender sobre gestão de crises e o papel dos advogados com o caso da Tokyu Corporation e a fuga de informação de 650.000 registos

A Lei de Proteção de Dados Pessoais Japonesa entrou em vigor a 1 de abril de 2005 (ano 17 da era Heisei), e embora os operadores que lidam com informações pessoais estejam obrigados a implementar medidas de gestão de segurança, os incidentes de vazamento de informações pessoais continuam a ocorrer incessantemente.

Em caso de ocorrência de um incidente de vazamento de informações, o que se torna particularmente importante são os procedimentos de resposta e a velocidade da mesma. Especialmente nas pequenas e médias empresas que não possuem pessoal especializado em segurança da informação, pode haver casos em que não se consiga decidir imediatamente como responder.

Portanto, com base na resposta da Tokken Corporation ao incidente de vazamento de informações, explicaremos o sistema de gestão de crises em caso de vazamento de informações.

Resumo da Fuga de Informação

Os principais detalhes sobre a fuga de informação causada por acesso não autorizado que ocorreu na Tōken Corporation são os seguintes:

  • Ocorrência: Durante 24 dias, de 20 de agosto a 12 de setembro de 2020
  • Descoberta: 20 de outubro de 2020
  • Causa: Acesso não autorizado por terceiros ao servidor que armazenava várias informações de utilizadores a partir da página inicial do grupo
  • Alvo: Pessoas que contactaram o site da empresa do grupo, membros, candidatos a várias campanhas
  • Informação: “Endereço de email”, “Nome”, “Endereço”, “Número de telefone”, “Senha”, “Sexo”, “Data de nascimento”, etc.
  • Número de casos: Possível fuga de informação de um total de 657.096 informações pessoais

Detecção de acesso não autorizado e resposta inicial

No dia 20 de outubro de 2020, a Tokken Corporation descobriu um acesso não autorizado ao seu site “Nasluck Kitchen” durante uma inspeção regular do site. As seguintes medidas iniciais foram tomadas:

  • Como resposta de segurança de emergência, o “Nasluck Kitchen” foi encerrado e todos os serviços oferecidos através do site foram suspensos.
  • Foi criado um “Departamento de Medidas de Segurança da Informação” e foi consultada uma entidade terceira externa.
  • Até 11 de novembro, todos os sites do grupo foram inspecionados, foram tomadas medidas para corrigir vulnerabilidades temporárias e foram determinados o número máximo de vazamentos e os itens vazados.

Pontos chave na resposta inicial

Quando é confirmado o risco de vazamento de informações devido a um acesso não autorizado, é necessário implementar imediatamente as seguintes medidas para prevenir a expansão do dano, a ocorrência de danos secundários e a recorrência:

  • Confirmação dos factos (causa do acesso não autorizado, rota, etc.)
  • Paragem do equipamento ou site que foi alvo de acesso não autorizado
  • Desconexão do equipamento ou site que foi alvo de acesso não autorizado da rede

O que deve ser observado neste momento é a necessidade de tomar medidas para preservar as provas, evitando apagar as provas deixadas no sistema através de operações imprudentes.

Comunicado de Imprensa após a Descoberta de Fuga de Informações

A primeira divulgação foi feita no site da Tokken Corporation (Corporação Tokken Japonesa) em 17 de novembro de 2020.

O conteúdo divulgado incluía detalhes sobre o acesso não autorizado e medidas futuras, bem como informações necessárias detalhadamente descritas na forma de “Perguntas e Respostas sobre o Incidente de Fuga de Informações devido ao Acesso Não Autorizado”.

A Tokken Corporation (Corporação Tokken Japonesa) e as nossas empresas afiliadas (doravante, o nosso grupo) confirmaram em 20 de outubro de 2020 que a nossa rede foi alvo de acesso não autorizado por terceiros e que há a possibilidade de informações pessoais, como consultas ao Home Mate operado pelo nosso grupo, informações de membros das empresas afiliadas e informações de candidatos a várias campanhas, terem sido divulgadas externamente.

Sobre a Fuga de Informações Pessoais devido ao Acesso Não Autorizado[ja]

No “Perguntas e Respostas sobre o Incidente de Fuga de Informações devido ao Acesso Não Autorizado”[ja] ligado à página web acima, os seguintes conteúdos estão incluídos.

Sobre o Conteúdo das Informações Divulgadas

Q Que informações foram divulgadas desta vez?
A Acreditamos que “nome”, “endereço”, “número de telefone”, “endereço de e-mail” e “senha” foram divulgados em todos os sites, incluindo as empresas afiliadas que operamos.

Q As informações do cartão de crédito foram divulgadas?
A Nos sites operados pela nossa empresa, incluindo as empresas afiliadas, não mantemos informações como números de cartões de crédito ou My Number (Número de Identificação Pessoal Japonês), por isso não há risco de divulgação.

Na explicação sobre as informações divulgadas, é possível evitar a ansiedade e a confusão desnecessárias, especificando concretamente as informações que podem ser divulgadas e as informações que não correm o risco de serem divulgadas.

Sobre as Medidas Futuras

Q É seguro continuar a usar os sites, incluindo as empresas afiliadas da Tokken?
A Para todos os sites operados pela nossa empresa, incluindo as empresas afiliadas, o reforço da segurança contra acessos não autorizados semelhantes já foi concluído.

Q Que tipo de gestão de informações planeiam fazer no futuro?
A No futuro, receberemos verificações de instituições de investigação terceirizadas conforme necessário e, se encontrarmos qualquer vulnerabilidade no site, corrigiremos imediatamente e nos esforçaremos para uma gestão de informações mais rigorosa.

Nas medidas futuras, é importante explicar cuidadosamente a resposta de segurança do site que o usuário estava a usar, a possibilidade de reutilização e o sistema de gestão de informações no futuro.

Perguntas e Respostas sobre Indemnizações por Danos, etc.

Q Será pago algum valor de desculpas ou compensação às pessoas que foram prejudicadas pela fuga de informações?
A Com base nas informações divulgadas devido ao acesso não autorizado desta vez, não planeamos pagar qualquer valor de desculpas ou compensação. No entanto, se houver danos financeiros para o cliente devido a esta fuga de informações e se forem apresentadas provas concretas, por favor, consulte o nosso “Centro de Consulta de Informações Pessoais”.

Q Há uma retirada de dinheiro que eu não reconheço. Posso ser indemnizado?
A Se houver uma retirada de dinheiro da conta que você possui e que você não reconhece, pedimos que entre em contato diretamente com a empresa que fez a retirada. Além disso, se for confirmado que a retirada de dinheiro que você não reconhece foi causada por esta fuga de informações, pedimos desculpas pelo incómodo, mas por favor, informe o nosso “Centro de Consulta de Informações Pessoais”.

Embora não seja pago qualquer valor de desculpas ou compensação, a política da empresa é clara sobre a indemnização por danos no caso de danos financeiros causados pela fuga de informações.

Questionando o Timing do Primeiro Comunicado de Imprensa

Como parte da gestão de crises de uma empresa, é necessário considerar “prevenir a expansão do dano”, “prevenir a ocorrência de danos secundários” e “prevenir a recorrência”.

Portanto, quando uma fuga de informações é descoberta, é importante informar as partes interessadas o mais rápido possível após a resposta inicial.

Embora as Perguntas e Respostas da Tokken Corporation (Corporação Tokken Japonesa) respondam cuidadosamente a uma ampla gama de perguntas antecipadas e pareçam ter sido preparadas em consulta com especialistas como advogados com antecedência, há questões sobre a divulgação cerca de um mês após a descoberta do acesso não autorizado.

Certamente, como empresa, gostaríamos de divulgar após a investigação e as medidas, mas os seguintes quatro pontos não deveriam ter sido divulgados mais cedo como o primeiro relatório?

  • Descoberta da fuga de informações e os alvos esperados
  • Conteúdo das informações pessoais divulgadas
  • Não há possibilidade de divulgação de informações de crédito, como números de cartões
  • Sistema e cronograma futuros
  • Ponto de contato para consultas

Pontos de Notificação, Relatório e Divulgação

Quando ocorre uma fuga de informação, é necessário considerar a notificação aos utilizadores e parceiros comerciais, dependendo da causa e do conteúdo da informação, bem como a apresentação de relatórios a autoridades de supervisão e à polícia, e a divulgação através de websites e meios de comunicação.

Em caso de potencial criminalidade

Se houver possibilidade de crime relacionado com acesso não autorizado, é necessário reportar à polícia imediatamente após a investigação dos factos e a tomada de medidas para preservar as provas.

No caso da Tōken Corporation (Corporação Tōken Japonesa), um relatório de danos foi feito ao Ministério da Terra, Infraestrutura, Transporte e Turismo (Ministério da Terra, Infraestrutura, Transporte e Turismo Japonês) e à sede da Polícia da Prefeitura de Aichi (Polícia da Prefeitura de Aichi Japonesa) no dia seguinte à conclusão da investigação do website de todo o grupo.

Em caso de potencial fuga de informação pessoal de crédito

Se houver possibilidade de fuga de informações como o número do My Number (Número de Identificação Pessoal Japonês), número do cartão de crédito, conta bancária, ID e senha, é necessário notificar imediatamente a pessoa em questão e incentivar a suspensão desses serviços para prevenir danos secundários.

Em caso de grande escala ou grande alcance de impacto, ou quando a notificação individual a todos os envolvidos é difícil

A divulgação de informações será feita através de publicações no website e conferências de imprensa. No entanto, se houver possibilidade de a divulgação levar a um aumento dos danos, deve-se considerar o momento e os destinatários da divulgação.

Além disso, garantir a transparência e divulgar os factos tanto quanto possível ao fazer a divulgação, contribuirá para a confiança na empresa e também para a prevenção de danos adicionais e de incidentes semelhantes.

Publicação do Segundo Comunicado de Imprensa

A Tōken Corporation anunciou a segunda informação sobre a fuga de informações pessoais no seu site a 9 de fevereiro de 2021, após o início do ano, e corrigiu os itens e o número de fugas.

Como resultado de uma nova investigação dos itens de fuga por uma investigação forense de uma terceira parte, foram confirmadas algumas diferenças, por isso pedimos que verifique novamente no Anexo 1 “Sobre os itens para cada site/serviço”. (Omissão) Além disso, o número de casos de fuga foi reduzido de um máximo de 657.096 para um máximo de 655.488.

O conteúdo, além das correções acima, incluiu apenas a adição de métodos para lidar com e-mails de spam e suspeitos, e o conteúdo básico era quase o mesmo que o primeiro comunicado de imprensa, e esta foi a última publicação.

O Quartel-General de Medidas, o centro da resposta à crise

A Corporação Tōken estabeleceu um “Quartel-General de Segurança da Informação” após a descoberta de um acesso não autorizado, e está a colaborar com entidades terceiras externas e a polícia para prevenir a recorrência.

A estrutura desta organização é desconhecida, mas além das medidas de segurança do sistema, é necessário proceder simultaneamente com o contacto com os utilizadores alvo, a resposta aos media, a resposta aos acionistas, e a consideração da responsabilidade legal. Geralmente, a participação das seguintes entidades terceiras externas e especialistas é necessária:

  • Grandes empresas de software
  • Principais fornecedores especializados em segurança
  • Advogados externos com profundo conhecimento em cibersegurança

Resumo

Em casos como o desta vez, em que foi revelado um vazamento de informações pessoais em larga escala, ultrapassando 650 mil casos, é crucial a “resposta inicial” e as “notificações, relatórios e divulgações” centradas no quartel-general de medidas, bem como as “medidas de segurança”.

Em particular, a velocidade é exigida não apenas na resposta inicial, mas também na notificação e relatório às autoridades policiais e agências governamentais relevantes, bem como na divulgação aos interessados (comunicado de imprensa).

Contudo, se a resposta for errada, pode haver a possibilidade de ser responsabilizado por danos, por isso, recomendamos que não tome decisões por si só, mas que avance consultando previamente um advogado com amplo conhecimento e experiência em cibersegurança.

Se estiver interessado na gestão de crises durante o vazamento de informações causado pelo malware da Capcom, por favor, veja também o artigo detalhado.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Apresentação das medidas adotadas pelo nosso escritório

O nosso escritório de advocacia Monolis é especializado em IT, particularmente na intersecção entre a Internet e a lei. Trabalhamos com uma variedade de casos, desde a criação e revisão de contratos para empresas listadas na Primeira Seção da Bolsa de Valores de Tóquio (TSE Prime) até startups. Se estiver com dificuldades, por favor consulte o artigo abaixo.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Procedimentos e pontos de atenção na compra e venda de sites e M&A de sites

Procedimentos e pontos de atenção na compra e venda de sites e M&A de sites

General Corporate

O que é o Sistema de Multas sob a 'Lei Japonesa de Indicação de Prémios'? Explicação de Métodos de Enfrentamento com Exemplos Reais

O que é o Sistema de Multas sob a 'Lei Japonesa de Indicação de Prémios'? Explicação de Métodos .

General Corporate

Quais são os problemas com os descontos na venda de lentes de contacto? Explicação sobre os pontos a ter em conta na venda de dispositivos médicos

Quais são os problemas com os descontos na venda de lentes de contacto? Explicação sobre os pont.

General Corporate

Questões legais que os operadores de mídia do modelo de afiliado devem ter em atenção

Questões legais que os operadores de mídia do modelo de afiliado devem ter em atenção

General Corporate

Comunicado do Ministério da Saúde Trabalho e Bem-Estar (厚労省) de Junho de 2023 (令和6年) sobre a Aplicação da Lei Médica Japonesa (医師法) aos Tratamentos HIFU em Salões de Estética

Comunicado do Ministério da Saúde Trabalho e Bem-Estar (厚労省) de Junho de 2023 (令和6年) sobre a Apl.

General Corporate

O que é uma cláusula de garantia de representação em contratos de investimento

O que é uma cláusula de garantia de representação em contratos de investimento

General Corporate

O que são as restrições publicitárias na Lei Japonesa de Dispositivos Médicos que os salões de beleza devem ter em atenção

O que são as restrições publicitárias na Lei Japonesa de Dispositivos Médicos que os salões de b.

General Corporate

Os pontos importantes da lei nos negócios D2C e quando se deve recorrer a um advogado

Os pontos importantes da lei nos negócios D2C e quando se deve recorrer a um advogado

General Corporate

Pontos de atenção ao vender álcool numa loja online - Explicação da 'Lei Japonesa do Imposto sobre o Álcool

Pontos de atenção ao vender álcool numa loja online - Explicação da 'Lei Japonesa do Imposto sob.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retornar ao topo