A infindável fuga de informações pessoais, no ano de Reiwa 5 (2023) aumentou 1.5 vezes em comparação com o ano anterior. Explicação das últimas tendências

Nos últimos anos, tem-se verificado um aumento de incidentes de vazamento de informações pessoais devido a ataques cibernéticos sofisticados e erros humanos, tornando-se um problema sério para as empresas. O vazamento de informações pessoais pode causar danos significativos às empresas, incluindo danos à reputação, riscos de litígio e até a suspensão das operações.

Neste artigo, explicaremos as tendências dos casos de vazamento de informações pessoais, com base no relatório anual do ano de Reiwa 5 (2023) publicado pela Comissão de Proteção de Informações Pessoais do Japão. Use este artigo como referência para fortalecer as medidas de segurança da informação da sua empresa e prevenir proativamente o risco de vazamentos.

O que é o Relatório Anual da Comissão de Proteção de Dados Pessoais

Com a entrada em vigor da lei revisada de Proteção de Dados Pessoais em abril de 2022 (Reiwa 4), tornou-se obrigatório que os operadores de negócios que lidam com informações pessoais reportem à Comissão de Proteção de Dados Pessoais (PPC) através do seu website, caso ocorram incidentes de vazamento de informações pessoais que satisfaçam determinadas condições.

A Comissão de Proteção de Dados Pessoais publicou o Relatório Anual do ano fiscal de Reiwa 5[ja] em junho de 2024 (Reiwa 6).

Artigo relacionado: Quais são os pontos chave da lei revisada de Proteção de Dados Pessoais de 2024 (Reiwa 6)? Explicação das mudanças e estratégias que você deve conhecer[ja]

Supervisão de Entidades de Tratamento de Informações Pessoais

No ano de Reiwa 5 (2023), foram processados 12.120 casos de relatórios de incidentes de fuga de informações, o que representa um aumento significativo em comparação com os 7.685 casos do ano anterior. Vamos analisar em detalhe o conteúdo destes incidentes.

Situação do Processamento de Casos de Fuga de Informação, etc.

Dos casos reportados, 11.635 (96,0%) envolveram a fuga de informação de menos de 1000 pessoas por caso, enquanto que os casos que afetaram mais de 50.000 pessoas representaram 61 (0,5%) do total.

Nos casos reportados diretamente ao Comité, o tipo de informação mais frequentemente exposto foi a informação de clientes (83,5%), e, quando analisado por tipo de suporte, verifica-se que a fuga de informação em suporte de papel (82,0%) foi mais comum do que em suporte eletrónico (12,2%).

De acordo com as categorias de obrigações de reporte estabelecidas pela Lei de Proteção de Dados Pessoais Japonesa e pelas regras de execução relacionadas (regras de execução), a maioria dos casos envolveu a fuga de dados pessoais que incluíam informações sensíveis, como histórico médico ou raça (89,7%), seguidos por fugas de dados pessoais que poderiam ter sido causadas por acessos não autorizados ou com intenções ilícitas (8,1%).

Uma possível razão para esta tendência, considerando que a maioria das causas de incidentes de fuga de informação se deveu a erros humanos, como envios errados, descartes incorretos e perdas (totalizando 86,3%), é que houve muitos casos de fuga de informação devido a erros na entrega de documentos em papel que continham dados pessoais sensíveis (por exemplo, detalhes de cobrança de tratamentos em instituições médicas).

Em resposta a esses relatórios, a Comissão de Proteção de Dados Pessoais Japonesa verificou se a notificação aos indivíduos afetados (conforme o Artigo 26, Parágrafo 2, da Lei de Proteção de Dados Pessoais Japonesa) foi adequadamente realizada, se as causas dos incidentes foram corretamente identificadas e analisadas, e se as medidas propostas para prevenir a recorrência dos incidentes correspondiam adequadamente às causas identificadas, entre outros itens reportáveis conforme as regras de execução. A Comissão tomou as ações necessárias, incluindo fornecer informações sobre métodos de análise de causas e consideração de estratégias de prevenção de recorrência, quando necessário.

Situação de Relatório de Cobrança, Orientação e Aconselhamento

Foram realizadas 73 ações de cobrança de relatórios, 333 orientações e aconselhamentos a entidades que tratam de dados pessoais.

Como casos graves, foram identificados os seguintes:

• Um caso em que um operador geral de distribuição de eletricidade permitiu que uma empresa do mesmo grupo ou uma divisão de retalho da mesma empresa, um operador de retalho de eletricidade relacionado, visualizasse e utilizasse informações de clientes de novas energias que detinha;
• Um caso em que um operador de retalho de eletricidade relacionado utilizou o ID e a senha de uma conta atribuída a um operador geral de distribuição de eletricidade para acessar e usar informações pessoais mantidas no “Sistema de Gestão de Negócios de Energia Renovável” gerido pela Agência de Recursos e Energia;
• Um caso de vazamento, entre outros, em que a Toyota Motor Corporation confiou o tratamento de dados pessoais relacionados a serviços para usuários de veículos à sua subsidiária Toyota Connected Corporation, e os dados pessoais geridos por esta empresa estavam acessíveis externamente;
• Um caso de vazamento de informações médicas de pacientes por parte do Instituto Nacional de Hospitais, um operador de negócios de tratamento de informações médicas sob a Lei de Informações Médicas Anonimizadas para Pesquisa e Desenvolvimento no Campo Médico (Lei nº 28 de 2017);
• Um caso em que três empresas que haviam notificado a opção de saída violaram as disposições da Lei de Proteção de Dados Pessoais;
• Um caso em que um funcionário temporário da NTT Nexia Co., Ltd., a quem a NTT DOCOMO, Inc. havia confiado a gestão de informações de clientes para televendas, acessou um serviço de nuvem sem autorização a partir de um PC usado para o trabalho e carregou dados pessoais de aproximadamente 5,96 milhões de pessoas, causando o risco de vazamento desses dados;
• Um caso em que um professor da Yotsuya Otsuka Corporation, que opera uma escola preparatória para exames de admissão ao ensino médio, pesquisou e visualizou dados pessoais de alunos do ensino fundamental geridos pela escola, inseriu esses dados em seu smartphone pessoal e postou informações pessoais de seis pessoas em sua conta de SNS, causando um vazamento;
• Um caso em que o servidor da MK System Corporation foi alvo de acesso não autorizado e dados pessoais geridos no sistema foram criptografados por ransomware, gerando o risco de vazamento;
• Um caso em que, ao inserir um comando específico em uma página de produto do “Yahoo! Auctions”, o GUID (identificador interno) do vendedor do leilão era exibido, tornando-o visível a terceiros e criando o risco de vazamento de dados pessoais.

Em relação a esses casos, foram realizadas orientações com base no Artigo 23 da Lei de Proteção de Dados Pessoais, e para alguns deles, foram solicitados relatórios sobre a implementação de medidas para prevenir a recorrência.

Situação das Recomendações

Foram realizadas três recomendações a entidades que tratam de dados pessoais. Seguem-se os resumos dessas recomendações.

Relativamente ao negócio de um call center operado pela NTT Marketing Act ProCX, que tinha recebido contratos de empresas privadas, de entidades administrativas independentes e de autoridades locais, um incidente de fuga de dados ocorreu quando um indivíduo afiliado à NTT Business Solutions Corporation, que tinha sido subcontratada para a manutenção e operação do sistema utilizado nos negócios, retirou indevidamente dados pessoais de aproximadamente 9,28 milhões de clientes ou residentes. Ambas as empresas receberam recomendações para tomar as medidas necessárias para corrigir as violações do Artigo 23 da Lei de Proteção de Dados Pessoais (Japanese Personal Information Protection Act).

Na LINE Yahoo Corporation, um incidente de vazamento de dados pessoais de utilizadores, parceiros comerciais e funcionários relacionados com a LINE ocorreu após um computador de um funcionário de uma empresa de segurança sul-coreana, que estava a realizar trabalhos de manutenção, ter sido infetado por malware, o que levou a um acesso não autorizado ao sistema de informação. Foi feita uma recomendação para tomar as medidas necessárias para corrigir as violações do Artigo 23 da Lei de Proteção de Dados Pessoais (Japanese Personal Information Protection Act), e foi solicitado um relatório sobre o estado das melhorias, incluindo a implementação de medidas para prevenir a recorrência.

Vigilância sobre Entidades Administrativas e Afins

Com base na Lei de Proteção de Dados Pessoais Japonesa, foi realizada a vigilância também sobre as entidades administrativas e afins.

Situação do Processamento de Relatórios sobre Casos de Violação de Dados Pessoais

No âmbito da vigilância sobre as entidades administrativas e afins, foram processados 1159 relatórios de casos de violação de dados pessoais. Destes, 162 foram relatados por entidades administrativas nacionais e 997 por entidades públicas locais.

A maioria dos casos reportados, tal como no ano anterior, diz respeito a violações de dados pessoais sensíveis (entidades administrativas nacionais: 61.1%, entidades públicas locais: 80.3%), seguidos por violações de dados pessoais que afetaram mais de 100 indivíduos (entidades administrativas nacionais: 31.5%, entidades públicas locais: 18.8%).

A maioria das causas identificadas deve-se a erros humanos, como entrega, envio, descarte incorreto ou perda (entidades administrativas nacionais: total de 6.8%, entidades públicas locais: total de 78.8%), seguidos por erros de configuração de sistemas, entre outros (entidades administrativas nacionais: 22.8%, entidades públicas locais: 17.7%).

Em relação ao número de pessoas afetadas por cada incidente, a maioria envolveu menos de 1000 pessoas (entidades administrativas nacionais: 93.2%, entidades públicas locais: 96.7%), e os dados mais frequentemente violados foram os de cidadãos (entidades administrativas nacionais: 78.4%, entidades públicas locais: 91.1%). Quanto à forma dos dados violados, a maioria diz respeito a documentos em papel (entidades administrativas nacionais: 58.0%, entidades públicas locais: 76.8%).

Situação de Solicitações de Documentação, Inspeções no Local, Orientações e Aconselhamento

Para verificar a conformidade com as diretrizes da Lei de Proteção de Dados Pessoais Japonesa e a Lei de Proteção de Dados Pessoais relacionada (edição para entidades administrativas e afins), foram realizadas 65 ações de inspeção no local e outras, e foram dadas orientações para melhorar o tratamento adequado de dados pessoais, bem como solicitações de documentação sobre as medidas orientadas.

Além das inspeções no local, foram realizadas 73 ações de orientação e aconselhamento, como a exigência de aprimoramento das medidas de prevenção de recorrência relacionadas a falhas nas medidas de segurança de gestão, em resposta aos relatórios de violação de dados pessoais.

• Um caso envolvendo o sistema de gestão de negócios de energia renovável operado pela Agência de Recursos Energéticos Japonesa, onde contas de ID e senhas atribuídas a operadores de transmissão e distribuição gerais foram utilizadas por operadores de varejo de eletricidade relacionados para acessar e usar informações pessoais contidas no sistema.
• Um caso em Noboribetsu, Aomori, onde um USB contendo informações pessoais como nomes, datas de nascimento, resultados de exames de saúde e histórico de vacinação contra COVID-19 da maioria dos residentes da cidade foi perdido, gerando risco de violação de dados.
• Um caso envolvendo dois professores de duas escolas secundárias sob a jurisdição da Comissão de Educação de Nagano, que foram vítimas de fraude de suporte e, seguindo as instruções dos fraudadores, instalaram software de controle remoto em PCs destinados a tarefas escolares sem autorização, criando risco de violação de informações pessoais de estudantes e funcionários dessas escolas.

Em resposta a esses casos, foram dadas orientações com base no Artigo 66, Parágrafo 1, da Lei de Proteção de Dados Pessoais Japonesa, devido à resposta inadequada aos problemas de segurança. Nos casos de Aomori e Nagano, também foram solicitados documentos sobre a implementação de medidas de prevenção de recorrência.

Conclusão: Casos de Violação de Dados Pessoais Atingem Número Recorde Desde o Início dos Relatórios

Após a revisão da lei no ano de Reiwa 4 (2022), tornou-se obrigatório reportar à Comissão de Proteção de Dados Pessoais do Japão. No ano de Reiwa 5 (2023), o número de casos reportados foi de 12.120, um aumento de cerca de 58% em relação ao ano anterior, marcando o maior número desde que os relatórios se tornaram uma obrigação de esforço no ano de Heisei 25 (2013).

Quanto ao tratamento de dados pessoais, se as medidas forem mal aplicadas e ocorrer uma violação real, os casos serão publicados no site da Comissão de Proteção de Dados Pessoais do Japão, o que pode levar à degradação da marca da empresa e à perda de confiança social. Recomenda-se que consulte um advogado sobre o tratamento e a gestão de dados pessoais para se preparar adequadamente com antecedência.

Apresentação das Medidas da Nossa Firma

A Monolith Law Office é uma sociedade de advogados com vasta experiência em TI, especialmente em questões relacionadas com a Internet e o Direito. Nos dias de hoje, a fuga de informações pessoais tornou-se um problema grave. Caso ocorra uma fuga de informações pessoais, isso pode ter um impacto devastador nas atividades empresariais. A nossa firma possui conhecimentos especializados na prevenção e no tratamento de fugas de informações. Mais detalhes podem ser encontrados no artigo abaixo.

Áreas de atuação da Monolith Law Office: Assuntos relacionados com a Lei de Proteção de Dados Pessoais Japonesa[ja]