Română English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_ro/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Zilele săptămânii 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Învățând despre managementul crizelor și rolul avocatului din cazul Tokyu Corp, cu scurgerea a 650.000 de informații

Învățând despre managementul crizelor și rolul avocatului din cazul Tokyu Corp, cu scurgerea a 650.000 de informații

General Corporate

Învățând despre managementul crizelor și rolul avocatului din cazul Tokyu Corp, cu scurgerea a 650.000 de informații

La 1 aprilie 2005 (anul 2005 în calendarul gregorian), Legea Japoneză a Protecției Datelor Personale a intrat în vigoare în totalitate, iar operatorii care manipulează datele personale sunt obligați să ia măsuri de securitate. Cu toate acestea, incidentele de scurgere a informațiilor personale nu se opresc.

În cazul unui incident de scurgere a informațiilor, ceea ce este deosebit de important este procedura de gestionare și viteza de reacție. În special în cazul întreprinderilor mici și mijlocii care nu au personal specializat în securitatea informațiilor, este posibil să nu se poată decide imediat cum să răspundă.

Prin urmare, pe baza răspunsului companiei Tokyu Construction la incidentul de scurgere a informațiilor, vom explica sistemul de gestionare a crizelor în cazul scurgerilor de informații.

Rezumatul scurgerii de informații

Principalele detalii legate de scurgerea de informații cauzată de accesul neautorizat la Corporația Japoneză Tōken sunt următoarele:

  • Perioada: 24 de zile, de la 20 august 2020 până la 12 septembrie 2020
  • Data descoperirii: 20 octombrie 2020
  • Cauza: Accesul neautorizat la serverul care păstra informațiile diverselor utilizatori de pe pagina de internet a grupului
  • Ținta: Persoanele care au contactat site-ul companiilor din grup, membrii, și cei care au aplicat la diverse campanii
  • Informații: “Adresa de e-mail”, “Nume”, “Adresă”, “Număr de telefon”, “Parolă”, “Sex”, “Data nașterii”, etc.
  • Numărul de cazuri: Există posibilitatea scurgerii a 657,096 de informații personale

Descoperirea accesului neautorizat și primul răspuns

Pe 20 octombrie 2020 (Reiwa 2), în timpul unei inspecții regulate a site-ului web, Corporația Touken a descoperit un acces neautorizat la site-ul său operativ “Nasurak Kitchen” și a luat următoarele măsuri inițiale:

  • Ca răspuns de securitate de urgență, a închis “Nasurak Kitchen” și a oprit furnizarea de servicii de pe acest site.
  • A înființat “Headquarters for Information Security Measures” și a consultat o organizație terță externă.
  • Până pe 11 noiembrie, a examinat site-urile web ale întregului grup și a luat măsuri pentru a remedia vulnerabilitățile temporare, stabilind numărul și elementele maxime de scurgeri de informații.

Punctele cheie ale răspunsului inițial

În cazul în care se confirmă riscul de scurgere de informații datorită accesului neautorizat, trebuie să se ia imediat următoarele măsuri pentru a preveni extinderea daunelor, apariția daunelor secundare și recurența:

  • Confirmarea faptelor (cauza accesului neautorizat, traseul etc.)
  • Oprirea echipamentelor sau a site-urilor care au fost supuse accesului neautorizat
  • Deconectarea echipamentelor sau a site-urilor care au fost supuse accesului neautorizat de la rețea

Ceea ce trebuie să se aibă în vedere în acest moment este să se ia măsuri pentru a păstra dovezile, fără a efectua operațiuni nepotrivite și a șterge dovezile lăsate pe sistem.

Comunicat de presă după descoperirea scurgerii de informații

Prima dezvăluire a avut loc pe 17 noiembrie 2020 pe pagina de internet a Corporației Tokyu Construction.

Conținutul dezvăluirii includea o descriere generală a accesului neautorizat și măsurile viitoare, precum și informații detaliate necesare sub forma unui “Q&A privind incidentul de scurgere de informații prin acces neautorizat”.

Corporația Tokyu Construction și companiile noastre afiliate (denumite în continuare Grupul nostru) au confirmat pe 20 octombrie 2020 că rețeaua Grupului nostru a fost supusă unui acces neautorizat de către o terță parte și că există posibilitatea ca informațiile personale, cum ar fi solicitările către Home Mate, operat de Grupul nostru, informațiile membrilor companiilor afiliate și informațiile aplicanților pentru diverse campanii, să fi fost divulgate extern.

Despre scurgerea de informații personale prin acces neautorizat[ja]

Pe pagina web linkată mai sus, “Q&A privind incidentul de scurgere de informații prin acces neautorizat”[ja] include următoarele informații.

Despre conținutul informațiilor scurse

Q Ce informații au fost scurse de data aceasta?
A Considerăm că au fost scurse “numele”, “adresa”, “numărul de telefon”, “adresa de e-mail” și “parola” pe toate site-urile, inclusiv companiile din grup pe care le operăm.

Q Au fost scurse informațiile despre cardul de credit?
A Pe site-urile pe care le operăm, inclusiv companiile din grup, nu deținem informații precum numărul de card de credit sau numărul de identificare personală, deci nu există riscul de scurgere.

În descrierea informațiilor scurse, putem evita confuzia și anxietatea inutile prin specificarea concretă a ① informațiilor care ar putea fi scurse și ② informațiilor care nu prezintă riscul de a fi scurse.

Despre măsurile viitoare

Q Este în regulă să continuăm să folosim site-ul companiei de grup Tokyu Construction, inclusiv în viitor?
A În ceea ce privește toate site-urile operate de compania noastră, inclusiv companiile de grup, securizarea împotriva accesului neautorizat similar este deja finalizată.

Q Ce fel de management al informațiilor intenționați să faceți în viitor?
A În viitor, vom solicita verificări de la instituții de investigare terțe, după cum este necesar, și dacă se găsesc vulnerabilități pe site, le vom corecta imediat și vom încerca să gestionăm informațiile într-un mod mai strict.

În măsurile viitoare, este important să explicăm cu atenție despre securitatea site-ului pe care utilizatorii l-au folosit, posibilitatea reutilizării și sistemul de gestionare a informațiilor în viitor.

Întrebări și răspunsuri despre despăgubiri

Q: Se plătesc despăgubiri sau compensații pentru deranj ca urmare a unei scurgeri de informații?
A: În urma accesului neautorizat recent, nu avem în plan să plătim despăgubiri sau compensații pentru deranj. Cu toate acestea, dacă scurgerea de informații a cauzat vreun prejudiciu financiar clienților noștri și dacă puteți prezenta dovezi concrete în acest sens, vă rugăm să ne contactați la “Centrul de consultare pentru informații personale” al companiei noastre.

Q: Am observat retrageri de bani din contul meu pe care nu le recunosc. Pot primi despăgubiri?
A: Dacă observați retrageri de bani din contul dumneavoastră pe care nu le recunoașteți, vă rugăm să contactați direct compania care a efectuat retragerea. De asemenea, dacă se constată că retragerile necunoscute au fost cauzate de scurgerea de informații recentă, vă rugăm să ne contactați la “Centrul de consultare pentru informații personale” al companiei noastre, deși ne cerem scuze pentru inconvenient.

Compania noastră a stabilit clar că nu va plăti despăgubiri sau compensații pentru deranj, dar va discuta individual despre despăgubiri în cazul în care scurgerea de informații a cauzat un prejudiciu financiar.

Îndoiala rămâne asupra momentului primei comunicări de presă

În gestionarea crizelor de către companii, trebuie să se ia în considerare în primul rând “extinderea daunelor”, “apariția daunelor secundare” și “prevenirea recurenței”.

Prin urmare, atunci când se descoperă o scurgere de informații, este important să informați părțile implicate cât mai curând posibil, după ce ați luat măsuri inițiale.

Întrebările și răspunsurile de la compania Tōken Corporation răspund cu atenție la întrebările anticipate pe o gamă largă, și se poate vedea că au fost create în urma unei discuții serioase cu experți, cum ar fi avocații, dar există îndoieli cu privire la faptul că au fost publicate la aproximativ o lună după descoperirea accesului neautorizat.

Desigur, companiile ar dori să anunțe după ce au efectuat investigații și măsuri, dar nu ar fi trebuit să anunțe următoarele patru puncte mai devreme ca prim raport?

  • Descoperirea scurgerii de informații și persoanele vizate presupuse
  • Conținutul informațiilor personale scurse
  • Imposibilitatea scurgerii de informații de credit, cum ar fi numărul de card
  • Structura și programul viitor
  • Punctul de contact pentru întrebări

Puncte cheie pentru notificări, rapoarte și anunțuri

Când se produce o scurgere de informații, este necesar să se ia în considerare notificarea către utilizatori și parteneri de afaceri, raportarea către autoritățile de supraveghere și poliție, și publicarea prin intermediul paginii de web și mass-media, în funcție de cauza și conținutul informațiilor.

În cazul în care există o posibilitate de infracțiune

În cazul în care există o posibilitate de infracțiune legată de accesul neautorizat, trebuie să se efectueze o investigație a faptelor și să se ia măsuri de conservare a probelor, după care trebuie să se raporteze imediat la poliție.

În cazul Corporației Tokyu, raportul de daune a fost făcut la Ministerul Terenurilor, Infrastructurii, Transporturilor și Turismului (Ministerul Japonez al Terenurilor, Infrastructurii, Transporturilor și Turismului) și la sediul poliției din prefectura Aichi, a doua zi după finalizarea investigației site-ului web al întregului grup.

În cazul în care există o posibilitate de scurgere a informațiilor personale de credit

În cazul în care există o posibilitate de scurgere a informațiilor precum numărul de identificare personală (My Number), numărul de card de credit, contul bancar, ID-ul și parola, este necesar să se notifice imediat persoana în cauză și să se solicite oprirea acestora pentru a preveni daunele secundare.

În cazul în care scara sau sfera de influență este mare, sau când este dificil să se notifice individual toți cei implicați

Se va face publicarea informațiilor pe pagina de web sau prin intermediul unui comunicat de presă. Cu toate acestea, dacă există o posibilitate ca publicarea să conducă la extinderea daunelor, trebuie să se ia în considerare momentul și persoanele vizate înainte de a lua o decizie.

De asemenea, asigurarea transparenței și divulgarea faptelor cât mai mult posibil atunci când se face publicarea, va contribui la încrederea în companie și la prevenirea extinderii daunelor și a incidentelor similare.

Publicarea celui de-al doilea comunicat de presă

Corporația Tōken a publicat pe site-ul său oficial al doilea raport privind scurgerea de informații personale, la începutul anului, pe 9 februarie 2021 (Anul Nou Gregorian). Acesta a inclus corecții ale elementelor și numărului de cazuri de scurgeri de informații.

Ca urmare a reexaminării elementelor de scurgere prin investigația forenzsică efectuată de o entitate terță, au fost confirmate unele diferențe. Prin urmare, vă rugăm să verificați din nou Anexa 1 “Despre elementele pentru fiecare site și serviciu”. (Omis) De asemenea, numărul maxim de cazuri de scurgere a fost revizuit de la 657.096 la 655.488.

Conținutul, în afară de corecțiile menționate mai sus, a inclus doar adăugiri minore, cum ar fi metode de gestionare a e-mailurilor nedorite și suspecte. În esență, conținutul a rămas același cu cel al primului comunicat de presă, iar această publicare a fost ultima.

Centrul de măsuri care stă la baza gestionării crizelor

Corporația Tokyu Construction a stabilit un “Departament de Securitate a Informațiilor” după descoperirea accesului neautorizat, colaborând cu organizații terțe externe și cu poliția pentru a preveni repetarea incidentului.

Structura acestei organizații nu este clară, dar nu numai că sunt necesare măsuri de securitate a sistemului, ci și comunicarea cu utilizatorii vizati, gestionarea media, gestionarea acționarilor, examinarea responsabilității legale, etc., trebuie să se desfășoare simultan. În general, este necesară participarea următoarelor organizații terțe externe și a experților:

  • Companii mari de software
  • Furnizori specializați în securitate de top
  • Avocați externi cu cunoștințe aprofundate în securitatea cibernetică

Rezumat

În cazul unei scurgeri de informații personale la scară largă, cum ar fi cea de peste 650.000 de cazuri de data aceasta, este esențial să se acorde importanță “răspunsului inițial”, “notificării, raportării și publicării” centrate pe sediul de strategie și “măsurilor de securitate”.

În special, viteza este necesară nu numai pentru răspunsul inițial, ci și pentru notificarea și raportarea către poliție și agențiile guvernamentale relevante, precum și pentru publicarea (comunicat de presă) către părțile interesate.

Însă, dacă se greșește metoda de gestionare, există posibilitatea de a fi pus în discuție pentru responsabilitatea pentru daune, așa că vă recomandăm să consultați un avocat cu cunoștințe și experiență bogată în securitatea cibernetică înainte de a lua o decizie pe cont propriu.

Dacă sunteți interesat de gestionarea crizei în timpul scurgerii de informații cauzate de malware-ul Capcom, vă rugăm să consultați articolul pentru detalii.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Prezentarea măsurilor noastre de către firma noastră

Firma noastră de avocatură Monolis, este specializată în IT, în special în aspectele legale ale internetului. La firma noastră, ne ocupăm de crearea și revizuirea contractelor pentru o varietate de cazuri, de la companiile listate pe Tokyo Stock Exchange Prime până la startup-uri. Dacă aveți probleme, vă rugăm să consultați articolul de mai jos.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Punctele cheie ale modificării Legii Speciale Comerciale Japoneze ('Legea Speciale Comercială') împotriva 'metodelor comerciale înșelătoare de abonament periodic' pentru cumpărăturile pe internet

Punctele cheie ale modificării Legii Speciale Comerciale Japoneze ('Legea Speciale Comercială') .

General Corporate

Opțiuni de structură pentru M&A în achiziționarea aplicațiilor pentru smartphone

Opțiuni de structură pentru M&A în achiziționarea aplicațiilor pentru smartphone

General Corporate

Puncte de atenție la comandarea producției de site-uri de rezervări pentru spitale și site-uri media pentru trimiterea pacienților

Puncte de atenție la comandarea producției de site-uri de rezervări pentru spitale și site-uri m.

General Corporate

Avantajele și dezavantajele ICO-urilor în comparație cu IPO-urile

Avantajele și dezavantajele ICO-urilor în comparație cu IPO-urile

General Corporate

Reglementări legale privind activitățile de publicitate și promovare a celulelor stem în domeniul medical

Reglementări legale privind activitățile de publicitate și promovare a celulelor stem în domeniu.

General Corporate

Problemele legale ale 'Legii privind plățile financiare' și 'Legii privind afișarea premiilor' în operarea aplicațiilor de jocuri

Problemele legale ale 'Legii privind plățile financiare' și 'Legii privind afișarea premiilor' î.

General Corporate

Ce este relația dintre sustragerea secretelor comerciale și Legea Japoneză de Prevenire a Concurenței Neloiale?

Ce este relația dintre sustragerea secretelor comerciale și Legea Japoneză de Prevenire a Concur.

General Corporate

Cum se previne un incident de securitate la furnizor? Explicăm construcția și operarea sistemului de control intern al clientului

Cum se previne un incident de securitate la furnizor? Explicăm construcția și operarea sistemulu.

General Corporate

Ce înseamnă afișarea dublă a prețurilor? Explicăm și punctele pentru a nu încălca 'Legea japoneză privind afișarea premiilor' și sancțiunile aplicabile

Ce înseamnă afișarea dublă a prețurilor? Explicăm și punctele pentru a nu încălca 'Legea japonez.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

?napoi la ?nceput