Română English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_ro/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Zilele săptămânii 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Scurgeri de informații personale care nu se opresc, anul Reiwa 7 (2023) cu 1,5 ori mai multe cazuri față de anul precedent. Explicăm cele mai recente tendințe

Scurgeri de informații personale care nu se opresc, anul Reiwa 7 (2023) cu 1,5 ori mai multe cazuri față de anul precedent. Explicăm cele mai recente tendințe

General Corporate

Scurgeri de informații personale care nu se opresc, anul Reiwa 7 (2023) cu 1,5 ori mai multe cazuri față de anul precedent. Explicăm cele mai recente tendințe

În ultimii ani, creșterea atacurilor cibernetice sofisticate și a erorilor umane a condus la o creștere a cazurilor de scurgeri de informații personale, devenind o problemă gravă pentru companii. Scurgerile de informații personale pot aduce companiilor daune semnificative, precum prejudicii de reputație, riscuri de litigiu și chiar oprirea activității.

Acest articol explică tendințele în cazurile de scurgeri de informații personale, așa cum se reflectă în raportul anual pentru anul Reiwa 5 (2023) publicat de Comisia Japoneză pentru Protecția Informațiilor Personale. Utilizați informațiile din acest articol pentru a întări măsurile de securitate cibernetică ale companiei dumneavoastră și pentru a preveni riscurile de scurgeri de informații înainte de a se produce.

Ce este raportul anual al Comisiei pentru Protecția Datelor Personale?

În aprilie 2022 (Reiwa 4), a fost implementată legea revizuită privind protecția datelor personale, care obligă operatorii de afaceri ce manipulează informații personale să raporteze pe site-ul Comisiei pentru Protecția Datelor Personale (PPC) în cazul în care se produce o scurgere de informații personale sau alte incidente similare, atunci când sunt îndeplinite anumite condiții.

Comisia pentru Protecția Datelor Personale a publicat raportul anual pentru anul fiscal 2023 (Reiwa 5)[ja] în iunie 2024 (Reiwa 6).

Articol relevant: Ce trebuie să știi despre punctele cheie și modificările Legii revizuite privind protecția datelor personale din 2024 (Reiwa 6)? Explicăm schimbările importante și măsurile de răspuns[ja]

Supravegherea operatorilor de prelucrare a datelor cu caracter personal

Pentru incidentele de scurgere de informații și alte asemenea din anul Reiwa 5 (2023), s-au efectuat 12.120 de raportări și proceduri de procesare, ceea ce reprezintă o creștere semnificativă față de cele 7.685 de cazuri din anul precedent. Să examinăm acum conținutul în detaliu.

Situația prelucrării cazurilor de scurgeri de informații și altele asemenea

Situația prelucrării cazurilor de scurgeri de informații și altele asemenea

Dintre cazurile raportate, numărul de persoane afectate de scurgeri de informații sau similare a fost de sub 1000 de persoane în 11.635 de cazuri (96,0%), iar cazurile în care numărul de persoane depășește 50.000 reprezintă 61 de cazuri (0,5%).

În cazurile raportate direct comitetului, tipul de informații scurse cel mai frecvent a fost cel al datelor clienților (83,5%), iar dacă privim după forma materialului, scurgerile de informații care au implicat doar suportul de hârtie (82,0%) au fost mai numeroase decât cele care au implicat doar suportul electronic (12,2%).

Conform clasificării bazate pe tipurile de raportare obligatorie stabilite de Legea Japoneză pentru Protecția Datelor Personale și de regulamentul de punere în aplicare a acesteia, cele mai multe cazuri au fost scurgerile de date personale care includ informații sensibile, cum ar fi istoricul medical sau etnia (89,7%), urmate de scurgerile de date personale care ar putea fi rezultatul unui acces neautorizat sau alte acțiuni cu intenții frauduloase (8,1%).

Unul dintre motivele acestei tendințe, luând în considerare că majoritatea cauzelor de scurgeri de informații și similare au fost greșeli umane precum livrări greșite, expedieri greșite, distrugeri greșite sau pierderi (în total 86,3%), este că au fost multe cazuri de scurgeri de informații cauzate de livrarea greșită a materialelor pe suport de hârtie care conțineau date personale sensibile (de exemplu, facturi detaliate de la instituții medicale etc.).

În urma acestor rapoarte, Comisia Japoneză pentru Protecția Datelor Personale a verificat dacă notificările către persoanele afectate (conform articolului 26, alineatul 2, al Legii Japoneze pentru Protecția Datelor Personale) au fost efectuate corespunzător, dacă cauzele incidentului au fost identificate și analizate adecvat și dacă măsurile menționate pentru prevenirea recidivei sunt adecvate cauzelor incidentului, printre alte subiecte de raportare prevăzute de regulament. De asemenea, s-au luat măsuri precum furnizarea de informații cu privire la metodele de analiză a cauzelor și de examinare a strategiilor de prevenire a recidivei, după caz.

Situația colectării rapoartelor, a instruirii și a sfaturilor

Operatorilor de afaceri care manipulează informații personale li s-au colectat 73 de rapoarte, iar 333 de cazuri de instruire și sfaturi au fost furnizate.

Printre cazurile grave se numără următoarele:

  • Un caz în care informațiile clienților de energie nouă deținute de un operator general de distribuție a energiei electrice au fost vizualizate și utilizate de o companie afiliată din grup sau de un operator de retail de energie electrică din aceeași companie.
  • Un caz în care un operator de retail de energie electrică a folosit ID-ul și parola unui cont atribuit unui operator general de distribuție a energiei pentru a accesa și utiliza informații personale deținute în “Sistemul de Administrare a Afacerilor cu Energie Regenerabilă” gestionat de Agenția pentru Resurse și Energie.
  • Un caz în care Toyota Motor Corporation a încredințat Toyota Connected Corporation, o subsidiară, cu gestionarea datelor personale ale utilizatorilor de vehicule pentru servicii, iar datele personale gestionate pe serverul companiei au fost accesibile din exterior, ceea ce a dus la o posibilă scurgere de informații.
  • Un caz în care Organizația Națională a Spitalelor, un operator de afaceri care manipulează informații medicale în conformitate cu Legea privind Informațiile Medicale Anonimizate pentru Cercetare și Dezvoltare în Domeniul Medical (Legea nr. 28 din 2017), a scurs informații medicale ale pacienților.
  • Un caz în care trei operatori de afaceri care au depus notificări de opt-out au încălcat prevederile Legii privind Protecția Datelor Personale.
  • Un caz în care un angajat temporar al NTT Nexia Co., Ltd., căruia NTT DOCOMO, Inc. i-a încredințat gestionarea informațiilor clienților pentru telemarketing, a accesat fără autorizație un serviciu de cloud personal de pe PC-ul folosit în muncă și a încărcat datele personale ale aproximativ 5,96 milioane de persoane pe acest serviciu de cloud, ceea ce a dus la riscul de scurgere a datelor.
  • Un caz în care un profesor de la compania de meditații pentru examenele de gimnaziu Yotsuya Otsuka Co., Ltd. a căutat și vizualizat datele personale ale elevilor de școală primară care frecventau meditațiile, împreună cu fotografii și videoclipuri ale acestora, pe smartphone-ul său privat și a postat datele personale ale șase persoane pe contul său de SNS, ceea ce a dus la scurgerea de informații.
  • Un caz în care serverul MK System Co., Ltd. a fost accesat ilegal și datele personale gestionate pe sistemul respectiv au fost criptate de ransomware, ceea ce a creat riscul unei scurgeri de informații.
  • Un caz în care, dacă se introduceau anumite comenzi pe paginile specifice ale produselor de pe “Yahoo! Auctions”, GUID-ul (identificatorul intern) al vânzătorului de la licitație era vizibil, ceea ce a făcut ca GUID-ul să fie accesibil de către terți și a creat riscul unei scurgeri de date personale.

În legătură cu aceste cazuri, au fost efectuate instrucțiuni bazate pe articolul 23 al Legii privind Protecția Datelor Personale și, în unele cazuri, s-a solicitat raportarea privind implementarea măsurilor de prevenire a recidivei.

Situația recomandărilor

În cazul operatorilor de prelucrare a datelor cu caracter personal și alți asemenea, au fost efectuate trei recomandări. Sunt prezentate următoarele rezumate.

În legătură cu activitatea de call center desfășurată de către NTT Marketing Act ProCX Co., Ltd., care a primit contracte de la operatori privați, organisme administrative independente și entități publice locale, un angajat al NTT Business Solutions Co., Ltd., care a fost subcontractat de către această companie pentru întreținerea și operarea sistemelor folosite în afaceri, a scos ilegal date personale ale aproximativ 9,28 milioane de clienți sau rezidenți, ceea ce a dus la o scurgere de informații. În acest caz, ambele companii au primit recomandări de a lua măsurile necesare pentru a corecta încălcările prevederilor articolului 23 din Legea Japoneză de Protecție a Datelor Personale.

La LINE Yahoo Japan Corporation, un incident în care datele personale ale utilizatorilor, partenerilor și angajaților LINE au fost scurse sau compromise a fost declanșat de infectarea cu malware a unui PC folosit în activitatea unei companii de securitate din Coreea, care era subcontractată pentru întreținerea securității. În acest caz, a fost emisă o recomandare de a lua măsurile necesare pentru a corecta încălcările prevederilor articolului 23 din Legea Japoneză de Protecție a Datelor Personale și a fost solicitat un raport privind starea de îmbunătățire a recomandărilor, inclusiv implementarea măsurilor de prevenire a recidivei.

Supravegherea instituțiilor administrative și asemănătoare

Supravegherea instituțiilor administrative și asemănătoare

Conform Legii japoneze privind Protecția Datelor Personale, s-a efectuat supravegherea și asupra instituțiilor administrative și asemănătoare.

Stadiul procesării rapoartelor privind incidentele de scurgere a informațiilor personale deținute

În cadrul supravegherii instituțiilor administrative și asemănătoare, s-au procesat 1159 de rapoarte privind incidentele de scurgere a informațiilor personale deținute. Dintre acestea, 162 de rapoarte au fost de la instituții administrative naționale și 997 de la entități publice locale.

Cele mai multe rapoarte de incidente, la fel ca în anul precedent, au fost legate de scurgeri de informații personale sensibile (instituții administrative naționale: 61.1%, entități publice locale: 80.3%), urmate de scurgeri de informații personale care implică peste 100 de persoane (instituții administrative naționale: 31.5%, entități publice locale: 18.8%).

Majoritatea cauzelor incidentelor au fost erori umane, cum ar fi livrări greșite, expedieri greșite, distrugeri greșite sau pierderi (instituții administrative naționale: total 6.8%, entități publice locale: total 78.8%), urmate de erori de configurare a sistemelor și alte cazuri similare (instituții administrative naționale: 22.8%, entități publice locale: 17.7%).

În cazul fiecărui incident, numărul persoanelor afectate de scurgeri a fost de sub 1000 în majoritatea cazurilor (instituții administrative naționale: 93.2%, entități publice locale: 96.7%), iar tipul de informații scurse a fost în majoritatea cazurilor informații ale cetățenilor (instituții administrative naționale: 78.4%, entități publice locale: 91.1%). Forma de informații scurse a fost în principal pe suport de hârtie (instituții administrative naționale: 58.0%, entități publice locale: 76.8%).

Situația solicitărilor de documente, inspecțiilor pe teren, îndrumărilor și sfaturilor

Pentru a verifica conformitatea cu Ghidurile privind Protecția Datelor Personale și Legii japoneze privind Protecția Datelor Personale (ediția pentru instituții administrative și asemănătoare), s-au efectuat 65 de inspecții pe teren planificate și s-au solicitat îmbunătățiri în gestionarea adecvată a datelor personale, precum și prezentarea de documente privind măsurile de îndrumare.

În afara inspecțiilor pe teren, s-au efectuat 73 de acțiuni de îndrumare și sfaturi, inclusiv solicitarea de măsuri de prevenire a recidivei pentru deficiențele în măsurile de securitate, în urma rapoartelor de incidente de scurgere a datelor personale. Printre cazurile grave se numără următoarele:

  • Un caz în care ID-ul și parola unui cont atribuit unui operator general de distribuție de energie, gestionat de Agenția pentru Resurse și Energie, au fost utilizate de un operator de retail de energie electrică pentru a accesa și utiliza informații personale deținute în sistemul de gestionare a afacerilor cu energie regenerabilă.
  • Un caz în care un USB care conținea informații personale, inclusiv numele, data nașterii, rezultatele examinărilor de sănătate și istoricul vaccinării împotriva COVID-19 ale majorității cetățenilor orașului Noheji, Aomori, a fost pierdut, creând riscul unei scurgeri de informații.
  • Un caz în care doi profesori de la două licee sub jurisdicția Comisiei de Educație din Nagano au căzut victime ale unei fraude de suport și, urmând instrucțiunile atacatorilor, au instalat software de control la distanță pe PC-urile școlare, ceea ce a creat riscul unei scurgeri de informații personale ale studenților și personalului didactic.

Pentru aceste cazuri, s-au efectuat îndrumări bazate pe articolul 66, alineatul (1) al Legii japoneze privind Protecția Datelor Personale, privind problemele de securitate insuficiente, iar pentru cazurile din Aomori și Nagano s-au solicitat, de asemenea, documente privind starea implementării măsurilor de prevenire a recidivei.

Concluzie: Numărul cazurilor de scurgeri de informații personale este cel mai mare de la începutul raportărilor

De la modificarea din anul Reiwa 4 (2022), raportarea către Comisia Japoneză de Protecție a Datelor Personale a devenit obligatorie, iar numărul de raportări din anul fiscal Reiwa 5 (2023) de 12.120 de cazuri reprezintă o creștere de aproximativ 58% față de anul anterior, fiind cel mai mare număr înregistrat de când raportarea a devenit o obligație de efort în anul fiscal Heisei 25 (2013).

În ceea ce privește manipularea informațiilor personale, dacă se comite o greșeală și se produce o scurgere efectivă de date, aceasta va fi publicată pe site-ul Comisiei Japoneze de Protecție a Datelor Personale, ceea ce poate duce la deteriorarea brandului companiei și la pierderea încrederii sociale. Vă recomandăm să consultați un avocat pentru gestionarea și operarea informațiilor personale și să vă pregătiți în avans pentru astfel de situații.

Ghidul măsurilor noastre de protecție

Cabinetul de Avocatură Monolith este un birou de avocați cu experiență bogată în IT, în special în domeniul internetului și al legii. În zilele noastre, scurgerea informațiilor personale a devenit o problemă majoră. În cazul în care informațiile personale sunt scăpate, acest lucru poate avea un impact devastator asupra activității unei companii. Firma noastră deține cunoștințe specializate în prevenirea și abordarea scurgerilor de informații. Detalii suplimentare sunt furnizate în articolul de mai jos.

Domeniile de practică ale Cabinetului de Avocatură Monolith: Servicii legate de Legea Japoneză de Protecție a Informațiilor Personale[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Avansarea muncii de la distanță: Este acceptabilă discrepanța salarială între angajații care lucrează de acasă și cei care vin la birou?

Avansarea muncii de la distanță: Este acceptabilă discrepanța salarială între angajații care luc.

General Corporate

Avocatul explică în mod clar punctele cheie în crearea unui contract de bază pentru detașarea lucrătorilor japonezi

Avocatul explică în mod clar punctele cheie în crearea unui contract de bază pentru detașarea lu.

General Corporate

Avantajele și procedurile pentru realizarea succesiunii afacerii prin M&A

Avantajele și procedurile pentru realizarea succesiunii afacerii prin M&A

General Corporate

Care sunt punctele de verificare atunci când încheiați un contract de furnizare a datelor?

Care sunt punctele de verificare atunci când încheiați un contract de furnizare a datelor?

General Corporate

Explicarea clauzei dreptului de solicitare de conversie în contractele de investiții pentru startup-uri

Explicarea clauzei dreptului de solicitare de conversie în contractele de investiții pentru star.

General Corporate

Ce este contractul de investiții necesar atunci când investești într-o întreprindere de tip start-up? Explicarea clauzei de distribuție preferențială

Ce este contractul de investiții necesar atunci când investești într-o întreprindere de tip star.

General Corporate

Problemele legale de care trebuie să ții cont la crearea unui White Paper pentru ICO

Problemele legale de care trebuie să ții cont la crearea unui White Paper pentru ICO

General Corporate

Cazuri și exemple de judecată privind validitatea clauzelor de interzicere a angajării la companii concurente

Cazuri și exemple de judecată privind validitatea clauzelor de interzicere a angajării la compan.

General Corporate

Recenziile sunt, de asemenea, supuse reglementărilor Legii Farmaceutice Japoneze (Yakukiho)? Explicăm legile relevante

Recenziile sunt, de asemenea, supuse reglementărilor Legii Farmaceutice Japoneze (Yakukiho)? Exp.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

?napoi la ?nceput