Непрекращающиеся утечки персональных данных, в 5-м году эры Рейва (2023) увеличение на 50% по сравнению с предыдущим годом. Объяснение последних тенденций

В последние годы увеличивается количество утечек персональных данных из-за усовершенствования кибератак и человеческих ошибок, что становится серьезной проблемой для компаний. Утечка персональных данных может привести к серьезным убыткам для компании, таким как ущерб репутации, риск судебных исков и даже приостановление бизнеса.

В данной статье мы рассмотрим тенденции в инцидентах утечки персональных данных, основываясь на годовом отчете, опубликованном Комиссией по защите персональных данных Японии (Japanese Personal Information Protection Commission) за пятый год эры Рэйва (2023). Используйте эту информацию для усиления мер безопасности информации в вашей компании и предотвращения рисков утечек данных.

Что такое годовой отчет Комиссии по защите персональных данных?

В апреле 2022 года (первый год эры Рэйва) был введен в действие новый закон о защите персональных данных, который обязывает операторов, обрабатывающих персональные данные, сообщать на веб-сайте Комиссии по защите персональных данных (PPC) о случаях утечки персональных данных и других инцидентах, если они соответствуют определенным условиям.

Комиссия по защите персональных данных опубликовала годовой отчет за пятый год эры Рэйва (2024 год)[ja] в июне шестого года эры Рэйва (2024 год).

Связанные статьи: Ключевые моменты закона о защите персональных данных за шестой год эры Рэйва (2024 год)? Основные изменения и стратегии, которые необходимо знать[ja]

Надзор за субъектами, обрабатывающими персональные данные

В финансовом году Рэйва 5 (2023 год) было обработано 12,120 сообщений о случаях утечки и прочих инцидентах, что значительно превышает 7,685 случаев, зарегистрированных в предыдущем году. Давайте рассмотрим конкретные детали.

Обработка и состояние инцидентов, связанных с утечками информации

Среди сообщенных инцидентов количество случаев утечки информации, затрагивающих менее 1000 человек, составило 11635 (96.0%), в то время как инциденты, затрагивающие более 50000 человек, составили 61 случай (0.5%).

В инцидентах, напрямую сообщенных комитету, наиболее часто утекала информация о клиентах (83.5%), и если смотреть по типу носителя, то утечки, связанные только с бумажными носителями (82.0%), превышали утечки, связанные только с электронными носителями (12.2%).

Согласно классификации обязательств по отчетности, установленной в Законе о защите персональных данных (Japanese Personal Information Protection Law) и Правилах его исполнения, наибольшую долю составили утечки данных, содержащих чувствительную личную информацию, такую как медицинская история или расовая принадлежность (89.7%), за ними следуют утечки данных, связанные с незаконным доступом или другими действиями, предположительно совершенными с противоправными намерениями (8.1%).

Такая тенденция может быть связана с тем, что большинство причин инцидентов утечки информации связаны с так называемыми человеческими ошибками, такими как неправильная выдача, отправка, утилизация или потеря (в сумме 86.3%). Учитывая это, можно предположить, что многие инциденты утечки информации происходили из-за ошибок при выдаче бумажных носителей, содержащих личные данные, требующие особого внимания (например, ошибочная выдача медицинских счетов в медицинских учреждениях).

Получив эти отчеты, Комиссия по защите персональных данных проверила, были ли уведомления, направленные субъектам данных (согласно статье 26, пункт 2 Закона о защите персональных данных), выполнены должным образом, были ли причины инцидентов правильно идентифицированы и проанализированы, и соответствуют ли предложенные меры по предотвращению повторения инцидентов установленным причинам. При необходимости комиссия предоставляла информацию и рекомендации по методам анализа причин и разработке стратегий предотвращения повторных инцидентов.

Ситуация с сбором отчетов, руководством и консультациями

Было проведено 73 сбора отчетов, 333 случая руководства и консультаций для операторов, обрабатывающих персональные данные.

К значимым инцидентам относятся следующие:

• Случай, когда информация о клиентах новой электроэнергии, которой владеют общие операторы передачи и распределения электроэнергии, была просмотрена и использована соответствующими розничными электроэнергетическими компаниями той же группы или той же компании.
• Случай, когда розничные электроэнергетические компании использовали ID и пароль аккаунта, предоставленного общим операторам передачи и распределения электроэнергии, для доступа и использования персональной информации в системе управления делами возобновляемой энергии, управляемой Агентством по природным ресурсам и энергетике.
• Случай, когда Toyota Motor Corporation поручила своей дочерней компании Toyota Connected Corporation обработку персональных данных пользователей автомобилей для предоставления услуг, и данные, управляемые сервером этой компании, стали доступны извне, что привело к утечке данных.
• Случай утечки медицинской информации пациентов независимым административным учреждением Национальной больничной организацией, оператором обработки медицинской информации по Закону о медицинской информации, обезличенной для исследований и разработок в области медицины (Закон 2017 года № 28).
• Случай, когда три компании, подавшие уведомление об отказе от участия, нарушили положения Закона о защите персональных данных.
• Случай, когда NTT DOCOMO Inc. поручила NTT NEXIA Inc. управление информацией клиентов для телефонных продаж, и временный сотрудник NEXIA, используя рабочий ПК, без разрешения получил доступ к облачной службе и загрузил в неё персональные данные примерно 5,96 миллиона человек, что привело к риску утечки данных.
• Случай, когда преподаватель частной средней школы Yotsuya Otsuka Co., Ltd. во время работы просматривал и записывал на личный смартфон фотографии и видео учащихся начальной школы, а также персональные данные учащихся, управляемые школой, и разместил данные шести человек в своём аккаунте в социальной сети, что привело к утечке данных.
• Случай, когда сервер компании MK System Co. подвергся несанкционированному доступу, и персональные данные, управляемые в этой системе, были зашифрованы в результате атаки программы-вымогателя, что создало риск утечки данных.
• Случай, когда при вводе определённых команд на определённых страницах товаров на “Yahoo! Auctions” отображался GUID (внутренний идентификатор) продавца, что сделало его доступным для просмотра третьими лицами и создало риск утечки персональных данных.

В отношении этих инцидентов были проведены руководства на основании статьи 23 Закона о защите персональных данных, и для некоторых из них были запрошены отчёты о реализации мер по предотвращению повторения.

Ситуация с рекомендациями

Было выдано три рекомендации в отношении операторов, обрабатывающих персональные данные. Ниже приведены основные моменты.

В связи с инцидентом, когда сотрудник компании NTT Business Solutions, которому было поручено обслуживание системы, используемой в бизнесе колл-центра, проводимом корпорацией NTT Marketing Act ProCX по заказу частных предприятий, независимых административных учреждений и местных общественных организаций, незаконно вынес данные о личности клиентов или жителей, в общей сложности около 9,28 миллиона человек, что привело к утечке данных, обе компании получили рекомендации о необходимости принять меры для исправления нарушений статьи 23 Закона о защите персональных данных (Japanese Personal Information Protection Act).

В компании LINE Yahoo Japan Corporation произошел инцидент, когда компьютер, используемый сотрудником компании, осуществляющей обслуживание безопасности в Южной Корее, был заражен вредоносным ПО, что привело к несанкционированному доступу к информационной системе и утечке персональных данных пользователей, партнеров и сотрудников LINE. В связи с этим была выдана рекомендация о необходимости принять меры для исправления нарушений статьи 23 Закона о защите персональных данных, и было потребовано отчета о состоянии внедрения мер по предотвращению повторения инцидента, включая отчет о выполнении рекомендаций.

Надзор за действиями государственных органов

На основании Закона о защите персональных данных (Japanese Personal Information Protection Law) осуществляется надзор за действиями государственных органов.

Обработка отчетов о случаях утечки и других инцидентах, связанных с персональными данными

В рамках надзора за государственными органами было обработано 1159 отчетов о случаях утечки и других инцидентах, связанных с персональными данными. Из них 162 отчета предоставлены федеральными государственными органами и 997 отчетов – органами местного самоуправления.

Большинство отчетов, как и в предыдущем году, касались утечек персональных данных, требующих особого внимания (федеральные государственные органы: 61.1%, органы местного самоуправления: 80.3%), за ними следуют случаи утечки данных, затрагивающие более 100 человек (федеральные государственные органы: 31.5%, органы местного самоуправления: 18.8%).

Основной причиной инцидентов являются так называемые человеческие ошибки, такие как неправильная выдача, отправка, утилизация или потеря данных (федеральные государственные органы: в сумме 6.8%, органы местного самоуправления: в сумме 78.8%), за ними следуют ошибки в настройках системы и другие соответствующие случаи (федеральные государственные органы: 22.8%, органы местного самоуправления: 17.7%).

В большинстве случаев количество пострадавших от утечки данных не превышало 1000 человек (федеральные государственные органы: 93.2%, органы местного самоуправления: 96.7%), и чаще всего утекали данные граждан (федеральные государственные органы: 78.4%, органы местного самоуправления: 91.1%). Что касается формы утекших данных, то большинство случаев связано с утечкой данных, хранящихся на бумажных носителях (федеральные государственные органы: 58.0%, органы местного самоуправления: 76.8%).

Ситуация с запросами на предоставление документов, проведением выездных проверок, руководством и консультациями

Для проверки соблюдения Руководства по Закону о защите персональных данных и законам о защите персональных данных (Japanese Personal Information Protection Law and Guidelines), применимым к государственным органам, было проведено 65 плановых выездных проверок, в ходе которых были даны указания на необходимость улучшения обработки персональных данных и запрошены документы, отчеты о выполнении указаний.

Помимо выездных проверок, в 73 случаях были даны указания и консультации по устранению недостатков в мерах безопасности, выявленных в ходе приема отчетов о случаях утечки персональных данных и других инцидентах. Среди серьезных случаев можно выделить следующие:

• Инцидент с использованием системы управления возобновляемыми источниками энергии, управляемой Агентством по природным ресурсам и энергетике, когда розничные электроснабжающие компании использовали ID и пароли, предназначенные для общих операторов передачи и распределения электроэнергии, для доступа и использования персональных данных в системе.
• Инцидент в городе Нобеока (префектура Аомори), где была потеряна USB-флешка с персональными данными большинства жителей, включая имена, даты рождения, результаты медицинских осмотров и историю вакцинации от COVID-19, что создало риск утечки данных.
• Инцидент в двух старших школах, подведомственных комиссии по образованию префектуры Нагано, где два учителя стали жертвами мошенничества с технической поддержкой и, следуя указаниям мошенников, установили программное обеспечение для удаленного доступа на школьные компьютеры, что создало риск утечки персональных данных учащихся и персонала школ.

В связи с этими инцидентами были даны указания по улучшению управления безопасностью на основании статьи 66, пункт 1 Закона о защите персональных данных, а в случаях, связанных с префектурами Аомори и Нагасаки, также были запрошены документы, касающиеся выполнения мер по предотвращению повторения подобных инцидентов.

Итог: С момента начала отчетности число случаев утечки персональных данных достигло рекордного уровня

После изменений в Японском законе о защите персональных данных в Рэйва 4 году (2022 году) отчетность перед Комиссией по защите персональных данных стала обязательной. В Рэйва 5 году (2023 году) количество отчетов составило 12 120 случаев, что на 58% больше, чем в предыдущем году, и является самым высоким показателем с тех пор, как отчетность стала обязательной в Хэйсэй 25 году (2017 году).

В случае неправильного обращения с персональными данными и их утечки, информация о таких инцидентах будет опубликована на сайте Комиссии по защите персональных данных, что может привести к ущербу для бренда компании и потере общественного доверия. Мы рекомендуем проконсультироваться с адвокатом по вопросам обработки и управления персональными данными, чтобы предотвратить подобные проблемы заранее.

Информация о мерах, предпринимаемых нашей юридической фирмой

Юридическая фирма “Монолит” обладает обширным опытом в области IT, особенно в интернет-праве и законодательстве. В наше время утечка личных данных стала серьезной проблемой. В случае утечки личных данных деятельность компании может пострадать критически. Наша фирма обладает специализированными знаниями в предотвращении утечек информации и разработке мер реагирования. Подробности вы найдете в статье ниже.

Сферы деятельности юридической фирмы “Монолит”: Юридические услуги, связанные с защитой личных данных[ja]