Русский English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_ru/header.php</b> on line <b>89</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Будни 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Уроки управления кризисами и роли адвоката, изученные на примере утечки информации в 650 000 случаях в компании 'Тоукен Корпо'

Уроки управления кризисами и роли адвоката, изученные на примере утечки информации в 650 000 случаях в компании 'Тоукен Корпо'

General Corporate

Уроки управления кризисами и роли адвоката, изученные на примере утечки информации в 650 000 случаях в компании 'Тоукен Корпо'

1 апреля 2005 года (Григорианский календарь) в полном объеме вступил в силу Японский закон о защите персональных данных. Все предприятия, работающие с персональными данными, обязаны принимать меры по их безопасному управлению, однако случаи утечки персональных данных продолжают происходить.

В случае инцидента с утечкой информации особенно важными становятся процедура реагирования и скорость реакции. В частности, в малых и средних предприятиях, где нет специалистов по информационной безопасности, может быть сложно быстро определить, как следует реагировать.

В этот раз мы рассмотрим систему управления кризисными ситуациями при утечке информации на примере реакции компании “Touken Corporation” на инцидент с утечкой информации.

Обзор утечки информации

Основные моменты, связанные с утечкой информации из-за незаконного доступа, которая произошла в корпорации “Токен Кенсецу”, следующие:

  • Произошло: в течение 24 дней с 20 августа по 12 сентября 2020 года
  • Обнаружено: 20 октября 2020 года
  • Причина: Незаконный доступ к серверу, хранящему информацию различных пользователей, через домашнюю страницу группы
  • Цель: Обращающиеся к сайту групповой компании, члены, участники различных кампаний
  • Информация: “Адрес электронной почты”, “ФИО”, “Адрес”, “Номер телефона”, “Пароль”, “Пол”, “Дата рождения” и т.д.
  • Количество: Возможная утечка информации может затронуть 657,096 записей персональных данных

Обнаружение несанкционированного доступа и первоначальные меры реагирования

20 октября 2020 года (2020 год по Григорианскому календарю), во время регулярной проверки веб-сайта, компания Touken Corporation обнаружила несанкционированный доступ к своему веб-сайту “Nasurak Kitchen” и приняла следующие первоначальные меры реагирования:

  • В качестве срочных мер безопасности “Nasurak Kitchen” был закрыт, а предоставление услуг и прочее через этот сайт было приостановлено.
  • Был создан “Штаб по мерам информационной безопасности” и проведены консультации с внешними независимыми организациями.
  • До 11 ноября был проведен аудит всех веб-сайтов группы, временно устранены уязвимости и определены максимальное количество и типы утечек информации.

Ключевые моменты первоначального реагирования

Если подтверждается риск утечки информации из-за несанкционированного доступа, необходимо немедленно принять следующие меры, чтобы предотвратить распространение ущерба, вторичные последствия и повторное происшествие:

  • Подтверждение фактов (причины несанкционированного доступа, маршруты и т.д.)
  • Остановка устройств или сайтов, подвергшихся несанкционированному доступу
  • Отключение устройств или сайтов, подвергшихся несанкционированному доступу, от сети

Важно помнить, что необходимо избегать непродуманных действий и принять меры по сохранению доказательств, чтобы не уничтожить оставшиеся на системе доказательства.

Пресс-релиз после обнаружения утечки информации

Первое официальное заявление было сделано на домашней странице корпорации “Токэн” (Touken Corporation) 17 ноября 2020 года.

В заявлении подробно описывались такие вещи, как общий обзор незаконного доступа, будущие меры безопасности, а также информация, которая требовалась в форме “Вопросы и ответы по инциденту с утечкой информации из-за незаконного доступа”.

Корпорация “Токэн” и наши групповые компании (далее – наша группа) подтвердили 20 октября 2020 года, что сеть нашей группы подверглась незаконному доступу со стороны третьих лиц, и что личная информация, такая как запросы к HomeMate, которым управляет наша группа, информация о членах групповых компаний и информация о заявителях на различные кампании, могла быть утечкой наружу.

О утечке личной информации из-за незаконного доступа[ja]

На вышеуказанной веб-странице, ссылка на которую приведена, в “Вопросы и ответы по инциденту с утечкой информации из-за незаконного доступа”[ja] включены следующие вопросы.

О содержании утечки информации

Q Какая информация была утекла в этот раз?
A Мы полагаем, что была утекла информация, включая “имя”, “адрес”, “номер телефона”, “адрес электронной почты” и “пароль” на всех сайтах, включая групповые компании, которые наша компания управляет.

Q Была ли утечка информации о кредитных картах?
A На сайтах, которые управляет наша компания, включая групповые компании, мы не храним информацию, такую как номера кредитных карт или индивидуальные идентификационные номера, так что нет опасности утечки.

В описании утечки информации, можно избежать ненужного беспокойства и путаницы, конкретно указывая информацию, которая может утечь (1) и информацию, которая не подвержена утечке (2).

О мерах на будущее

Q Можно ли продолжать использовать сайты, включая групповые компании Токэн?
A Усиление безопасности от несанкционированного доступа на всех сайтах, которые мы управляем, включая групповые компании, уже завершено.

Q Как вы планируете управлять информацией в будущем?
A В будущем, мы будем принимать проверки от третьих сторон по мере необходимости, и если на сайте обнаружатся уязвимости, мы немедленно их исправим и будем стремиться к более строгому управлению информацией.

В будущих мерах важно тщательно объяснить пользователю о мерах безопасности сайта, которым он пользовался, о возможности повторного использования и о системе управления информацией в будущем.

Вопросы и ответы о возмещении ущерба

Q: Будет ли выплачена компенсация или извинительный платеж людям, пострадавшим от утечки информации?
A: Судя по информации, утекшей в результате недавнего незаконного доступа, мы не планируем выплачивать извинительные платежи или компенсацию за неудобства. Однако, если в результате этой утечки информации у вас возникли финансовые потери и вы можете представить конкретные доказательства, пожалуйста, обратитесь в наш “Консультационный центр по личной информации”.

Q: У меня были неизвестные списания. Могу ли я получить компенсацию?
A: Если с вашего счета были произведены неизвестные списания, мы просим вас самостоятельно связаться с компанией, которая произвела списание. Если же станет ясно, что неизвестные списания произошли в результате утечки информации, мы просим вас, несмотря на неудобства, сообщить об этом в наш “Консультационный центр по личной информации”.

Мы ясно заявляем о нашей политике: мы не выплачиваем извинительные платежи или компенсацию за неудобства, но мы готовы обсудить возмещение ущерба в случае финансовых потерь, вызванных утечкой информации.

Сомнения относительно тайминга первого пресс-релиза

В качестве управления кризисом в компании, необходимо прежде всего учитывать «расширение ущерба», «возникновение вторичного ущерба» и «предотвращение повторного случая».

Следовательно, в случае обнаружения утечки информации, важно как можно скорее сообщить об этом заинтересованным сторонам после проведения первоначальных мер.

Вопросы и ответы корпорации “Touken” тщательно отвечают на предполагаемые вопросы в широком диапазоне, и можно предположить, что они были составлены после тщательной консультации с экспертами, такими как адвокаты, однако остаются сомнения относительно публикации примерно через месяц после обнаружения несанкционированного доступа.

Конечно, компания захочет провести расследование и принять меры перед публикацией, но не следовало ли следующие четыре пункта опубликовать раньше в качестве первого сообщения?

  • Обнаружение утечки информации и предполагаемые субъекты
  • Содержание утекшей личной информации
  • Отсутствие возможности утечки кредитной информации, такой как номер карты
  • Будущая структура и график
  • Контактный центр

Основные моменты уведомления, отчетности и публикации

В случае утечки информации, в зависимости от причины и содержания информации, необходимо рассмотреть возможность уведомления пользователей и партнеров, подачи заявлений в надзорные органы и полицию, а также публикации информации на веб-сайте или в СМИ.

Если есть уголовная ответственность

Если есть вероятность преступления в связи с несанкционированным доступом, после проведения расследования и принятия мер по сохранению доказательств, необходимо немедленно сообщить в полицию.

В случае корпорации “Touken”, после завершения проверки веб-сайта всей группы, на следующий день были поданы заявления о причинении ущерба в Министерство земли, инфраструктуры, транспорта и туризма, а также в полицейское управление префектуры Айти.

Если есть вероятность утечки личной кредитной информации

В случае возможности утечки таких данных, как номер моего номера, номер кредитной карты, банковский счет, ID и пароль, необходимо немедленно уведомить владельца и призвать к прекращению использования этих данных, чтобы предотвратить вторичный ущерб.

Если масштаб или зона влияния большие, или если сложно уведомить всех заинтересованных сторон индивидуально

Информация будет опубликована на веб-сайте или через пресс-релизы. Однако, если публикация может привести к расширению ущерба, следует принять решение, учитывая время публикации и целевую аудиторию.

Кроме того, обеспечение прозрачности при публикации и раскрытие фактов насколько это возможно, способствует доверию к компании, а также предотвращает расширение ущерба и предотвращает подобные инциденты в будущем.

Публикация второго пресс-релиза

Корпорация “Тоукэн” (Touken Corporation) 9 февраля 2021 года опубликовала на своем веб-сайте второй отчет о утечке персональных данных, в котором были внесены корректировки в отношении утекших данных и количества случаев утечки.

В результате повторного расследования утекших данных, проведенного независимым органом по форензическому анализу, были обнаружены некоторые различия. Мы просим вас ознакомиться с ними в приложении 1 “Пункты по сайту и услугам”. (Пропущено)… Кроме того, максимальное количество утечек уменьшилось с 657,096 до 655,488.

Содержание, кроме вышеуказанных исправлений, было дополнено только методами реагирования на спам и подозрительные письма. Основное содержание осталось практически таким же, как в первом пресс-релизе, и это стало последней публикацией на эту тему.

Штаб по борьбе с кризисом – центр реагирования

Корпорация “Touken” после обнаружения несанкционированного доступа создала “Главное управление информационной безопасности”, которое сотрудничает с внешними независимыми организациями и полицией, чтобы предотвратить повторение подобных инцидентов.

Структура этой организации неизвестна, но помимо мер по обеспечению безопасности системы, необходимо одновременно проводить работу по связям с целевыми пользователями, взаимодействию со СМИ, общению с акционерами, а также рассмотрению юридической ответственности. В общем, требуется участие следующих внешних независимых организаций и специалистов:

  • Крупные компании-разработчики программного обеспечения
  • Ведущие специализированные поставщики безопасности
  • Внешние адвокаты, специализирующиеся на кибербезопасности

Заключение

В случаях, подобных текущему, когда обнаруживается утечка персональных данных в масштабе более 650 тысяч случаев, важными становятся “первоначальная реакция” и “уведомление, отчетность и публикация”, осуществляемые в основном штабом по мерам, а также “меры безопасности”.

Особенно важна скорость не только в первоначальной реакции, но и в уведомлении и отчетности перед полицией и соответствующими ведомствами, а также в публикации (пресс-релизах) для заинтересованных сторон.

Однако, если вы ошибетесь в способе реагирования, вы можете быть привлечены к ответственности за возмещение ущерба, поэтому рекомендуется не принимать решения самостоятельно, а обсуждать их заранее с адвокатами, обладающими богатыми знаниями и опытом в области кибербезопасности.

Если вас интересует управление кризисом во время утечки информации из-за вредоносного ПО Capcom, пожалуйста, ознакомьтесь с подробностями в статье.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Информация о мерах, предпринимаемых нашей юридической фирмой

Юридическая фирма Monolith обладает высокой специализацией в области IT, особенно в интернете и праве. В нашей фирме мы занимаемся созданием и рассмотрением контрактов для различных дел, от компаний, которые зарегистрированы на Токийской фондовой бирже Prime, до стартапов. Если у вас возникли проблемы, пожалуйста, обратите внимание на статью ниже.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Объяснение 'штрафов' в Измененном Законе о защите персональных данных в эпоху Рейва 4 год (2022 год)

Объяснение 'штрафов' в Измененном Законе о защите персональных данных в эпоху Рейва 4 год (2022 .

General Corporate

Сетевой бизнес незаконен? Объяснение юридических проблем «Многоуровневого маркетинга» и «Схемы Понци»

Сетевой бизнес незаконен? Объяснение юридических проблем «Многоуровневого маркетинга» и «Схемы П.

General Corporate

Наказания и условия ареста по Японскому 'Закону о медицинских устройствах'? Объясняем, как избежать проблем

Наказания и условия ареста по Японскому 'Закону о медицинских устройствах'? Объясняем, как избеж.

General Corporate

Что такое контракт с ограниченной ответственностью для внешних директоров? Процесс и особенности создания контракта

Что такое контракт с ограниченной ответственностью для внешних директоров? Процесс и особенности.

General Corporate

Влияние судебных исков на процесс листинга на бирже

Влияние судебных исков на процесс листинга на бирже

General Corporate

Ключевые моменты создания политики конфиденциальности, соответствующей GDPR

Ключевые моменты создания политики конфиденциальности, соответствующей GDPR

General Corporate

Что было проблемой в судебном процессе между 'Nintendo' и 'Colopl'?

Что было проблемой в судебном процессе между 'Nintendo' и 'Colopl'?

General Corporate

Может ли раскрытие чужого адреса привести к уголовной ответственности? Объясняем способы идентификации автора публикации.

Может ли раскрытие чужого адреса привести к уголовной ответственности? Объясняем способы идентиф.

General Corporate

Аффилированная реклама и Японский закон о безопасности потребителей ~ Объяснение примеров ложной и преувеличенной рекламы ~

Аффилированная реклама и Японский закон о безопасности потребителей ~ Объяснение примеров ложной.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet Internet,Legal Support for VTuber IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Recent Articles

Weekly Popular Articles

Вернуться наверх