Oavbruten läcka av personuppgifter, 1,5 gånger fler incidenter jämfört med föregående år i Reiwa 5 (2023). En genomgång av de senaste trenderna

På senare år har en ökning av sofistikerade cyberattacker och personuppgiftsläckor på grund av mänskliga fel blivit ett allvarligt problem för företag. Personuppgiftsläckor kan orsaka omfattande skador för ett företag, såsom ryktesskada, rättsliga risker och till och med affärsstopp.

I den här artikeln kommer vi att förklara trenderna i personuppgiftsläckor som framgår av den årliga rapporten för år Reiwa 5 (2023) som publicerats av den Japanska kommissionen för skydd av personuppgifter. Använd denna artikel för att förstärka era egna informationssäkerhetsåtgärder och förebygga läckor innan de inträffar.

Vad är den japanska personuppgiftskyddskommissionens årsrapport?

I och med ikraftträdandet av den reviderade japanska personuppgiftslagen i april 2022 (Reiwa 4), är det nu ett krav att personuppgiftsansvariga företag rapporterar till den japanska personuppgiftskyddskommissionen (PPC) via dess webbplats, om det sker en läcka av personuppgifter som uppfyller vissa villkor.

Den japanska personuppgiftskyddskommissionen publicerade sin årsrapport för det finansiella året 2023 (Reiwa 5)[ja] i juni 2024 (Reiwa 6).

Relaterad artikel: Vad är nyckelpunkterna i den japanska personuppgiftslagens ändringar 2024? Viktiga förändringar och åtgärder du behöver känna till[ja]

Tillsyn över verksamheter som hanterar personuppgifter

Under det femte året av Reiwa (2023), hanterades 12,120 rapporter om läckor och liknande incidenter, vilket är en betydande ökning jämfört med föregående år då 7,685 rapporter hanterades. Låt oss nu titta närmare på innehållet.

Behandlingsstatus för läckage och liknande incidenter

Av de rapporterade incidenterna involverade 11 635 fall (96,0 %) läckage av information som rörde färre än 1000 personer per incident, medan 61 fall (0,5 %) involverade läckage som påverkade över 50 000 personer.

I de fall som rapporterades direkt till kommittén var kundinformation den mest läckta typen av information (83,5 %), och när det gäller formen på den läckta informationen var det mer vanligt att det rörde sig om pappersdokument (82,0 %) jämfört med elektroniska medier (12,2 %).

Enligt klassificeringen av rapporteringsskyldigheten som definieras i lagen om skydd av personuppgifter och dess genomförandeföreskrifter, var läckage av persondata som innehåller känslig personlig information såsom medicinska uppgifter eller etnisk tillhörighet det mest förekommande (89,7 %), följt av läckage av persondata där det fanns en möjlig risk för obehörig åtkomst eller andra olagliga syften (8,1 %).

En tänkbar orsak till dessa trender är att många av läckageincidenterna orsakades av så kallade mänskliga fel såsom felaktig utdelning, felaktig sändning, felaktig bortskaffande och förlust (totalt 86,3 %). Detta tillsammans med att det finns en rapporteringsskyldighet för läckage av persondata som innehåller känslig personlig information, även om bara en person är berörd, tyder på att många av läckageincidenterna involverade pappersdokument (till exempel detaljerade fakturor för medicinsk behandling på sjukhus) som läckte på grund av felaktig hantering.

Med anledning av dessa rapporter har Personuppgiftsinspektionen granskat om notifikationer till de berörda personerna (enligt artikel 26.2 i lagen om skydd av personuppgifter) har genomförts på ett lämpligt sätt, om orsakerna till incidenterna har identifierats och analyserats korrekt, och om de åtgärder som beskrivs för att förhindra återkommande incidenter är lämpliga i förhållande till orsakerna. Vid behov har man även tillhandahållit information om metoder för analys av orsaker och övervägande av förebyggande åtgärder.

Rapportering, vägledning och rådgivning

Det har genomförts 73 rapportinsamlingar, samt 333 väglednings- och rådgivningsåtgärder för företag som hanterar personuppgifter.

Följande allvarliga incidenter har rapporterats:

• En allmän eldistributionsoperatör hade låtit en grupp av företag eller dess egen detaljhandelsdivision, som är en relaterad detaljhandelseloperatör, visa och använda information om nya elkunder.
• En detaljhandelseloperatör hade använt ett konto-ID och lösenord som tilldelats en allmän eldistributionsoperatör för att visa och använda personuppgifter inom ‘Renewable Energy Business Management System’, som förvaltas av Agency for Natural Resources and Energy.
• Toyota Motor Corporation hade anförtrott behandlingen av personuppgifter relaterade till tjänster för fordonets användare till sitt dotterbolag Toyota Connected Corporation, där personuppgifter som förvaltades på företagets servrar blev tillgängliga för utomstående, vilket ledde till en läcka.
• En självständig administrativ myndighet, National Hospital Organization, som är en operatör som hanterar medicinsk information enligt lagen om anonymiserad behandling av medicinsk information för forskning och utveckling inom medicinområdet (Lag nr 28 från 2017), läckte patienters medicinska information.
• Tre företag som hade anmält sig till opt-out-systemet hade brutit mot bestämmelserna i lagen om skydd av personuppgifter.
• NTT DOCOMO Inc. hade anförtrott kundinformation för telefonförsäljning till NTT NEXIA Corporation, där en inhyrd medarbetare utan tillstånd hade laddat upp personuppgifter för cirka 5,96 miljoner personer till en molntjänst från en arbets-PC, vilket riskerade en läcka utåt.
• En lärare vid Yotsuya Otsuka, ett företag som driver förberedande skolor för mellanstadiet, sökte och visade personuppgifter för grundskoleelever som var registrerade vid skolan, tog bilder och videor med sin privata smartphone och publicerade personuppgifter för 6 elever på sitt eget sociala nätverkskonto, vilket ledde till en läcka.
• MK System Co., Ltd.’s server utsattes för en obehörig åtkomst och personuppgifter som hanterades i systemet krypterades genom ransomware, vilket skapade en risk för läckage.
• På specifika produktsidor på ‘Yahoo! Auctions’ blev en GUID (intern identifierare) för auktionsförsäljare synlig när vissa kommandon matades in, vilket gjorde det möjligt för tredje part att se GUID och därmed skapade en risk för läckage av personuppgifter.

Med anledning av dessa incidenter har vägledning genomförts enligt artikel 23 i lagen om skydd av personuppgifter, och i vissa fall har rapporter om genomförande av åtgärder för att förhindra återkommande incidenter efterfrågats.

Rekommendationernas status

Tre rekommendationer har utfärdats till aktörer som hanterar personuppgifter. Nedan följer en sammanfattning av dessa.

I ett fall där en anställd vid NTT Business Solutions Inc., som hade fått i uppdrag av NTT Marketing Act ProCX att underhålla och driva ett system som användes i ett callcenter-verksamhet som ProCX bedrev på uppdrag av privata företag, oberoende administrativa organ och lokala myndigheter, olovligen tog ut personuppgifter för ungefär 9,28 miljoner kunder eller invånare, vilket ledde till en dataintrång, har rekommendationer utfärdats till båda företagen att vidta de åtgärder som krävs för att rätta till överträdelserna av artikel 23 i lagen om skydd av personuppgifter (Japanese Personal Information Protection Act).

I ett annat fall där en dator som användes av en anställd hos ett sydkoreanskt säkerhetsunderhållsföretag, som var en underleverantör till LINE Yahoo Inc., blev infekterad med skadlig programvara vilket resulterade i obehörig åtkomst till informationssystemet och läckage av personuppgifter relaterade till LINE-användare, affärspartners och anställda, har en rekommendation utfärdats för att vidta de åtgärder som krävs för att rätta till överträdelserna av artikel 23 i lagen om skydd av personuppgifter. Dessutom har en begäran gjorts om att rapportera om förbättringar, inklusive genomförandet av åtgärder för att förhindra återkommande incidenter, som svar på rekommendationen.

Övervakning av myndigheter och liknande

Enligt den japanska lagen om skydd av personuppgifter (Personal Information Protection Law) har övervakning genomförts även av myndigheter och liknande.

Hantering av rapporter om läckage och liknande incidenter gällande personuppgifter

Som en del av övervakningen av myndigheter och liknande har 1159 rapporter om läckage och liknande incidenter gällande personuppgifter hanterats. Av dessa var 162 rapporter från statliga myndigheter och 997 från lokala offentliga organisationer.

De flesta rapporterade incidenterna var, precis som föregående år, läckage av personuppgifter som kräver särskild hänsyn (statliga myndigheter: 61,1 %, lokala offentliga organisationer: 80,3 %), följt av läckage av personuppgifter som involverar fler än 100 individer (statliga myndigheter: 31,5 %, lokala offentliga organisationer: 18,8 %).

De flesta incidenterna orsakades av så kallade mänskliga fel såsom felaktig leverans, felaktig sändning, felaktig bortskaffande och förlust (statliga myndigheter: totalt 6,8 %, lokala offentliga organisationer: totalt 78,8 %), och näst vanligast var fel i systeminställningar och andra liknande orsaker (statliga myndigheter: 22,8 %, lokala offentliga organisationer: 17,7 %).

Antalet berörda personer per incident var oftast mindre än 1000 (statliga myndigheter: 93,2 %, lokala offentliga organisationer: 96,7 %), och den mest läckta informationen var uppgifter om nationens invånare (statliga myndigheter: 78,4 %, lokala offentliga organisationer: 91,1 %). När det gäller formen på den läckta informationen var det främst pappersdokument som läckt ut (statliga myndigheter: 58,0 %, lokala offentliga organisationer: 76,8 %).

Situationen för begäran om dokumentation, fältundersökningar, vägledning och rådgivning

För att bekräfta efterlevnaden av riktlinjerna för den japanska lagen om skydd av personuppgifter (Personal Information Protection Law) och lagen om skydd av personuppgifter (Guidelines for Public Agencies), genomfördes 65 fältundersökningar riktade mot myndigheter och liknande, och vägledning krävdes för förbättringar i den korrekta hanteringen av personuppgifter, samt begäran om dokumentation för rapportering om de vägledande åtgärderna.

Utöver fältundersökningarna genomfördes 73 vägledningar och rådgivningar för att säkerställa åtgärder för att förhindra återkommande säkerhetsbrister i samband med mottagandet av rapporter om läckage av personuppgifter och liknande. Några av de mer allvarliga fallen inkluderar:

• En incident där personuppgifter som hanterades av ‘Renewable Energy Business Management System’, som förvaltas av Agency for Natural Resources and Energy, visades och användes av detaljhandelsföretag inom elbranschen genom att använda konton tilldelade till de allmänna eldistributionsföretagen.
• En incident i Noboribetsu, Aomori prefektur, där en USB-enhet som innehöll personuppgifter såsom namn, födelsedatum, hälsoundersökningsresultat och vaccinationshistorik för Covid-19 för de flesta av stadens invånare försvann och därmed riskerade läckage av informationen.
• En incident där två lärare vid två olika gymnasieskolor under Nagano prefekturs utbildningskommitté råkade ut för supportbedrägeri och, efter att ha följt instruktioner från bedragaren, olovligen installerade fjärrstyrningsprogramvara på sina arbetsdatorer, vilket riskerade läckage av personuppgifter om elever och personal vid skolorna.

För dessa incidenter genomfördes vägledning enligt artikel 66, stycke 1 i den japanska lagen om skydd av personuppgifter (Personal Information Protection Law) för otillräckliga åtgärder gällande säkerhetsstyrning, och för fallen i Aomori och Nagano prefekturer begärdes även dokumentation för genomförandet av åtgärder för att förhindra återkommande incidenter.

Sammanfattning: Antalet rapporterade fall av personuppgiftsläckor är det högsta sedan rapporteringen började

Efter ändringarna i den japanska personuppgiftslagen (2022) har det blivit obligatoriskt att rapportera till den japanska kommissionen för skydd av personuppgifter. Under det femte året av Reiwa (2023), ökade antalet rapporterade fall till 12 120, vilket är en ökning med ungefär 58% jämfört med föregående år och det högsta antalet sedan rapportering blev en fråga om ansträngningsskyldighet under det tjugofemte året av Heisei (2017).

När det gäller hantering av personuppgifter kan felaktiga åtgärder leda till faktiska läckor, vilket i sin tur kan resultera i att incidenterna publiceras på den japanska kommissionen för skydd av personuppgifters webbplats. Detta kan skada företagets varumärke och leda till förlust av socialt anseende. Vi rekommenderar att man konsulterar en advokat för att hantera och driva personuppgiftsfrågor på ett korrekt sätt i förväg.

Information om åtgärder från vår byrå

Monolith Advokatbyrå är en juridisk firma som besitter omfattande erfarenhet inom IT, och i synnerhet inom internet och juridik. Nyligen har läckage av personuppgifter blivit ett stort problem. Om personuppgifter skulle läcka kan det i värsta fall ha en fatal inverkan på företagets verksamhet. Vår byrå har specialiserad kunskap i att förebygga och hantera informationläckor. Vi beskriver detta mer i detalj i artikeln nedan.

Monolith Advokatbyrås expertisområden: Tjänster relaterade till lagen om skydd av personuppgifter[ja]