แนวโน้มของอุบัติเหตุการรั่วไหลและสูญหายของข้อมูลส่วนบุคคลในปี 2019 (พ.ศ. 2562)

ตามรายงานจาก Tokyo Shoko Research ในปี 2019 (พ.ศ. 2562) บริษัทที่เข้าในตลาดหลักทรัพย์และบริษัทลูกของพวกเขาที่ประกาศเกี่ยวกับการรั่วซึมหรือการสูญหายของข้อมูลส่วนบุคคลมีทั้งหมด 66 บริษัท จำนวนครั้งที่เกิดอุบัติเหตุคือ 86 ครั้ง และข้อมูลส่วนบุคคลที่รั่วซึมมีจำนวนถึง 9,031,734 รายการ ในปี 2019 (พ.ศ. 2562) มีอุบัติเหตุขนาดใหญ่ที่ข้อมูลส่วนบุคคลมากกว่า 1 ล้านรายการรั่วซึมถึง 2 ครั้ง โดยบริษัทขายปลีกชั้นนำ Seven & I Holdings ที่เปิดตัวบริการชำระเงิน “7pay (เซเว่นเพย์)” ถูกบังคับให้ยุติบริการเนื่องจากการใช้งานที่ไม่เป็นธรรม ทำให้ความสำคัญของมาตรการรักษาความปลอดภัยได้รับการเน้นย้ำอีกครั้งในปีนั้น

ในกรณีของ “Takufile Bin”

บริษัทวิจัยและพัฒนาของ Osaka Gas ที่เป็นบริษัทในเครือ 100% ได้เปิดให้บริการ “Takufile Bin” ซึ่งเป็นบริการส่งไฟล์ ในวันที่ 22 มกราคม 2562 (2019) ไฟล์ที่น่าสงสัยถูกค้นพบในเซิร์ฟเวอร์ ซึ่งทำให้เกิดการรั่วไหลของข้อมูล การสอบสวนเพิ่มเติมพบว่ามีการเข้าถึงที่น่าสงสัย และเพื่อป้องกันความเสียหาย บริการถูกหยุดในวันที่ 23 และรายงานครั้งแรกถูกประกาศในวันที่ 25 ที่มีการรั่วไหลของข้อมูล

จำนวนการรั่วไหลข้อมูลคือ 4,815,399 รายการ (สมาชิกชำระเงิน 22,569 รายการ: สมาชิกฟรี 4,753,290 รายการ: สมาชิกที่ลาออก 42,501 รายการ) ข้อมูลที่รั่วไหลไปประกอบด้วย ชื่อ, อีเมล์สำหรับเข้าสู่ระบบ, รหัสผ่าน, วันเดือนปีเกิด, เพศ, อาชีพ/ธุรกิจ/ตำแหน่ง, ชื่อจังหวัดที่อยู่ จำนวนการรั่วไหลข้อมูลนี้เป็นอันดับที่สองในประวัติศาสตร์ หลังจากการรั่วไหลข้อมูลส่วนบุคคล 35,040,000 รายการของ Benesse ในปี 2557 (2014) ที่เกิดจากการเข้าถึงข้อมูลของลูกค้าโดยไม่ชอบธรรมจากพนักงานที่ได้รับมอบหมาย

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

หลังจากนั้น บริษัทวิจัยและพัฒนาของ Osaka Gas ได้ดำเนินการตรวจสอบและเพิ่มความแข็งแกร่งของระบบความปลอดภัย และพิจารณาการกู้คืน แต่ไม่สามารถมองเห็นภาพรวมของการสร้างระบบใหม่ได้ ดังนั้น ได้ประกาศว่าจะสิ้นสุดบริการในวันที่ 31 มีนาคม 2563 (2020) ในวันที่ 14 มกราคม 2563 (2020)

สำหรับผู้ที่ใช้ “Takufile Bin” และใช้อีเมล์และรหัสผ่านเดียวกันกับบริการออนไลน์อื่น ๆ อาจต้องเผชิญกับความเสี่ยงที่ข้อมูลที่รั่วไหลไปจะถูกนำไปใช้ในการเข้าสู่ระบบอย่างไม่ชอบธรรม หรือ “การแอบอ้าง” โดยบุคคลที่สาม

กรณีของบริษัท Toyota Mobility

บริษัท Toyota Mobility ซึ่งเป็นบริษัทย่อยที่ขายรถยนต์ของ Toyota ได้รับการโจมตีทางไซเบอร์ในวันที่ 21 มีนาคม 2019 (พ.ศ. 2562) และได้ประกาศว่าอาจมีข้อมูลส่วนบุคคลสูงสุด 3.1 ล้านรายการรั่วไหลจากเซิร์ฟเวอร์เครือข่าย โดยมีบริษัทที่มีระบบพื้นฐานร่วมกันทั้งหมด 8 บริษัทเป็นเป้าหมาย โดยสุดท้าย ข้อมูลบัตรเครดิตไม่ได้รั่วไหล ดังนั้น ความเสี่ยงที่จะพัฒนาเป็นปัญหาทางการเงินโดยตรงอาจจะน้อย แต่เนื่องจากเป็นข้อมูลของลูกค้าที่ซื้อรถ จึงอาจมีการซื้อขายในราคาสูงระหว่างผู้ประกอบการรายชื่อ และไม่สามารถรับประกันว่าจะไม่มีผลกระทบ

บริษัท Toyota Mobility ได้รับการยืนยันว่ามี “Privacy Mark” (P Mark) แต่ก็พัฒนาเป็นปัญหาการรั่วไหลของข้อมูลส่วนบุคคล ซึ่งทำให้ต้องตัดสินใจที่สำคัญในการวางแผนความมั่นคงปลอดภัยในอนาคต นอกจากนี้ การรั่วไหลของข้อมูลส่วนบุคคลในคดีนี้ยืนยันว่าไม่สามารถป้องกันได้ด้วยมาตรการความมั่นคงปลอดภัยที่มีอยู่ในปัจจุบัน จึงจำเป็นต้องสร้างระบบการจัดการการป้องกันข้อมูลส่วนบุคคลที่มีระดับสูงกว่าระบบความมั่นคงปลอดภัยที่ได้รับ “Privacy Mark” (P Mark)

ดังนั้น ในกรณีของ Benesse และในกรณีที่การจัดการการป้องกันข้อมูลส่วนบุคคลในอนาคตไม่เพียงพอ อาจมีการสูญเสีย “Privacy Mark” (P Mark) ถ้า “Privacy Mark” (P Mark) สูญเสีย อาจมีความเสี่ยงที่จะสูญเสียความน่าเชื่อถือ ซึ่งจะกลายเป็นปัญหาใหญ่

กรณีของ「７pay（เซเว่นเพย์）」

บริการชำระเงิน「７pay」ที่เซเว่น & ไอ โฮลดิ้งส์ได้นำมาใช้งาน ในวันถัดจากวันที่เริ่มให้บริการในวันที่ 2 กรกฎาคม 2562 มีผู้ใช้บริการติดต่อมาว่า “มีการทำธุรกรรมที่ไม่รู้จัก” และในวันที่ 3 กรกฎาคม บริษัทได้ดำเนินการตรวจสอบภายใน และพบว่ามีการใช้งานอย่างผิดกฎหมาย

ทันทีที่บริษัทได้หยุดการเติมเงินจากบัตรเครดิตและบัตรเดบิตชั่วคราว และตั้งแต่วันที่ 4 กรกฎาคม บริษัทได้หยุดการลงทะเบียนบริการใหม่ชั่วคราว และในวันเดียวกัน บริษัทได้หยุดการเติมเงินทั้งหมดชั่วคราว

จำนวนผู้ที่ได้รับความเสียหายจากการเข้าถึงอย่างไม่ถูกต้องคือ 808 คน และจำนวนเงินที่เสียหายคือ 38,615,473 เยน และวิธีการเข้าถึงอย่างไม่ถูกต้องน่าจะเป็นการโจมตีแบบรายการ ซึ่งเป็นวิธีการที่ใช้ ID และรหัสผ่านที่ได้รับจากบริษัทอื่นในอดีตที่รั่วไหลออกมาบนอินเทอร์เน็ต และป้อนโดยเครื่องจักร มีการพยายามอย่างน้อยหลายสิบล้านครั้ง และจำนวนการเข้าสู่ระบบที่สำเร็จมากกว่า 808 ครั้งที่เกิดความเสียหายจากการใช้งานอย่างไม่ถูกต้อง สาเหตุที่ไม่สามารถป้องกันการแฮ็คบัญชีแบบรายการได้ ได้แก่ การไม่มีมาตรการเพียงพอต่อการเข้าสู่ระบบจากหลายอุปกรณ์ การไม่พิจารณาการตรวจสอบเพิ่มเติมเช่นการตรวจสอบ 2 ขั้นตอน และการไม่สามารถตรวจสอบการปรับปรุงระบบทั้งหมดอย่างเพียงพอ

ในวันที่ 1 สิงหาคม เซเว่น & ไอ โฮลดิ้งส์ได้จัดการประชุมฉุกเฉินที่กรุงโตเกียว และประกาศว่า “7pay” จะสิ้นสุดการให้บริการในวันที่ 30 กันยายน เวลา 24.00 น. สาเหตุที่ต้องยุติบริการมีดังนี้:

• เพื่อให้บริการ “7pay” รวมถึงการเติมเงิน สมบูรณ์แบบ จำเป็นต้องใช้เวลาที่เหมาะสมในการดำเนินการอย่างรากฐาน
• ในระหว่างนั้น ถ้าต้องการดำเนินการบริการต่อ จะต้องเป็น “การใช้งาน (การชำระเงิน) เท่านั้น” ซึ่งเป็นรูปแบบที่ไม่สมบูรณ์
• ลูกค้ายังคงมีความไม่มั่นใจต่อบริการนี้

ความรู้สึกที่ไม่เพียงพอของเซเว่น & ไอ โฮลดิ้งส์ต่อความปลอดภัยของอินเทอร์เน็ต และความไม่ดีของการทำงานร่วมกันภายในกลุ่ม ได้ถูกเปิดเผยอย่างต่อเนื่อง และได้รับการบังคับให้ถอนตัวในระยะเวลาที่สั้น ซึ่งเป็นเหตุการณ์ที่ไม่ปกติ การสะดุดของบริษัทค้าปลีกขนาดใหญ่นี้ ได้ทำให้เกิดความไม่มั่นใจในการชำระเงินแบบไม่ใช้เงินสดที่รัฐบาลกำลังส่งเสริม

กรณีของยูนิโคล

ในวันที่ 10 พฤษภาคม 2562 (2019), ได้รับการยืนยันว่ามีการเข้าสู่ระบบโดยไม่ชอบด้วยกฎหมายจากบุคคลที่สามที่ไม่ใช่ผู้ใช้งานเองในเว็บไซต์ร้านค้าออนไลน์ที่ยูนิโคลดำเนินการ.

จากวันที่ 23 เมษายนถึง 10 พฤษภาคม, จำนวนบัญชีที่ถูกเข้าสู่ระบบโดยไม่ชอบด้วยกฎหมายด้วยวิธีการโจมตีแบบรายการคือ 461,091 บัญชีที่ลงทะเบียนในร้านค้าออนไลน์อย่างเป็นทางการของยูนิโคลและร้านค้าออนไลน์อย่างเป็นทางการของ GU, และข้อมูลส่วนบุคคลของผู้ใช้ที่มีความเป็นไปได้ที่จะถูกดูเป็น ชื่อ, ที่อยู่ (รหัสไปรษณีย์, อำเภอ/เขต/ตำบล/เมือง, ที่อยู่, เลขที่ห้อง), หมายเลขโทรศัพท์, หมายเลขโทรศัพท์มือถือ, ที่อยู่อีเมล, เพศ, วันเดือนปีเกิด, ประวัติการซื้อ, ชื่อและขนาดที่ลงทะเบียนใน My Size, และบางส่วนของข้อมูลบัตรเครดิต (ชื่อผู้ถือบัตร, วันหมดอายุ, บางส่วนของหมายเลขบัตรเครดิต).

เราได้ระบุแหล่งที่มาของการสื่อสารที่มีการพยายามเข้าสู่ระบบโดยไม่ชอบด้วยกฎหมายและบล็อกการเข้าถึง, และเราได้เพิ่มการตรวจสอบการเข้าถึงอื่น ๆ แต่สำหรับ ID ผู้ใช้ที่มีความเป็นไปได้ที่ข้อมูลส่วนบุคคลของพวกเขาจะถูกดู, เราได้ทำให้รหัสผ่านเป็นโมฆะในวันที่ 13 พฤษภาคมและติดต่อแต่ละคนผ่านอีเมลเพื่อขอตั้งรหัสผ่านใหม่, และเราได้รายงานเรื่องนี้ให้กับตำรวจโตเกียว.

ข้อมูลส่วนบุคคลพื้นฐานเช่น ชื่อ, ที่อยู่, หมายเลขโทรศัพท์, หมายเลขโทรศัพท์มือถือ, ที่อยู่อีเมล, วันเดือนปีเกิด, รวมถึงข้อมูลส่วนตัวเช่น ประวัติการซื้อและชื่อและขนาดที่ลงทะเบียนใน My Size ได้รั่วไหลออกไป, ซึ่งเป็นเรื่องที่ไม่พึงประสงค์และทำให้รู้สึกว่าเป็นเรื่องที่น่ากังวล.

https://monolith.law/reputation/personal-information-and-privacy-violation[ja]

กรณีของสำนักงานจังหวัดคานางาวะ

เมื่อวันที่ 6 ธันวาคม 2019 ได้มีการเปิดเผยว่าข้อมูลที่รวมถึงข้อมูลส่วนบุคคลและเอกสารทางการบริหารจากฮาร์ดดิสก์ (HDD) ที่ใช้งานอยู่ที่สำนักงานจังหวัดคานางาวะได้รั่วไหลออกไปจากการขายฮาร์ดดิสก์ที่ถอดออกมาจากเซิร์ฟเวอร์ที่บริษัท Fujitsu Lease ได้เช่าให้กับจังหวัดคานางาวะในช่วงฤดูใบไม้ผลิของปี 2019 และมอบหมายให้บริษัทรีไซเคิลทำการทำลาย ซึ่งพนักงานของบริษัทรีไซเคิลได้นำฮาร์ดดิสก์บางส่วนออกมาและขายใน Yahoo Auctions โดยไม่ได้ทำการลบข้อมูลออก ผู้บริหารธุรกิจ IT ที่ซื้อฮาร์ดดิสก์ 9 ชิ้นนี้ได้ตรวจสอบข้อมูลภายในและพบข้อมูลที่ดูเหมือนจะเป็นเอกสารทางราชการของจังหวัดคานางาวะ และได้แจ้งข้อมูลนี้ให้กับสำนักข่าว ซึ่งสำนักข่าวได้ตรวจสอบกับจังหวัดและยืนยันว่าข้อมูลได้รั่วไหลออกไป

ตามการประกาศของจังหวัดในวันที่ 6 ฮาร์ดดิสก์ที่ถูกนำออกมาทั้งหมด 18 ชิ้น ซึ่ง 9 ชิ้นได้รับการเก็บกลับมาแล้ว และ 9 ชิ้นอื่น ๆ ก็ได้รับการเก็บกลับมาในภายหลัง ข้อมูลที่รั่วไหลออกไปประกอบด้วยชื่อบุคคล ชื่อบริษัท ใบแจ้งการชำระภาษีที่มีการระบุชื่อ ใบแจ้งผลการตรวจสอบภาษีที่มีการระบุชื่อบริษัท บันทึกการชำระภาษีรถยนต์ที่มีการระบุชื่อและที่อยู่ และเอกสารที่บริษัทส่งมา รวมถึงข้อมูลส่วนบุคคลอื่น ๆ ที่รวมอยู่ในบันทึกการทำงานและรายชื่อของพนักงานจังหวัด แต่ละฮาร์ดดิสก์มีความจุการเก็บข้อมูล 3TB ดังนั้น 18 ฮาร์ดดิสก์นี้สามารถเก็บข้อมูลได้สูงสุด 54TB ซึ่งมีความเป็นไปได้ว่าข้อมูลนี้ได้รั่วไหลออกไป

สำนักงานจังหวัดคานางาวะได้ทำความผิดพลาดในระดับพื้นฐานดังนี้:

• ไม่ได้พิจารณาเรื่องการเข้ารหัสที่ระดับฮาร์ดแวร์สำหรับเซิร์ฟเวอร์ที่เก็บเอกสารทางการบริหารและเก็บข้อมูลในรูปแบบข้อมูลดิบ
• ไม่ได้รับใบรับรองการลบข้อมูลทั้งหมดหลังจากทำการลบข้อมูลในการส่งคืนอุปกรณ์ที่เช่าให้กับบริษัทเช่า
• ไม่รู้ว่าบริษัทรีไซเคิลที่ไม่มีผู้รับผิดชอบได้รับอุปกรณ์ที่เช่า

และบริษัท Fujitsu Lease ก็ได้ทำความผิดพลาดในระดับพื้นฐานดังนี้:

• ทิ้งงานการทำลายอุปกรณ์ (รีไซเคิล) ให้กับบริษัทรีไซเคิล
• ไม่ได้ขอใบรับรองการลบข้อมูลทั้งหมดจากบริษัทรีไซเคิล แม้ว่าในสัญญาเช่าจะระบุว่าต้องส่งใบรับรองนี้ให้กับจังหวัด

สำหรับบริษัทรีไซเคิล ไม่มีอะไรที่ต้องพูดถึงอีก

ขาดแคลนในความรู้สึกวิกฤติเกี่ยวกับความปลอดภัยและการทิ้งงานที่ไม่รับผิดชอบที่เห็นได้จากทั้งสามองค์กรที่เกี่ยวข้องได้สร้างผลลัพธ์ที่น่าเสียดายนี้ขึ้นมา

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

กรณีการเข้าถึงที่ไม่เป็นธรรมอื่น ๆ

อุบัติเหตุที่เกิดจากการเข้าถึงที่ไม่เป็นธรรมที่ส่งผลกระทบในระดับกว้างและทำให้เกิดความเสียหายมากมีแนวโน้มเพิ่มขึ้นทุกปี ในปี 2019 (พ.ศ. 2562) มีรายงานว่ามีการเกิดอุบัติเหตุทั้งหมด 41 ครั้ง (32 บริษัท) ซึ่งเป็นจำนวนมากที่สุดในรอบ 8 ปีที่ Tokyo Shoko Research ได้เริ่มต้นการสำรวจ นี่คือเกือบครึ่งหนึ่งของอุบัติเหตุการรั่วไหลและการสูญหายของข้อมูลทั้งหมด 86 ครั้งในปี 2019 และจำนวนการรั่วไหลและการสูญหายของข้อมูลทั้งหมดคือ 8,902,078 รายการ ซึ่งคิดเป็น 98.5% ของจำนวนทั้งหมดในปี 2019 (9,031,734 รายการ) นอกจากตัวอย่างที่ได้กล่าวไปแล้ว ในปี 2019 ยังมีการเปิดเผยการเข้าถึงที่ไม่เป็นธรรมอีกมากมาย ซึ่งมีตัวอย่างดังต่อไปนี้

ในกรณีของบริษัทที่ขายอุปกรณ์รถยนต์

ในวันที่ 26 กุมภาพันธ์ บริษัท Hase-Pro ที่ขายอุปกรณ์รถยนต์ผ่านร้านค้าออนไลน์ของตนเอง ได้ถูกเข้าถึงอย่างไม่ชอบธรรมโดยการถูกนำช่องโหว่ของเว็บไซต์มาใช้เพื่อการทำผิด หน้าจอการชำระเงินที่ปลอมแปลงได้ถูกแสดงขึ้น และข้อมูลบัตรเครดิตที่ผู้ใช้กรอกได้รั่วไหลออกไป

กรณีของ “DentistryBook.com”

ในวันที่ 25 มีนาคม, บริษัท Quintessence Publishing Co., Ltd. ซึ่งเป็นบริษัทที่จัดการเว็บไซต์ “DentistryBook.com” ที่เชี่ยวชาญในการเผยแพร่ทางด้านทันตกรรม ได้รับการเข้าถึงเว็บเซิร์ฟเวอร์อย่างไม่ชอบธรรม ทำให้ข้อมูลส่วนบุคคลของผู้ใช้เว็บไซต์นี้ได้รับการรั่วไหล สำหรับลูกค้าที่ใช้บริการชำระเงินด้วยบัตรเครดิต ข้อมูลบัตรเครดิตที่รวมถึงรหัสความปลอดภัยก็ได้รับการรั่วไหล นอกจากนี้ ข้อมูลส่วนบุคคลของผู้ใช้เว็บไซต์อื่น ๆ ที่เกี่ยวข้องกับงานสมัครงานทางทันตกรรมและการประชุมทันตกรรมระดับนานาชาติของญี่ปุ่น ก็ได้รับการรั่วไหล โดยรวมทั้งหมดมีข้อมูลส่วนบุคคลที่รั่วไหลออกไปถึง 23,000 รายการ

กรณีของ「นานะซึทซึ Gallery」

ในวันที่ 12 เมษายน, ได้มีการเข้าถึงอย่างไม่ชอบธรรมที่เว็บไซต์ขายสินค้าทางอินเทอร์เน็ตที่เกี่ยวข้องกับรถไฟท่องเที่ยว “นานะซึทซึ อิน คิวชู” ของบริษัท คิวชู รายการรถไฟ จำกัด ที่ชื่อว่า “นานะซึทซึ Gallery” ซึ่งทำให้ข้อมูลส่วนบุคคลที่รวมถึงข้อมูลบัตรเครดิตของลูกค้าได้รั่วไหลออกไป สำหรับสมาชิกที่ลงทะเบียนข้อมูลบัตรเครดิตจำนวน 3,086 ราย อาจจะรวมถึงรหัสความปลอดภัยด้วย และยังได้ประกาศว่า สำหรับสมาชิกที่ไม่ได้ลงทะเบียนข้อมูลบัตรเครดิต และข้อมูลผู้ใช้ที่ใช้เว็บไซต์อื่น ๆ จำนวน 5,120 ราย ก็มีความเป็นไปได้ที่ข้อมูลจะรั่วไหลออกไปเช่นกัน

ในกรณีของบริการตรวจสอบแบบสอบถาม “An to Keito”

ในวันที่ 23 พฤษภาคม บริษัท Marketing Applications ที่ดำเนินการบริการตรวจสอบแบบสอบถาม “An to Keito” ได้รับการเข้าถึงที่ไม่เป็นธรรมด้จากการถูกใช้ช่องโหว่ของเซิร์ฟเวอร์ ข้อมูลส่วนบุคคลของบัญชีที่ลงทะเบียนทั้งหมด 770,740 รายได้รั่วไหล ซึ่งรวมถึงข้อมูลที่เกี่ยวข้องกับที่อยู่อีเมล, เพศ, อาชีพ, สถานที่ทำงาน, และข้อมูลที่เกี่ยวข้องกับบัญชีธนาคาร

ในกรณีของ「ヤマダウエブコム・ヤマダモール」

ในวันที่ 29 พฤษภาคม บริษัท ヤマダ電機 ที่ดำเนินการ「ヤマダウエブコム・ヤマダモール」ได้รับการเข้าถึงอย่างไม่ชอบธรรม และแอปพลิเคชันการชำระเงินถูกแก้ไข ทำให้ข้อมูลลูกค้าที่ลงทะเบียนในระหว่างช่วงเวลานั้นถูกรั่วไหลออกไปสูงสุด 37,832 รายการ

ในกรณีของบัตรเอียง

ในวันที่ 13 มิถุนายน บริษัท Aeon Credit Service ได้ประกาศว่าบัตรเอียงของบริษัทได้รับการโจมตีด้วยการโจมตีด้วยรายการรหัสผ่าน ซึ่งทำให้เกิดการเข้าสู่ระบบที่ไม่เป็นธรรม มีการยืนยันว่ามีการเข้าสู่ระบบที่ไม่เป็นธรรมใน 1,917 บัญชี และในนั้น 708 บัญชีมีการเข้าสู่ระบบที่ไม่เป็นธรรม ทำให้เกิดความเสียหายจากการใช้งานที่ไม่เป็นธรรมประมาณ 22 ล้านเยน ผู้โจมตีได้ใช้การโจมตีด้วยรายการรหัสผ่านในเว็บไซต์อย่างเป็นทางการ “Aeon Square” เพื่อรับข้อมูลบัญชีผู้ใช้ที่ไม่เป็นธรรม และใช้ฟังก์ชันการเปลี่ยนแปลงข้อมูลการลงทะเบียนในแอปพลิเคชันอย่างเป็นทางการเพื่อเปลี่ยนเป็นข้อมูลติดต่ออื่น และได้ใช้เงินผ่านฟังก์ชันการเชื่อมโยงการชำระเงิน

ในกรณีของแอปพลิเคชัน ‘Vpass’ ของบริษัท 三井住友カード

ในวันที่ 23 สิงหาคม, บริษัท 三井住友カード ได้ประกาศว่า ข้อมูล ID ของลูกค้าสูงสุด 16,756 รายการในแอปพลิเคชันสำหรับสมาชิก ‘Vpass’ อาจถูกบุกรุกอย่างไม่ชอบธรรม บริษัทได้ยืนยันการเข้าถึงอย่างไม่ชอบธรรมจากการสำรวจการตรวจสอบที่บริษัทดำเนินการอย่างประจำ และจากการสอบสวนสาเหตุ พบว่าส่วนใหญ่ของการพยายามเข้าสู่ระบบประมาณ 5 ล้านครั้งไม่ได้ลงทะเบียนกับบริการนี้ ดังนั้น จึงถูกถือว่าเป็นการโจมตีแบบรายการรหัสผ่าน

ในกรณีของ ‘J-Coin Pay’ ของธนาคารมิซูโฮ

ในวันที่ 4 กันยายน, บริษัท มิซูโฮ ไฟแนนเชียล กรุ๊ป (ธนาคารมิซูโฮญี่ปุ่น) ได้ประกาศว่าระบบทดสอบสำหรับการจัดการร้านค้าที่เข้าร่วม ‘J-Coin Pay’ ที่เขาให้บริการได้รับการเข้าถึงอย่างไม่ชอบธรรม ทำให้ข้อมูลของร้านค้าที่เข้าร่วม J-Coin จำนวน 18,469 รายการได้รั่วไหลออกไป

ในกรณีของ “10mois WEBSHOP”

ในวันที่ 19 กันยายน, บริษัทฟิเซลจำกัด (Yugen Kaisha Fiseru) ได้ประกาศว่าร้านค้าออนไลน์ของพวกเขา “10mois WEBSHOP” ได้รับการเข้าถึงโดยไม่ชอบด้วย ทำให้ข้อมูลส่วนบุคคลของลูกค้า 108,131 รายการ และข้อมูลบัตรเครดิต 11,913 รายการ ได้รั่วไหลออกไป ข้อมูลบัตรเครดิตที่รั่วไหลนี้ยังรวมถึงรหัสความปลอดภัยด้วย

กรณีของเว็บไซต์อย่างเป็นทางการของบริษัท คีย์โตะอิชิโนะเด็น

ในวันที่ 8 ตุลาคม, เว็บไซต์อย่างเป็นทางการของบริษัท คีย์โตะอิชิโนะเด็น ที่รู้จักกันดีในการผลิตสินค้าที่เรียกว่า “Nishikyo Tsuke” ได้รับการเข้าถึงอย่างไม่ถูกต้อง และแบบฟอร์มการชำระเงินได้ถูกแก้ไข ข้อมูลบัตรเครดิตที่รวมถึงรหัสความปลอดภัย 18,855 รายการ และข้อมูลสมาชิก ประวัติการส่งสินค้า 72,738 รายการ ได้รั่วไหลออกไป

ในกรณีของ “ช้อปปิ้งด้วย Zojirushi”

ในวันที่ 5 ธันวาคม, บริษัท Zojirushi Mahobin ที่ดำเนินการ “ช้อปปิ้งด้วย Zojirushi” ได้ประกาศว่าอาจจะมีการเข้าถึงไม่ถูกต้องที่เกิดขึ้น และข้อมูลของลูกค้าสูงสุด 280,052 รายการอาจจะถูกรั่วไหล สาเหตุของการเข้าถึงไม่ถูกต้องนั้นถูกเชื่อว่าเป็นเพราะความอ่อนแอในเว็บไซต์ และบริษัทนี้ได้หยุดการเผยแพร่เว็บไซต์ช้อปปิ้งตั้งแต่วันที่ 4 ธันวาคมเป็นต้นไป

ในกรณีของบริการนิยายอิเล็กทรอนิกส์ ‘ノベルバ’

ในวันที่ 25 ธันวาคม, บริการนิยายอิเล็กทรอนิกส์ ‘ノベルバ’ ซึ่งดำเนินการโดยบริษัท 株式会社ビーグリー ได้รับการเข้าถึงอย่างไม่เป็นธรรม ทำให้ข้อมูลส่วนบุคคลทั้งหมด 33,715 รายการ ซึ่งรวมถึงที่อยู่อีเมลของผู้สมัครได้รั่วไหลออกไป นอกจากนี้ยังมีความเป็นไปได้ว่าข้อมูลบัญชีของผู้ใช้ 76 รายที่ลงทะเบียนในโปรแกรมรางวัลอาจจะรั่วไหลออกไป ซึ่งอาจส่งผลให้เกิดความเสียหายครั้งที่สอง

สรุป

มาตรการที่เหมาะสมในการป้องกันการรั่วไหลและสูญหายของข้อมูลเป็นประเด็นสำคัญที่ทุกองค์กรและบริษัทที่จัดการข้อมูลส่วนบุคคลต้องให้ความสำคัญ โดยเฉพาะอย่างยิ่งสำหรับธุรกิจขนาดเล็กที่มีทรัพยากรทางการเงินและบุคลากรน้อยกว่าบริษัทที่เข้าสู่ตลาดหลักทรัพย์ การรั่วไหลของข้อมูลอาจส่งผลกระทบร้ายแรงต่อการบริหารงาน การตอบสนองต่อการสร้างระบบการจัดการความปลอดภัยและข้อมูลเป็นสิ่งจำเป็น ด้วยการใช้ประโยชน์จากข้อมูลขนาดใหญ่และอื่น ๆ ข้อมูลส่วนบุคคลมีความสำคัญที่เพิ่มขึ้น ในเวลาเดียวกัน การจัดการความปลอดภัยที่มีระดับสูงและการจัดการข้อมูลที่เข้มงวดต่อการเข้าถึงที่ไม่เป็นธรรมดาที่เพิ่มขึ้นเป็นสิ่งที่จำเป็นสำหรับการจัดการความเสี่ยง