การรั่วไหลของข้อมูลส่วนบุคคลที่ไม่หยุดยั้ง ปีงบประมาณ 2023 (ระยะเวลา 5 ของรัชกาลเรย์วะ) เพิ่มขึ้น 1.5 เท่าเมื่อเทียบกับปีก่อน พร้อมทั้งอธิบายแนวโน้มล่าสุด

ในช่วงปีที่ผ่านมา การรั่วไหลของข้อมูลส่วนบุคคลที่เกิดจากการโจมตีทางไซเบอร์ที่มีความซับซ้อนเพิ่มขึ้น และข้อผิดพลาดของมนุษย์ ได้กลายเป็นปัญหาที่ร้ายแรงสำหรับบริษัท การรั่วไหลของข้อมูลส่วนบุคคลอาจนำไปสู่ความเสียหายร้ายแรงต่อบริษัท เช่น ความเสียหายต่อชื่อเสียง ความเสี่ยงทางการฟ้องร้อง และการหยุดชะงักของธุรกิจ

บทความนี้จะอธิบายเกี่ยวกับแนวโน้มของกรณีการรั่วไหลของข้อมูลส่วนบุคคลจากรายงานประจำปีของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Japanese Personal Information Protection Commission) สำหรับปี Reiwa 5 (2023) ที่ได้รับการเปิดเผย ให้บทความนี้เป็นแนวทางในการเสริมสร้างมาตรการความปลอดภัยด้านข้อมูลของบริษัทของคุณ และป้องกันความเสี่ยงของการรั่วไหลของข้อมูลล่วงหน้า

รายงานประจำปีของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไขที่ได้มีการบังคับใช้ในเดือนเมษายน พ.ศ. 2565 (ปี โชวะ 4 (2022)) กำหนดให้ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลจำเป็นต้องรายงานให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PPC) ทราบผ่านเว็บไซต์ของคณะกรรมการในกรณีที่เกิดการรั่วไหลของข้อมูลส่วนบุคคลและเหตุการณ์ดังกล่าวตอบสนองตามเงื่อนไขที่กำหนดไว้

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้เผยแพร่รายงานประจำปี พ.ศ. 2566[ja]ในเดือนมิถุนายน พ.ศ. 2567 (ปี โชวะ 6 (2024))

บทความที่เกี่ยวข้อง：จุดสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไข พ.ศ. 2567 (ปี โชวะ 6 (2024)) คืออะไร? ควรทราบถึงการเปลี่ยนแปลงและมาตรการตอบสนองอย่างไร[ja]

การกำกับดูแลผู้ประกอบการที่จัดการข้อมูลส่วนบุคคล

ในปี พ.ศ. 2566 (ค.ศ. 2023) มีการรายงานและดำเนินการกับเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคลทั้งสิ้น 12,120 คดี ซึ่งเมื่อเปรียบเทียบกับปีก่อนหน้าที่มี 7,685 คดี จะเห็นได้ว่ามีการเพิ่มขึ้นอย่างมาก ต่อไปนี้เราจะมาดูรายละเอียดของเนื้อหากันครับ/ค่ะ

สถานการณ์การจัดการเหตุการณ์ที่เกี่ยวข้องกับการรั่วไหลของข้อมูล

จากเหตุการณ์ที่ถูกรายงาน พบว่าเหตุการณ์ที่มีผู้ได้รับผลกระทบจากการรั่วไหลของข้อมูลน้อยกว่า 1,000 คนมีจำนวน 11,635 เหตุการณ์ (96.0%) ในขณะที่เหตุการณ์ที่มีผู้ได้รับผลกระทบมากกว่า 50,000 คนมีจำนวน 61 เหตุการณ์ (0.5%)

ในเหตุการณ์ที่ถูกรายงานโดยตรงต่อคณะกรรมการ ข้อมูลที่รั่วไหลมากที่สุดคือข้อมูลลูกค้า (83.5%) และเมื่อพิจารณาตามรูปแบบของสื่อ พบว่าสื่อกระดาษเป็นสื่อที่รั่วไหลมากที่สุด (82.0%) ซึ่งมากกว่าสื่ออิเล็กทรอนิกส์ (12.2%)

ตามประเภทของการรายงานที่กำหนดโดยกฎหมายการปกป้องข้อมูลส่วนบุคคลของญี่ปุ่นและกฎระเบียบการบังคับใช้กฎหมาย (กฎระเบียบการบังคับใช้) ประเภทที่พบมากที่สุดคือการรั่วไหลของข้อมูลส่วนบุคคลที่มีข้อมูลที่ต้องได้รับการคุ้มครองเป็นพิเศษ เช่น ประวัติการรักษาพยาบาลหรือเชื้อชาติ (89.7%) และตามมาด้วยการรั่วไหลของข้อมูลส่วนบุคคลที่อาจเกิดจากการเข้าถึงข้อมูลโดยไม่ชอบด้วยกฎหมาย (8.1%)

ปัจจัยที่ทำให้เกิดแนวโน้มดังกล่าว คือ สาเหตุของการรั่วไหลของข้อมูลส่วนใหญ่เกิดจากข้อผิดพลาดของมนุษย์ เช่น การส่งข้อมูลผิด, การทิ้งข้อมูลผิด, และการสูญหาย (รวม 86.3%) ซึ่งเมื่อพิจารณาถึงข้อมูลส่วนบุคคลที่ต้องได้รับการคุ้มครองเป็นพิเศษ แม้แต่กรณีที่มีผู้ได้รับผลกระทบเพียงคนเดียวก็ต้องมีการรายงาน สาเหตุของการรั่วไหลข้อมูลส่วนใหญ่เกิดจากการส่งข้อมูลผิดพลาดของสื่อกระดาษที่มีข้อมูลส่วนบุคคล เช่น ใบแจ้งค่ารักษาพยาบาลในสถานพยาบาล

หลังจากรับรายงานเหล่านี้ คณะกรรมการการปกป้องข้อมูลส่วนบุคคลได้ตรวจสอบสถานการณ์การดำเนินการต่อผู้ที่ได้รับผลกระทบ โดยการแจ้งข้อมูลต่อผู้ที่ได้รับผลกระทบ (ตามมาตรา 26 ข้อ 2 ของกฎหมายการปกป้องข้อมูลส่วนบุคคล) ว่าได้ดำเนินการอย่างเหมาะสมหรือไม่ การระบุและวิเคราะห์สาเหตุของเหตุการณ์ได้ถูกดำเนินการอย่างเหมาะสมหรือไม่ และมาตรการป้องกันการเกิดเหตุซ้ำที่ระบุไว้ในรายงานนั้นตรงกับสาเหตุของเหตุการณ์หรือไม่ รวมถึงการตรวจสอบเนื้อหาของรายงานตามที่กำหนดไว้ในกฎระเบียบการบังคับใช้ และดำเนินการให้คำแนะนำเกี่ยวกับวิธีการวิเคราะห์สาเหตุและการพิจารณามาตรการป้องกันการเกิดเหตุซ้ำตามความจำเป็น

สถานการณ์การรายงานข้อมูล การให้คำแนะนำและคำปรึกษา

มีการดำเนินการรายงานข้อมูล 73 ครั้ง และให้คำแนะนำและคำปรึกษา 333 ครั้งต่อผู้ประกอบการที่จัดการข้อมูลส่วนบุคคล

เหตุการณ์สำคัญที่ถูกยกมามีดังต่อไปนี้

• กรณีที่ผู้ประกอบการจัดส่งและกระจายไฟฟ้าทั่วไปมีการเข้าถึงและใช้ข้อมูลลูกค้าของบริษัทไฟฟ้าใหม่ โดยบริษัทในเครือหรือฝ่ายค้าปลีกของบริษัทเดียวกัน
• กรณีที่ผู้ประกอบการจัดส่งและกระจายไฟฟ้าทั่วไปใช้รหัสผู้ใช้และรหัสผ่านที่ได้รับมอบหมายจากหน่วยงานทรัพยากรและพลังงานในการเข้าถึงและใช้ข้อมูลส่วนบุคคลในระบบการจัดการธุรกิจพลังงานหมุนเวียน
• กรณีที่บริษัท โตโยต้า มอเตอร์ จำกัด ได้มอบหมายการจัดการข้อมูลส่วนบุคคลของผู้ใช้รถยนต์ให้กับบริษัทลูก โตโยต้า คอนเนคเต็ด จำกัด แต่พบว่าข้อมูลส่วนบุคคลในเซิร์ฟเวอร์ที่บริษัทดังกล่าวจัดการสามารถเข้าถึงจากภายนอกได้
• กรณีที่องค์การอิสระด้านการแพทย์แห่งชาติซึ่งเป็นผู้ประกอบการจัดการข้อมูลทางการแพทย์ตามกฎหมายการจัดการข้อมูลทางการแพทย์ที่ไม่เปิดเผยชื่อเพื่อการวิจัยและพัฒนาในสาขาการแพทย์ (พ.ศ. 2560 หรือ 2017 กฎหมายที่ 28) ได้รั่วไหลข้อมูลผู้ป่วย
• กรณีที่มีผู้ประกอบการ 3 รายที่ได้ยื่นแจ้งการเลือกไม่รับข้อมูล (opt-out) แต่กระทำการขัดต่อกฎหมายการปกป้องข้อมูลส่วนบุคคล
• กรณีที่บริษัท NTT โดโคโม จำกัด ได้มอบหมายการจัดการข้อมูลลูกค้าสำหรับการขายทางโทรศัพท์ให้กับบริษัท NTT เน็กเซีย จำกัด แต่พบว่าพนักงานจ้างเหมาของบริษัทดังกล่าวได้เข้าถึงและอัปโหลดข้อมูลส่วนบุคคลของลูกค้าประมาณ 5.96 ล้านรายไปยังบริการคลาวด์โดยไม่ได้รับอนุญาต
• กรณีที่ครูสอนของบริษัท สี่ย่านโอตสึกะ จำกัด ซึ่งเป็นสถาบันกวดวิชาสำหรับนักเรียนมัธยมต้น ได้ค้นหาและเข้าถึงข้อมูลส่วนบุคคลของนักเรียนที่เข้าเรียนพร้อมกับภาพถ่ายและวิดีโอ และได้บันทึกลงในโทรศัพท์ส่วนตัวและเผยแพร่ในบัญชีโซเชียลมีเดียของตนเอง
• กรณีที่เซิร์ฟเวอร์ของบริษัท เอ็มเค ซิสเท็ม จำกัด ถูกเข้าถึงอย่างไม่ชอบด้วยกฎหมายและข้อมูลส่วนบุคคลที่จัดการบนระบบถูกเข้ารหัสด้วยแรนซัมแวร์ ทำให้เกิดความเสี่ยงต่อการรั่วไหลของข้อมูล
• กรณีที่หน้าสินค้าบางหน้าใน “Yahoo! Auctions” หากมีการป้อนคำสั่งหรือข้อมูลบางอย่าง จะทำให้รหัสผู้ขายภายใน (GUID) ปรากฏขึ้น ทำให้มีความเสี่ยงที่รหัสดังกล่าวจะถูกเข้าถึงโดยบุคคลที่สาม

ต่อเหตุการณ์เหล่านี้ ได้มีการให้คำแนะนำตามมาตรา 23 ของกฎหมายการปกป้องข้อมูลส่วนบุคคลของญี่ปุ่น และสำหรับบางกรณี ยังได้มีการขอให้รายงานสถานการณ์การดำเนินการเพื่อป้องกันการเกิดขึ้นซ้ำ

สถานการณ์ของการให้คำแนะนำ

ได้มีการให้คำแนะนำจำนวน 3 ครั้งต่อผู้ประกอบการที่จัดการข้อมูลส่วนบุคคล โดยมีรายละเอียดดังนี้

ในกรณีที่บริษัท NTT マーケティングアクトProCX ซึ่งได้รับมอบหมายจากผู้ประกอบการเอกชน องค์กรอิสระของรัฐ และหน่วยงานสาธารณะท้องถิ่นในการดำเนินการธุรกิจคอลเซ็นเตอร์ ได้มอบหมายให้บริษัท NTT ビジネスソリューションズ ดูแลรักษาและบริหารระบบที่ใช้ในการทำงาน และมีผู้ที่ทำงานในการดูแลรักษาและบริหารระบบนั้นได้นำข้อมูลส่วนบุคคลของลูกค้าหรือประชาชนออกไปโดยไม่ถูกต้อง จำนวนประมาณ 9.28 ล้านราย ทำให้เกิดการรั่วไหลของข้อมูล ในกรณีนี้ ทั้งสองบริษัทได้รับคำแนะนำให้ดำเนินมาตรการที่จำเป็นเพื่อแก้ไขการละเมิดตามมาตรา 23 ของ Japanese Personal Information Protection Law (กฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น)

ในกรณีของบริษัท LINE ヤフー ที่มีพนักงานของบริษัทรักษาความปลอดภัยในเกาหลีใช้คอมพิวเตอร์ที่ติดมัลแวร์เป็นสาเหตุให้ระบบข้อมูลถูกเข้าถึงอย่างไม่ถูกต้อง และทำให้ข้อมูลส่วนบุคคลของผู้ใช้ LINE พันธมิตรทางธุรกิจ และพนักงานรั่วไหล ในกรณีนี้ ได้มีการให้คำแนะนำให้ดำเนินมาตรการที่จำเป็นเพื่อแก้ไขการละเมิดตามมาตรา 23 ของ Japanese Personal Information Protection Law และได้มีการขอให้รายงานสถานะการปรับปรุงตามคำแนะนำ รวมถึงการดำเนินการป้องกันการเกิดขึ้นซ้ำ

การตรวจสอบหน่วยงานราชการ

ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Japanese Personal Information Protection Law) ได้มีการดำเนินการตรวจสอบหน่วยงานราชการด้วยเช่นกัน

สถานะการจัดการรายงานเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคลที่ถือครอง

ในฐานะการตรวจสอบหน่วยงานราชการ ได้มีการจัดการรายงานเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคลที่ถือครองจำนวน 1,159 รายการ ซึ่งจากจำนวนนี้ รายงานจากหน่วยงานราชการของรัฐมี 162 รายการ และรายงานจากองค์กรปกครองส่วนท้องถิ่นมี 997 รายการ

ส่วนใหญ่ของรายงานเหตุการณ์ในปีที่ผ่านมาเป็นเหมือนเดิม คือ เกี่ยวข้องกับการรั่วไหลของข้อมูลส่วนบุคคลที่ต้องได้รับการคุ้มครองเป็นพิเศษ (หน่วยงานราชการของรัฐ: 61.1%, องค์กรปกครองส่วนท้องถิ่น: 80.3%) และตามมาด้วยการรั่วไหลของข้อมูลส่วนบุคคลที่ถือครองของผู้ที่มีจำนวนเกิน 100 คน (หน่วยงานราชการของรัฐ: 31.5%, องค์กรปกครองส่วนท้องถิ่น: 18.8%)

สาเหตุของเหตุการณ์ส่วนใหญ่เกิดจากข้อผิดพลาดของมนุษย์ เช่น การส่งผิด, การทำลายข้อมูลผิด, การสูญหาย ฯลฯ (หน่วยงานราชการของรัฐ: รวม 6.8%, องค์กรปกครองส่วนท้องถิ่น: รวม 78.8%) และตามมาด้วยข้อผิดพลาดในการตั้งค่าระบบและอื่นๆ (หน่วยงานราชการของรัฐ: 22.8%, องค์กรปกครองส่วนท้องถิ่น: 17.7%)

ในแต่ละเหตุการณ์ที่เกิดการรั่วไหล ผู้ที่ได้รับผลกระทบส่วนใหญ่มีจำนวนน้อยกว่า 1,000 คน (หน่วยงานราชการของรัฐ: 93.2%, องค์กรปกครองส่วนท้องถิ่น: 96.7%) และข้อมูลที่รั่วไหลส่วนใหญ่เป็นข้อมูลของประชาชน (หน่วยงานราชการของรัฐ: 78.4%, องค์กรปกครองส่วนท้องถิ่น: 91.1%) โดยข้อมูลที่รั่วไหลมักจะเป็นในรูปแบบของเอกสารกระดาษ (หน่วยงานราชการของรัฐ: 58.0%, องค์กรปกครองส่วนท้องถิ่น: 76.8%)

สถานะการขอเอกสาร, การตรวจสอบในที่, การให้คำแนะนำและคำปรึกษา

เพื่อตรวจสอบการปฏิบัติตามแนวทางการคุ้มครองข้อมูลส่วนบุคคล (Japanese Guidelines for the Protection of Personal Information in Public Agencies) และอื่นๆ ได้มีการดำเนินการตรวจสอบในที่จำนวน 65 ครั้ง และได้มีการให้คำแนะนำเพื่อปรับปรุงการจัดการข้อมูลส่วนบุคคลที่เหมาะสม รวมถึงการขอเอกสารเพื่อรายงานเกี่ยวกับการดำเนินการตามคำแนะนำที่ได้รับ

นอกจากการตรวจสอบในที่แล้ว ยังมีการให้คำแนะนำและคำปรึกษาอีก 73 ครั้ง เกี่ยวกับการป้องกันการเกิดขึ้นซ้ำของเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคล โดยมีเหตุการณ์สำคัญดังต่อไปนี้

• เหตุการณ์ที่หน่วยงาน ‘Japanese Agency for Natural Resources and Energy’ ดูแลระบบ ‘Japanese Renewable Energy Business Management System’ ซึ่งมีการใช้งานบัญชีที่ได้รับมอบหมายให้กับผู้ประกอบการส่งและจ่ายไฟฟ้าทั่วไป โดยผู้ประกอบการค้าปลีกไฟฟ้าที่เกี่ยวข้องได้เข้าถึงและใช้ข้อมูลส่วนบุคคลที่ถือครองในระบบดังกล่าว
• เหตุการณ์ที่เกิดขึ้นในเมือง ‘Japanese Noheji Town, Aomori Prefecture’ ที่ USB ซึ่งบันทึกข้อมูลส่วนบุคคลของชาวเมืองส่วนใหญ่ เช่น ชื่อ, วันเดือนปีเกิด, ผลการตรวจสุขภาพ และประวัติการฉีดวัคซีนโควิด-19 ได้หายไป ทำให้มีความเสี่ยงที่ข้อมูลจะรั่วไหล
• เหตุการณ์ที่คณะกรรมการการศึกษา ‘Japanese Nagano Prefecture’ ดูแลโรงเรียนมัธยมปลาย 2 แห่ง มีครู 2 คน ตกเป็นเหยื่อของการหลอกลวงสนับสนุน โดยได้ติดตั้งซอฟต์แวร์ควบคุมจากระยะไกลลงบนคอมพิวเตอร์ที่ใช้ในงานโรงเรียนโดยไม่ได้รับอนุญาต ทำให้เกิดความเสี่ยงของการรั่วไหลข้อมูลส่วนบุคคลของนักเรียนและบุคลากรของโรงเรียนดังกล่าว

เหตุการณ์เหล่านี้ได้รับการให้คำแนะนำตามมาตรา 66 ข้อ 1 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล เกี่ยวกับปัญหาการจัดการความปลอดภัยที่ไม่เพียงพอ และในเหตุการณ์ของ ‘Japanese Aomori Prefecture’ และ ‘Japanese Nagasaki Prefecture’ ยังได้มีการขอเอกสารเพื่อตรวจสอบสถานะการดำเนินการตามมาตรการป้องกันการเกิดขึ้นซ้ำ

สรุป: จำนวนการรายงานการรั่วไหลของข้อมูลส่วนบุคคลสูงสุดนับตั้งแต่เริ่มมีการรายงาน

หลังจากการแก้ไขกฎหมายในปี 令和4年 (2022) การรายงานต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นได้กลายเป็นข้อบังคับ แต่ในปี 令和5年 (2023) จำนวนการรายงานที่มีทั้งสิ้น 12,120 คดี ได้เพิ่มขึ้นประมาณ 58% เมื่อเทียบกับปีก่อนหน้า และเป็นจำนวนที่มากที่สุดนับตั้งแต่การรายงานได้กลายเป็นข้อบังคับในปี 平成25年 (2013)

ในการจัดการข้อมูลส่วนบุคคล หากมีการดำเนินการผิดพลาดจนทำให้เกิดการรั่วไหลของข้อมูลจริง ข้อมูลดังกล่าวจะถูกเปิดเผยบนเว็บไซต์ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจนำไปสู่การทำลายแบรนด์ของบริษัทและการสูญเสียความน่าเชื่อถือในสังคม ดังนั้น เราขอแนะนำให้ปรึกษากับทนายความเกี่ยวกับการจัดการและการดำเนินงานข้อมูลส่วนบุคคล เพื่อเตรียมการรับมือล่วงหน้า

แนะนำมาตรการของเรา

สำนักงานกฎหมายมอนอลิธเป็นสำนักงานกฎหมายที่มีประสบการณ์อันเข้มข้นในด้าน IT โดยเฉพาะกฎหมายเกี่ยวกับอินเทอร์เน็ต ในปัจจุบัน การรั่วไหลของข้อมูลส่วนบุคคลกลายเป็นปัญหาใหญ่ หากข้อมูลส่วนบุคคลรั่วไหลออกไป อาจส่งผลกระทบร้ายแรงต่อกิจกรรมของบริษัทได้ สำนักงานของเรามีความเชี่ยวชาญเฉพาะทางในการป้องกันและรับมือกับการรั่วไหลของข้อมูล รายละเอียดเพิ่มเติมได้ระบุไว้ในบทความด้านล่างนี้

สาขาที่สำนักงานกฎหมายมอนอลิธให้บริการ: กฎหมายที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคล[ja]