Durmayan Kişisel Bilgi Sızıntıları, Reiwa 5 (2023) Yılında Bir Önceki Yıla Göre 1.5 Kat Arttı. En Son Trendler Açıklanıyor

Son yıllarda, giderek daha karmaşık hale gelen siber saldırılar ve insan hataları gibi sebeplerle kişisel bilgi sızıntıları artmakta ve şirketler için ciddi bir sorun haline gelmektedir. Kişisel bilgi sızıntıları, şirketler için itibar zararı, dava riski ve iş durdurma gibi ciddi zararlara yol açabilir.

Bu makalede, Japon Kişisel Bilgi Koruma Komisyonu tarafından yayınlanan Reiwa 5 (2023) yılına ait yıllık rapordan anlaşılan kişisel bilgi sızıntısı vakalarının eğilimleri hakkında bilgi vereceğiz. Bu makaleyi referans alarak, şirketinizin bilgi güvenliği önlemlerini güçlendirin ve sızıntı riskini önceden engelleyin.

Kişisel Bilgi Koruma Komisyonu’nun Yıllık Raporu Nedir?

Reiwa 4 (2022) yılı Nisan ayında yürürlüğe giren revize edilmiş Japon Kişisel Bilgi Koruma Kanunu kapsamında, kişisel bilgi işleyen işletmelerde bir bilgi sızıntısı gibi bir olay meydana geldiğinde ve bu durum belirli şartları karşılıyorsa, Kişisel Bilgi Koruma Komisyonu (PPC) web sitesi üzerinden raporlama yapılması zorunlu kılınmıştır.

Kişisel Bilgi Koruma Komisyonu, Reiwa 6 (2024) yılı Haziran ayında Reiwa 5 (2023) yılına ait yıllık raporunu[ja] yayımlamıştır.

İlgili makale: Reiwa 6 (2024) yılında revize edilen Kişisel Bilgi Koruma Kanunu’nun ana noktaları nelerdir? Bilinmesi gereken değişiklikler ve uyum stratejileri[ja]

Kişisel Bilgi İşleyen İşletmelere Yönelik Denetim

Reiwa 5 (2023) yılında, sızıntı ve benzeri olaylarla ilgili olarak 12,120 adet rapor işlemi gerçekleştirilmiş ve bu, önceki yılın 7,685 adetlik sayısına kıyasla büyük bir artışa işaret etmektedir. Şimdi, detaylara bir göz atalım.

Sızıntı ve Benzeri Olayların İşlem Durumu

Rapor edilen olaylar arasında, kişi başına düşen sızıntı sayısı 1000 kişinin altında olan olaylar 11,635 adet (%96.0) iken, 50,000 kişiyi aşan olayların oranı 61 adet (%0.5) idi.

Komisyona doğrudan rapor edilen olaylarda, sızdırılan bilgi türleri arasında müşteri bilgileri en yüksek orana sahip (%83.5) ve biçim bazında bakıldığında, yalnızca kağıt ortamında sızdırılanlar (%82.0), yalnızca elektronik ortamda sızdırılanlardan (%12.2) daha fazlaydı.

Kişisel Bilgi Koruma Yasası ve Kişisel Bilgi Koruma Yasası Uygulama Yönetmeliği (Uygulama Yönetmeliği) tarafından belirlenen raporlama yükümlülüklerine göre sınıflandırmada, en büyük payı sağlık geçmişi ve ırk gibi hassas kişisel bilgiler içeren kişisel veri sızıntıları oluşturdu (%89.7), bunu izleyen ise kötü niyetli amaçlarla gerçekleştirilmiş olabilecek kişisel veri sızıntılarıydı (%8.1).

Bu eğilimin oluşmasındaki faktörler, sızıntı ve benzeri olayların çoğunun yanlış teslimat, yanlış gönderim, yanlış imha ve kayıp gibi insan hatası kaynaklı olduğunu göz önünde bulundurduğumuzda (%86.3 toplam), sızıntı meydana geldiğinde, etkilenen kişi sayısı bir kişi bile olsa, raporlama yükümlülüğü bulunan hassas kişisel bilgiler içeren verilerin, bu verilerin yer aldığı kağıt ortamının (örneğin sağlık kuruluşlarında kullanılan tedavi maliyeti detayları gibi) yanlış teslimatı gibi sızıntı olaylarının yaygın olduğu sonucuna varılabilir.

Bu raporlar doğrultusunda, Kişisel Bilgi Koruma Komisyonu tarafından, kişilere yönelik uygulama durumu olarak, kişilere yapılan bildirimlerin (Kişisel Bilgi Koruma Yasası Madde 26, Fıkra 2) uygun şekilde gerçekleştirilip gerçekleştirilmediği, olayın nedeninin uygun bir şekilde belirlenip analiz edilip edilmediği, tekrarın önlenmesi için alınan önlemlerin olayın nedenine uygun olarak belirlenip belirlenmediği gibi, Uygulama Yönetmeliği tarafından belirlenen raporlama konularının içeriği kontrol edilmiş ve gerektiğinde olayın neden analizi ve tekrarın önlenmesi stratejileri hakkında bilgi sağlama gibi çeşitli önlemler alınmıştır.

Raporlama Toplama, Yönlendirme ve Danışmanlık Durumu

Kişisel Bilgi İşleyen İşletmeler gibi kuruluşlara 73 raporlama toplama, 333 yönlendirme ve danışmanlık yapılmıştır.

Önemli olaylar arasında aşağıdakiler sıralanmıştır:

• Genel elektrik dağıtım işletmecilerinin sahip olduğu yeni elektrik müşteri bilgilerinin, grup şirketi veya aynı şirketin perakende bölümü olan ilgili perakende elektrik işletmecileri tarafından görüntülenip kullanıldığı olay
• Enerji ve Tabii Kaynaklar Ajansı’nın yönettiği ‘Yenilenebilir Enerji İş Yönetim Sistemi’ne, genel elektrik dağıtım işletmecilerine tahsis edilen hesapların ID ve şifrelerinin ilgili perakende elektrik işletmecileri tarafından kullanılarak, sistem içindeki kişisel bilgilerin görüntülenip kullanıldığı olay
• Toyota Motor Corporation’ın, araç kullanıcılarına yönelik hizmetlerle ilgili kişisel verilerin işlenmesini bağlı şirketi olan Toyota Connected Corporation’a devrettiği, ancak söz konusu şirketin yönettiği sunucuların kişisel verilerinin dışarıdan görüntülenebilir durumda olduğu ve sızıntı riski taşıdığı olay
• 2017 yılında yürürlüğe giren Japon ~Anonimleştirilmiş Tıbbi Bilgi İşleme Hukuku (2017 yılı Kanun No. 28) kapsamında, tıbbi bilgi işleyen işletmelerden biri olan Bağımsız İdari Kuruluş Ulusal Hastane Organizasyonu’nun hastaların tıbbi bilgilerini sızdırdığı olay
• Kişisel Bilgi Koruma Kanunu hükümlerine aykırı davranan opt-out bildiriminde bulunan 3 şirketle ilgili olay
• NTT DOCOMO Inc.’in, müşteri bilgi yönetimini içeren telefon satış hizmetlerini NTT NEXIA Inc.’e devrettiği, ancak Nexia şirketinin geçici çalışanlarının, iş için kullanılan bilgisayarlardan kişisel sözleşmeli bulut hizmetlerine izinsiz erişim sağlayarak yaklaşık 5.96 milyon kişinin kişisel verilerini bulut hizmetlerine yükleyip dışarı sızdırma riski oluşturduğu olay
• Ortaokul hazırlık kursu işleten Yotsuya Otsuka Corporation’ın bir öğretmeninin görevdeyken, kursa giden ilkokul öğrencilerinin fotoğraflarını ve videolarını, kursun yönettiği öğrenci kişisel verileriyle birlikte araştırıp görüntüleyerek, özel akıllı telefonuna kaydedip kişisel SNS hesabında yayınlaması sonucu 6 öğrencinin kişisel verilerini sızdırdığı olay
• MK System Corporation’ın sunucularının yetkisiz erişime maruz kalması ve yönetilen kişisel verilerin ransomware tarafından şifrelenerek sızıntı riski oluşturduğu olay
• ‘Yahoo! Auctions’ın belirli ürün sayfalarında, belirli komutlar girildiğinde, açık artırma yapan satıcının GUID’lerinin (şirket içi tanımlayıcı) görüntülenebilir duruma gelmesi ve kişisel veri sızıntı riski oluşturduğu olay

Bu olaylara karşı, Kişisel Bilgi Koruma Kanunu’nun 23. maddesine dayanarak yönlendirme yapılmış ve bazı durumlarda tekrarın önlenmesi için alınan önlemlerin uygulanma durumu hakkında raporlama talep edilmiştir.

Tavsiye Durumu

Kişisel Bilgi İşleyen İşletmeler ve diğer ilgili kuruluşlara üç tavsiye yapılmıştır. Aşağıda özetlenen durumlar şunlardır:

Özel sektör işletmeleri, bağımsız idari kurumlar ve yerel yönetimler tarafından verilen görevleri yerine getiren NTT Marketing Act ProCX Şirketi’nin yürüttüğü çağrı merkezi işinde, sistem bakım ve işletimini bu şirketten devralan NTT Business Solutions Şirketi’ne bağlı bir çalışanın, yaklaşık 9.28 milyon kişiye ait kişisel verileri izinsiz olarak çıkarması sonucu veri sızıntısı yaşanan olayda, her iki şirkete de Kişisel Bilgi Koruma Yasası’nın (Japanese Personal Information Protection Act) 23. maddesinin ihlalini düzeltmek için gerekli önlemleri almaları yönünde tavsiyelerde bulunulmuştur.

LINE Yahoo Japan Corporation’da, işi Güney Koreli bir güvenlik bakım şirketine devredilen çalışanların kullanımındaki bilgisayarların kötü amaçlı yazılıma (malware) maruz kalması sonucu bilgi sistemlerine izinsiz erişim gerçekleşmiş ve LINE kullanıcıları, iş ortakları ve çalışanlarına ait kişisel verilerin sızdırılması gibi olaylarda, Kişisel Bilgi Koruma Yasası’nın 23. maddesinin ihlalini düzeltmek için gerekli önlemleri almaları yönünde tavsiye edilmiş ve tavsiyeye karşı iyileştirme durumu hakkında, tekrarın önlenmesi önlemlerinin uygulanma durumunu da içeren raporlar talep edilmiştir.

İdari Kurumlar Nezdinde Gözetim

Kişisel Bilgi Koruma Yasası temel alınarak, idari kurumlar da dahil olmak üzere gözetim gerçekleştirilmiştir.

Sahip Olunan Kişisel Bilgilerin İfşası ve Benzeri Olaylara İlişkin Raporların İşlem Durumu

İdari kurumlar nezdindeki gözetim kapsamında, sahip olunan kişisel bilgilerin ifşası ve benzeri olaylara ilişkin toplam 1159 rapor işlenmiştir. Bunların 162’si devlet idari kurumlarından, 997’si ise yerel yönetimlerden gelmiştir.

Raporlanan olayların çoğu, önceki yıl gibi, özellikle hassas kişisel bilgilerin dahil olduğu kişisel bilgi ifşalarıdır (devlet idari kurumları: %61.1, yerel yönetimler: %80.3). Bunu takiben, 100 kişiden fazla kişinin kişisel bilgilerinin ifşa edildiği olaylar gelmektedir (devlet idari kurumları: %31.5, yerel yönetimler: %18.8).

Olayların çoğunun nedeni, yanlış teslimat, yanlış gönderim, yanlış imha, kayıp gibi insan hatası olarak adlandırılan durumlardır (devlet idari kurumları toplam: %6.8, yerel yönetimler toplam: %78.8). Bunu takiben, sistem yanlış ayarları gibi diğer nedenler de sıkça karşılaşılan durumlar arasındadır (devlet idari kurumları: %22.8, yerel yönetimler: %17.7).

Bir olayda ifşa edilen kişi sayısı genellikle 1000 kişinin altında olup (devlet idari kurumları: %93.2, yerel yönetimler: %96.7), ifşa edilen bilgiler arasında vatandaşlara ait bilgiler en yaygındır (devlet idari kurumları: %78.4, yerel yönetimler: %91.1). İfşa edilen bilgilerin türüne bakıldığında, yalnızca kağıt ortamında olanlar (devlet idari kurumları: %58.0, yerel yönetimler: %76.8) çoğunluğu oluşturmaktadır.

Belge Sunumu Talepleri, Yerinde İncelemeler, Rehberlik ve Tavsiyelerin Durumu

Kişisel Bilgi Koruma Yasası ve Kişisel Bilgi Koruma Hakkındaki Yasaya ilişkin yönergelerin (idari kurumlar bölümü) uyum durumunu kontrol etmek amacıyla, idari kurumlara yönelik 65 planlı yerinde inceleme gerçekleştirilmiş ve kişisel bilgilerin uygun şekilde işlenmesi konusunda iyileştirme talepleri, yönlendirme ve belge sunumu talepleri gibi işlemler yapılmıştır.

Yerinde incelemelerin dışında, kişisel bilgi ifşası ve benzeri olayların raporlanması sırasında, güvenlik yönetimi önlemlerindeki eksikliklerin giderilmesi için tekrarın önlenmesi yönünde rehberlik ve tavsiyelerde bulunulmuş ve 73 olayda bu tür işlemler gerçekleştirilmiştir. Önemli olaylar arasında şunlar yer almaktadır:

• Yenilenebilir Enerji İş Yönetim Sistemi’ni yöneten Enerji Kaynakları Ajansı’na ait, genel elektrik dağıtım şirketlerine tahsis edilen hesapların kimlik ve şifrelerinin, ilgili perakende elektrik şirketleri tarafından kullanılarak sistemin içindeki kişisel bilgilerin izlenmesi ve kullanılması olayı
• Aomori prefektörlüğü Noheji kasabasında, çoğunluğu kasaba sakinlerine ait isim, doğum tarihi, sağlık muayene sonuçları ve yeni tip koronavirüs aşı kayıtları gibi kişisel bilgilerin kaydedildiği bir USB’nin kaybolması ve bilgi sızıntısı riskinin ortaya çıkması olayı
• Nagano prefektörlüğü Eğitim Komisyonu’na bağlı iki lise öğretmeninin, destek dolandırıcılığına maruz kalarak, dolandırıcıların yönlendirmesiyle okul işleri için kullanılan bilgisayarlara izinsiz uzaktan erişim yazılımı yüklemesi sonucu, ilgili liselerin öğrenci ve öğretmenlerine ait kişisel bilgilerin sızıntı riskinin ortaya çıkması olayı

Bu olaylara karşı, güvenlik yönetimi sorunlarına yetersiz yanıt verilmesi nedeniyle Kişisel Bilgi Koruma Yasası’nın 66. maddesi 1. fıkrası temel alınarak yönlendirme yapılmış ve Aomori ve Nagano prefektörlüklerindeki olaylar için tekrarın önlenmesi önlemlerinin uygulanma durumu hakkında belge sunumu talep edilmiştir.

Özet: Kişisel Bilgi İhlalleri Bildirim Başladığından Beri En Yüksek Seviyede

Reiwa 4 (2022) yılında yapılan düzenlemeyle, Kişisel Bilgi Koruma Komisyonu’na raporlama zorunluluğu getirilmiştir. Ancak Reiwa 5 (2023) yılında bildirilen 12.120 olay, önceki yıla göre yaklaşık %58 artış göstermiş ve bildirimin zorunlu hale geldiği Heisei 25 (2013) yılından bu yana en yüksek sayıya ulaşmıştır.

Kişisel bilgilerin işlenmesinde yanlış bir adım atılması gerçek bir sızıntıya yol açabilir ve bu durum, Kişisel Bilgi Koruma Komisyonu’nun web sitesinde bu şekilde yayınlanır, bu da şirket markasının zarar görmesine ve toplumsal itibarın düşmesine neden olabilir. Kişisel bilgilerin işlenmesi ve yönetimi konusunda, olası sorunları önceden çözmek için bir avukata danışmanızı tavsiye ederiz.

Hukuk Büromuzun Önlemlerine İlişkin Bilgilendirme

Monolith Hukuk Bürosu, özellikle internet ve hukuk alanında zengin deneyime sahip bir hukuk firmasıdır. Günümüzde, kişisel bilgilerin sızdırılması büyük bir sorun haline gelmiştir. Eğer kişisel bilgiler sızdırılırsa, bu durum şirket faaliyetlerine ölümcül etkilerde bulunabilir. Firmamız, bilgi sızıntısını önleme ve müdahale konusunda uzman bilgiye sahiptir. Aşağıdaki makalede detayları bulabilirsiniz.

Monolith Hukuk Bürosu’nun Uzmanlık Alanları: Kişisel Bilgi Koruma Yasası İle İlgili Hukuki İşlemler[ja]