Нескінченні витоки персональних даних, у 5-му році Рейва (2023) вони зросли на 50% порівняно з попереднім роком. Роз'яснення останніх тенденцій

Останніми роками зростає кількість витоків персональних даних через все більш витончені кібератаки та людські помилки, що стає серйозною проблемою для компаній. Витік персональних даних може призвести до репутаційних збитків, судових ризиків та навіть призупинення бізнесу для підприємства.

У цій статті ми розглянемо тенденції у справах про витоки персональних даних, що видно з щорічного звіту, опублікованого Комісією з захисту персональних даних за 5-й рік ери Рейва (2023). Використовуючи цю статтю як довідник, посиліть заходи інформаційної безпеки у вашій компанії та запобігайте ризикам витоку інформації.

Що таке річний звіт Комісії з захисту персональних даних?

У квітні Рейва 4 року (2022 рік) набув чинності змінений Закон про захист персональних даних Японії, згідно з яким суб’єкти, що займаються обробкою персональних даних, зобов’язані повідомляти про випадки витоку персональних даних через вебсайт Комісії з захисту персональних даних (PPC), якщо ці випадки відповідають певним умовам.

Комісія з захисту персональних даних опублікувала свій річний звіт за Рейва 5 рік[ja] у червні Рейва 6 року (2024 рік).

Пов’язана стаття: Основні моменти зміненого Закону про захист персональних даних Рейва 6 року (2024 рік)? Важливі зміни та стратегії реагування, які варто знати[ja]

Нагляд за суб’єктами, що займаються обробкою персональних даних

У фінансовому році Рейва 5 (2023 рік) було здійснено обробку 12,120 звітів про випадки витоку інформації та інші інциденти, що свідчить про значне зростання порівняно з 7,685 випадками у попередньому році. Давайте розглянемо конкретний зміст цих випадків.

Стан обробки інцидентів, пов’язаних з витоком інформації

Серед звітованих інцидентів кількість осіб, які постраждали від витоку інформації в кожному окремому випадку, становила менше ніж 1000 осіб у 11635 випадках (96.0%), тоді як інциденти, що залучали понад 50000 осіб, склали 61 випадок (0.5%).

У справах, які були безпосередньо звітовані комітету, найчастіше витікала інформація про клієнтів (83.5%), і якщо дивитися за формою, то витоки, що стосувалися лише паперових носіїв (82.0%), були частішими, ніж витоки, що стосувалися лише електронних носіїв (12.2%).

Згідно з класифікацією за типами зобов’язань щодо звітування, встановленими Законом про захист персональних даних Японії та Правилами виконання (Правилами), найбільшу частку склали випадки витоку персональних даних, що включають чутливу інформацію, таку як медичні дані та раса (89.7%), за ними слідували випадки витоку персональних даних, що могли бути здійснені з неправомірною метою, наприклад, через несанкціонований доступ (8.1%).

Така тенденція може бути зумовлена тим, що більшість причин виникнення інцидентів пов’язані з так званими людськими помилками, такими як неправильна видача, неправильна відправка, неправильне утилізування та втрата (в сумі 86.3%). Враховуючи це, можна припустити, що багато інцидентів витоку інформації сталися через помилки при видачі паперових носіїв, на яких були записані персональні дані, що вимагають особливої уваги (наприклад, деталізовані рахунки за медичні послуги в медичних установах).

На основі цих звітів Комісія з захисту персональних даних перевірила, чи були належним чином виконані заходи щодо повідомлення осіб, яких стосується інформація (згідно з пунктом 2 статті 26 Закону про захист персональних даних Японії), чи були правильно ідентифіковані та проаналізовані причини виникнення інцидентів, чи були заходи щодо запобігання повторенню інцидентів адекватними до причин їх виникнення та інші питання, передбачені Правилами. За потреби, було надано інформацію та вжито заходів щодо методів аналізу причин виникнення інцидентів та розробки стратегій запобігання їх повторенню.

Стан збору звітів, надання настанов та порад

Було проведено збір 73 звітів, надано 333 настанови та поради суб’єктам, що займаються обробкою персональних даних.

Серед серйозних випадків можна виділити наступні:

• Випадок, коли інформацію про клієнтів нових енергетичних компаній, що належить загальним постачальникам електроенергії, переглядали та використовували відповідні роздрібні електроенергетичні компанії групи або тієї ж компанії.
• Випадок, коли роздрібні електроенергетичні компанії використовували ідентифікатори користувачів та паролі, призначені загальним постачальникам електроенергії, для доступу до «Системи управління справами відновлюваної енергії», що керується Агентством природних ресурсів та енергетики, та переглядали та використовували персональні дані в цій системі.
• Випадок, коли корпорація Toyota Motor доручила своїй дочірній компанії Toyota Connected обробку персональних даних, пов’язаних з послугами для користувачів автомобілів, і сталося так, що персональні дані, які зберігалися на серверах цієї компанії, стали доступними ззовні, що призвело до витоку інформації.
• Випадок, коли Національна корпорація лікарняних установ, яка є суб’єктом обробки медичної інформації згідно з Законом про анонімізовану обробку медичної інформації для досліджень у медичній сфері (Закон 2017 року № 28), допустила витік медичної інформації пацієнтів.
• Випадок, коли три компанії, що подали повідомлення про відмову від участі (opt-out), порушили положення Закону про захист персональних даних.
• Випадок, коли корпорація NTT DOCOMO доручила компанії NTT NEXIA управління інформацією клієнтів для телефонних продажів, і тимчасовий працівник NEXIA без дозволу завантажив приблизно 5,96 мільйона записів персональних даних на хмарний сервіс із робочого ПК, що призвело до ризику витоку цих даних.
• Випадок, коли викладач приватної середньої школи Yotsuya Otsuka під час роботи переглядав та записував на свій особистий смартфон фотографії та відео учнів, а також персональні дані учнів, які школа зберігала, і опублікував персональні дані шести осіб на своєму акаунті в соціальній мережі, що призвело до витоку інформації.
• Випадок, коли сервер компанії MK System був зламаний, і через використання шкідливого програмного забезпечення типу ransomware персональні дані, що зберігалися в системі, були зашифровані, що створило ризик витоку інформації.
• Випадок, коли на певних сторінках товарів на аукціоні “Yahoo! Auctions” через введення певних команд або даних ставало видимим GUID (внутрішній ідентифікатор) продавця, що дозволяло стороннім особам переглядати ці дані, створюючи ризик витоку персональної інформації.

У відповідь на ці випадки було надано настанови відповідно до статті 23 Закону про захист персональних даних, і для деяких з них було зажадано звіту про вжиті заходи щодо запобігання повторення подібних інцидентів.

Становище щодо рекомендацій

Було здійснено три рекомендації стосовно суб’єктів, що займаються обробкою персональних даних. Нижче наведено їхній загальний опис.

У справі, де працівник компанії NTT Business Solutions, який був залучений до обслуговування системи, що використовувалася в кол-центрі, що належить акціонерному товариству NTT Marketing Act ProCX, і який діяв на замовлення приватних підприємств, незалежних адміністративних установ та місцевих органів влади, незаконно виніс дані приблизно 9,28 мільйонів осіб, що стосуються клієнтів замовника або місцевих жителів, що призвело до витоку інформації, обом компаніям було зроблено рекомендації щодо вжиття необхідних заходів для виправлення порушень статті 23 Закону про захист персональних даних.

У випадку з компанією LINE Yahoo Japan, де працівник підрядної компанії із питань безпеки з Південної Кореї, який використовував комп’ютер у своїй роботі, став причиною зараження ПК шкідливим програмним забезпеченням, що призвело до несанкціонованого доступу до інформаційної системи та витоку персональних даних користувачів, партнерів та працівників LINE, було зроблено рекомендацію щодо вжиття необхідних заходів для виправлення порушень статті 23 Закону про захист персональних даних, а також було зажадано звіту про стан виконання рекомендацій, включаючи заходи щодо запобігання повторенню подібних інцидентів.

Нагляд за органами влади та іншими установами

На підставі Закону про захист персональних даних (Japanese Personal Information Protection Law) було проведено нагляд за органами влади та іншими установами.

Обробка звітів про випадки витоку та інші інциденти з персональними даними

У рамках нагляду за органами влади та іншими установами було оброблено 1159 звітів про випадки витоку персональних даних та інші інциденти. З них 162 звіти були подані державними органами влади, а 997 – місцевими органами самоврядування.

Більшість звітованих інцидентів, як і в попередньому році, стосувалися витоку персональних даних, що вимагають особливої уваги (державні органи влади: 61.1%, місцеві органи самоврядування: 80.3%), а також випадків витоку даних, що стосуються понад 100 осіб (державні органи влади: 31.5%, місцеві органи самоврядування: 18.8%).

Найчастішою причиною інцидентів були так звані людські помилки, такі як неправильна видача, відправлення, утилізація, втрата (державні органи влади: загалом 6.8%, місцеві органи самоврядування: загалом 78.8%), а за ними слідували помилки в налаштуванні систем (державні органи влади: 22.8%, місцеві органи самоврядування: 17.7%).

У більшості випадків кількість осіб, чиї дані були викриті, не перевищувала 1000 (державні органи влади: 93.2%, місцеві органи самоврядування: 96.7%), а найчастіше витікали дані громадян (державні органи влади: 78.4%, місцеві органи самоврядування: 91.1%). Щодо форми інформації, то переважно витікали дані, збережені на паперових носіях (державні органи влади: 58.0%, місцеві органи самоврядування: 76.8%).

Стан вимог до подання документів, проведення перевірок на місцях, надання настанов та порад

Для перевірки дотримання вимог Настанов щодо захисту персональних даних (Japanese Guidelines for the Protection of Personal Information in Public Bodies) та інших аспектів було проведено 65 планових перевірок на місцях у різних органах влади, під час яких надавалися настанови для поліпшення обробки персональних даних та вимагалося подання звітів про виконання рекомендованих заходів.

Окрім перевірок на місцях, було проведено 73 заходи, під час яких надавалися настанови та поради, зокрема щодо усунення недоліків у заходах безпеки, виявлених під час прийому звітів про інциденти з витоком персональних даних. Серед серйозних інцидентів можна виділити наступні:

• У системі управління відновлюваними джерелами енергії, яку контролює Агентство природних ресурсів та енергетики (Japanese Agency for Natural Resources and Energy), стався інцидент, коли роздрібні електроенергетичні компанії використовували акаунти, призначені для загальних постачальників електроенергії, для перегляду та використання персональних даних у системі.
• У містечку Нобеока в префектурі Аоморі (Japanese Aomori Prefecture) стався інцидент з втратою USB-накопичувача, на якому були записані персональні дані більшості мешканців, включаючи імена, дати народження, результати медичних оглядів та історію вакцинації від COVID-19, що створило ризик витоку цих даних.
• У двох вищих навчальних закладах, що перебувають під контролем освітньої комісії префектури Нагано (Japanese Nagano Prefecture), два вчителі стали жертвами шахрайства підтримки і, слідуючи інструкціям шахраїв, встановили програму для віддаленого доступу на службові комп’ютери, що призвело до ризику витоку персональних даних студентів та персоналу цих шкіл.

У відповідь на ці інциденти було надано настанови згідно з пунктом 1 статті 66 Закону про захист персональних даних (Japanese Personal Information Protection Law) щодо недостатньої реакції на проблеми безпеки, а у випадках, що стосуються префектур Аоморі та Нагасакі (Japanese Nagasaki Prefecture), було також зажадано подання документів, що стосуються заходів запобігання повторенню подібних інцидентів.

Висновок: Кількість випадків витоку персональних даних досягла рекордного рівня з часу початку звітування

Після змін у законодавстві в Рейва 4 році (2022 рік) звітування про випадки витоку персональних даних стало обов’язковим за вимогами Японської Комісії з захисту персональних даних. У Рейва 5 році (2023 рік) кількість таких звітів склала 12,120 випадків, що на 58% більше, ніж у попередньому році, і є найбільшою кількістю з часу, коли звітування стало обов’язковим у Хейсей 25 році (2017 рік).

Неправильне поводження з персональними даними може призвести до їх витоку, і в такому випадку інформація про це буде опублікована на сайті Японської Комісії з захисту персональних даних, що може негативно вплинути на бренд компанії та її соціальний кредит. Ми рекомендуємо звертатися до адвоката для консультацій з питань обробки та управління персональними даними, щоб заздалегідь запобігти можливим проблемам.

Заходи, що пропонує наша юридична фірма

Юридична фірма “Моноліт” має багатий досвід у сфері ІТ, особливо в аспектах, що стосуються Інтернету та права. В наш час витік особистих даних став великою проблемою. У разі витоку особистих даних, це може мати катастрофічні наслідки для діяльності компанії. Наша фірма володіє спеціалізованими знаннями щодо запобігання витоку інформації та розробки заходів реагування. Детальну інформацію ви знайдете в статті нижче.

Сфери діяльності юридичної фірми “Моноліт”: Правові питання, пов’язані з захистом особистої інформації[ja]