Rò rỉ thông tin cá nhân không ngừng, năm tài khóa Reiwa 5 (2023) tăng 1.5 lần so với năm trước. Giải thích xu hướng mới nhất

Trong những năm gần đây, sự gia tăng của các cuộc tấn công mạng tinh vi và rò rỉ thông tin cá nhân do lỗi con người đã trở thành một vấn đề nghiêm trọng đối với các doanh nghiệp. Rò rỉ thông tin cá nhân có thể gây ra cho doanh nghiệp những tổn thất nghiêm trọng như hậu quả về uy tín, rủi ro kiện tụng và thậm chí là việc phải ngừng hoạt động kinh doanh.

Bài viết này sẽ phân tích xu hướng các vụ việc rò rỉ thông tin cá nhân dựa trên báo cáo hàng năm của Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản (Japanese Personal Information Protection Commission) cho năm tài chính Reiwa 5 (2023). Hãy tham khảo bài viết này để tăng cường các biện pháp bảo mật thông tin của công ty bạn và ngăn chặn nguy cơ rò rỉ thông tin từ trước khi chúng xảy ra.

Báo cáo hàng năm của Ủy ban Bảo vệ Thông tin Cá nhân là gì?

Theo Luật Bảo vệ Thông tin Cá nhân sửa đổi được thi hành vào tháng 4 năm 2022 (năm Reiwa 4), các doanh nghiệp xử lý thông tin cá nhân có nghĩa vụ phải báo cáo lên trang web của Ủy ban Bảo vệ Thông tin Cá nhân (PPC) nếu xảy ra sự cố rò rỉ thông tin cá nhân và sự cố đó đáp ứng nhất định điều kiện.

Ủy ban Bảo vệ Thông tin Cá nhân đã công bố Báo cáo hàng năm năm Reiwa 5 (2024)[ja] vào tháng 6 năm 2024 (năm Reiwa 6).

Bài viết liên quan: Điểm nổi bật của Luật Bảo vệ Thông tin Cá nhân sửa đổi năm 2024 (năm Reiwa 6) là gì? Những thay đổi và biện pháp đáng lưu ý[ja]

Giám sát đối với các tổ chức xử lý thông tin cá nhân

Trong năm Reiwa 5 (2023), đã có 12.120 báo cáo về các vụ việc rò rỉ thông tin được xử lý, tăng đáng kể so với 7.685 vụ của năm trước. Hãy cùng xem xét chi tiết về nội dung này.

Tình hình xử lý các vụ việc liên quan đến rò rỉ thông tin

Trong số các vụ việc được báo cáo, có 11,635 vụ (chiếm 96.0%) liên quan đến việc rò rỉ thông tin ảnh hưởng đến dưới 1000 người, và 61 vụ (chiếm 0.5%) ảnh hưởng đến trên 50,000 người.

Trong các vụ việc được báo cáo trực tiếp đến Ủy ban, thông tin bị rò rỉ chủ yếu là thông tin khách hàng (chiếm 83.5%), và khi xem xét theo hình thức, số vụ việc rò rỉ thông tin qua tài liệu giấy (chiếm 82.0%) nhiều hơn so với thông qua phương tiện điện tử (chiếm 12.2%).

Theo phân loại dựa trên các loại báo cáo nghĩa vụ được quy định trong Luật Bảo vệ Thông Tin Cá Nhân và Quy tắc thi hành liên quan đến bảo vệ thông tin cá nhân (Quy tắc thi hành), số vụ việc rò rỉ thông tin cá nhân bao gồm thông tin cần được xem xét cẩn thận như tiền sử bệnh án hay thông tin về chủng tộc chiếm đa số (89.7%), tiếp theo là các vụ việc rò rỉ thông tin cá nhân có khả năng liên quan đến truy cập trái phép hoặc mục đích bất chính (chiếm 8.1%).

Nguyên nhân của xu hướng này có thể được xem xét là do đa số các vụ việc rò rỉ thông tin xuất phát từ những sai sót của con người như giao nhầm, gửi nhầm, vứt bỏ sai lầm và mất mát (tổng cộng chiếm 86.3%). Điều này cho thấy, ngay cả khi chỉ có một người bị ảnh hưởng, các vụ việc rò rỉ thông tin cá nhân cần được báo cáo, đặc biệt là các thông tin cá nhân cần được xem xét cẩn thận được ghi trên tài liệu giấy (ví dụ như bảng kê chi tiết chi phí khám chữa bệnh tại các cơ sở y tế) thường xuyên bị rò rỉ do giao nhầm.

Trên cơ sở những báo cáo này, Ủy ban Bảo vệ Thông Tin Cá Nhân đã kiểm tra xem việc thông báo cho người bị ảnh hưởng (theo Điều 26, Khoản 2 của Luật Bảo vệ Thông Tin Cá Nhân) có được thực hiện đúng cách hay không, nguyên nhân gây ra sự cố có được xác định và phân tích một cách chính xác hay không, và các biện pháp ngăn chặn tái phát có phù hợp với nguyên nhân gây ra sự cố hay không. Dựa vào các tiêu chí báo cáo quy định trong Quy tắc thi hành, Ủy ban đã thực hiện các biện pháp tương ứng như cung cấp thông tin về phương pháp phân tích nguyên nhân và xem xét các biện pháp ngăn chặn tái phát khi cần thiết.

Tình hình thu thập báo cáo, hướng dẫn và tư vấn

Đối với các doanh nghiệp xử lý thông tin cá nhân, đã tiến hành thu thập 73 báo cáo, cung cấp 333 lần hướng dẫn và tư vấn.

Các vụ việc nghiêm trọng được nêu dưới đây:

• Vụ việc một công ty phân phối điện tổng hợp đã cho phép công ty con hoặc bộ phận bán lẻ của cùng công ty truy cập và sử dụng thông tin khách hàng của các nhà cung cấp điện mới.
• Vụ việc liên quan đến “Hệ thống quản lý kinh doanh năng lượng tái tạo” do Cơ quan Năng lượng Tài nguyên quản lý, trong đó các công ty phân phối điện tổng hợp đã sử dụng ID và mật khẩu của tài khoản được phân công để truy cập và sử dụng thông tin cá nhân trong hệ thống.
• Vụ việc Toyota Motor Corporation đã ủy thác xử lý dữ liệu cá nhân liên quan đến dịch vụ cho người sử dụng xe cho công ty con là Toyota Connected Corporation, và sau đó phát hiện dữ liệu cá nhân được quản lý trên máy chủ của công ty có thể bị truy cập từ bên ngoài.
• Vụ việc liên quan đến việc rò rỉ thông tin y tế của bệnh nhân do tổ chức hành chính độc lập là Tổ chức Bệnh viện Quốc gia, một doanh nghiệp xử lý thông tin y tế theo Luật thông tin y tế được xử lý ẩn danh để hỗ trợ nghiên cứu và phát triển trong lĩnh vực y tế (Luật số 28 năm 2017).
• Vụ việc ba công ty đã thông báo về việc từ chối (opt-out) vi phạm các quy định của Luật Bảo vệ Thông tin Cá nhân.
• Vụ việc NTT Docomo Inc. đã ủy thác công việc quản lý thông tin khách hàng cho mục đích telesales cho NTT Nexia Corporation, và sau đó một nhân viên tạm thời của Nexia đã truy cập trái phép vào dịch vụ đám mây cá nhân từ máy tính sử dụng trong công việc và tải lên dữ liệu cá nhân của khoảng 5,96 triệu người, dẫn đến nguy cơ rò rỉ thông tin.
• Vụ việc một giáo viên của công ty chủ quản trung tâm luyện thi vào trung học cơ sở Yotsuya Otsuka đã tìm kiếm và xem thông tin cá nhân của học sinh tiểu học đang theo học tại trung tâm, sau đó nhập và lưu trữ thông tin trên điện thoại cá nhân và đăng tải thông tin cá nhân của 6 học sinh lên tài khoản SNS của mình, dẫn đến rò rỉ thông tin.
• Vụ việc máy chủ của công ty MK System bị tấn công trái phép và dữ liệu cá nhân được quản lý trên hệ thống đã bị mã hóa bởi ransomware, tạo ra nguy cơ rò rỉ thông tin.
• Vụ việc trên trang sản phẩm cụ thể của “Yahoo! Auctions”, khi nhập một số lệnh nhất định, GUID (mã nhận dạng nội bộ) của người bán đấu giá được hiển thị, dẫn đến GUID có thể bị người khác xem và tạo ra nguy cơ rò rỉ dữ liệu cá nhân.

Đối với những vụ việc này, đã tiến hành hướng dẫn dựa trên Điều 23 của Luật Bảo vệ Thông tin Cá nhân, và đối với một số trường hợp, đã yêu cầu báo cáo về tình hình thực hiện các biện pháp ngăn chặn tái phát.

Tình hình khuyến nghị

Đã có 3 lần khuyến nghị đối với các tổ chức xử lý thông tin cá nhân. Dưới đây là tóm tắt các trường hợp cụ thể.

Trong trường hợp liên quan đến dự án trung tâm cuộc gọi mà Công ty TNHH NTT Marketing Act ProCX, được ủy thác từ các doanh nghiệp tư nhân, tổ chức hành chính độc lập và các tổ chức công cộng địa phương, đã thực hiện, một nhân viên thuộc Công ty NTT Business Solutions, người được ủy thác bảo trì và vận hành hệ thống, đã trái phép mang ra ngoài dữ liệu cá nhân của khoảng 9.28 triệu khách hàng hoặc cư dân, dẫn đến sự rò rỉ thông tin. Trong trường hợp này, cả hai công ty đều nhận được khuyến nghị áp dụng các biện pháp cần thiết để sửa chữa vi phạm Điều 23 của Luật Bảo vệ Thông Tin Cá nhân Nhật Bản.

Tại Công ty LINE Yahoo, một sự cố rò rỉ dữ liệu cá nhân liên quan đến người dùng, đối tác và nhân viên của LINE đã xảy ra sau khi máy tính được sử dụng trong công việc của một nhân viên thuộc công ty bảo mật của Hàn Quốc, đối tác thực hiện dịch vụ bảo trì, bị nhiễm malware và hệ thống thông tin bị truy cập trái phép. Trong trường hợp này, công ty đã nhận được khuyến nghị áp dụng các biện pháp cần thiết để sửa chữa vi phạm Điều 23 của Luật Bảo vệ Thông Tin Cá nhân Nhật Bản và được yêu cầu báo cáo về tình hình cải thiện, bao gồm cả việc thực hiện các biện pháp ngăn chặn tái phạm.

Giám sát các cơ quan hành chính

Theo Luật Bảo vệ Thông tin Cá nhân của Nhật Bản, việc giám sát cũng đã được thực hiện đối với các cơ quan hành chính.

Tình hình xử lý báo cáo liên quan đến sự cố rò rỉ thông tin cá nhân

Trong khuôn khổ giám sát các cơ quan hành chính, đã có 1159 báo cáo liên quan đến sự cố rò rỉ thông tin cá nhân được xử lý. Trong số đó, có 162 báo cáo từ các cơ quan hành chính quốc gia và 997 báo cáo từ các tổ chức công cộng địa phương.

Phần lớn các báo cáo sự cố, giống như năm trước, liên quan đến rò rỉ thông tin cá nhân cần được xem xét cẩn thận (các cơ quan hành chính quốc gia: 61.1%, các tổ chức công cộng địa phương: 80.3%), tiếp theo là các sự cố rò rỉ thông tin cá nhân của hơn 100 người (các cơ quan hành chính quốc gia: 31.5%, các tổ chức công cộng địa phương: 18.8%).

Nguyên nhân phổ biến nhất của các sự cố là do lỗi con người như sai lầm trong việc gửi, phân phát, tiêu hủy hoặc mất mát (các cơ quan hành chính quốc gia: tổng cộng 6.8%, các tổ chức công cộng địa phương: tổng cộng 78.8%), tiếp theo là các sự cố liên quan đến cài đặt hệ thống sai lầm và các nguyên nhân khác (các cơ quan hành chính quốc gia: 22.8%, các tổ chức công cộng địa phương: 17.7%).

Số người bị ảnh hưởng trong mỗi sự cố rò rỉ thông tin cá nhân thường dưới 1000 người (các cơ quan hành chính quốc gia: 93.2%, các tổ chức công cộng địa phương: 96.7%), và thông tin bị rò rỉ thường liên quan đến thông tin của công dân (các cơ quan hành chính quốc gia: 78.4%, các tổ chức công cộng địa phương: 91.1%), với hình thức thông tin bị rò rỉ chủ yếu là thông qua tài liệu giấy (các cơ quan hành chính quốc gia: 58.0%, các tổ chức công cộng địa phương: 76.8%).

Tình hình yêu cầu nộp tài liệu, điều tra tại chỗ, hướng dẫn và tư vấn

Để kiểm tra việc tuân thủ Hướng dẫn về Luật Bảo vệ Thông tin Cá nhân và các quy định liên quan đến bảo vệ thông tin cá nhân (dành cho các cơ quan hành chính), đã có 65 cuộc điều tra tại chỗ được thực hiện, cùng với việc đưa ra hướng dẫn yêu cầu cải thiện việc xử lý thông tin cá nhân và yêu cầu nộp tài liệu liên quan đến các hướng dẫn đã được đưa ra.

Ngoài các cuộc điều tra tại chỗ, cũng có 73 trường hợp hướng dẫn và tư vấn được thực hiện liên quan đến việc tiếp nhận báo cáo sự cố rò rỉ thông tin cá nhân và các biện pháp an toàn bị thiếu sót, nhằm ngăn chặn tái phạm. Các sự cố nghiêm trọng bao gồm:

• Sự cố liên quan đến hệ thống quản lý công việc về năng lượng tái tạo do Cơ quan Năng lượng Tài nguyên Nhật Bản quản lý, trong đó ID và mật khẩu của tài khoản được phân bổ cho các nhà cung cấp dịch vụ phân phối chung đã được sử dụng bởi các nhà bán lẻ điện liên quan để truy cập và sử dụng thông tin cá nhân trong hệ thống.
• Sự cố tại thị trấn Noheji, tỉnh Aomori, khi một USB chứa thông tin cá nhân của hầu hết cư dân, bao gồm tên, ngày sinh, kết quả kiểm tra sức khỏe và lịch sử tiêm chủng COVID-19, đã bị mất và có nguy cơ rò rỉ thông tin.
• Sự cố tại hai trường trung học phổ thông thuộc Ủy ban Giáo dục tỉnh Nagano, khi hai giáo viên đã vô tình cài đặt phần mềm điều khiển từ xa vào máy tính của trường sau khi bị lừa đảo hỗ trợ, dẫn đến nguy cơ rò rỉ thông tin cá nhân của học sinh và giáo viên.

Đối với những sự cố này, đã có hướng dẫn dựa trên Điều 66, Khoản 1 của Luật Bảo vệ Thông tin Cá nhân về việc giải quyết các vấn đề liên quan đến quản lý an toàn, và trong trường hợp của tỉnh Aomori và tỉnh Nagasaki, cũng đã yêu cầu nộp tài liệu liên quan đến việc thực hiện các biện pháp ngăn chặn tái phạm.

Tóm lược: Số vụ rò rỉ thông tin cá nhân tăng cao kỷ lục kể từ khi bắt đầu báo cáo

Kể từ khi luật sửa đổi vào năm Reiwa 4 (năm 2022), việc báo cáo cho Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản đã trở thành bắt buộc, nhưng số lượng báo cáo trong năm tài chính Reiwa 5 lên tới 12.120 vụ, tăng khoảng 58% so với năm trước đó và là con số cao nhất kể từ khi việc báo cáo trở thành nghĩa vụ cố gắng vào năm Heisei 25 (năm 2013).

Trong việc xử lý thông tin cá nhân, nếu những biện pháp được áp dụng sai lầm và dẫn đến sự cố rò rỉ thông tin thực sự, thông tin này sẽ được công bố trên trang web của Ủy ban Bảo vệ Thông tin Cá nhân, điều này có thể dẫn đến việc làm hại đến thương hiệu doanh nghiệp và mất uy tín xã hội. Chúng tôi khuyến nghị rằng bạn nên tham khảo ý kiến của luật sư về việc xử lý và quản lý thông tin cá nhân để có sự chuẩn bị trước cho những tình huống này.

Giới thiệu các biện pháp của Văn phòng Luật sư

Văn phòng Luật sư Monolith là một văn phòng luật sư có kinh nghiệm phong phú trong cả hai lĩnh vực IT, đặc biệt là Internet và luật pháp. Hiện nay, việc rò rỉ thông tin cá nhân đã trở thành một vấn đề lớn. Trong trường hợp thông tin cá nhân bị rò rỉ, có thể gây ra ảnh hưởng nghiêm trọng đến hoạt động kinh doanh của công ty. Văn phòng chúng tôi có kiến thức chuyên môn về việc ngăn chặn và đối phó với việc rò rỉ thông tin. Chi tiết được nêu trong bài viết dưới đây.

Lĩnh vực hoạt động của Văn phòng Luật sư Monolith: Dịch vụ pháp lý liên quan đến Luật Bảo vệ Thông tin Cá nhân Nhật Bản[ja]