从东建公司65万条信息泄露事件中学习危机管理和律师的角色
2005年4月1日(西历2005年),日本《个人信息保护法》全面实施,要求处理个人信息的经营者采取安全管理措施,但个人信息泄露事件仍然屡见不鲜。
当信息泄露事件发生时,处理程序和速度尤为重要。特别是在没有信息安全专业人员的中小企业中,可能会出现无法立即判断应如何应对的情况。
因此,本次我们将以东建公司的信息泄露事件为例,解析信息泄露中的危机管理体系。
信息泄露概述
以下是关于东建公司遭受的非法访问导致的信息泄露的主要内容。
- 发生时间:2020年8月20日至9月12日,共24天
- 发现时间:2020年10月20日
- 原因:集团的主页服务器存储了各种用户信息,遭到第三方的非法访问
- 对象:向集团公司网站提问的人、会员、各种活动的申请者
- 信息:包括“电子邮件地址”、“姓名”、“地址”、“电话号码”、“密码”、“性别”、“出生日期”等
- 数量:可能泄露的信息总计657,096条个人信息
不正访问的发现和初步应对
2020年10月20日,东建公司在对其网站进行定期检查时,发现了对其运营网站“Nasurak Kitchen”的不正访问,并采取了以下初步应对措施。
- 作为紧急安全应对,关闭了“Nasurak Kitchen”,并停止了从该网站提供的服务等。
- 设立了“信息安全对策本部”,并向外部第三方机构咨询。
- 到11月11日为止,对整个集团的网站进行了调查,并进行了临时的漏洞修复,同时确定了最大泄露数量和项目。
初步应对的要点
一旦确认了不正访问可能导致信息泄露的风险,就必须立即采取以下措施,以防止损害扩大、二次损害的发生和再次发生。
- 确认事实(不正访问的原因、路径等)
- 停止被不正访问的设备或网站
- 将被不正访问的设备或网站与网络断开
在此过程中,必须注意的是,不要进行不必要的操作,以免删除系统上留下的证据,应采取证据保全的措施。
信息泄露后的新闻发布
首次公开是在2020年11月17日,通过东建公司的官方网站进行的。
公开的内容除了非法访问的概要和未来的对策等,还以“关于非法访问导致信息泄露事件的问答”形式,详细记录了所需的信息。
东建公司以及我们的集团公司(以下简称我们的集团)已确认,我们的集团网络受到了第三方的非法访问,我们集团运营的HomeMate的咨询,集团公司的会员信息和各种活动的申请者信息等个人信息可能已经外泄。这一事实是在2020年10月20日确认的。
在上述网页链接的“关于非法访问导致信息泄露事件的问答”[ja]中,包含了以下内容。
关于泄露信息的内容
Q 这次泄露的信息是什么?
A 我们认为在我们公司运营的包括集团公司在内的所有网站上,“姓名”,“地址”,“电话号码”,“电子邮件地址”以及“密码”可能已经泄露。
Q 信用卡的信息泄露了吗?
A 在我们公司及集团公司运营的网站上,我们并未保留任何类似个人识别号码的信息,如信用卡卡号或者我的号码等,因此不存在泄露的风险。
在解释泄露信息时,将①可能泄露的信息和②无泄露风险的信息进行明确的区分和说明,可以避免不必要的恐慌和混乱。
关于未来的对策
Q 我们是否可以继续使用包括东建集团公司在内的网站?
A 对于我们公司运营的所有网站,包括集团公司,目前已完成了针对类似非法访问的安全强化措施。
Q 您们未来打算如何管理信息?
A 未来,我们将根据需要接受第三方调查机构的检查,如果发现网站存在任何漏洞,我们将立即进行纠正,并努力实施更严格的信息管理。
在未来的对策中,重要的是要详细解释用户使用的网站的安全措施,是否可以再次使用,以及未来的信息管理体系。
关于损害赔偿等问题的问答
Q 对于信息泄露的受害者,会支付道歉金或者麻烦费吗?
A 根据此次非法访问导致的信息泄露情况,我们没有计划支付道歉金或者麻烦费。然而,如果此次信息泄露导致客户遭受金钱损失等,并能提供具体证据,敬请联系我们的“个人信息咨询窗口”进行咨询。
Q 我发现有我不知道的扣款,可以得到赔偿吗?
A 如果您发现自己的账户中有您不知道的扣款,我们建议您直接联系进行扣款的公司进行咨询。另外,如果此次信息泄露是导致您不知道的扣款的原因,并且这一点已经得到确认,尽管会给您带来麻烦,但我们还是希望您能联系我们的“个人信息咨询窗口”告知我们。
我们明确表示,虽然不会支付道歉金和麻烦费,但如果信息泄露导致金钱损失等,我们会对损害赔偿进行个别咨询。
首次新闻发布的时间引发疑问
作为企业的危机管理,我们必须首先考虑“防止损害扩大”、“防止二次损害的发生”和“防止再次发生”。
因此,一旦发现信息泄露,我们必须立即采取行动,并尽快通知相关人员,这是非常重要的。
东建公司的问答环节详细回答了预期的广泛问题,可以看出他们已经与律师等专业人士进行了充分的讨论和准备。然而,从发现非法访问到大约一个月后的公开,仍然存在疑问。
确实,作为企业,我们希望在进行调查和采取措施后再进行公开。但是,以下四点是否应该更早地作为第一报告公开呢?
- 发现信息泄露和预期的目标人群
- 泄露的个人信息内容
- 信用信息如卡号等没有泄露的可能性
- 未来的组织结构和时间表
- 咨询窗口
通知、报告和公开的要点
当信息泄露时,需要根据原因和信息内容考虑向用户和交易对手等进行通知,向监管机构和警察等进行报告,以及通过主页和媒体等进行公开。
如果存在犯罪性
如果存在关于非法访问的犯罪可能性,必须在进行事实调查和证据保全措施后,立即向警察报告。
在东建公司的情况下,我们在完成对整个集团网站的调查的次日,向国土交通省和爱知县警察总部等相关机构报告了损害情况。
如果存在个人信用信息泄露的可能性
如果存在可能泄露的个人编号、信用卡号、银行账户、ID和密码等,必须立即通知本人并促使他们停止这些行为,以防止二次损害。
如果规模或影响范围大,或者向所有相关人员进行个别通知困难的情况
我们将通过在主页上公开信息或通过新闻发布等方式进行公开。然而,如果公开可能导致损害扩大,应考虑公开的时间和对象等因素进行判断。
此外,公开时应确保透明性,并尽可能公开事实,这将有助于增强公司的信誉,防止损害扩大和类似事故的发生。
第二次新闻发布公告
东建公司在2021年(公历)2月9日新年伊始,通过其官方网站公布了关于个人信息泄露的第二次报告,并对泄露的项目和数量进行了修正。
通过第三方机构进行的取证调查,我们对泄露项目进行了重新调查。结果发现了一些差异,因此我们再次请您在附件1“各站点和服务项目”中进行确认。(中略)此外,泄露的数量从最多657,096件修正为最多655,488件。
除了上述修正外,内容基本上与首次新闻发布的内容相同,只是增加了如何应对垃圾邮件和可疑邮件等内容,这次公告是最后一次。
成为危机应对中心的对策本部
东建公司在发现非法访问后,设立了”信息安全本部”,并与外部第三方机构和警方合作,致力于防止再次发生。
虽然这个组织的构成尚不清楚,但不仅需要进行系统的安全对策,还需要同时进行目标用户的联系、媒体应对、股东应对、法律责任的考虑等,因此,一般需要以下类型的外部第三方机构或专家的参与。
- 大型软件公司
- 大型安全专业供应商
- 对网络安全有深入了解的外部律师
总结
像这次一样,当发现超过65万条大规模个人信息泄露时,「初期应对」和以「通知・报告・公开」和「安全措施」为中心的对策部门的作用变得至关重要。
特别需要迅速的不仅是初期应对,还包括向警察和相关部门等进行的通知・报告以及向相关人员的公开(新闻发布)。
然而,如果处理方法错误,可能会被追究损害赔偿责任等,因此,我们建议您在进行时不要自行判断,而是提前向具有丰富网络安全知识和经验的律师进行咨询。
对于Capcom(卡普空)的恶意软件导致的信息泄露的危机管理感兴趣的人,我们在文章中详细描述了这个问题,欢迎您一并查看。
https://monolith-law.jp/corporate/capcom-information-leakage-crisis-management[ja]
我們事務所的對策介紹
Monolith法律事務所是一家在IT,特別是互聯網和法律兩方面具有高度專業性的法律事務所。我們事務所為從東京證券交易所一部上市公司到創業公司,處理各種案件的合同創建和審查。如果您有任何困難,請參考以下文章。
