不断泄露的个人信息,令和5年(2023年)度比前一年增加1.5倍。解读最新动向
近年,随着越来越多的精巧的网络攻击和人为错误导致个人信息泄露事件的增加,这已成为企业面临的一个严峻挑战。个人信息泄露可能会给企业带来声誉损害、诉讼风险以及业务中断等严重损失。
本文将解读由个人信息保护委员会发布的令和5年(2023年)度年度报告中可见的个人信息泄露案件的趋势。请参考本文加强贵公司的信息安全措施,从而预防潜在的泄露风险。
个人信息保护委员会的年度报告是什么
在令和4年(2022年)4月实施的修订版《日本个人信息保护法》中,规定了当个人信息处理业者发生个人信息泄露等事件,并且满足一定条件时,必须通过个人信息保护委员会(PPC)的网站进行报告。
个人信息保护委员会在令和6年(2024年)6月发布了令和5年度(2023年)的年度报告[ja]。
相关文章:令和6年(2024年)修订个人信息保护法的要点是什么?应知的变更点和应对策略[ja]
监督个人信息处理业者等
在令和5年(2023年)度的泄露等事件中,共处理了12,120起报告案件,与上一财年的7,685起相比,数量大幅增加。下面我们来具体看看这些内容。
泄露等事件的处理情况
在报告的事件中,每件涉及泄露等的人数在1000人以下的有11635件(占96.0%),超过50000人的事件有61件(占0.5%)。
直接报告给委员会的事件中,泄露等的信息类型以客户信息最多(占83.5%),从形态上看,仅涉及纸质媒介泄露等的(占82.0%)比仅涉及电子媒介泄露等的(占12.2%)要多。
根据《日本个人信息保护法》及其实施规则所规定的报告义务类型分类,最多的是涉及病历、种族等敏感个人信息的个人数据泄露等(占89.7%),其次是可能出于非法目的进行的个人数据泄露等,如非法访问等(占8.1%)。
出现这种趋势的原因,考虑到泄露等事件的多数发生原因是所谓的人为错误,如错误交付、错误发送、错误废弃及丢失等(总计占86.3%),即使泄露对象仅为一人,也存在报告义务的敏感个人信息,这些信息通常记录在纸质媒介上(例如医疗机构的诊疗费用明细表等),由于错误交付等原因导致的泄露事件较多。
接到这些报告后,日本个人信息保护委员会对本人的应对措施实施情况进行了确认,包括是否已根据《个人信息保护法》第26条第2款向本人适当通知、是否已适当确定和分析发生原因、所记录的预防再发措施是否针对发生原因采取了适当对应等,确认了实施规则所规定的报告对象事项的内容,并根据需要提供了关于发生原因分析和预防再发策略审查方法等的信息。
报告征集、指导及建议的情况
针对个人信息处理业者等,进行了73件的报告征集,以及333件的指导及建议。
以下为被列举的重大事项:
- 一般送配电业者持有的新电力客户信息,被其集团公司或同一公司的零售部门即相关零售电力业者浏览和使用的情况
- 资源能源厅管理运营的“可再生能源业务管理系统”,一般送配电业者被分配的账户ID及密码被相关零售电力业者使用,浏览和利用系统内的个人信息的情况
- 丰田汽车株式会社将车辆使用者服务相关的个人数据处理委托给其子公司丰田连接株式会社,而后者管理的服务器内的个人数据被外部访问的泄露等情况
- 为医疗领域的研究开发提供支持的《匿名加工医疗信息相关法律》(2017年法律第28号)下的医疗信息处理业者,即国立医院机构泄露患者医疗信息的情况
- 3家进行了选择退出通知的业者违反了个人信息保护法规定的情况
- 日本电信电话株式会社将电话营销用的客户信息管理等业务委托给NTT NEXIA株式会社,而NEXIA公司的派遣员工未经许可使用工作用PC访问个人云服务,并将约596万人的个人数据上传至云服务,导致数据外泄和泄露风险的情况
- 运营中学入学考试学习辅导的四谷大塚株式会社的讲师在任职期间,搜索并浏览了辅导班管理的在校学生的个人数据,并将小学生学生的照片和视频输入到个人智能手机中记录,并将6人的个人数据发布在自己的社交网络账户上,导致信息泄露的情况
- MK System株式会社的服务器遭受非法访问,由于勒索软件的作用,该系统上管理的个人数据被加密,产生了泄露等风险的情况
- 在“雅虎拍卖!”的特定商品页面等,通过输入特定命令等操作,会显示出拍卖出品者的GUID(公司内部识别码),由此GUID可能被第三方浏览,存在个人数据泄露风险的情况
针对这些事项,根据个人信息保护法第23条进行了指导,部分还要求提交再发预防措施的实施情况报告等。
勧告の状況
对个人信息处理业务者等,进行了3项勧告。以下是概要。
由民间企业、独立行政法人及地方公共团体委托,株式会社NTT营销行动ProCX负责的呼叫中心业务中,被委托进行系统维护运营的NTT商务解决方案株式会社的员工,在从事系统维护运营工作时,非法携带了约928万名委托方客户或居民等的个人数据,导致信息泄露。针对这一事件,对两家公司分别进行了勧告,要求他们采取必要措施,以纠正违反个人信息保护法第23条的行为。
在LINE雅虎株式会社,由于业务委托给韩国企业的安全维护公司员工使用的PC感染了恶意软件,导致信息系统遭到非法访问,泄露了与LINE用户、交易伙伴、员工等相关的个人数据。针对这一事件,进行了勧告,要求采取必要措施以纠正违反个人信息保护法第23条的行为,并要求报告勧告的改善情况,包括防止再次发生的措施的实施情况。
对行政机关等的监督
根据个人信息保护法,对行政机关等也进行了监督。
处理保有个人信息泄露等事件报告的情况
作为对行政机关等的监督,共处理了1159件保有个人信息泄露等事件的报告。其中,国家行政机关等的报告有162件,地方公共团体等的报告为997件。
报告事件中,大多数与前一财政年度相同,涉及需要特别注意的个人信息泄露等(国家行政机关等:61.1%,地方公共团体等:80.3%),其次是涉及超过100人的个人信息泄露等(国家行政机关等:31.5%,地方公共团体等:18.8%)。
事件发生的主要原因是所谓的人为错误,如错误交付、错误发送、错误废弃、丢失等(国家行政机关等:总计6.8%,地方公共团体等:总计78.8%),其次是系统设置错误等其他原因(国家行政机关等:22.8%,地方公共团体等:17.7%)。
每个事件中泄露的人数最多的是1000人以下(国家行政机关等:93.2%,地方公共团体等:96.7%),泄露的信息中,国民等的信息最多(国家行政机关等:78.4%,地方公共团体等:91.1%),泄露的信息形态中,仅纸质媒介泄露的最多(国家行政机关等:58.0%,地方公共团体等:76.8%)。
资料提交的要求、实地调查、指导及建议的情况
为了确认遵守个人信息保护法及个人信息保护相关法律指南(行政机关等编)的情况,对行政机关等进行了65件计划性实地调查等,要求改善个人信息的适当处理,并要求提交指导事项的报告等。
除了实地调查等,还进行了73件指导及建议,如在接收个人信息泄露等事件报告时,要求彻底防止再发生与安全管理措施有缺陷相关的事件。以下是一些严重的事件:
- 资源能源厅管理运营的“可再生能源业务管理系统”,一般送配电事业者被分配的账户ID及密码被相关零售电力事业者使用,浏览并利用了系统内的保有个人信息的事件
- 青森县野边地町,记录了大部分市民的姓名、出生日期、健康检查结果及新冠疫苗接种历史等个人信息的USB丢失,存在泄露风险的事件
- 长野县教育委员会所管辖的两所高等学校的两名教师遭遇支持诈骗,按照诈骗者的指导,在学校用电脑上未经授权安装了远程操作软件,导致可能泄露学生及教职员工的个人信息的事件
对这些事件,根据个人信息保护法第66条第1款,进行了安全管理问题的不充分应对的指导,对青森县和长崎县的事件,还要求提交了再发预防措施的实施情况等资料。
总结:个人信息泄露案件报告数量创历史新高
自令和4年(2022年)的个人信息保护法修正以来,向个人信息保护委员会报告已成为义务。令和5年(2023年)的报告件数达到了12120件,比上一财年增加了约58%,是自平成25年(2013年)报告成为努力义务以来的最高记录。
在处理个人信息时,如果措施不当导致实际泄露,就会像这样在个人信息保护委员会的网站上公布,这可能会损害企业品牌和社会信誉。因此,我们建议在处理和操作个人信息方面,预先咨询律师并采取相应措施。
我们事务所的对策介绍
Monolith法律事务所是一家在IT领域,尤其是互联网和法律方面拥有丰富经验的法律事务所。近来,个人信息泄露已成为一个严重问题。一旦发生个人信息泄露,可能会对企业活动造成致命影响。我们事务所拥有专业的知识,能够提供信息泄露预防和应对措施。详细内容已在下文中说明。
Monolith法律事务所的业务范围:个人信息保护法相关法务[ja]
