從65萬件資訊洩露的日本東建公司案例學習危機管理與律師的角色
2005年4月1日(西元2005年),日本的《個人資訊保護法》全面實施,要求處理個人資訊的營運者必須採取安全管理措施。然而,個人資訊的洩露事件仍然層出不窮。
當資訊洩露事件發生時,最重要的是應對程序和速度。特別是在中小企業中,如果沒有專門的資訊安全人員,可能會無法立即決定如何應對。
因此,本次本所將以東建公司的資訊洩露事件為例,解釋如何建立資訊洩露的危機管理體系。
資訊洩露概述
以下是關於東建公司(Touken Corporation)遭受不正當存取導致資訊洩露的主要內容。
- 發生時間:從2020年8月20日至9月12日的24天
- 發現時間:2020年10月20日
- 原因:由於集團的首頁伺服器儲存各種用戶資訊,遭到第三方不正當存取
- 對象:向集團公司網站提問的人、會員、各種活動的申請者
- 資訊:包括「電子郵件地址」、「姓名」、「地址」、「電話號碼」、「密碼」、「性別」、「出生年月日」等
- 件數:可能發生資訊洩露的個人資訊共有657,096件
不正存取的發現與初步應對
2020年10月20日,東建公司在進行網站定期檢查時,發現了對其自家營運網站「Nasrack Kitchen」的不正存取,並採取了以下的初步應對措施。
- 作為緊急安全應對,關閉了「Nasrack Kitchen」,並停止了從該網站提供的服務等。
- 設立了「資訊安全對策本部」,並向外部的第三方機構進行諮詢。
- 花費到11月11日的時間,對整個集團的網站進行調查,並進行暫時的弱點修正對策,同時確定了最大洩漏數量和項目。
初步應對的重點
一旦確認了由於不正存取而導致的資訊洩漏的風險,必須立即實施以下的對策,以防止損害的擴大、二次損害的發生和再次發生。
- 確認事實關係(不正存取的原因、途徑等)
- 停止被不正存取的設備或網站
- 將被不正存取的設備或網站與網路斷開
在此過程中必須注意的是,不要進行不必要的操作,並採取證據保全的措施,以免刪除在系統上留下的證據。
資訊洩露後的新聞發布
首次公開是在2020年11月17日(令和2年)在東建公司的官方網站上進行的。
公開的內容除了非法訪問的概述和未來的對策等,還包括以「關於非法訪問導致資訊洩露事件的問答」的形式,詳細記載了所需的資訊。
東建公司以及本所的集團公司(以下簡稱本所的集團)已確認,本所的集團網路遭到第三方非法訪問,本所集團經營的HomeMate的查詢、集團公司的會員資訊和各種活動的申請者資訊等個人資訊可能已外洩。本所在2020年10月20日確認了這一情況。
在上述網頁鏈接的「關於非法訪問導致資訊洩露事件的問答」[ja]中,包含了以下內容。
關於洩露資訊的內容
Q 這次洩露的資訊是什麼?
A 本所認為在本所經營的包括集團公司在內的所有網站上,「姓名」、「地址」、「電話號碼」、「電子郵件地址」和「密碼」可能已經洩露。
Q 信用卡的資訊有洩露嗎?
A 在本所經營的包括集團公司在內的所有網站上,本所並未保留任何像信用卡號碼或個人識別號碼等資訊,所以不存在洩露的風險。
在解釋洩露資訊時,將①可能洩露的資訊和②無洩露風險的資訊分開並具體明確地說明,可以避免不必要的恐慌和混亂。
關於未來的對策
Q 包括東建的集團公司在內的網站,未來還可以繼續使用嗎?
A 對於本所經營的包括集團公司在內的所有網站,目前已完成對同類非法訪問的安全強化。
Q 未來將如何管理資訊?
A 未來,本所將根據需要接受第三方調查機構的檢查,並在發現網站存在漏洞等問題時立即進行修正,並努力實施更嚴格的資訊管理。
在未來的對策中,對於用戶使用的網站的安全對策、再次使用的可能性,以及未來的資訊管理體制,需要進行詳細的解釋。
關於損害賠償等的問答
Q 對於受到資訊洩露影響的人,會支付道歉金或麻煩費嗎?
A 根據這次非法訪問導致的資訊洩露,本所並無計劃支付道歉金或麻煩費。然而,如果由於這次的資訊洩露,客戶出現金錢損失等情況,並提供具體證據,請聯繫本所的「個人資訊諮詢窗口」。
Q 我發現有我不知道的扣款。可以得到賠償嗎?
A 如果您的賬戶出現您不知道的扣款,請您自行直接聯繫進行扣款的公司。此外,如果確定這次的資訊洩露導致了您不知道的扣款,雖然會給您帶來麻煩,但請您聯繫本所的「個人資訊諮詢窗口」。
對於道歉金和麻煩費,本所不會支付,但對於由於資訊洩露導致的金錢損失的賠償,本所將進行個別諮詢,明確了公司的政策。
首次新聞發布的時間引起疑問
作為企業的危機管理,必須首先考慮「損害的擴大」、「二次損害的發生」和「防止再次發生」。
因此,當資訊洩露被發現時,必須在進行初步應對後,盡快通知相關人員。
東建公司的問答雖然對可能的問題進行了廣泛且詳細的回答,並且可以看出他們事先與律師等專家進行了充分的討論和準備,但是從非法訪問被發現到大約一個月後的公開,仍然引起了疑問。
確實,作為企業,本所希望在進行調查和對策後再進行公開,但以下四點是否應該在第一報告中更早地公開呢?
- 資訊洩露的發現和預計的對象
- 洩露的個人資訊的內容
- 信用卡號碼等信用資訊沒有洩露的可能性
- 未來的體制和時間表
- 查詢窗口
通知、報告、公開的要點
當資訊洩露時,需要根據其原因和資訊內容來考慮是否需要通知用戶或交易對象,向監督機關或警察報告,或是透過首頁或媒體公開。
存在犯罪可能性時
如果不正當存取有犯罪的可能性,則必須在調查事實關係並採取證據保全措施後,立即向警察報告。
以東建公司(Japanese Tōken Corporation)為例,他們在完成對整個集團網站的調查的次日,向國土交通省(Japanese Ministry of Land, Infrastructure, Transport and Tourism)和愛知縣警察總部等相關機關報告了損失。
可能洩露個人信用資訊時
如果有可能洩露個人號碼(Japanese My Number)、信用卡號碼、銀行帳戶、ID和密碼等,則必須立即通知本人並促使他們停止使用,以防止二次傷害。
當規模或影響範圍大,或者向所有相關人員個別通知困難時
將透過首頁公開資訊或記者發表等方式進行公開。然而,如果公開可能導致損害擴大,則需要考慮公開的時間和對象等因素來做出判斷。
此外,公開時確保透明性並盡可能揭示事實,不僅可以增加企業的信譽,也可以防止損害擴大和類似事故的發生。
第二次新聞稿公告
東建公司(Touken Corporation)在2021年(西曆2021年)2月9日新年伊始,於其官方網站上公布了有關個人資訊洩露的第二報告,並對洩露的項目和數量進行了修正。
通過第三方機構進行的取證調查,本所對洩露項目進行了重新調查。結果發現了一些差異,因此本所再次請您在附件1「各站點和服務的項目」中進行確認。(中略)此外,洩露的案件數量已從最多657,096件降至最多655,488件。
除了上述修正外,內容基本上與首次新聞稿相同,只是增加了對垃圾郵件和可疑郵件的處理方法等內容,這次公告是最後一次。
成為危機應對中心的對策本部
東建公司在發現非法訪問後,設立了「資訊安全本部」,並與外部的第三方機構和警方合作,致力於防止再次發生。
雖然這個組織的結構不明,但不僅需要對系統的安全措施,還需要與目標用戶聯繫、媒體對應、股東對應、法律責任的考慮等同時進行,因此,一般來說,需要以下類型的外部第三方機構或專家的參與。
- 大型軟體公司
- 大型安全專業供應商
- 對網路安全有深入瞭解的外部律師
總結
如今次所見,當超過65萬筆的大規模個人資訊洩露事件發生時,「初期應對」和以對策本部為中心的「通知・報告・公開」以及「安全措施」變得至關重要。
特別需要迅速行動的不僅是初期應對,還包括向警察和相關政府機關等進行的通知・報告,以及向相關人士公開的公告(新聞發布)。
然而,如果處理方法出錯,可能會面臨損害賠償責任等問題,因此本所建議您不要自行判斷,而是在進行時事先諮詢具有豐富網路安全知識和經驗的律師。
對於卡普空因惡意軟體導致的資訊洩露事件的危機管理有興趣的人,本所在文章中有詳細的描述,請一併參閱。
https://monolith-law.jp/corporate/capcom-information-leakage-crisis-management[ja]
本所事務所的對策介紹
Monolith法律事務所是一家在IT,特別是互聯網和法律兩方面具有高度專業性的法律事務所。本所事務所為從東證一部上市公司到創業公司,處理各種案件的契約創建和審查。如果您有任何困擾,請參考以下文章。