不斷發生的個人資訊洩露,令和5年度(2023年)較前年增加1.5倍。解說最新動態
近年來,隨著越來越巧妙的網絡攻擊和人為錯誤等因素導致的個人資料洩露事件不斷增加,這已成為企業面臨的一個嚴峻挑戰。個人資料洩露可能會給企業帶來聲譽損害、訴訟風險以及業務中斷等重大損失。
本文將解析日本個人資料保護委員會公布的令和5年(2023年)度年度報告中所揭示的個人資料洩露案件趨勢。希望通過本文,讀者能夠加強自身公司的資訊安全措施,從而預防資料洩露風險。
關於個人資訊保護委員會的年度報告
於令和4年(2022年)4月實施的修正《日本個人資訊保護法》,規定當個人資訊處理事業者發生個人資訊洩露等事件,且符合特定條件時,必須向個人資訊保護委員會(PPC)的網站進行報告。
個人資訊保護委員會於令和6年(2024年)6月公布了令和5年度的年度報告[ja]。
相關文章:令和6年(2024年)修正個人資訊保護法的要點是什麼?應了解的變更點和對策[ja]
監督個人資料處理業者等
於令和5年(2023年)度的個人資料洩露等事件中,共處理了1萬2120件的報告,相較於前一財政年度的7685件,增加幅度顯著。下面讓本所具體來看看這些內容。
洩漏等事件處理狀況
在報告的事件中,每件涉及洩漏等的人數在1000人以下的有11635件(96.0%),超過5萬人的事件則有61件(0.5%)。
直接報告給委員會的事件中,洩漏等的信息類型以客戶信息為最多(83.5%),從形態上看,紙質媒介洩漏等的事件(82.0%)比電子媒介洩漏等的事件(12.2%)要多。
根據《個人信息保護法》及《個人信息保護法施行規則》(施行規則)所定的報告義務類型分類,最多的是包含需特別注意的個人信息(如病歷、種族等)的個人數據洩漏等事件(89.7%),其次是可能涉及不正當目的的不正當存取等個人數據洩漏等事件(8.1%)。
出現這種趨勢的原因,考慮到洩漏等事件的多數發生原因是所謂的人為錯誤,如誤發、誤送、誤棄置及遺失等(合計86.3%),即使只涉及一人,也需報告的需特別注意的個人信息,很可能是因為涉及此類信息的紙質媒介(例如醫療機構的診療費用明細等)的誤發等事件較多。
接到這些報告後,個人信息保護委員會檢查了報告內容,包括是否適當通知了本人(根據《個人信息保護法》第26條第2項),是否適當確定和分析了發生原因,以及記載的預防再發生的措施是否適當應對了發生原因等,《個人信息保護法施行規則》所定的報告對象事項。必要時,委員會會提供有關發生原因分析和預防再發生策略檢討的方法等信息。
報告徵收、指導及諮詢的狀況
針對個人資訊處理事業者等,進行了73件的報告徵收、333件的指導及諮詢。
以下列舉了一些重大事項:
- 一般送配電事業者所持有的新電力顧客資訊,被其集團公司或同一公司的零售部門,即相關零售電力事業者閱覽和使用的案例
- 資源能源廳管理運營的「再生能源業務管理系統」中,一般送配電事業者被分配的帳號ID及密碼被相關零售電力事業者使用,以閱覽和利用系統內的個人資訊的案例
- 豐田汽車株式會社將車輛使用者服務相關的個人資料處理委託給其子公司豐田連接株式會社,而後者管理的伺服器內的個人資料被外部閱覽的洩露等案例
- 為了醫療領域研究開發的「匿名加工醫療資訊相關法律」(2017年法律第28號)中,獨立行政法人國立醫院機構作為醫療資訊處理事業者,洩露了患者的醫療資訊的案例
- 3家選擇退出通知事業者違反了個人資訊保護法規定的案例
- 株式會社NTT DOCOMO將電話銷售用的顧客資訊管理等業務委託給株式會社NTT NEXIA,而NEXIA公司的派遣員工未經許可使用業務用PC訪問個人合約的雲服務,並將約596萬人份的個人資料上傳至雲服務,導致資料外泄和洩露風險的案例
- 運營中學入學學習塾的株式會社四谷大塚的講師在任職期間,檢索並閱覽塾內小學生學生的照片和影片以及塾管理的在校學生個人資料,並將6人份的個人資料記錄在私人智能手機上,並發布在自己的社交網絡服務帳戶上,導致資料洩露的案例
- 株式會社MK SYSTEM的伺服器遭受非法訪問,由於勒索軟件的影響,系統上管理的個人資料被加密,產生了洩露等風險的案例
- 在「Yahoo!拍賣」的特定商品頁面等,若輸入特定命令等操作,會導致拍賣出品者的GUID(公司內部識別碼)顯示出來,從而使GUID能被第三方閱覽,產生個人資料洩露風險的案例
針對這些案例,根據個人資訊保護法第23條的規定進行了指導,對部分案例還要求提交了預防再發措施的實施狀況報告等。
勸告的狀況
對於個人資訊處理事業者等,進行了3件勸告。以下是概要。
民間事業者、獨立行政法人及地方公共團體委託下,由株式會社NTT行銷活動ProCX負責的呼叫中心業務,其在業務中使用的系統保養運營,委託給NTT商業解決方案株式會社的員工負責系統保養運營工作。該員工非法攜帶約928萬人份的委託方顧客或居民等的個人資料,導致資料洩露。針對此案件,對兩家公司分別進行了勸告,要求其採取必要措施,以糾正違反《個人資訊保護法》第23條的行為。
在LINE Yahoo株式會社,由於委託給韓國企業的安全維護公司員工使用的電腦感染了惡意軟體,成為資訊系統遭受非法存取的導火線,導致與LINE相關的用戶、交易對象、員工等的個人資料洩露等情況。針對此案件,進行了勸告,要求採取必要措施以糾正違反《個人資訊保護法》第23條的行為,並要求報告包括再發防止措施實施狀況在內的勸告改善狀況。
對行政機關等的監督
根據個人資料保護法,對行政機關等也進行了監督。
處理保有個人資料洩露等事件報告的狀況
作為對行政機關等的監督,對保有個人資料洩露等事件進行了1159件報告的處理。其中,國家行政機關等的報告為162件,地方公共團體等的報告為997件。
報告事件中,大多數與前年度相同,涉及需要特別注意的個人資料洩露等(國家行政機關等:61.1%,地方公共團體等:80.3%),其次是涉及超過100人的保有個人資料洩露等事件(國家行政機關等:31.5%,地方公共團體等:18.8%)。
事件發生的主要原因是所謂的人為錯誤,如誤交付、誤發送、誤棄置、遺失等(國家行政機關等:合計6.8%,地方公共團體等:合計78.8%),其次是系統設定錯誤等其他原因(國家行政機關等:22.8%,地方公共團體等:17.7%)。
每件事件中洩露的人數最多的是1000人以下(國家行政機關等:93.2%,地方公共團體等:96.7%),洩露的資訊中,國民等的資訊最多(國家行政機關等:78.4%,地方公共團體等:91.1%),洩露的資訊形態中,紙本媒體的洩露最多(國家行政機關等:58.0%,地方公共團體等:76.8%)。
資料提出要求、現場調查、指導及建議的狀況
為了確認遵守個人資料保護法及個人資料保護相關法律的指南(行政機關等編)等情況,對行政機關等進行了65件計畫性的現場調查等,並對個人資料的適當處理提出改善要求,要求提出報告的指導事項等。
除了現場調查等,還對個人資料洩露等事件報告的接收等進行了73件的指導及建議,要求完善安全管理措施的缺陷以防止再次發生。以下為重大事件:
- 資源能源廳管理運營的「再生能源業務管理系統」中,一般送配電事業者被分配的帳號ID及密碼,被相關零售電力事業者利用來查看及使用系統內的保有個人資料。
- 青森縣野邊地町發生了一件大部分居民的姓名、出生日期、健康檢查結果及新冠疫苗接種記錄等個人資料記錄在USB上遺失,可能導致資料洩露的事件。
- 長野縣教育委員會所屬的兩所高等學校的兩名教師遭遇支援詐騙,按照詐騙者的指導,在學校用電腦上未經授權安裝了遠程操作軟件,導致可能洩露學生及教職員的個人資料。
針對這些事件,根據個人資料保護法第66條第1項,對安全管理問題的不足進行了指導,對於青森縣和長崎縣的事件,還要求提出再發防止措施的實施狀況等資料。
總結:自報告開始以來個人資訊洩露案件達到最多
自令和4年(2022年)的修正之後,向個人資訊保護委員會報告已成為義務,但令和5年(2023年)度的報告件數達到12,120件,較前一年度增加了約58%,這是自報告成為努力義務的平成25年(2013年)度以來的最高紀錄。
在處理個人資訊時,如果措施不當而實際發生洩露,就會像這樣在個人資訊保護委員會的網站上公開,這可能導致企業品牌受損和社會信譽下降。因此,本所建議在處理和運用個人資訊時,應事先諮詢律師,以便做好相應的準備。
本所提供的對策介紹
Monolith法律事務所是一家在IT領域,特別是互聯網和法律方面擁有豐富經驗的律師事務所。近來,個人資料洩露已成為一個重大問題。萬一發生個人資料洩露,可能會對企業活動造成致命的影響。本所事務所擁有專業的知識,能夠提供資訊洩露預防和應對措施。詳細內容請參閱下列文章。
Monolith法律事務所的業務範圍:個人資料保護法相關法務[ja]