大型信用調查公司「東京商工調查」的調查結果顯示,日本上市公司及其子公司在2022年公開的個人資訊泄漏及丟飛機失事故,不論是公司數量還是事故數量,連續2年都刷新了最多記錄。由於非法訪問和傳染電腦病毒等來自網路的攻擊所引發的事故增加,導致案件總數增加。
東京車站後方日本大企業的辦公樓雲集(攝影:JST客觀日本編輯部)
泄漏的資訊數量與日本人口相當
東京工商調查公司於2012年開始調查日本上市公司及其子公司自行公開的個人資訊泄漏及丟飛機失事故數量。該統計根據企業公開的新聞稿、通知、道歉信等資訊進行彙總。2023年1月19日公開的2022年調查結果顯示,日本全國公佈個人資訊泄漏及丟飛機失事故的上市公司及其子公司爲150家(比上年增加25.0%),事故數量爲165件(同比增加20.4%)。公司數量和事故數量都連續2年刷新了最多記錄。
泄漏的個人資訊比上一年增加了3.0%,爲592萬7057人份。根據東京商工調查的資料,在2012年到2022年的11年裏,可能泄漏及丟失的個人資訊累計爲1億2572萬人份,其規模與日本人口相當。
(圖表由東京商工調查公司提供)
從泄漏及丟飛機失事故的内容來看,非法訪問和傳染電腦病毒等來自網路攻擊引起的事故在增加,涉及87家企業,達到91件,涉及的公司以及件數是自2019年以來連續第四年刷新最多記錄。在「電腦病毒傳染、非法訪問」引發的事故中,迄今爲止泄漏及丟失件數最多的是2013年5月發生的雅虎日本(現:Z控股)的客戶資訊泄露事件。當時公佈的資訊顯示,由於非法訪問,可能有多達 2200 萬個 ID 被泄露到外部。2022年「電腦病毒傳染、非法訪問」導致受害數量最多的案件發生在森永制果,有164萬8922人份的資訊被泄露,也是日本史上第7大資訊泄露事故。
大多數案件都是因非法訪問侵入公司内部系統導致的資訊泄露,惡意程式「Emotet」的傳播使公司電腦被傳染而導致資訊被盜的案件數量也有所增加。從2022年2月開始,傳染Emotet的電腦急速增加,公司内電腦傳染該電腦病毒導致電子郵件位址等資訊被盜,以及僞造可疑電郵的案件共計36起。
(圖表由東京商工調查公司提供)
公司内部系統及伺服器爲攻擊的目標
涉及資訊泄漏及丟飛機失事故的硬體方面,「公司内部系統及伺服器」最多,在2022年的165件事故中爲76件,佔比46.0%。平均每次事故泄露及丟失的資訊數量爲11萬2363人份,在所有硬體中也爲最高。由此可見,因内部系統及伺服器被非法訪問導致顧客資訊流出的情況很多。其次是「個人電腦」,共有60件事故,但由此導致個人資訊泄漏及丟失的只有22件(平均每件1976人份)。東京商工調查公司認爲數量少其實是因爲即使個人電腦被電腦病毒傳染,實際許多情況無法確定受害範圍所致。
從發生資訊泄漏及丟飛機失事故的企業所屬行業來看,最多的是製造業,有43家(28.6%),其後依次是服務業23家(15.3%),資訊及通訊業22家(14.6%),金融保險和零售業都是14家(9.3%),運輸業13家(8.6%),批發業11家(7.3%),可見事故的發生涵蓋了廣泛的行業。
2022年資訊泄漏及丟失數量最多的事故,發生在旗下擁有大丸松坂屋百貨店、PARCO等的控股公司J. FRONT RETAILING,旗下相關信用卡公司「JFL Card」取得的191萬3854名會員的個人資訊中不屬於集團内共用物件的資料被誤發送到了集團内的顧客資料庫。「JFL Card」於2022年11月28日發佈了道歉通知,涉及被誤發送的資訊與使用額度、結算帳戶、給付狀況有關,相關資訊已經全部被刪除,客戶不用擔心發生二次受害和不正當利用。
資訊泄漏及丟失數量第二多的事故發生在森永制果,由於該公司管理運用的多個伺服器遭到非法訪問,其網路銷售業務的164萬8922人的顧客資訊有可能泄露。森永制果於2022年3月22日就此事發布了道歉新聞稿。在被非法侵入的多個伺服器中包含對商品發送相關資訊進行補充的伺服器,其中包含顧客的個人資訊的内部資料有一部分資料被鎖定。森永制果表示,很難完全排除這些個人資訊被泄露到外部的可能性。
此外,東京商工調查公司在調查報告中提到,在資訊泄漏及丟失數量最多的10件事故中,有6件是非法訪問導致的。其中一個案例是營運信用卡結算系統的Metaps Payment公司(母公司:Metaps),由於其系統遭受非法訪問,大量信用卡資訊被泄露,該公司董事長也因此引咎辭職。
信用卡資訊也是攻擊的目標
在165起事故中,有13起公開表示信用卡資訊可能遭到泄露。在提供EC(電子化企業)網站等的輸入支援工具的SHOWCASE公司發生的非法訪問事故中,使用其服務的多家企業都被波及,僅上市公司中就有五家企業的購物網站因此發生了信用卡資訊泄漏。東京商工調查公司在介紹上述調查結果時還指出,也有因信用卡被盜用後才發現資訊泄漏的情況,提醒大家注意個人資訊泄漏會成爲組織犯罪的開端。
負責確保個人資訊被正確使用的政府機構——個人資訊保存委員會(隸屬於日本内閣府)也經常發佈針對特定公司的有關個人資訊保存的指導檔案。2022年7月13日就發佈了對於Metaps Payment公司(母公司:Metaps)的指導檔案,其中嚴厲地指出,「關於個人資料處理狀況的監查及檢查措施有部分未實施,也沒有進行與其重要性相稱的處理」,並提出了「對所有的個人資料進行定期盤點,對個人資料的處理狀況進行監查及檢查」等具體的指導專案,責成該公司執行。
日文:小岩井忠道(科學記者)
翻譯:JST客觀日本編輯部
【相關網站】
東京商工リサーチ 個人情報漏えい・紛飛機失事故 2年連続最多を更新 件數は165件、流出・紛失情報は592萬人分 ~ 2022年「上場企業の個人情報漏えい・紛飛機失事故」調査 ~
JFRCard お客様の個人情報の取扱いに関するお詫びとお知らせについて
森永制果 不正アクセス発生による個人情報流出の可能性のお知らせとお詫び
SHOWCASE 不正アクセスに関するお知らせとお詫び
個人資訊保存委員會 株式會社メタップスペイメントに対する個人情報の保護に関する法律に基づく行政上の対応について
【相關報導】
2021年08月19日 日本國内CEO年齡越大業績惡化越明顯,因缺少長期願景
2021年07月29日 日本企業平均年薪首次減量,上市企業較上年平均減量1.7%
2020年09月29日 日本學術會議:緊急推進醫療和社會的數化轉型,同時保存個人隱私
2020年07月15日 【新型肺炎】疫情到致破產、下調業績和徵集退休人員的企業增加
2020年06月08日 【新型肺炎】東京商工調查:截至6月1日疫情已致日本197家企業破產
