在日本,個人資料保護法的規範對象以保有5,000件以上個人資料的商業經營者為主,而在發生個人資料保護事件時,其所造成直接損害分成民事與刑事兩部分。
首先來看由過去判例確立之民事賠償部分,對於受害者可能發生民事訴訟賠償責任,即法理上受害者可以對加害者針對隱私權侵害部分進行損害賠償要求。另外一個是刑事罰則的部分,在沒有達到法律規定之義務並且不聽從主管機關部會長官命令時,受到六個月以下拘役或者是被課以30萬日幣以下的罰金。若是事件發生在Internet上,執法機關則很有可能依據「未經授權計算機存取行為法 (Unauthorized Computer Access Law)」,針對加害者進行刑事責任的提訴。
自從日本全面施行個人資料保護法以後,陸續發生幾件比較大型的個資外洩事件,最為人所知的就是2004年Yahoo! BB洩露用戶個資,外洩內容包括用戶的姓名、電話、地址、E-mail、註冊ID及註冊日期共6個項目,將近450萬用戶受到影響。
事情一開始是有人取得Yahoo! BB資料庫管理者的帳號密碼,並下載用戶資料再轉售與犯罪集團,犯罪集團再以此Yahoo! BB勒索,Yahoo! BB在事件曝光後,主動向用戶道歉並發給每個人500日元,但是仍有一部分用戶聯合起來提民事訴訟,最後法院裁決Yahoo! BB應賠償原告每人6千日元,總計Yahoo! BB為此事件付出了近23億日元。這個事件非常具有代表性,它顯示出個資外洩可能對企業造成的金錢損失與衝擊。
造成個資外洩的7個主要原因
根據2013年1-2月曾被日本媒體報導出來的個資外洩事件,可統計出造成個資外洩的主要原因以及發生頻率:
1. 電子郵件/傳真的傳送失誤 (27%)
2. 電腦、USB硬碟遭竊或搶奪 (24%)
3. 文書郵寄失誤/遺失/廢棄失敗 (24%)
4. 網站設定失誤/檔案不經意公開/未授權的存取行為 (10%)
5. 文書記載失誤 (3%)
6. 電腦感染病毒/下載P2P軟體洩露 (3%)
7. 駭客目標攻擊以獲取機密資訊 (6%)
在上述7個原因中,有一半與Internet有關(即第1、4、6、7點),而且一旦造成個資外洩事件,外洩規模往往都相當大、受害者廣泛,因此以下將針對這幾點逐一舉出過往案例並說明如何防禦。
第一、電子郵件/傳真的傳送失誤
在2013年1至2月間就有以下幾個例子,其中又以電子郵件的寄件失誤最多:
1. 大阪府地方政府寄錯電子郵件,導致獎學金領獎者名單外洩;
2. 支援體育科系學生就業的Athlete Planning寄錯電子郵件,導致330個學生的地址外洩;
3. 三井不動產員工寄錯電子郵件,導致顧客E-mail外洩;
4. 某調理器具販賣公司,錯將客戶資料檔附加在電子郵件中寄出;
5. NTTWEST錯將客戶資料傳真出去、導致外洩;
6. 福岡縣政府寄錯電子郵件,導致資訊外洩。
因為便利性,電子郵件被企業組織大量使用,也因為它能即時傳送,導致發生人為失誤時往往無法挽救,例如:寄錯收件人,或者是在附件中放錯檔案。因此電子郵件在寄出前最好是有再檢查(double check)機制,或者是導入一些方案以監視電子郵件內有無特定文字,以及將附件檔案轉換成帶密碼的ZIP壓縮檔。
第二、網站設定失誤/檔案不經意公開/未授權的存取行為
主要有針對網頁應用程式漏洞的攻擊(如:XSS、SQL Injection等),或是用戶名單檔案權限設定失誤導致檔案曝光等。尤其SQL Injection攻擊從2006年以來就非常普遍,至今甚至有自動化的駭客工具可以進行攻擊,需要的技術門檻也不高,雖然防禦SQL Injection攻擊並不困難,但是仍有許多網站沒有對策。
例1:幼兒培育網站babycome(www.babycome.ne.jp)在2012年2月遭受網頁應用程式攻擊,導致超過17萬的用戶資料外洩,事件發生後網站管理者立即停止網站運作,並解析log記錄,結果發現攻擊來源主要來自於中國大陸,babycome解決方式為強制要求資料已經外洩的用戶變更密碼,並導入網站應用程式防火牆(Web Application Firewall)。
例2:由互聯網服務提供商BEKKOAME/INTERNET運營的14個線上遊戲購物網站,曾經在2012年10-12月間購物的6,556件用戶資料被曝露在網站上,內容包括姓名、住址、電話等。
例3:2013年1月,鈴木販賣代理店發生17個店鋪832位用戶的資料外洩事件,事件起因為網站在做網頁更新時,操作人員誤把個人資料檔案公開,外洩內容包括姓名、住址、電話號碼、所有車輛...等相關資訊。
其他例子還有2011年12月轟動大陸的駭客公開CSDN用戶資料庫事件,也有「PlayStation Network」7千萬用戶外洩事件,皆是網站應用程式有漏洞讓駭客得發動攻擊。
因此,網站進行滲透測試或弱點掃描相當重要,企業做到定期實施滲透測試與弱點掃描,並且在開發網站應用程式時,對於程式碼撰寫要做到安全編碼,即能夠預防相當程度的攻擊,尤其是 SQL Injection攻擊…等由來已久,被攻擊者廣泛使用,企業更應該有基本對策。
企業在遭受攻擊後,一般對外宣言多半是已經即時採取措施,但是此類措施往往只是在填補造成問題的漏洞,其他漏洞未必會有因應機制,如果再度遭受強度更大攻擊,將導致網站受到第二次入侵,因此對於攻擊事件發生後的因應措施,應當著眼在更高等級攻擊的防護,而非只著重於彌補眼前發生的事件。
第三、電腦病毒感染/下載P2P軟體洩露
日本從2002年左右開始盛行Winny、Share、Perfect Dark等P2P下載軟體,在2009年前後達到頂峰,之後整體呈下降趨勢,但是仍存在一定的用戶群,因為P2P軟體而外洩個資的事件,絕大部分是因為感染病毒,此類病毒專門把遭感染電腦中的私人目錄內容檔案擅自分享出去,而受感染用戶本身卻毫不知情。
以下列舉幾個比較大的個資外洩事件。首先是2005年三菱電機子公司員工,將存放核電廠相關資訊的硬碟帶回家使用,而自家電腦下載P2P軟體且感染病毒,因而將核電廠相關資訊外洩。
上述案例外洩的是企業機密資料,至於外洩個人資料的案例,則有 2013年1月四國電力公司業務委託人員因為使用Winny軟體,導致接受問卷調查的445人個資外洩。另外,2012年8月秋田市上下水道局的職員,將自來水用戶的個人資料儲存在USB隨身碟並帶回家裡工作,同樣因為自家電腦安裝了P2P軟體而外洩約4千名用戶資料。
P2P軟體的使用取決於用戶自己的安全意識,使用者需要了解,安裝P2P軟體不僅可能在沒有意識的情況下洩漏重要檔案,同時也有可能侵害著作版權,假若沒有需要,應當避免裝設P2P軟體,日本也有些企業組織明文禁止員工使用P2P軟體,包括在個人家裡也禁止使用。
第四、駭客目標攻擊以獲取機密資訊
此類攻擊在定義上應歸類所謂目標式攻擊(Targeted Attack),屬於APT(Advanced Persistent Attack)的一環,主要目的是竊取企業內所有對於攻擊者有價值的資訊,而其中當然包含了個人資料。
最近發生的一起例子為2012年11月日本原子力研究開發機構,其位於茨城県東海村的本部法務室,有3名員工收到主旨為「內部檢舉」且附有惡意軟體的電子郵件,在開啟惡意軟體後,這幾名員工的電腦受到攻擊者控制,導致機構相關人員的資訊被駭客竊走。
APT攻擊多數利用社交工程,欺騙收件人打開附有惡意程式的電子郵件,其防禦方式可分為三部分:1.在網路入口端安裝專門檢測設備,過濾夾帶惡意軟體檔案(多為OFFICE或PDF)的郵件;2.針對郵件收信者實施社交工程演練,以避免打開可疑郵件;3.在網路出口端,以有害網站或IP之黑名單,檢測阻斷可疑連外通訊。
因應對策
除了以上列舉針對個別洩漏類型的對策外,在日本,企業亦可選擇購買「個人情報洩露保險」,作為防禦對策。此類保險分為三個等級:一為危機管理諮詢顧問,二為危機發生時的管理費(如:道歉記者會/廣告、撫慰金等),三為損害賠償費用/裁判訴訟費。
此外,還有幾個比較重要的原則是企業要知道的,像是含有用戶個資的檔案文件,除非真有必要,應避免存放在公開網站上,員工應明確意識到文件資料重要性…等。其實,發生個人資料外洩事件時,企業除了前述可能直接受到金錢損失,還需要考量間接受到的二次損害,包括企業信譽降低導致訂單減少,系統復原所需要的人力資源成本耗費,以及應對事件處理所導致的業務效率低下等。
總而言之,企業需要即早做準備,釐清企業所擁有的個人資料檔案,包括個資種類、儲存位置、保護措施…等,並且要擬定與定期演練「個人資料外洩處理程序」,防止事件發生時手忙腳亂,如此方能顯示企業對自身所擁有客戶資料安全負責的態度,達到對社會有責任的行為。
參考來源:
- babycome 不正アクセスによる会員情報漏えいに対するお詫びとご報告
- ソニー:新たに2460万件の情報流出判明 1億件規模に
- P2Pでの重要情報の流出状況、ネットエージェントが公表
- 「毎日発送!なかそね大サーカス」利用者の個人情報が閲覧可能な状態に(ベッコアメ?インターネット)
- 「仁義なきキンタマ」が原発情報流出
- ファイル交換ソフト(P2P)による個人情報流出事件一覧