大型信用调查公司“东京商工调查”的调查结果显示,日本上市公司及其子公司在2022年公开的个人信息泄漏及丢失事故,不论是公司数量还是事故数量,连续2年都刷新了最多记录。由于非法访问和感染病毒等来自网络的攻击所引发的事故增加,导致案件总数增加。
东京车站后方日本大企业的办公楼云集(摄影:JST客观日本编辑部)
泄漏的信息数量与日本人口相当
东京工商调查公司于2012年开始调查日本上市公司及其子公司自行公开的个人信息泄漏及丢失事故数量。该统计根据企业公开的新闻稿、通知、道歉信等信息进行汇总。2023年1月19日公开的2022年调查结果显示,日本全国公布个人信息泄漏及丢失事故的上市公司及其子公司为150家(比上年增加25.0%),事故数量为165件(同比增加20.4%)。公司数量和事故数量都连续2年刷新了最多记录。
泄漏的个人信息比上一年增加了3.0%,为592万7057人份。根据东京商工调查的数据,在2012年到2022年的11年里,可能泄漏及丢失的个人信息累计为1亿2572万人份,其规模与日本人口相当。
(图表由东京商工调查公司提供)
从泄漏及丢失事故的内容来看,非法访问和感染病毒等来自网络攻击引起的事故在增加,涉及87家企业,达到91件,涉及的公司以及件数是自2019年以来连续第四年刷新最多记录。在“病毒感染、非法访问”引发的事故中,迄今为止泄漏及丢失件数最多的是2013年5月发生的雅虎日本(现:Z控股)的用户信息泄露事件。当时公布的信息显示,由于非法访问,可能有多达 2200 万个 ID 被泄露到外部。2022年“病毒感染、非法访问”导致受害数量最多的案件发生在森永制果,有164万8922人份的信息被泄露,也是日本史上第7大信息泄露事故。
大多数案件都是因非法访问侵入公司内部系统导致的信息泄露,恶意软件“Emotet”的传播使公司计算机被感染而导致信息被盗的案件数量也有所增加。从2022年2月开始,感染Emotet的电脑急速增加,公司内电脑感染该病毒导致电子邮件地址等信息被盗,以及伪造可疑电子邮件的案件共计36起。
(图表由东京商工调查公司提供)
公司内部系统及服务器为攻击的目标
涉及信息泄漏及丢失事故的硬件方面,“公司内部系统及服务器”最多,在2022年的165件事故中为76件,占比46.0%。平均每次事故泄露及丢失的信息数量为11万2363人份,在所有硬件中也为最高。由此可见,因内部系统及服务器被非法访问导致顾客信息流出的情况很多。其次是“个人电脑”,共有60件事故,但由此导致个人信息泄漏及丢失的只有22件(平均每件1976人份)。东京商工调查公司认为数量少其实是因为即使个人电脑被病毒感染,实际许多情况无法确定受害范围所致。
从发生信息泄漏及丢失事故的企业所属行业来看,最多的是制造业,有43家(28.6%),其后依次是服务业23家(15.3%),信息及通信业22家(14.6%),金融保险和零售业都是14家(9.3%),运输业13家(8.6%),批发业11家(7.3%),可见事故的发生涵盖了广泛的行业。
2022年信息泄漏及丢失数量最多的事故,发生在旗下拥有大丸松坂屋百货店、PARCO等的控股公司J. FRONT RETAILING,旗下相关信用卡公司“JFL Card”取得的191万3854名会员的个人信息中不属于集团内共享对象的数据被误发送到了集团内的顾客数据库。“JFL Card”于2022年11月28日发布了道歉通知,涉及被误发送的信息与使用额度、结算账户、支付状况有关,相关信息已经全部被删除,客户不用担心发生二次受害和不正当利用。
信息泄漏及丢失数量第二多的事故发生在森永制果,由于该公司管理运用的多个服务器遭到非法访问,其网络销售业务的164万8922人的顾客信息有可能泄露。森永制果于2022年3月22日就此事发布了道歉新闻稿。在被非法侵入的多个服务器中包含对商品发送相关信息进行补充的服务器,其中包含顾客的个人信息的内部数据有一部分数据被锁定。森永制果表示,很难完全排除这些个人信息被泄露到外部的可能性。
此外,东京商工调查公司在调查报告中提到,在信息泄漏及丢失数量最多的10件事故中,有6件是非法访问导致的。其中一个案例是运营信用卡结算系统的Metaps Payment公司(母公司:Metaps),由于其系统遭受非法访问,大量信用卡信息被泄露,该公司董事长也因此引咎辞职。
信用卡信息也是攻击的目标
在165起事故中,有13起公开表示信用卡信息可能遭到泄露。在提供EC(电子商务)网站等的输入支援工具的SHOWCASE公司发生的非法访问事故中,使用其服务的多家企业都被波及,仅上市公司中就有五家企业的购物网站因此发生了信用卡信息泄漏。东京商工调查公司在介绍上述调查结果时还指出,也有因信用卡被盗用后才发现信息泄漏的情况,提醒大家注意个人信息泄漏会成为组织犯罪的开端。
负责确保个人信息被正确使用的政府机构——个人信息保护委员会(隶属于日本内阁府)也经常发布针对特定公司的有关个人信息保护的指导文件。2022年7月13日就发布了对于Metaps Payment公司(母公司:Metaps)的指导文件,其中严厉地指出,“关于个人数据处理状况的监查及检查措施有部分未实施,也没有进行与其重要性相称的处理”,并提出了“对所有的个人数据进行定期盘点,对个人数据的处理状况进行监查及检查”等具体的指导项目,责成该公司执行。
日文:小岩井忠道(科学记者)
翻译:JST客观日本编辑部
【相关网站】
東京商工リサーチ 個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~
JFRCard お客様の個人情報の取扱いに関するお詫びとお知らせについて
森永制果 不正アクセス発生による個人情報流出の可能性のお知らせとお詫び
SHOWCASE 不正アクセスに関するお知らせとお詫び
个人信息保护委员会 株式会社メタップスペイメントに対する個人情報の保護に関する法律に基づく行政上の対応について
【相关报道】
2021年08月19日 日本国内CEO年龄越大业绩恶化越明显,因缺少长期愿景
2021年07月29日 日本企业平均年薪首次减少,上市企业较上年平均减少1.7%
2020年09月29日 日本学术会议:紧急推进医疗和社会的数字化转型,同时保护个人隐私
2020年07月15日 【新型肺炎】疫情到致破产、下调业绩和征集退休人员的企业增加
2020年06月08日 【新型肺炎】东京商工调查:截至6月1日疫情已致日本197家企业破产
