香港 プライバシー・コミッショナー事務局 サイバーポート社のデータ・インシデントに関する調査報告書を発表

こんにちは、丸山満彦です。

個人データの漏えい等の事案については、プライバシーコミッショナー事務局や、個人情報保護委員会といった政府機関が、調査をし、報告書を公表するというのが、世界的に行われてるようになってきていますが、このような報告書の内容を通じて、セキュリティ対策の世界的な相場感の理解にもつながるので、目を通しておいた方が良いですよね...

香港では、昨年に 香港の南区にある1,800社を超えるデジタル・テクノロジー企業が入居するビジネスパークであるサイバーポート (En)(Ch)  (wikipedia) を運営する香港特別行政区政府が全額出資するサイバーポート・マネジメント社 (Hong Kong Cyberport Management Company Limited) が、ランサムウェアに感染し、個人データを含むデータが漏えいし、外部から見えるようになっていたわけですが、その事案について、香港のプライバシー・コミッショナー事務局が報告書を公表し、勧告もしていますね...

勧告は次の５つ...

・Establish a personal data privacy management programme and appoint data protection officer(s);	・個人データ・プライバシー管理プログラムを策定し、データ保護責任者を任命すること；
・Establish a robust cybersecurity framework;	・強固なサイバーセキュリティの枠組みを確立すること；
・Conduct timely risk assessments and security audits of information systems;	・情報システムのリスクアセスメントとセキュリティ監査を適時に実施する；
・Establish a corporate culture that values information security; and	・情報セキュリティを重視する企業文化を確立する。
・Delete personal data timely.	・個人データを適時に削除すること。

 

● Hong Kong the Privacy Commissioner’s Office （個人資料私隱專員公署）

・2024.04.02 Privacy Commissioner’s Office Publishes an Investigation Report on the Data Breach Incident of Cyberport

・2024.04.02 私隱專員公署發表 有關數碼港資料外洩事故的調查報告

Privacy Commissioner’s Office Publishes an Investigation Report on the Data Breach Incident of Cyberport	プライバシー・コミッショナー事務局、サイバーポートのデータ・インシデントに関する調査報告書を発表
On completion of its investigation into a data breach incident of the Hong Kong Cyberport Management Company Limited (Cyberport), the Office of the Privacy Commissioner for Personal Data (PCPD) published an investigation report today. The investigation arose from a data breach notification lodged by Cyberport reporting that its computer systems and file servers had been attacked by ransomware and maliciously encrypted (the Incident). A hacker group identifying itself as Trigona had demanded a ransom payment from Cyberport to unlock the encrypted files. The Incident resulted in the leakage of the personal data of more than 13,000 data subjects, about 40% of whom were unsuccessful job applicants and former employees.	香港サイバーポート・マネジメント・カンパニー・リミテッド（サイバーポート）のデータ漏えいインシデントに関する調査が完了し、プライバシー・コミッショナー事務局（PCPD）は本日、調査報告書を公表した。この調査は、サイバーポートが同社のコンピューターシステムとファイルサーバーがランサムウェアに攻撃され、悪意を持って暗号化された（インシデント）と報告したデータ侵害の通知から発生した。Trigonaと名乗るハッカーグループは、暗号化されたファイルを解除するためにサイバーポートに身代金の支払いを要求した。このインシデントにより、13,000人以上のデータ主体（約40％が不採用となった就職希望者と元従業員）の個人データが流出した。
The PCPD thanked Cyberport for the various information and cooperation provided by Cyberport in the investigation. According to the evidence obtained in the investigation, the Privacy Commissioner for Personal Data (Privacy Commissioner), Ms Ada CHUNG Lai-ling, considered that the Incident was caused by the following deficiencies:	PCPDは、サイバーポートから提供されたさまざまな情報と調査への協力に感謝する。調査で得られた証拠によると、個人データ・プライバシーコミッショナー（プライバシー・コミッショナー）のAda CHUNG Lai-ling女史は、インシデントの原因は以下の欠陥にあると考えた：
1. Lack of effective detection measures in Cyberport’s information systems, resulting in its failure to effectively detect the brute force attacks on the information systems by the hacker, thus allowing the hacker to obtain the credentials of user accounts with administrative privileges, and subsequently launch ransomware attacks and exfiltrate the personal data stored in the systems;	1. サイバーポートの情報システムに効果的な検知対策が欠けていたため、ハッカーによる情報システムへの総当たり攻撃を効果的に検知できず、その結果、ハッカーが管理者権限を持つユーザーアカウントの認証情報を取得し、その後、ランサムウェア攻撃を開始し、システムに保存された個人データを流出させた；
2. Failure to enable multi-factor authentication for remote access to data for verifying the identities of users authorised to remotely access Cyberport’s network. This allowed the hacker to gain access to its network through a remote desktop connection using the credentials of a user account, leading to the exfiltration of personal data;	2. サイバーポートのネットワークにリモートアクセスする権限を持つユーザーの身元を確認するために、データへのリモートアクセスで多要素認証を有効にしていなかった。これにより、ハッカーはユーザーアカウントの認証情報を使ってリモートデスクトップ接続で同社のネットワークにアクセスすることができ、個人データの流出につながった；
3. Insufficient security audits of the information systems, thereby failing to timely respond to changes in information technology and cybersecurity risks;	3. 情報システムのセキュリティ監査が不十分だったため、情報技術やサイバーセキュリティリスクの変化にタイムリーに対応できなかった；
4. Lack of specificity in the information security policy, which did not provide a concrete cybersecurity framework for its employees to follow; and	4. 情報セキュリティポリシーの具体性に欠け、従業員が従うべきサイバーセキュリティの枠組みが具体的に示されていなかった。
5. Unnecessary retention of personal data: Cyberport failed to delete the personal data it collected after the expiration of the retention periods in accordance with its data retention policy, resulting in the unnecessary retention and hence leakage of the personal data concerned, which related to around 40% of the total number of individuals affected by the Incident.	5. 個人データの不必要な保持： サイバーポートは、データ保持ポリシーに従い、保持期間終了後に収集した個人データを削除しなかったため、不必要な個人データが保持され、その結果、インシデントにより影響を受けた個人総数の約40％に関連する個人データが流出した。
The Privacy Commissioner, Ms Ada CHUNG Lai-ling, considered that Cyberport is a well-established organisation that continuously holds and processes a substantial amount of personal data of different individuals. In this regard, stakeholders and the public would reasonably expect Cyberport to allocate sufficient resources to ensuring the security of its information systems and data protection. Therefore, to meet the expectations of stakeholders and the public, Cyberport should have implemented adequate organisational and technical security measures to safeguard its information systems that contain personal data. However, the investigation revealed that Cyberport had failed to implement sufficient and effective measures to ensure the security of its information systems prior to the Incident. Cyberport had also failed to promptly delete data in respect of which the retention periods had expired in accordance with its data retention policy.	プライバシー・コミッショナーであるAda CHUNG Lai-ling氏は、サイバーポートは継続的に様々な個人の個人データを大量に保有し、処理している確立された組織であると考えた。この点で、利害関係者と一般市民は、サイバーポートがその情報システムのセキュリティとデータ保護の確保に十分なリソースを割り当てることを合理的に期待するだろう。したがって、利害関係者と一般市民の期待に応えるために、サイバーポートは個人データを含む情報システムを保護するための適切な組織的・技術的セキュリティ対策を実施すべきであった。しかし、調査の結果、サイバーポートはインシデント発生前に情報システムのセキュリティを確保するための十分かつ効果的な対策を実施していなかったことが明らかになった。また、サイバーポートはデータ保持ポリシーに従い、保持期間が満了したデータを速やかに削除することも怠っていた。
Based on the above, the Privacy Commissioner considered that Cyberport had not taken all practicable steps to ensure that the personal data involved was protected against unauthorised or accidental access, processing, erasure, loss or use, thereby contravening Data Protection Principle (DPP) 4(1)  of the Personal Data (Privacy) Ordinance concerning the security of personal data.	以上のことから、プライバシー・コミッショナーは、サイバーポートが個人データへの不正または偶発的なアクセス、処理、消去、紛失または使用から保護されるよう、実行可能なすべての措置を講じておらず、個人データのセキュリティに関する個人データ（プライバシー）条例のデータ保護原則（DPP）4（1）に違反していると判断した。
In addition, the Privacy Commissioner found that Cyberport had not taken all practicable steps to ensure that personal data was not kept longer than was necessary for the fulfilment of the purpose for which the data was used, thereby contravening DPP2(2) concerning the retention of personal data.	さらに、プライバシー・コミッショナーは、サイバーポートが個人データを使用目的の達成に必要な期間以上保持しないことを保証するために、実務上可能なすべての措置を講じていなかったと認定し、個人データの保持に関するDPP2(2)に違反した。
The Privacy Commissioner has served an Enforcement Notice on Cyberport, directing it to remedy the contravention and prevent similar recurrence of the contravention.	プライバシー・コミッショナーはサイバーポートに対し、この違反を是正し、同様の違反の再発を防止するよう指示する施行通知を出した。
Through the report, the Privacy Commissioner also wishes to make the following recommendations to organisations which use information and communication technologies for processing personal data:	プライバシー・コミッショナーはまた、この報告書を通じて、個人データの処理に情報通信技術を使用する組織に対して以下の勧告を行いたい：
・Establish a personal data privacy management programme and appoint data protection officer(s);	・個人データ・プライバシー管理プログラムを策定し、データ保護責任者を任命すること；
・Establish a robust cybersecurity framework;	・強固なサイバーセキュリティの枠組みを確立すること；
・Conduct timely risk assessments and security audits of information systems;	・情報システムのリスクアセスメントとセキュリティ監査を適時に実施する；
・Establish a corporate culture that values information security; and	・情報セキュリティを重視する企業文化を確立する。
・Delete personal data timely.	・個人データを適時に削除すること。

 

・[PDF] (downloaded)

 

 

・[DOCX] [PDF] 仮訳