Gli uffici postali perdono i documenti di 290.000 clienti. Imbarazzante data breach in Giappone
Più di 6.000 uffici postali del Giappone hanno perso i documenti contenenti le informazioni personali di circa 290.000 clienti, tra cui molti che avevano acquistato prodotti finanziari. A renderlo noto lo scorso 15 dicembre sono state le stesse società del gruppo Japan Post Co. e Japan Post Bank Co.
Gli sportelli coinvolti sono circa il 30% di tutti gli uffici postali in Giappone, e nei documenti che sono andati smarriti vi sono i dati anagrafici dei clienti, i loro numeri di conto, i registri delle transazioni per fondi fiduciari di investimento, titoli di stato, ed altre informazioni finanziarie.
Il giorno stesso dell'imbarazzate scoperta le poste hanno segnalato la perdita dei documenti al ministero degli Interni e all'Agenzia per i servizi finanziari, e stando alle dichiarazioni di Japan Post e Japan Post Bank le informazioni non sarebbero trapelate all'esterno, ma sarebbero stati distrutti per errore.
È da notare che in Giappone, la protezione dei dati personali è regolata principalmente dalla cosiddetta “'APPI” (Act on the Protection of Personal Information), che contiene prescrizioni in materia simili a quelle del GDPR, comprese quelle sui “data breach” con obblighi di notifica delle violazioni sui dati personali, in particolare quando queste coinvolgono più di mille interessati, riguardano informazioni sensibili, o possono potenzialmente causare danni finanziari agli interessati, come nel caso della Japan Post.
Già nel 2020, un’indagine interna alle poste giapponesi aveva rilevato i problemi che stavano emergendo con 6.389 uffici postali che avevano perso i documenti di 148.000 clienti, i cui dati di 26.000 di loro non erano stati conservati secondo i tempi di data retention stabiliti, ovvero 7 anni per il rispetto della legge sugli strumenti finanziari, e 10 anni per le procedure interne. Inoltre, già lo scorso anno 176 uffici postali avevano smarrito le registrazioni dei pagamenti effettuati da circa 142.000 clienti.
Durante una conferenza stampa tenuta la settimana scorso con i media nazionali che hanno riportato la notizia, le poste giapponesi si sono scusate per quanto accaduto, impegnandosi per il futuro a fare i massimi sforzi per prevenire il ripetersi di incidenti simili, e annunciando che dallo scorso giugno hanno iniziato a conservare i registri in formato digitale, anziché su carta.
Atsushi Hasegawa, dirigente di Japan Post, ha inoltre ammesso: “Abbiamo causato preoccupazioni tra i nostri clienti, ma abbiamo anche danneggiato la fiducia nei confronti degli uffici postali".
In Giappone, negli scorsi anni la normativa sulla protezione dei dati personali è stata oggetto di modifiche sostanziali, e più di recente a giugno del 2020 sono stati anche introdotti ulteriori emendamenti con la “National Diet of Japan”, che entreranno in vigore il 1° aprile 2022.
Tale iter di progressivo adeguamento, nel marzo del 2019 ha consentito alla Commissione europea di dichiarare il Giappone una nazione che “assicura un livello adeguato di protezione dei dati personali”, adottando una decisione di adeguatezza che comporta adesso importanti facilitazioni per quanto riguarda il trasferimento dei dati nel paese del sol levante, anche se quanto accaduto alle poste giapponesi impone di mantenere comunque la massima attenzione.
