MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

Les fuites incessantes d'informations personnelles, une augmentation de 1,5 fois par rapport à l'année précédente en 2023 (Reiwa 5). Explication des dernières tendances

General Corporate

Les fuites incessantes d'informations personnelles, une augmentation de 1,5 fois par rapport à l'année précédente en 2023 (Reiwa 5). Explication des dernières tendances

Ces dernières années, l’augmentation des fuites d’informations personnelles causées par des cyberattaques de plus en plus sophistiquées et des erreurs humaines est devenue un problème sérieux pour les entreprises. Les fuites d’informations personnelles peuvent entraîner pour les entreprises des dommages graves tels que des atteintes à la réputation, des risques de litiges et des interruptions d’activité.

Cet article analyse les tendances des incidents de fuites d’informations personnelles telles qu’elles ressortent du rapport annuel de l’année Reiwa 5 (2023) publié par la Commission de protection des informations personnelles japonaise. Utilisez cet article pour renforcer les mesures de sécurité informatique de votre entreprise et prévenir les risques de fuite avant qu’ils ne surviennent.

Qu’est-ce que le rapport annuel de la Commission de protection des données personnelles ?

En vertu de la loi révisée sur la protection des données personnelles, mise en œuvre en avril de l’année Reiwa 4 (2022), il est devenu obligatoire pour les opérateurs traitant des données personnelles de signaler à la Commission de protection des données personnelles (PPC) via son site web, en cas de fuite ou d’autres incidents impliquant des données personnelles, lorsque ces incidents répondent à certaines conditions.

La Commission de protection des données personnelles a publié son rapport annuel pour l’année fiscale Reiwa 5[ja] en juin de l’année Reiwa 6 (2024).

Article connexe : Les points clés de la loi révisée sur la protection des données personnelles de l’année Reiwa 6 (2024) ? Les changements et mesures à connaître[ja]

Supervision des entreprises traitant des informations personnelles

Pour l’exercice de Reiwa 5 (2023), il y a eu 12 120 cas de traitement de rapports concernant des fuites d’informations et autres incidents, ce qui représente une augmentation significative par rapport aux 7 685 cas de l’année précédente. Examinons maintenant le contenu de ces incidents plus en détail.

Traitement des incidents de fuite d’informations et autres

État du traitement des incidents de fuite d'informations et autres

Parmi les incidents rapportés, le nombre de personnes affectées par incident était de moins de 1000 dans 11 635 cas (96,0 %), tandis que les incidents affectant plus de 50 000 personnes représentaient 61 cas (0,5 %).

Dans les incidents rapportés directement au comité, le type d’information le plus fréquemment divulgué était les données clients (83,5 %), et en termes de format, les fuites impliquant uniquement des supports papier (82,0 %) étaient plus nombreuses que celles impliquant uniquement des supports électroniques (12,2 %).

En ce qui concerne les catégories d’obligations de déclaration définies par la loi japonaise sur la protection des données personnelles et les règlements d’application de cette loi (les règlements), les fuites de données personnelles incluant des informations sensibles telles que l’historique médical ou l’origine ethnique étaient les plus nombreuses (89,7 %), suivies par les fuites de données personnelles pouvant être associées à un accès non autorisé ou à des intentions malveillantes (8,1 %).

La raison de cette tendance, compte tenu du fait que la majorité des causes d’incidents de fuite d’informations résultaient d’erreurs humaines telles que la remise, l’envoi, la destruction erronée ou la perte (totalisant 86,3 %), semble être que les incidents impliquant des documents papier contenant des données personnelles sensibles (par exemple, les relevés de frais médicaux dans les établissements de santé) étaient fréquents en raison de remises erronées et autres erreurs similaires.

À la suite de ces rapports, la Commission de protection des données personnelles a vérifié si les notifications aux personnes concernées (conformément à l’article 26, paragraphe 2 de la loi japonaise sur la protection des données personnelles) étaient adéquatement effectuées, si les causes des incidents étaient correctement identifiées et analysées, et si les mesures prises pour prévenir la récurrence étaient appropriées par rapport aux causes identifiées, parmi d’autres éléments requis par les règlements. En fonction des besoins, la Commission a fourni des informations sur les méthodes d’analyse des causes et d’examen des mesures préventives.

État des rapports, des directives et des conseils

73 rapports ont été collectés et 333 directives et conseils ont été donnés aux entreprises traitant des données personnelles.

Les cas graves suivants ont été signalés :

  • Un cas où les informations des clients de nouveaux fournisseurs d’électricité détenues par un opérateur général de distribution d’électricité étaient consultées et utilisées par une société affiliée ou par le département de vente au détail de la même société.
  • Un cas où les identifiants et mots de passe attribués à un opérateur général de distribution d’électricité par l’Agence des Ressources Naturelles et de l’Énergie, qui gère le “Système de gestion des affaires des énergies renouvelables”, étaient utilisés par un fournisseur d’électricité affilié pour consulter et utiliser les informations personnelles contenues dans ce système.
  • Un cas de fuite de données, où Toyota Motor Corporation avait confié la gestion des données personnelles relatives aux services aux utilisateurs de véhicules à sa filiale Toyota Connected Corporation, et où les données personnelles gérées sur les serveurs de cette société étaient accessibles de l’extérieur.
  • Un cas de fuite d’informations médicales de patients par l’Organisation Nationale des Hôpitaux, un opérateur de traitement de l’information médicale régi par la loi sur l’information médicale anonymisée pour la recherche et le développement dans le domaine médical (Loi de 2017, n° 28).
  • Un cas où trois entreprises ayant déclaré l’option de retrait avaient enfreint les dispositions de la loi sur la protection des données personnelles.
  • Un cas où NTT DOCOMO Inc. avait confié la gestion des informations clients pour la télévente à NTT NEXIA Inc., et où un employé temporaire de NEXIA avait téléchargé environ 5,96 millions de données personnelles sur un service cloud sans autorisation via un PC utilisé pour le travail, risquant ainsi une fuite de données.
  • Un cas où un enseignant de la société Yotsuya Otsuka, qui exploite des écoles préparatoires pour les examens d’entrée au collège, a recherché et consulté les données personnelles des élèves de l’école primaire sur les systèmes de gestion de l’école tout en étant en poste, a enregistré des photos et des vidéos des élèves sur son téléphone personnel et a publié les données personnelles de six élèves sur son compte SNS, provoquant une fuite.
  • Un cas où les serveurs de la société MK System ont été piratés, les données personnelles gérées par le système ont été cryptées par un ransomware, et il y avait un risque de fuite de données.
  • Un cas où, en entrant certaines commandes sur des pages de produits spécifiques de “Yahoo! Auctions”, le GUID (identifiant interne) des vendeurs de l’enchère pouvait être affiché, rendant le GUID visible par des tiers et risquant ainsi une fuite de données personnelles.

Des directives basées sur l’article 23 de la loi sur la protection des données personnelles ont été émises en réponse à ces incidents, et des rapports sur la mise en œuvre de mesures de prévention des récidives ont été demandés dans certains cas.

Situation des recommandations

Trois recommandations ont été adressées aux opérateurs traitant des données personnelles. Voici un résumé des cas concernés.

Dans le cadre d’un projet de centre d’appels mené par la société NTT Marketing Act ProCX, mandatée par des entreprises privées, des organismes administratifs indépendants et des collectivités locales, un incident s’est produit impliquant un employé de NTT Business Solutions Corporation. Cette personne, chargée de la maintenance et de l’exploitation des systèmes informatiques sous-traités par NTT Marketing Act ProCX, a illégalement extrait des données personnelles concernant environ 9,28 millions de clients ou de résidents. Suite à cette fuite de données, les deux sociétés ont reçu chacune une recommandation leur enjoignant de prendre les mesures nécessaires pour corriger les violations de l’article 23 de la loi japonaise sur la protection des données personnelles.

Chez LINE Yahoo Japan Corporation, un incident de fuite de données personnelles s’est produit après qu’un ordinateur utilisé par un employé d’une entreprise de sécurité sous-traitante en Corée du Sud a été infecté par un malware, entraînant un accès non autorisé au système d’information. Les données personnelles d’utilisateurs, de partenaires commerciaux et d’employés de LINE ont été exposées. Une recommandation a été faite pour corriger les violations de l’article 23 de la loi japonaise sur la protection des données personnelles et prendre les mesures nécessaires. Un rapport sur l’état d’avancement des mesures de prévention des récidives, incluant la réponse à la recommandation, a été demandé.

Surveillance des autorités administratives et autres

Surveillance des autorités administratives et autres

Conformément à la loi japonaise sur la protection des informations personnelles, une surveillance a été exercée sur les autorités administratives et autres.

Traitement des rapports relatifs aux incidents de fuite d’informations personnelles détenues

Dans le cadre de la surveillance des autorités administratives et autres, 1159 rapports d’incidents de fuite d’informations personnelles détenues ont été traités. Parmi ceux-ci, 162 concernaient des rapports d’organismes administratifs nationaux et 997 des collectivités locales et autres.

La majorité des incidents rapportés, comme l’année précédente, impliquait des fuites d’informations personnelles sensibles (organismes administratifs nationaux : 61,1 %, collectivités locales et autres : 80,3 %), suivies par des fuites d’informations personnelles affectant plus de 100 individus (organismes administratifs nationaux : 31,5 %, collectivités locales et autres : 18,8 %).

La plupart des causes d’incidents étaient dues à des erreurs humaines telles que des remises, des envois, des destructions erronées ou des pertes (organismes administratifs nationaux : total de 6,8 %, collectivités locales et autres : total de 78,8 %), et les erreurs de configuration de système et autres étaient également fréquentes (organismes administratifs nationaux : 22,8 %, collectivités locales et autres : 17,7 %).

Concernant le nombre de personnes affectées par incident, les cas impliquant moins de 1000 personnes étaient les plus nombreux (organismes administratifs nationaux : 93,2 %, collectivités locales et autres : 96,7 %), et les informations fuitées concernaient principalement des données de citoyens et autres (organismes administratifs nationaux : 78,4 %, collectivités locales et autres : 91,1 %). Quant à la forme des informations fuitées, celles sur support papier étaient les plus courantes (organismes administratifs nationaux : 58,0 %, collectivités locales et autres : 76,8 %).

Demande de documents, enquêtes sur place, conseils et orientations

Afin de vérifier la conformité aux lignes directrices de la loi japonaise sur la protection des informations personnelles et autres lois connexes (version pour les autorités administratives et autres), 65 enquêtes sur place planifiées ont été menées auprès des autorités administratives et autres, et des directives demandant des améliorations dans la gestion appropriée des informations personnelles ont été émises, ainsi que des demandes de soumission de rapports sur les mesures prises.

En plus des enquêtes sur place, 73 conseils et orientations ont été donnés lors de la réception des rapports d’incidents de fuite d’informations personnelles, notamment en exigeant la mise en œuvre de mesures préventives pour les lacunes observées dans les mesures de sécurité. Les incidents graves suivants ont été signalés :

  • Un cas où des informations personnelles détenues dans le « Système de gestion des affaires de l’énergie renouvelable » exploité par l’Agence japonaise des ressources naturelles et de l’énergie ont été consultées et utilisées par des détaillants d’électricité concernés en utilisant des identifiants et mots de passe attribués aux opérateurs de distribution générale.
  • Un cas à Noboribetsu, préfecture d’Aomori, où une clé USB contenant des informations personnelles telles que le nom, la date de naissance, les résultats d’examens de santé et l’historique de vaccination contre le COVID-19 de la majorité des résidents de la ville a été perdue, créant un risque de fuite.
  • Un cas impliquant deux enseignants de deux lycées sous la juridiction de la commission de l’éducation de la préfecture de Nagano, qui, après avoir été victimes d’une escroquerie de support, ont installé un logiciel de contrôle à distance sur leur ordinateur de travail sans autorisation, suivant les instructions des escrocs, créant ainsi un risque de fuite d’informations personnelles détenues sur les élèves et le personnel de ces lycées.

Des directives basées sur l’article 66, paragraphe 1 de la loi japonaise sur la protection des informations personnelles ont été émises en réponse à ces incidents, en raison de réponses insuffisantes aux problèmes de gestion de la sécurité, et des demandes de soumission de documents et autres ont été faites concernant les mesures de prévention des récidives pour les incidents survenus dans les préfectures d’Aomori et de Nagasaki.

Résumé : Nombre record de cas de fuites d’informations personnelles depuis le début des rapports

Depuis la révision de l’année Reiwa 4 (2022) de la loi, la notification à la Commission de Protection des Données Personnelles est devenue obligatoire. Cependant, avec 12 120 cas rapportés pour l’année fiscale Reiwa 5, il y a eu une augmentation d’environ 58 % par rapport à l’année précédente, ce qui représente le nombre le plus élevé depuis que la notification est devenue une obligation de diligence en l’année Heisei 25 (2013).

En ce qui concerne la gestion des informations personnelles, si des mesures inappropriées entraînent une fuite réelle, les détails seront publiés sur le site de la Commission de Protection des Données Personnelles, ce qui peut nuire à la marque de l’entreprise et à sa crédibilité sociale. Nous recommandons de consulter un avocat pour la gestion et l’opération des informations personnelles afin de prendre les mesures appropriées à l’avance.

Présentation des mesures proposées par notre cabinet

Le cabinet d’avocats Monolith possède une riche expérience dans les domaines de l’IT, et plus particulièrement d’Internet et du droit. De nos jours, la fuite d’informations personnelles est devenue un problème majeur. Dans l’éventualité où des informations personnelles seraient divulguées, cela pourrait avoir un impact fatal sur les activités d’une entreprise. Notre cabinet détient une expertise spécialisée dans la prévention des fuites d’informations et les mesures à prendre en réponse. Vous trouverez plus de détails dans l’article ci-dessous.

Domaines d’expertise du cabinet d’avocats Monolith : Affaires juridiques liées à la protection des informations personnelles[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Retourner En Haut