Parmi les incidents rapport\u00e9s, le nombre de personnes affect\u00e9es par incident \u00e9tait de moins de 1000 dans 11 635 cas (96,0 %), tandis que les incidents affectant plus de 50 000 personnes repr\u00e9sentaient 61 cas (0,5 %).<\/p>\n\n\n\n
Dans les incidents rapport\u00e9s directement au comit\u00e9, le type d’information le plus fr\u00e9quemment divulgu\u00e9 \u00e9tait les donn\u00e9es clients (83,5 %), et en termes de format, les fuites impliquant uniquement des supports papier (82,0 %) \u00e9taient plus nombreuses que celles impliquant uniquement des supports \u00e9lectroniques (12,2 %).<\/p>\n\n\n\n
En ce qui concerne les cat\u00e9gories d’obligations de d\u00e9claration d\u00e9finies par la loi japonaise sur la protection des donn\u00e9es personnelles et les r\u00e8glements d’application de cette loi (les r\u00e8glements), les fuites de donn\u00e9es personnelles incluant des informations sensibles telles que l’historique m\u00e9dical ou l’origine ethnique \u00e9taient les plus nombreuses (89,7 %), suivies par les fuites de donn\u00e9es personnelles pouvant \u00eatre associ\u00e9es \u00e0 un acc\u00e8s non autoris\u00e9 ou \u00e0 des intentions malveillantes (8,1 %).<\/p>\n\n\n\n
La raison de cette tendance, compte tenu du fait que la majorit\u00e9 des causes d’incidents de fuite d’informations r\u00e9sultaient d’erreurs humaines telles que la remise, l’envoi, la destruction erron\u00e9e ou la perte (totalisant 86,3 %), semble \u00eatre que les incidents impliquant des documents papier contenant des donn\u00e9es personnelles sensibles (par exemple, les relev\u00e9s de frais m\u00e9dicaux dans les \u00e9tablissements de sant\u00e9) \u00e9taient fr\u00e9quents en raison de remises erron\u00e9es et autres erreurs similaires.<\/p>\n\n\n\n
\u00c0 la suite de ces rapports, la Commission de protection des donn\u00e9es personnelles a v\u00e9rifi\u00e9 si les notifications aux personnes concern\u00e9es (conform\u00e9ment \u00e0 l’article 26, paragraphe 2 de la loi japonaise sur la protection des donn\u00e9es personnelles) \u00e9taient ad\u00e9quatement effectu\u00e9es, si les causes des incidents \u00e9taient correctement identifi\u00e9es et analys\u00e9es, et si les mesures prises pour pr\u00e9venir la r\u00e9currence \u00e9taient appropri\u00e9es par rapport aux causes identifi\u00e9es, parmi d’autres \u00e9l\u00e9ments requis par les r\u00e8glements. En fonction des besoins, la Commission a fourni des informations sur les m\u00e9thodes d’analyse des causes et d’examen des mesures pr\u00e9ventives.<\/p>\n\n\n\n
<\/span>\u00c9tat des rapports, des directives et des conseils<\/span><\/h3>\n\n\n\n73 rapports ont \u00e9t\u00e9 collect\u00e9s et 333 directives et conseils ont \u00e9t\u00e9 donn\u00e9s aux entreprises traitant des donn\u00e9es personnelles.<\/p>\n\n\n\n
Les cas graves suivants ont \u00e9t\u00e9 signal\u00e9s :<\/p>\n\n\n\n
\nUn cas o\u00f9 les informations des clients de nouveaux fournisseurs d’\u00e9lectricit\u00e9 d\u00e9tenues par un op\u00e9rateur g\u00e9n\u00e9ral de distribution d’\u00e9lectricit\u00e9 \u00e9taient consult\u00e9es et utilis\u00e9es par une soci\u00e9t\u00e9 affili\u00e9e ou par le d\u00e9partement de vente au d\u00e9tail de la m\u00eame soci\u00e9t\u00e9.<\/li>\n\n\n\n Un cas o\u00f9 les identifiants et mots de passe attribu\u00e9s \u00e0 un op\u00e9rateur g\u00e9n\u00e9ral de distribution d’\u00e9lectricit\u00e9 par l’Agence des Ressources Naturelles et de l’\u00c9nergie, qui g\u00e8re le “Syst\u00e8me de gestion des affaires des \u00e9nergies renouvelables”, \u00e9taient utilis\u00e9s par un fournisseur d’\u00e9lectricit\u00e9 affili\u00e9 pour consulter et utiliser les informations personnelles contenues dans ce syst\u00e8me.<\/li>\n\n\n\n Un cas de fuite de donn\u00e9es, o\u00f9 Toyota Motor Corporation avait confi\u00e9 la gestion des donn\u00e9es personnelles relatives aux services aux utilisateurs de v\u00e9hicules \u00e0 sa filiale Toyota Connected Corporation, et o\u00f9 les donn\u00e9es personnelles g\u00e9r\u00e9es sur les serveurs de cette soci\u00e9t\u00e9 \u00e9taient accessibles de l’ext\u00e9rieur.<\/li>\n\n\n\n Un cas de fuite d’informations m\u00e9dicales de patients par l’Organisation Nationale des H\u00f4pitaux, un op\u00e9rateur de traitement de l’information m\u00e9dicale r\u00e9gi par la loi sur l’information m\u00e9dicale anonymis\u00e9e pour la recherche et le d\u00e9veloppement dans le domaine m\u00e9dical (Loi de 2017, n\u00b0 28).<\/li>\n\n\n\n Un cas o\u00f9 trois entreprises ayant d\u00e9clar\u00e9 l’option de retrait avaient enfreint les dispositions de la loi sur la protection des donn\u00e9es personnelles.<\/li>\n\n\n\n Un cas o\u00f9 NTT DOCOMO Inc. avait confi\u00e9 la gestion des informations clients pour la t\u00e9l\u00e9vente \u00e0 NTT NEXIA Inc., et o\u00f9 un employ\u00e9 temporaire de NEXIA avait t\u00e9l\u00e9charg\u00e9 environ 5,96 millions de donn\u00e9es personnelles sur un service cloud sans autorisation via un PC utilis\u00e9 pour le travail, risquant ainsi une fuite de donn\u00e9es.<\/li>\n\n\n\n Un cas o\u00f9 un enseignant de la soci\u00e9t\u00e9 Yotsuya Otsuka, qui exploite des \u00e9coles pr\u00e9paratoires pour les examens d’entr\u00e9e au coll\u00e8ge, a recherch\u00e9 et consult\u00e9 les donn\u00e9es personnelles des \u00e9l\u00e8ves de l’\u00e9cole primaire sur les syst\u00e8mes de gestion de l’\u00e9cole tout en \u00e9tant en poste, a enregistr\u00e9 des photos et des vid\u00e9os des \u00e9l\u00e8ves sur son t\u00e9l\u00e9phone personnel et a publi\u00e9 les donn\u00e9es personnelles de six \u00e9l\u00e8ves sur son compte SNS, provoquant une fuite.<\/li>\n\n\n\n Un cas o\u00f9 les serveurs de la soci\u00e9t\u00e9 MK System ont \u00e9t\u00e9 pirat\u00e9s, les donn\u00e9es personnelles g\u00e9r\u00e9es par le syst\u00e8me ont \u00e9t\u00e9 crypt\u00e9es par un ransomware, et il y avait un risque de fuite de donn\u00e9es.<\/li>\n\n\n\n Un cas o\u00f9, en entrant certaines commandes sur des pages de produits sp\u00e9cifiques de “Yahoo! Auctions”, le GUID (identifiant interne) des vendeurs de l’ench\u00e8re pouvait \u00eatre affich\u00e9, rendant le GUID visible par des tiers et risquant ainsi une fuite de donn\u00e9es personnelles.<\/li>\n<\/ul>\n\n\n\nDes directives bas\u00e9es sur l’article 23 de la loi sur la protection des donn\u00e9es personnelles ont \u00e9t\u00e9 \u00e9mises en r\u00e9ponse \u00e0 ces incidents, et des rapports sur la mise en \u0153uvre de mesures de pr\u00e9vention des r\u00e9cidives ont \u00e9t\u00e9 demand\u00e9s dans certains cas.<\/p>\n\n\n\n
<\/span>Situation des recommandations<\/span><\/h3>\n\n\n\nTrois recommandations ont \u00e9t\u00e9 adress\u00e9es aux op\u00e9rateurs traitant des donn\u00e9es personnelles. Voici un r\u00e9sum\u00e9 des cas concern\u00e9s.<\/p>\n\n\n\n
Dans le cadre d’un projet de centre d’appels men\u00e9 par la soci\u00e9t\u00e9 NTT Marketing Act ProCX, mandat\u00e9e par des entreprises priv\u00e9es, des organismes administratifs ind\u00e9pendants et des collectivit\u00e9s locales, un incident s’est produit impliquant un employ\u00e9 de NTT Business Solutions Corporation. Cette personne, charg\u00e9e de la maintenance et de l’exploitation des syst\u00e8mes informatiques sous-trait\u00e9s par NTT Marketing Act ProCX, a ill\u00e9galement extrait des donn\u00e9es personnelles concernant environ 9,28 millions de clients ou de r\u00e9sidents. Suite \u00e0 cette fuite de donn\u00e9es, les deux soci\u00e9t\u00e9s ont re\u00e7u chacune une recommandation leur enjoignant de prendre les mesures n\u00e9cessaires pour corriger les violations de l’article 23 de la loi japonaise sur la protection des donn\u00e9es personnelles.<\/p>\n\n\n\n
Chez LINE Yahoo Japan Corporation, un incident de fuite de donn\u00e9es personnelles s’est produit apr\u00e8s qu’un ordinateur utilis\u00e9 par un employ\u00e9 d’une entreprise de s\u00e9curit\u00e9 sous-traitante en Cor\u00e9e du Sud a \u00e9t\u00e9 infect\u00e9 par un malware, entra\u00eenant un acc\u00e8s non autoris\u00e9 au syst\u00e8me d’information. Les donn\u00e9es personnelles d’utilisateurs, de partenaires commerciaux et d’employ\u00e9s de LINE ont \u00e9t\u00e9 expos\u00e9es. Une recommandation a \u00e9t\u00e9 faite pour corriger les violations de l’article 23 de la loi japonaise sur la protection des donn\u00e9es personnelles et prendre les mesures n\u00e9cessaires. Un rapport sur l’\u00e9tat d’avancement des mesures de pr\u00e9vention des r\u00e9cidives, incluant la r\u00e9ponse \u00e0 la recommandation, a \u00e9t\u00e9 demand\u00e9.<\/p>\n\n\n\n
<\/span>Surveillance des autorit\u00e9s administratives et autres<\/span><\/h2>\n\n\n\nConform\u00e9ment \u00e0 la loi japonaise sur la protection des informations personnelles, une surveillance a \u00e9t\u00e9 exerc\u00e9e sur les autorit\u00e9s administratives et autres.<\/p>\n\n\n\n
<\/span>Traitement des rapports relatifs aux incidents de fuite d’informations personnelles d\u00e9tenues<\/span><\/h3>\n\n\n\nDans le cadre de la surveillance des autorit\u00e9s administratives et autres, 1159 rapports d’incidents de fuite d’informations personnelles d\u00e9tenues ont \u00e9t\u00e9 trait\u00e9s. Parmi ceux-ci, 162 concernaient des rapports d’organismes administratifs nationaux et 997 des collectivit\u00e9s locales et autres.<\/p>\n\n\n\n
La majorit\u00e9 des incidents rapport\u00e9s, comme l’ann\u00e9e pr\u00e9c\u00e9dente, impliquait des fuites d’informations personnelles sensibles (organismes administratifs nationaux : 61,1 %, collectivit\u00e9s locales et autres : 80,3 %), suivies par des fuites d’informations personnelles affectant plus de 100 individus (organismes administratifs nationaux : 31,5 %, collectivit\u00e9s locales et autres : 18,8 %).<\/p>\n\n\n\n
La plupart des causes d’incidents \u00e9taient dues \u00e0 des erreurs humaines telles que des remises, des envois, des destructions erron\u00e9es ou des pertes (organismes administratifs nationaux : total de 6,8 %, collectivit\u00e9s locales et autres : total de 78,8 %), et les erreurs de configuration de syst\u00e8me et autres \u00e9taient \u00e9galement fr\u00e9quentes (organismes administratifs nationaux : 22,8 %, collectivit\u00e9s locales et autres : 17,7 %).<\/p>\n\n\n\n
Concernant le nombre de personnes affect\u00e9es par incident, les cas impliquant moins de 1000 personnes \u00e9taient les plus nombreux (organismes administratifs nationaux : 93,2 %, collectivit\u00e9s locales et autres : 96,7 %), et les informations fuit\u00e9es concernaient principalement des donn\u00e9es de citoyens et autres (organismes administratifs nationaux : 78,4 %, collectivit\u00e9s locales et autres : 91,1 %). Quant \u00e0 la forme des informations fuit\u00e9es, celles sur support papier \u00e9taient les plus courantes (organismes administratifs nationaux : 58,0 %, collectivit\u00e9s locales et autres : 76,8 %).<\/p>\n\n\n\n
<\/span>Demande de documents, enqu\u00eates sur place, conseils et orientations<\/span><\/h3>\n\n\n\nAfin de v\u00e9rifier la conformit\u00e9 aux lignes directrices de la loi japonaise sur la protection des informations personnelles et autres lois connexes (version pour les autorit\u00e9s administratives et autres), 65 enqu\u00eates sur place planifi\u00e9es ont \u00e9t\u00e9 men\u00e9es aupr\u00e8s des autorit\u00e9s administratives et autres, et des directives demandant des am\u00e9liorations dans la gestion appropri\u00e9e des informations personnelles ont \u00e9t\u00e9 \u00e9mises, ainsi que des demandes de soumission de rapports sur les mesures prises.<\/p>\n\n\n\n
En plus des enqu\u00eates sur place, 73 conseils et orientations ont \u00e9t\u00e9 donn\u00e9s lors de la r\u00e9ception des rapports d’incidents de fuite d’informations personnelles, notamment en exigeant la mise en \u0153uvre de mesures pr\u00e9ventives pour les lacunes observ\u00e9es dans les mesures de s\u00e9curit\u00e9. Les incidents graves suivants ont \u00e9t\u00e9 signal\u00e9s :<\/p>\n\n\n\n
\nUn cas o\u00f9 des informations personnelles d\u00e9tenues dans le \u00ab Syst\u00e8me de gestion des affaires de l’\u00e9nergie renouvelable \u00bb exploit\u00e9 par l’Agence japonaise des ressources naturelles et de l’\u00e9nergie ont \u00e9t\u00e9 consult\u00e9es et utilis\u00e9es par des d\u00e9taillants d’\u00e9lectricit\u00e9 concern\u00e9s en utilisant des identifiants et mots de passe attribu\u00e9s aux op\u00e9rateurs de distribution g\u00e9n\u00e9rale.<\/li>\n\n\n\n Un cas \u00e0 Noboribetsu, pr\u00e9fecture d’Aomori, o\u00f9 une cl\u00e9 USB contenant des informations personnelles telles que le nom, la date de naissance, les r\u00e9sultats d’examens de sant\u00e9 et l’historique de vaccination contre le COVID-19 de la majorit\u00e9 des r\u00e9sidents de la ville a \u00e9t\u00e9 perdue, cr\u00e9ant un risque de fuite.<\/li>\n\n\n\n Un cas impliquant deux enseignants de deux lyc\u00e9es sous la juridiction de la commission de l’\u00e9ducation de la pr\u00e9fecture de Nagano, qui, apr\u00e8s avoir \u00e9t\u00e9 victimes d’une escroquerie de support, ont install\u00e9 un logiciel de contr\u00f4le \u00e0 distance sur leur ordinateur de travail sans autorisation, suivant les instructions des escrocs, cr\u00e9ant ainsi un risque de fuite d’informations personnelles d\u00e9tenues sur les \u00e9l\u00e8ves et le personnel de ces lyc\u00e9es.<\/li>\n<\/ul>\n\n\n\nDes directives bas\u00e9es sur l’article 66, paragraphe 1 de la loi japonaise sur la protection des informations personnelles ont \u00e9t\u00e9 \u00e9mises en r\u00e9ponse \u00e0 ces incidents, en raison de r\u00e9ponses insuffisantes aux probl\u00e8mes de gestion de la s\u00e9curit\u00e9, et des demandes de soumission de documents et autres ont \u00e9t\u00e9 faites concernant les mesures de pr\u00e9vention des r\u00e9cidives pour les incidents survenus dans les pr\u00e9fectures d’Aomori et de Nagasaki.<\/p>\n\n\n\n