Dei casi segnalati, 11.635 incidenti (96,0%) hanno coinvolto meno di 1.000 persone per ogni incidente, mentre gli incidenti che hanno interessato pi\u00f9 di 50.000 persone hanno rappresentato 61 casi (0,5%).<\/p>\n\n\n\n
Per quanto riguarda gli incidenti segnalati direttamente al Comitato, il tipo di informazioni pi\u00f9 frequentemente esposte sono state quelle dei clienti (83,5%), e analizzando la forma in cui si \u00e8 verificata la fuga di informazioni, i documenti cartacei sono stati quelli pi\u00f9 colpiti (82,0%), rispetto a quelli in formato elettronico (12,2%).<\/p>\n\n\n\n
Classificando gli incidenti secondo le categorie di obbligo di segnalazione definite dal Regolamento di attuazione della Legge sulla Protezione dei Dati Personali (Regolamento), la maggior parte degli incidenti ha riguardato la fuga di dati personali che includevano informazioni sensibili come la storia clinica o l’etnia (89,7%), seguita da fughe di dati personali che potrebbero essere state causate da accessi non autorizzati o con intenti illeciti (8,1%).<\/p>\n\n\n\n
La ragione di questa tendenza, considerando che la maggior parte delle cause degli incidenti \u00e8 dovuta a errori umani come consegne errate, invii errati, smaltimenti inappropriati e perdite (per un totale dell’86,3%), sembra essere l’alto numero di incidenti causati da errori nella consegna di documenti cartacei contenenti dati personali sensibili (come, per esempio, i dettagli delle fatture mediche nelle strutture sanitarie).<\/p>\n\n\n\n
In risposta a queste segnalazioni, la Commissione per la Protezione dei Dati Personali ha verificato se la notifica alle persone interessate (articolo 26, paragrafo 2, della Legge sulla Protezione dei Dati Personali) fosse stata adeguatamente effettuata, se le cause degli incidenti fossero state correttamente identificate e analizzate, e se le misure adottate per prevenire la ricorrenza degli incidenti fossero adeguate alle cause identificate, tra gli altri aspetti richiesti dal Regolamento. Inoltre, quando necessario, sono state fornite informazioni e consigli sulle metodologie di analisi delle cause e sulla valutazione delle misure preventive.<\/p>\n\n\n\n
<\/span>Situazione di raccolta rapporti, orientamento e consulenza<\/span><\/h3>\n\n\n\nSono state effettuate 73 azioni di raccolta rapporti, 333 di orientamento e consulenza nei confronti degli operatori che gestiscono dati personali.<\/p>\n\n\n\n
Come casi di particolare gravit\u00e0 sono stati segnalati i seguenti:<\/p>\n\n\n\n
\nUn caso in cui le informazioni dei clienti di nuove forniture elettriche detenute da un operatore generale di trasmissione e distribuzione sono state visualizzate e utilizzate dall’operatore di vendita al dettaglio di energia elettrica appartenente allo stesso gruppo aziendale o alla stessa azienda.<\/li>\n\n\n\n Un caso in cui l’ID e la password di un account assegnato a un operatore generale di trasmissione e distribuzione sono stati utilizzati dall’operatore di vendita al dettaglio di energia elettrica per accedere e utilizzare le informazioni personali contenute nel “Sistema di gestione delle attivit\u00e0 per le energie rinnovabili” gestito dall’Agenzia per le Risorse Energetiche.<\/li>\n\n\n\n Un caso di fuga di dati in cui Toyota Motor Corporation aveva affidato a Toyota Connected Corporation, una sua sussidiaria, la gestione dei dati personali relativi ai servizi per gli utenti dei veicoli, e i dati personali gestiti sui server della societ\u00e0 erano diventati accessibili dall’esterno.<\/li>\n\n\n\n Un caso di fuga di informazioni mediche dei pazienti da parte dell’Organizzazione Nazionale degli Ospedali, un’entit\u00e0 amministrativa indipendente e operatore di gestione delle informazioni sanitarie ai sensi della legge sull’informazione medica anonimizzata per la ricerca e lo sviluppo nel campo medico (Legge del 2017, n. 28).<\/li>\n\n\n\n Un caso in cui tre aziende che avevano presentato una notifica di opt-out avevano violato le disposizioni della Legge sulla Protezione dei Dati Personali.<\/li>\n\n\n\n Un caso in cui un dipendente temporaneo di NTT Nexia Co., Ltd., a cui NTT DOCOMO Inc. aveva affidato la gestione delle informazioni dei clienti per le vendite telefoniche, aveva accesso non autorizzato a un servizio cloud personale dal PC utilizzato per lavoro e aveva caricato su di esso dati personali di circa 5,96 milioni di persone, causando il rischio di una fuga di dati.<\/li>\n\n\n\n Un caso in cui un insegnante della societ\u00e0 di doposcuola per l’esame di ammissione alle scuole medie Yotsuya Otsuka, mentre era in servizio, aveva cercato e visualizzato dati personali degli studenti gestiti dalla scuola, insieme a foto e video di bambini delle scuole elementari che frequentavano la scuola, li aveva inseriti nel proprio smartphone privato e aveva pubblicato i dati personali di sei persone sul proprio account SNS, causando una fuga di dati.<\/li>\n\n\n\n Un caso in cui i server della societ\u00e0 MK System sono stati soggetti a un accesso non autorizzato e i dati personali gestiti dal sistema sono stati criptati a causa di un ransomware, generando il rischio di una fuga di dati.<\/li>\n\n\n\n Un caso in cui, inserendo un certo comando in pagine specifiche di prodotti su “Yahoo! Auctions”, veniva visualizzato il GUID (identificatore interno) del venditore all’asta, rendendo tale GUID visibile a terzi e causando il rischio di una fuga di dati.<\/li>\n<\/ul>\n\n\n\nIn risposta a questi casi, sono state fornite direttive basate sull’articolo 23 della Legge sulla Protezione dei Dati Personali, e per alcuni di essi \u00e8 stato richiesto un rapporto sullo stato di implementazione delle misure per prevenire la ricorrenza.<\/p>\n\n\n\n
<\/span>Situazione delle Raccomandazioni<\/span><\/h3>\n\n\n\nA soggetti che gestiscono dati personali sono state effettuate tre raccomandazioni. Di seguito sono riportati i dettagli.<\/p>\n\n\n\n
In relazione all’attivit\u00e0 di un call center condotta da NTT Marketing Act ProCX Co., Ltd., su incarico di operatori privati, enti amministrativi indipendenti e enti pubblici locali, si \u00e8 verificato un caso di fuga di dati in cui un individuo appartenente a NTT Business Solutions Co., Ltd., a cui era stato affidato il mantenimento e l’operativit\u00e0 del sistema utilizzato nell’attivit\u00e0, ha illecitamente sottratto dati personali relativi a clienti o cittadini, per un totale di circa 9,28 milioni di persone. In questo caso, entrambe le societ\u00e0 sono state invitate a prendere le misure necessarie per correggere la violazione dell’articolo 23 della Legge Giapponese sulla Protezione dei Dati Personali.<\/p>\n\n\n\n
Presso LINE Yahoo Japan Corporation, a seguito dell’infezione da malware di un PC utilizzato da un dipendente di una societ\u00e0 di sicurezza coreana, a cui era stato affidato il compito di manutenzione, si \u00e8 verificato un caso di accesso non autorizzato al sistema informativo e di conseguente fuga di dati personali relativi a utenti, partner commerciali e dipendenti di LINE. In questo caso, \u00e8 stata fatta una raccomandazione per prendere le misure necessarie per correggere la violazione dell’articolo 23 della Legge Giapponese sulla Protezione dei Dati Personali e sono state richieste relazioni sullo stato di attuazione delle misure per prevenire la ricorrenza, compreso lo stato di miglioramento in risposta alla raccomandazione.<\/p>\n\n\n\n
<\/span>Sorveglianza degli enti amministrativi<\/span><\/h2>\n\n\n\nIn base alla Legge sulla Protezione dei Dati Personali giapponese, \u00e8 stata condotta una sorveglianza anche sugli enti amministrativi.<\/p>\n\n\n\n
<\/span>Stato del trattamento dei rapporti relativi agli incidenti di divulgazione delle informazioni personali in possesso<\/span><\/h3>\n\n\n\nNell’ambito della sorveglianza degli enti amministrativi, sono stati trattati 1159 rapporti relativi a incidenti di divulgazione delle informazioni personali in possesso. Di questi, 162 rapporti provengono da enti amministrativi nazionali e 997 da enti pubblici locali.<\/p>\n\n\n\n
La maggior parte degli incidenti segnalati, come nell’anno precedente, riguarda la divulgazione di informazioni personali sensibili (enti amministrativi nazionali: 61.1%, enti pubblici locali: 80.3%), seguita da divulgazioni che hanno interessato pi\u00f9 di 100 individui (enti amministrativi nazionali: 31.5%, enti pubblici locali: 18.8%).<\/p>\n\n\n\n
Le principali cause degli incidenti sono errori umani come consegne errate, invii errati, smaltimenti inappropriati e perdite (enti amministrativi nazionali: totale 6.8%, enti pubblici locali: totale 78.8%), seguiti da errori di configurazione del sistema e altre cause (enti amministrativi nazionali: 22.8%, enti pubblici locali: 17.7%).<\/p>\n\n\n\n
Per quanto riguarda il numero di persone colpite da ogni singolo incidente, la maggior parte ha interessato meno di 1000 persone (enti amministrativi nazionali: 93.2%, enti pubblici locali: 96.7%), e le informazioni divulgate riguardavano principalmente dati dei cittadini (enti amministrativi nazionali: 78.4%, enti pubblici locali: 91.1%). La forma pi\u00f9 comune di informazioni divulgate era su supporto cartaceo (enti amministrativi nazionali: 58.0%, enti pubblici locali: 76.8%).<\/p>\n\n\n\n
<\/span>Richiesta di documentazione, ispezioni sul campo, direttive e consulenze<\/span><\/h3>\n\n\n\nPer verificare la conformit\u00e0 alle linee guida relative alla Legge sulla Protezione dei Dati Personali giapponese e alle leggi sulla protezione dei dati personali (versione per gli enti amministrativi), sono state condotte 65 ispezioni programmate sul campo, durante le quali sono state richieste direttive per migliorare la gestione appropriata dei dati personali e la presentazione di rapporti relativi alle direttive impartite.<\/p>\n\n\n\n
Oltre alle ispezioni sul campo, sono state effettuate 73 azioni di direttiva e consulenza, tra cui richieste di rafforzamento delle misure di prevenzione per le carenze nelle misure di sicurezza legate alla gestione dei dati personali segnalati. Tra gli incidenti gravi si segnalano:<\/p>\n\n\n\n
\nUn caso in cui gli account ID e password assegnati agli operatori di distribuzione generale dall’Agenzia per le Risorse e l’Energia giapponese, utilizzati per l’accesso e l’uso non autorizzato delle informazioni personali contenute nel “Sistema di Gestione delle Attivit\u00e0 di Energia Rinnovabile”.<\/li>\n\n\n\n Un caso a Noheji, nella prefettura di Aomori, dove \u00e8 stata smarrita una USB contenente informazioni personali come nome, data di nascita, risultati di esami sanitari e cronologia delle vaccinazioni per il COVID-19 della maggior parte dei cittadini, con il rischio di una possibile divulgazione.<\/li>\n\n\n\n Un caso in cui due insegnanti di due scuole superiori sotto la giurisdizione della Commissione Educativa della Prefettura di Nagano, cadendo vittime di una truffa di supporto, hanno installato software di controllo remoto non autorizzato sui PC destinati agli affari scolastici, creando il rischio di divulgazione delle informazioni personali degli studenti e del personale scolastico.<\/li>\n<\/ul>\n\n\n\nIn questi casi, sono state impartite direttive basate sull’articolo 66, paragrafo 1, della Legge sulla Protezione dei Dati Personali giapponese per affrontare le inadeguate misure di sicurezza, e per gli incidenti nelle prefetture di Aomori e Nagasaki sono state richieste anche la presentazione di documenti relativi all’attuazione delle misure di prevenzione.<\/p>\n\n\n\n