Dos casos reportados, 11.635 (96,0%) envolveram a fuga de informa\u00e7\u00e3o de menos de 1000 pessoas por caso, enquanto que os casos que afetaram mais de 50.000 pessoas representaram 61 (0,5%) do total.<\/p>\n\n\n\n
Nos casos reportados diretamente ao Comit\u00e9, o tipo de informa\u00e7\u00e3o mais frequentemente exposto foi a informa\u00e7\u00e3o de clientes (83,5%), e, quando analisado por tipo de suporte, verifica-se que a fuga de informa\u00e7\u00e3o em suporte de papel (82,0%) foi mais comum do que em suporte eletr\u00f3nico (12,2%).<\/p>\n\n\n\n
De acordo com as categorias de obriga\u00e7\u00f5es de reporte estabelecidas pela Lei de Prote\u00e7\u00e3o de Dados Pessoais Japonesa e pelas regras de execu\u00e7\u00e3o relacionadas (regras de execu\u00e7\u00e3o), a maioria dos casos envolveu a fuga de dados pessoais que inclu\u00edam informa\u00e7\u00f5es sens\u00edveis, como hist\u00f3rico m\u00e9dico ou ra\u00e7a (89,7%), seguidos por fugas de dados pessoais que poderiam ter sido causadas por acessos n\u00e3o autorizados ou com inten\u00e7\u00f5es il\u00edcitas (8,1%).<\/p>\n\n\n\n
Uma poss\u00edvel raz\u00e3o para esta tend\u00eancia, considerando que a maioria das causas de incidentes de fuga de informa\u00e7\u00e3o se deveu a erros humanos, como envios errados, descartes incorretos e perdas (totalizando 86,3%), \u00e9 que houve muitos casos de fuga de informa\u00e7\u00e3o devido a erros na entrega de documentos em papel que continham dados pessoais sens\u00edveis (por exemplo, detalhes de cobran\u00e7a de tratamentos em institui\u00e7\u00f5es m\u00e9dicas).<\/p>\n\n\n\n
Em resposta a esses relat\u00f3rios, a Comiss\u00e3o de Prote\u00e7\u00e3o de Dados Pessoais Japonesa verificou se a notifica\u00e7\u00e3o aos indiv\u00edduos afetados (conforme o Artigo 26, Par\u00e1grafo 2, da Lei de Prote\u00e7\u00e3o de Dados Pessoais Japonesa) foi adequadamente realizada, se as causas dos incidentes foram corretamente identificadas e analisadas, e se as medidas propostas para prevenir a recorr\u00eancia dos incidentes correspondiam adequadamente \u00e0s causas identificadas, entre outros itens report\u00e1veis conforme as regras de execu\u00e7\u00e3o. A Comiss\u00e3o tomou as a\u00e7\u00f5es necess\u00e1rias, incluindo fornecer informa\u00e7\u00f5es sobre m\u00e9todos de an\u00e1lise de causas e considera\u00e7\u00e3o de estrat\u00e9gias de preven\u00e7\u00e3o de recorr\u00eancia, quando necess\u00e1rio.<\/p>\n\n\n\n
<\/span>Situa\u00e7\u00e3o de Relat\u00f3rio de Cobran\u00e7a, Orienta\u00e7\u00e3o e Aconselhamento<\/span><\/h3>\n\n\n\nForam realizadas 73 a\u00e7\u00f5es de cobran\u00e7a de relat\u00f3rios, 333 orienta\u00e7\u00f5es e aconselhamentos a entidades que tratam de dados pessoais.<\/p>\n\n\n\n
Como casos graves, foram identificados os seguintes:<\/p>\n\n\n\n
\nUm caso em que um operador geral de distribui\u00e7\u00e3o de eletricidade permitiu que uma empresa do mesmo grupo ou uma divis\u00e3o de retalho da mesma empresa, um operador de retalho de eletricidade relacionado, visualizasse e utilizasse informa\u00e7\u00f5es de clientes de novas energias que detinha;<\/li>\n\n\n\n Um caso em que um operador de retalho de eletricidade relacionado utilizou o ID e a senha de uma conta atribu\u00edda a um operador geral de distribui\u00e7\u00e3o de eletricidade para acessar e usar informa\u00e7\u00f5es pessoais mantidas no “Sistema de Gest\u00e3o de Neg\u00f3cios de Energia Renov\u00e1vel” gerido pela Ag\u00eancia de Recursos e Energia;<\/li>\n\n\n\n Um caso de vazamento, entre outros, em que a Toyota Motor Corporation confiou o tratamento de dados pessoais relacionados a servi\u00e7os para usu\u00e1rios de ve\u00edculos \u00e0 sua subsidi\u00e1ria Toyota Connected Corporation, e os dados pessoais geridos por esta empresa estavam acess\u00edveis externamente;<\/li>\n\n\n\n Um caso de vazamento de informa\u00e7\u00f5es m\u00e9dicas de pacientes por parte do Instituto Nacional de Hospitais, um operador de neg\u00f3cios de tratamento de informa\u00e7\u00f5es m\u00e9dicas sob a Lei de Informa\u00e7\u00f5es M\u00e9dicas Anonimizadas para Pesquisa e Desenvolvimento no Campo M\u00e9dico (Lei n\u00ba 28 de 2017);<\/li>\n\n\n\n Um caso em que tr\u00eas empresas que haviam notificado a op\u00e7\u00e3o de sa\u00edda violaram as disposi\u00e7\u00f5es da Lei de Prote\u00e7\u00e3o de Dados Pessoais;<\/li>\n\n\n\n Um caso em que um funcion\u00e1rio tempor\u00e1rio da NTT Nexia Co., Ltd., a quem a NTT DOCOMO, Inc. havia confiado a gest\u00e3o de informa\u00e7\u00f5es de clientes para televendas, acessou um servi\u00e7o de nuvem sem autoriza\u00e7\u00e3o a partir de um PC usado para o trabalho e carregou dados pessoais de aproximadamente 5,96 milh\u00f5es de pessoas, causando o risco de vazamento desses dados;<\/li>\n\n\n\n Um caso em que um professor da Yotsuya Otsuka Corporation, que opera uma escola preparat\u00f3ria para exames de admiss\u00e3o ao ensino m\u00e9dio, pesquisou e visualizou dados pessoais de alunos do ensino fundamental geridos pela escola, inseriu esses dados em seu smartphone pessoal e postou informa\u00e7\u00f5es pessoais de seis pessoas em sua conta de SNS, causando um vazamento;<\/li>\n\n\n\n Um caso em que o servidor da MK System Corporation foi alvo de acesso n\u00e3o autorizado e dados pessoais geridos no sistema foram criptografados por ransomware, gerando o risco de vazamento;<\/li>\n\n\n\n Um caso em que, ao inserir um comando espec\u00edfico em uma p\u00e1gina de produto do “Yahoo! Auctions”, o GUID (identificador interno) do vendedor do leil\u00e3o era exibido, tornando-o vis\u00edvel a terceiros e criando o risco de vazamento de dados pessoais.<\/li>\n<\/ul>\n\n\n\nEm rela\u00e7\u00e3o a esses casos, foram realizadas orienta\u00e7\u00f5es com base no Artigo 23 da Lei de Prote\u00e7\u00e3o de Dados Pessoais, e para alguns deles, foram solicitados relat\u00f3rios sobre a implementa\u00e7\u00e3o de medidas para prevenir a recorr\u00eancia.<\/p>\n\n\n\n
<\/span>Situa\u00e7\u00e3o das Recomenda\u00e7\u00f5es<\/span><\/h3>\n\n\n\nForam realizadas tr\u00eas recomenda\u00e7\u00f5es a entidades que tratam de dados pessoais. Seguem-se os resumos dessas recomenda\u00e7\u00f5es.<\/p>\n\n\n\n
Relativamente ao neg\u00f3cio de um call center operado pela NTT Marketing Act ProCX, que tinha recebido contratos de empresas privadas, de entidades administrativas independentes e de autoridades locais, um incidente de fuga de dados ocorreu quando um indiv\u00edduo afiliado \u00e0 NTT Business Solutions Corporation, que tinha sido subcontratada para a manuten\u00e7\u00e3o e opera\u00e7\u00e3o do sistema utilizado nos neg\u00f3cios, retirou indevidamente dados pessoais de aproximadamente 9,28 milh\u00f5es de clientes ou residentes. Ambas as empresas receberam recomenda\u00e7\u00f5es para tomar as medidas necess\u00e1rias para corrigir as viola\u00e7\u00f5es do Artigo 23 da Lei de Prote\u00e7\u00e3o de Dados Pessoais (Japanese Personal Information Protection Act).<\/p>\n\n\n\n
Na LINE Yahoo Corporation, um incidente de vazamento de dados pessoais de utilizadores, parceiros comerciais e funcion\u00e1rios relacionados com a LINE ocorreu ap\u00f3s um computador de um funcion\u00e1rio de uma empresa de seguran\u00e7a sul-coreana, que estava a realizar trabalhos de manuten\u00e7\u00e3o, ter sido infetado por malware, o que levou a um acesso n\u00e3o autorizado ao sistema de informa\u00e7\u00e3o. Foi feita uma recomenda\u00e7\u00e3o para tomar as medidas necess\u00e1rias para corrigir as viola\u00e7\u00f5es do Artigo 23 da Lei de Prote\u00e7\u00e3o de Dados Pessoais (Japanese Personal Information Protection Act), e foi solicitado um relat\u00f3rio sobre o estado das melhorias, incluindo a implementa\u00e7\u00e3o de medidas para prevenir a recorr\u00eancia.<\/p>\n\n\n\n
<\/span>Vigil\u00e2ncia sobre Entidades Administrativas e Afins<\/span><\/h2>\n\n\n\nCom base na Lei de Prote\u00e7\u00e3o de Dados Pessoais Japonesa, foi realizada a vigil\u00e2ncia tamb\u00e9m sobre as entidades administrativas e afins.<\/p>\n\n\n\n
<\/span>Situa\u00e7\u00e3o do Processamento de Relat\u00f3rios sobre Casos de Viola\u00e7\u00e3o de Dados Pessoais<\/span><\/h3>\n\n\n\nNo \u00e2mbito da vigil\u00e2ncia sobre as entidades administrativas e afins, foram processados 1159 relat\u00f3rios de casos de viola\u00e7\u00e3o de dados pessoais. Destes, 162 foram relatados por entidades administrativas nacionais e 997 por entidades p\u00fablicas locais.<\/p>\n\n\n\n
A maioria dos casos reportados, tal como no ano anterior, diz respeito a viola\u00e7\u00f5es de dados pessoais sens\u00edveis (entidades administrativas nacionais: 61.1%, entidades p\u00fablicas locais: 80.3%), seguidos por viola\u00e7\u00f5es de dados pessoais que afetaram mais de 100 indiv\u00edduos (entidades administrativas nacionais: 31.5%, entidades p\u00fablicas locais: 18.8%).<\/p>\n\n\n\n
A maioria das causas identificadas deve-se a erros humanos, como entrega, envio, descarte incorreto ou perda (entidades administrativas nacionais: total de 6.8%, entidades p\u00fablicas locais: total de 78.8%), seguidos por erros de configura\u00e7\u00e3o de sistemas, entre outros (entidades administrativas nacionais: 22.8%, entidades p\u00fablicas locais: 17.7%).<\/p>\n\n\n\n
Em rela\u00e7\u00e3o ao n\u00famero de pessoas afetadas por cada incidente, a maioria envolveu menos de 1000 pessoas (entidades administrativas nacionais: 93.2%, entidades p\u00fablicas locais: 96.7%), e os dados mais frequentemente violados foram os de cidad\u00e3os (entidades administrativas nacionais: 78.4%, entidades p\u00fablicas locais: 91.1%). Quanto \u00e0 forma dos dados violados, a maioria diz respeito a documentos em papel (entidades administrativas nacionais: 58.0%, entidades p\u00fablicas locais: 76.8%).<\/p>\n\n\n\n
<\/span>Situa\u00e7\u00e3o de Solicita\u00e7\u00f5es de Documenta\u00e7\u00e3o, Inspe\u00e7\u00f5es no Local, Orienta\u00e7\u00f5es e Aconselhamento<\/span><\/h3>\n\n\n\nPara verificar a conformidade com as diretrizes da Lei de Prote\u00e7\u00e3o de Dados Pessoais Japonesa e a Lei de Prote\u00e7\u00e3o de Dados Pessoais relacionada (edi\u00e7\u00e3o para entidades administrativas e afins), foram realizadas 65 a\u00e7\u00f5es de inspe\u00e7\u00e3o no local e outras, e foram dadas orienta\u00e7\u00f5es para melhorar o tratamento adequado de dados pessoais, bem como solicita\u00e7\u00f5es de documenta\u00e7\u00e3o sobre as medidas orientadas.<\/p>\n\n\n\n
Al\u00e9m das inspe\u00e7\u00f5es no local, foram realizadas 73 a\u00e7\u00f5es de orienta\u00e7\u00e3o e aconselhamento, como a exig\u00eancia de aprimoramento das medidas de preven\u00e7\u00e3o de recorr\u00eancia relacionadas a falhas nas medidas de seguran\u00e7a de gest\u00e3o, em resposta aos relat\u00f3rios de viola\u00e7\u00e3o de dados pessoais.<\/p>\n\n\n\n
\nUm caso envolvendo o sistema de gest\u00e3o de neg\u00f3cios de energia renov\u00e1vel operado pela Ag\u00eancia de Recursos Energ\u00e9ticos Japonesa, onde contas de ID e senhas atribu\u00eddas a operadores de transmiss\u00e3o e distribui\u00e7\u00e3o gerais foram utilizadas por operadores de varejo de eletricidade relacionados para acessar e usar informa\u00e7\u00f5es pessoais contidas no sistema.<\/li>\n\n\n\n Um caso em Noboribetsu, Aomori, onde um USB contendo informa\u00e7\u00f5es pessoais como nomes, datas de nascimento, resultados de exames de sa\u00fade e hist\u00f3rico de vacina\u00e7\u00e3o contra COVID-19 da maioria dos residentes da cidade foi perdido, gerando risco de viola\u00e7\u00e3o de dados.<\/li>\n\n\n\n Um caso envolvendo dois professores de duas escolas secund\u00e1rias sob a jurisdi\u00e7\u00e3o da Comiss\u00e3o de Educa\u00e7\u00e3o de Nagano, que foram v\u00edtimas de fraude de suporte e, seguindo as instru\u00e7\u00f5es dos fraudadores, instalaram software de controle remoto em PCs destinados a tarefas escolares sem autoriza\u00e7\u00e3o, criando risco de viola\u00e7\u00e3o de informa\u00e7\u00f5es pessoais de estudantes e funcion\u00e1rios dessas escolas.<\/li>\n<\/ul>\n\n\n\nEm resposta a esses casos, foram dadas orienta\u00e7\u00f5es com base no Artigo 66, Par\u00e1grafo 1, da Lei de Prote\u00e7\u00e3o de Dados Pessoais Japonesa, devido \u00e0 resposta inadequada aos problemas de seguran\u00e7a. Nos casos de Aomori e Nagano, tamb\u00e9m foram solicitados documentos sobre a implementa\u00e7\u00e3o de medidas de preven\u00e7\u00e3o de recorr\u00eancia.<\/p>\n\n\n\n