Conformité de la sécurité des données à la loi sur la protection des informations personnelles au Japon

Présentation de la réglementation

La loi sur la protection des informations personnelles (APPI) - n° 57 de 2003 est la législation primaire qui s’applique au recueil et au traitement des données personnelles. Elle a été révisée en 2017 et 2022, respectivement.

L’APPI institue la Commission de protection des données personnelles (CPP), un organisme de réglementation qui peut donner des conseils sur l’application et l’interprétation de la loi et de ses exigences. 

Des orientations pratiques pour l’APPI, les Règles générales, ont été publiées par le CPP en 10 chapitres :

• Chapitre 1 : Objet et champ d’application
• Chapitre 2 : Définition
• Chapitre 3 : Obligations des opérateurs commerciaux traitant des informations personnelles
• Chapitre 4 : Approche des recommandations, ordonnances et ordonnances d’urgence
• Chapitre 5 : Exemptions
• Chapitre 6 : Dispositions particulières d’application
• Chapitre 7 : Responsabilités des institutions de recherche universitaires
• Chapitre 8 : Application extraterritoriale
• Chapitre 9 : Révision des lignes directrices
• Chapitre 10 : Détails des mesures de contrôle de sécurité à prendre

Les organisations basées au Japon doivent se conformer aux exigences de l’APPI lorsqu’elles traitent les données personnelles des personnes concernées. Si vous êtes une entreprise étrangère, vous serez soumis à l’APPI si les trois critères suivants sont réunis :

• Champ d’application personnel : l’APPI s’applique si votre entreprise traite des informations personnelles de personnes japonaises.
• Champ d’application territorial : si vous recueillez les données personnelles d’une personne concernée dans le but de fournir vos produits et services et que vous traitez les données personnelles des personnes concernées dans un pays étranger, vous serez soumis aux exigences de l’APPI. 
• Champ d’application matériel : l’APPI s’applique au « traitement » des données personnelles. Le traitement fait référence au recueil, à la conservation, à l’utilisation, au transfert et à toute autre forme de traitement des informations personnelles.

Thales aide les entreprises japonaises à se conformer à la loi sur la protection des informations personnelles en répondant aux exigences essentielles de la protection des informations personnelles en ce qui concerne le chiffrement avancé et la gestion des clés.

Exigences : Chapitre 2-1 : Informations personnelles ; Chapitre 3-5-3-1 : Situations à signaler et Chapitre 10-3 : Mesures organisationnelles de gestion de la sécurité

Pour que le chiffrement et la tokénization parviennent à sécuriser les données sensibles, telles que les informations personnelles, les clés de chiffrement elles-mêmes doivent être sécurisées, gérées et contrôlées par l’organisation afin de renforcer encore plus la sécurité des données.

Protéger les données sensibles

• L’organisation peut sécuriser les données sensibles grâce à CipherTrust Tokenization, qui offre une gamme complète de fonctionnalités de sécurité des données, notamment le chiffrement au niveau des fichiers avec des contrôles d’accès, le chiffrement au niveau des applications, le chiffrement des bases de données, le masquage statique des données, la tokénisation sans coffre-fort avec le masquage dynamique des données basé sur des politiques, et la tokénisation avec coffre-fort pour prendre en charge une vaste gamme de cas d’utilisation de la protection des données. CipherTrust Transparent Encryption (CTE) fournit un chiffrement des données au repos avec une gestion centralisée des clés, des contrôles d’accès d’utilisateur privilégié et des journaux répertoriant des informations détaillées sur les accès aux données. Ceci permet de protéger les données où qu’elles résident, sur site, dans plusieurs clouds et dans les environnements de Big Data ou de conteneurs.

Contrôler :

• La réglementation exige des organisations qu’elles soient en mesure de surveiller, de détecter, de contrôler et de signaler les accès autorisés et non autorisés aux données et aux clés de chiffrement. Les organisations peuvent contrôler l’accès à leurs données et centraliser la gestion des clés avec CipherTrust Manager, CipherTrust Cloud Key Management (CCKM) et CipherTrust Data Security Platform pour une forte séparation des tâches et pour appliquer des politiques de gestion d’accès pour les utilisateurs les moins privilégiés à un niveau de granularité élevé.

Exigence : Chapitre 10-6 : Mesures techniques de contrôle de la sécurité

Le chiffrement du réseau permet de protéger les données en transit et la solution de protection contre les rançongiciels aide les organisations à détecter les cyberattaques et à sécuriser les données sensibles.

• Les dispositifs de chiffrement à haut débit, ou High Speed Encryptors (HSE), de Thales offrent un chiffrement des données en transit indépendant du réseau (couches 2, 3 et 4), ce qui garantit la sécurité des données pendant leur transit d’un site à l’autre, d’une infrastructure sur site vers le cloud et inversement.
• CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) offre un moyen non intrusif de protéger les fichiers/dossiers contre les attaques par rançongiciels. Cet outil surveille en permanence les processus à la recherche d’activités d’E/S anormales et alerte ou bloque les activités malveillantes avant que les rançongiciels ne s’emparent complètement de vos terminaux et de vos serveurs.