Partager via


My Number Act (Japon)

À propos de My Number Act

Le gouvernement japonais a promulgué la loi My Number (en japonais et anglais), qui est entrée en vigueur en janvier 2016. Elle a attribué un numéro unique à 12 chiffres, appelé Mon numéro, ou le numéro de prestations sociales et fiscales ou numéro individuel, à chaque résident du Japon, qu'il soit japonais ou étranger. La mise en place d’un nombre unique pour toutes les finalités (comme le numéro de sécurité sociale aux États-Unis) a été conçue pour simplifier et améliorer l’efficacité de la fiscalité et la mise en œuvre des avantages sociaux tels que la pension nationale, l’assurance maladie et le chômage.

La Commission sur la protection des informations personnelles (PPC), qui agit comme autorité centralisée de protection des données, a été établie par la Loi sur la protection des informations personnelles (japonais et anglais). Dans le cadre du rôle PPC de supervision et de suivi de la conformité avec My Number Act, il a émis des Instructions My Number (japonais) pour s’assurer que les organisations gèrent et protègent correctement les données personnelles, y compris les données numériques, comme l’exige la loi.

Microsoft et My Number Act

Pour aider nos clients japonais à protéger la confidentialité des données personnelles, Microsoft s'engage contractuellement, par le biais des Conditions des services en ligne de Microsoft à ce que nos services en nuage pour les entreprises dans le champ d'application aient mis en œuvre les mesures de sécurité techniques et organisationnelles qui aident nos clients à se conformer à la loi sur les numéros. Cette assistance signifie que les clients au Japon peuvent déployer les services de cloud commercial de Microsoft avec la certitude qu'ils peuvent se conformer aux exigences législatives japonaises.

Le Q&A (japonais) publié par la Commission des Information Protection personnelles (CPP) présente des lignes directrices pour le traitement et la protection appropriés des renseignements personnels. Elle prévoit qu’un tiers n’est pas interprété comme traitant des données personnelles si le tiers stipule dans son accord que (a) il ne le fait pas et (b) qu’il établit un système de contrôle d’accès approprié. Le My Number Act spécifie les obligations lorsque des données sont transférées à un tiers, mais la section Q3-12 (japonais) du PPC Q&A explique que ces exigences ne s’appliquent pas si le tiers ne « gère pas », c’est-à-dire a un accès permanent aux données personnelles.

Les services de Cloud Microsoft Entreprise (Microsoft Business cloud services) répondent à ces exigences dans les termes de Services Microsoft Onlinequi stipulent que la propriété et la responsabilité des données client contenant les données My Number incombent à nos clients, et non à Microsoft. Par conséquent, le client doit avoir des contrôles appropriés en place pour protéger les données My Number contenues dans les données des clients.

Étant donné que Microsoft n’a pas d’accès permanent aux données My Number stockées dans ses services cloud, un contrat « d’externalisation » pour la gestion des données My Number n’est pas nécessaire. Si un client souhaite que Microsoft Corporation accède aux données de ses clients qui contiennent des données de Mon numéro, il doit créer un autre contrat d'externalisation avec Microsoft pour chaque cas avant de faire une telle demande.

Les conditions stipulent également que Microsoft s’engage à utiliser les données client uniquement pour fournir des services au client, et non à des fins publicitaires ou commerciales similaires, et que Microsoft dispose de systèmes de contrôle d’accès robustes en place.

Par conséquent, les services cloud d’entreprise Microsoft prennent en charge les exigences de My Number Act et ne créent pas d’autres obligations en vertu de la loi pour les clients, telles que le consentement d’un propriétaire individuel des données personnelles.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

Office 365 et My Number Act

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
Commerciale Microsoft Entra ID, Azure Information Protection, Bookings, Gestionnaire de conformité, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender pour Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do pour le web, MyAnalytics, Conformité avancée Office 365 module complémentaire, Sécurité des applications cloud Office 365, groupes Office 365, Office 365 Centre de conformité sécurité &, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, StaffHub, Stream, Sway, Viva Engage

Modalités de mise en œuvre

Questions fréquentes (FAQ)

Qui est responsable de la protection des données personnelles dans le cadre de My Number Act ?

La section Q3-13 (japonais) du PPC Q&A indique que, étant donné que la propriété des données personnelles appartient aux clients Microsoft, ils sont tenus de prendre les mesures de sécurité appropriées, telles que le contrôle des mots de passe d’administrateur, pour protéger les informations personnelles et les données Mon numéro.

Ressources