Vào tháng 2.2004, Nhật Bản chứng kiến một vụ rò rỉ thông tin trên mạng lớn nhất từ cho đến thời điểm đó. Công ty cung cấp dịch vụ internet tốc độ cao lớn nhất Nhật Bản - Softbank - thừa nhận 4,52 triệu thuê bao Yahoo BB (là công ty liên doanh dịch vụ Internet ADSL giữa chi nhánh Yahoo ở Nhật và Softbank) của hãng bị rò rỉ thông tin. Softbank sau đó đã phải chuẩn bị 4 tỷ yen để bồi thường cho khách hàng bị ảnh hưởng.
Trong số 4,52 triệu khách hàng bị lộ thông tin có 2,4 triệu thuê bao đang sử dụng, nhiều khách hàng đang dùng thử và cả những người đã từ bỏ dịch vụ. Giới truyền thông Nhật Bản cho rằng đây là vụ rò rỉ thông tin lớn nhất từ trước tới nay. Những thông tin bị lộ bao gồm tên người dùng, số điện thoại, địa chỉ nhà riêng, địa chỉ thư điện tử, tên người dùng tài khoản. Tuy nhiên, các thông tin về thẻ tín dụng, tài khoản ngân hàng và các mật khẩu không bị ảnh hưởng do được lưu giữ ở hệ thống khác.
Trước đó, vào năm 2003, một vụ rò rỉ dữ liệu khác cũng làm chấn động Nhật Bản khi thông tin cá nhân, gồm tên, địa chỉ, số điện thoại của gần 4 triệu khách hàng của nhà cung cấp dịch vụ viễn thông KDDI bị lọt ra ngoài. KDDI cho biết, tất cả dữ liệu của 3.996.789 thuê bao của họ từ ngày 18.12.2003 bị kẻ gian ăn cắp. Ngoài ra còn có thông tin về giới tính, ngày sinh nhật và địa chỉ email của những khách hàng này.
KDDI chỉ biết đến vụ rò rỉ dữ liệu khi nhận được cú điện thoại từ một người lạ mặt nói rằng anh ta đang có một chiếc đĩa CD chứa toàn bộ dữ liệu khách hàng của hãng. KDDI là nhà cung cấp dịch vụ truyền thông lớn thứ hai Nhật Bản. Các lĩnh vực hoạt động của hãng này bao gồm: Điện thoại cố định, internet quay số, dịch vụ băng rộng và dịch vụ di động.
Vụ rò rỉ dữ liệu cá nhân tại KDDI chỉ là một trong số những chuỗi vụ việc đáng báo động vào giai đoạn đó. Những kẻ lấy trộm dữ liệu đã giả mạo các thông tin có được để thực hiện các vụ giao dịch bất hợp pháp trên mạng. Một số công ty bị mất dữ liệu cá nhân rất nhiều lần vì virus đột nhập vào máy tính để chạy các chương trình chia sẻ file. Tin tặc giả danh một tổ chức nào đó gửi phiếu thanh toán và gọi điện yêu cầu người dùng trả phí cho những dịch vụ mà họ không dùng. Người dùng thường bị lừa gửi tiền rồi mới phát hiện ra trò gian lận tinh vi này.
Cuối năm 2014, dư luận thế giới xôn xao về một vụ tấn công mạng vào đơn vị sản xuất nội dung giải trí của hãng Sony, nghi ngờ có sự nhúng tay can thiệp của Triều Tiên. Thế nhưng, hãng này từng đối mặt với vụ tin tặc tấn công nghiêm trọng nhất từ 3 năm trước đó. Theo OSF, vào năm 2011, nhóm tin tặc có tên LulzSec đã đột nhập vào mạng lưới người chơi PlayStation và dịch vụ Qriocity để “chôm” gần 80 triệu thông tin tài khoản trực tuyến ở 59 quốc gia. Đây trở thành vụ rò rỉ thông tin lớn nhất trong lịch sử đối với các doanh nghiệp Nhật Bản, kéo theo sự vào cuộc điều tra quy mô lớn của nhiều nước.
Theo thông báo của Sony vào thời điểm đó, các hệ thống dịch vụ qua mạng bị xâm nhập trái phép gồm dịch vụ cung cấp trò chơi qua internet “Playstation 3”, dịch vụ cung cấp phim và âm nhạc “Qriocity”. Các hệ thống dịch vụ này đã bị tin tặc tấn công từ ngày 17 - 19.4.2011 khiến Sony phải ngừng cung cấp các dịch vụ này. Thông tin cá nhân bị rò rỉ bao gồm tên, địa chỉ, địa chỉ thư điện tử, ngày sinh, từ khóa. Ngoài ra, Sony cũng không loại trừ khả năng thông tin về số thẻ tín dụng và thời hạn sử dụng cũng đã bị rò rỉ. Sony cho biết tội phạm máy tính có thể sử dụng những thông tin này để làm giả thẻ tín dụng và rút tiền của khách hàng.
Trên trang web của mình, hãng Sony đã gửi lời xin lỗi đến khách hàng và kêu gọi khách hàng kiểm tra định kỳ, xác định số lần sử dụng thẻ tín dụng của mình. Theo Sony, số khách hàng đăng ký tại Nhật Bản là 9 triệu người và tại Mỹ là hơn 100 triệu người.
Trước tình hình cấp bách của vấn đề bảo mật thông tin cá nhân, Quốc hội Nhật Bản đã thông qua Luật Bảo vệ Thông tin Cá nhân (APPI) năm 2003 (chính thức có hiệu lực từ năm 2005) trở thành một trong những quy định bảo vệ dữ liệu đầu tiên ở châu Á. Văn bản này đã trải qua một cuộc đại tu lớn vào tháng 9.2015 sau khi một loạt các vi phạm dữ liệu cấp cao làm rung chuyển Nhật Bản vào thời điểm đó, cho thấy những quy định của APPI không còn đáp ứng được nhu cầu hiện tại. APPI sửa đổi có hiệu lực vào ngày 30.5.2017, trước một năm so với Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR). Việc sửa đổi phản ánh xu hướng toàn cầu về quy định bảo mật dữ liệu, cụ thể là GDPR của EU. Chính phủ Nhật Bản và Ủy ban châu Âu đã đạt được thỏa thuận chung rằng họ sẽ làm việc cùng nhau để cung cấp cho công dân của họ mức độ riêng tư dữ liệu cao hơn. Vào tháng 7.2017, hai bên cũng đã đồng ý rằng họ sẽ làm việc để đưa ra danh sách trắng vào đầu năm 2018, làm nổi bật vai trò ngày càng tăng của quyền riêng tư đối với dữ liệu trong quan hệ kinh doanh quốc tế.
Bản cập nhật cũng đưa đến sự thành lập của Ủy ban Bảo vệ Thông tin Cá nhân (PPC), một cơ quan độc lập, cùng với những cơ quan khác, bảo vệ quyền và lợi ích của các cá nhân và thúc đẩy việc sử dụng thông tin cá nhân một cách hợp lý và hiệu quả.
