Dansk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_da/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdage 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Hvad er hovedpunkterne i den reviderede japanske lov om beskyttelse af personoplysninger i Reiwa 6 (2024)? En forklaring på vigtige ændringer og tiltag, man bør kende til

Hvad er hovedpunkterne i den reviderede japanske lov om beskyttelse af personoplysninger i Reiwa 6 (2024)? En forklaring på vigtige ændringer og tiltag, man bør kende til

General Corporate

Hvad er hovedpunkterne i den reviderede japanske lov om beskyttelse af personoplysninger i Reiwa 6 (2024)? En forklaring på vigtige ændringer og tiltag, man bør kende til

I april (2024) træder de reviderede gennemførelsesregler for den japanske lov om beskyttelse af personoplysninger i kraft. Denne revision udvider omfanget af rapporteringspligten til den japanske kommission for beskyttelse af personoplysninger og notifikationspligten til den registrerede, når der sker lækager og lignende.

Det væsentlige i denne revision er adresseringen af nylige problemer omkring personoplysninger, såsom web-skimming.

Det kan dog være svært at forstå de præcise ændringer og reagere korrekt uden specialiseret viden. Mange er sandsynligvis usikre på, hvilke skridt deres virksomhed bør tage. Denne artikel vil forklare de vigtigste punkter i revisionen for 2024 og foreslåede tiltag.

Oversigt over ændringerne i den japanske lov om beskyttelse af personoplysninger i Reiwa 6 (2024)

De væsentlige ændringer i den japanske lov om beskyttelse af personoplysninger, revideret i Reiwa 6 (2024), omfatter udvidelsen af rapporterings- og notifikationspligten samt pligten til at træffe sikkerhedsforanstaltninger i tilfælde af lækage, som nu gælder for visse “personoplysninger”.

I den tidligere regulering var kun “persondata” omfattet af rapporteringspligten ved lækage, mens “personoplysninger” ikke var inkluderet.

Med denne revision er ændringerne beskrevet i artikel 7, punkt 3, i de japanske gennemførelsesregler for loven om beskyttelse af personoplysninger og i “Japanske retningslinjer for loven om beskyttelse af personoplysninger (Generelle bestemmelser)”[ja].

Revideret lovFør revisionen
Pligt til at rapportere lækage mv.Pålagt (i visse tilfælde)Ikke pålagt
Pligt til at træffe sikkerhedsforanstaltningerPålagt (i visse tilfælde)Ikke pålagt
Ændringer i håndteringen af visse personoplysninger

De specifikke reguleringsindhold og ændringer vil blive forklaret mere detaljeret nedenfor.

Reguleringsmål inden for den tidligere japanske lov om beskyttelse af personoplysninger

Reguleringsmål inden for den tidligere japanske lov om beskyttelse af personoplysninger

For at forstå indholdet af den reviderede lov er det afgørende at have en nøjagtig forståelse af de regler, der var gældende før revisionen. Her vil vi forklare definitionen og indholdet af de regler, der var fastsat før ændringen.

Forskellen mellem personoplysninger og persondata

I henhold til den japanske lov om beskyttelse af personoplysninger (Personal Information Protection Law) skelner man mellem ‘personoplysninger’ og ‘persondata’ som beskyttelsesobjekter.

‘Personoplysninger’ refererer til information om en levende person, som kan identificere den pågældende person gennem oplysninger indeholdt i informationen, såsom navn og fødselsdato. Dette er defineret i artikel 2, afsnit 1, punkt 1 i den japanske lov om beskyttelse af personoplysninger.

Relateret artikel: Reiwa 4 (2022) revision af den japanske lov om beskyttelse af personoplysninger, introduktion af ‘pseudonymiseret information’ mv. for at fremme anvendelsen af data[ja]

På den anden side refererer ‘persondata’ til personoplysninger, der udgør en del af en personoplysningsdatabase osv., som er fastlagt i artikel 16, afsnit 1 i den japanske lov om beskyttelse af personoplysninger.

For eksempel, når man opretter en deltagerliste til et arrangement, kaldes de oplysninger, som en deltager har sendt, såsom navn og adresse, for ‘personoplysninger’. Og databasen, der er oprettet ved at samle hver deltageres personoplysninger i et regneark, kaldes en ‘personoplysningsdatabase’. De individuelle oplysninger, der udgør denne database, betragtes som ‘persondata’.

Det er vigtigt at forstå, at i henhold til den japanske lov om beskyttelse af personoplysninger, ændres de regulatoriske krav betydeligt afhængigt af, om det er ‘personoplysninger’ eller ‘persondata’, der er beskyttelsesobjektet.

Hvad er pligten til at rapportere lækager mv.?

Den Japanske Lov om Beskyttelse af Personoplysninger pålægger virksomheder, der håndterer personoplysninger, at rapportere til Kommissionen for Beskyttelse af Personoplysninger og underrette den registrerede, hvis der sker en lækage af persondata eller lignende.

(Rapportering af lækager mv.)
Artikel 26: Virksomheder, der håndterer personoplysninger, skal, når der opstår en situation, der vedrører sikkerheden af de personoplysninger de håndterer, såsom lækage, tab, beskadigelse eller andet, der kan skade den registreredes rettigheder og interesser i væsentlig grad, som defineret i reglerne fra Kommissionen for Beskyttelse af Personoplysninger, rapportere omstændighederne til Kommissionen for Beskyttelse af Personoplysninger i overensstemmelse med disse regler. Dog, hvis den pågældende virksomhed, der håndterer personoplysninger, har modtaget en hel eller delvis delegation af håndteringen af disse personoplysninger fra en anden virksomhed, der håndterer personoplysninger, eller fra en offentlig institution, og har underrettet den anden virksomhed eller offentlige institution om situationen i overensstemmelse med reglerne fra Kommissionen for Beskyttelse af Personoplysninger, gælder dette ikke.
2 I de tilfælde, der er nævnt i det foregående stykke, skal virksomheder, der håndterer personoplysninger (undtagen dem, der har givet meddelelse i henhold til bestemmelsen i det foregående stykke), underrette den registrerede om situationen i overensstemmelse med reglerne fra Kommissionen for Beskyttelse af Personoplysninger. Dog, hvis det er vanskeligt at underrette den registrerede, og det er nødvendigt at træffe alternative foranstaltninger for at beskytte den registreredes rettigheder og interesser, gælder dette ikke.

Lov om Beskyttelse af Personoplysninger | e-Gov lov søgning[ja]

Rapporterings- og underretningspligten opstår ikke i alle tilfælde af lækager mv. Den er begrænset til de fire tilfælde, der er defineret i artikel 7 i gennemførelsesreglerne for Lov om Beskyttelse af Personoplysninger:

  1. Lækage af persondata, der indeholder følsomme personoplysninger (eksempel: resultater af medarbejderes helbredsundersøgelser)
  2. Lækage af persondata, der kan medføre økonomisk skade på grund af uautoriseret brug (eksempel: kreditkortnumre)
  3. Lækage af persondata, der kan være udført med ulovligt formål
  4. Lækage, der påvirker mere end 1000 personer

I denne revision er indholdet af artikel 7, punkt 3, blevet ændret.

Hvad er sikkerhedsforanstaltninger?

Den Japanske Lov om Beskyttelse af Personoplysninger pålægger virksomheder, der håndterer personoplysninger, at træffe nødvendige og passende foranstaltninger for at forhindre lækage af persondata og for at sikre deres sikkerhed.

(Sikkerhedsforanstaltninger)
Artikel 23: Virksomheder, der håndterer personoplysninger, skal træffe de nødvendige og passende foranstaltninger for at forhindre lækage, tab eller beskadigelse af persondata og for at sikre anden sikkerhedsstyring af persondata.

Lov om Beskyttelse af Personoplysninger | e-Gov lovsøgning[ja]

Som konkrete eksempler kan nævnes adgangskontrol, træning af medarbejdere og etablering af regler.

Regulering før ændringen

Før ændringen var de eneste subjekter, der havde pligt til at rapportere hændelser som lækager og at træffe sikkerhedsforanstaltninger, dem, der håndterede “persondata”. For “personlige oplysninger” var der ingen forpligtelse for virksomhederne til at bære sådanne pligter, selv hvis der opstod lækager eller lignende.

Men det, der ændrede sig med denne revision, er, at forpligtelsen til at rapportere og underrette samt at etablere sikkerhedsforanstaltninger nu udvides til at omfatte visse “personlige oplysninger”.

Formålet og målet med ændringerne i reglerne for håndhævelse af loven om beskyttelse af personoplysninger

Formålet og målet med ændringerne i reglerne for håndhævelse af loven om beskyttelse af personoplysninger

Denne ændring kan siges at have fokus på foranstaltninger mod web-skimming. Web-skimming er en angrebsmetode, hvor der installeres ondsindede programmer på e-handelssider for at stjæle personlige oplysninger.

Specifikt er der en metode, hvor angriberen direkte indsamler passwords og kreditkortoplysninger, som brugeren har indtastet i et inputfelt, fra indtastningssiden.

Ved web-skimming bliver de oplysninger, som brugeren har indtastet, stjålet direkte før de bliver integreret i e-handelssideoperatørens database for personlige oplysninger eller lignende. I denne form er det kun ‘personlige oplysninger’ før de bliver til ‘persondata’, der bliver stjålet.

Før ændringen var pligten til at rapportere lækager osv. kun rettet mod ‘persondata’. Derfor havde e-handelssideoperatører ikke en pligt til at rapportere, selvom der opstod skader som følge af web-skimming.

Formålet med denne ændring er at udvide målet for rapportering af lækager og sikkerhedsforanstaltninger til også at omfatte ‘personlige oplysninger’, med det formål at inkludere information lækaget gennem web-skimming som en del af rapporteringskravet.

Ændringer i den japanske lov om beskyttelse af personoplysninger i 2024 (Reiwa 6)

Udvidelse af rapporteringspligten for lækager m.m.

Artikel 7, punkt 3 i forordningen til den japanske lov om beskyttelse af personoplysninger er blevet ændret som følger.

Ændret lovFør ændringen
Artikel 7, Lovens artikel 26, stk. 1, skal fortolkes således, at de tilfælde, hvor der er en betydelig risiko for skade på en persons rettigheder og interesser, som defineret af reglerne fra Kommissionen for Beskyttelse af Personoplysninger, omfatter følgende: Situationer, hvor der er sket eller er risiko for lækage af persondata (inklusive personoplysninger, som den pågældende virksomhed har erhvervet eller forsøger at erhverve, og som forventes behandlet som persondata) som følge af handlinger over for den pågældende virksomhed, der behandler personoplysninger, med en ulovlig hensigt.Artikel 7, Lovens artikel 26, stk. 1, skal fortolkes således, at de tilfælde, hvor der er en betydelig risiko for skade på en persons rettigheder og interesser, som defineret af reglerne fra Kommissionen for Beskyttelse af Personoplysninger, omfatter følgende: Situationer, hvor der er sket eller er risiko for lækage af persondata med en ulovlig hensigt.
Loven om beskyttelse af personoplysninger og dens forordninger | e-Gov lov søgning[ja]

“Den pågældende virksomhed, der behandler personoplysninger”, inkluderer også underleverandører og udbydere af tjenester til håndtering af personoplysninger.

Desuden skal det, om personoplysninger, som en virksomhed forsøger at erhverve, falder ind under denne kategori, vurderes objektivt under hensyntagen til metoderne til indsamling af personoplysninger (Generelle retningslinjer 3-5-3-1).

På denne måde er udvidelsen af rapporterings- og notifikationspligten for lækager m.m. til også at omfatte “personoplysninger” i visse tilfælde en af de væsentlige ændringer i revisionen fra 2024 (Reiwa 6).

Udvidelse af mål for sikkerhedsforanstaltninger

I forbindelse med ændringen af reglerne om rapporteringspligt for lækager m.m. er beskrivelsen i de generelle retningslinjer for den japanske lov om beskyttelse af personoplysninger også blevet ændret (Generelle retningslinjer 3-4-2).

De sikkerhedsforanstaltninger, som virksomheder skal træffe, omfatter nu også nødvendige og passende foranstaltninger for at forhindre lækage m.m. af personoplysninger (inklusive personoplysninger, som virksomheden har erhvervet eller forsøger at erhverve), som virksomheden forventer at behandle som persondata.

Målet for sikkerhedsforanstaltninger er også blevet udvidet til at omfatte “personoplysninger” i visse tilfælde, ikke kun “persondata”.

Reference: Kommissionen for Beskyttelse af Personoplysninger | (Gældende fra 1. april 2024 (Reiwa 6)) Retningslinjer for loven om beskyttelse af personoplysninger (Generelle retningslinjer)

Foranstaltninger, der skal træffes som følge af implementeringen af den reviderede japanske lov om beskyttelse af personoplysninger

Foranstaltninger, der skal træffes som følge af implementeringen af den reviderede japanske lov om beskyttelse af personoplysninger

De foranstaltninger, der skal træffes i forbindelse med implementeringen af den reviderede japanske lov om beskyttelse af personoplysninger i det 6. år af Reiwa (2024), er følgende to:

  • Revidere privatlivspolitikken
  • Revidere og informere om interne regler

Lad os se nærmere på hver af dem.

Revidere privatlivspolitikken

Virksomheder, der håndterer personoplysninger, skal placere sikkerhedsforanstaltninger for opbevarede persondata, så de er tilgængelige for den registrerede person. Dette inkluderer også at kunne svare hurtigt på anmodninger fra den registrerede person (Artikel 32, stk. 1, nr. 4 i den japanske lov om beskyttelse af personoplysninger).

Virksomheder, der har håndteret dette ved at inkludere sikkerhedsforanstaltninger for opbevarede persondata i deres privatlivspolitik, skal være opmærksomme. Det er nødvendigt at tilføje en bestemmelse i privatlivspolitikken om, at visse personoplysninger nu er omfattet af sikkerhedsforanstaltningerne.

Revidere og informere om interne regler

Det faktum, at der nu opstår en rapporterings- og underretningspligt for selv mindre læk af personoplysninger, skal også afspejles i de interne regler, og det er nødvendigt at informere medarbejderne om dette.

De tilfælde, hvor der kan forekomme læk af personoplysninger, der nu er omfattet af rapporterings- og underretningspligten, er ikke begrænset til web-skimming.

For eksempel, hvis en virksomhed, der håndterer personoplysninger, sender en kunde et svarbrev med en ændret adresse, og personoplysningerne, der er indtastet på spørgeskemaet i kuverten, ender i hænderne på en tredjepart. Hvis disse personoplysninger var beregnet til at blive behandlet som persondata, opstår der en situation, hvor der er pligt til at rapportere og underrette om lækagen.

Da håndteringen af personoplysninger, der tidligere ikke medførte en pligt, nu ændres, er det nødvendigt at opfordre medarbejderne til at være opmærksomme.

Konklusion: Søg rådgivning fra eksperter vedrørende tilpasning til ændringer i loven om beskyttelse af personoplysninger

I forbindelse med ændringen af den japanske lov om beskyttelse af personoplysninger i år 2024 (Reiwa 6), er der med særligt fokus på modforanstaltninger mod web-skimming udvidet rapporterings- og notifikationspligten samt målene for sikkerhedsforanstaltninger ved lækager og lignende hændelser. Før ændringen var kun “persondata” omfattet, men under visse omstændigheder er “personoplysninger” nu også inkluderet.

Denne ændring nødvendiggør foranstaltninger såsom revision af privatlivspolitikker og interne regler.

Fejl i håndteringen af personoplysninger kan medføre store risici, såsom tab af social tillid. Det anbefales at konsultere en advokat, når man håndterer disse spørgsmål.

Vores foranstaltninger

Monolith Advokatfirma er et advokatfirma med rig erfaring inden for IT, især internettet og juraen. I de senere år er lækage af personlige oplysninger blevet et stort problem. Skulle personlige oplysninger lække, kan det i visse tilfælde have en fatal indvirkning på virksomhedens aktiviteter. Vores firma besidder specialiseret viden om forebyggelse af og reaktion på lækage af oplysninger. Detaljer er beskrevet i artiklen nedenfor.

Monolith Advokatfirmas ekspertiseområder: Japansk lovgivning relateret til beskyttelse af personlige oplysninger[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Indholdet af ændringerne i den japanske 'Farmaceutiske og Medicinske Enhedslov' i det første år af Reiwa (2019) ~ Apotekets og apotekernes rolle, bødesystemet ~

Indholdet af ændringerne i den japanske 'Farmaceutiske og Medicinske Enhedslov' i det første år .

General Corporate

Tre grunde til, at overvågning af firmaets medarbejder-e-mails ikke krænker privatlivets fred

Tre grunde til, at overvågning af firmaets medarbejder-e-mails ikke krænker privatlivets fred

General Corporate

Grunde til at virksomheder går ind i 'eSports' og juridiske barrierer

Grunde til at virksomheder går ind i 'eSports' og juridiske barrierer

General Corporate

Fordele og kontraktproces for 'Aktieoverførsel', en simpel ordning inden for M&A

Fordele og kontraktproces for 'Aktieoverførsel', en simpel ordning inden for M&A

General Corporate

Køb af fast ejendom i Japan og tjenester som escrow-agent leveret af advokatfirmaer

Køb af fast ejendom i Japan og tjenester som escrow-agent leveret af advokatfirmaer

General Corporate

Fem punkter at tjekke for at indgå den korrekte M&A-rådgivningsaftale

Fem punkter at tjekke for at indgå den korrekte M&A-rådgivningsaftale

General Corporate

Hvad er foranstaltningerne, hvis man oplever 'Baito Terror' på SNS? Er afskedigelse og krav om erstatning muligt?

Hvad er foranstaltningerne, hvis man oplever 'Baito Terror' på SNS? Er afskedigelse og krav om e.

General Corporate

Er det en overtrædelse af ophavsretten at stjæle designet af UI og menuer?

Er det en overtrædelse af ophavsretten at stjæle designet af UI og menuer?

General Corporate

Arbejde som Escrow Agent udført af Advokatfirmaer og Advokater

Arbejde som Escrow Agent udført af Advokatfirmaer og Advokater

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tilbage til toppen