MONOLITH LAW OFFICE+81-3-6262-3248Wochentags 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Was sind die Kernpunkte der überarbeiteten japanischen Datenschutzgesetzes von Reiwa 6 (2024)? Erklärung der wichtigen Änderungen und Maßnahmen, die man kennen sollte

General Corporate

Was sind die Kernpunkte der überarbeiteten japanischen Datenschutzgesetzes von Reiwa 6 (2024)? Erklärung der wichtigen Änderungen und Maßnahmen, die man kennen sollte

Im April des Jahres Reiwa 6 (2024) tritt die überarbeitete Durchführungsverordnung zum japanischen Gesetz zum Schutz persönlicher Informationen in Kraft. Bei dieser Überarbeitung wird der Kreis derjenigen erweitert, die verpflichtet sind, der japanischen Kommission zum Schutz persönlicher Informationen und den betroffenen Personen selbst im Falle eines Datenlecks oder ähnlichen Vorfällen Bericht zu erstatten.

Ein Hauptpunkt dieser Überarbeitung liegt in der Reaktion auf aktuelle Probleme im Zusammenhang mit persönlichen Informationen, wie zum Beispiel Web-Skimming.

Dennoch ist es wahrscheinlich, dass viele nicht genau wissen, was die Änderungen beinhalten und wie man angemessen darauf reagiert, da hierfür spezialisiertes Wissen erforderlich ist. In diesem Artikel erläutern wir die Schlüsselaspekte der Überarbeitung im Jahr Reiwa 6 (2024) und die entsprechenden Maßnahmen.

Überblick über die Änderungen des japanischen Gesetzes zum Schutz persönlicher Informationen im Jahr 2024 (Reiwa 6)

Ein wesentlicher Punkt der Änderungen des Gesetzes zum Schutz persönlicher Informationen im Jahr 2024 (Reiwa 6) ist die Ausweitung der Berichts- und Benachrichtigungspflichten bei Datenlecks sowie der Pflicht zur Ergreifung von Sicherheitsmaßnahmen auf bestimmte „persönliche Informationen“.

Nach den bisherigen Vorschriften bezogen sich die Berichtspflichten bei Datenlecks und ähnlichen Vorfällen nur auf „personenbezogene Daten“, nicht jedoch auf „persönliche Informationen“.

Durch die jüngsten Änderungen sind die Details zu diesen Änderungen in Artikel 7 Absatz 3 der Durchführungsverordnung zum Gesetz zum Schutz persönlicher Informationen und in den „Richtlinien zum Gesetz zum Schutz persönlicher Informationen (Allgemeiner Teil)“[ja] festgehalten.

Geändertes GesetzVor der Änderung
Berichtspflicht bei Datenlecks etc.Besteht (in bestimmten Fällen)Besteht nicht
Pflicht zur Ergreifung von SicherheitsmaßnahmenBesteht (in bestimmten Fällen)Besteht nicht
Änderungen im Umgang mit bestimmten persönlichen Informationen

Die spezifischen Regulierungsinhalte und Änderungen werden im Folgenden detailliert erläutert.

Bisherige Regelungsgegenstände im japanischen Gesetz zum Schutz personenbezogener Daten

Bisherige Regelungsgegenstände im japanischen Gesetz zum Schutz personenbezogener Daten

Um den Inhalt des geänderten Gesetzes zu verstehen, ist ein genaues Verständnis der vor der Änderung festgelegten Regelungen unerlässlich. Hier erläutern wir die Definitionen und Inhalte der Regelungen, die vor der Änderung festgelegt wurden.

Der Unterschied zwischen personenbezogenen Informationen und personenbezogenen Daten

Im japanischen Gesetz zum Schutz personenbezogener Informationen (Personal Information Protection Law) wird zwischen „personenbezogenen Informationen“ und „personenbezogenen Daten“ unterschieden.

„Personenbezogene Informationen“ beziehen sich auf Informationen über lebende Personen, die es ermöglichen, eine bestimmte Person anhand von Angaben wie Name oder Geburtsdatum zu identifizieren. Dies ist in Artikel 2 Absatz 1 Nummer 1 des japanischen Gesetzes zum Schutz personenbezogener Informationen definiert.

Verwandter Artikel: Revision des japanischen Gesetzes zum Schutz personenbezogener Informationen im Jahr Reiwa 4 (2022) mit der Einführung von ‘Pseudonymisierten Informationen’ zur Förderung der Datennutzung[ja]

„Personenbezogene Daten“ hingegen beziehen sich auf personenbezogene Informationen, die Bestandteil einer personenbezogenen Datenbank usw. sind, wie in Artikel 16 Absatz 1 des japanischen Gesetzes zum Schutz personenbezogener Informationen festgelegt.

Wenn beispielsweise eine Teilnehmerliste für eine Veranstaltung erstellt wird, werden die von den Teilnehmern übermittelten Informationen wie Name und Adresse als „personenbezogene Informationen“ bezeichnet. Die Datenbank, die erstellt wird, indem die personenbezogenen Informationen jedes Teilnehmers in einer Tabelle wie einem Spreadsheet zusammengefasst werden, ist eine „personenbezogene Datenbank“. Die einzelnen Informationen, die diese Datenbank bilden, gelten als „personenbezogene Daten“.

Es ist wichtig zu verstehen, dass sich die regulatorischen Anforderungen im japanischen Gesetz zum Schutz personenbezogener Informationen je nachdem, ob es sich um „personenbezogene Informationen“ oder „personenbezogene Daten“ handelt, erheblich unterscheiden.

Was sind die Melde- und Benachrichtigungspflichten bei Datenlecks?

Das japanische Gesetz zum Schutz persönlicher Informationen verpflichtet Unternehmen, die persönliche Daten verarbeiten, im Falle eines Datenlecks, die Datenschutzbehörde und die betroffenen Personen zu informieren.

(Berichterstattung über Datenlecks etc.)
Artikel 26: Unternehmen, die persönliche Daten verarbeiten, müssen, wenn ein erhebliches Risiko für die Rechte und Interessen der Personen durch Datenlecks, Verlust, Beschädigung oder andere sicherheitsrelevante Vorfälle besteht, wie in den Regeln der Datenschutzbehörde festgelegt, diesen Vorfall der Datenschutzbehörde melden. Dies gilt jedoch nicht, wenn das Unternehmen, das die persönlichen Daten verarbeitet, den Auftrag zur Verarbeitung ganz oder teilweise von einem anderen Unternehmen oder einer öffentlichen Einrichtung erhalten hat und den Vorfall gemäß den Regeln der Datenschutzbehörde diesem anderen Unternehmen oder der öffentlichen Einrichtung mitgeteilt hat.
2 Im Falle einer solchen Meldung müssen die Unternehmen (außer denen, die bereits eine Mitteilung gemäß der Ausnahme des vorherigen Absatzes gemacht haben) den betroffenen Personen den Vorfall melden, wie in den Regeln der Datenschutzbehörde festgelegt. Dies gilt jedoch nicht, wenn es schwierig ist, die betroffenen Personen zu benachrichtigen und stattdessen angemessene Maßnahmen zum Schutz ihrer Rechte und Interessen ergriffen werden.

Gesetz zum Schutz persönlicher Informationen | e-Gov Gesetzessuche[ja]

Die Pflicht zur Meldung und Benachrichtigung tritt nicht in jedem Fall eines Datenlecks auf. Sie ist auf die folgenden vier Fälle beschränkt, die in Artikel 7 der Durchführungsverordnung zum Gesetz zum Schutz persönlicher Informationen festgelegt sind:

  1. Leck von persönlichen Daten, die sensible Informationen enthalten (Beispiel: Ergebnisse der Gesundheitsuntersuchungen von Mitarbeitern)
  2. Leck von persönlichen Daten, das zu finanziellen Verlusten durch Missbrauch führen könnte (Beispiel: Kreditkartennummern)
  3. Leck von persönlichen Daten, das möglicherweise zu unrechtmäßigen Zwecken erfolgte
  4. Leck, das die Daten von mehr als 1000 Personen betrifft

Bei der jüngsten Änderung wurde der Inhalt von Artikel 7 Absatz 3 der Durchführungsverordnung geändert.

Was sind Sicherheitsmanagementmaßnahmen?

Das japanische Gesetz zum Schutz personenbezogener Daten verpflichtet Unternehmen, die personenbezogene Daten verarbeiten, notwendige und angemessene Maßnahmen zu ergreifen, um die Sicherheit dieser Daten zu gewährleisten und Datenlecks oder andere Sicherheitsrisiken zu verhindern.

(Sicherheitsmanagementmaßnahmen)
Artikel 23: Unternehmen, die personenbezogene Daten verarbeiten, müssen notwendige und angemessene Maßnahmen ergreifen, um das Austreten, den Verlust oder die Beschädigung von personenbezogenen Daten zu verhindern und die Sicherheit der personenbezogenen Daten zu gewährleisten.

Gesetz zum Schutz personenbezogener Informationen | e-Gov Gesetzessuche[ja]

Als konkrete Beispiele können Zugangskontrollen, Schulungen für Mitarbeiter und die Einrichtung von Vorschriften genannt werden.

Regulierungsobjekte vor der Änderung

Vor der Änderung waren die Objekte, die eine Berichtspflicht bei Lecks und die Pflicht zur Ergreifung von Sicherheitsmaßnahmen tragen, nur auf “personenbezogene Daten” beschränkt. Bezüglich “personenbezogener Informationen” gab es, selbst wenn ein Leck auftrat, keine Verpflichtung für Unternehmen, solche Pflichten zu übernehmen.

Jedoch wurde der Geltungsbereich der Berichts- und Benachrichtigungspflichten sowie der Pflicht zur Einrichtung von Sicherheitsmaßnahmen durch die aktuelle Änderung auf einen Teil der “personenbezogenen Informationen” ausgeweitet.

Zweck und Ziel der Änderung der Durchführungsverordnung zum Japanischen Gesetz zum Schutz personenbezogener Daten

Zweck und Ziel der Änderung der Durchführungsverordnung zum Gesetz zum Schutz personenbezogener Daten

Die aktuelle Änderung zielt vor allem auf Maßnahmen gegen Web-Skimming ab. Web-Skimming ist eine Angriffsmethode, bei der durch die Installation von Schadsoftware auf E-Commerce-Websites personenbezogene Daten gestohlen werden.

Konkret gibt es Methoden, bei denen Passwörter und Kreditkarteninformationen, die Nutzer in Formulare eingeben, direkt von der Eingabeseite abgegriffen werden.

Bei Web-Skimming wird die von Nutzern eingegebene Information gestohlen, bevor sie in die personenbezogenen Datenbanken der E-Commerce-Website-Betreiber oder ähnliches integriert wird. In diesem Fall werden “personenbezogene Informationen” gestohlen, bevor sie zu “personenbezogenen Daten” werden.

Vor der Änderung bezog sich die Meldepflicht bei Datenlecks nur auf “personenbezogene Daten”. Daher waren E-Commerce-Website-Betreiber nicht verpflichtet, Vorfälle im Zusammenhang mit Web-Skimming zu melden.

Die aktuelle Änderung zielt darauf ab, auch Informationslecks durch Web-Skimming meldepflichtig zu machen, indem der Geltungsbereich der Meldepflicht und der Sicherheitsmaßnahmen auf “personenbezogene Informationen” ausgeweitet wird.

Inhaltsänderungen der Durchführungsverordnung zum Japanischen Datenschutzgesetz im Jahr (2024) Reiwa 6

Erweiterung des Geltungsbereichs der Melde- und Benachrichtigungspflicht bei Datenlecks

Artikel 7, Absatz 3 der Durchführungsverordnung zum Japanischen Datenschutzgesetz wurde wie folgt geändert.

Geändertes GesetzVor der Änderung
Artikel 7, Artikel 26, Absatz 1, Haupttext, als Fälle, die die Rechte und Interessen von Personen erheblich beeinträchtigen könnten, wie durch die Regelungen der Japanischen Datenschutzkommission festgelegt, gelten diejenigen, die einem der folgenden Punkte entsprechen. Drei: Fälle, in denen ein Datenleck oder die Möglichkeit eines Datenlecks von personenbezogenen Daten (einschließlich der von dem betreffenden Unternehmen für die Verarbeitung personenbezogener Daten erworbenen oder zu erwerbenden personenbezogenen Daten, die als personenbezogene Daten behandelt werden sollen) aufgrund von Handlungen gegenüber dem betreffenden Unternehmen für die Verarbeitung personenbezogener Daten aufgetreten ist oder auftreten könnte, die mit der Absicht einer unrechtmäßigen Handlung durchgeführt wurdenArtikel 7, Artikel 26, Absatz 1, Haupttext, als Fälle, die die Rechte und Interessen von Personen erheblich beeinträchtigen könnten, wie durch die Regelungen der Japanischen Datenschutzkommission festgelegt, gelten diejenigen, die einem der folgenden Punkte entsprechen. Drei: Fälle, in denen ein Datenleck oder die Möglichkeit eines Datenlecks von personenbezogenen Daten aufgetreten ist oder auftreten könnte, die mit der Absicht einer unrechtmäßigen Handlung durchgeführt wurden
Durchführungsverordnung zum Japanischen Datenschutzgesetz | e-Gov Gesetzessuche[ja]

„Das betreffende Unternehmen für die Verarbeitung personenbezogener Daten“ umfasst auch Auftragnehmer und Anbieter von Dienstleistungen zur Verarbeitung personenbezogener Daten.

Zudem wird die Frage, ob es sich bei den „zu erwerbenden personenbezogenen Daten“ um solche handelt, die von dem Unternehmen für die Verarbeitung personenbezogener Daten erworben werden sollen, unter Berücksichtigung der Mittel zur Datenerfassung objektiv beurteilt (Richtlinien Allgemeiner Teil 3-5-3-1).

So wurde der Geltungsbereich der Melde- und Benachrichtigungspflicht bei Datenlecks in bestimmten Fällen auf „personenbezogene Daten“ erweitert, was eine wesentliche Änderung der Reform im Jahr (2024) Reiwa 6 darstellt.

Erweiterung des Geltungsbereichs der Sicherheitsmaßnahmen

Mit der Änderung der Vorschriften zur Meldepflicht bei Datenlecks wurde auch der Inhalt von Richtlinie 3-4-2 der Allgemeinen Richtlinien zum Japanischen Datenschutzgesetz geändert.

Die von den Unternehmen zu ergreifenden Sicherheitsmaßnahmen umfassen nun auch notwendige und angemessene Maßnahmen zur Verhinderung von Datenlecks oder ähnlichen Vorfällen bei personenbezogenen Daten, die von dem Unternehmen für die Verarbeitung personenbezogener Daten als solche behandelt werden sollen (einschließlich der von dem Unternehmen erworbenen oder zu erwerbenden personenbezogenen Daten).

Der Geltungsbereich der Sicherheitsmaßnahmen wurde somit nicht nur auf „personenbezogene Daten“, sondern auch auf „personenbezogene Informationen“ in bestimmten Fällen erweitert.

Referenz: Japanische Datenschutzkommission | (Inkrafttreten am 1. April (2024) Reiwa 6) Richtlinien zum Japanischen Datenschutzgesetz (Allgemeiner Teil)

Maßnahmen aufgrund der Durchführung des geänderten Japanischen Gesetzes zum Schutz persönlicher Informationen

Maßnahmen aufgrund der Durchführung des geänderten Japanischen Gesetzes zum Schutz persönlicher Informationen

Die notwendigen Maßnahmen in Reaktion auf die Durchführung des geänderten Japanischen Gesetzes zum Schutz persönlicher Informationen im Jahr Reiwa 6 (2024) sind die folgenden zwei:

  • Die Datenschutzrichtlinie überarbeiten
  • Interne Vorschriften überarbeiten und bekannt machen

Lassen Sie uns diese jeweils im Detail betrachten.

Die Datenschutzrichtlinie überarbeiten

Unternehmen, die personenbezogene Daten verarbeiten, müssen sicherstellen, dass die Sicherheitsmaßnahmen für die von ihnen gehaltenen personenbezogenen Daten für die Betroffenen erkennbar sind. Dies schließt auch die Fähigkeit ein, auf Anfragen der Betroffenen ohne Verzögerung zu antworten (Artikel 32 Absatz 1 Nummer 4 des Japanischen Gesetzes zum Schutz persönlicher Informationen).

Unternehmen, die ihre Sicherheitsmaßnahmen für gehaltene personenbezogene Daten in ihrer Datenschutzrichtlinie angegeben haben, müssen aufpassen. Es ist notwendig, die Datenschutzrichtlinie zu ergänzen, um bestimmte personenbezogene Informationen neu in den Geltungsbereich der Sicherheitsmaßnahmen aufzunehmen.

Interne Vorschriften überarbeiten und bekannt machen

Aufgrund der Tatsache, dass nun auch für die Offenlegung bestimmter personenbezogener Informationen Berichts- und Benachrichtigungspflichten entstehen, ist es notwendig, dies in den internen Vorschriften zu reflektieren und die Mitarbeiter darüber zu informieren.

Die Fälle, in denen eine Offenlegung personenbezogener Informationen, die nun berichtspflichtig sind, auftreten kann, beschränken sich nicht auf Web-Skimming.

Angenommen, ein Unternehmen, das personenbezogene Daten verarbeitet, sendet seinen Kunden einen Antwortumschlag, dessen Adresse manipuliert wurde, und die in dem Umschlag enthaltenen ausgefüllten Fragebögen mit personenbezogenen Informationen gelangen in die Hände Dritter. Wenn diese personenbezogenen Informationen als personenbezogene Daten behandelt werden sollten, entsteht eine Situation, in der eine Berichts- und Benachrichtigungspflicht über die Informationsleckage besteht.

Da sich der Umgang mit personenbezogenen Informationen, für die bisher keine Pflichten entstanden sind, ändert, ist es notwendig, die Mitarbeiter darauf aufmerksam zu machen.

Zusammenfassung: Suchen Sie bei der Anpassung an die Änderungen des Datenschutzgesetzes professionellen Rat

Bei der Änderung des Datenschutzgesetzes im Jahr 2024 (Reiwa 6) wurden die Anforderungen an die Berichterstattung und Benachrichtigung im Falle einer Datenpanne sowie die Sicherheitsmaßnahmen erweitert, mit einem besonderen Fokus auf die Bekämpfung von Web-Skimming. Während zuvor nur “personenbezogene Daten” betroffen waren, fallen nun unter bestimmten Umständen auch “persönliche Informationen” unter diese Regelung.

Durch diese Änderung ist es notwendig geworden, Maßnahmen wie die Überarbeitung der Datenschutzrichtlinien und internen Vorschriften zu ergreifen.

Bei der Handhabung persönlicher Informationen können Fehler zu einem erheblichen Risiko, einschließlich des Verlusts des sozialen Ansehens, führen. Es wird empfohlen, sich bei der Umsetzung dieser Maßnahmen von einem Anwalt beraten zu lassen.

Maßnahmen unserer Kanzlei

Die Monolith Rechtsanwaltskanzlei verfügt über umfangreiche Erfahrungen in IT, insbesondere im Internet und Recht. In jüngster Zeit ist die Datenleckage persönlicher Informationen zu einem großen Problem geworden. Sollten persönliche Informationen einmal durchsickern, kann dies unter Umständen verheerende Auswirkungen auf die Geschäftstätigkeit haben. Unsere Kanzlei besitzt spezialisiertes Wissen in der Prävention und im Umgang mit Informationslecks. Weitere Details finden Sie im folgenden Artikel.

Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: Rechtsangelegenheiten im Zusammenhang mit dem japanischen Gesetz zum Schutz persönlicher Informationen[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zurück Nach Oben