suomi English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_fi/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Arkisin 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Mikä on tärkeää ottaa huomioon luodessa yksityisyydensuojakäytäntöä 'Japanilaisen henkilötietojen suojalain' mukaisesti?

Mikä on tärkeää ottaa huomioon luodessa yksityisyydensuojakäytäntöä 'Japanilaisen henkilötietojen suojalain' mukaisesti?

General Corporate

Mikä on tärkeää ottaa huomioon luodessa yksityisyydensuojakäytäntöä 'Japanilaisen henkilötietojen suojalain' mukaisesti?

Viime aikoina yksityisyyden suojaa koskeva yhteiskunnallinen kiinnostus on kasvanut. On turvallista sanoa, että harvat yritykset eivät käsittele henkilötietoja, ja monille yrityksille ja yksityisyrittäjille henkilötietojen käsittely on erittäin ajankohtainen kysymys. On yleistä, että yrityksillä, joilla on verkkosivusto, on yksityisyydensuojakäytäntö sivustollaan. Yksityisyydensuojakäytäntö on julkilausuma, joka määrittelee yrityksen henkilötietojen käsittelyn periaatteet Japanin henkilötietojen suojalain (Japanese Personal Information Protection Act) mukaisesti. Yksityisyydensuojakäytännön asianmukainen laatiminen edellyttää henkilötietojen suojalain ymmärtämistä. Tässä artikkelissa selitämme tarkistuspisteet, jotka on otettava huomioon yksityisyydensuojakäytännön laatimisessa. On syytä huomata, että henkilötietojen suojalakiin tehtiin muutoksia vuonna 2015 (Gregorian kalenterin mukaan), ja muutettu laki tuli voimaan 30. toukokuuta 2017. Erityisesti tehtiin merkittäviä muutoksia koskien henkilötietojen luovuttamista kolmansille osapuolille, joten selitämme myös tämän kohdan. Henkilötietojen suojalain muutoksista on yksityiskohtainen selitys alla olevassa artikkelissa.

Mikä on yksityisyydensuojakäytäntö?

Yksityisyydensuojakäytäntö on myös keino esittää asiat, jotka vaaditaan julkistettavaksi henkilötietojen suojalain (Japanin ‘Kojin Joho Hogo Ho’) mukaan.

Yritysten verkkosivustoilla on usein esillä yksityisyydensuojakäytäntö. Se saattaa olla nimeltään “henkilötietojen suojaperiaatteet”, mutta periaatteessa ne ovat usein sama asia. Yksityisyydensuojakäytäntö osoittaa yrityksen perusasenteen henkilötietojen käsittelyyn ja se on myös keino esittää asiat, jotka vaaditaan julkistettavaksi henkilötietojen suojalain (Japanin ‘Kojin Joho Hogo Ho’) mukaan. Siksi on vähintäänkin välttämätöntä, että se kattaa seuraavat henkilötietojen suojalain mukaisesti julkistettavat asiat:

  • Henkilötietojen käyttötarkoitus
  • Henkilötietoja käsittelevän yrityksen nimi tai nimike
  • Menettelyt, joilla vastataan henkilön pyyntöihin tiedon käyttötarkoituksen ilmoittamisesta, tiedon paljastamisesta, korjauksista, käytön lopettamisesta jne.
  • Valitusmenettely

Lisäksi, jos yritys jakaa henkilötietoja konserniyritysten kesken tai käsittelee niin sanottuja anonymisoituja tietoja, kuten myöhemmin selitetään, laki määrittelee, että tietyt asiat on julkistettava kussakin tapauksessa.

Liittyvä artikkeli: Mitä henkilötietojen suojalaki ja henkilötiedot ovat? Asianajaja selittää[ja]

Yritykset, jotka tarvitsevat tietosuojakäytännön

Ennen vuoden 2017 (Heisei 29) muutosta, henkilötietojen suojelulaki (Japanin henkilötietojen suojelulaki) koski vain yrityksiä, jotka hallinnoivat yli 5000 henkilötietoa. Tämän vuoksi oli olemassa melko paljon pieniä yrityksiä ja BtoB-liiketoimintaa harjoittavia yrityksiä, jotka eivät tarvinneet tietosuojakäytäntöä. Kuitenkin, vuoden 2017 muutoksen myötä, henkilötietojen suojelulaki koskee kaikkia yrityksiä riippumatta siitä, kuinka monta henkilötietoa ne hallinnoivat. Tämän seurauksena uskomme, että periaatteessa kaikkien yritysten tulisi luoda tietosuojakäytäntö. On huomattava, että vaikka tietosuojakäytäntöä ei olisi luotu, voidaan korvata ilmoittamalla henkilölle joka kerta, kun henkilötietoja kerätään, asioista, joista henkilötietojen suojelulaki vaatii julkistamista, kuten henkilötietojen käyttötarkoituksesta. Kuitenkin, koska tämä on hankalaa, yleensä luodaan tietosuojakäytäntö.

Yksityisyydensuojakäytännön tarkistuspisteet

Seuraavassa selitämme, mitä tulee ottaa huomioon yksityisyydensuojakäytäntöä laadittaessa.

Henkilötiedon määritelmä

Pykälä 〇
Henkilötieto tarkoittaa tietoa, joka koskee elossa olevaa henkilöä ja joka sisältää nimen, syntymäajan tai muita tietoja, joiden perusteella tietty henkilö voidaan tunnistaa (mukaan lukien tiedot, jotka voidaan helposti yhdistää muihin tietoihin ja joiden avulla tietty henkilö voidaan tunnistaa).

Henkilötiedon määritelmä voidaan esittää sellaisena kuin se on määritelty ‘Japanin henkilötietosuojalaissa’. Tyypillisesti tämä tarkoittaa tietoja, kuten nimi ja syntymäaika, mutta myös ikä, sukupuoli, osoite, puhelinnumero, perheenjäsenten määrä, harrastukset, mieltymykset, sähköpostiosoite, tunnisteet, IP-osoite ja aikaleimat, työpaikka, asema, työpaikan osoite, työpaikan puhelinnumero, luottokortin numero, pankkitilin numero, vierailtujen verkkosivujen tiedot, valitukset, neuvottelut tai tiedustelut voivat myös olla henkilötietoja. Tästä syystä on hyvä idea sisällyttää etukäteen yksityisyydensuojakäytäntösi henkilötietojen määritelmään tiedot, jotka todennäköisesti kerätään erityisesti yrityksesi asiakkailta ja muilta sidosryhmiltä.

Henkilötietojen käyttötarkoitus

Pykälä 0
1. Käytämme keräämiämme henkilötietoja seuraaviin tarkoituksiin. Huomaa, että jos olemme määritelleet henkilötietojen käyttötarkoituksen erikseen verkkosivustollamme, noudatamme kyseistä käyttötarkoitusta.
(1) Vastaamiseksi yhteydenottolomakkeemme kautta saamiimme kyselyihin
(2) Tarjotaksemme verkkopalvelujamme tai sovelluksiamme tai muita palveluita (jäljempänä “palvelut”) ja tiedottaaksemme sinulle palveluistamme tai uusista palveluistamme
(3) Parantaaksemme palveluitamme ja kehittääksemme uusia palveluita
(4) Muihin, edellä mainittuihin kohtiin liittyviin tarkoituksiin
2. Saatamme myös käyttää keräämiämme henkilötietoja tilastollisina tietoina, joka ei mahdollista henkilön tunnistamista tai erottamista, edellä mainittujen tarkoitusten lisäksi.

Käyttötarkoitus

Japanin henkilötietosuojalain mukaan on vaadittu, että julkaisemme keräämiemme henkilötietojen käyttötarkoituksen. Edellä mainittu 1. kohta vastaa tähän vaatimukseen. Tärkeää käyttötarkoituksen määrittelyssä on, että abstrakti ja kattava kuvaus ei riitä, vaan henkilön on pystyttävä ymmärtämään, miten hänen henkilötietojaan käytetään, riittävän konkreettisesti. Siksi on huomattava, että yksityisyydensuojakäytäntöä laativan yrityksen mukaan käyttötarkoituksen kuvaus voi vaihdella. Lisäksi, jos kuvaus on puutteellinen, henkilötietoja ei voida käyttää kyseiseen tarkoitukseen, joten varmistetaan, että mitään ei ole jäänyt pois.

Anonyymisti käsitellyt tiedot

Pykälän toinen kohta koskee anonyymisti käsiteltyjä tietoja. Anonyymisti käsitellyt tiedot ovat henkilötietoja, jotka on käsitelty siten, ettei niistä voi tunnistaa yksilöä, eikä niitä voida palauttaa alkuperäiseen muotoonsa. Tämä on suunniteltu erityisesti suurten tietomäärien, niin sanotun Big Datan, hyödyntämiseksi.
Anonyymisti käsiteltyjä tietoja käsiteltäessä on tarpeen julkistaa yksityisyydensuojakäytännöissä tai vastaavissa asiakirjoissa tiedot, jotka sisältyvät anonyymisti käsiteltyihin tietoihin. Pykälän toinen kohta määrittelee, että “Henkilötietojen määritelmässä” mainitut henkilötiedot käytetään anonyymisti käsiteltyinä tietoina. Lisäksi, jos anonyymisti käsiteltyjä tietoja luovutetaan kolmansille osapuolille, on myös tarpeen julkistaa luovutustapa.

Henkilötietojen käyttö muuhun kuin alkuperäiseen tarkoitukseen

Pykälä 〇
Yrityksemme käsittelee keräämiään henkilötietoja vain siinä laajuudessa kuin se on tarpeen edellisessä pykälässä määriteltyjen käyttötarkoitusten saavuttamiseksi. Jos henkilötietoja käsitellään alkuperäisen käyttötarkoituksen ulkopuolella, se tehdään vain asiakkaan suostumuksella. Kuitenkin seuraavat tilanteet ovat poikkeuksia:
(1) Kun laki sitä vaatii
(2) Kun se on välttämätöntä ihmisen elämän, terveyden tai omaisuuden suojelemiseksi, ja asiakkaan suostumuksen saaminen on vaikeaa
(3) Kun se on erityisen tarpeellista yleisen terveyden parantamiseksi tai lasten terveen kasvun edistämiseksi, ja asiakkaan suostumuksen saaminen on vaikeaa
(4) Kun valtion virasto tai paikallinen julkisyhteisö tai sen valtuuttama taho tarvitsee yhteistyötä lain määräämän tehtävän suorittamiseksi, ja asiakkaan suostumuksen saaminen voisi haitata tehtävän suorittamista

Periaatteessa henkilötietoja ei saa käyttää alkuperäisen käyttötarkoituksen ulkopuolella. Kuitenkin, Japanin henkilötietosuojalain (Japanese Personal Information Protection Act) mukaan, yllä mainitut kohdat (1) – (4) ovat poikkeuksia, joissa henkilötietojen käyttö alkuperäisen tarkoituksen ulkopuolella on sallittua.
Kohdat (2) ja (3) koskevat tilanteita, joissa henkilötietojen käyttö on erittäin tärkeää, mutta suostumuksen saaminen henkilöltä on vaikeaa. Kohdat (1) ja (4) koskevat henkilötietojen käyttöä valtion tai paikallisten julkisyhteisöjen toimesta. Esimerkiksi rikostutkinta kuuluu tähän kategoriaan. Tämä pykälä henkilötietojen käytöstä alkuperäisen tarkoituksen ulkopuolella on lähes samanlainen kaikissa yrityksissä, eikä se yleensä muutu yrityksen toimialasta riippuen.

Henkilötietojen luovuttaminen kolmansille osapuolille


Periaatteessa henkilötietoja ei saa luovuttaa kolmansille osapuolille ilman asianomaisen suostumusta.

Pykälä X
Yrityksemme ei periaatteessa luovuta asiakkaiden henkilötietoja kolmansille osapuolille ilman asiakkaan suostumusta. Poikkeuksellisesti voimme luovuttaa tietoja kolmansille osapuolille, jos olemme määritelleet tietojen vastaanottajan ja luovutettavat tiedot, ja olemme saaneet asiakkaan suostumuksen. Tämä ei kuitenkaan päde seuraavissa tapauksissa:
(1) Jos laki niin vaatii
(2) Jos se on välttämätöntä ihmisen hengen, terveyden tai omaisuuden suojelemiseksi, ja asiakkaan suostumuksen saaminen on vaikeaa
(3) Jos se on erityisen tarpeellista yleisen terveyden parantamiseksi tai lasten terveen kasvun edistämiseksi, ja asiakkaan suostumuksen saaminen on vaikeaa
(4) Jos valtion virasto tai paikallinen julkisyhteisö tai sen valtuuttama taho tarvitsee yhteistyötä lain mukaan määrätyn tehtävän suorittamiseksi, ja asiakkaan suostumuksen saaminen voisi haitata tehtävän suorittamista
(5) Jos on tarpeen luovuttaa henkilötietoja yritykselle, joka on solminut kanssamme salassapitosopimuksen ja jolle olemme ulkoistaneet tehtäviä

Esimerkkejä henkilötietojen luovuttamisesta kolmannelle osapuolelle

Tämä pykälä käsittelee tilanteita, joissa yritys luovuttaa keräämiään henkilötietoja kolmannelle osapuolelle. Japanin henkilötietosuojalain mukaan henkilötietojen luovuttaminen kolmannelle osapuolelle edellyttää asianomaisen henkilön suostumusta. Kuitenkin, pykälän alakohdissa (1) – (5) määritellyissä poikkeustapauksissa henkilötietoja voidaan luovuttaa kolmannelle osapuolelle ilman asianomaisen henkilön suostumusta. Näin ollen, kuten henkilötietojen käyttöä koskevissa pykälissä, myös kolmansille osapuolille luovuttamista koskevat pykälät ovat yrityksissä melko standardoituja. Käytännössä yleisimmin käytetty poikkeus on alakohta (5), joka koskee henkilötietojen luovuttamista alihankkijalle. Huomattavaa on, että vaikka yritys olisi ulkoistanut tehtäviä, se on silti vastuussa henkilötietojen käsittelystä alihankkijan toimesta. Tästä syystä, jos alihankkija vuotaa henkilötietoja, myös ulkoistava yritys voidaan asettaa vastuuseen. Tämän vuoksi alihankkijan valinnassa ja sen jälkeisessä valvonnassa tulee olla huolellinen. Benesse-yhtiön henkilötietovuotoon liittyen, alla olevassa artikkelissa on yksityiskohtainen selostus.

Liittyvä artikkeli: Yrityksen henkilötietovuodon riski ja vahingonkorvaus[ja]

Lainmuutoksen myötä opt-outista tulee vaikeaa

Henkilötietojen luovuttamisesta kolmansille osapuolille, ennen vuonna 2017 (Gregoriaaninen kalenteri) voimaan tullutta muutoslakia, oli mahdollista, jos “henkilötietojen luovuttaminen kolmannelle osapuolelle lopetetaan pyynnöstä”. Tätä kutsutaan opt-outiksi. Kuitenkin, vuonna 2017 voimaan tulleen muutoslain myötä, henkilötietojen luovuttaminen kolmannelle osapuolelle opt-outin avulla ei ole mahdollista ilman ennakkoon tehtyä ilmoitusta Japanin henkilötietojen suojelukomitealle, mikä on tiukentanut sääntöjä.
Saattaa tuntua siltä, että riittää, kun tekee ilmoituksen henkilötietojen suojelukomitealle, mutta tämä ilmoitusjärjestelmä on pääasiassa suunnattu yrityksille, jotka käsittelevät henkilötietoja itsessään kauppatavarana, kuten luetteloyrityksille, ja ilmoittajat julkistetaan, joten todellisuudessa ilmoituksen tehneitä yrityksiä ei ole vielä paljon. Näin ollen, käytännössä, henkilötietojen luovuttaminen kolmannelle osapuolelle ilman asianomaisen suostumusta on vaikeaa, lukuun ottamatta poikkeuksia, kuten ulkoistamista.

Henkilötietojen paljastaminen, korjaaminen jne.

Japanilaisessa henkilötietojen suojelulaissa (Personal Information Protection Act) edellytetään, että henkilöltä saadun käyttötarkoituksen ilmoituksen, paljastamisen, korjaamisen, käytön lopettamisen jne. pyyntöihin vastataan julkistamalla menettelyt. Siksi, kun luodaan yksityisyydensuojakäytäntöä, on tarpeen määritellä myös nämä seikat. Useimmissa yrityksissä näitä asioita koskevat lausekkeet ovat kuitenkin standardimuotoisia. Yksi harkittava asia on, pitäisikö määritellä käsittelymaksu, kun vastataan henkilön paljastamista jne. koskevaan pyyntöön. Yksi tapa estää liiketoiminnan viivästyminen väärinkäytön vuoksi on määritellä sopiva käsittelymaksu. Jos käsittelymaksu on tarpeen, on tärkeää huomata, että sen sisällön on oltava määritelty yksityisyydensuojakäytännössä.

Yhteenveto

Henkilötietojen suojeluun liittyvä yhteiskunnallinen kiinnostus kasvaa, ja lainsäädäntö on myös vähitellen tiukentumassa. On tietenkin tärkeää, että yritykset hallitsevat tietoja turvallisesti sisäisesti henkilötietojen vuotamisen estämiseksi, mutta samalla on tärkeää laatia yksityisyydensuojakäytäntöjä ja sisäisiä sääntöjä lainsäädännön mukaisesti. Japanin henkilötietojen suojelulakiin (Japanese Personal Information Protection Act) on suunniteltu säännöllisiä muutoksia joka kolmas vuosi. Joka kerta, kun henkilötietojen käsittelyä koskevat säännöt muuttuvat, ei vain yrityksen sisäisiä järjestelmiä tarvitse muuttaa, vaan saattaa olla tarpeen tarkistaa myös liiketoimintamenetelmät. Tässä mielessä voidaan sanoa, että henkilötietojen suojelulaki koskee liiketoiminnan ydintä, joten erityisesti yritysten, jotka käsittelevät paljon henkilötietoja, on tärkeää seurata jatkuvasti lainsäädännön muutoksia.

Sopimusten laadinta ja tarkastus Monolis-lakitoimistossa

Monolis-lakitoimisto tarjoaa laajan valikoiman palveluita IT-, Internet- ja liiketoiminta-alan vahvuutensa pohjalta. Palveluihimme kuuluu muun muassa erilaisten sopimusten laadinta ja tarkastus, mukaan lukien yksityisyydensuojakäytännöt. Tarjoamme näitä palveluita sekä neuvonantajana toimiville yrityksille että asiakasyrityksillemme.

Jos olet kiinnostunut, katso lisätietoja alla.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Englanninkielisten sopimusten perusteet – Mitä sinun tulisi tietää sopimuksiin liittyvästä tiedosta?

Englanninkielisten sopimusten perusteet – Mitä sinun tulisi tietää sopimuksiin liittyvästä tiedo.

General Corporate

Kuinka perustaa yritys (yhtiö) ulkomailla? Selitys myös tyypeistä ja keskeisistä seikoista

Kuinka perustaa yritys (yhtiö) ulkomailla? Selitys myös tyypeistä ja keskeisistä seikoista

General Corporate

Mitä tarkoitetaan 'patenttioikeuden loukkauksella'?

Mitä tarkoitetaan 'patenttioikeuden loukkauksella'?

General Corporate

Onko sallittua olla maksamatta irtisanotulle työntekijälle mitään erorahaa? Selitys Japanin korkeimman oikeuden päätöksestä vuodelta 2023 (Reiwa 5)

Onko sallittua olla maksamatta irtisanotulle työntekijälle mitään erorahaa? Selitys Japanin kork.

General Corporate

NDA:n allekirjoittamisen jälkeen 'salaisen tiedon' käyttö oman yrityksen toiminnassa. Selitämme sen oikeudelliset riskit

NDA:n allekirjoittamisen jälkeen 'salaisen tiedon' käyttö oman yrityksen toiminnassa. Selitämme .

General Corporate

Milloin työntekijöiden houkuttelu on laitonta?

Milloin työntekijöiden houkuttelu on laitonta?

General Corporate

Erilaisten osakkeiden liikkeeseenlasku ja niiden sisältö sijoitussopimuksissa start-up-yrityksissä

Erilaisten osakkeiden liikkeeseenlasku ja niiden sisältö sijoitussopimuksissa start-up-yrityksis.

General Corporate

Rikkooko lääkärin suosituksen käyttäminen mainoslauseena lääkelaitelakia (Japanese Pharmaceutical and Medical Device Act)?

Rikkooko lääkärin suosituksen käyttäminen mainoslauseena lääkelaitelakia (Japanese Pharmaceutica.

General Corporate

Onko mikropigmentointi lääketieteellistä toimintaa? Mitä kauneusklinikoiden tulisi huomioida Japanin terveys-, työ- ja hyvinvointiministeriön uudessa ohjeistuksessa?

Onko mikropigmentointi lääketieteellistä toimintaa? Mitä kauneusklinikoiden tulisi huomioida Jap.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

TOPへ戻る