suomi English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_fi/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Arkisin 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Mikä on vuoden Reiwa 6 (2024) uudistetun japanilaisen henkilötietolain keskeiset kohdat? Selitämme tärkeät muutokset ja toimenpiteet, jotka sinun tulisi tietää

Mikä on vuoden Reiwa 6 (2024) uudistetun japanilaisen henkilötietolain keskeiset kohdat? Selitämme tärkeät muutokset ja toimenpiteet, jotka sinun tulisi tietää

General Corporate

Mikä on vuoden Reiwa 6 (2024) uudistetun japanilaisen henkilötietolain keskeiset kohdat? Selitämme tärkeät muutokset ja toimenpiteet, jotka sinun tulisi tietää

Reiwa 6 (2024) huhtikuussa tulee voimaan uudistettu Japanin henkilötietojen suojalain täytäntöönpanosäännöt. Tässä uudistuksessa laajennetaan sekä henkilötietojen suojavaltuutetulle tehtävän ilmoituksen että asianomaiselle henkilölle tehtävän ilmoituksen velvoitetta, mikäli tietovuoto tai vastaava tapahtuu.

Uudistuksen keskeinen kohta liittyy vastauksiin viimeaikaisiin henkilötietoja koskeviin ongelmiin, kuten verkkoskimmingiin.

Kuitenkin, jotta ymmärtäisi uudistuksen yksityiskohdat ja osaisi toimia asianmukaisesti, tarvitaan erikoistunutta tietämystä. Moni saattaa miettiä, mitä toimenpiteitä heidän yrityksensä tulisi tehdä. Tässä artikkelissa selitämme Reiwa 6:n (2024) uudistuksen keskeiset kohdat ja toimenpiteet.

Yleiskatsaus Reiwa 6 (2024) vuoden henkilötietolain muutoksiin

Reiwa 6 (2024) vuoden henkilötietolain muutoksessa huomionarvoisia seikkoja ovat ilmoitus- ja tiedonantovelvollisuuden sekä turvallisuuden hallintatoimenpiteiden velvoitteiden laajentaminen kattamaan tietyt “henkilötiedot” tapauksissa, joissa tietoja on vuotanut tai muuten joutunut ulkopuolisten tietoon.

Aiemmassa sääntelyssä ilmoitusvelvollisuus vuodon sattuessa ja muut vastaavat velvoitteet koskivat vain “henkilödataa”, eivätkä ne kattaneet “henkilötietoja”.

Tämän muutoksen myötä henkilötietolain täytäntöönpanosäännösten 7 artiklan 3 kohdan ja “Henkilötietolain ohjeistus (yleiset säännökset)”[ja] sisältöön on tehty muutoksia.

Muutettu lakiEnnen muutosta
Vuodon ym. ilmoitusvelvollisuusVelvollisuus (tietyissä tapauksissa)Ei velvollisuutta
Turvallisuuden hallintatoimenpiteiden toteuttamisvelvollisuusVelvollisuus (tietyissä tapauksissa)Ei velvollisuutta
Muutokset tietyissä henkilötietojen käsittelyissä

Tarkemmat sääntelysisällöt ja muutokset selitetään alla yksityiskohtaisemmin.

Aiemmin voimassa olleet henkilötietojen suojalain sääntelykohteet

Aiemmin voimassa olleet henkilötietojen suojalain sääntelykohteet

Muutetun lain sisällön ymmärtämiseksi on välttämätöntä olla tarkka käsitys aiemmin voimassa olleiden sääntelyjen määritelmistä ja sisällöstä. Tässä osiossa selitetään, mitä sääntelyjä oli määritelty ennen lain muutosta.

Henkilötiedot ja henkilödata eroavat toisistaan

Henkilötietosuojalaissa (Japanese Personal Information Protection Act) käsitellään erikseen ‘henkilötietoja’ ja ‘henkilödataa’ suojelun kohteina.

‘Henkilötiedot’ viittaavat elossa oleviin yksilöihin liittyviin tietoihin, jotka mahdollistavat tietyn henkilön tunnistamisen, kuten nimen tai syntymäajan perusteella. Tämä määritellään Henkilötietosuojalain (Japanese Personal Information Protection Act) 2 artiklan 1 momentin 1 kohdassa.

Liittyvä artikkeli: Reiwa 4 (2022) muutokset Henkilötietosuojalakiin, ‘anonyymitiedon’ uudet säännökset ja datan hyödyntämisen edistäminen[ja]

Toisaalta ‘henkilödata’ viittaa henkilötietokantoja tai vastaavia muodostaviin henkilötietoihin, kuten Henkilötietosuojalain (Japanese Personal Information Protection Act) 16 artiklan 1 momentissa määritellään.

Esimerkiksi tapahtuman osallistujaluettelon luomisessa käytetyt nimet ja osoitteet ovat ‘henkilötietoja’. Kun nämä henkilötiedot koostetaan esimerkiksi taulukkolaskentaohjelmaan luodakseen tietokannan, kyseessä on ‘henkilötietokanta’. Tämän tietokannan muodostavat yksittäiset tiedot ovat ‘henkilödataa’.

On tärkeää ymmärtää, että Henkilötietosuojalain (Japanese Personal Information Protection Act) mukaan suojelun kohde määrittelee, ovatko säännökset ‘henkilötietoja’ vai ‘henkilödataa’ koskevia.

Tietovuotojen ja muiden vastaavien tapahtumien raportointivelvollisuus

Henkilötietolaki velvoittaa henkilötietojen käsittelijöitä raportoimaan henkilötietojen suojelulautakunnalle ja ilmoittamaan asianomaisille henkilöille, jos henkilötietoja koskeva tietovuoto tai vastaava tapahtuma ilmenee.

(Tietovuotojen ja muiden vastaavien tapahtumien raportointi)
26 § Henkilötietojen käsittelijän on raportoitava henkilötietojen suojelulautakunnalle henkilötietojen suojelulautakunnan määräysten mukaisesti, jos käsittelyn kohteena olevista henkilötiedoista ilmenee vuoto, katoaminen, vahingoittuminen tai muu henkilötietojen turvallisuuden varmistamiseen liittyvä tilanne, joka todennäköisesti vahingoittaa henkilön oikeuksia ja etuja merkittävästi. Tämä ei kuitenkaan päde, jos henkilötietojen käsittelijä on saanut toiselta henkilötietojen käsittelijältä tai viranomaiselta tehtäväksi käsitellä kaikki tai osan henkilötiedoista ja on ilmoittanut asianomaiselle henkilötietojen käsittelijälle tai viranomaiselle henkilötietojen suojelulautakunnan määräysten mukaisesti, että kyseinen tilanne on ilmennyt.
2. Edellä mainitussa tapauksessa henkilötietojen käsittelijän (pois lukien ne, jotka ovat tehneet ilmoituksen edellä mainitun poikkeuksen mukaisesti) on ilmoitettava asianomaiselle henkilölle henkilötietojen suojelulautakunnan määräysten mukaisesti, että kyseinen tilanne on ilmennyt. Tämä ei kuitenkaan päde, jos asianomaiselle henkilölle ilmoittaminen on vaikeaa ja henkilön oikeuksien ja etujen suojelemiseksi on toteutettu asianmukaisia korvaavia toimenpiteitä.

Henkilötietojen suojelua koskeva laki|e-Gov lakitietokanta[ja]

Raportointi- ja ilmoitusvelvollisuus ei koske kaikkia tietovuotoja tai vastaavia tapahtumia. Henkilötietolain täytäntöönpanosäännöksen 7 §:ssä määritellään neljä tapausta, joissa raportointi ja ilmoittaminen ovat pakollisia:

  1. Henkilötietoihin sisältyvän erityisen huomioon otettavan tiedon vuoto (esim. työntekijöiden terveystarkastusten tulokset)
  2. Henkilötietojen vuoto, joka voi johtaa taloudelliseen vahinkoon väärinkäytön seurauksena (esim. luottokorttinumerot)
  3. Henkilötietojen vuoto, joka on saattanut tapahtua väärinkäytöstä johtuen
  4. Yli 1000 henkilön tietoja koskeva vuoto

Tässä uudistuksessa 7 §:n 3 kohdan sisältö on muutettu.

Mitä turvallisuuden hallintatoimenpiteet ovat

Henkilötietolaki velvoittaa henkilötietojen käsittelijöitä toteuttamaan tarvittavia ja asianmukaisia toimenpiteitä henkilötietojen vuotamisen estämiseksi ja turvallisuuden hallinnan varmistamiseksi.

(Turvallisuuden hallintatoimenpiteet)
23. pykälä Henkilötietojen käsittelijöiden on toteutettava tarvittavia ja asianmukaisia toimenpiteitä käsittelemiensä henkilötietojen vuotamisen, häviämisen tai vahingoittumisen estämiseksi ja henkilötietojen turvallisuuden hallinnan varmistamiseksi.

Henkilötietojen suojelua koskeva laki|e-Gov lakihaku[ja]

Konkreettisina esimerkkeinä voidaan mainita pääsynvalvonta, työntekijöiden koulutus ja sääntöjen kehittäminen.

Muutoksen kohteena olevat säännökset ennen uudistusta

Ennen uudistusta, vain “henkilötiedot” olivat niitä kohteita, joille oli määritelty velvollisuus raportoida tietovuodoista ja toteuttaa turvallisuuden hallintatoimenpiteitä. “Henkilökohtaisia tietoja” koskien, vaikka tietovuotoja olisi tapahtunut, yrityksillä ei ollut velvollisuutta kantaa tällaisia vastuita.

Kuitenkin, raportointi- ja ilmoitusvelvollisuuden sekä turvallisuuden hallintatoimenpiteiden asettamisen kohteet laajenivat kattamaan myös osan “henkilökohtaisista tiedoista” tämän uudistuksen myötä.

Henkilötietolain täytäntöönpanosääntöjen muutoksen tarkoitus ja päämäärä

Henkilötietolain täytäntöönpanosääntöjen muutoksen tarkoitus ja päämäärä

Tämän kerran muutos keskittyy web-skimmingin torjuntaan. Web-skimming on hyökkäystapa, jossa verkkokauppasivustoille asennetaan haittaohjelmia henkilötietojen varastamiseksi.

Käytännössä tämä tarkoittaa sitä, että käyttäjän syöttämät tiedot, kuten salasanat ja luottokorttitiedot, voidaan varastaa suoraan syöttösivulta.

Web-skimmingissä käyttäjän syöttämät tiedot varastetaan ennen kuin ne ehditään sisällyttää esimerkiksi verkkokauppasivuston henkilötietokantaan. Tässä tapauksessa varastetaan “henkilötietoja”, jotka eivät vielä ole muuttuneet “henkilödataksi”.

Ennen muutosta, vain “henkilödatan” vuotamisesta oli ilmoitusvelvollisuus. Tämän vuoksi web-skimmingin aiheuttamista vahingoista huolimatta verkkokauppasivustojen ylläpitäjillä ei ollut velvollisuutta ilmoittaa tapahtuneesta.

Tämän muutoksen tavoitteena on laajentaa ilmoitusvelvollisuutta ja turvallisuuden hallintatoimia koskemaan myös “henkilötietoja”, jotta web-skimmingin kautta tapahtuvat tietovuodot tulisivat ilmoitusvelvollisuuden piiriin.

Reiwa 6 (2024) vuoden henkilötietolain täytäntöönpanosäännön muutokset

Vuodon ja vastaavien ilmoitusvelvollisuuden kohteen laajentaminen

Henkilötietolain täytäntöönpanosäännön 7 artiklan 3 kohdan on muutettu seuraavasti.

Muutettu lakiEnnen muutosta
7 artiklan lain 26 artiklan 1 momentin mukaan henkilön oikeuksien ja etujen vahingoittumisen riskiä, joka on merkittävä, määritellään henkilötietosuojalautakunnan säännöissä seuraavasti: Kolmanneksi, toiminta, joka on tehty väärin perustein ja joka kohdistuu henkilötietojen käsittelijään, aiheuttaen henkilötietojen (jotka henkilötietojen käsittelijä on hankkinut tai yrittää hankkia ja jotka on tarkoitus käsitellä henkilötietoina) vuodon tai vuodon vaaran.7 artiklan lain 26 artiklan 1 momentin mukaan henkilön oikeuksien ja etujen vahingoittumisen riskiä, joka on merkittävä, määritellään henkilötietosuojalautakunnan säännöissä seuraavasti: Kolmanneksi, toiminta, joka on tehty väärin perustein ja joka aiheuttaa henkilötietojen vuodon tai vuodon vaaran.
Henkilötietojen suojasta annetun lain täytäntöönpanosäännöt|e-Gov lakihaku[ja]

“Kyseinen henkilötietojen käsittelijä” sisältää myös alihankkijat ja henkilötietopalvelujen tarjoajat.

Lisäksi henkilötietojen käsittelijän “hankkimassa oleva henkilötieto” määritellään ottaen huomioon henkilötietojen hankintakeinot ja muut seikat objektiivisesti (Ohjeiden yleiset periaatteet 3-5-3-1).

Näin ollen vuotojen ja vastaavien ilmoitus- ja tiedonantovelvollisuuden kohteen laajentaminen tietyissä tapauksissa “henkilötietoihin” saakka on yksi Reiwa 6 (2024) vuoden muutoksen merkittävistä kohdista.

Turvallisuuden hallintatoimenpiteiden kohteen laajentaminen

Vuotojen ja vastaavien ilmoitusvelvollisuuden sääntelyn muutoksen myötä myös henkilötietolain ohjeiden yleiset periaatteet 3-4-2 on muutettu.

Yritysten toteuttamien turvallisuuden hallintatoimenpiteiden osalta on määritelty, että ne sisältävät tarpeelliset ja asianmukaiset toimenpiteet henkilötietojen (henkilötietojen käsittelijän hankkimat tai hankkimassa olevat henkilötiedot) vuotojen ja vastaavien estämiseksi, kun niitä käsitellään henkilötietoina.

Turvallisuuden hallintatoimenpiteiden kohde on laajentunut koskemaan paitsi “henkilötietoja”, myös tietyissä tapauksissa “henkilötietoja”.

Viite: Henkilötietosuojalautakunta|(Reiwa 6 (2024) vuoden 1. huhtikuuta voimaan tulevat) Henkilötietojen suojasta annetun lain ohjeet (yleiset periaatteet)

Muutokset henkilötietolain täytäntöönpanossa ja toteutettavat toimenpiteet

Muutokset henkilötietolain täytäntöönpanossa ja toteutettavat toimenpiteet

Reiwa 6 (2024) vuonna muutetun henkilötietolain täytäntöönpanoon liittyen tulisi toteuttaa seuraavat kaksi toimenpidettä:

  • Yksityisyydensuojakäytännön päivittäminen
  • Sisäisten sääntöjen päivittäminen ja niiden tiedottaminen

Käydään läpi kumpikin tarkemmin.

Yksityisyydensuojakäytännön päivittäminen

Henkilötietoja käsittelevien yritysten on asetettava hallussaan olevien henkilötietojen turvallisuustoimenpiteet sellaiseen tilaan, että henkilö itse voi saada niistä tietoa. Tämä sisältää myös velvollisuuden vastata henkilön tiedusteluihin viivytyksettä (Japanin henkilötietolaki, artikla 32, kohta 1, alakohta 4).

Yritysten, jotka ovat käsitelleet henkilötietojen turvallisuustoimenpiteitä yksityisyydensuojakäytännössään, on oltava tarkkaavaisia. Yksityisyydensuojakäytäntöön on lisättävä maininta tietyistä henkilötiedoista, jotka on nyt sisällytettävä turvallisuustoimenpiteiden piiriin.

Sisäisten sääntöjen päivittäminen ja niiden tiedottaminen

Se, että myös tietyntyyppisten henkilötietojen vuotamisesta on nyt ilmoitus- ja tiedotusvelvollisuus, tulee heijastaa myös sisäisiin sääntöihin ja tiedottaa työntekijöille.

Henkilötietojen vuotamisen tapaukset, jotka nyt kuuluvat ilmoitusvelvollisuuden piiriin, eivät rajoitu vain web-skimmingiin.

Esimerkiksi, jos henkilötietoja käsittelevä yritys lähettää asiakkaalle vastauskuoren, jonka osoite on muutettu, ja tämän seurauksena kuoreen lisätty kyselylomake päätyy kolmannen osapuolen käsiin, tällaisen henkilötiedon, jota oli tarkoitus käsitellä henkilödatana, vuotaminen johtaa ilmoitus- ja tiedotusvelvollisuuden syntymiseen.

Koska myös aiemmin velvollisuuden ulkopuolella olleiden henkilötietojen käsittely muuttuu, on työntekijöitä kehotettava kiinnittämään huomiota.

Yhteenveto: Kysy asiantuntijalta neuvoa henkilötietolain uudistukseen vastaamisessa

Henkilötietolain (Reiwa 6) (2024) uudistuksessa web-skimmingin torjunta otetaan huomioon, ja ilmoitusvelvollisuus sekä turvallisuuden hallintatoimenpiteet laajenevat vuodon tai vastaavan tapahtuman sattuessa. Aiemmin vain “henkilödata” oli mukana, mutta tietyissä tapauksissa nyt myös “henkilötiedot” sisällytetään.

Tämän uudistuksen myötä on tarpeen toteuttaa toimenpiteitä, kuten tarkistaa yksityisyydensuojakäytäntöjä ja sisäisiä sääntöjä.

Henkilötietojen käsittelyssä virheiden tekeminen voi johtaa suuriin riskeihin, kuten yhteiskunnallisen luottamuksen menetykseen. Suosittelemme konsultoimaan asianajajaa toimiessasi näissä asioissa.

Toimenpiteemme esittely

Monolith Lakitoimisto on IT-alan, erityisesti internetin ja oikeudellisten kysymysten, rikkaan kokemuksen omaava lakitoimisto. Viime aikoina henkilötietojen vuotaminen on muodostunut suureksi ongelmaksi. Mikäli henkilötietoja vuotaa, se voi aiheuttaa yritystoiminnalle kohtalokkaita seurauksia. Meillä on erikoisosaamista tietovuotojen ehkäisemisessä ja niihin reagoimisessa. Alla olevassa artikkelissa kerromme aiheesta tarkemmin.

Monolith Lakitoimiston palvelualueet: Henkilötietojen suojaa koskeva Japanilainen lainsäädäntö[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Lääketieteellisellä alalla käytettävien kantasolujen mainonta- ja markkinointitoimintaan liittyvät lakimääräykset

Lääketieteellisellä alalla käytettävien kantasolujen mainonta- ja markkinointitoimintaan liittyv.

General Corporate

Mitä on Kiinan tietoturvalaki? Selitämme toimenpiteet, joita japanilaisyritysten tulisi toteuttaa

Mitä on Kiinan tietoturvalaki? Selitämme toimenpiteet, joita japanilaisyritysten tulisi toteutta.

General Corporate

Pelit ja laki (osa 1): Tekijänoikeuslaki, arpajaislaki, rahansiirtolaki

Pelit ja laki (osa 1): Tekijänoikeuslaki, arpajaislaki, rahansiirtolaki

General Corporate

Mitä yrityskaupan menestyksen salaisuudet ovat? Oppiminen M&A:n epäonnistumisista

Mitä yrityskaupan menestyksen salaisuudet ovat? Oppiminen M&A:n epäonnistumisista

General Corporate

Mikä on 'lääkelaissa' (Japanese Pharmaceutical Affairs Law) määrätty sakkojärjestelmä? Selitämme toimenpiteet, joita se koskee, ja tapaukset, joissa sakkoja voidaan alentaa tai poistaa

Mikä on 'lääkelaissa' (Japanese Pharmaceutical Affairs Law) määrätty sakkojärjestelmä? Selitämme.

General Corporate

Vakuutusvaihtoehtojen tarjoamisen ongelmat selitettynä - Onko tarjoaminen mahdollista ilman Japanin vakuutusalan lisenssiä?

Vakuutusvaihtoehtojen tarjoamisen ongelmat selitettynä - Onko tarjoaminen mahdollista ilman Japa.

General Corporate

Onko 'Ei valituksia, ei palautuksia' ehdottomasti palautuskelpoinen? Selitämme sen laillisen voiman

Onko 'Ei valituksia, ei palautuksia' ehdottomasti palautuskelpoinen? Selitämme sen laillisen voi.

General Corporate

Mitä muuttui vuoden 2019 (Heisei 31) japanilaisen muotoilulain muutoksessa? Selitämme kolme konkreettista kohtaa

Mitä muuttui vuoden 2019 (Heisei 31) japanilaisen muotoilulain muutoksessa? Selitämme kolme konk.

General Corporate

Kuinka perustaa yritys (yhtiö) ulkomailla? Selitys myös tyypeistä ja keskeisistä seikoista

Kuinka perustaa yritys (yhtiö) ulkomailla? Selitys myös tyypeistä ja keskeisistä seikoista

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

TOPへ戻る