व्यक्तिगत जानकारी संरक्षण कानून "हर 3 साल में समीक्षा" नीति को समझना ── कॉर्पोरेट प्रथाओं पर प्रभाव और प्रतिक्रिया के मुख्य बिंदु

जापान में, रेइवा 8 (2026) के 9 जनवरी को, व्यक्तिगत सूचना संरक्षण आयोग ने “個人情報保護法 いわゆる３年ごと見直しの制度改正方針” को सार्वजनिक किया। इस संशोधन का उद्देश्य एआई युग में डेटा के उपयोग को बढ़ावा देना है, जबकि अनुचित उपयोग के लिए “अर्थदंड” जैसे नियम और विनियमों को पुनः व्यवस्थित किया गया है, जो जापानी कंपनियों के डेटा प्रबंधन पर प्रभाव डाल सकते हैं।

इस लेख में, हम उन प्रमुख बिंदुओं की व्याख्या करेंगे जिन्हें जापानी कंपनियों को व्यावहारिक रूप से समझना चाहिए।

जापान में व्यक्तिगत जानकारी संरक्षण कानून संशोधन नीति का पृष्ठभूमि और प्रणालीगत आवश्यकताएँ

इस संशोधन नीति के निर्माण के पीछे तीन मुख्य तत्व हैं।

कानूनी दायित्व के रूप में “हर 3 साल में समीक्षा”

पहला, प्रणालीगत आवश्यकताएँ हैं। जापान में, रेइवा 2 (2020) के संशोधित कानून के परिशिष्ट में यह अनिवार्य किया गया था कि लागू होने के बाद हर 3 साल में, अंतरराष्ट्रीय प्रवृत्तियों, सूचना और संचार प्रौद्योगिकी की प्रगति, और नए उद्योगों के निर्माण की स्थिति को ध्यान में रखते हुए, कानून के कार्यान्वयन की समीक्षा की जाए और आवश्यक उपाय किए जाएं।

इस संशोधन नीति को इस प्रावधान के आधार पर रेइवा 5 (2023) के नवंबर से शुरू की गई समीक्षा प्रक्रिया के निष्कर्ष के रूप में प्रस्तुत किया गया है।

संदर्भ: 個人情報保護委員会｜個人情報保護法　いわゆる３年ごと見直しについて

जापान में सरकारी डिजिटल सुधार के साथ समन्वय

दूसरा, सरकार की डेटा उपयोग रणनीति के साथ संगति है। जापान की सरकार ने रेइवा 7 (2025) के जून में “डेटा उपयोग प्रणाली की दिशा में बुनियादी नीति” को मंत्रिमंडल द्वारा अनुमोदित किया और डेटा और AI के अच्छे चक्र को स्थापित करने के लिए व्यापक कानूनी ढांचे को आगे बढ़ा रही है। विशेष रूप से, AI के तेजी से प्रसार और डेटा प्रसंस्करण की उच्चता और जटिलता के कारण, व्यक्तियों के लिए अपनी डेटा की हैंडलिंग को समझना कठिन हो गया है।

इसका समाधान करने के लिए, यह आवश्यक हो गया कि व्यक्ति अपने डेटा को सुरक्षित रूप से प्रदान कर सकें, और इसके लिए विश्वास का निर्माण करना आवश्यक है। इसके साथ ही, उपयोग को बढ़ावा देने और बाद की अनुशासन की प्रभावशीलता सुनिश्चित करने के लिए एकीकृत व्यवस्था की आवश्यकता है।

जापान में सामाजिक और तकनीकी परिवेश के परिवर्तन के प्रति प्रतिक्रिया

तीसरा, व्यक्तिगत अधिकारों और हितों के आसपास के जोखिमों का परिवर्तन है।

हाल के वर्षों में, चेहरे की विशेषताओं के डेटा (जैसे चेहरे की आकृति और भागों की व्यवस्था को संख्यात्मक रूप में बदलकर व्यक्ति की पहचान करने वाली जानकारी) के उपयोग के साथ-साथ 16 वर्ष से कम उम्र के बच्चों की व्यक्तिगत जानकारी के प्रबंधन से संबंधित मुद्दे भी सामने आए हैं।

इसके अलावा, “अंधेरे सूची” से शुरू होने वाले विशेष धोखाधड़ी या फिशिंग धोखाधड़ी जैसे मामलों में, व्यक्तिगत जानकारी का अपराध में दुरुपयोग किया जा रहा है। इसके अलावा, डेटा प्रबंधन की खामियों के कारण जोखिम भी बढ़ रहे हैं, जैसे कि डेटा के प्रबंधन को बाहरी एजेंसियों को सौंपने के मामलों में, जहां एजेंसियां अपने कार्यक्षेत्र से बाहर जाकर डेटा का उपयोग करती हैं।

इन नए जोखिमों के प्रति, वर्तमान कानून की संरचना पर्याप्त रूप से प्रतिक्रिया नहीं दे पा रही है, जो समीक्षा की आवश्यकता के पीछे का कारण है।

जापानी व्यक्तिगत सूचना संरक्षण कानून में संशोधन की चार मुख्य धारणाएँ

इस बार के संशोधन की धारणाएँ मुख्य रूप से चार स्तंभों में विभाजित हैं। प्रत्येक के विवरण की व्याख्या करते हैं।

जापान में उचित डेटा उपयोग को बढ़ावा देना

इस संशोधन के तहत, उन डेटा उपयोगों के लिए, जिनका व्यक्ति के अधिकारों और हितों पर अपेक्षाकृत कम प्रभाव पड़ता है, व्यक्ति की भागीदारी के तरीके पर पुनर्विचार किया जाएगा और उपयोग की सुगमता को बढ़ावा दिया जाएगा।

विशेष रूप से, जब सांख्यिकीय जानकारी का निर्माण या एआई विकास जैसे मामलों में किसी विशेष व्यक्ति की पहचान नहीं की जा सकती है, तो कुछ शर्तों के तहत, व्यक्तिगत डेटा के तीसरे पक्ष को प्रदान करने के लिए व्यक्ति की सहमति की आवश्यकता नहीं होगी।

इसके अलावा, जब प्राप्ति की स्थिति से यह स्पष्ट होता है कि यह व्यक्ति की इच्छा के विरुद्ध नहीं है (उदाहरण के लिए, होटल आरक्षण जानकारी का होटल को प्रदान करना या विदेश में धन हस्तांतरण के समय जानकारी साझा करना), तो सहमति की आवश्यकता नहीं होगी।

इसके अलावा, जीवन, शरीर, संपत्ति की सुरक्षा या सार्वजनिक स्वास्थ्य में सुधार से संबंधित अपवाद प्रावधानों के लिए, वर्तमान “सहमति प्राप्त करना कठिन है” की शर्त को शिथिल करने की दिशा में पुनर्व्यवस्था की जाएगी, और शैक्षणिक अनुसंधान से संबंधित अपवादों के लिए, चिकित्सा संस्थानों द्वारा नैदानिक अनुसंधान की सुगमता को ध्यान में रखते हुए पुनर्विचार किया जाएगा।

जापान में जोखिम के लिए उचित प्रतिक्रिया देने वाले नियम

जापान में, संचालन के तरीके में बदलाव के अनुसार नियमों का विकास एक महत्वपूर्ण मुद्दा माना जाता है।

पहले, जापानी कानून के तहत नाबालिगों से संबंधित नियमों के रूप में, यदि 16 वर्ष से कम आयु के व्यक्ति से व्यक्तिगत जानकारी प्राप्त की जाती है, तो सामान्यतः कानूनी अभिभावक की भागीदारी की आवश्यकता की दिशा में प्रणाली का विकास विचाराधीन है। इसके अलावा, नाबालिगों की व्यक्तिगत जानकारी के संचालन के संबंध में, “व्यक्ति के सर्वोत्तम हित” को ध्यान में रखने की जिम्मेदारी का नया प्रावधान भी सुझाया गया है।

इसके बाद, जैविक जानकारी से संबंधित नियमों के रूप में, जैसे कि चेहरे की विशेषताओं के डेटा, जो किसी विशेष व्यक्ति की निरंतर पहचान कर सकते हैं, उनके उपयोग के उद्देश्य आदि की जानकारी को मजबूत करने और उपयोग रोकने के दावे के दायरे को बढ़ाने पर विचार किया जा रहा है। साथ ही, ऑप्ट-आउट के माध्यम से तीसरे पक्ष को जानकारी प्रदान करने की समीक्षा भी एक मुद्दा है।

इसके अलावा, जापान में अनुबंध से संबंधित नियमों के बारे में, अनुबंधित पक्ष द्वारा कार्यक्षेत्र के बाहर के उपयोग को रोकने के लिए नियमों की स्पष्टता पर विचार किया जा रहा है। दूसरी ओर, यदि अनुबंधित पक्ष केवल अनुबंधकर्ता के निर्देशों के आधार पर यांत्रिक प्रसंस्करण करता है, तो दायित्वों की व्यवस्था को सरल बनाने की दिशा भी सुझाई गई है।

इसके अलावा, जानकारी के लीक आदि के मामलों में प्रतिक्रिया के बारे में, जोखिम की मात्रा के अनुसार व्यक्ति को सूचित करने और रिपोर्टिंग की व्यवस्था की समीक्षा की दिशा में प्रणाली का विकास विचाराधीन है।

जापान में अनुचित उपयोग की रोकथाम

जापान में अनुचित उपयोग की रोकथाम के लिए, अपराध गतिविधियों आदि के दुरुपयोग को रोकने के लिए नियमों को सख्त किया जाएगा।

फोन नंबर या कुकी आईडी जैसी जानकारी, जो किसी विशेष व्यक्ति से संपर्क करने में सक्षम बनाती है, भले ही वह व्यक्तिगत जानकारी के अंतर्गत न आती हो, लेकिन फिशिंग धोखाधड़ी जैसे अनुचित उद्देश्यों के लिए उपयोग या अधिग्रहण को प्रतिबंधित किया जाएगा। इसके अलावा, ऑप्ट-आउट प्रणाली के माध्यम से जानकारी प्रदान करते समय, प्राप्तकर्ता की पहचान और उपयोग के उद्देश्य की पुष्टि को अनिवार्य किया जाएगा, जिससे सूची की अवैध वितरण को रोका जा सके।

जापानी कानून के तहत अनुशासन अनुपालन की प्रभावशीलता सुनिश्चित करना

जापानी कानून के तहत अनुशासन अनुपालन की प्रभावशीलता सुनिश्चित करना इस संशोधन में सबसे बड़ी चिंता का विषय है। त्वरित सुधारात्मक आदेशों को सक्षम करने के लिए आवश्यकताओं की समीक्षा की जाएगी, और उल्लंघनकारी गतिविधियों में सहायता करने वाले तीसरे पक्ष (जैसे होस्टिंग सेवा प्रदाता) के खिलाफ कार्रवाई के लिए आधारभूत प्रावधान भी स्थापित किए जाएंगे।

इसके अलावा, उन व्यवसायों के खिलाफ एक प्रणाली लागू की जाएगी जो बड़ी मात्रा में व्यक्तिगत जानकारी एकत्र करते हैं और इसका दुरुपयोग करके आर्थिक लाभ प्राप्त करते हैं। उन्हें प्राप्त संपत्ति के लाभ के बराबर राशि का जुर्माना भरने का आदेश दिया जाएगा। यह प्रणाली मुख्य रूप से उन मामलों पर लागू होगी जहां प्रभावित व्यक्तियों की संख्या 1,000 से अधिक है, जिससे जापानी कंपनियों के अनुपालन जोखिम में काफी वृद्धि होगी।

जापान में व्यक्तिगत जानकारी सुरक्षा कानून में संशोधन के लिए कंपनियों की आवश्यक प्रतिक्रियाएँ

संशोधन की नीति के अंतर्गत कई पहलू शामिल हैं, और कंपनियों को अपने कानूनी और अनुपालन ढांचे की व्यापक समीक्षा करने की आवश्यकता होगी। यहां हम विशेष रूप से आवश्यक प्रतिक्रियाओं को व्यवस्थित करते हैं।

आउटसोर्सिंग प्रबंधन का पुनर्निर्माण और अनुबंधों की समीक्षा

इस संशोधन के तहत, आउटसोर्सिंग पार्टियों पर भी सीधे कानूनी दायित्व लगाए जाएंगे। कंपनियों को पहले यह सुनिश्चित करना होगा कि जब वे आउटसोर्सिंग कर रही हों, तो आउटसोर्सिंग पार्टी उनके कार्यक्षेत्र से बाहर जाकर डेटा का उपयोग न कर रही हो। विशेष रूप से, जब AI विकास या डेटा विश्लेषण को बाहरी रूप से आउटसोर्स किया जाता है, तो आउटसोर्सिंग पार्टी द्वारा अपने स्वयं के अध्ययन के लिए डेटा का उपयोग करना नए कानून के तहत स्पष्ट रूप से प्रतिबंधित हो सकता है।

दूसरी ओर, जब केवल “यांत्रिक प्रसंस्करण” जैसे इनपुट कार्यों को आउटसोर्स किया जाता है, तो अनुबंध में सभी प्रक्रियाओं पर सहमति प्राप्त करके और स्थिति की निगरानी के उपायों को स्पष्ट करके, नए सिस्टम के अनुकूलन के लिए अनुबंध संशोधन की तैयारी आवश्यक है।

अवयस्कों और जैविक डेटा के लिए विशेष नियमों की स्थापना

16 वर्ष से कम आयु के अवयस्कों के लिए सेवाएं प्रदान करने वाली कंपनियों के लिए, आयु सत्यापन प्रक्रिया का निर्माण और कानूनी अभिभावक की सहमति प्राप्त करने के लिए कार्यप्रवाह का कार्यान्वयन अत्यावश्यक है। इसके अलावा, “अवयस्कों के सर्वोत्तम हित” को ध्यान में रखते हुए, गोपनीयता नीति में अवयस्कों के लिए स्पष्ट व्याख्या जोड़ने की आवश्यकता होगी।

इसके अलावा, चेहरे की पहचान प्रणाली का उपयोग करने वाली कंपनियों को उन सूचनाओं (जैसे प्राप्तकर्ता का नाम, विशिष्ट उपयोग उद्देश्य, शारीरिक विशेषताओं की सामग्री) की कानूनी आवश्यकता के लिए तैयार रहना चाहिए, और उन्हें अपने नोटिस बोर्ड या वेबसाइट की सामग्री की जांच करनी होगी।

“सक्रिय शासन” के रूप में सांख्यिकी का उपयोग

इसके विपरीत, इस संशोधन का एक पहलू डेटा के उपयोग को बढ़ावा देना भी है। सांख्यिकी निर्माण आदि के लिए व्यक्ति की सहमति की आवश्यकता नहीं होने की विशेष छूट पर विचार किया जा रहा है, और कुछ शर्तों के तहत, उन्नत डेटा विश्लेषण या AI विकास के लिए उपयोग की संभावनाएं बढ़ सकती हैं।

कंपनियों के लिए, इस विशेष छूट का सही ढंग से उपयोग करने के लिए आंतरिक नियमों (उद्देश्य के बाहर उपयोग की रोकथाम, तीसरे पक्ष को प्रदान करने की सीमाएं, उचित प्रकाशन प्रक्रियाएं आदि) को स्थापित करना और नवाचार सृजन के लिए कानूनी आधार तैयार करना महत्वपूर्ण है।

कठोर दंड और जुर्माने के जोखिम प्रबंधन

इस समीक्षा में एक प्रमुख मुद्दा जुर्माना प्रणाली और दंड का सख्तीकरण है। यदि बड़े पैमाने पर डेटा लीक या अनुचित उपयोग होता है, तो प्रशासनिक आदेशों के अलावा, अनुचित रूप से प्राप्त लाभ के बराबर जुर्माना भुगतान का आदेश दिया जा सकता है।

इसके अलावा, कंपनियों के लिए दंड का सख्तीकरण भी चर्चा का विषय है, और अनुचित सूची विक्रेताओं से डेटा प्राप्त करने या धोखाधड़ी के उपयोग की संभावना वाले डेटा उपयोग को समाप्त करने के लिए अनुपालन ढांचे का निर्माण महत्वपूर्ण होगा।

सारांश: जापान में व्यक्तिगत जानकारी संरक्षण कानून में संशोधन के लिए विशेषज्ञ से परामर्श करें

इस बार जापान के व्यक्तिगत जानकारी संरक्षण कानून में संशोधन की नीति केवल एक मामूली परिवर्तन नहीं है, बल्कि यह AI युग के आगमन और गंभीर होते डेटा अपराधों का सामना करने के लिए अत्यधिक प्रभावी है।

संशोधित विधेयक को रेइवा 8 (2026) के सामान्य संसद सत्र में प्रस्तुत करने की योजना है, और यदि यह पारित होता है, तो इसके रेइवा 9 (2027) से 10 (2028) के आसपास लागू होने की संभावना है। अब जब संशोधन नीति सार्वजनिक हो गई है, तो कानून बनने की प्रतीक्षा किए बिना, इस समय से ही अपनी कंपनी के डेटा गवर्नेंस के तरीके पर पुनर्विचार करना महत्वपूर्ण है। विशेष रूप से, जुर्माना प्रणाली का परिचय और नाबालिगों व जैविक डेटा पर सख्त नियम प्रबंधन से सीधे जुड़े मुद्दे बन जाते हैं। भविष्य के कानून निर्माण की प्रवृत्तियों पर नजर रखते हुए, कंपनी के संबंधित विभागों के साथ समन्वय में ठोस तैयारी करने की सिफारिश की जाती है।

हमारे कार्यालय द्वारा प्रदान की जाने वाली उपायों की जानकारी

मोनोलिथ कानूनी कार्यालय एक ऐसा कानूनी कार्यालय है जो आईटी, विशेष रूप से इंटरनेट और कानून के दोनों पहलुओं में उच्च विशेषज्ञता रखता है। हाल के वर्षों में, जापान में व्यक्तिगत जानकारी संरक्षण कानून से संबंधित गवर्नेंस पर ध्यान केंद्रित किया गया है। हमारे कार्यालय में, हम श्रम मुद्दों के समाधान प्रदान करते हैं। नीचे दिए गए लेख में विस्तृत जानकारी दी गई है।