Indonesia English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_id/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hari kerja 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Apa Poin Utama dari Revisi Undang-Undang Perlindungan Informasi Pribadi Jepang Tahun Reiwa 6 (2024)? Penjelasan tentang Perubahan yang Perlu Diketahui dan Strategi Penanganannya

Apa Poin Utama dari Revisi Undang-Undang Perlindungan Informasi Pribadi Jepang Tahun Reiwa 6 (2024)? Penjelasan tentang Perubahan yang Perlu Diketahui dan Strategi Penanganannya

General Corporate

Apa Poin Utama dari Revisi Undang-Undang Perlindungan Informasi Pribadi Jepang Tahun Reiwa 6 (2024)? Penjelasan tentang Perubahan yang Perlu Diketahui dan Strategi Penanganannya

Pada bulan April tahun Reiwa 6 (2024), peraturan revisi Undang-Undang Perlindungan Informasi Pribadi Jepang akan diberlakukan. Dalam revisi ini, kewajiban melaporkan ke Komisi Perlindungan Informasi Pribadi Jepang dan kewajiban memberitahukan kepada individu yang bersangkutan ketika terjadi kebocoran informasi, akan diperluas.

Poin utama dari revisi ini terletak pada penanganan masalah terkini mengenai informasi pribadi, seperti web skimming.

Namun, untuk memahami dan merespons poin revisi secara akurat, diperlukan pengetahuan khusus, dan banyak orang mungkin merasa tidak yakin tentang tindakan apa yang harus diambil oleh perusahaan mereka. Artikel ini akan menjelaskan poin-poin penting dari revisi tahun Reiwa 6 (2024) dan strategi penanganannya.

Ringkasan Perubahan pada Undang-Undang Perlindungan Informasi Pribadi Jepang Tahun Reiwa 6 (2024)

Perubahan penting dalam Undang-Undang Perlindungan Informasi Pribadi Jepang yang direvisi pada tahun Reiwa 6 (2024) adalah perluasan kewajiban pelaporan dan notifikasi serta kewajiban untuk mengambil langkah-langkah pengamanan saat terjadi kebocoran informasi, yang kini mencakup sebagian “informasi pribadi”.

Dalam peraturan sebelumnya, hanya “data pribadi” yang menjadi subjek kewajiban pelaporan saat terjadi kebocoran, sedangkan “informasi pribadi” tidak termasuk.

Revisi kali ini mencakup perubahan yang tercantum dalam Pasal 7 Ayat 3 dari Peraturan Pelaksanaan Undang-Undang Perlindungan Informasi Pribadi Jepang dan “Pedoman Undang-Undang Perlindungan Informasi Pribadi Jepang (Edisi Umum)”[ja].

Undang-Undang yang DirevisiSebelum Revisi
Kewajiban Pelaporan Kebocoran, dll.Ada (dalam kasus tertentu)Tidak Ada
Kewajiban Mengambil Langkah PengamananAda (dalam kasus tertentu)Tidak Ada
Perubahan dalam Penanganan Sebagian Informasi Pribadi

Detail regulasi spesifik dan perubahan akan dijelaskan lebih lanjut di bawah ini.

Subjek Regulasi dalam Undang-Undang Perlindungan Data Pribadi Sebelumnya

Subjek Regulasi dalam Undang-Undang Perlindungan Data Pribadi Sebelumnya

Untuk memahami isi dari undang-undang yang telah direvisi, pemahaman yang akurat mengenai isi regulasi sebelum revisi adalah esensial. Di sini, kami akan menjelaskan definisi dan isi dari regulasi yang telah ditetapkan sebelum revisi.

Perbedaan Antara Informasi Pribadi dan Data Pribadi

Dalam Undang-Undang Perlindungan Informasi Pribadi Jepang, perlindungan ditujukan secara terpisah untuk “informasi pribadi” dan “data pribadi”.

“Informasi pribadi” adalah informasi tentang individu yang masih hidup, yang dapat mengidentifikasi individu tertentu melalui deskripsi seperti nama dan tanggal lahir yang terkandung dalam informasi tersebut. Ini didefinisikan dalam Pasal 2 Ayat 1 Nomor 1 dari Undang-Undang Perlindungan Informasi Pribadi Jepang.

Artikel terkait: Undang-Undang Perlindungan Informasi Pribadi Jepang yang direvisi pada tahun 2022 (Reiwa 4) memperkenalkan ‘informasi yang diproses secara anonim’ dan lainnya untuk mendorong pemanfaatan data[ja]

Di sisi lain, “data pribadi” merujuk pada informasi pribadi yang membentuk basis data informasi pribadi, sebagaimana ditetapkan dalam Pasal 16 Ayat 1 dari Undang-Undang Perlindungan Informasi Pribadi Jepang.

Sebagai contoh, ketika membuat daftar hadir untuk suatu acara, informasi seperti nama dan alamat yang dikirimkan oleh peserta disebut “informasi pribadi”. Kemudian, basis data yang dibuat dengan mengumpulkan informasi pribadi dari setiap peserta dalam spreadsheet disebut “basis data informasi pribadi”. Informasi individu yang membentuk basis data ini disebut sebagai “data pribadi”.

Dalam Undang-Undang Perlindungan Informasi Pribadi Jepang, penting untuk memahami bahwa isi regulasi berubah secara signifikan tergantung pada apakah objek perlindungan adalah “informasi pribadi” atau “data pribadi”.

Kewajiban Melaporkan Kebocoran Informasi dan Lainnya

Undang-Undang Perlindungan Data Pribadi mewajibkan pelaku usaha pengelola data pribadi untuk melaporkan ke Komisi Perlindungan Data Pribadi Jepang dan memberitahukan kepada individu yang bersangkutan ketika terjadi kebocoran data pribadi atau situasi serupa.

(Laporan Kebocoran dan Lainnya)
Artikel 26 Pelaku usaha pengelola data pribadi harus melaporkan kepada Komisi Perlindungan Data Pribadi Jepang sesuai dengan peraturan yang ditetapkan oleh komisi tersebut, ketika terjadi kebocoran, kehilangan, kerusakan, atau situasi lain yang berkaitan dengan keamanan data pribadi yang dapat merugikan hak dan kepentingan individu secara signifikan. Namun, jika pelaku usaha pengelola data pribadi tersebut menerima delegasi pengelolaan data pribadi baik sebagian atau seluruhnya dari pelaku usaha pengelola data pribadi lain atau dari lembaga pemerintah, dan telah memberitahukan kepada pelaku usaha atau lembaga tersebut tentang situasi yang terjadi sesuai dengan peraturan yang ditetapkan oleh Komisi Perlindungan Data Pribadi Jepang, maka hal ini tidak berlaku.
2 Dalam kasus yang ditentukan pada ayat sebelumnya, pelaku usaha pengelola data pribadi (kecuali mereka yang telah memberikan pemberitahuan sesuai dengan ketentuan pengecualian tersebut) harus memberitahukan kepada individu yang bersangkutan tentang situasi yang terjadi sesuai dengan peraturan yang ditetapkan oleh Komisi Perlindungan Data Pribadi Jepang. Namun, jika sulit untuk memberitahukan kepada individu tersebut dan diperlukan tindakan pengganti untuk melindungi hak dan kepentingan individu, maka hal ini tidak berlaku.

Undang-Undang Perlindungan Informasi Pribadi | Pencarian Peraturan e-Gov[ja]

Kewajiban melaporkan dan memberitahukan tidak selalu muncul di setiap kasus kebocoran informasi. Hanya dalam empat kasus berikut yang ditentukan dalam Pasal 7 Peraturan Pelaksanaan Undang-Undang Perlindungan Data Pribadi, pelaporan dan pemberitahuan menjadi wajib.

  1. Kebocoran data pribadi yang mengandung informasi sensitif (contoh: hasil pemeriksaan kesehatan karyawan)
  2. Kebocoran data pribadi yang berpotensi menyebabkan kerugian finansial akibat penggunaan tidak sah (contoh: nomor kartu kredit)
  3. Kebocoran data pribadi yang kemungkinan dilakukan dengan tujuan tidak sah
  4. Kebocoran yang melibatkan lebih dari 1000 individu

Dalam revisi kali ini, isi dari Pasal 7 ayat (3) telah diubah.

Apa Itu Tindakan Pengelolaan Keamanan

Undang-Undang Perlindungan Data Pribadi Jepang mewajibkan para pelaku usaha pengelola data pribadi untuk mengambil tindakan yang diperlukan dan tepat dalam mencegah kebocoran data pribadi dan untuk pengelolaan keamanan.

(Tindakan Pengelolaan Keamanan)
Pasal 23 Pelaku usaha pengelola data pribadi harus mengambil tindakan yang diperlukan dan tepat untuk mencegah kebocoran, kehilangan, atau kerusakan data pribadi dan untuk pengelolaan keamanan data pribadi lainnya.

Undang-Undang Perlindungan Data Pribadi Jepang | Pencarian Peraturan e-Gov[ja]

Sebagai contoh spesifik, termasuk kontrol akses, pelatihan untuk karyawan, dan pengaturan disiplin.

Regulasi Sebelum Revisi

Sebelum revisi, subjek yang diwajibkan untuk melaporkan kejadian kebocoran dan sebagainya serta mengambil tindakan pengamanan hanya terbatas pada “data pribadi”. Berkaitan dengan “informasi pribadi”, meskipun terjadi kebocoran dan sebagainya, tidak ada kewajiban bagi pelaku usaha untuk memikul tanggung jawab tersebut.

Namun, perluasan subjek kewajiban laporan/pemberitahuan dan pengaturan tindakan pengamanan kini mencakup sebagian “informasi pribadi” sebagai bagian dari revisi kali ini.

Tujuan dan Maksud dari Perubahan Peraturan Pelaksanaan Undang-Undang Perlindungan Informasi Pribadi

Tujuan dan Maksud dari Perubahan Peraturan Pelaksanaan Undang-Undang Perlindungan Informasi Pribadi

Perubahan kali ini dapat dikatakan berfokus pada tindakan pencegahan terhadap web skimming. Web skimming adalah metode serangan yang memasang program ilegal di situs e-commerce untuk mencuri informasi pribadi.

Secara spesifik, ada metode untuk langsung mendapatkan informasi seperti password dan informasi kartu kredit yang dimasukkan pengguna ke dalam formulir input dari halaman input tersebut.

Dalam web skimming, ciri khasnya adalah informasi yang dimasukkan oleh pengguna dicuri langsung sebelum informasi tersebut diintegrasikan ke dalam database informasi pribadi milik operator situs e-commerce. Dalam kasus ini, ‘informasi pribadi’ yang dicuri belum menjadi ‘data pribadi’.

Sebelum perubahan, kewajiban untuk melaporkan kebocoran dan lainnya hanya ditujukan untuk ‘data pribadi’. Oleh karena itu, meskipun terjadi kerugian akibat web skimming, operator situs e-commerce tidak memiliki kewajiban untuk melaporkan.

Perubahan kali ini bertujuan untuk menjadikan kebocoran informasi akibat web skimming sebagai objek laporan, dengan memperluas cakupan laporan kebocoran dan tindakan pengamanan ke ‘informasi pribadi’.

Isi Perubahan Peraturan Perlindungan Data Pribadi Tahun Reiwa 6 (2024)

Perluasan Objek Kewajiban Pelaporan Kebocoran, dll.

Peraturan Pelaksanaan Undang-Undang Perlindungan Data Pribadi Pasal 7 Ayat 3 telah diubah sebagai berikut.

Undang-Undang yang DirevisiSebelum Revisi
Pasal 7 Undang-Undang Pasal 26 Ayat 1 menyatakan bahwa hal-hal yang dianggap dapat merugikan hak dan kepentingan individu sebagaimana ditentukan dalam peraturan Komisi Perlindungan Data Pribadi Jepang adalah sebagai berikut. Ketiga, situasi di mana terjadi atau diperkirakan terjadi kebocoran data pribadi (termasuk data pribadi yang diperoleh atau sedang dalam proses diperoleh oleh pengusaha yang menangani informasi pribadi tersebut, yang dijadwalkan untuk diperlakukan sebagai data pribadi) akibat tindakan terhadap pengusaha tersebut yang dilakukan dengan tujuan tidak sahPasal 7 Undang-Undang Pasal 26 Ayat 1 menyatakan bahwa hal-hal yang dianggap dapat merugikan hak dan kepentingan individu sebagaimana ditentukan dalam peraturan Komisi Perlindungan Data Pribadi Jepang adalah sebagai berikut. Ketiga, situasi di mana terjadi atau diperkirakan terjadi kebocoran data pribadi akibat tindakan yang dilakukan dengan tujuan tidak sah
Peraturan Pelaksanaan Undang-Undang Perlindungan Data Pribadi|Pencarian Peraturan e-Gov[ja]

“Pengusaha yang menangani informasi pribadi tersebut” juga mencakup pihak yang diberi tugas dan penyedia layanan pengelolaan informasi pribadi.

Selain itu, apakah informasi pribadi yang “sedang dalam proses diperoleh” oleh pengusaha pengelola informasi pribadi termasuk atau tidak, ditentukan secara objektif dengan mempertimbangkan cara perolehan informasi pribadi tersebut (Pedoman Umum Bagian 3-5-3-1).

Dengan demikian, perluasan objek kewajiban pelaporan dan pemberitahuan kebocoran, dll., hingga mencakup “informasi pribadi” dalam kasus tertentu, merupakan salah satu perubahan besar dalam revisi tahun Reiwa 6 (2024).

Perluasan Objek Tindakan Pengamanan

Seiring dengan revisi regulasi kewajiban pelaporan kebocoran, dll., isi dari Pedoman Umum Bagian 3-4-2 Undang-Undang Perlindungan Data Pribadi juga diubah.

Tindakan pengamanan yang harus diambil oleh pengusaha, kini juga mencakup tindakan yang diperlukan dan tepat untuk mencegah kebocoran, dll., dari informasi pribadi (termasuk informasi pribadi yang diperoleh atau sedang dalam proses diperoleh oleh pengusaha pengelola informasi pribadi) yang dijadwalkan untuk diperlakukan sebagai data pribadi.

Objek tindakan pengamanan juga telah diperluas, tidak hanya pada “data pribadi” tetapi juga pada “informasi pribadi” dalam kasus tertentu.

Referensi: Komisi Perlindungan Data Pribadi Jepang|(Diberlakukan pada 1 April Reiwa 6 (2024)) Pedoman tentang Undang-Undang Perlindungan Data Pribadi (Bagian Umum)

Langkah yang Harus Diambil Menyusul Penerapan Undang-Undang Perlindungan Data Pribadi yang Direvisi

Langkah yang Harus Diambil Menyusul Penerapan Undang-Undang Perlindungan Data Pribadi yang Direvisi

Langkah yang harus diambil menyusul penerapan Undang-Undang Perlindungan Data Pribadi yang direvisi pada tahun Reiwa 6 (2024) adalah sebagai berikut:

  • Merevisi kebijakan privasi
  • Merevisi dan menyebarkan peraturan internal

Mari kita lihat lebih detail masing-masing poin tersebut.

Merevisi Kebijakan Privasi

Pengusaha yang menangani data pribadi harus menempatkan langkah-langkah pengamanan data pribadi yang mereka miliki dalam keadaan yang dapat diketahui oleh pemilik data tersebut. Ini juga termasuk keadaan di mana mereka dapat menjawab permintaan dari pemilik data tersebut tanpa penundaan (Pasal 32 Ayat 1 Nomor 4 dari Undang-Undang Perlindungan Data Pribadi Jepang).

Pengusaha yang telah menanggapi dengan mencantumkan langkah-langkah pengamanan data pribadi yang mereka miliki dalam kebijakan privasi mereka perlu berhati-hati. Mereka harus menambahkan informasi ke dalam kebijakan privasi mereka tentang inklusi data pribadi tertentu sebagai subjek dari langkah-langkah pengamanan baru.

Merevisi dan Menyebarkan Peraturan Internal

Kewajiban untuk melaporkan dan memberitahukan bahkan untuk kebocoran informasi pribadi tertentu sekarang telah diperkenalkan, dan ini harus tercermin dalam peraturan internal dan diketahui oleh karyawan.

Kejadian yang dapat menyebabkan kebocoran informasi pribadi yang sekarang menjadi subjek dari laporan dan pemberitahuan tidak terbatas pada web skimming saja.

Misalnya, jika pengusaha yang menangani informasi pribadi mengirimkan amplop balasan yang alamatnya telah diubah kepada pelanggan, dan informasi pribadi yang ditulis di kertas survei di dalam amplop tersebut berpindah ke tangan pihak ketiga. Jika informasi pribadi tersebut diharapkan untuk diolah sebagai data pribadi, maka akan timbul kewajiban untuk melaporkan dan memberitahukan kebocoran informasi tersebut.

Karena perlakuan terhadap informasi pribadi yang sebelumnya tidak menimbulkan kewajiban sekarang telah berubah, penting untuk meminta karyawan agar lebih berhati-hati.

Kesimpulan: Konsultasikan dengan Ahli untuk Menanggapi Revisi Undang-Undang Perlindungan Data Pribadi

Dalam revisi Undang-Undang Perlindungan Data Pribadi pada tahun Reiwa 6 (2024), dengan mempertimbangkan tindakan pencegahan web skimming, kewajiban pelaporan dan pemberitahuan saat terjadi kebocoran dan langkah-langkah pengelolaan keamanan yang diperluas. Sebelum revisi, hanya “data pribadi” yang menjadi fokus, namun dalam beberapa kasus, “informasi pribadi” juga termasuk dalam lingkupnya.

Revisi ini mengharuskan pengambilan langkah-langkah seperti revisi kebijakan privasi dan peraturan internal perusahaan.

Dalam hal penanganan informasi pribadi, kesalahan dalam tindakan dapat menyebabkan risiko besar seperti kehilangan kepercayaan sosial. Kami menyarankan untuk berkonsultasi dengan pengacara saat menanggapi situasi ini.

Panduan Tindakan dari Kantor Kami

Kantor Hukum Monolith adalah sebuah firma hukum yang memiliki pengalaman kaya di bidang IT, khususnya internet dan hukum. Belakangan ini, kebocoran informasi pribadi telah menjadi masalah besar. Jika informasi pribadi bocor, hal itu bisa memberikan dampak fatal pada aktivitas perusahaan. Kami memiliki keahlian khusus dalam mencegah dan menangani kebocoran informasi. Detail lebih lanjut dapat Anda temukan di artikel di bawah ini.

Bidang layanan Kantor Hukum Monolith: Layanan Hukum Terkait Undang-Undang Perlindungan Informasi Pribadi Jepang[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Kewajiban Penyusunan BCP di Fasilitas Perawatan | Metode Penyusunan dan Manfaatnya

Kewajiban Penyusunan BCP di Fasilitas Perawatan | Metode Penyusunan dan Manfaatnya

General Corporate

Risiko Kebocoran Informasi Pribadi Perusahaan dan Ganti Rugi

Risiko Kebocoran Informasi Pribadi Perusahaan dan Ganti Rugi

General Corporate

Dapatkah Klaim Ganti Rugi Diajukan untuk Kerugian Materiil Akibat Penghentian Transaksi atau Penurunan Penjualan Karena Pencemaran Nama Baik?

Dapatkah Klaim Ganti Rugi Diajukan untuk Kerugian Materiil Akibat Penghentian Transaksi atau Pen.

General Corporate

M&A yang Digunakan untuk Penjualan Perusahaan: Penjelasan tentang Prosedur, Keuntungan, dan Kerugian

M&A yang Digunakan untuk Penjualan Perusahaan: Penjelasan tentang Prosedur, Keuntungan, dan .

General Corporate

Titik-titik Penting yang Harus Diperhatikan oleh Perusahaan Jepang Saat Mempertimbangkan Ekspansi ke Luar Negeri

Titik-titik Penting yang Harus Diperhatikan oleh Perusahaan Jepang Saat Mempertimbangkan Ekspans.

General Corporate

Pengaruh Litigasi Pengadilan terhadap Uji Kelayakan Penawaran Saham Publik

Pengaruh Litigasi Pengadilan terhadap Uji Kelayakan Penawaran Saham Publik

General Corporate

【Berita Terkini】Penangkapan Pertama atas Pelanggaran 'Japanese Personal Information Protection Law' Terkait Insiden Kebocoran Data Kartu Nama

【Berita Terkini】Penangkapan Pertama atas Pelanggaran 'Japanese Personal Information Protection L.

General Corporate

Apa itu Regulasi Iklan Produk CBD? Seorang Pengacara Menjelaskan Hubungannya dengan 'Undang-Undang Obat Jepang' dan Lainnya

Apa itu Regulasi Iklan Produk CBD? Seorang Pengacara Menjelaskan Hubungannya dengan 'Undang-Unda.

General Corporate

Mengajukan Permintaan Pengeditan Video kepada Cloud Worker: Penjelasan 6 Poin Penting dalam Kontrak Pengalihan Tugas

Mengajukan Permintaan Pengeditan Video kepada Cloud Worker: Penjelasan 6 Poin Penting dalam Kont.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Kembali ke atas