Apa Poin Utama dari Revisi Undang-Undang Perlindungan Informasi Pribadi Jepang Tahun Reiwa 6 (2024)? Penjelasan tentang Perubahan yang Perlu Diketahui dan Strategi Penanganannya
Pada bulan April tahun Reiwa 6 (2024), peraturan revisi Undang-Undang Perlindungan Informasi Pribadi Jepang akan diberlakukan. Dalam revisi ini, kewajiban melaporkan ke Komisi Perlindungan Informasi Pribadi Jepang dan kewajiban memberitahukan kepada individu yang bersangkutan ketika terjadi kebocoran informasi, akan diperluas.
Poin utama dari revisi ini terletak pada penanganan masalah terkini mengenai informasi pribadi, seperti web skimming.
Namun, untuk memahami dan merespons poin revisi secara akurat, diperlukan pengetahuan khusus, dan banyak orang mungkin merasa tidak yakin tentang tindakan apa yang harus diambil oleh perusahaan mereka. Artikel ini akan menjelaskan poin-poin penting dari revisi tahun Reiwa 6 (2024) dan strategi penanganannya.
Ringkasan Perubahan pada Undang-Undang Perlindungan Informasi Pribadi Jepang Tahun Reiwa 6 (2024)
Perubahan penting dalam Undang-Undang Perlindungan Informasi Pribadi Jepang yang direvisi pada tahun Reiwa 6 (2024) adalah perluasan kewajiban pelaporan dan notifikasi serta kewajiban untuk mengambil langkah-langkah pengamanan saat terjadi kebocoran informasi, yang kini mencakup sebagian “informasi pribadi”.
Dalam peraturan sebelumnya, hanya “data pribadi” yang menjadi subjek kewajiban pelaporan saat terjadi kebocoran, sedangkan “informasi pribadi” tidak termasuk.
Revisi kali ini mencakup perubahan yang tercantum dalam Pasal 7 Ayat 3 dari Peraturan Pelaksanaan Undang-Undang Perlindungan Informasi Pribadi Jepang dan “Pedoman Undang-Undang Perlindungan Informasi Pribadi Jepang (Edisi Umum)”[ja].
Undang-Undang yang Direvisi | Sebelum Revisi | |
Kewajiban Pelaporan Kebocoran, dll. | Ada (dalam kasus tertentu) | Tidak Ada |
Kewajiban Mengambil Langkah Pengamanan | Ada (dalam kasus tertentu) | Tidak Ada |
Detail regulasi spesifik dan perubahan akan dijelaskan lebih lanjut di bawah ini.
Subjek Regulasi dalam Undang-Undang Perlindungan Data Pribadi Sebelumnya
Untuk memahami isi dari undang-undang yang telah direvisi, pemahaman yang akurat mengenai isi regulasi sebelum revisi adalah esensial. Di sini, kami akan menjelaskan definisi dan isi dari regulasi yang telah ditetapkan sebelum revisi.
Perbedaan Antara Informasi Pribadi dan Data Pribadi
Dalam Undang-Undang Perlindungan Informasi Pribadi Jepang, perlindungan ditujukan secara terpisah untuk “informasi pribadi” dan “data pribadi”.
“Informasi pribadi” adalah informasi tentang individu yang masih hidup, yang dapat mengidentifikasi individu tertentu melalui deskripsi seperti nama dan tanggal lahir yang terkandung dalam informasi tersebut. Ini didefinisikan dalam Pasal 2 Ayat 1 Nomor 1 dari Undang-Undang Perlindungan Informasi Pribadi Jepang.
Di sisi lain, “data pribadi” merujuk pada informasi pribadi yang membentuk basis data informasi pribadi, sebagaimana ditetapkan dalam Pasal 16 Ayat 1 dari Undang-Undang Perlindungan Informasi Pribadi Jepang.
Sebagai contoh, ketika membuat daftar hadir untuk suatu acara, informasi seperti nama dan alamat yang dikirimkan oleh peserta disebut “informasi pribadi”. Kemudian, basis data yang dibuat dengan mengumpulkan informasi pribadi dari setiap peserta dalam spreadsheet disebut “basis data informasi pribadi”. Informasi individu yang membentuk basis data ini disebut sebagai “data pribadi”.
Dalam Undang-Undang Perlindungan Informasi Pribadi Jepang, penting untuk memahami bahwa isi regulasi berubah secara signifikan tergantung pada apakah objek perlindungan adalah “informasi pribadi” atau “data pribadi”.
Kewajiban Melaporkan Kebocoran Informasi dan Lainnya
Undang-Undang Perlindungan Data Pribadi mewajibkan pelaku usaha pengelola data pribadi untuk melaporkan ke Komisi Perlindungan Data Pribadi Jepang dan memberitahukan kepada individu yang bersangkutan ketika terjadi kebocoran data pribadi atau situasi serupa.
(Laporan Kebocoran dan Lainnya)
Undang-Undang Perlindungan Informasi Pribadi | Pencarian Peraturan e-Gov[ja]
Artikel 26 Pelaku usaha pengelola data pribadi harus melaporkan kepada Komisi Perlindungan Data Pribadi Jepang sesuai dengan peraturan yang ditetapkan oleh komisi tersebut, ketika terjadi kebocoran, kehilangan, kerusakan, atau situasi lain yang berkaitan dengan keamanan data pribadi yang dapat merugikan hak dan kepentingan individu secara signifikan. Namun, jika pelaku usaha pengelola data pribadi tersebut menerima delegasi pengelolaan data pribadi baik sebagian atau seluruhnya dari pelaku usaha pengelola data pribadi lain atau dari lembaga pemerintah, dan telah memberitahukan kepada pelaku usaha atau lembaga tersebut tentang situasi yang terjadi sesuai dengan peraturan yang ditetapkan oleh Komisi Perlindungan Data Pribadi Jepang, maka hal ini tidak berlaku.
2 Dalam kasus yang ditentukan pada ayat sebelumnya, pelaku usaha pengelola data pribadi (kecuali mereka yang telah memberikan pemberitahuan sesuai dengan ketentuan pengecualian tersebut) harus memberitahukan kepada individu yang bersangkutan tentang situasi yang terjadi sesuai dengan peraturan yang ditetapkan oleh Komisi Perlindungan Data Pribadi Jepang. Namun, jika sulit untuk memberitahukan kepada individu tersebut dan diperlukan tindakan pengganti untuk melindungi hak dan kepentingan individu, maka hal ini tidak berlaku.
Kewajiban melaporkan dan memberitahukan tidak selalu muncul di setiap kasus kebocoran informasi. Hanya dalam empat kasus berikut yang ditentukan dalam Pasal 7 Peraturan Pelaksanaan Undang-Undang Perlindungan Data Pribadi, pelaporan dan pemberitahuan menjadi wajib.
- Kebocoran data pribadi yang mengandung informasi sensitif (contoh: hasil pemeriksaan kesehatan karyawan)
- Kebocoran data pribadi yang berpotensi menyebabkan kerugian finansial akibat penggunaan tidak sah (contoh: nomor kartu kredit)
- Kebocoran data pribadi yang kemungkinan dilakukan dengan tujuan tidak sah
- Kebocoran yang melibatkan lebih dari 1000 individu
Dalam revisi kali ini, isi dari Pasal 7 ayat (3) telah diubah.
Apa Itu Tindakan Pengelolaan Keamanan
Undang-Undang Perlindungan Data Pribadi Jepang mewajibkan para pelaku usaha pengelola data pribadi untuk mengambil tindakan yang diperlukan dan tepat dalam mencegah kebocoran data pribadi dan untuk pengelolaan keamanan.
(Tindakan Pengelolaan Keamanan)
Undang-Undang Perlindungan Data Pribadi Jepang | Pencarian Peraturan e-Gov[ja]
Pasal 23 Pelaku usaha pengelola data pribadi harus mengambil tindakan yang diperlukan dan tepat untuk mencegah kebocoran, kehilangan, atau kerusakan data pribadi dan untuk pengelolaan keamanan data pribadi lainnya.
Sebagai contoh spesifik, termasuk kontrol akses, pelatihan untuk karyawan, dan pengaturan disiplin.
Regulasi Sebelum Revisi
Sebelum revisi, subjek yang diwajibkan untuk melaporkan kejadian kebocoran dan sebagainya serta mengambil tindakan pengamanan hanya terbatas pada “data pribadi”. Berkaitan dengan “informasi pribadi”, meskipun terjadi kebocoran dan sebagainya, tidak ada kewajiban bagi pelaku usaha untuk memikul tanggung jawab tersebut.
Namun, perluasan subjek kewajiban laporan/pemberitahuan dan pengaturan tindakan pengamanan kini mencakup sebagian “informasi pribadi” sebagai bagian dari revisi kali ini.
Tujuan dan Maksud dari Perubahan Peraturan Pelaksanaan Undang-Undang Perlindungan Informasi Pribadi
Perubahan kali ini dapat dikatakan berfokus pada tindakan pencegahan terhadap web skimming. Web skimming adalah metode serangan yang memasang program ilegal di situs e-commerce untuk mencuri informasi pribadi.
Secara spesifik, ada metode untuk langsung mendapatkan informasi seperti password dan informasi kartu kredit yang dimasukkan pengguna ke dalam formulir input dari halaman input tersebut.
Dalam web skimming, ciri khasnya adalah informasi yang dimasukkan oleh pengguna dicuri langsung sebelum informasi tersebut diintegrasikan ke dalam database informasi pribadi milik operator situs e-commerce. Dalam kasus ini, ‘informasi pribadi’ yang dicuri belum menjadi ‘data pribadi’.
Sebelum perubahan, kewajiban untuk melaporkan kebocoran dan lainnya hanya ditujukan untuk ‘data pribadi’. Oleh karena itu, meskipun terjadi kerugian akibat web skimming, operator situs e-commerce tidak memiliki kewajiban untuk melaporkan.
Perubahan kali ini bertujuan untuk menjadikan kebocoran informasi akibat web skimming sebagai objek laporan, dengan memperluas cakupan laporan kebocoran dan tindakan pengamanan ke ‘informasi pribadi’.
Isi Perubahan Peraturan Perlindungan Data Pribadi Tahun Reiwa 6 (2024)
Perluasan Objek Kewajiban Pelaporan Kebocoran, dll.
Peraturan Pelaksanaan Undang-Undang Perlindungan Data Pribadi Pasal 7 Ayat 3 telah diubah sebagai berikut.
Undang-Undang yang Direvisi | Sebelum Revisi |
Pasal 7 Undang-Undang Pasal 26 Ayat 1 menyatakan bahwa hal-hal yang dianggap dapat merugikan hak dan kepentingan individu sebagaimana ditentukan dalam peraturan Komisi Perlindungan Data Pribadi Jepang adalah sebagai berikut. Ketiga, situasi di mana terjadi atau diperkirakan terjadi kebocoran data pribadi (termasuk data pribadi yang diperoleh atau sedang dalam proses diperoleh oleh pengusaha yang menangani informasi pribadi tersebut, yang dijadwalkan untuk diperlakukan sebagai data pribadi) akibat tindakan terhadap pengusaha tersebut yang dilakukan dengan tujuan tidak sah | Pasal 7 Undang-Undang Pasal 26 Ayat 1 menyatakan bahwa hal-hal yang dianggap dapat merugikan hak dan kepentingan individu sebagaimana ditentukan dalam peraturan Komisi Perlindungan Data Pribadi Jepang adalah sebagai berikut. Ketiga, situasi di mana terjadi atau diperkirakan terjadi kebocoran data pribadi akibat tindakan yang dilakukan dengan tujuan tidak sah |
“Pengusaha yang menangani informasi pribadi tersebut” juga mencakup pihak yang diberi tugas dan penyedia layanan pengelolaan informasi pribadi.
Selain itu, apakah informasi pribadi yang “sedang dalam proses diperoleh” oleh pengusaha pengelola informasi pribadi termasuk atau tidak, ditentukan secara objektif dengan mempertimbangkan cara perolehan informasi pribadi tersebut (Pedoman Umum Bagian 3-5-3-1).
Dengan demikian, perluasan objek kewajiban pelaporan dan pemberitahuan kebocoran, dll., hingga mencakup “informasi pribadi” dalam kasus tertentu, merupakan salah satu perubahan besar dalam revisi tahun Reiwa 6 (2024).
Perluasan Objek Tindakan Pengamanan
Seiring dengan revisi regulasi kewajiban pelaporan kebocoran, dll., isi dari Pedoman Umum Bagian 3-4-2 Undang-Undang Perlindungan Data Pribadi juga diubah.
Tindakan pengamanan yang harus diambil oleh pengusaha, kini juga mencakup tindakan yang diperlukan dan tepat untuk mencegah kebocoran, dll., dari informasi pribadi (termasuk informasi pribadi yang diperoleh atau sedang dalam proses diperoleh oleh pengusaha pengelola informasi pribadi) yang dijadwalkan untuk diperlakukan sebagai data pribadi.
Objek tindakan pengamanan juga telah diperluas, tidak hanya pada “data pribadi” tetapi juga pada “informasi pribadi” dalam kasus tertentu.
Referensi: Komisi Perlindungan Data Pribadi Jepang|(Diberlakukan pada 1 April Reiwa 6 (2024)) Pedoman tentang Undang-Undang Perlindungan Data Pribadi (Bagian Umum)
Langkah yang Harus Diambil Menyusul Penerapan Undang-Undang Perlindungan Data Pribadi yang Direvisi
Langkah yang harus diambil menyusul penerapan Undang-Undang Perlindungan Data Pribadi yang direvisi pada tahun Reiwa 6 (2024) adalah sebagai berikut:
- Merevisi kebijakan privasi
- Merevisi dan menyebarkan peraturan internal
Mari kita lihat lebih detail masing-masing poin tersebut.
Merevisi Kebijakan Privasi
Pengusaha yang menangani data pribadi harus menempatkan langkah-langkah pengamanan data pribadi yang mereka miliki dalam keadaan yang dapat diketahui oleh pemilik data tersebut. Ini juga termasuk keadaan di mana mereka dapat menjawab permintaan dari pemilik data tersebut tanpa penundaan (Pasal 32 Ayat 1 Nomor 4 dari Undang-Undang Perlindungan Data Pribadi Jepang).
Pengusaha yang telah menanggapi dengan mencantumkan langkah-langkah pengamanan data pribadi yang mereka miliki dalam kebijakan privasi mereka perlu berhati-hati. Mereka harus menambahkan informasi ke dalam kebijakan privasi mereka tentang inklusi data pribadi tertentu sebagai subjek dari langkah-langkah pengamanan baru.
Merevisi dan Menyebarkan Peraturan Internal
Kewajiban untuk melaporkan dan memberitahukan bahkan untuk kebocoran informasi pribadi tertentu sekarang telah diperkenalkan, dan ini harus tercermin dalam peraturan internal dan diketahui oleh karyawan.
Kejadian yang dapat menyebabkan kebocoran informasi pribadi yang sekarang menjadi subjek dari laporan dan pemberitahuan tidak terbatas pada web skimming saja.
Misalnya, jika pengusaha yang menangani informasi pribadi mengirimkan amplop balasan yang alamatnya telah diubah kepada pelanggan, dan informasi pribadi yang ditulis di kertas survei di dalam amplop tersebut berpindah ke tangan pihak ketiga. Jika informasi pribadi tersebut diharapkan untuk diolah sebagai data pribadi, maka akan timbul kewajiban untuk melaporkan dan memberitahukan kebocoran informasi tersebut.
Karena perlakuan terhadap informasi pribadi yang sebelumnya tidak menimbulkan kewajiban sekarang telah berubah, penting untuk meminta karyawan agar lebih berhati-hati.
Kesimpulan: Konsultasikan dengan Ahli untuk Menanggapi Revisi Undang-Undang Perlindungan Data Pribadi
Dalam revisi Undang-Undang Perlindungan Data Pribadi pada tahun Reiwa 6 (2024), dengan mempertimbangkan tindakan pencegahan web skimming, kewajiban pelaporan dan pemberitahuan saat terjadi kebocoran dan langkah-langkah pengelolaan keamanan yang diperluas. Sebelum revisi, hanya “data pribadi” yang menjadi fokus, namun dalam beberapa kasus, “informasi pribadi” juga termasuk dalam lingkupnya.
Revisi ini mengharuskan pengambilan langkah-langkah seperti revisi kebijakan privasi dan peraturan internal perusahaan.
Dalam hal penanganan informasi pribadi, kesalahan dalam tindakan dapat menyebabkan risiko besar seperti kehilangan kepercayaan sosial. Kami menyarankan untuk berkonsultasi dengan pengacara saat menanggapi situasi ini.
Panduan Tindakan dari Kantor Kami
Kantor Hukum Monolith adalah sebuah firma hukum yang memiliki pengalaman kaya di bidang IT, khususnya internet dan hukum. Belakangan ini, kebocoran informasi pribadi telah menjadi masalah besar. Jika informasi pribadi bocor, hal itu bisa memberikan dampak fatal pada aktivitas perusahaan. Kami memiliki keahlian khusus dalam mencegah dan menangani kebocoran informasi. Detail lebih lanjut dapat Anda temukan di artikel di bawah ini.
Bidang layanan Kantor Hukum Monolith: Layanan Hukum Terkait Undang-Undang Perlindungan Informasi Pribadi Jepang[ja]