सन् २०२४ को व्यक्तिगत जानकारी संरक्षण ऐनमा भएका संशोधनका मुख्य बुँदाहरू के हुन्? जान्नैपर्ने परिवर्तनहरू र तिनका समाधान उपायहरूको व्याख्या।

जापानमा, रेवावा 6 वर्ष (सन् 2024) को अप्रिलमा, संशोधित व्यक्तिगत जानकारी संरक्षण कानून कार्यान्वयन नियमावली लागू हुनेछ। यस पटकको संशोधनमा, व्यक्तिगत जानकारी संरक्षण आयोगलाई रिपोर्ट गर्ने दायित्व र जानकारीको लीक आदि हुँदा सम्बन्धित व्यक्तिलाई सूचित गर्ने दायित्वको दायरा विस्तार गरिएको छ।

यस संशोधनको मुख्य बिन्दु भनेको वेब स्किमिङ जस्ता हालसालका व्यक्तिगत जानकारीसँग सम्बन्धित समस्याहरूको समाधानमा केन्द्रित छ।

तर, संशोधन बुँदाहरूलाई सही रूपमा बुझ्न र उपयुक्त रूपमा प्रतिक्रिया दिनका लागि विशेषज्ञ ज्ञान आवश्यक पर्छ, र धेरैलाई थाहा नहुन सक्छ कि आफ्नो कम्पनीले के कदम चाल्नुपर्छ। यस लेखमा, रेवावा 6 वर्षको संशोधनका मुख्य बिन्दुहरू र समाधान उपायहरूको व्याख्या गरिनेछ।

जापानमा रेवावा 6 (2024) वर्षको व्यक्तिगत जानकारी संरक्षण कानुनको संशोधनको मुख्य बुँदाहरू

जापानमा रेवावा 6 (2024) वर्षको व्यक्तिगत जानकारी संरक्षण कानुनको संशोधनमा ध्यान दिनुपर्ने मुख्य परिवर्तनहरूमा, चुहावट आदि हुँदा रिपोर्ट र सूचना दिने दायित्व र सुरक्षा व्यवस्थापन उपायहरू लागू गर्ने दायित्वको दायरा केही “व्यक्तिगत जानकारी” सम्म विस्तार गरिएको छ।

पहिलेको नियममा, चुहावट हुँदा रिपोर्ट दिने दायित्वको दायरा “व्यक्तिगत डेटा” मात्र थियो, र “व्यक्तिगत जानकारी” समावेश थिएन।

यस पटकको संशोधनद्वारा, व्यक्तिगत जानकारी संरक्षण कानुन कार्यान्वयन नियमको धारा 7 को उपधारा 3 र 「個人情報保護法ガイドライン（通則編）」[ja]मा परिवर्तनको विवरण उल्लेख गरिएको छ।

विशिष्ट नियमन सामग्री र परिवर्तन बुँदाहरू तल विस्तृत रूपमा व्याख्या गरिनेछ।

जापानमा व्यक्तिगत जानकारी संरक्षण ऐन अन्तर्गतको विगतको नियमनको दायरा

जापानमा संशोधित ऐनको विषयवस्तु बुझ्नका लागि, संशोधन अघि रहेको नियमनको विषयवस्तुमा सही बुझाइ आवश्यक छ। यहाँ, संशोधन अघि निर्धारण गरिएका नियमनको परिभाषा र विषयवस्तुको व्याख्या गरिन्छ।

व्यक्तिगत जानकारी र व्यक्तिगत डाटाको भिन्नता

जापानी व्यक्तिगत जानकारी संरक्षण ऐन अन्तर्गत, “व्यक्तिगत जानकारी” र “व्यक्तिगत डाटा” लाई संरक्षणको लागि अलग-अलग रूपमा विचार गरिन्छ।

“व्यक्तिगत जानकारी” भन्नाले जीवित व्यक्तिसँग सम्बन्धित जानकारीलाई जनाउँछ, जसमा समावेश नाम वा जन्ममिति जस्ता विवरणहरूद्वारा विशेष व्यक्तिलाई पहिचान गर्न सकिने जानकारी हुन्छ। यो जापानी व्यक्तिगत जानकारी संरक्षण ऐनको धारा 2, उपधारा 1, अनुच्छेद 1 मा परिभाषित गरिएको छ।

सम्बन्धित लेख: 令和 4 वर्ष (2022) मा संशोधित जापानी व्यक्तिगत जानकारी संरक्षण ऐन “छद्म नाम प्रशोधन जानकारी” को स्थापना आदिले डाटाको उपयोगलाई प्रोत्साहन[ja]

अर्कोतर्फ, “व्यक्तिगत डाटा” भन्नाले व्यक्तिगत जानकारी डाटाबेस आदि बनाउने व्यक्तिगत जानकारीलाई जनाउँछ, जुन जापानी व्यक्तिगत जानकारी संरक्षण ऐनको धारा 16, उपधारा 1 मा निर्दिष्ट गरिएको छ।

उदाहरणका लागि, कुनै कार्यक्रमको सहभागीहरूको नामावली तयार गर्दा, आरक्षणकर्ताले पठाएको नाम वा ठेगाना जस्ता जानकारीलाई “व्यक्तिगत जानकारी” भनिन्छ। अनि आरक्षणकर्ताको व्यक्तिगत जानकारीलाई स्प्रेडशीट जस्ता माध्यममा संकलन गरेर बनाइएको डाटाबेस “व्यक्तिगत जानकारी डाटाबेस” हो। यस डाटाबेसलाई बनाउने प्रत्येक जानकारी “व्यक्तिगत डाटा” मा पर्दछ।

जापानी व्यक्तिगत जानकारी संरक्षण ऐनमा, संरक्षणको विषयवस्तु “व्यक्तिगत जानकारी” हो वा “व्यक्तिगत डाटा” हो भन्ने आधारमा नियमनको सामग्रीमा ठूलो परिवर्तन आउन सक्छ भन्ने कुरा बुझ्न आवश्यक छ।

जापानी कानून अन्तर्गत जानकारी चुहावट रिपोर्टिङ्ग दायित्व के हो

जापानी व्यक्तिगत जानकारी संरक्षण कानूनले, व्यक्तिगत डाटा चुहावट जस्ता घटनाहरू भएमा, व्यक्तिगत जानकारी व्यवस्थापन गर्ने व्यवसायहरूलाई व्यक्तिगत जानकारी संरक्षण आयोगमा रिपोर्ट गर्न र सम्बन्धित व्यक्तिलाई सूचित गर्न अनिवार्य बनाएको छ।

（चुहावट आदि को रिपोर्टिङ्ग）
धारा २६: व्यक्तिगत जानकारी व्यवस्थापन गर्ने व्यवसायहरूले, उनीहरूको व्यवस्थापनमा रहेको व्यक्तिगत डाटाको चुहावट, नष्ट, क्षति वा अन्य व्यक्तिगत डाटाको सुरक्षासँग सम्बन्धित घटनाहरू जसले व्यक्तिको अधिकार र फाइदामा ठूलो असर पार्न सक्छ, त्यस्ता घटनाहरू भएमा व्यक्तिगत जानकारी संरक्षण आयोगको नियम अनुसार आयोगमा रिपोर्ट गर्नुपर्छ। तर, यदि उक्त व्यक्तिगत जानकारी व्यवस्थापन गर्ने व्यवसायले अन्य व्यक्तिगत जानकारी व्यवस्थापन गर्ने व्यवसाय वा प्रशासनिक निकायहरूबाट उक्त व्यक्तिगत डाटाको व्यवस्थापनको सम्पूर्ण वा आंशिक जिम्मेवारी लिएको छ र व्यक्तिगत जानकारी संरक्षण आयोगको नियम अनुसार उक्त घटनाको जानकारी अन्य व्यक्तिगत जानकारी व्यवस्थापन गर्ने व्यवसाय वा प्रशासनिक निकायहरूलाई दिएको छ भने, यो लागू हुँदैन।
२. माथिल्लो अनुच्छेदमा निर्दिष्ट अवस्थामा, व्यक्तिगत जानकारी व्यवस्थापन गर्ने व्यवसाय (उक्त अनुच्छेदको अपवाद अनुसार सूचित गर्ने व्यक्तिलाई बाहेक) ले सम्बन्धित व्यक्तिलाई व्यक्तिगत जानकारी संरक्षण आयोगको नियम अनुसार उक्त घटनाको जानकारी दिनुपर्छ। तर, सम्बन्धित व्यक्तिलाई सूचित गर्न गाह्रो भएमा र सम्बन्धित व्यक्तिको अधिकार र फाइदा सुरक्षित गर्न आवश्यक अन्य उपायहरू लिइएको छ भने, यो लागू हुँदैन।

व्यक्तिगत जानकारीको संरक्षण सम्बन्धी कानून｜e-Gov कानून खोज[ja]

रिपोर्टिङ्ग र सूचनाको दायित्व सबै चुहावट घटनाहरूमा लागू हुँदैन। यो व्यक्तिगत जानकारी संरक्षण कानून कार्यान्वयन नियमको धारा ७ मा निर्दिष्ट चार केसहरूमा मात्र लागू हुन्छ।

1. विशेष ध्यान दिनुपर्ने व्यक्तिगत जानकारी समावेश भएको व्यक्तिगत डाटाको चुहावट (उदाहरण: कर्मचारीको स्वास्थ्य परीक्षण परिणाम)
2. अनधिकृत प्रयोगबाट आर्थिक क्षति हुने सम्भावना भएको व्यक्तिगत डाटाको चुहावट (उदाहरण: क्रेडिट कार्ड नम्बर)
3. अनधिकृत उद्देश्यका लागि गरिएको व्यक्तिगत डाटाको चुहावटको सम्भावना
4. सम्बन्धित व्यक्तिको संख्या १००० भन्दा बढी भएको चुहावट

यस पटकको संशोधनमा, नियमको धारा ७ को उपधारा ३ को सामग्री परिवर्तन गरिएको छ।

जापानमा सुरक्षा व्यवस्थापन उपायहरू के हुन्

जापानी व्यक्तिगत जानकारी संरक्षण ऐनले व्यक्तिगत जानकारी प्रशोधन गर्ने व्यवसायहरूलाई व्यक्तिगत डेटा चुहावट वा सुरक्षा व्यवस्थापनको लागि आवश्यक र उपयुक्त उपायहरू लिन बाध्य बनाएको छ।

（सुरक्षा व्यवस्थापन उपायहरू）
धारा २३: व्यक्तिगत जानकारी प्रशोधन गर्ने व्यवसायहरूले उनीहरूको व्यक्तिगत डेटा चुहावट, नष्ट वा क्षति हुनबाट रोक्न र अन्य व्यक्तिगत डेटा सुरक्षा व्यवस्थापनको लागि आवश्यक र उपयुक्त उपायहरू लिनुपर्छ।

व्यक्तिगत जानकारीको संरक्षण सम्बन्धी कानून｜e-Gov कानून खोज[ja]

विशिष्ट उदाहरणहरूमा पहुँच नियन्त्रण, कर्मचारीहरूलाई तालिम, र अनुशासनको व्यवस्थापन समावेश छन्।

जापानमा संशोधन अघि नियमनको दायरा

संशोधन अघि, चुहावट आदि घटना हुँदा रिपोर्ट गर्ने दायित्व र सुरक्षा व्यवस्थापन उपायहरू लागू गर्ने दायित्व “व्यक्तिगत डेटा” मात्रको लागि निर्धारण गरिएको थियो। “व्यक्तिगत जानकारी” सम्बन्धमा, चुहावट आदि भए तापनि, व्यवसायीहरूले यस्तो दायित्व वहन गर्नुपर्दैन थियो।

तर, रिपोर्ट र सूचना दिने दायित्व तथा सुरक्षा व्यवस्थापन उपायहरूको दायित्व केही “व्यक्तिगत जानकारी” सम्म विस्तार गरिएको छ, जुन यस पटकको संशोधन हो।

व्यक्तिगत जानकारी संरक्षण ऐन कार्यान्वयन नियमको संशोधनको उद्देश्य र लक्ष्य

यस पटकको संशोधन वेब स्किमिङ्गको उपायलाई ध्यानमा राखेर गरिएको हो। वेब स्किमिङ्ग भनेको ई-कमर्स साइटहरूमा अनधिकृत प्रोग्राम राखेर व्यक्तिगत जानकारी चोरी गर्ने आक्रमण विधि हो।

विशेष गरी, प्रयोगकर्ताले इनपुट फारममा प्रविष्ट गरेको पासवर्ड वा क्रेडिट कार्ड जानकारी जस्ता विवरणहरू इनपुट पृष्ठबाट सिधै प्राप्त गर्ने विधि हुन्छ।

वेब स्किमिङ्गमा, प्रयोगकर्ताले प्रविष्ट गरेको जानकारी ई-कमर्स साइट व्यवसायीको व्यक्तिगत जानकारी डाटाबेसमा समावेश हुनु अघि नै सिधै चोरी गरिन्छ। यस अवस्थामा, “व्यक्तिगत डाटा” बन्नु अघि नै “व्यक्तिगत जानकारी” चोरी गरिएको हुन्छ।

संशोधन अघि, चुहावट आदि रिपोर्टिङ्गको दायित्व “व्यक्तिगत डाटा” मात्रलाई लक्षित गरिन्थ्यो। त्यसैले, वेब स्किमिङ्गबाट हुने क्षति भए पनि, ई-कमर्स साइट व्यवसायीले रिपोर्टिङ्ग आदि गर्ने दायित्व थिएन।

यस पटकको संशोधनले वेब स्किमिङ्गबाट हुने जानकारी चुहावटलाई पनि रिपोर्टिङ्गको विषय बनाउने उद्देश्य राखेको छ, जसले चुहावट आदि रिपोर्टिङ्ग र सुरक्षा व्यवस्थापन उपायहरूको दायरा “व्यक्तिगत जानकारी” सम्म विस्तार गरेको छ।

जापानमा रेवावा 6 (2024) वर्षको व्यक्तिगत जानकारी संरक्षण ऐन कार्यान्वयन नियमको संशोधन

रिपोर्टिङ्ग र सूचना दिने दायित्वको विस्तार

व्यक्तिगत जानकारी संरक्षण ऐन कार्यान्वयन नियमको धारा 7 को उपधारा 3 लाई तल उल्लेखित रूपमा संशोधन गरिएको छ।

“उक्त व्यक्तिगत जानकारी प्रशोधन गर्ने व्यवसायी” मा, ठेकेदार र व्यक्तिगत जानकारी प्रशोधन सेवा प्रदायकहरू पनि समावेश छन्।

साथै, व्यक्तिगत जानकारी प्रशोधन गर्ने व्यवसायीले “प्राप्त गर्न खोजिरहेको व्यक्तिगत जानकारी” मा पर्छ कि पर्दैन भन्ने कुरा, व्यक्तिगत जानकारी प्राप्त गर्ने माध्यम आदिलाई विचार गरेर वस्तुनिष्ठ रूपमा निर्णय गरिन्छ (गाइडलाइन सामान्य नियम खण्ड 3-5-3-1)।

यसरी, लीक आदि रिपोर्टिङ्ग र सूचना दिने दायित्वको विषयवस्तु, निश्चित अवस्थामा “व्यक्तिगत जानकारी” सम्म विस्तार गरिएको छ, जुन रेवावा 6 (2024) संशोधनको ठूलो परिवर्तन हो।

सुरक्षा व्यवस्थापन उपायहरूको विस्तार

लीक आदि रिपोर्टिङ्ग दायित्व नियमको संशोधनसँगै, व्यक्तिगत जानकारी संरक्षण ऐन गाइडलाइन सामान्य नियम खण्ड 3-4-2 को विवरण पनि परिवर्तन गरिएको छ।

व्यवसायीहरूले लिनुपर्ने सुरक्षा व्यवस्थापन उपायहरूको सन्दर्भमा, व्यक्तिगत जानकारी प्रशोधन गर्ने व्यवसायीले व्यक्तिगत डेटा रूपमा प्रशोधन गर्ने अपेक्षा गरिएको व्यक्तिगत जानकारी (व्यक्तिगत जानकारी प्रशोधन गर्ने व्यवसायीले प्राप्त गरेको वा प्राप्त गर्न खोजिरहेको व्यक्तिगत जानकारी) को लीक आदि रोक्न आवश्यक र उपयुक्त उपायहरू पनि समावेश गरिएको छ।

सुरक्षा व्यवस्थापन उपायहरूको विषयवस्तु पनि, “व्यक्तिगत डेटा” मात्र नभई, निश्चित अवस्थामा “व्यक्तिगत जानकारी” सम्म विस्तार गरिएको छ।

सन्दर्भ: व्यक्तिगत जानकारी संरक्षण आयोग｜(रेवावा 6 (2024) अप्रिल 1 कार्यान्वयन) व्यक्तिगत जानकारीको संरक्षण सम्बन्धी ऐनको गाइडलाइन (सामान्य नियम खण्ड)

जापानमा संशोधित व्यक्तिगत जानकारी संरक्षण ऐनको कार्यान्वयनसँगै लिनुपर्ने उपायहरू

रेइवा 6 (2024) मा जापानमा संशोधित व्यक्तिगत जानकारी संरक्षण ऐनको कार्यान्वयनसँगै लिनुपर्ने दुई प्रमुख उपायहरू निम्नानुसार छन्:

• गोपनीयता नीति परिमार्जन गर्नुहोस्
• आन्तरिक नियमहरू परिमार्जन गरी जानकारी दिनुहोस्

हामी यी प्रत्येकलाई विस्तारमा हेरौं।

गोपनीयता नीति परिमार्जन गर्नुहोस्

व्यक्तिगत जानकारीको व्यवस्थापन गर्ने व्यवसायहरूले, आफ्नो नियन्त्रणमा रहेको व्यक्तिगत डेटा सुरक्षित व्यवस्थापनको उपायहरूलाई व्यक्तिले थाहा पाउन सक्ने अवस्थामा राख्नुपर्छ। यसमा, व्यक्तिको अनुरोधमा ढिलाइ नगरी जवाफ दिन सक्ने अवस्था पनि समावेश छ (व्यक्तिगत जानकारी संरक्षण ऐन, धारा 32, उपधारा 1, खण्ड 4)।

व्यक्तिगत डेटा सुरक्षित व्यवस्थापनको उपायहरू गोपनीयता नीतिमा समावेश गरेर व्यवस्थापन गरिरहेका व्यवसायहरूले सावधानी अपनाउन आवश्यक छ। गोपनीयता नीतिमा, निश्चित व्यक्तिगत जानकारीलाई नयाँ सुरक्षित व्यवस्थापनको उपायको रूपमा समावेश गर्नुपर्नेछ।

आन्तरिक नियमहरू परिमार्जन गरी जानकारी दिनुहोस्

केही व्यक्तिगत जानकारीको चुहावट आदिको रिपोर्टिङ र सूचनाको दायित्व उत्पन्न हुने बुँदालाई आन्तरिक नियमहरूमा समावेश गरी कर्मचारीहरूलाई जानकारी दिन आवश्यक छ।

संशोधनले नयाँ रिपोर्टिङको विषय बनेको व्यक्तिगत जानकारीको चुहावटको सम्भावित घटनाहरू वेब स्किमिङमा मात्र सीमित छैनन्।

उदाहरणका लागि, यदि व्यक्तिगत जानकारी व्यवस्थापन गर्ने व्यवसायले, गलत ठेगाना भएको जवाफी लिफाफा ग्राहकलाई पठायो र लिफाफाभित्रको प्रश्नावलीमा भरेको व्यक्तिगत जानकारी तेस्रो पक्षको हातमा पुग्यो भने, यो व्यक्तिगत जानकारी व्यक्तिगत डेटा रूपमा व्यवस्थापन गरिने योजना थियो भने, जानकारी चुहावटको रिपोर्टिङ र सूचनाको दायित्व उत्पन्न हुन्छ।

यसअघि दायित्व नउठ्ने व्यक्तिगत जानकारीको व्यवस्थापनमा परिवर्तन हुने भएकाले, कर्मचारीहरूलाई सावधान गराउन आवश्यक छ।

सारांश: जापानी व्यक्तिगत जानकारी संरक्षण ऐनको संशोधनको लागि विशेषज्ञसँग परामर्श गर्नुहोस्

जापानी व्यक्तिगत जानकारी संरक्षण ऐनको रेइवा 6 (2024) को संशोधनमा, वेब स्किमिङको उपायलाई ध्यानमा राख्दै, जानकारी चुहावट आदि हुँदा रिपोर्ट र सूचना दिने दायित्व र सुरक्षा व्यवस्थापन उपायहरूको दायरा विस्तार गरिएको छ। संशोधन अघि “व्यक्तिगत डेटा” मात्र लक्षित थियो, तर निश्चित अवस्थामा “व्यक्तिगत जानकारी” पनि समावेश गरिएको छ।

यस पटकको संशोधनले गोपनीयता नीति र आन्तरिक नियमहरूको संशोधन जस्ता उपायहरू लिन आवश्यक बनाएको छ।

व्यक्तिगत जानकारीको व्यवस्थापनमा, उपायहरूमा गल्ती गर्दा सामाजिक विश्वास गुम्न सक्ने जस्ता ठूला जोखिमहरू हुन्छन्। यसका लागि उपायहरू गर्दा जापानी वकिलसँग परामर्श गर्न सिफारिस गरिन्छ।

हाम्रो फर्मद्वारा प्रदान गरिने उपायहरूको जानकारी

मोनोलिथ कानूनी फर्म, विशेष गरी इन्टरनेट र कानूनी क्षेत्रमा, IT मा व्यापक अनुभव भएको कानूनी फर्म हो। हालसालै, व्यक्तिगत जानकारीको चुहावट ठूलो समस्या बनेको छ। यदि व्यक्तिगत जानकारी चुहावट हुन्छ भने, यसले व्यवसायिक गतिविधिमा घातक प्रभाव पार्न सक्छ। हाम्रो फर्मसँग जानकारी चुहावट रोकथाम र समाधान उपायहरूको लागि विशेषज्ञ ज्ञान छ। तलको लेखमा यसबारे विस्तृत जानकारी दिइएको छ।

मोनोलिथ कानूनी फर्मको कार्यक्षेत्र: व्यक्तिगत जानकारी संरक्षण सम्बन्धी जापानी कानूनी सेवा[ja]