Wat is de wijziging van de Japanse Telecommunicatiewet in het 5e jaar van Reiwa (2023)? Een gedetailleerde uitleg over Cookie-regulatie

In de geplande wijziging van de Japanse Telecommunicatiewet, die in 2023 (Reiwa 5) in werking zal treden, worden verschillende regelwijzigingen doorgevoerd om rekening te houden met de veranderende omgeving rond de telecommunicatie-industrie en om een soepele levering van diensten en bescherming van gebruikers te waarborgen. Een van de meest opvallende aspecten van deze wijziging is de regulering van cookies.

Op dit moment zijn er veel online diensten die cookies gebruiken, en hoe de wijziging van de Japanse Telecommunicatiewet deze online diensten zal beïnvloeden, is een punt van zorg voor veel bedrijven. Er worden ook grote veranderingen verwacht in webmarketing in de toekomst.

In dit artikel introduceren we de gewijzigde Japanse Telecommunicatiewet, die in juni 2022 is aangenomen en die naar verwachting in werking zal treden op 17 juni 2023, evenals de bijbehorende uitvoeringsregels van de Japanse Telecommunicatiewet. We zullen ook in detail ingaan op de veelbesproken regulering van cookies.

Overzicht van de wijzigingen in de Japanse Telecommunicatiewet

De Japanse Telecommunicatiewet is een wet die bedoeld is om de bedrijfsvoering van telecommunicatiebedrijven op een passende en rationele manier te reguleren, rekening houdend met het publieke karakter van de telecommunicatie-industrie, om eerlijke concurrentie tussen bedrijven te bevorderen en de belangen van gebruikers te beschermen (Artikel 1 van de Japanse Telecommunicatiewet). Om het eenvoudiger te zeggen, het doel is om een systeem te creëren dat zorgt voor een soepele levering van telecommunicatiediensten zoals internet en mobiele telefoons, en om de belangen van gebruikers en het gemak van de burgers te waarborgen.

De bedrijven die onder de Japanse Telecommunicatiewet vallen, zijn degenen die infrastructuur voor informatie- en communicatiediensten zoals telefoon en internet leveren. In deze wijziging worden de volgende wijzigingen doorgevoerd, waaronder de uitbreiding van het bereik van de betrokken bedrijven:

• Communicatiediensten worden universele diensten zoals elektriciteit, gas en water
• Zoekmachines en sociale netwerken worden ook onderworpen aan meldingsvereisten
• Bevordering van eerlijke concurrentie tussen grote mobiele telefoonmaatschappijen en goedkope SIM-kaarten

Sinds 2020 zijn telewerken, webconferenties, afstandsonderwijs en dergelijke snel genormaliseerd. Het internet is nu niet langer een dienst die individuen kiezen, maar kan worden beschouwd als een infrastructuur die voor iedereen toegankelijk is, net als elektriciteit en gas. In deze wijziging is een subsidieprogramma opgezet om ervoor te zorgen dat internetproviders stabiele diensten kunnen leveren, zelfs in gebieden waar ze geen winst kunnen maken, om de communicatiekloof tussen regio’s te elimineren.

De reikwijdte van “telecommunicatiebedrijven” is ook veranderd. Grote zoekdiensten en sociale netwerken die tot nu toe niet onder de wet vielen, zijn nu ook onderworpen aan regulering. Met andere woorden, grote zoekmachines zoals Google en sociale netwerken zoals Twitter en Instagram moeten zich nu aanmelden als telecommunicatiebedrijven als ze een bepaalde omvang overschrijden.

Hier zijn de voorwaarden voor bedrijven die nu onderworpen zijn aan meldingsvereisten:

1. Zoekinformatie telecommunicatiediensten (zoals Google): meer dan 10 miljoen gebruikers en een cross-sectorale zoekdienst
2. Bemiddelende telecommunicatiediensten (zoals Twitter): meer dan 10 miljoen gebruikers en voornamelijk bemiddeling tussen onbepaalde gebruikers

Daarnaast is het ook expliciet vermeld dat er een verplichting is om de methode voor het berekenen van tarieven en dergelijke te presenteren om eerlijke concurrentie tussen de drie grote mobiele telefoonmaatschappijen en andere MVNO’s en dergelijke te realiseren.

Wat is de nieuw gecreëerde “Specifieke Gebruikersinformatie”

Volgens de Uitvoeringsverordening van de Japanse Telecommunicatiewet (Telecommunicatiebedrijfswet Uitvoeringsverordening) is er een nieuw concept genaamd “Specifieke Gebruikersinformatie” gecreëerd. De gereguleerde entiteiten zijn telecommunicatiebedrijven die telecommunicatiediensten aanbieden die een grote impact hebben op de belangen van gebruikers. Concreet zijn bedrijven met meer dan 10 miljoen actieve gebruikers per maand voor gratis diensten, of meer dan 5 miljoen voor betaalde diensten, onderworpen aan regulering. Voorbeelden hiervan zijn vaste en mobiele telefoonbedrijven, internet service providers, zoekdiensten zoals Google, en sociale netwerken zoals Twitter.

“Specifieke Gebruikersinformatie” verwijst naar informatie zoals e-mail en telefoonrecords die het geheim van communicatie vormen, gebruikers-ID’s en nummers die gebruikers kunnen identificeren (Telecommunicatiebedrijfswet Uitvoeringsverordening[ja] Artikel 2-2, Artikel 22-2-21), en bedrijven hebben de volgende verplichtingen met betrekking tot de behandeling van deze informatie (dezelfde Uitvoeringsverordening Artikel 22-2-22). Informatie opgeslagen in cookies is ook opgenomen in deze Specifieke Gebruikersinformatie.

1. Ontwikkeling en melding van behandelingsvoorschriften
2. Ontwikkeling en publicatie van behandelingsbeleid
3. Zelfevaluatie van de behandelingssituatie elk bedrijfsjaar, reflectie op behandelingsvoorschriften en beleid
4. Aanwijzing en melding van een algemene manager op het moment van bovenstaande
5. Rapportage bij lekken

Bedrijven die Specifieke Gebruikersinformatie verwerken, zijn verplicht om een behandelingsbeleid te ontwikkelen en te publiceren. Ze moeten ook zelfevaluaties uitvoeren op basis van technologische trends en risico’s van cyberaanvallen, en indien nodig hun beleid herzien.

Daarnaast is het verplicht om een algemene manager met minstens drie jaar ervaring aan te stellen en, in het geval van een lek van informatie van meer dan 1.000 gebruikers, onmiddellijk te rapporteren aan de Minister van Binnenlandse Zaken en Communicatie.

De oprichting van externe verzendingsregels, de zogenaamde Cookie-regulering, is waarschijnlijk het meest impactvolle punt van deze wijziging. Hieronder volgt een uitleg.

Geformaliseerde Cookie-regulatie

Wat zijn cookies? De voordelen en problemen

Cookies zijn een mechanisme dat informatie van bezoekers opslaat in hun browser wanneer ze een site bezoeken. Om dit wat gedetailleerder uit te leggen, het zijn bestanden die een webserver opslaat op het apparaat van de bezoeker, zoals een pc, smartphone of tablet, wanneer deze toegang krijgt tot de webserver. De webserver kan de cookies die op het apparaat van de bezoeker zijn opgeslagen, raadplegen wanneer deze toegang krijgt van de bezoeker.

Hierdoor kan het systeem herkennen dat een gebruiker die eerder een bepaalde webdienst heeft gebruikt, opnieuw de site bezoekt. Bijvoorbeeld, als u aan het winkelen bent op een e-commerce site, heeft u waarschijnlijk de ervaring gehad dat “nadat u een product dat u leuk vindt in uw winkelwagen heeft gestopt en een tijdje andere productpagina’s heeft bekeken, het product dat u eerder in uw winkelwagen heeft gestopt er nog steeds is”. Dit mechanisme maakt gebruik van cookies.

Om het simpel te zeggen, een cookie is een gegevensbestand waarin diverse gebruikersinformatie, zoals de ID om de gebruiker te identificeren, de datum en het aantal keren dat de gebruiker de site heeft bezocht, is samengevoegd. Omdat cookies een gebruiker kunnen identificeren, kunnen ze de meest geschikte informatie bieden wanneer die gebruiker de site opnieuw bezoekt.

Door het gebruik van cookies is het ook mogelijk om persoonlijke informatie te verzamelen zonder dat de gebruiker dit bedoelt. Door informatie te verzamelen over welke gebruiker, vanaf welk apparaat, toegang heeft tot welke website, is het mogelijk om de hobby’s en voorkeuren van de gebruiker te analyseren.

Echter, de meeste gebruikers kunnen niet weten wanneer en welke gegevens cookies registreren en welke gegevens ze naar de server sturen. De gegevens van cookies kunnen ook worden gebruikt door derden die de gebruiker niet kent, voor zakelijke doeleinden. Daarom zijn cookies aangewezen als “persoonlijk gerelateerde informatie” vanuit het oogpunt van inbreuk op de privacy, volgens de herziening van de Japanse Wet op de Bescherming van Persoonsgegevens in april 2022 (Gregoriaanse kalender).

Tot nu toe hebben veel websitebeheerders gebruikersinformatie begrepen door middel van cookies en hebben ze nauwkeurige en effectieve marketingbenaderingen geïmplementeerd. Echter, in veel buitenlandse landen, waaronder de EU, is de inbreuk op de privacy door het gebruik van cookies een probleem geworden en zijn er maatregelen genomen. U heeft waarschijnlijk gemerkt dat wanneer u websites in de EU bezoekt, er een bericht wordt weergegeven dat u vraagt om toestemming voor het gebruik van cookies.

First-party Cookies en Third-party Cookies

Cookies kunnen grofweg worden onderverdeeld in twee soorten: first-party cookies en third-party cookies.

First-party cookies zijn cookies die rechtstreeks worden uitgegeven door het domein van de website die de gebruiker bezoekt. Met andere woorden, het zijn cookies waarbij het domein dat de cookie uitgeeft gelijk is aan het domein van de bezochte website. First-party betekent “partij in kwestie”. Omdat de uitwisseling van cookies tussen de server van de bezochte website en het apparaat van de gebruiker volledig plaatsvindt, worden deze cookies first-party cookies genoemd.

Aan de andere kant zijn third-party cookies cookies die worden uitgegeven door een server die niet de website is die de gebruiker bezoekt (een derde partij). De uitwisseling van cookies vindt niet alleen plaats tussen de server van de bezochte website en het apparaat van de gebruiker, maar ook tussen andere servers. Daarom worden deze cookies third-party cookies genoemd.

De belangrijkste focus van de cookie-regulering in de gewijzigde Japanse Telecommunicatiewet (Denki Tsūshin Jigyō Hō) is het gebruik van third-party cookies.

Third-party cookies kunnen browsegeschiedenisinformatie van meerdere domeinen verzamelen. Als de browsegeschiedenis van een apparaat kan worden verzameld, kan er een profiel worden gemaakt van de interesses van de gebruiker van dat apparaat. Als de voorkeuren van een gebruiker worden geprofileerd en gebruikt voor advertenties zonder dat de gebruiker dit weet, kan dit leiden tot onrust bij de gebruiker en problemen vanuit een privacy-oogpunt. Veel mensen hebben waarschijnlijk de ervaring dat ze veel advertenties zien van sites die ze in het verleden hebben bezocht of van gerelateerde producten.

In Japan waren er tot nu toe geen wettelijke regels die het gebruik van cookies rechtstreeks reguleerden. In een onderzoeksrapport over de economische effecten en gebruikersbescherming van gedragsgerichte advertenties, gepubliceerd door het Institute for Information and Communications Policy van het Ministerie van Binnenlandse Zaken en Communicatie in maart 2010, werd aangegeven dat het wenselijk is dat bedrijven die targeting-advertenties gebruiken, dit expliciet aangeven en vooraf toestemming krijgen. Zoals het woord “wenselijk” aangeeft, was er geen duidelijke wettelijke verplichting.

De recente wijziging van de Japanse Telecommunicatiewet gaat een stap verder dan “wenselijk” en stelt expliciet dat het “moet worden gedaan”. Dit kan worden gezien als een beweging om nieuwe wettelijke regels te creëren die het gebruik van cookies rechtstreeks reguleren.

Inhoud van de Cookie-regulering

Artikel 27.12 van de gewijzigde Japanse Telecommunicatiewet (Telecommunications Business Act) stelt dat “wanneer men van plan is om een informatieoverdrachtsinstructie uit te voeren die de telecommunicatieapparatuur van de gebruiker als bestemming heeft bij het leveren van telecommunicatiediensten aan de gebruiker, men de inhoud van de informatie met betrekking tot de gebruiker die zal worden verzonden door de informatieoverdrachtsfunctie die wordt geactiveerd door de informatieoverdrachtsinstructie, de telecommunicatieapparatuur die de bestemming van de informatie zal zijn, en andere zaken bepaald door een verordening van het Ministerie van Binnenlandse Zaken en Communicatie, vooraf aan de gebruiker moet melden, of de gebruiker gemakkelijk in staat moet stellen om deze te kennen.”

Hoewel de tekst van het artikel enigszins complex is, betekent dit in het kort:

• Wanneer men telecommunicatiediensten (oftewel online diensten) aan de gebruiker levert
• En men van plan is om een informatieoverdrachtsinstructie uit te voeren die de telecommunicatieapparatuur van de gebruiker (zoals een computer of smartphone) als bestemming heeft

moet men bepaalde zaken aan de gebruiker melden, of de gebruiker in staat stellen deze gemakkelijk te kennen.

Maar wat wordt er precies bedoeld met de ‘bepaalde zaken’ die aan de gebruiker moeten worden gemeld?

Volgens artikel 27.12 van de gewijzigde Japanse Telecommunicatiewet en artikel 22.2.29 van de uitvoeringsverordening van de gewijzigde Japanse Telecommunicatiewet, wanneer men van plan is om een dergelijke informatieoverdrachtsinstructie uit te voeren, moet men de volgende zaken aan de gebruiker melden, of de gebruiker in staat stellen deze gemakkelijk te kennen:

• De inhoud van de ‘informatie met betrekking tot de gebruiker’ die zal worden verzonden
• De naam/bedrijfsnaam van de persoon die de ‘informatie met betrekking tot de gebruiker’ zal verwerken met behulp van de bestemmingsserver
• Het doel van het gebruik van de ‘informatie met betrekking tot de gebruiker’ die zal worden verzonden

Met andere woorden, wanneer men van plan is om cookies te gebruiken die onderworpen zijn aan de cookie-regulering, moet men een systeem implementeren om de gebruiker te informeren over de informatie van de verzamelde cookies, de bestemming, en het doel van het gebruik, of men moet bijvoorbeeld een cookiebeleid publiceren om de gebruiker gemakkelijk in staat te stellen deze informatie te kennen.

Vier uitzonderingen op de cookie-regulering

Volgens artikel 27, lid 12 van de gewijzigde Japanse Telecommunicatiewet (改正電気通信事業法) is het niet nodig om de gebruiker op de hoogte te stellen of ervoor te zorgen dat de gebruiker gemakkelijk op de hoogte kan zijn van bepaalde zaken in de volgende vier gevallen:

Eén: Informatie die door de ministeriële verordening van het Ministerie van Binnenlandse Zaken en Communicatie (総務省) is vastgesteld als noodzakelijk voor het correct weergeven van codes, geluiden of beelden die worden verzonden in de betreffende telecommunicatiedienst op het scherm van de telecommunicatieapparatuur van de gebruiker, of andere informatie die noodzakelijk is om te verzenden wanneer de gebruiker de telecommunicatiedienst gebruikt.

Volgens artikel 22, lid 2, sub 30 van de uitvoeringsverordening van de gewijzigde Japanse Telecommunicatiewet (改正電気通信事業法施行規則) zijn de volgende zaken van toepassing:

• Echt noodzakelijke informatie om de dienst te kunnen leveren
• Informatie die nodig is om de informatie die de gebruiker heeft ingevoerd tijdens het gebruik van de dienst (inclusief authenticatie-informatie) opnieuw weer te geven
• Informatie die nodig is voor het detecteren van frauduleuze activiteiten en het beperken van de schade
• Informatie die nodig is voor een correcte werking van de server

Twee: Identificatiecodes die door de betreffende telecommunicatiebedrijf of derde partij bedrijf naar de telecommunicatieapparatuur van de gebruiker zijn verzonden bij het leveren van de betreffende telecommunicatiedienst, en die worden verzonden naar de telecommunicatieapparatuur van het telecommunicatiebedrijf of derde partij bedrijf door de informatie verzendfunctie die wordt geactiveerd door de betreffende informatie verzendinstructie communicatie.

Dit is een beetje ingewikkeld, maar het gaat ervan uit dat “de ID die door het bedrijf naar het apparaat van de gebruiker is verzonden, naar de server van het bedrijf wordt verzonden”. Met andere woorden, in het geval van de eerder genoemde first-party cookies, is dit een uitzondering en zijn alleen third-party cookies onderworpen aan regulering.

Drie: Informatie waarvoor de gebruiker heeft ingestemd met het verzenden naar zijn telecommunicatieapparatuur.

De vaak geziene zin “Gaat u akkoord met het gebruik van cookies?” is voor deze bepaling. Voor gebruikers die hebben ingestemd, is deze kennisgeving en dergelijke niet nodig.

Vier: Informatie waarvoor de gebruiker geen toepassing van de maatregelen die zijn voorgeschreven door (…) heeft gevraagd, indien de betreffende informatie verzendinstructie communicatie voldoet aan alle van de volgende.

Dit betekent dat er zogenaamde opt-out maatregelen worden genomen, zodat gebruikers op elk moment kunnen weigeren dat hun cookie-informatie wordt verzameld en gebruikt.

Samenvatting: Raadpleeg een expert voor maatregelen tegen de gewijzigde Japanse Telecommunicatiewet

Door de snelle ontwikkeling van online diensten, vinden er zeer regelmatig wetswijzigingen plaats in dit veld. Vanwege de snelle veranderingen is er weinig literatuur beschikbaar, en het is niet eenvoudig om op de hoogte te blijven van de nieuwste informatie en hierop te reageren.

We raden aan om maatregelen tegen de Japanse Telecommunicatiewet en de bijbehorende regels te nemen met advies van een expert.

Informatie over onze maatregelen

Monolith Law Office is een advocatenkantoor met uitgebreide ervaring in IT, met name internet en recht. De gewijzigde ‘Japanse Telecommunicatiewet’ is complex en kan moeilijk te begrijpen zijn voor niet-experts. Een juridische controle is noodzakelijk om uw bedrijf legaal te houden, dus aarzel niet om ons te raadplegen. Meer details zijn te vinden in het onderstaande artikel.

Behandelgebieden van Monolith Law Office: IT & Venture Corporate Legal Affairs[ja]