Norsk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_no/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdager 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Forklaring om 'straff' i den japanske personopplysningsloven etter revisjonen i Reiwa 4 (2022)

Forklaring om 'straff' i den japanske personopplysningsloven etter revisjonen i Reiwa 4 (2022)

General Corporate

Forklaring om 'straff' i den japanske personopplysningsloven etter revisjonen i Reiwa 4 (2022)

Fra april 2022 trådte den reviderte japanske personopplysningsloven i kraft. Etter å ha forklart viktige punkter om “virksomheters ansvar” i den reviderte japanske personopplysningsloven av 2022, vil vi denne gangen forklare hvordan data kan brukes og hvilke straffer som gjelder.

Oversikt over endringene i den japanske personopplysningsloven i Reiwa 4 (2022)

Oversikt over endringene i den japanske personopplysningsloven i 2022

Endringene i den japanske personopplysningsloven i 2022 omfatter følgende seks punkter:

  1. Individets rettigheter
  2. Virksomheters ansvar
  3. Mekanismer for å oppmuntre til frivillige tiltak fra virksomheter
  4. Bruk og utnyttelse av data
  5. Sanksjoner
  6. Eksterritoriell anvendelse og grenseoverskridende overføringer

I artikkelen “2022年改正個人情報保護法 「事業者の責務」について注意点を解説” har vi forklart endringene (1) og (2). Her vil vi forklare endringene (3), (4), (5) og (6).

Relaterte artikler: Hva er den japanske personopplysningsloven og personopplysninger? En advokat forklarer[ja]

Hvordan oppmuntre virksomheter til selvregulerende tiltak

Når det gjelder hvordan man kan oppmuntre virksomheter til selvregulerende tiltak, har viktigheten av at private organisasjoner utarbeider egne regler for håndtering av personopplysninger innenfor spesifikke områder, samt aktivt veileder de aktuelle virksomhetene, økt i takt med diversifiseringen av forretningspraksis og fremgangen innen IT-teknologi.

Den japanske personopplysningsloven (個人情報保護法) benytter, i tillegg til Personvernkommisjonen (個人情報保護委員会), private organisasjoner for å sikre informasjonssikkerhet, og har etablert et system for sertifiserte organisasjoner. Organisasjoner som håndterer klager om personopplysninger og gir informasjon til virksomheter om korrekt håndtering av personopplysninger, kan bli sertifisert av Personvernkommisjonen som “Sertifiserte Personvernorganisasjoner” (認定個人情報保護団体). I henhold til den reviderte loven kan organisasjoner som fokuserer på spesifikke sektorer (avdelinger) innenfor bedrifter også bli sertifisert som sertifiserte organisasjoner (Artikkel 47, avsnitt 2). Ved å tillate sertifisering av organisasjoner på forretningsenhetsnivå, søker man å fremme bruken av sertifiserte organisasjoner ytterligere og å styrke beskyttelsen av personopplysninger gjennom spesialiserte tiltak fra organisasjoner som fokuserer på spesifikke virksomheter.

Bruk av data

To punkter har blitt endret angående bruken av data.

Opprettelse av “pseudonymiserte data” og lemping av forpliktelser (Artikkel 2, punkt 9)

I henhold til gjeldende lov er informasjon som kun er pseudonymisert fortsatt ansett som “personopplysninger”, og virksomheter er pålagt å følge ulike forpliktelser knyttet til håndtering av personopplysninger. Imidlertid har behovet for å bruke disse “pseudonymiserte personopplysningene” økt, ettersom de kan brukes til mer detaljert analyse enn anonymiserte data, samtidig som de opprettholder en viss grad av sikkerhet og nytteverdi som data, på nivå med de opprinnelige personopplysningene.

Som svar på dette har den reviderte loven, med sikte på å fremme innovasjon, opprettet “pseudonymiserte data” ved å fjerne navn og lignende opplysninger. Forpliktelser som å svare på forespørsler om avsløring og stans av bruk er lempet, forutsatt at bruken er begrenset til intern analyse.

De opprettede pseudonymiserte dataene refererer til “informasjon om en person som er oppnådd ved å behandle personopplysninger slik at en bestemt person ikke kan identifiseres uten å sammenligne med annen informasjon.” For eksempel kan “navn, alder, dato, tid, beløp, butikk” behandles til “pseudonym-ID, alder, dato, tid, beløp, butikk.” Mulige bruksområder inkluderer “intern analyse for nye formål som ikke samsvarer med det opprinnelige formålet eller er vanskelige å vurdere” (for eksempel forskning innen medisin og farmasi, eller maskinlæringsmodeller for å oppdage svindel og forutsi salg), samt “lagring av personopplysninger som har oppfylt sitt opprinnelige formål, for mulig fremtidig statistisk analyse som pseudonymiserte data.”

For å opprette pseudonymiserte data kreves det som et minimum at følgende tiltak iverksettes:

  • Fjerne (inkludert erstatning) hele eller deler av beskrivelser som kan identifisere en bestemt person (for eksempel navn)
  • Fjerne alle personidentifikatorer
  • Fjerne beskrivelser som kan føre til økonomisk skade hvis de misbrukes (for eksempel kredittkortnummer)

Pålagt bekreftelse av informasjon som kan bli personopplysninger hos mottakeren (Artikkel 26-2)

I henhold til gjeldende lov er informasjon som ikke er personopplysninger hos avsenderen ikke underlagt regulering, selv om den kan bli personopplysninger hos mottakeren. Den reviderte loven pålegger imidlertid bekreftelse av at samtykke fra den registrerte er innhentet for tredjeparts overføring av informasjon som ikke er personopplysninger hos avsenderen, men som kan bli det hos mottakeren.

På grunn av utviklingen og utbredelsen av teknologi som raskt kan samle og kombinere store mengder brukerdata til personopplysninger, har det blitt vanlig å omgå hensikten med den japanske personopplysningsloven ved å gi informasjon som ikke er personopplysninger til tredjeparter, vel vitende om at den vil bli personopplysninger hos mottakeren. Dette er bekymringsfullt fordi det kan føre til utbredt innsamling av personopplysninger uten den registrertes involvering.

Om Straff

Om Straff

To hovedpunkter har blitt endret når det gjelder straff.

Økning av lovbestemte straffer for brudd på komitéens ordre og falske rapporter til komitéen (Artikkel 83, Artikkel 87, etc.)

Med økningen i saker som bryter loven, har det blitt nødvendig å øke effektiviteten av innsamling av rapporter og inspeksjoner, som er avgjørende for å forstå virksomheters faktiske forhold. Derfor har den reviderte loven økt de lovbestemte straffene.

For “brudd på ordre fra den japanske Personvernkomitéen” var straffen under gjeldende lov fengsel i opptil 6 måneder eller en bot på opptil 300,000 yen. Den reviderte loven øker dette til fengsel i opptil 1 år eller en bot på opptil 1 million yen. For “ulovlig levering av personopplysningsdatabaser, etc.” forblir straffen fengsel i opptil 1 år eller en bot på opptil 500,000 yen. For “falske rapporter til den japanske Personvernkomitéen” var straffen under gjeldende lov en bot på opptil 300,000 yen, men den reviderte loven øker dette til en bot på opptil 500,000 yen.

Økning av bøter for selskaper (Artikkel 84, Artikkel 85, etc.)

Under gjeldende lov var bøtene for selskaper de samme som for enkeltpersoner. Men med tanke på forskjellen i økonomisk kapasitet mellom selskaper og enkeltpersoner, har den reviderte loven økt maksimumsbeløpet for bøter for selskaper (strengere straff for selskaper). Det ble vurdert at bøter på samme nivå som for enkeltpersoner ikke ville ha tilstrekkelig avskrekkende effekt på selskaper.

For “brudd på ordre fra den japanske Personvernkomitéen” var straffen under gjeldende lov en bot på opptil 300,000 yen, men den reviderte loven øker dette til en bot på opptil 100 millioner yen. For “ulovlig levering av personopplysningsdatabaser, etc.” var straffen under gjeldende lov en bot på opptil 500,000 yen, men den reviderte loven øker dette til en bot på opptil 100 millioner yen. For “falske rapporter til den japanske Personvernkomitéen” var straffen under gjeldende lov en bot på opptil 300,000 yen, og den reviderte loven øker dette til en bot på opptil 500,000 yen, samme som for enkeltpersoner.

Ekstraterritoriell anvendelse av loven og grenseoverskridende overføringer

To punkter har blitt revidert angående ekstraterritoriell anvendelse av loven og grenseoverskridende overføringer.

Styrking av ekstraterritoriell anvendelse (Artikkel 75)

I henhold til gjeldende lov har myndighetene kun hatt ikke-bindende fullmakter som veiledning og råd samt anbefalinger overfor utenlandske virksomheter som omfattes av ekstraterritoriell anvendelse. Imidlertid, på grunn av risikoen for at komiteen ikke kan håndtere lekkasjer og lignende saker i utlandet på en passende måte, vil den reviderte loven gjøre utenlandske virksomheter som håndterer personopplysninger relatert til varer eller tjenester som tilbys til personer i Japan, til gjenstand for rapportinnsamling og pålegg sikret med straffebestemmelser. Dette vil styrke den japanske Personvernkomiteens myndighetsutøvelse.

Forbedret informasjon til enkeltpersoner om håndtering av personopplysninger hos mottakervirksomheter (Artikkel 78)

I noen land har det blitt observert statlige reguleringer, og med økende muligheter for grenseoverskridende overføringer av personopplysninger, kan forskjeller i nasjonale eller regionale systemer skape usikkerhet for enkeltpersoner og virksomheter som håndterer data. Dette gir opphav til bekymringer fra et personvernsperspektiv.

Som svar på dette, ved overføring av personopplysninger til tredjeparter i utlandet, vil det kreves forbedret informasjon til enkeltpersoner om håndteringen av personopplysninger hos mottakervirksomheten. For å kunne overføre personopplysninger til tredjeparter i utlandet, vil den gjeldende lovens krav om “samtykke fra den registrerte” bli utvidet til å inkludere “informasjon til den registrerte ved innhenting av samtykke om navnet på mottakerlandet og om det finnes et personvernregime i mottakerlandet”. Videre vil kravet om “virksomheter med systemer som oppfyller standardene” bli utvidet til å inkludere “regelmessig bekreftelse av mottakervirksomhetens håndteringspraksis og informasjon til den registrerte på forespørsel”.

Oppsummering

2022年改正個人情報保護法「ペナルティ」について

Den japanske loven om beskyttelse av personopplysninger fra 2022 (Reiwa 4, 2022) er den første lovendringen basert på “treårig revisjonsregel”. Denne lovendringen inkluderer utvidelse av rettigheter som suspensjon og sletting av bruk, forbud mot urettmessig bruk, forbedret informasjon om grenseoverskridende overføringer, og etablering av “pseudonymiserte data”. Målet er å styrke beskyttelsen og bruken av individuelle rettigheter og interesser, håndtere nye risikoer knyttet til økt grenseoverskridende dataflyt, og tilpasse seg AI- og stordataalderen.

Veiledning om tiltak fra vårt firma

Monolith Advokatfirma er et advokatfirma med høy ekspertise innen IT, spesielt internett og jus. Den nylig reviderte japanske Personopplysningsloven (Act on the Protection of Personal Information) har fått mye oppmerksomhet, og behovet for juridisk gjennomgang øker stadig. Vårt firma tilbyr løsninger relatert til immaterielle rettigheter. Detaljer er beskrevet i artikkelen nedenfor.

practices/corporate
Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Guide til medisinsk reklame: Hva er det? En forklaring på falsk og overdreven reklame regulert i medisinsk annonsering

Guide til medisinsk reklame: Hva er det? En forklaring på falsk og overdreven reklame regulert i.

General Corporate

Hva er de viktige sjekkpunktene i en agenturavtale basert på kundehenvisninger?

Hva er de viktige sjekkpunktene i en agenturavtale basert på kundehenvisninger?

General Corporate

Hva endret seg med revisjonen av den japanske medisinske loven i Reiwa 3 (2021)? En forklaring på revisjonens historie og bakgrunn

Hva endret seg med revisjonen av den japanske medisinske loven i Reiwa 3 (2021)? En forklaring p.

General Corporate

Hva er sjekkpunktene for en kontrakt om outsourcing av drift av sosiale medier?

Hva er sjekkpunktene for en kontrakt om outsourcing av drift av sosiale medier?

General Corporate

Hva er viktige hensyn ved samarbeidsavtaler for implementering av API? Forklaring av hver klausul

Hva er viktige hensyn ved samarbeidsavtaler for implementering av API? Forklaring av hver klausu.

General Corporate

Viktige punkter ved utarbeidelse av en personvernpolicy i samsvar med GDPR

Viktige punkter ved utarbeidelse av en personvernpolicy i samsvar med GDPR

General Corporate

Nødvendigheten av å inngå investeringsavtaler i seed-runden

Nødvendigheten av å inngå investeringsavtaler i seed-runden

General Corporate

Fordeler og prosedyrer for å gjennomføre forretningsoverdragelse gjennom M&A

Fordeler og prosedyrer for å gjennomføre forretningsoverdragelse gjennom M&A

General Corporate

De viktigste ordningene og deres forskjeller i M&A for omsorgstjenesteleverandører

De viktigste ordningene og deres forskjeller i M&A for omsorgstjenesteleverandører

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection Personal Information Protection#Cross-border System Development Terms of Use

Weekly Popular Articles

Tilbake til toppen