Norsk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_no/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdager 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > IoT-tjenester: Bruk av innsamlede data og juridiske problemstillinger

IoT-tjenester: Bruk av innsamlede data og juridiske problemstillinger

General Corporate

IoT-tjenester: Bruk av innsamlede data og juridiske problemstillinger

I de senere årene har IoT-enheter, som smarte hjemmeapparater, blitt stadig mer vanlige i hjemmene. Selv om de er svært praktiske, er de også utsatt for risikoen for informasjonslekkasjer ettersom de er koblet til internett. Når man starter en IoT-virksomhet, er det ikke bare sikkerheten til husholdningsapparatene som er viktig, men også styringen av nettverkssikkerheten for å tåle cyberangrep blir en viktig oppgave.

Når vi ser på situasjonen i Japan, er problemet med lekkasje av personopplysninger allerede alvorlig. Tokyo Shoko Research har rapportert at det i 2021 (Reiwa 3) var et rekordhøyt antall hendelser med lekkasje eller tap av personopplysninger blant børsnoterte selskaper, med 137 tilfeller som påvirket 5,74 millioner mennesker.

I denne artikkelen vil vi forklare de juridiske reguleringene du bør kjenne til for sikker bruk av data samlet inn gjennom IoT-tjenester.

Lovreguleringer i IoT-virksomhet

IoT står for “Internet of Things”, som direkte oversatt betyr “Internett for ting”. Dette refererer til systemer og tjenester som gjør livet mer praktisk ved å koble hverdagslige gjenstander til internett for fjernstyring, automatisk gjenkjenning og kontrollfunksjoner.

På hardware-siden for husholdningsapparater er det strenge reguleringer på plass, ettersom de direkte kan påvirke brukerens fysiske helse.

På software-siden krever lovgivning som regulerer kommunikasjonsnettverk, som den japanske Radio Law og Telecommunications Business Law, registrering og rapportering for å drive virksomhet.

For en detaljert forklaring av lovreguleringer knyttet til hardware og software i IoT, vennligst se denne artikkelen.

Relatert artikkel: Forklaring av lovreguleringer for hardware og software som bør vurderes i IoT-virksomhet[ja]

I IoT-virksomhet, hvor tradisjonelle enheter kobles til internett og samler informasjon, er det ikke bare reguleringer av hardware og software som er viktige. Hvordan den akkumulerte informasjonen behandles, blir også et viktig spørsmål.

Juridiske problemstillinger knyttet til bruk av data innhentet gjennom IoT

Problemer knyttet til datautnyttelse

IoT-enheter innebærer en risiko for å samle og bruke brukernes livsdata på en utilsiktet måte.

Selv om brukerne har samtykket til bruk av personopplysninger ved registrering, vil IoT-enheter på grunn av sin natur samle inn atferdsdata hver gang de brukes, noe som fører til følgende problemer:

  • Beskyttelse av personopplysninger
  • Bevarelse av privatlivets fred
  • Håndtering av cyberangrep

Her vil vi forklare de juridiske problemstillingene som er innebygd i slike IoT-enheter.

IoT og personopplysninger

Ikke alle data samlet inn av IoT-enheter er beskyttet som personopplysninger i seg selv. Når brukerregistrering og livsstilsdata kobles sammen slik at en person kan identifiseres, blir det gjenstand for beskyttelse under den japanske loven om beskyttelse av personopplysninger (Personal Information Protection Law).

Derfor har virksomheter som tilbyr smart hjemme-tjenester og kobler livsstilsdata med brukerinformasjon, som operatører under den japanske loven om beskyttelse av personopplysninger artikkel 2, paragraf 5[ja], følgende forpliktelser:

Forpliktelser under den japanske loven om beskyttelse av personopplysninger artikkel 19 til 26:

  • Å sikre nøyaktigheten av data og sletteplikt
  • Forpliktelse til å iverksette sikkerhetstiltak
  • Forpliktelse til å overvåke ansatte
  • Forpliktelse til å overvåke underleverandører
  • Begrensninger på deling med tredjeparter og forpliktelse til å oppbevare opptegnelser

Under håndtering av personopplysninger må man spesifisere bruksformålet så langt det er mulig, og informere eller offentliggjøre dette formålet til den registrerte. Når det ikke lenger er nødvendig å bruke personopplysningene, må de raskt behandles. Videre må man ta nøye hensyn til informasjonssikkerhet, og sikre at ansatte og underleverandører også følger disse retningslinjene nøye.

Generelt er det restriksjoner på å dele innhentede personopplysninger med tredjeparter. Imidlertid kan det noen ganger være nødvendig å dele med tredjeparter for å forbedre tjenestene. I slike tilfeller må man anonymisere de opprinnelige personopplysningene til et nivå hvor de ikke kan gjenopprettes.

I tillegg ble det i april 2022 (Reiwa 4) iverksatt en revidert versjon av den japanske loven om beskyttelse av personopplysninger, som inkluderte styrking av individets rettigheter, økt ansvar for virksomheter, og nye bestemmelser for deling med utenlandske virksomheter.

Denne revisjonen la vekt på følgende fem perspektiver fra den japanske Personvernkomiteen:

  1. Beskyttelse av individets rettigheter og interesser
  2. Balansen mellom beskyttelse og bruk
  3. Harmonisering med internasjonale trender
  4. Respons på risikoendringer fra utenlandske virksomheter
  5. Tilpasning til AI- og big data-æraen

Referanse: Sjekkpunkter for overholdelse av den reviderte japanske loven om beskyttelse av personopplysninger[ja]

IoT og personvern

IoT og personvern

Selv om data som samles inn om dagliglivet ikke kvalifiserer som personopplysninger, må slik informasjon håndteres med forsiktighet, ettersom den kan brukes til å forstå en persons atferd. For eksempel kan informasjon om når elektrisitet og gass brukes, hvis den lekker ut, potensielt misbrukes i kriminelle handlinger som innbrudd.

På den annen side, for å forbedre kvaliteten på smart hjemme-tjenester, er det nødvendig å forstå og utnytte informasjon om en persons atferd. For å beskytte personvernet samtidig som man bruker persondata for å forbedre tjenester, kreves det at man tar hensyn til personvern og følger prinsippene i den japanske loven om beskyttelse av personopplysninger (Japanese Personal Information Protection Act), selv når informasjonen ikke faller direkte under denne loven.

IoT og cybersikkerhet

IoT-virksomhet er basert på innsamling, håndtering og bruk av informasjon som kan komme i konflikt med personvern og retten til privatliv. Dette er essensielt for virksomhetens etablering og fremgang. Siden informasjonen samles og forvaltes via internett, er cybersikkerhetstiltak for enheter som kobles til nettverket uunnværlige.

I det følgende vil vi forklare hvilke cybersikkerhetstiltak som bør iverksettes på forhånd, samt hvilket ansvar som må påtas i tilfelle man blir utsatt for et cyberangrep.

Ansvar for enhetsprodusenter: Den japanske produktansvarsloven

Hvis et IoT-enhets ble mål for et cyberangrep, kan enhetsprodusenten stå overfor krav om erstatningsansvar i henhold til den japanske produktansvarsloven.

Kriteriene for ansvar under den japanske produktansvarsloven er som følger:

  1. Det var en defekt i produktet
  2. Defekten forårsaket skade på andres liv, kropp eller eiendom
  3. Det oppsto skade som følge av dette

Med ‘defekt’ i punkt 1 menes en tilstand der produktet mangler ‘den sikkerheten som med rette kan forventes’, og dette kan deles inn i produksjonsfeil, designfeil og feil i instruksjoner eller advarsler.

Om produsenten faktisk vil være ansvarlig for et cyberangrep avhenger av følgende forhold:

  • Om produktet møtte den teknologiske standarden som var forventet på tidspunktet for levering
  • Om det var i samsvar med de nyeste publiserte retningslinjene eller selvregulerende standarder

En enhetsprodusent kan unngå ansvar hvis de kan bevise at defekten ikke kunne ha blitt oppdaget med faktaene de hadde tilgjengelig. Imidlertid må de bevise at defekten ikke kunne ha blitt oppdaget selv med den høyeste teknologiske standarden tilgjengelig på leveringstidspunktet, noe som gjør det lite sannsynlig at ansvarsfrihet vil bli innrømmet.

Nettverksadministratorers ansvar: Sivilrett

Nettverksadministratorers ansvar: Sivilrett

Når et nettverk utsettes for et cyberangrep og det oppstår informasjonslekkasje, kan nettverksadministratorer bli holdt ansvarlige for skadeerstatning basert på sivilretten, ikke produktansvarsloven, av følgende årsaker:

  1. Brudd på kontrakten mellom nettverksadministratoren og brukeren
  2. Nettverksadministratorens brudd på sikkerhetstiltak som fører til mislighold
  3. Nettverksadministratorens uaktsomhet som fører til erstatningsansvar for ulovlige handlinger (Sivilretten artikkel 709)

I alle disse tilfellene blir spørsmålet om nettverksadministratoren har forsømt nødvendige sikkerhetstiltak på grunn av uaktsomhet et sentralt tema.

Det har også vært rettsavgjørelser som viser at “nødvendige sikkerhetstiltak” ikke bare omfatter tiltak som samsvarer med standardene på kontraktstidspunktet, men også tiltak som følger retningslinjer publisert på tidspunktet for cyberangrepet (Tokyo District Court, Heisei 26 (2014).1.23).

Derfor må nettverksadministratorer kontinuerlig være oppdatert på viktige retningslinjer etter levering og oppdatere programvaren etter behov.

Aktuelle informasjonssikkerhetsretningslinjer:

Relatert artikkel: Skader fra cyberangrep. Hva er systemleverandørens ansvar for skadeerstatning? Forklaring med eksempler fra kontrakter[ja]

Oppsummering: IoT-virksomhet krever spesialisert juridisk forståelse

IoT-virksomhet karakteriseres av å samle og utnytte personopplysninger og privatlivsrelatert informasjon gjennom internett for å utvikle seg.

Derfor må virksomheter ikke bare håndtere produktansvar som gjelder for husholdningsapparater, men også være oppmerksomme på oppdateringer av den japanske personvernloven og informasjonssikkerhetsretningslinjer når de håndterer personopplysninger.

Produktfeil kan ikke bare påvirke brukernes fysiske helse, men også lekkasje av informasjon kan potensielt skade et ubestemt antall personer.

Når man starter en IoT-virksomhet, er det viktig å konsultere med advokater som har bred spesialkunnskap, fra produktansvarslovgivning til personvernlovgivning og de nyeste informasjonssikkerhetsretningslinjene.

Veiledning om tiltak fra vår advokatfirma

Monolith Advokatfirma har rik erfaring med IT, spesielt internett og juss. I de senere årene har IoT-virksomhet fått økt oppmerksomhet, og behovet for juridisk gjennomgang har blitt stadig viktigere. Vårt firma tilbyr løsninger for IoT-virksomheter.

Områder Monolith Advokatfirma håndterer: IT og oppstartsselskapers bedriftsjuss[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

En innføring i EUs digitale markedslov (DMA) – Hvilken innvirkning har den på Japan?

En innføring i EUs digitale markedslov (DMA) – Hvilken innvirkning har den på Japan?

General Corporate

Hva var problemene i søksmålet mellom Nintendo og Colopl?

Hva var problemene i søksmålet mellom Nintendo og Colopl?

General Corporate

Hva er den kinesiske loven om kybersikkerhet? Forklaring av nøkkelpunkter for overholdelse

Hva er den kinesiske loven om kybersikkerhet? Forklaring av nøkkelpunkter for overholdelse

General Corporate

Hvordan skrive og inngå en fratredelsesavtale som ikke blir avvist

Hvordan skrive og inngå en fratredelsesavtale som ikke blir avvist

General Corporate

Punkter å merke seg ved bestilling av sykehusreservasjonsnettsteder og medienettsteder for kundesending

Punkter å merke seg ved bestilling av sykehusreservasjonsnettsteder og medienettsteder for kunde.

General Corporate

Hva er GDPR? En sammenligning med 'Japanese Personal Information Protection Law' og viktige punkter japanske bedrifter bør være oppmerksomme på

Hva er GDPR? En sammenligning med 'Japanese Personal Information Protection Law' og viktige punk.

General Corporate

Hvordan skiller man mellom 'legemidler', 'ikke-legemiddel helseprodukter' og 'kosmetikk'?

Hvordan skiller man mellom 'legemidler', 'ikke-legemiddel helseprodukter' og 'kosmetikk'?

General Corporate

Hva er den japanske premievisningsloven (Jōhō Hyōji Hō)? En forståelig forklaring med eksempler på overtredelser og straffer

Hva er den japanske premievisningsloven (Jōhō Hyōji Hō)? En forståelig forklaring med eksempler .

General Corporate

Reduserer bevisbyrden for skade forårsaket av piratkopiering – Forklarer endringene i den japanske opphavsrettsloven som trådte i kraft i januar i Reiwa 6 (2024)

Reduserer bevisbyrden for skade forårsaket av piratkopiering – Forklarer endringene i den japans.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection Personal Information Protection#Cross-border System Development Terms of Use

Weekly Popular Articles

Tilbake til toppen