Norsk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_no/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdager 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Hva er poengene med den reviderte personvernloven i Reiwa 6 (2024)? Forklarer endringer og tiltak du bør kjenne til

Hva er poengene med den reviderte personvernloven i Reiwa 6 (2024)? Forklarer endringer og tiltak du bør kjenne til

General Corporate

Hva er poengene med den reviderte personvernloven i Reiwa 6 (2024)? Forklarer endringer og tiltak du bør kjenne til

I april (2024) trer de reviderte gjennomføringsreglene for den japanske loven om beskyttelse av personopplysninger i kraft. Denne revisjonen utvider omfanget av rapporteringsplikten til Personvernkomiteen og varslingsplikten til den registrerte ved hendelser av lekkasjer og lignende.

Hovedpunktet i denne revisjonen ligger i å adressere problemer knyttet til personopplysninger som har oppstått i nyere tid, som for eksempel web-skimming.

Det sies likevel at for å forstå endringene nøyaktig og respondere hensiktsmessig, er det nødvendig med spesialisert kunnskap, og mange kan føle seg usikre på hvilke tiltak deres egen virksomhet bør iverksette. I denne artikkelen vil vi forklare de viktigste punktene og tiltakene i revisjonen fra 2024.

Oversikt over endringene i den japanske personopplysningsbeskyttelsesloven i Reiwa 6 (2024)

De viktigste endringene i den japanske personopplysningsbeskyttelsesloven, revidert i Reiwa 6 (2024), er utvidelsen av rapporterings- og varslingstiltak ved lekkasjer og andre hendelser, samt utvidelsen av plikten til å iverksette sikkerhetstiltak til å omfatte visse “personopplysninger”.

I henhold til tidligere regler var kun “persondata” gjenstand for rapporteringsplikten ved lekkasjer, mens “personopplysninger” ikke var inkludert.

Med denne revisjonen er endringene beskrevet i Artikkel 7, punkt 3 i de japanske gjennomføringsreglene for personopplysningsbeskyttelsesloven, og i 「Japanske personopplysningsbeskyttelseslovens retningslinjer (Generelle regler)」[ja].

Revidert lovFør revisjonen
Rapporteringsplikt ved lekkasjer, etc.Pålagt (i visse tilfeller)Ikke pålagt
Plikt til å iverksette sikkerhetstiltakPålagt (i visse tilfeller)Ikke pålagt
Endringer i håndteringen av visse personopplysninger

De spesifikke reguleringsinnholdene og endringene vil bli forklart mer detaljert nedenfor.

Reguleringsmål i den tidligere japanske personvernloven

Reguleringsmål i den tidligere japanske personvernloven

For å forstå innholdet i den reviderte loven, er det essensielt å ha en nøyaktig forståelse av reguleringsinnholdet før revisjonen. Her vil vi forklare definisjonene og innholdet av reguleringene som var fastsatt før revisjonen.

Forskjellen mellom personopplysninger og persondata

I den japanske loven om beskyttelse av personopplysninger skilles det mellom «personopplysninger» og «persondata» som objekter for beskyttelse.

«Personopplysninger» refererer til informasjon relatert til en levende person, og er informasjon som kan identifisere en spesifikk person gjennom beskrivelser som navn og fødselsdato. Dette er definert i Artikkel 2, Paragraf 1, Nummer 1 av den japanske loven om beskyttelse av personopplysninger.

Relatert artikkel: Reiwa 4 (2022) revisjon av den japanske loven om beskyttelse av personopplysninger, innføring av ‘pseudonymisert informasjon’ for å fremme utnyttelsen av data[ja]

På den annen side refererer «persondata» til personopplysninger som utgjør en personopplysningsdatabase osv., som er fastsatt i Artikkel 16, Paragraf 1 av den japanske loven om beskyttelse av personopplysninger.

For eksempel, når man lager en deltakerliste for et arrangement, kalles informasjonen som navn og adresse som deltakerne har sendt inn, for «personopplysninger». Og databasen som er opprettet ved å samle hver deltakers personopplysninger i et regneark eller lignende, er en «personopplysningsdatabase». Hver bit av informasjon som utgjør denne databasen, regnes som «persondata».

I den japanske loven om beskyttelse av personopplysninger er det viktig å forstå at det er en betydelig forskjell i reguleringene avhengig av om det er «personopplysninger» eller «persondata» som er beskyttelsesobjektet.

Hva er plikten til å rapportere lekkasjer og lignende?

Den japanske loven om beskyttelse av personopplysninger pålegger virksomheter som håndterer personopplysninger å rapportere til Personvernkomiteen og varsle den registrerte ved hendelser av lekkasje av persondata og lignende.

(Rapportering av lekkasjer og lignende)
Artikkel 26: Virksomheter som håndterer personopplysninger skal, i tilfeller hvor det har oppstått en hendelse som kan skade den registrertes rettigheter og interesser betydelig, som lekkasje, tap, skade eller andre situasjoner som påvirker sikkerheten til persondataene, og som er definert i reglene fra Personvernkomiteen, rapportere hendelsen til Personvernkomiteen i henhold til disse reglene. Dette gjelder ikke hvis den aktuelle virksomheten som håndterer personopplysninger har blitt tildelt hele eller deler av behandlingen av persondata fra en annen virksomhet som håndterer personopplysninger eller en offentlig institusjon, og har varslet den andre virksomheten eller offentlige institusjonen om hendelsen i henhold til reglene fra Personvernkomiteen.
2 I tilfeller som nevnt i forrige ledd, med unntak av de som har varslet i henhold til unntaket, skal virksomheten varsle den registrerte om hendelsen i henhold til reglene fra Personvernkomiteen. Dette gjelder ikke hvis det er vanskelig å varsle den registrerte, og det er tatt nødvendige tiltak for å beskytte den registrertes rettigheter og interesser som et alternativ til varsling.

Lov om beskyttelse av personopplysninger | e-Gov lovdatabase[ja]

Rapporterings- og varslingplikten oppstår ikke i alle tilfeller av lekkasjer og lignende. Den er begrenset til de fire tilfellene definert i artikkel 7 i reglene for gjennomføring av loven om beskyttelse av personopplysninger:

  1. Lekkasjer av persondata som inneholder sensitiv personinformasjon (eksempel: resultater fra ansattes helseundersøkelser)
  2. Lekkasjer av persondata som kan føre til økonomisk tap gjennom uautorisert bruk (eksempel: kredittkortnumre)
  3. Lekkasjer av persondata som kan ha blitt utført med ulovlige hensikter
  4. Lekkasjer som påvirker mer enn 1000 personer

I denne revisjonen ble innholdet i artikkel 7, punkt 3 endret.

Hva er sikkerhetsstyringstiltak?

Den japanske loven om beskyttelse av personopplysninger pålegger virksomheter som håndterer personopplysninger å iverksette nødvendige og passende tiltak for å forhindre lekkasje av persondata og for å sikre sikkerhetsstyring.

(Sikkerhetsstyringstiltak)
Artikkel 23: Virksomheter som håndterer personopplysninger må iverksette nødvendige og passende tiltak for å forhindre lekkasje, tap eller skade på persondata, samt andre tiltak for sikkerhetsstyring av personopplysninger.

Loven om beskyttelse av personopplysninger | e-Gov lovdatabase[ja]

Eksempler på slike tiltak inkluderer kontroll av tilgang, opplæring av ansatte og etablering av regler.

Reguleringer før revisjonen

Før revisjonen var det kun «persondata» som var gjenstand for plikten til å rapportere ved lekkasjer og lignende hendelser, samt plikten til å iverksette sikkerhetstiltak. Når det gjaldt «personopplysninger», var det ingen krav om at virksomheter måtte påta seg slike plikter selv om det oppstod lekkasjer eller lignende.

Men, det som er nytt med denne revisjonen, er at plikten til å rapportere og varsle, samt plikten til å etablere sikkerhetstiltak, nå også omfatter visse «personopplysninger».

Formålet og målene med revisjonen av reglene for gjennomføring av den japanske loven om beskyttelse av personopplysninger

Formålet og målene med revisjonen av reglene for gjennomføring av den japanske loven om beskyttelse av personopplysninger

Denne revisjonen kan sies å ha fokus på tiltak mot web-skimming. Web-skimming er en angrepsmetode hvor man installerer skadelig programvare på e-handelsnettsteder for å stjele personopplysninger.

Mer spesifikt innebærer det å direkte hente passord og kredittkortinformasjon som brukere har fylt inn i innskuddsskjemaer fra innskrivingssiden.

Ved web-skimming blir informasjonen som brukeren har fylt inn, stjålet direkte før den blir integrert i e-handelsnettstedets database for personopplysninger eller lignende. I denne formen er det bare “personlig informasjon” før den blir omgjort til “persondata” som blir stjålet.

Før revisjonen var det kun “persondata” som var gjenstand for rapporteringsplikten ved lekkasjer og lignende. Derfor hadde ikke e-handelsnettsteder noen plikt til å rapportere om skader forårsaket av web-skimming.

Formålet med denne revisjonen er å inkludere informasjonslekkasjer forårsaket av web-skimming som en del av rapporteringsplikten, ved å utvide omfanget av rapportering og sikkerhetstiltak til også å omfatte “personopplysninger”.

Endringer i reglene for gjennomføring av den japanske personopplysningsbeskyttelsesloven i 2024 (Reiwa 6)

Utvidelse av omfanget for rapporteringsplikten ved lekkasjer

Artikkel 7, punkt 3 i reglene for gjennomføring av den japanske personopplysningsbeskyttelsesloven har blitt endret som følger.

Endret lovFør endringen
Artikkel 7, Lovens artikkel 26, punkt 1, skal omfatte tilfeller som anses å kunne skade en persons rettigheter og interesser betydelig, som definert i reglene fastsatt av den japanske personopplysningsbeskyttelseskomiteen, inkludert enhver handling mot en personopplysningsbehandler som antas å være utført med en ulovlig hensikt, som kan føre til, eller antas å kunne føre til, lekkasje av persondata (inkludert personopplysninger som personopplysningsbehandleren har ervervet eller forsøker å erverve, og som er forventet å bli behandlet som persondata).Artikkel 7, Lovens artikkel 26, punkt 1, skal omfatte tilfeller som anses å kunne skade en persons rettigheter og interesser betydelig, som definert i reglene fastsatt av den japanske personopplysningsbeskyttelseskomiteen, inkludert enhver situasjon der det har oppstått, eller antas å kunne oppstå, en lekkasje av persondata som antas å være utført med en ulovlig hensikt.
Regler for gjennomføring av den japanske personopplysningsbeskyttelsesloven | e-Gov lov søk[ja]

“Den aktuelle personopplysningsbehandleren” inkluderer også underleverandører og leverandører av personopplysningstjenester.

I tillegg skal det, når det gjelder om personopplysninger som “forsøkes ervervet” av en personopplysningsbehandler faller inn under dette, vurderes objektivt med hensyn til metoden for anskaffelse av personopplysninger (Retningslinjer Generell del 3-5-3-1).

Slik har omfanget for rapporterings- og varslingplikten ved lekkasjer blitt utvidet til å omfatte “personopplysninger” i visse tilfeller, som er en betydelig endring i revisjonen i 2024 (Reiwa 6).

Utvidelse av omfanget for sikkerhetstiltak

Med endringen i regelverket for rapporteringsplikt ved lekkasjer, har også innholdet i den japanske personopplysningsbeskyttelseslovens retningslinjer Generell del 3-4-2 blitt endret.

De sikkerhetstiltakene som virksomheter må iverksette, inkluderer nå nødvendige og passende tiltak for å forhindre lekkasje av personopplysninger (inkludert personopplysninger som personopplysningsbehandleren har ervervet eller forsøker å erverve) som er planlagt behandlet som persondata.

Omfanget for sikkerhetstiltak har også blitt utvidet til å omfatte “personopplysninger” i visse tilfeller, i tillegg til “persondata”.

Referanse: Den japanske personopplysningsbeskyttelseskomiteen | (Gjennomført 1. april 2024 (Reiwa 6)) Retningslinjer for den japanske personopplysningsbeskyttelsesloven (Generell del)

Tiltak som må tas i forbindelse med iverksettelsen av den reviderte japanske loven om beskyttelse av personopplysninger

Tiltak som må tas i forbindelse med iverksettelsen av den reviderte japanske loven om beskyttelse av personopplysninger

De tiltakene som må tas i forbindelse med iverksettelsen av den reviderte japanske loven om beskyttelse av personopplysninger i det 6. året av Reiwa (2024), er følgende to:

  • Revidere personvernpolicyen
  • Revidere og informere om interne regler

La oss se nærmere på hver av disse.

Revidere personvernpolicyen

Virksomheter som håndterer personopplysninger må sørge for at tiltak for sikker håndtering av personopplysninger er tilgjengelige for den registrerte. Dette inkluderer også å kunne svare umiddelbart på forespørsler fra den registrerte (Artikkel 32, avsnitt 1, punkt 4 i den japanske loven om beskyttelse av personopplysninger).

Virksomheter som har håndtert dette gjennom sin personvernpolicy, må være oppmerksomme. Det er nødvendig å oppdatere personvernpolicyen for å inkludere bestemte personopplysninger som nye mål for sikkerhetstiltak.

Revidere og informere om interne regler

Det faktum at det nå oppstår en rapporterings- og varslingplikt også for lekkasjer av visse personopplysninger, må reflekteres i de interne reglene og meddeles til ansatte.

Eksempler på lekkasjer av personopplysninger som nå blir gjenstand for rapportering, er ikke begrenset til web-skimming.

For eksempel, hvis en virksomhet som håndterer personopplysninger sender en konvolutt med feil adresse til en kunde, og personopplysningene som er fylt ut på et spørreskjema i konvolutten overleveres til en tredjepart, vil dette utgjøre en situasjon der det oppstår en rapporterings- og varslingplikt hvis disse personopplysningene var ment å bli behandlet som persondata.

Ettersom behandlingen av visse personopplysninger som tidligere ikke utløste noen plikt nå endres, er det nødvendig å oppfordre ansatte til å være ekstra oppmerksomme.

Oppsummering: Søk råd fra eksperter for å håndtere endringer i loven om beskyttelse av personopplysninger

I revisjonen av loven om beskyttelse av personopplysninger i det 6. året av Reiwa (2024), er tiltak mot web-skimming spesifikt adressert, med utvidede rapporterings- og varslingplikter ved lekkasjer, samt utvidede sikkerhetstiltak. Før revisjonen var kun “persondata” inkludert, men under visse omstendigheter vil nå også “personopplysninger” være omfattet.

Denne revisjonen krever at man tar grep som å revidere personvernpolicyer og interne regler.

Når det gjelder håndtering av personopplysninger, kan feil tiltak føre til store risikoer, som tap av sosial tillit. Det anbefales derfor å konsultere en advokat når man skal håndtere disse spørsmålene.

Veiledning om tiltak fra vår advokatfirma

Monolith advokatfirma har rik erfaring med IT, spesielt internett og lovverk. I den senere tid har lekkasje av personopplysninger blitt et stort problem. Skulle personopplysninger lekke ut, kan det i noen tilfeller ha en fatal effekt på bedriftens aktiviteter. Vårt firma har spesialisert kunnskap om forebygging av og tiltak mot informasjonslekkasjer. Detaljer er beskrevet i artikkelen nedenfor.

Monolith advokatfirmas tjenesteområder: Tjenester relatert til den japanske loven om beskyttelse av personopplysninger[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Fordeler og ulemper med ICO sammenlignet med IPO

Fordeler og ulemper med ICO sammenlignet med IPO

General Corporate

Hva er den japanske premievisningsloven (Jōhō Hyōji Hō)? En forståelig forklaring med eksempler på overtredelser og straffer

Hva er den japanske premievisningsloven (Jōhō Hyōji Hō)? En forståelig forklaring med eksempler .

General Corporate

Hva er bøtesystemet i henhold til den japanske 'Premiums and Representations Law'? En forklaring på håndteringstiltak med faktiske eksempler

Hva er bøtesystemet i henhold til den japanske 'Premiums and Representations Law'? En forklaring.

General Corporate

Hva er viktige punkter ved merking av produkter som hevder å forebygge ny korona? Forklaring av den japanske 'Prize Indication Law

Hva er viktige punkter ved merking av produkter som hevder å forebygge ny korona? Forklaring av .

General Corporate

Kan man kreve erstatning fra en oppdragsgiver uten en inngått kontrakt?

Kan man kreve erstatning fra en oppdragsgiver uten en inngått kontrakt?

General Corporate

Fem sjekkpunkter for å inngå en korrekt rådgivningsavtale for M&A

Fem sjekkpunkter for å inngå en korrekt rådgivningsavtale for M&A

General Corporate

Hvorfor det er nødvendig med en advokats involvering og metoden for ICO

Hvorfor det er nødvendig med en advokats involvering og metoden for ICO

General Corporate

Fordeler og prosedyrer for å gjennomføre forretningsoverdragelse gjennom M&A

Fordeler og prosedyrer for å gjennomføre forretningsoverdragelse gjennom M&A

General Corporate

Kan det oppstå opphavsrett til AI-genererte tekster? En forklaring av naturlig språkbehandlings-AI-tjenester og den japanske opphavsrettsloven

Kan det oppstå opphavsrett til AI-genererte tekster? En forklaring av naturlig språkbehandlings-.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection Personal Information Protection#Cross-border System Development Terms of Use

Weekly Popular Articles

Tilbake til toppen