MONOLITH LAW OFFICE+81-3-6262-3248Dni powszednie 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Jakie są kluczowe punkty nowelizacji japońskiej ustawy o ochronie danych osobowych z roku Reiwa 6 (2024)? Omówienie ważnych zmian i strategii reagowania

General Corporate

Jakie są kluczowe punkty nowelizacji japońskiej ustawy o ochronie danych osobowych z roku Reiwa 6 (2024)? Omówienie ważnych zmian i strategii reagowania

W kwietniu 2024 roku (令和6年) zostaną wprowadzone zmienione przepisy wykonawcze do japońskiej Ustawy o Ochronie Danych Osobowych. W ramach tej nowelizacji rozszerzono zakres obowiązków dotyczących zgłaszania incydentów związanych z wyciekiem danych do Komisji Ochrony Danych Osobowych oraz obowiązku informowania o takich zdarzeniach osób, których dane dotyczą.

Głównym punktem tej nowelizacji jest reagowanie na współczesne problemy związane z ochroną danych osobowych, takie jak web skimming.

Mimo to, aby dokładnie zrozumieć i odpowiednio zareagować na zmiany, potrzebna jest specjalistyczna wiedza. Nie brakuje osób, które nie wiedzą, jakie działania powinny podjąć ich firmy. W tym artykule wyjaśniamy kluczowe punkty nowelizacji z 2024 roku oraz proponowane środki zaradcze.

Zarys zmian w ustawie o ochronie danych osobowych z roku Reiwa 6 (2024)

Zmiany w ustawie o ochronie danych osobowych z roku Reiwa 6 (2024), na które należy zwrócić uwagę, dotyczą rozszerzenia obowiązku raportowania i powiadamiania w przypadku wycieku danych oraz obowiązku wprowadzenia środków bezpieczeństwa, które teraz obejmują również pewne „dane osobowe”.

W dotychczasowych przepisach obowiązek raportowania w przypadku wycieku dotyczył tylko „danych osobowych”, a „informacje osobiste” nie były włączone.

W wyniku tej nowelizacji, zmiany zostały opisane w artykule 7, punkt 3, rozporządzenia wykonawczego do ustawy o ochronie danych osobowych oraz w „Wytycznych do ustawy o ochronie danych osobowych (Ogólne)”[ja].

Po nowelizacjiPrzed nowelizacją
Obowiązek raportowania wycieków itp.Obowiązuje (w określonych przypadkach)Nie obowiązuje
Obowiązek wprowadzenia środków bezpieczeństwaObowiązuje (w określonych przypadkach)Nie obowiązuje
Zmiany w obsłudze niektórych danych osobowych

Szczegółowe przepisy i zmiany zostaną wyjaśnione poniżej.

Dotychczasowe podmioty regulowane przez Ustawę o Ochronie Danych Osobowych

Dotychczasowe podmioty regulowane przez Ustawę o Ochronie Danych Osobowych

Aby zrozumieć treść nowelizacji, niezbędne jest dokładne zrozumienie regulacji obowiązujących przed jej wprowadzeniem. W tym miejscu wyjaśniamy definicje i treść regulacji, które były ustalone przed nowelizacją.

Różnice między informacjami osobistymi a danymi osobowymi

W japońskiej Ustawie o Ochronie Informacji Osobistych rozróżniamy obiekty ochrony na „informacje osobiste” i „dane osobowe”.

„Informacje osobiste” dotyczą informacji o żyjącej osobie, które mogą identyfikować konkretną osobę na podstawie zawartych w nich danych, takich jak imię i nazwisko lub data urodzenia. Jest to zdefiniowane w artykule 2, punkt 1, numer 1 japońskiej Ustawy o Ochronie Informacji Osobistych.

Powiązany artykuł: Poprawka do japońskiej Ustawy o Ochronie Informacji Osobistych z roku Reiwa 4 (2022) wprowadzająca nowe przepisy dotyczące informacji przetworzonych anonimowo i inne, mające na celu wspieranie wykorzystania danych[ja]

Z kolei „dane osobowe” to informacje osobiste tworzące bazę danych informacji osobistych, co określono w artykule 16, punkt 1 japońskiej Ustawy o Ochronie Informacji Osobistych.

Na przykład, tworząc listę uczestników wydarzenia, informacje takie jak imiona i nazwiska czy adresy przesłane przez rezerwujących nazywamy „informacjami osobistymi”. Baza danych stworzona przez zebranie informacji osobistych każdego z rezerwujących, na przykład w arkuszu kalkulacyjnym, jest „bazą danych informacji osobistych”. Poszczególne informacje tworzące tę bazę danych są „danymi osobowymi”.

W japońskiej Ustawie o Ochronie Informacji Osobistych ważne jest zrozumienie, że przedmiot ochrony różni się w zależności od tego, czy są to „informacje osobiste”, czy „dane osobowe”, co ma duży wpływ na zakres regulacji.

Obowiązek raportowania i powiadamiania o wyciekach danych osobowych

Ustawa o Ochronie Danych Osobowych nakłada na przedsiębiorców zajmujących się przetwarzaniem danych osobowych obowiązek zgłaszania wycieków danych do Komisji Ochrony Danych Osobowych oraz powiadamiania o nich osób, których dane dotyczą.

(Raportowanie wycieków danych itp.)
Artykuł 26. Przedsiębiorca przetwarzający dane osobowe, w przypadku wystąpienia wycieku, utraty, uszkodzenia lub innego zdarzenia związanego z zapewnieniem bezpieczeństwa danych osobowych, które może znacząco zaszkodzić prawom i interesom osób, musi zgłosić takie zdarzenie do Komisji Ochrony Danych Osobowych zgodnie z regulacjami ustalonymi przez Komisję. Jednakże, jeśli przedsiębiorca przetwarzający dane osobowe powierzył całość lub część przetwarzania danych innemu przedsiębiorcy lub organowi administracji publicznej i powiadomił ich o zdarzeniu zgodnie z regulacjami Komisji, nie jest zobowiązany do zgłaszania tego zdarzenia do Komisji.
2. W przypadkach określonych w ustępie pierwszym, przedsiębiorca przetwarzający dane osobowe (z wyjątkiem tych, którzy dokonali powiadomienia zgodnie z wyjątkiem w ustępie pierwszym) musi powiadomić osobę, której dane dotyczą, o zdarzeniu zgodnie z regulacjami ustalonymi przez Komisję Ochrony Danych Osobowych. Jednakże, jeśli powiadomienie osoby jest trudne i konieczne jest podjęcie innych środków w celu ochrony praw i interesów osoby, nie jest to wymagane.

Ustawa o Ochronie Danych Osobowych|e-Gov wyszukiwanie przepisów[ja]

Obowiązek raportowania i powiadamiania nie dotyczy wszystkich przypadków wycieku danych. Zgodnie z artykułem 7 regulaminu wykonawczego do Ustawy o Ochronie Danych Osobowych, obowiązek ten dotyczy tylko następujących czterech przypadków:

  1. Wyciek danych osobowych zawierających informacje wymagające szczególnej ostrożności (np. wyniki badań zdrowotnych pracowników)
  2. Wyciek danych osobowych, który może prowadzić do strat finansowych z powodu nieuprawnionego wykorzystania (np. numery kart kredytowych)
  3. Wyciek danych osobowych, który mógł zostać dokonany w nielegalnym celu
  4. Wyciek dotyczący więcej niż 1000 osób

W ostatniej nowelizacji zmieniono treść punktu 3 artykułu 7 regulaminu wykonawczego.

Czym są środki bezpieczeństwa?

Japońska ustawa o ochronie danych osobowych nakłada na przedsiębiorców zajmujących się danymi osobowymi obowiązek podjęcia niezbędnych i odpowiednich środków w celu zapobiegania wyciekom danych osobowych oraz zapewnienia ich bezpiecznego zarządzania.

(Środki bezpieczeństwa)
Artykuł 23. Przedsiębiorcy zajmujący się danymi osobowymi muszą podjąć niezbędne i odpowiednie środki w celu zapobiegania wyciekom, utracie lub uszkodzeniu danych osobowych oraz w celu zapewnienia innych form bezpiecznego zarządzania danymi osobowymi.

Japońska ustawa o ochronie danych osobowych | e-Gov wyszukiwanie przepisów[ja]

Jako przykłady można wymienić kontrolę dostępu, szkolenia dla pracowników oraz opracowanie odpowiednich procedur.

Regulacje przed nowelizacją

Przed nowelizacją, obowiązki dotyczące zgłaszania wypadków wycieku danych oraz wdrażania środków bezpieczeństwa były nałożone jedynie w odniesieniu do “danych osobowych”. W przypadku “informacji osobistych”, nawet jeśli doszło do wycieku, przedsiębiorcy nie byli zobowiązani do podejmowania takich działań.

Jednakże, przedmiotem obowiązków dotyczących zgłaszania i powiadamiania oraz wdrażania środków bezpieczeństwa została rozszerzona na niektóre “informacje osobiste” w wyniku tej nowelizacji.

Zasady i cele zmiany Rozporządzenia o Ochronie Danych Osobowych

Zasady i cele zmiany Rozporządzenia o Ochronie Danych Osobowych

Ta zmiana została przeprowadzona głównie z myślą o przeciwdziałaniu web skimmingowi. Web skimming to metoda ataku polegająca na instalowaniu nielegalnych programów na stronach internetowych, takich jak sklepy e-commerce, w celu kradzieży danych osobowych.

Konkretnie, chodzi o metody pozyskiwania takich danych jak hasła i informacje o kartach kredytowych bezpośrednio ze stron, na których użytkownicy je wprowadzają.

Charakterystyczną cechą web skimmingu jest to, że informacje wprowadzone przez użytkowników są kradzione bezpośrednio, zanim zostaną one zintegrowane z bazami danych danych osobowych operatorów stron e-commerce. W tej formie kradzione są “informacje osobiste” jeszcze przed ich przekształceniem w “dane osobowe”.

Przed zmianą, obowiązek zgłaszania wycieków dotyczył tylko “danych osobowych”. Dlatego, nawet jeśli doszło do wycieku w wyniku web skimmingu, operatorzy stron e-commerce nie mieli obowiązku zgłaszania takiego zdarzenia.

Celem tej zmiany jest objęcie wycieków informacji spowodowanych przez web skimming w zakres obowiązku zgłaszania, poprzez rozszerzenie zakresu obowiązków zgłaszania wycieków i środków bezpieczeństwa na “informacje osobiste”.

Zmiany w przepisach wykonawczych do Ustawy o Ochronie Danych Osobowych z roku 2024 (Reiwa 6)

Rozszerzenie zakresu obowiązku raportowania wycieków danych

Paragraf 7, punkt 3 przepisów wykonawczych do Ustawy o Ochronie Danych Osobowych został zmieniony w następujący sposób.

Zmienione przepisyPrzed zmianą
W paragrafie 7, artykule 26, ustęp 1, tekst główny, jako sytuacje, w których istnieje duże ryzyko naruszenia praw i interesów osoby, określone przez regulacje Komisji Ochrony Danych Osobowych, uznaje się te, które odpowiadają któremukolwiek z poniższych punktów. Trzeci: sytuacje, w których istnieje podejrzenie, że działania wobec podmiotu przetwarzającego dane osobowe (w tym dane osobowe, które podmiot przetwarzający dane osobowe nabył lub zamierza nabyć, i które są przewidziane do przetwarzania jako dane osobowe) zostały podjęte z nielegalnym zamiarem i spowodowały lub mogą spowodować wyciek danych itp.W paragrafie 7, artykule 26, ustęp 1, tekst główny, jako sytuacje, w których istnieje duże ryzyko naruszenia praw i interesów osoby, określone przez regulacje Komisji Ochrony Danych Osobowych, uznaje się te, które odpowiadają któremukolwiek z poniższych punktów. Trzeci: sytuacje, w których istnieje podejrzenie, że dane osobowe zostały wycieknięte itp. z nielegalnym zamiarem.
Regulacje wykonawcze do Ustawy o Ochronie Danych Osobowych|e-Gov wyszukiwanie przepisów[ja]

„Podmiot przetwarzający dane osobowe” obejmuje również podmioty zlecające oraz dostawców usług przetwarzania danych osobowych.

Ponadto, czy dane osobowe, które podmiot przetwarzający dane osobowe zamierza nabyć, kwalifikują się jako takie, jest oceniane obiektywnie, biorąc pod uwagę środki pozyskania danych osobowych (Zasady ogólne wytycznych 3-5-3-1).

Tak więc, rozszerzenie zakresu obowiązku raportowania i powiadamiania o wyciekach danych na pewne przypadki „danych osobowych” stanowi jedną z głównych zmian wprowadzonych w roku 2024 (Reiwa 6).

Rozszerzenie zakresu środków bezpieczeństwa

Zmiana regulacji dotyczących obowiązku raportowania wycieków danych spowodowała również zmianę w zapisach Wytycznych Ogólnych Ustawy o Ochronie Danych Osobowych 3-4-2.

Środki bezpieczeństwa, które podmioty przetwarzające dane osobowe powinny wdrożyć, obejmują teraz również konieczne i odpowiednie działania mające na celu zapobieganie wyciekom danych osobowych (w tym danych osobowych, które podmiot przetwarzający dane osobowe nabył lub zamierza nabyć).

Zakres środków bezpieczeństwa został rozszerzony nie tylko na „dane osobowe”, ale również na pewne przypadki „informacji osobistych”.

Źródło: Komisja Ochrony Danych Osobowych|(Wdrożone 1 kwietnia 2024 roku) Wytyczne dotyczące Ustawy o Ochronie Danych Osobowych (Zasady ogólne)

Środki, które należy podjąć w związku z wprowadzeniem zmienionej Ustawy o Ochronie Danych Osobowych

Środki, które należy podjąć w związku z wprowadzeniem zmienionej Ustawy o Ochronie Danych Osobowych

Środki, które należy podjąć w odpowiedzi na wprowadzenie zmienionej Ustawy o Ochronie Danych Osobowych (2024) są następujące:

  • Zaktualizować politykę prywatności
  • Zaktualizować i rozpowszechnić wewnętrzne regulaminy

Przyjrzyjmy się każdemu z nich bardziej szczegółowo.

Zaktualizować politykę prywatności

Podmioty przetwarzające dane osobowe muszą zapewnić środki bezpieczeństwa danych osobowych w sposób dostępny dla osoby, której dane dotyczą. Obejmuje to również możliwość udzielenia odpowiedzi na żądanie osoby bez nieuzasadnionej zwłoki (japońska Ustawa o Ochronie Danych Osobowych, art. 32, ust. 1, pkt 4).

Podmioty, które dotychczas w swojej polityce prywatności określały środki bezpieczeństwa danych osobowych, muszą zwrócić uwagę na konieczność dodania informacji o nowych środkach bezpieczeństwa obejmujących określone dane osobowe.

Zaktualizować i rozpowszechnić wewnętrzne regulaminy

W związku z tym, że obowiązki zgłaszania i informowania dotyczą teraz również niektórych przypadków wycieku danych osobowych, konieczne jest odzwierciedlenie tego w wewnętrznych regulaminach i poinformowanie o tym pracowników.

Przypadki wycieku danych osobowych, które teraz podlegają obowiązkowi zgłaszania, nie ograniczają się tylko do web skimmingu.

Na przykład, gdy podmiot przetwarzający dane osobowe wysyła klientowi kopertę zwrotną z błędnym adresem, a wypełniony przez klienta formularz ankiety trafia w ręce osób trzecich, dane zawarte w formularzu, które miały być przetwarzane jako dane osobowe, stają się przedmiotem obowiązku zgłoszenia i informowania o wycieku.

Zmiana dotycząca danych osobowych, które dotychczas nie podlegały obowiązkowi zgłaszania, wymaga zwrócenia szczególnej uwagi przez pracowników.

Podsumowanie: W odpowiedzi na zmiany w Ustawie o Ochronie Danych Osobowych warto skonsultować się ze specjalistami

W ramach zmian w Ustawie o Ochronie Danych Osobowych z roku Reiwa 6 (2024), z myślą o przeciwdziałaniu web skimming, rozszerzono zakres obowiązków dotyczących raportowania i powiadamiania o wyciekach, a także obowiązków dotyczących zarządzania bezpieczeństwem. Przed zmianami objęte były tylko “dane osobowe”, ale teraz, w pewnych przypadkach, do zakresu tego włączono również “informacje osobiste”.

Zmiany te wymagają podjęcia działań takich jak rewizja polityki prywatności czy wewnętrznych regulaminów.

W kwestii obsługi danych osobowych, błędne działania mogą prowadzić do poważnych ryzyk, takich jak utrata zaufania społecznego. W związku z tym, zaleca się konsultacje z prawnikiem.

Informacje o działaniach podejmowanych przez naszą kancelarię

Kancelaria Prawna Monolith specjalizuje się w dziedzinie IT, a w szczególności w aspektach prawnych związanych z Internetem. W ostatnim czasie wyciek danych osobowych stał się poważnym problemem. W przypadku wycieku danych osobowych, działalność przedsiębiorstwa może zostać poważnie zagrożona. Posiadamy specjalistyczne wiedzę w zakresie zapobiegania wyciekom informacji oraz opracowywania strategii reagowania na takie incydenty. Szczegółowe informacje znajdują się w poniższym artykule.

Obszary działalności Kancelarii Prawnej Monolith: Prawo ochrony danych osobowych[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Wróć do góry