Ключевые аспекты изменений в Законе о защите личных данных в Рейва 6 году (2024 году): что необходимо знать о предстоящих изменениях и мерах реагирования?
В апреле Рейва 6 года (2024 году) вступят в силу изменения в Правила выполнения Закона о защите личной информации. В этой редакции расширяются обязанности по сообщению в Комиссию по защите личной информации и уведомлению субъекта данных в случае утечки информации и других подобных инцидентов.
Основной момент этих изменений заключается в реагировании на проблемы, связанные с личной информацией в последние годы, такие как веб-скимминг.
Однако для точного понимания и соответствующего реагирования на эти изменения требуются специализированные знания, и многие могут не знать, какие меры должна предпринять их компания. В этой статье мы объясним ключевые моменты изменений Рейва 6 года и предложим стратегии реагирования.
Основные изменения в Законе о защите личных данных в Рейва 6 (2024) году
Внимание в изменениях Закона о защите личных данных Рейва 6 (2024) года следует уделить расширению объектов обязанностей по сообщению и уведомлению в случае утечки и принятию мер безопасности до некоторых “личных информаций”.
В соответствии с предыдущими правилами, объектами обязанности по сообщению в случае утечки и т.д. были только “персональные данные”, и “личная информация” не включалась.
В этой поправке, содержание изменений указано в статье 7, пункт 3 Правил выполнения Закона о защите личной информации и в “Руководстве по Закону о защите личной информации (Общие положения)[ja]”[ja].
| После поправки | До поправки | |
| Обязанность сообщать о утечке и т.д. | Необходимо (в определенных случаях) | Не требуется |
| Обязанность принимать меры безопасности | Необходимо (в определенных случаях) | Не требуется |
Конкретное содержание регулирования и изменения будут подробно объяснены ниже.
Регулируемые объекты в соответствии с Законом о защите личных данных до его изменения
Для понимания содержания измененного закона необходимо точно понимать регулирование до внесения изменений. Здесь мы объясним определения и содержание регулирования, установленного до его изменения.
Различия между персональной информацией и персональными данными
В Законе о защите персональной информации различают объекты защиты как «персональная информация» и «персональные данные».
«Персональная информация» относится к информации о живущем человеке, которая позволяет идентифицировать конкретного человека по имени, дате рождения и другим данным, содержащимся в этой информации. Это определение дано в статье 2, пункт 1, подпункт 1 Закона о защите персональной информации.
В то время как «персональные данные» относятся к персональной информации, составляющей базу данных персональной информации и т.д., что определено в статье 16, пункт 1 Закона о защите персональной информации.
Например, при создании списка участников мероприятия, информация, отправленная зарегистрировавшимися лицами, такая как имя и адрес, называется «персональной информацией». И база данных, созданная путем сбора персональной информации каждого участника в электронную таблицу и т.д., является «базой данных персональной информации». Информация, составляющая эту базу данных, является «персональными данными».
Важно понимать, что в Законе о защите персональной информации объект защиты, будь то «персональная информация» или «персональные данные», значительно влияет на содержание регулирования.
Обязанности по сообщению о утечке и т.д.
Японский закон о защите личной информации обязывает операторов обработки личных данных сообщать в Комиссию по защите личной информации и уведомлять субъекта данных в случае утечки личных данных и других подобных инцидентов.
(Сообщение о утечке и т.д.)
Закон о защите личной информации | Поиск законодательства e-Gov[ja]
Статья 26. Операторы обработки личных данных должны сообщать в Комиссию по защите личной информации о случаях утечки, утраты, повреждения или других ситуациях, связанных с обеспечением безопасности личных данных, которые могут серьезно нарушить права и интересы людей, в соответствии с правилами, установленными Комиссией по защите личной информации. Однако, если оператор обработки личных данных поручил обработку всей или части личных данных другому оператору обработки личных данных или государственному органу и уведомил их о случившемся в соответствии с правилами, установленными Комиссией по защите личной информации, то это не требуется.
2 В случаях, предусмотренных предыдущим пунктом, операторы обработки личных данных (за исключением тех, кто уведомил в соответствии с примечанием к предыдущему пункту) должны уведомить субъекта данных о случившемся в соответствии с правилами, установленными Комиссией по защите личной информации. Однако, если уведомление субъекта данных затруднительно и были приняты необходимые меры для защиты прав и интересов субъекта данных, то это не требуется.
Обязанность сообщать и уведомлять не возникает во всех случаях утечки и т.д. Она ограничена четырьмя случаями, определенными в статье 7 Правил выполнения Закона о защите личной информации:
- Утечка личных данных, содержащих информацию, требующую особого внимания (например, результаты медицинского осмотра сотрудников)
- Утечка личных данных, которая может привести к финансовому ущербу из-за неправомерного использования (например, номера кредитных карт)
- Утечка личных данных, которая могла быть совершена с неправомерной целью
- Утечка, затрагивающая более 1000 субъектов данных
В этой редакции был изменен пункт 3 статьи 7.
Что такое меры по управлению безопасностью
Японский закон о защите личных данных обязывает операторов, обрабатывающих личные данные, принимать необходимые и соответствующие меры для предотвращения утечек личных данных и обеспечения их безопасного управления.
(Меры по управлению безопасностью)
Закон о защите личных данных | Поиск законодательства e-Gov[ja]
Статья 23. Операторы, обрабатывающие личные данные, должны принимать необходимые и соответствующие меры для предотвращения утечки, потери или повреждения личных данных, а также для обеспечения их безопасного управления.
В качестве конкретных примеров можно привести контроль доступа, обучение сотрудников и разработку правил.
Регулируемые объекты до внесения изменений
До внесения изменений, объектами, на которые распространялись обязанности по сообщению о случаях утечки и принятию мер безопасности, были только «личные данные». В отношении «персональной информации», даже в случае ее утечки, на предприятия не возлагалась подобная обязанность.
Однако, объектом обязанностей по сообщению и уведомлению, а также по установлению мер безопасности, теперь стала часть «персональной информации», что является ключевым изменением в этой реформе.
Сущность и цели изменений в Правилах применения Закона о защите персональных данных
Данные изменения можно считать направленными на борьбу с веб-скиммингом. Веб-скимминг — это метод атаки, при котором на сайтах электронной коммерции устанавливаются вредоносные программы для кражи персональных данных.
Конкретно, метод заключается в прямом получении таких данных, как пароли и информация о кредитных картах, которые пользователь вводит в формы на страницах.
Особенностью веб-скимминга является то, что информация, введенная пользователем, крадется прямо до того, как она будет интегрирована в базы данных персональной информации операторов сайтов электронной коммерции. В этом случае крадется именно «персональная информация» до ее превращения в «персональные данные».
До внесения изменений обязанность по сообщению о утечке касалась только «персональных данных». Поэтому, даже если происходила утечка информации из-за веб-скимминга, операторы сайтов электронной коммерции не были обязаны сообщать об этом.
Целью данной реформы является расширение круга случаев, требующих сообщения о утечке, включая утечки информации из-за веб-скимминга, и расширение объектов отчетности и мер безопасности до «персональной информации».
Изменения в Правилах по Закону о Защите Личной Информации в 2023 году (Рейва 6)
Расширение объектов обязанности по сообщению о утечках и прочем
Статья 7, пункт 3 Правил по Закону о Защите Личной Информации была изменена следующим образом.
| Измененный закон | До изменения |
| Статья 7 Закона, статья 26, пункт 1, предполагает, что случаи, которые могут серьезно нарушить права и интересы личности и определены в правилах Комиссии по защите личной информации, включают следующее: действия в отношении оператора обработки личной информации, которые могли быть совершены с неправомерной целью, приведшие к утечке личных данных (включая личную информацию, которую оператор обрабатывает или планирует обработать как личные данные). | Статья 7 Закона, статья 26, пункт 1, предполагает, что случаи, которые могут серьезно нарушить права и интересы личности и определены в правилах Комиссии по защите личной информации, включают утечку личных данных, которая могла произойти или произошла. |
Под «оператором обработки личной информации» понимаются также заказчики и поставщики услуг по обработке личной информации.
Кроме того, вопрос о том, относится ли информация к «личной информации, которую оператор планирует получить», определяется на основе способа получения личной информации и других факторов объективным образом (Раздел 3-5-3-1 Общих руководящих принципов).
Таким образом, расширение объектов обязанности по сообщению и уведомлению о утечках до определенных случаев «личной информации» является одним из значительных изменений, внесенных в 2023 году (Рейва 6).
Расширение объектов мер безопасности
В связи с изменениями в регулировании обязанности сообщать о утечках, также были изменены положения в Общих руководящих принципах по Закону о Защите Личной Информации, раздел 3-4-2.
Среди мер безопасности, которые должен принять оператор, теперь включены необходимые и адекватные меры для предотвращения утечек личной информации, которую оператор обрабатывает или планирует обработать как личные данные.
Объекты мер безопасности также были расширены не только до «личных данных», но и до определенных случаев «личной информации».
Ссылка: Комиссия по защите личной информации|Руководящие принципы по Закону о Защите Личной Информации (вступают в силу 1 апреля 2023 года, Рейва 6)
Меры, которые следует предпринять в связи с вступлением в силу измененного Закона о защите личной информации
В связи с вступлением в силу измененного Закона о защите личной информации в 2024 году (эра Рэйва 6), следует предпринять следующие два мероприятия:
- Пересмотреть политику конфиденциальности
- Пересмотреть и довести до сведения сотрудников внутренние правила
Давайте рассмотрим каждый пункт подробнее.
Пересмотреть политику конфиденциальности
Операторы обработки личных данных должны обеспечить, чтобы меры безопасности в отношении обрабатываемых личных данных были доступны для ознакомления субъектами данных. Это также включает в себя обязательство оперативно отвечать на запросы субъектов данных (статья 32, пункт 1, подпункт 4 Закона о защите личной информации).
Операторам, которые ранее включали меры безопасности в свою политику конфиденциальности, необходимо обратить внимание. В политику конфиденциальности необходимо добавить информацию о том, что определенные личные данные теперь подлежат новым мерам безопасности.
Пересмотреть и довести до сведения сотрудников внутренние правила
В связи с тем, что теперь возникает обязанность сообщать и уведомлять о утечках определенных личных данных, необходимо отразить это во внутренних правилах и довести до сведения сотрудников.
Случаи утечки личных данных, которые теперь подлежат сообщению, не ограничиваются только веб-скиммингом.
Например, если оператор обработки личных данных отправляет клиенту конверт для ответа с измененным адресом и личная информация, заполненная на анкете внутри конверта, попадает в руки третьих лиц, и эта информация предназначалась для обработки как личные данные, возникает обязанность сообщать и уведомлять о такой утечке информации.
Поскольку обработка некоторых личных данных, которые ранее не подпадали под обязанность уведомления, теперь изменилась, необходимо призвать сотрудников к бдительности.
Заключение: Консультация со специалистом по вопросам изменений в законе о защите личных данных
В изменениях в закон о защите личных данных в 6-й год эры Рейва (2024) были расширены меры по борьбе с веб-скиммингом, обязанности по сообщению и уведомлению в случае утечек, а также меры по обеспечению безопасности. В отличие от предыдущей редакции, где регулировались только «персональные данные», теперь в определенных случаях под регулирование попадает и «личная информация».
Эти изменения требуют принятия мер, таких как пересмотр политики конфиденциальности и внутренних правил компании.
Учитывая, что неправильное обращение с личной информацией может привести к серьезным рискам, таким как потеря общественного доверия, рекомендуется консультироваться с юристом при принятии соответствующих мер.
Информация о мерах, предпринимаемых нашей фирмой
Юридическая фирма “Монолит” обладает богатым опытом в области IT, особенно в интернете и праве. В последнее время утечка личной информации стала серьезной проблемой. В случае утечки личных данных деятельность компании может подвергнуться критическому воздействию. Наша фирма обладает специализированными знаниями в предотвращении утечек информации и разработке мер реагирования. Подробности вы найдете в статье ниже.
Сферы деятельности юридической фирмы “Монолит”: Законодательство, связанное с защитой личной информации[ja]
Related Articles
Какова процедура регистрации компании в Сингапуре? Объясняем также преимущества и расходы
General Corporate
【Срочно】Комиссия по защите персональных данных выдала приказ о прекращении деятельности оператор.
General Corporate
Что такое среднее время, необходимое для юридических услуг по часовой оплате, таких как создание.
General Corporate
Законодательное регулирование рекламной и пропагандистской деятельности в области медицины, вклю.
General Corporate
Непрекращающиеся утечки персональных данных, в 5-м году эры Рейва (2023) увеличение на 50% по ср.
General Corporate
Какие пункты рекламы разрешены по регулированию медицинской рекламы? Объясняем также примеры нед.
General Corporate
Что такое недопустимые выражения в рекламе добавок? Объясняем три закона, на которые следует обр.
General Corporate
