【Последняя версия】Что такое закон о защите персональных данных? Основные знания, которые вам необходимо знать, объяснены просто и понятно

В последнее время общественное внимание к обработке персональных данных и приватности значительно возросло. Однако законодательство о защите персональных данных и связанные с ним нормативные акты содержат множество положений, которые необходимо знать, и часто они настолько сложны, что их не так просто систематизировать. К тому же, закон о защите персональных данных часто изменяется в соответствии с меняющимися общественными условиями, поэтому важно постоянно быть в курсе последних новостей.

В данной статье мы представляем основные знания о законе о защите персональных данных, которые должен знать каждый, кто обрабатывает персональные данные, на основе последних изменений, вступивших в силу в 2022 году (статья написана на основе законодательства и информации, актуальных на январь 2025 года).

Цели Закона о защите персональных данных и контекст его изменений

В цифровом обществе важность защиты от неправомерного использования персональных данных постоянно возрастает, и Закон о защите персональных данных Японии (Japanese Personal Information Protection Law) неоднократно подвергался изменениям. В данной статье мы рассмотрим цели этого закона и контекст, в котором происходили эти изменения.

Цели Закона о защите персональных данных

Закон о защите персональных данных Японии представляет собой закон, который в основном устанавливает правила корректного обращения с персональными данными.

Сегодня услуги, использующие персональные данные и информацию, стали для нас обыденностью. С одной стороны, персональные данные используются для повышения эффективности работы и цифровой трансформации (DX) в компаниях, с другой стороны, увеличивается количество случаев утечки персональных данных и растет риск их злоупотребления.

Если говорить кратко, цель Закона о защите персональных данных заключается в «учете полезности персональных данных» и одновременной «защите прав и интересов личности» (статья 1 закона). При изучении Закона о защите персональных данных очень важно учитывать баланс между этими двумя аспектами.

Этот закон учитывает значительное расширение использования персональных данных в связи с развитием цифрового общества и устанавливает основные принципы и основные направления политики правительства по корректному обращению с персональными данными, а также определяет основные меры по защите персональных данных, обязанности государства и местных органов власти, а также обязанности, которым должны следовать предприятия и административные органы в зависимости от их специфики. Кроме того, закон предусматривает создание Комиссии по защите персональных данных для обеспечения корректной и эффективной работы административных органов и предприятий, а также для того, чтобы корректное и эффективное использование персональных данных способствовало созданию новых отраслей промышленности, динамичному экономическому обществу и обеспечению богатой жизни граждан, при этом учитывая полезность персональных данных и защищая права и интересы личности.

Цитата: Закон о защите персональных данных Японии, статья 1

Следует отметить, что Закон о защите персональных данных не устанавливает все правила обращения с персональными данными, а более детальные правила определяются в постановлениях и правилах.

Кроме того, конкретные юридические толкования и моменты, на которые следует обратить внимание при применении Закона о защите персональных данных, определяются в различных руководствах и вопросах и ответах, разработанных Комиссией по защите персональных данных. Хотя эти документы сами по себе не имеют юридической обязательности, они фактически служат стандартами и используются многими компаниями в качестве руководства.

Ссылка: Комиссия по защите персональных данных｜Законодательство и руководства[ja]

Контекст изменений

Закон о защите персональных данных был впервые принят в Японии в 17-й год эры Хэйсэй (2005 год).

С тех пор, в связи с развитием информационно-коммуникационных технологий и глобализацией, возросло использование персональных данных, которое не предполагалось на момент принятия закона. Учитывая изменения в общественных условиях, Закон о защите персональных данных был значительно изменен в 27-й год эры Хэйсэй (2015 год) и снова изменен в 2-й год эры Рэйва (2020 год).

Кроме того, Комиссия по защите персональных данных следует «Общим положениям о пересмотре Закона о защите персональных данных каждые три года[ja]» и продолжает пересматривать Закон о защите персональных данных каждые три года.

Согласно общим положениям, в документе упоминаются такие аспекты, как «защита прав и интересов личности», «баланс между защитой и использованием», «соответствие международным тенденциям», «реагирование на изменения рисков, связанных с иностранными предприятиями», «адаптация к эпохе искусственного интеллекта и больших данных».

Текущий, последний измененный закон, то есть изменения 2-го года эры Рэйва (2020 год), вступил в силу в апреле 2022 года, но согласно плану пересмотра Комиссии по защите персональных данных, через три года после 2020 года, в 2023 году (или возможно в 2024 году), может быть рассмотрено новое изменение закона.

Ниже мы представим обзор определений и классификаций статей Закона о защите персональных данных на основе изменений 2-го года эры Рэйва, а также основных положений.

Определения и классификация персональных данных согласно Закону о защите персональных данных в Японии

Для понимания положений (правил) Закона о защите персональных данных в Японии первым барьером является уникальная терминология. В отличие от слов, которые мы используем в повседневной жизни, в законе многие положения основаны на юридических определениях, поэтому важно сначала понять определения (значение, смысл) терминов.

В этой статье мы рассмотрим следующие термины:

• Персональные данные
• Персональные данные в обработке
• Хранимые персональные данные

Некоторые термины могут показаться похожими по смыслу, но в рамках Закона о защите персональных данных в Японии они имеют четкие различия, и для каждого определения установлены разные положения. Запомните, что обязанности по обращению с данными увеличиваются в следующем порядке: «Персональные данные» → «Персональные данные в обработке» → «Хранимые персональные данные».

Персональные данные в Японии

Под персональными данными в Японии понимается информация, относящаяся к живому человеку, которая позволяет идентифицировать конкретное лицо или содержит персональные идентификационные коды (статья 2, пункт 1, подпункт 1 и подпункт 2 Закона о защите персональных данных).

Информация о умерших или вымышленных персонажах не относится к категории “живущих”, а информация о юридических лицах или статистические данные не являются “информацией о личности”.

Информация, позволяющая идентифицировать конкретное лицо, включает в себя такие данные, как фамилия, номер телефона, адрес, дата рождения, фотография лица, но любая информация, связанная с конкретным лицом, в целом считается персональными данными. То есть информация, которая сама по себе не позволяет идентифицировать личность (например, ID или история покупок), становится идентифицируемой, когда соединяется с фамилией или номером телефона, и таким образом относится к персональным данным.

Кроме того, “персональные идентификационные коды (статья 2, пункт 2)” обычно включают в себя уникальные государственные номера, такие как номер моего номера, номер водительских прав, номер паспорта, номер страхового полиса (подпункт 2), а также данные, полученные в результате преобразования биометрической информации человека, такие как отпечатки пальцев или ДНК (подпункт 1).

Кроме того, требование к информации, позволяющей идентифицировать конкретное лицо, включает в себя “возможность легкого сопоставления с другой информацией, что позволяет идентифицировать конкретное лицо” (это называется “легкость сопоставления”).

Например, если в базе данных истории просмотров содержатся пользовательский ID и информация о просмотрах, человек, просматривающий эти данные, не сможет идентифицировать конкретное лицо. Однако, если в базе данных управления пользователями (другой базе данных) содержится тот же пользовательский ID вместе с фамилией, адресом и другой информацией, сопоставление общего пользовательского ID позволяет идентифицировать конкретное лицо. Поэтому в этом случае информация о просмотрах, даже если сама по себе не позволяет идентифицировать конкретное лицо, включается в общую категорию персональных данных из-за “легкости сопоставления”. Таким образом, в зависимости от реальной практики обработки информации в компании, определенные данные могут рассматриваться как “персональные данные”, что требует особого внимания.

Статья 2. В этом законе под “персональными данными” понимается информация, относящаяся к живому человеку, которая соответствует одному из следующих пунктов:

1. Информация, содержащая фамилию, дату рождения и другие описания и т.д. (включая записи, созданные электронным способом, которые не могут быть восприняты человеческим восприятием, и другие методы, такие как голос, движения и т.д., за исключением персональных идентификационных кодов), которая позволяет идентифицировать конкретное лицо (включая информацию, которая может быть легко сопоставлена с другой информацией, что позволяет идентифицировать конкретное лицо).

2. Информация, содержащая персональные идентификационные коды

Закон о защите персональных данных, статья 2, пункт 1, подпункт 1 и подпункт 2

Персональные данные

Сбор персональной информации в базу данных или создание из неё поисковой системы называется “базой данных персональной информации и прочим” (согласно статье 16, пункт 1, подпункты 1 и 2 Японского закона о защите персональных данных).

Например, информация о человеке, записанная на одной визитной карточке, является “персональной информацией”. Однако, если информация с нескольких визитных карточек хранится в файле с индексом по алфавиту и может быть найдена, или если она организована в базу данных с помощью Excel, то это становится “базой данных персональной информации и прочим”, где можно систематически искать определённую персональную информацию.

Каждый элемент персональной информации, составляющий “базу данных персональной информации и прочее”, называется “персональными данными” (согласно статье 16, пункт 3). Когда информация является персональными данными, на её обработку налагаются дополнительные регуляции по сравнению с обычной персональной информацией, включая ограничения на распространение третьим лицам и обязанности по обеспечению безопасности (подробности будут описаны ниже).

Причина этого заключается в том, что персональные данные, когда персональная информация организована в базу данных, подвержены высокому риску массовой утечки, легко могут быть связаны с другими методами и, следовательно, увеличивают риск нарушения прав субъекта данных.

Владение персональными данными

Персональные данные, которыми управляет предприниматель и которые должны быть раскрыты по запросу субъекта данных, называются “владение персональными данными” в соответствии с пунктом 4 статьи 16 Закона о защите персональных данных Японии (Japanese Personal Information Protection Act).

Типичными примерами являются информация о клиентах и сотрудниках, собранная непосредственно в ходе бизнеса. В то же время, например, информация, полученная от других лиц в результате аутсорсинга и не подлежащая раскрытию, не считается владением персональными данными.

Если данные относятся к категории владения персональными данными, предприниматель обязан без задержек отвечать на запросы субъекта данных, а также выполнять требования по раскрытию, исправлению или удалению данных (подробности будут описаны ниже).

В соответствии с Законом о защите персональных данных Японии, “персональная информация” является самым широким понятием, а “персональные данные” и “владение персональными данными” имеют более узкие определения и к ним применяются дополнительные регуляции. Поскольку применяемые регуляции меняются в зависимости от каждого определения, необходимо уделять этому особое внимание. Давайте рассмотрим это на примере ниже.

Применение различных правил в зависимости от типа информации

Как показано на приведенной ниже диаграмме, ключевые положения Закона о защите персональных данных в Японии (Japanese Personal Information Protection Act) соответствуют различиям между «персональной информацией», «персональными данными» и «хранящимися персональными данными».

Цитата: Комиссия по защите персональных данных Японии (Japanese Personal Information Protection Commission), «Основы закона о защите персональных данных», страница 25

Ниже мы представляем обзор следующих вопросов:

• Определение и уведомление о целях использования персональной информации
• Меры безопасности персональных данных и управление подрядчиками
• Передача персональных данных третьим лицам и исключения
• Обработка запросов на раскрытие хранящихся персональных данных и другие подобные запросы

для дальнейшего рассмотрения.

Определение и уведомление о целях использования персональных данных в соответствии с японским законодательством

В соответствии с Законом о защите персональных данных Японии, при получении персональных данных необходимо максимально точно определить цели их использования (статья 17, пункт 1), и не допускается обработка персональных данных сверх необходимого для достижения этих целей (статья 18, пункт 1).

При изменении целей использования, такое изменение должно быть ограничено разумными и предсказуемыми рамками, связанными с первоначальными целями (статья 17, пункт 2).

Кроме того, определенные цели использования должны быть уведомлены лицу, предоставившему данные, или сделаны публичными (статья 21, пункт 1).

Хотя Закон о защите персональных данных Японии не указывает конкретный метод уведомления или публикации, обычно это делается в форме “Политики конфиденциальности” или “Политики защиты персональных данных”.

В руководстве Комиссии по защите персональных данных указано следующее:

Цели использования должны быть определены не абстрактно и обобщенно, а достаточно конкретно, чтобы лицо, предоставившее данные, могло разумно предположить, как и с какой целью его персональные данные будут использоваться в деятельности компании.

Комиссия по защите персональных данных, «Общие руководящие принципы[ja]», раздел 3-1-1

Также в этом руководстве приведены примеры, которые конкретно определяют цели использования.

То есть, необходимо точно определить, как и с какой целью персональные данные будут использоваться в бизнесе, чтобы это было понятно лицу, предоставившему данные.

Кроме того, при получении персональных данных непосредственно в письменной форме (включая электронные записи), необходимо заранее ясно указать цели использования лицу, предоставившему данные (статья 21, пункт 2).

Управление безопасностью персональных данных и контроль за исполнителями в Японии

Операторы, обрабатывающие персональные данные, должны принимать необходимые и соответствующие меры для предотвращения утечки, потери или повреждения персональных данных, а также для обеспечения их безопасного управления, как это предписано статьей 23 Японского закона о защите персональных данных.

Кроме того, меры по обеспечению безопасности хранящихся персональных данных должны быть доступны для ознакомления субъектом данных (включая случаи, когда ответ предоставляется без задержки по его запросу), как это указано в статье 32, пункт 1, подпункт 4, и в Постановлении о выполнении закона о защите персональных данных, статья 10, пункт 1.
Конкретные примеры мер безопасности можно найти в руководстве[ja].

10-1 Разработка основной политики

10-2 Установление правил обработки персональных данных

10-3 Организационные меры безопасности

10-4 Меры безопасности, связанные с персоналом

10-5 Физические меры безопасности

10-6 Технические меры безопасности

10-7 Понимание внешней среды

Источник: Комиссия по защите персональных данных, «Общие руководящие принципы[ja]» 10

Однако меры безопасности не требуют от всех операторов применения одинаковых стандартов и мер. Например, крупные IT-компании, которые обрабатывают персональные данные миллионов людей, и малые и средние предприятия, работающие с ограниченным объемом данных, будут иметь разные уровни требуемых мер. Меры безопасности должны учитывать множество факторов, таких как масштаб и характер бизнеса, природа и объем обрабатываемых персональных данных, а также ожидаемые риски, и должны быть адаптированы соответственно этим факторам.

Помимо вышеуказанного, операторы обязаны должным образом контролировать своих сотрудников и подрядчиков для обеспечения безопасности персональных данных, как это предписано статьями 24 и 25 Японского закона о защите персональных данных.

Передача персональных данных третьим лицам и исключения в Японии

При передаче персональных данных третьим лицам в Японии, как правило, необходимо получить согласие субъекта данных в соответствии со статьей 27, пункт 1 Закона о защите персональных данных.

В зависимости от конкретного случая, например, если условия предоставления данных третьим лицам четко описаны в условиях использования, договорных положениях, политике конфиденциальности и т.д., и согласие субъекта данных получено должным образом, можно считать, что согласие на передачу данных третьим лицам получено.

Однако существуют исключения, когда согласие субъекта данных на передачу его персональных данных третьим лицам не требуется по общественно значимым причинам, как указано в статье 27, пункт 1 каждого подпункта Закона о защите персональных данных.

Статья 27. Операторы, обрабатывающие персональные данные, не должны предоставлять персональные данные третьим лицам без предварительного согласия субъекта данных, за исключением следующих случаев:

1. Когда это предусмотрено законодательством.

2. Когда это необходимо для защиты жизни, тела или имущества человека и трудно получить согласие субъекта данных.

3. Когда это особенно необходимо для улучшения общественного здравоохранения или для продвижения здорового воспитания детей, и трудно получить согласие субъекта данных.

4. Когда это необходимо для сотрудничества с государственным органом, местным органом власти или лицами, действующими по их поручению, в выполнении дел, предусмотренных законом, и получение согласия субъекта данных может помешать выполнению этих дел.

5–7 (выдержки опущены)

Цитата: Статья 27 Закона о защите персональных данных

Далее мы рассмотрим случаи предоставления персональных данных третьим лицам, находящимся за границей.

В принципе, при предоставлении персональных данных третьим лицам, находящимся за границей (включая поручение и совместное использование), помимо вышеуказанных правил предоставления персональных данных третьим лицам, требуется согласие на предоставление данных «третьим лицам, находящимся за границей» (статья 28 Закона). Кроме того, перед получением согласия необходимо предоставить следующую информацию (пункты 1–3 статьи 17, параграф 2 Правил).

1. Название соответствующей страны.

2. Информация о системе защиты персональных данных в соответствующей стране, полученная адекватными и разумными способами.

3. Информация о мерах по защите персональных данных, предпринимаемых соответствующим третьим лицом.

Для подробного описания методов предоставления информации можно обратиться к Руководству по Закону о защите персональных данных (раздел о предоставлении данных третьим лицам за границей)[ja] 5-2, установленному Комиссией по защите персональных данных.

Однако существуют два исключения из вышеуказанных правил.

Если третье лицо, которому предоставляются данные, находится в стране, система защиты персональных данных которой признана Комиссией по защите персональных данных соответствующей уровню Японии (система соответствия стандартам, по состоянию на ноябрь 2023 года, это страны Европейского экономического пространства и Великобритания), то такое третье лицо не считается «иностранным». То есть, к нему не применяются правила трансграничной передачи данных, и оно обрабатывается так же, как если бы данные предоставлялись внутри страны.

Далее, если трансграничная передача данных осуществляется на основании системы соответствия стандартам, то есть если ① «принимаются необходимые меры для обеспечения непрерывного выполнения соответствующих мер» и ② «предоставляется информация о необходимых мерах по запросу субъекта данных», то получение согласия не требуется (пункты 1 и 3 статьи 28 Закона).

Вышеуказанный пункт ① определен в пункте 1 статьи 18 Правил.

Статья 18 Правил по защите персональных данных (Personal Information Protection Law Enforcement Regulations) Японии устанавливает меры, необходимые для обеспечения непрерывного выполнения соответствующих действий третьими лицами за пределами Японии, как это предусмотрено пунктом 3 статьи 28 (включая случаи, когда это применяется по аналогии в соответствии с пунктом 2 статьи 31). Эти меры включают в себя:

1. Регулярную проверку состояния выполнения соответствующих действий третьими лицами, а также наличие и содержание систем в соответствующей иностранной стране, которые могут повлиять на выполнение этих действий, с использованием подходящих и разумных методов.

2. Предпринятие необходимых и соответствующих мер в случае возникновения препятствий для выполнения соответствующих действий третьими лицами, а также прекращение передачи персональных данных (или связанной с ними информации в случаях, применяемых по аналогии с пунктом 2 статьи 31) этим третьим лицам, если обеспечение непрерывного выполнения соответствующих действий становится затруднительным.

Цитата: Статья 18, пункт 1 Правил по защите персональных данных

Согласно руководящим принципам, “регулярная проверка”, упомянутая в пункте 1, должна проводиться не реже одного раза в год или чаще.

Кроме того, предварительное уведомление Комиссии по защите персональных данных о наличии необходимой системы не требуется.

Подробности по вышеупомянутому пункту 2 изложены в пункте 3 статьи 18 Закона о защите персональных данных Японии.

3. Операторы, обрабатывающие персональные данные, при получении запроса в соответствии со статьей 28, пункт 3 Закона, должны без задержек предоставить субъекту данных информацию о следующих пунктах. Однако, если предоставление информации может серьезно помешать надлежащему выполнению их работы, они могут не предоставлять всю или часть информации.

1. Методы организации системы, предусмотренной пунктом 1 статьи 28 Закона, со стороны третьей стороны

2. Общие сведения о соответствующих мерах, принимаемых третьей стороной

3. Частота и методы проверки, предусмотренные пунктом 1, номер 1

4. Название соответствующей иностранной страны

5. Наличие и общие сведения о системе иностранной страны, которая может повлиять на выполнение соответствующих мер третьей стороной

6. Наличие и общие сведения о препятствиях для выполнения соответствующих мер третьей стороной

7. Общие сведения о мерах, принимаемых оператором обработки персональных данных в соответствии с пунктом 2, номер 1, в отношении препятствий, упомянутых в предыдущем пункте

Цитата: Правила выполнения Закона о защите персональных данных, статья 18, пункт 3

При осуществлении трансграничной передачи данных на основе системы соответствия стандартам, необходимо предоставлять информацию субъекту данных по его запросу после передачи.

Ответ на запросы о раскрытии личных данных в соответствии с законодательством Японии

Статья 33 Закона о защите личных данных Японии предусматривает право пользователя требовать от оператора, обрабатывающего личные данные, раскрытия хранящихся персональных данных, позволяющих идентифицировать пользователя.

Операторы, обрабатывающие личные данные, должны обеспечить доступность процедур и размера сборов за раскрытие данных для субъектов данных, включая предоставление ответов без задержек по запросу субъекта данных (согласно статье 32, пункт 1 Закона о защите личных данных).

Таким образом, операторы могут устанавливать конкретные процедуры для запросов на раскрытие, включая адрес для подачи запросов, форму запроса, методы подтверждения личности заявителя, размер и способ взимания сборов. Заявители должны следовать этим процедурам при подаче запроса на раскрытие.

Например, указание в политике конфиденциальности номера телефона, адреса электронной почты или почтового адреса оператора позволяет принимать запросы на раскрытие данных только по телефону, электронной почте или почтовой корреспонденции.

Пользователи также имеют право подавать запросы не только на раскрытие данных, но и на исправление, добавление или удаление данных (согласно статье 34 Закона о защите личных данных) и на приостановление использования или удаление данных (согласно статье 35 того же закона).

Заключение: По вопросам обработки персональных данных обращайтесь к специалистам

В данной статье мы рассмотрели основные аспекты Закона о защите персональных данных, которые важно знать. Помимо упомянутых в статье моментов, конкретные условия обработки данных могут отличаться в каждой компании, поэтому необходимо ссылаться на соответствующие законы и руководящие принципы, чтобы рассмотреть соответствующие меры.

Закон о защите персональных данных требует от предприятий, обрабатывающих персональные данные, их надлежащей обработки и принятия необходимых и соответствующих мер для обеспечения безопасности, и является важным законом, который не может быть игнорирован практически ни одной компанией.

Если у вас есть сомнения относительно обработки персональных данных или мер, которые должна предпринять ваша компания, рекомендуем проконсультироваться с адвокатом.

Связанные статьи: Основные моменты изменений в Законе о защите персональных данных в 6 году эры Рэйва (2024 год): что необходимо знать и какие меры предпринять[ja]

Ознакомьтесь с мерами, предпринимаемыми нашей юридической фирмой

Юридическая фирма “Монолит” специализируется на IT, в частности на вопросах, связанных с интернетом и правом. В последнее время общественное внимание все чаще обращается к вопросам защиты личных данных и приватности. Например, утечка персональных данных, хранящихся компанией, может нанести критический ущерб ее деятельности. Наша фирма обладает специализированными знаниями в области соответствия законодательству о защите персональных данных Японии. Подробности вы найдете в статье ниже.

Сферы деятельности юридической фирмы “Монолит”: Юридические услуги, связанные с законом о защите персональных данных Японии[ja]