Ändringar i den japanska lagen om skydd av personuppgifter (2022) under Reiwa 4 (2022): Främjande av dataanvändning genom nya tillägg som 'Pseudonymiserad information
Lagstiftningen om hantering av personuppgifter ändras ofta och anpassas efter sin tid. Företag som hanterar personuppgifter måste snabbt fånga upp dessa ändringspunkter och organisera sina interna system.
Förstärkningen av individens rättigheter, ändringar relaterade till tredjepartsleveranser inklusive utomlands, införandet av “pseudonymiserad information” och “personrelaterad information”, det finns många punkter som ändras i ändringen av den japanska lagen om skydd av personuppgifter (Japanese Personal Information Protection Act) 2022. Företag måste förstå vilka ändringar som har gjorts och vilka åtgärder de bör vidta.
Därför kommer vi att förklara den nya ändringen av “Japanese Personal Information Protection Act” som infördes den 1 april 2022 (Reiwa 4) och kontrollpunkterna för företag som hanterar personuppgifter i deras praktiska arbete.
Vad är personuppgiftslagen?
“Personuppgiftslagen”, vars officiella namn är “Lagen om skydd av personuppgifter” (Japanska: 個人情報の保護に関する法律), är en lag som syftar till att balansera nyttan med personuppgifter och skyddet av individens rättigheter och intressen. Den reglerar korrekt hantering av personuppgifter (insamling, användning, lagring, förvaltning, tillhandahållande, offentliggörande, upphörande, raderingsmetoder).
Under tillsyn av “Personuppgiftsskyddskommittén” (Japanska: 個人情報保護委員会), fastställer den skyldigheter som alla administrativa organ och privata företag som hanterar personuppgiftsdatabaser och liknande måste följa, samt straffbestämmelser för överträdelser.
Historiken bakom ändringarna i den japanska personuppgiftslagen
Den japanska personuppgiftslagen (Japanska: 個人情報保護法) antogs den 23 maj 2003 (Heisei 15) (Lag nr 57, 30 maj 2003) och alla bestämmelser utom kapitel 4 till 6, som direkt berör allmänna företag och innehåller straffbestämmelser, trädde i kraft omedelbart. Lagen trädde i kraft i sin helhet den 1 april 2005 (Heisei 17).
I ändringen 2015 (Heisei 27) infördes en bestämmelse om att lagen ska ses över vart tredje år, i ljuset av samhällets digitalisering och behovet av att balansera “skydd av personuppgifter” och “användning av persondata”, samt att harmonisera med internationella system.
I ändringen som trädde i kraft i maj 2017 (Heisei 29) infördes nya kategorier av personuppgifter, såsom “personidentifieringskoder”, “känslig personinformation” och “anonymiserad information”. Dessutom infördes nya system för spårbarhet (säkerställande av spårbarhet), skyldighet att sträva efter att radera personuppgifter, begränsningar för överföring av uppgifter till tredje part i utlandet, och inrättandet av en personuppgiftsskyddskommitté. Tillsynen övergick från ministeriet till den centraliserade personuppgiftsskyddskommittén.
Och den 1 april 2022 (Reiwa 4) trädde den ändrade japanska personuppgiftslagen i kraft.
Denna ändring offentliggjordes den 12 juni 2020 (Reiwa 2) och är den största ändringen av “personuppgiftsskyddssystemet” med syfte att integrera och konsolidera de tidigare tre lagarna om personuppgiftsskydd (Personuppgiftslagen, Lagen om skydd av personuppgifter i offentlig förvaltning, Lagen om skydd av personuppgifter i oberoende administrativa organ).
Utöver att harmonisera definitionen av personuppgifter mellan offentlig och privat sektor, infördes olika ändringar i den nya lagen för att möta behoven av att hantera den globala AI- och Big Data-eran och för att stärka skyddet av individens rättigheter och intressen.
Specifika ändringar inkluderar införandet av “pseudonymiserad information” och “personrelaterad information” som nya kategorier av personuppgifter, och stärkta regler och strängare straff för hantering av personuppgifter, inklusive de som hålls utomlands. Vidare infördes en skyldighet att rapportera till personuppgiftsskyddskommittén och att meddela den berörda individen vid läckage (läckage, förlust, skada).
Detta innebär att utländska företag som hanterar personuppgifter relaterade till individer i Japan nu också är föremål för administrativa rapporteringskrav och order, och att straffbestämmelserna också tillämpas på dem. Straffbestämmelserna beskrivs mer detaljerat i denna artikel.
Relaterad artikel: Förklaring av ‘straff’ i den ändrade japanska personuppgiftslagen 2022 (Reiwa 4)[ja]
Den 1 april 2023 (Reiwa 5) kommer en ändrad lag att träda i kraft som centraliserar tillsynen av “personuppgiftsskyddskommittén” för att rätta till ojämlikheter och inkonsekvenser i skyddsnivån på grund av skillnader i bestämmelser och tillämpning av personuppgiftsskyddsstadgor för varje lokal offentlig enhet, lagliga regler inom medicinområdet och undantagsbestämmelser inom akademiska områden.
Sex punkter i ändringen av den japanska personuppgiftslagen (Reiwa 4 år, 2022)
Den japanska personuppgiftslagen, som ändrades och infördes under Reiwa 2 år (2020), syftar till att skapa ett system där tekniska innovationer kring personlig information och information relaterad till individer kan spridas på både ekonomisk tillväxt och skydd av individens rättigheter och intressen, med hänsyn till förändringar i sociala och ekonomiska förhållanden. Detta görs utifrån följande fem perspektiv:
- Skydd av individens rättigheter och intressen
- Förstärkning av skydd och användning genom teknisk innovation
- Internationell systemharmonisering och samarbete
- Att hantera risker i samband med ökad gränsöverskridande dataflöde
- Anpassning till AI- och Big Data-eran
De sex punkterna i ändringen av den japanska personuppgiftslagen (Reiwa 4 år, 2022) är följande:
- Utvidgning av individens rätt att begära
- Tillägg av företagens skyldigheter
- Främjande av företagens självständiga initiativ
- Främjande av dataanvändning
- Förstärkning av straff
- Utvidgning av tillämpningsområdet utomlands
För att anpassa sig till den ändrade japanska personuppgiftslagen, som trädde i kraft den 1 april 2022 (Reiwa 4 år), behöver företag som hanterar personuppgifter granska och ändra sina system för hantering av personuppgifter, såsom deras integritetspolicy, interna regler, kontraktsinnehåll (användarvillkor, etc.). Det är rekommenderat att man refererar till den japanska personuppgiftsskyddskommitténs (PPC) löpande uppdaterade “Guide till personuppgiftslagen” och träningsmaterial för att granska företagets system för hantering av personuppgifter.
För mer detaljerad information om de tillagda företagens skyldigheter i denna ändring, se följande artikel.
Relaterad artikel: Förklaring av viktiga punkter i ‘Företagens skyldigheter’ i ändringen av den japanska personuppgiftslagen (Reiwa 4 år, 2022)[ja]
Individens rättigheter angående personuppgifter
Här kommer vi att förklara de rättigheter som har utökats i samband med denna ändring angående personuppgifter, samt vilken typ av åtgärder som kommer att krävas i praktiken.
Lättnader i kraven för begäran om upphörande av användning, radering och upphörande av tredjepartsleverans
Tidigare var det endast möjligt att begära att personuppgifter skulle upphöra att användas, raderas eller att tredjepartsleverans skulle upphöra i fall av otillbörlig användning eller otillbörlig förvärv. Men med den reviderade lagen är det nu möjligt att göra dessa begäranden även när det finns risk för att individens rättigheter eller legitima intressen skadas. Dessutom har det blivit möjligt att göra dessa begäranden även när det inte längre finns något behov av att använda personuppgifterna.
Därför förväntas antalet sådana begäranden till företag som hanterar personuppgifter öka efter ändringen. På företagssidan kommer det att vara nödvändigt att säkra resurser för att hantera dessa begäranden och att omorganisera manualer och liknande.
Dessutom kommer det att vara nödvändigt att ha ett system på plats för att kontrollera syftet med användningen av varje individuell datauppsättning för att avgöra om det fortfarande finns ett behov av att använda den eller inte.
Utvidgning av begäran om utlämnande från den registrerade
Omfattningen av “begäran om utlämnande av personuppgifter som innehas” från den registrerade har utvidgats, och det är nu möjligt att begära utlämnande även av tredjepartsleveransregister relaterade till överföring av personuppgifter av personuppgiftsansvariga.
Dessutom, tidigare var utlämnande endast möjligt genom skriftlig leverans, men nu kan den registrerade välja att få informationen utlämnad på det sätt de föredrar (t.ex. genom leverans av elektroniska register). Detta förväntas leda till en ökning av antalet online-begäranden om utlämnande till personuppgiftsansvariga. På företagssidan krävs tekniska och organisatoriska åtgärder för att kunna tillhandahålla information genom elektroniska register.
Personuppgiftsansvariga måste, om den registrerade begär utlämnande genom att ange hur de vill att deras personuppgifter ska levereras, utlämna informationen på det sätt som den registrerade har begärt, förutom i fall där det är svårt att göra det på det angivna sättet.
Personuppgiftsansvariga kan fastställa formatet för elektroniska registerfiler (t.ex. PDF-format, Word-format) och metoden för att tillhandahålla elektroniska register (t.ex. genom att spara elektroniska register på ett lagringsmedium och skicka det med post, bifoga elektroniska register till ett e-postmeddelande och skicka det, eller låta den registrerade ladda ner elektroniska register från en webbplats). Om det är svårt att tillhandahålla informationen på det sätt som den registrerade har begärt, räcker det att göra det på ett sätt som är möjligt. Dock anses det vara önskvärt att tillmötesgå den registrerades önskemål så mycket som möjligt för att förbättra deras bekvämlighet.
Utvidgning av omfånget för personuppgifter som omfattas av offentliggörande och liknande
Tidigare var det så att personuppgifter som skulle raderas inom sex månader inte inkluderades i “bevarade personuppgifter” (japanska: 保有個人データ). Men enligt den reviderade lagen är nu dessa uppgifter inkluderade i “bevarade personuppgifter”, oavsett lagringsperiod.
Därför måste företag som hanterar personuppgifter, som tidigare sorterade ut kortvarigt lagrade uppgifter från begäran om offentliggörande, nu revidera sin hantering.
Förstärkning av opt-out-reglering: Tillägg av meddelande-, offentliggörande- och rapporteringspunkter
Följande punkter har lagts till i de ärenden som ska meddelas till den berörda personen, offentliggöras och rapporteras till den japanska personuppgiftsskyddskommittén (Japanese Personal Information Protection Commission).
- Namn etc. på den personuppgiftsansvarige som tillhandahåller information till tredje part
- Metoden för att erhålla personuppgifter som tillhandahålls till tredje part
Om du använder “opt-out-metoden” var det inga problem om du förklarade för personen i förväg att “personuppgifter kommer att tillhandahållas till tredje part” och om personen önskar det, “stoppa tillhandahållandet till tredje part”.
Med denna lagändring, om du försöker tillhandahålla personuppgifter till tredje part med “opt-out-metoden”, måste du nu rapportera till den japanska personuppgiftsskyddskommittén i förväg. Dessutom, om du stoppar opt-out-tillhandahållandet, är det nu obligatoriskt att rapportera denna ändring.
Därför, om du tillhandahåller till tredje part med “opt-out-metoden”, kan det vara nödvändigt att ändra din sekretesspolicy som utför meddelanden och offentliggöranden för detta ändamål.
Förstärkning av opt-out-regler: Förbud mot dubbel opt-out
Personuppgifter som inte omfattas av “opt-out-metoden” inkluderar nu, förutom “känslig personlig information”, även “otillbörligt erhållna personuppgifter” inom regleringens räckvidd. Dessutom har en ny bestämmelse införts som förbjuder dubbel opt-out, vilket innebär att personuppgifter som erhållits genom “opt-out-metoden” inte får tillhandahållas igen genom samma metod.
Därför måste företag som hanterar personuppgifter verifiera hur de har erhållit personuppgifter som de tillhandahåller till tredje part genom “opt-out-metoden”, och vidta åtgärder för att följa den reviderade lagen.
Utvidgad användning av data genom ändringar i den japanska lagen om skydd av personuppgifter
Införande av pseudonymiserad information
Till exempel kan man tänka sig fall där personuppgifter bearbetas till “anonymiserad information” eller “pseudonymiserad information” för statistiska ändamål etc.
Som tidigare nämnt är “anonymiserad information” persondata som har bearbetats så att det inte går att identifiera en specifik individ, även om man jämför med annan information. Följande regler gällde för anonymiserad information:
- Inget behov av samtycke från den berörda personen för att dela med tredje part
- Förbud mot identifieringsåtgärder
- När anonymiserad information skapas, offentliggörs de personuppgifter som ingår i den anonymiserade informationen
Å andra sidan är “pseudonymiserad information”, som infördes i denna ändring, persondata som har bearbetats så att det är möjligt att identifiera en individ genom att jämföra med annan information. Följande regler har fastställts för pseudonymiserad information:
- Inga begränsningar för ändring av användningsändamål, men det ändrade ändamålet måste offentliggöras vid ändring
- Förbud mot identifieringsåtgärder och kontakt med den berörda personen etc.
- Ingen skyldighet att svara på begäran om avslöjande eller upphörande av användning från den berörda personen
- Ingen skyldighet att rapportera eller meddela vid läckage
- Förbud mot att dela med tredje part
Det är dock möjligt att dela “pseudonymiserad information” om mottagaren är en part som har delegerats, övertagit verksamheten eller delar användningen (t.ex. ett gruppföretag eller gemensam forskning).
För företag som hanterar personuppgifter och som använder “pseudonymiserad information” för bearbetning etc., kan det bli nödvändigt att ändra sekretesspolicyn i samband med specificering och offentliggörande av användningsändamål och delning med tredje part.
Reglering av personrelaterad information som blir personuppgifter hos mottagaren
Även om det är “personrelaterad information” hos leverantören, om det är “förväntat” att det kommer att erhållas som “personuppgifter” hos mottagaren, måste mottagaren bekräfta med leverantören att samtycke har erhållits från den berörda personen.
Leverantörer av så kallade DMP (Data Management Platform) eller liknande tjänster är föremål för reglering liknande den för tredjepartsöverföring av “personuppgifter”.
Exempel: När en anonym postare stäms för ärekränkning, och webbplatsadministratören som har IP-adressen tillhandahåller information till internetkommunikationsleverantörer (såsom NTT och mobiltelefonföretag) genom en begäran om avslöjande av sändarinformation.
Bestämmelser om förstärkning av gränsöverskridande reglering och extraterritoriell tillämpning
När personuppgifter tillhandahålls till en tredje part i utlandet, krävdes det före ändringen att “samtycke från den berörda personen” och att mottagaren var en “operatör som har etablerat ett system som överensstämmer med standarderna”, samt att det var ett “land med samma nivå som Japan”, såsom EU och Storbritannien.
I den ändrade lagen har ytterligare krav lagts till för de två första punkterna. Specifikt har det blivit obligatoriskt att avslöja följande information när man erhåller “samtycke från den berörda personen”.
- Namnet på landet där mottagaren är belägen
- Systemet för skydd av personuppgifter i det berörda utländska landet
- Åtgärder som mottagaren vidtar för att skydda personuppgifter
- Annan information som kan vara till nytta för den berörda personen
Det har också blivit obligatoriskt för den som överför data att vidta “nödvändiga åtgärder för att skydda personuppgifter” och att tillhandahålla denna information på begäran av den berörda personen när det gäller att bekräfta att mottagaren är en “operatör som har etablerat ett system som överensstämmer med standarderna”.
De nödvändiga åtgärder som överföraren ska vidta inkluderar specifikt “hanteringssystemet på överföringsplatsen” och “åtgärder vid risk för olämplig hantering på överföringsplatsen”.
Det finns unika system för skydd av personuppgifter i utländska länder, inklusive kända EU:s dataskyddsregler (GDPR), Storbritanniens och APEC:s CBPR-system, och det kan vara nödvändigt att förstå och hantera dem i förväg beroende på affärssituationen.
Om det inte finns några skyldigheter eller rättigheter för operatörer som överensstämmer med “OECD:s (Organisationen för ekonomiskt samarbete och utveckling) sekretessriktlinjer för 8 principer”, som kan vara en indikator för “systemet för skydd av personuppgifter”, måste denna information tillhandahållas till den berörda personen. Detta beror på att det visar en väsentlig skillnad från den japanska “lagen om skydd av personuppgifter”.
Det finns också länder utomlands som har strängare system för skydd av personuppgifter än Japan, så det är viktigt att undersöka och förstå dem. För mer information, se informationen om internationella relationer från den japanska “Personuppgiftsskyddskommissionen”.
I den ändrade lagen kan den japanska “Personuppgiftsskyddskommissionen” nu säkerställa rapportinsamling, order och inspektioner genom påföljder även mot utländska operatörer, och lika villkor (jämställdhet) med inhemska operatörer har säkerställts.
För att effektivt utöva sin auktoritet mot operatörer både inom och utanför landet och säkerställa korrekta förfaranden, har förfaranden för leverans (konsulär leverans, offentlig leverans, etc.) specificerats. På grund av relationen till utländsk suveränitet kan offentliga myndigheter inte utöva sin makt inom ett annat lands territorium utan samtycke från det landet, så det är politiken att samarbeta med utländska myndigheter vid behov (det finns inget krav på att utse en representant som i GDPR).
Sammanfattning: Rådfråga en advokat för åtgärder mot ändringar i den japanska lagen om skydd av personuppgifter
Vi har nu gått igenom de viktigaste punkterna i ändringarna av den japanska lagen om skydd av personuppgifter (Japanska personuppgiftsskyddslagen) under Reiwa 4 (2022) och de åtgärder som företag behöver vidta i praktiken. Utöver de ändringspunkter vi har tagit upp här finns det många andra saker som företag som hanterar personuppgifter behöver ta itu med.
Globalt sett skärps lagstiftningen kring användningen av personuppgifter. Företag som tillhandahåller tjänster på internet bör särskilt beakta att deras webbplatser kan nås från hela världen och att de därför behöver anpassa sig till dessa regler.
Företag behöver inte bara vara uppmärksamma på ändringarna i den japanska lagen om skydd av personuppgifter, utan även på globala trender, och bör granska sina egna system för hantering av personuppgifter. Om du har problem med att anpassa dig till ändringarna i den japanska lagen om skydd av personuppgifter rekommenderar vi att du rådfrågar en advokat.
Information om åtgärder från vår byrå
Monolith Advokatbyrå är en juridisk byrå med hög expertis inom IT, särskilt internet och lag. På senare tid har läckage av personuppgifter blivit ett stort problem. Om personuppgifter skulle läcka ut, kan det i vissa fall ha en dödlig inverkan på företagsverksamheten. Vi har expertkunskap om förebyggande av informationsläckage och åtgärder för att hantera det. Detaljer finns i artikeln nedan.
Monolith Advokatbyrås områden: Juridiska frågor relaterade till den japanska lagen om skydd av personuppgifter[ja]