Vad är nyckelpunkterna i den reviderade lagen om skydd av personuppgifter i Reiwa 6 (2024)? En förklaring av viktiga ändringar och åtgärder du bör känna till
I april 2024 (Reiwa 6) träder de reviderade genomförandebestämmelserna för den japanska lagen om skydd av personuppgifter i kraft. Denna ändring innebär en utvidgning av skyldigheten att rapportera till den japanska kommissionen för skydd av personuppgifter och skyldigheten att meddela den registrerade vid händelse av läckage och liknande incidenter.
Den viktigaste punkten i denna revision är att den tar itu med problem kring personuppgifter som har uppstått på senare tid, såsom webbskimming.
Det krävs dock specialiserad kunskap för att korrekt förstå och hantera dessa ändringar, och många kanske undrar vilka åtgärder deras företag bör vidta. I denna artikel förklarar vi de viktigaste punkterna i revisionen för 2024 (Reiwa 6) och vilka åtgärder som kan vidtas.
Översikt över ändringspunkter i den reviderade personuppgiftslagen under Reiwa 6 (2024)
De viktiga ändringarna i den reviderade personuppgiftslagen under Reiwa 6 (2024) innefattar utvidgningen av rapporterings- och notifikationsskyldigheter vid läckage, samt skyldigheten att vidta säkerhetsåtgärder, till att nu även omfatta viss “personlig information”.
I tidigare regleringar omfattades endast “personuppgifter” av skyldigheten att rapportera läckage, medan “personlig information” inte inkluderades.
Med denna revision har ändringarna specificerats i artikel 7, punkt 3 i genomförandebestämmelserna för den japanska personuppgiftslagen och i 「Personuppgiftslagens riktlinjer (Allmänna regler)」[ja].
Efter revisionen | Före revisionen | |
Skyldighet att rapportera läckage m.m. | Gäller (i vissa fall) | Gäller inte |
Skyldighet att vidta säkerhetsåtgärder | Gäller (i vissa fall) | Gäller inte |
Detaljerad information om de specifika regleringarna och ändringspunkterna kommer att förklaras mer ingående nedan.
Reglerade enheter enligt tidigare personuppgiftslag
För att förstå innehållet i den reviderade lagen är det avgörande att ha en korrekt förståelse av de regler som gällde före ändringen. Här förklarar vi definitionen och innehållet av de regler som var fastställda innan revisionen.
Skillnaden mellan personuppgifter och persondata
I lagen om skydd av personuppgifter skiljer man mellan “personuppgifter” och “persondata” som objekt för skydd.
“Personuppgifter” avser information om en levande individ och är information som kan identifiera en specifik person genom beskrivningar som innehåller namn, födelsedatum, etc. Detta definieras i artikel 2, paragraf 1, punkt 1 i lagen om skydd av personuppgifter.
Relaterad artikel: Reiwa 4 (2022) Ändringar i lagen om skydd av personuppgifter, inklusive införandet av ‘pseudonymiserad information’ för att främja användningen av data[ja]
Å andra sidan avser “persondata” personuppgifter som utgör en del av en personuppgiftsdatabas, vilket definieras i artikel 16, paragraf 1 i lagen om skydd av personuppgifter.
Till exempel, när man skapar en närvarolista för ett evenemang, kallas information som namn och adress som deltagarna har skickat in för “personuppgifter”. Och databasen som skapas genom att sammanställa varje deltagares personuppgifter i ett kalkylblad kallas en “personuppgiftsdatabas”. Varje bit av information som utgör denna databas betraktas som “persondata”.
I lagen om skydd av personuppgifter är det viktigt att förstå att det finns en stor skillnad i regleringen beroende på om det är “personuppgifter” eller “persondata” som skyddas.
Vad innebär skyldigheten att rapportera läckor?
Lagen om skydd av personuppgifter kräver att när en läcka av personuppgifter inträffar, måste den som hanterar personuppgifterna rapportera detta till den Japanska kommissionen för skydd av personuppgifter och meddela den berörda personen.
(Rapportering av läckor etc.)
Lagen om skydd av personuppgifter | e-Gov lagdatabas[ja]
Artikel 26: Den som hanterar personuppgifter ska, när det inträffar en situation som innebär en stor risk för att skada individens rättigheter och intressen, såsom läckage, förlust eller skadegörelse av personuppgifter eller andra situationer som påverkar säkerheten för personuppgifterna, enligt regler fastställda av den Japanska kommissionen för skydd av personuppgifter, rapportera detta till kommissionen. Detta gäller dock inte om den som hanterar personuppgifterna har fått i uppdrag att hantera all eller del av personuppgifterna från en annan personuppgiftsansvarig eller en offentlig myndighet och har meddelat den andra personuppgiftsansvarige eller offentliga myndigheten om situationen enligt regler fastställda av kommissionen.
2 I de fall som anges i föregående stycke, med undantag för de som har meddelat enligt undantaget i samma stycke, måste den som hanterar personuppgifterna meddela den berörda personen om situationen enligt regler fastställda av den Japanska kommissionen för skydd av personuppgifter. Detta gäller dock inte om det är svårt att meddela den berörda personen och åtgärder som är nödvändiga för att skydda den berörda personens rättigheter och intressen har vidtagits istället.
Skyldigheten att rapportera och meddela gäller inte i alla fall där en läcka inträffar. Den är begränsad till de fyra fallen som anges i artikel 7 i genomförandeförordningen till lagen om skydd av personuppgifter:
- Läckage av personuppgifter som innehåller känslig information (exempel: resultat av anställdas hälsokontroller)
- Läckage av personuppgifter som kan leda till ekonomisk skada genom obehörig användning (exempel: kreditkortsnummer)
- Läckage av personuppgifter som kan ha utförts i ett bedrägligt syfte
- Läckage som påverkar fler än 1000 personer
I denna ändring har innehållet i artikel 7.3 ändrats.
Vad är säkerhetskontrollåtgärder?
Lagen om skydd av personuppgifter ålägger personuppgiftsansvariga att vidta nödvändiga och lämpliga åtgärder för att förhindra läckage av persondata och för att säkerställa säkerhetshantering.
(Säkerhetskontrollåtgärder)
Lagen om skydd av personuppgifter | e-Gov lagtext sökning[ja]
Artikel 23: Personuppgiftsansvariga ska vidta nödvändiga och lämpliga åtgärder för att förhindra läckage, förlust eller skada på persondata och för andra åtgärder för att säkerställa säkerheten för persondata.
Exempel på konkreta åtgärder inkluderar kontroll av åtkomst, utbildning av anställda och etablering av regler.
Reglering före ändringen
Före ändringen var de enda subjekten som hade en skyldighet att rapportera läckor och vidta säkerhetsåtgärder, begränsade till “personuppgifter”. När det gällde “personlig information” fanns det ingen skyldighet för företag att bära sådana ansvar även om en läcka inträffade.
Men, det som ändrades denna gång är att skyldigheten att rapportera och notifiera samt att etablera säkerhetsåtgärder har utvidgats till att omfatta viss “personlig information”.
Syftet och målet med ändringarna i genomförandereglerna för lagen om skydd av personuppgifter
Den här ändringen kan sägas vara inriktad på åtgärder mot webbskimming. Webbskimming är en attackmetod där skadliga program installeras på e-handelssidor för att stjäla personlig information.
Mer specifikt finns det en metod där angriparen direkt hämtar information som användaren har fyllt i formulär, såsom lösenord och kreditkortsuppgifter, från inmatningssidan.
Vid webbskimming stjäls informationen som användaren har matat in direkt innan den integreras i e-handelsföretagets databas för personlig information eller liknande. I detta fall är det “personlig information” som stjäls innan den har blivit “persondata”.
Före ändringen var endast “persondata” föremål för rapporteringsskyldigheten vid läckage och liknande. Därför hade e-handelsföretag inte någon skyldighet att rapportera om det uppstod skador till följd av webbskimming.
Den här ändringen syftar till att inkludera information som läckt ut genom webbskimming som ett rapporteringsobjekt och utvidgar omfattningen av rapporteringsskyldigheten och säkerhetsåtgärderna till att även inkludera “personlig information”.
Innehållet i ändringarna av den japanska lagen om skydd av personuppgifter (2024)
Utvidgning av skyldigheten att rapportera läckor
Artikel 7.3 i genomförandebestämmelserna för den japanska lagen om skydd av personuppgifter har ändrats enligt följande.
Ändrad lag | Före ändringen |
Artikel 7, paragraf 26.1 i lagen ska tolkas som att de fall som personuppgiftskommissionens regler definierar som sannolikt att allvarligt skada en individs rättigheter och intressen inkluderar följande: Handlingar mot den personuppgiftsansvarige som utförs med ett olagligt syfte och som kan leda till, eller riskerar att leda till, läckage av persondata (inklusive personuppgifter som den personuppgiftsansvarige har förvärvat eller försöker förvärva och som är avsedda att behandlas som persondata). | Artikel 7, paragraf 26.1 i lagen ska tolkas som att de fall som personuppgiftskommissionens regler definierar som sannolikt att allvarligt skada en individs rättigheter och intressen inkluderar följande: Situationer där läckage av persondata har inträffat, eller riskerar att inträffa, på grund av handlingar som utförs med ett olagligt syfte. |
“Den personuppgiftsansvarige” inkluderar även underleverantörer och leverantörer av tjänster för hantering av personuppgifter.
Dessutom ska man objektivt bedöma om personuppgifter som den personuppgiftsansvarige avser att förvärva faller under denna kategori, med hänsyn till metoder för att förvärva personuppgifter (Riktlinjer Allmänna delen 3-5-3-1).
Således är utvidgningen av skyldigheten att rapportera och meddela läckor till att även omfatta “personuppgifter” i vissa fall en av de stora förändringarna i reformen från 2024.
Utvidgning av målet för säkerhetsåtgärder
I samband med ändringarna av reglerna för skyldigheten att rapportera läckor har även skrivningarna i riktlinjerna för den japanska lagen om skydd av personuppgifter Allmänna delen 3-4-2 ändrats.
De säkerhetsåtgärder som företag bör vidta inkluderar nu nödvändiga och lämpliga åtgärder för att förhindra läckage av personuppgifter (inklusive personuppgifter som den personuppgiftsansvarige har förvärvat eller försöker förvärva) som är avsedda att behandlas som persondata.
Målet för säkerhetsåtgärder har utvidgats till att inte bara omfatta “persondata” utan även “personuppgifter” i vissa fall.
Referens: Japanska personuppgiftskommissionen | (Gäller från 1 april 2024) Riktlinjer för den japanska lagen om skydd av personuppgifter (Allmänna delen)
Åtgärder som bör vidtas på grund av införandet av den reviderade japanska lagen om skydd av personuppgifter
De åtgärder som bör vidtas i samband med införandet av den reviderade japanska lagen om skydd av personuppgifter (2024) är följande två:
- Revidera sekretesspolicyn
- Revidera och sprida interna regler
Låt oss titta närmare på varje punkt.
Revidera sekretesspolicyn
Verksamhetsutövare som hanterar personuppgifter måste se till att säkerhetsåtgärder för hanterade personuppgifter är kända för den berörda personen. Detta inkluderar även att kunna svara snabbt på begäran från den berörda personen (Artikel 32.1.4 i den japanska lagen om skydd av personuppgifter).
Verksamhetsutövare som har angett säkerhetsåtgärder för hanterade personuppgifter i sin sekretesspolicy måste vara uppmärksamma. Det är nödvändigt att uppdatera sekretesspolicyn för att inkludera vissa personuppgifter som nya mål för säkerhetsåtgärder.
Revidera och sprida interna regler
Med ändringen har rapporterings- och anmälningsplikten utvidgats till att även omfatta vissa typer av personuppgiftsbrott. Det är nödvändigt att återspegla detta i interna regler och informera anställda.
De situationer där läckage av personuppgifter som nu omfattas av rapporterings- och anmälningsplikten kan inträffa är inte begränsade till webbskimming.
Till exempel, om en verksamhetsutövare som hanterar personuppgifter skickar ett svarskuvert med ändrad adress till en kund och personuppgifterna som fyllts i på enkäten inuti kuvertet hamnar i händerna på en tredje part. Om dessa personuppgifter var avsedda att behandlas som persondata, uppstår en situation där rapporterings- och anmälningsplikten gäller.
Eftersom hanteringen av vissa personuppgifter som tidigare inte omfattades av någon plikt nu förändras, är det nödvändigt att uppmana anställda att vara försiktiga.
Sammanfattning: Sök råd från experter för att hantera ändringar i lagen om skydd av personuppgifter
I ändringen av lagen om skydd av personuppgifter under Reiwa 6 (2024), har åtgärder mot webbskimming utökats för att inkludera rapporterings- och meddelandeskyldigheter vid läckor, samt utvidgade säkerhetsåtgärder. Tidigare var endast “persondata” inkluderat, men nu kan även “personuppgifter” omfattas i vissa fall.
Denna ändring kräver att åtgärder såsom uppdatering av integritetspolicy och interna regler tas.
Att hantera personuppgifter felaktigt kan leda till stora risker, såsom förlust av socialt förtroende. Det rekommenderas att konsultera en advokat när du hanterar dessa frågor.
Information om åtgärder från vår byrå
Monoliths juridiska byrå har omfattande erfarenhet inom IT, särskilt internet och juridik. På senare tid har läckage av personuppgifter blivit ett stort problem. Om personuppgifter läcker ut kan det i vissa fall ha en förödande effekt på företagsverksamheten. Vår byrå besitter expertkunskaper om förebyggande åtgärder och hantering av information som läckt ut. Mer detaljerad information finns i artikeln nedan.
Monoliths juridiska byrås expertisområden: Lagar relaterade till skydd av personuppgifter[ja]