IoT-tjänster och juridiska frågor kring användningen av insamlad data

På senare år har IoT-enheter, såsom smarta hushållsapparater, blivit alltmer vanliga i hemmen. De är otroligt bekväma, men eftersom de är uppkopplade mot internet, är de också utsatta för risker för informationsläckor. När man startar en IoT-verksamhet är det inte bara säkerheten för hushållsapparaterna som är viktig, utan även hanteringen av nätverkssäkerhet för att stå emot cyberattacker blir en viktig fråga.

Om vi ser till situationen i Japan, har problemet med läckage av personuppgifter blivit allvarligt. Tokyo Shoko Research har rapporterat att det under 2021 inträffade ett rekordantal incidenter med läckage eller förlust av personuppgifter hos börsnoterade företag, med 137 fall som påverkade cirka 5,74 miljoner personer.

I den här artikeln kommer vi att förklara de lagar och regler du behöver känna till för att säkert kunna använda och dra nytta av data som samlats in genom IoT-tjänster.

Lagstiftning kring IoT-affärer

IoT står för “Internet of Things”, vilket direkt översatt betyder “sakernas internet”. Det syftar på system och tjänster som gör vårt liv bekvämare genom att ansluta vardagliga föremål till internet för fjärrstyrning, automatisk igenkänning och kontrollfunktioner.

När det gäller hårdvaran i hushållsapparater finns det strikta regleringar eftersom de direkt kan påverka användarens fysiska hälsa.

På mjukvarusidan kräver lagar som reglerar kommunikationsnätverk, såsom den japanska Radio Law och Telecommunications Business Law, registrering och anmälan för att bedriva verksamhet.

Vi förklarar mer detaljerat om lagstiftningen kring IoT:s hårdvara och mjukvara i denna artikel, så vänligen se den för ytterligare information.

Relaterad artikel: Förklaring av lagstiftning som bör beaktas i IoT-affärer, både hårdvara och mjukvara[ja]

I IoT-affärer innebär den inneboende naturen av att ansluta traditionella enheter till internet och använda insamlad information att det inte bara är regleringar kring hårdvara och mjukvara som är viktiga. Hur den ackumulerade informationen hanteras blir också en viktig fråga att ta hänsyn till.

Juridiska frågeställningar kring användningen av data insamlad genom IoT

IoT-enheter innebär en risk att oavsiktligt samla in och använda användarnas livsdata.

Även om användarna har godkänt användningen av personlig information vid registrering, samlar IoT, på grund av sin natur, in beteendedata varje gång den används, vilket leder till följande problem:

• Skydd av personuppgifter
• Bevarande av privatlivets helgd
• Åtgärder mot cyberattacker

Här förklarar vi de juridiska frågor som är förknippade med användningen av IoT-enheter.

IoT och personuppgifter

All data som samlas in av IoT-enheter är inte automatiskt skyddade som personuppgifter. När användarregistrering och data om livsstil kopplas samman och gör det möjligt att identifiera en individ, blir de föremål för lagen om skydd av personuppgifter.

Därför har företag som erbjuder smarta hemtjänster och kopplar samman livsstilsdata med användarinformation skyldigheter enligt den japanska lagen om skydd av personuppgifter, artikel 2, punkt 5[ja], som inkluderar följande:

＜Skyldigheter enligt den japanska lagen om skydd av personuppgifter, artiklarna 19 till 26＞

• Att säkerställa datakorrekthet och raderingsskyldighet
• Skyldighet att vidta säkerhetsåtgärder
• Tillsynsskyldighet över anställda
• Tillsynsskyldighet över underleverantörer
• Begränsningar av tredjepartsutlämning och skyldighet att bevara uppgifter

När det gäller hantering av personuppgifter måste man specificera användningsändamålet så mycket som möjligt och meddela eller offentliggöra detta för den berörda personen. När det inte längre finns något behov av att använda personuppgifterna, måste de snabbt bearbetas. Dessutom måste man vidta noggranna åtgärder för att förhindra informationsläckor och se till att både anställda och underleverantörer följer dessa noggrant.

I grund och botten är överföring av insamlade personuppgifter till tredje part begränsad. Men ibland kan det vara nödvändigt att dela dem för att förbättra tjänster. I sådana fall måste man anonymisera informationen till en grad där de ursprungliga personuppgifterna inte kan återskapas.

Dessutom, i den reviderade lagen om skydd av personuppgifter som trädde i kraft i april 2022 (Reiwa 4), har nya bestämmelser införts som stärker individens rättigheter och ökar företagens ansvar, samt reglerar tredjepartsutlämning av uppgifter från utländska företag.

De fem perspektiv som den japanska personuppgiftskommissionen betonade i denna revidering är följande:

1. Skydd av individens rättigheter och intressen
2. Balansen mellan skydd och användning
3. Samklang med internationella trender
4. Anpassning till riskförändringar från utländska företag
5. Anpassning till AI- och big data-eran

Referens: Checklista för anpassning till den reviderade lagen om skydd av personuppgifter[ja]

IoT och rätten till privatliv

Även om de insamlade livsdata inte klassificeras som personuppgifter, kan informationen om en persons levnadsvanor leda till insikter om deras beteenden, vilket kräver noggrann hantering. Till exempel kan information om när el och gas används, om den läcker ut, missbrukas för brott som inbrott.

Å andra sidan, för att förbättra kvaliteten på smarta hemtjänster, är det nödvändigt att förstå och använda information om en persons beteenden. För att skydda privatlivet samtidigt som man använder persondata för att förbättra tjänsterna, krävs det att man är uppmärksam på privatlivet och även i fall där informationen inte klassificeras som personuppgifter, bör man hantera det i enlighet med den japanska lagen om skydd av personuppgifter (Japanese Personal Information Protection Law).

IoT och cybersäkerhet

IoT-affärer bygger på insamling, hantering och användning av information som kan beröra personuppgifter och rättigheter till privatliv, vilket är nödvändigt för deras etablering och framsteg. Eftersom informationen samlas in och hanteras via internet, är cybersäkerhetsåtgärder för enheter som ansluts till nätverket avgörande.

Nedan förklarar vi vilka cybersäkerhetsåtgärder som bör vidtas i förväg och vilket ansvar som bör tas vid en faktisk cyberattack.

Ansvar för tillverkare av enheter: Lagen om produktansvar

Om en IoT-enhet utsätts för en cyberattack kan tillverkaren av enheten bli föremål för skadeståndskrav enligt den japanska lagen om produktansvar (Product Liability Act).

Ansvar enligt lagen om produktansvar uppstår enligt följande kriterier:

1. Det fanns en defekt i produkten
2. Defekten ledde till skada på annan persons liv, kropp eller egendom
3. Skada har uppstått

Med ‘defekt’ i punkt 1 avses ett tillstånd där produkten saknar den säkerhet som normalt kan förväntas, vilket kan delas in i tillverkningsfel, designfel och brister i instruktioner eller varningar.

Om en tillverkare faktiskt blir ansvarig vid en cyberattack beror på följande omständigheter:

• Om produkten uppfyllde den tekniska standard som förväntades vid tidpunkten för leverans
• Om den var i enlighet med de senaste offentliggjorda riktlinjerna eller frivilliga standarder

Tillverkaren kan undvika ansvar om de kan bevisa att defekten inte kunde ha upptäckts vid tidpunkten för leverans. Dock måste de bevisa att defekten inte kunde ha identifierats även med den högsta tekniska standarden vid den tiden, vilket gör det osannolikt att ansvarsfrihet beviljas.

Nätverksadministratörens ansvar: Civilrätt

Om ett nätverk utsätts för en cyberattack och det leder till informationsläckage, kan nätverksadministratören bli föremål för skadeståndskrav baserat på civilrätten, inte på lagen om produktansvar, på grund av följande orsaker:

1. Brott mot kontraktet mellan nätverksadministratören och användaren
2. Nätverksadministratörens underlåtenhet att vidta säkerhetsåtgärder, vilket leder till avtalsbrott
3. Nätverksadministratörens oaktsamhet som resulterar i ansvar för olaglig handling (Civilrätten artikel 709)

I samtliga fall blir frågan om nätverksadministratören har varit oaktsam genom att försumma nödvändiga säkerhetsåtgärder en tvistepunkt.

Med “nödvändiga säkerhetsåtgärder” avses inte bara åtgärder som överensstämmer med standarden vid kontraktstidpunkten, utan även åtgärder som följer riktlinjer som är offentligt tillgängliga vid tidpunkten för cyberattacken, vilket har fastställts i rättsfall (Tokyo District Court, Heisei 26 (2014).1.23).

Därför måste nätverksadministratören kontinuerligt hålla sig uppdaterad om viktiga riktlinjer även efter leverans och vid behov uppdatera mjukvaran.

Aktuella informationssäkerhetsriktlinjer:

• IoT Security Guidelines ver 1.0[ja] | Japanska ministeriet för ekonomi, handel och industri
• Allmänna ramar för säkerhet i IoT-system[ja] | Japanska NISC
• Handbok för säkerhetsdesign i IoT-utveckling[ja] | Japanska IPA

Relaterad artikel: Skador från cyberattacker. Vad är systemleverantörens ansvar för skadestånd? Exempel på kontraktsformuleringar förklaras[ja]

Sammanfattning: IoT-affärer kräver specialiserad juridisk förståelse

IoT-affärer karaktäriseras av att de samlar och använder information relaterad till användares personuppgifter och privatliv via internet för att utvecklas.

Därför måste företagare inte bara ta ansvar för produktansvar som hushållsapparater utan också vara uppmärksamma på uppdateringar av lagar om skydd av personuppgifter och informationssäkerhetsriktlinjer som hanterar personuppgifter.

Om det uppstår en produktolycka kan det inte bara påverka användarens fysiska hälsa utan även leda till att skadan sprids till ett obestämt antal personer genom informationsläckor.

När du startar en IoT-verksamhet är det viktigt att konsultera en advokat med bred expertkunskap, från produktansvarslagstiftning till lagar om skydd av personuppgifter och de senaste informationssäkerhetsriktlinjerna.

Information om åtgärder från vår byrå

Monoliths juristbyrå har en rik erfarenhet inom IT, särskilt när det gäller internet och juridik. På senare år har IoT-affärer fått ökad uppmärksamhet och behovet av juridisk granskning har blivit allt större. Vår byrå erbjuder lösningar relaterade till IoT-affärer.

Monoliths juristbyrås expertisområden: Juridik för IT och startups[ja]