Які ключові моменти змін у Законі про захист персональних даних у Рейва 6 році (2024 році)? Огляд важливих змін та стратегій реагування, які потрібно знати

У квітні 2024 року (Рейва 6) набудуть чинності змінені правила виконання Закону про захист персональних даних Японії. У цих змінах розширюється коло обов’язків щодо звітування до Комісії з захисту персональних даних та повідомлення суб’єктів даних у випадку витоку інформації.

Основна суть цих змін полягає у відповіді на проблеми, пов’язані з персональними даними в останні роки, такі як веб-скімінг.

Проте, для точного розуміння змін і адекватної реакції на них потрібні спеціалізовані знання, і багато хто може не знати, які саме дії потрібно вжити. У цій статті ми пояснимо ключові моменти змін 2024 року та можливі шляхи вирішення.

Огляд змін у Законі про захист персональних даних Рейва 6 (2024) року

Зміни у Законі про захист персональних даних Рейва 6 (2024) року, на які варто звернути увагу, полягають у розширенні обов’язків щодо повідомлення та звітування у випадку витоку інформації, а також обов’язків щодо вжиття заходів безпеки до деяких “персональних даних”.

У попередній редакції регулювання, об’єктом зобов’язань щодо повідомлення у випадку витоку були лише “персональні дані”, а “персональна інформація” не включалася.

Зараз, зі змінами, внесеними до статті 7, пункт 3 Правил виконання Закону про захист персональних даних та 「Японські настанови до Закону про захист персональних даних (Загальна частина)」[ja], внесено зміни.

Детальніше про конкретний зміст регулювання та зміни буде розказано нижче.

Об’єкти регулювання в Законі про захист персональних даних до змін

Для розуміння змісту зміненого закону необхідно мати точне уявлення про визначення та зміст регулювання, що існувало до внесення змін. Тут ми розглянемо визначення та зміст регулювання, які були встановлені до змін.

Різниця між персональною інформацією та персональними даними

У Законі про захист персональної інформації розглядаються окремо «персональна інформація» та «персональні дані» як об’єкти захисту.

«Персональна інформація» – це інформація, що стосується живої особи, яка може бути ідентифікована за допомогою інформації, що міститься в ній, такої як ім’я або дата народження. Це визначено в статті 2, пункт 1, підпункт 1 Закону про захист персональної інформації.

Пов’язана стаття: Закон про захист персональної інформації 2022 року (Рейва 4 (2022)) зміни, включаючи нове введення інформації, обробленої для анонімності, для сприяння використанню даних[ja]

З іншого боку, «персональні дані» відносяться до персональної інформації, яка складає бази даних персональної інформації тощо, як визначено в статті 16, пункт 1 Закону про захист персональної інформації.

Наприклад, при створенні списку учасників події, інформація, надіслана заявником, така як ім’я та адреса, вважається «персональною інформацією». А база даних, створена шляхом збору персональної інформації кожного заявника в електронну таблицю тощо, є «базою даних персональної інформації». Інформація, що складає цю базу даних, є «персональними даними».

У Законі про захист персональної інформації важливо розуміти, що залежно від того, чи є об’єкт захисту «персональною інформацією» чи «персональними даними», змінюється зміст регулювання.

Обов’язки щодо повідомлення про витік інформації

Закон про захист персональних даних зобов’язує операторів персональних даних повідомляти Комісію з захисту персональних даних та особу, чиї дані були витрачені, у випадку витоку персональних даних.

(Повідомлення про витік інформації)
Стаття 26. Оператори персональних даних, у випадку витоку, втрати, пошкодження або інших ситуацій, що стосуються забезпечення безпеки персональних даних та можуть серйозно зашкодити правам та інтересам осіб, визначених правилами Комісії з захисту персональних даних, повинні повідомити про такі ситуації Комісію з захисту персональних даних відповідно до встановлених правил. Однак, якщо оператор персональних даних отримав доручення обробляти персональні дані від іншого оператора персональних даних або від державного органу, і повідомив про ситуацію цьому оператору або державному органу відповідно до правил Комісії з захисту персональних даних, то він звільняється від цього обов’язку.
2. У випадках, передбачених попереднім пунктом, оператори персональних даних (крім тих, хто повідомив про ситуацію відповідно до виключення в попередньому пункті) повинні повідомити особу про ситуацію відповідно до правил Комісії з захисту персональних даних. Однак, якщо повідомлення особі є складним, але були вжиті необхідні заходи для захисту прав та інтересів особи, то цей обов’язок не застосовується.

Закон про захист персональних даних | e-Gov пошук законодавства[ja]

Обов’язок повідомлення не виникає у всіх випадках витоку інформації. Він обмежений чотирма випадками, визначеними в статті 7 правил виконання Закону про захист персональних даних:

1. Витік персональних даних, що містять інформацію, яка потребує особливої уваги (наприклад, результати медичного огляду працівників).
2. Витік персональних даних, що може призвести до фінансових збитків через неправомірне використання (наприклад, номери кредитних карток).
3. Витік персональних даних, що міг бути здійснений з неправомірною метою.
4. Витік, що стосується більше ніж 1000 осіб.

У цій редакції змінено зміст пункту 3 статті 7.

Що таке заходи безпеки

Закон про захист персональних даних зобов’язує операторів персональних даних вживати необхідні та відповідні заходи для запобігання витоку даних та забезпечення їх безпеки.

(Заходи безпеки)
Стаття 23. Оператори персональних даних повинні вживати необхідні та відповідні заходи для запобігання витоку, втрати або пошкодження персональних даних та для забезпечення інших аспектів безпеки персональних даних.

Закон про захист персональних даних | e-Gov пошук законодавства[ja]

Конкретні приклади включають контроль доступу, навчання співробітників та розробку правил.

Об’єкти регулювання до внесення змін

До внесення змін обов’язки щодо звітування у випадку витоку інформації та вжиття заходів безпеки були покладені лише на «особисті дані». Щодо «персональної інформації», навіть у разі її витоку, суб’єкти господарювання не несли таких обов’язків.

Однак, цими змінами обов’язки щодо звітування та встановлення заходів безпеки були розширені на деякі категорії «персональної інформації».

Зміст і мета змін до Правил застосування Закону про захист персональних даних

Ці зміни можна вважати зосередженими на заходах проти веб-скімінгу. Веб-скімінг — це метод атаки, що полягає у встановленні шкідливих програм на сайтах електронної комерції з метою крадіжки персональних даних.

Конкретно, існує метод, за яким паролі та інформація про кредитні картки користувачів, введені у форми на сторінках, можуть бути безпосередньо отримані з цих сторінок.

При веб-скімінгу характерно, що інформація, введена користувачами, крадеться безпосередньо до того, як вона буде інтегрована до бази даних персональних даних або інших подібних баз даних операторів сайтів електронної комерції. У цьому випадку крадуться “персональні інформації” до того, як вони стають “персональними даними”.

До змін, обов’язок повідомлення про витік інформації стосувався лише “персональних даних”. Тому, навіть якщо відбувалася крадіжка через веб-скімінг, оператори сайтів електронної комерції не мали обов’язку повідомляти про це.

Метою цих змін є включення витоків інформації через веб-скімінг до об’єктів повідомлення, а також розширення об’єктів повідомлення про витік і заходів безпеки до “персональної інформації”.

Зміст змін до Правил застосування Закону про захист персональних даних у 2023 році (Рейва 6)

Розширення об’єктів зобов’язань щодо повідомлення про витоки

Пункт 3 статті 7 Правил застосування Закону про захист персональних даних було змінено наступним чином.

Під «оператором персональних даних» розуміються також підрядники та надавачі послуг з обробки персональних даних.

Крім того, чи відноситься інформація до «персональних даних, які оператор має намір отримати», визначається на основі засобів отримання персональних даних та інших факторів об’єктивним чином (згідно з Генеральними правилами, розділ 3-5-3-1).

Таким чином, однією з важливих змін, внесених у 2023 році (Рейва 6), є розширення об’єктів зобов’язань щодо повідомлення та інформування про витоки, які тепер включають «персональні дані» у певних випадках.

Розширення об’єктів заходів безпеки

У зв’язку зі змінами у регулюванні зобов’язань щодо повідомлення про витоки, також було змінено зміст Генеральних правил застосування Закону про захист персональних даних, розділ 3-4-2.

Заходи безпеки, які має вжити оператор, тепер включають необхідні та відповідні заходи для запобігання витоку персональних даних, які оператор персональних даних має намір обробляти як персональні дані (включаючи персональні дані, які оператор отримав або намагається отримати).

Об’єкти заходів безпеки також були розширені не тільки на «персональні дані», але й на «персональні дані» у певних випадках.

Джерело: Комісія з захисту персональних даних｜(Застосування з 1 квітня 2023 року) Генеральні правила застосування Закону про захист персональних даних

Заходи, які слід вжити у зв’язку з впровадженням змін до Закону про захист персональних даних

Заходи, які слід вжити у відповідь на впровадження змін до Закону про захист персональних даних у рік Рейва 6 (2024), включають наступне:

• Оновити політику конфіденційності
• Оновити та оголосити внутрішні правила

Давайте розглянемо кожен пункт детальніше.

Оновити політику конфіденційності

Суб’єкти, що обробляють персональні дані, мають забезпечити заходи безпеки володіння персональними даними таким чином, щоб власник даних міг про них дізнатися. Це також включає здатність надавати відповіді на запити власника даних без зволікань (стаття 32, пункт 1, підпункт 4 Закону про захист персональних даних).

Суб’єкти, які раніше вирішували це питання, вказуючи заходи безпеки володіння персональними даними у своїй політиці конфіденційності, повинні бути уважними. Вони мають додати до політики конфіденційності інформацію про нові категорії персональних даних, які тепер підлягають заходам безпеки.

Оновити та оголосити внутрішні правила

З огляду на те, що зобов’язання щодо звітування та повідомлення тепер виникає навіть у випадку витоку деяких персональних даних, необхідно відобразити це у внутрішніх правилах та забезпечити їх відомість серед працівників.

Витік персональних даних, який тепер потребує звітування, не обмежується лише веб-скімінгом.

Наприклад, якщо суб’єкт обробки персональних даних відправляє клієнту конверт для відповіді зі зміненою адресою, і в результаті цього персональні дані, заповнені на анкеті всередині конверта, потрапляють до рук третіх осіб, ці персональні дані, які планувалося обробляти як персональні дані, потребують звітування та повідомлення у випадку витоку.

Оскільки обробка деяких персональних даних, які раніше не вимагали звітування, тепер змінилася, необхідно звернути увагу працівників на це.

Підсумок: Консультуйтеся зі спеціалістами щодо змін у Законі про захист персональних даних

У змінах до Закону про захист персональних даних у 6-му році ери Рейва (2024) було розширено заходи щодо боротьби з веб-скімінгом, зокрема, обов’язки щодо повідомлення та звітування у випадку витоку інформації, а також заходи безпеки. Раніше ці заходи стосувалися лише “персональних даних”, але тепер у певних випадках вони також застосовуються до “персональної інформації”.

Через ці зміни необхідно вжити заходів, таких як перегляд політики конфіденційності та внутрішніх правил компанії.

У зв’язку з обробкою персональних даних, неправильні дії можуть призвести до великих ризиків, таких як втрата суспільної довіри. Рекомендуємо консультуватися з адвокатом при вирішенні цих питань.

Заходи, запропоновані нашою фірмою

Юридична фірма “Моноліт” має багатий досвід у сфері ІТ, особливо в аспектах, що стосуються інтернету та права. Останнім часом витік особистої інформації став великою проблемою. У випадку витоку особистих даних, це може мати катастрофічні наслідки для діяльності компанії. Наша фірма має спеціалізовані знання щодо запобігання витоку інформації та розробки відповідних заходів. Детальніше про це читайте у статті нижче.

Сфери діяльності юридичної фірми “Моноліт”: Правові аспекти захисту особистої інформації[ja]