Những Điểm Chính của Luật Bảo Vệ Thông Tin Cá Nhân Sửa Đổi Năm Reiwa 6 (2024) Là Gì? Giải Thích Những Điểm Thay Đổi và Biện Pháp Ứng Phó Cần Biết

Vào tháng 4 năm 2024 (Reiwa 6), quy định sửa đổi của Luật Bảo vệ Thông tin Cá nhân Nhật Bản sẽ được thi hành. Trong lần sửa đổi này, nghĩa vụ báo cáo với Ủy ban Bảo vệ Thông tin Cá nhân và nghĩa vụ thông báo cho người liên quan khi có sự cố rò rỉ thông tin sẽ được mở rộng.

Điểm chính của sửa đổi này nằm ở việc đối phó với các vấn đề liên quan đến thông tin cá nhân gần đây, như web skimming.

Tuy nhiên, để hiểu rõ và đáp ứng đúng cách với các điểm sửa đổi, cần có kiến thức chuyên môn. Có lẽ nhiều người không biết phải xử lý như thế nào với công ty của mình. Bài viết này sẽ giải thích các điểm chính của sửa đổi năm 2024 (Reiwa 6) và các biện pháp đối phó.

Tổng quan về các điểm thay đổi của Luật Bảo vệ Thông tin Cá nhân sửa đổi năm Reiwa 6 (2024)

Những thay đổi đáng chú ý trong Luật Bảo vệ Thông tin Cá nhân sửa đổi năm Reiwa 6 (2024) là việc mở rộng đối tượng của nghĩa vụ báo cáo và thông báo khi có sự cố rò rỉ thông tin, cũng như nghĩa vụ thực hiện các biện pháp quản lý an toàn, đến một số “thông tin cá nhân” cụ thể.

Theo quy định trước đây, chỉ “dữ liệu cá nhân” mới là đối tượng của nghĩa vụ báo cáo khi có sự cố rò rỉ, và “thông tin cá nhân” không được bao gồm.

Thay đổi này được ghi chép trong Điều 7, Khoản 3 của Quy định thi hành Luật Bảo vệ Thông tin Cá nhân và “Hướng dẫn Luật Bảo vệ Thông tin Cá nhân (Phần chung)”[ja] của Nhật Bản.

Nội dung cụ thể của các quy định và điểm thay đổi sẽ được giải thích chi tiết dưới đây.

Đối tượng quy định trong Luật Bảo vệ Thông tin Cá nhân cho đến nay

Để hiểu rõ nội dung của luật sửa đổi, việc nắm bắt chính xác nội dung quy định trước khi sửa đổi là điều cần thiết. Tại đây, chúng tôi sẽ giải thích về định nghĩa và nội dung của các quy định được thiết lập trước khi sửa đổi.

Sự khác biệt giữa Thông tin cá nhân và Dữ liệu cá nhân

Trong Luật Bảo vệ Thông tin Cá nhân, chúng ta phân biệt giữa “Thông tin cá nhân” và “Dữ liệu cá nhân” như là các đối tượng được bảo vệ.

“Thông tin cá nhân” là thông tin liên quan đến cá nhân đang sống, bao gồm các thông tin có thể xác định được cá nhân cụ thể thông qua tên, ngày tháng năm sinh và các mô tả khác. Điều này được định nghĩa trong Điều 2, Khoản 1, Mục 1 của Luật Bảo vệ Thông tin Cá nhân Nhật Bản.

Bài viết liên quan: Luật Bảo vệ Thông tin Cá nhân Nhật Bản sửa đổi năm Reiwa 4 (2022) với việc mới thiết lập thông tin được xử lý tạm thời nhằm thúc đẩy việc sử dụng dữ liệu[ja]

Ngược lại, “Dữ liệu cá nhân” được chỉ định là thông tin cá nhân tạo nên cơ sở dữ liệu thông tin cá nhân, theo quy định tại Điều 16, Khoản 1 của Luật Bảo vệ Thông tin Cá nhân Nhật Bản.

Ví dụ, khi tạo danh sách người tham dự một sự kiện, thông tin như tên và địa chỉ mà người đặt chỗ gửi đến được gọi là “Thông tin cá nhân”. Và cơ sở dữ liệu được tạo ra từ việc tổng hợp thông tin cá nhân của từng người đặt chỗ vào một bảng tính được gọi là “Cơ sở dữ liệu thông tin cá nhân”. Các thông tin cá nhân tạo nên cơ sở dữ liệu này được gọi là “Dữ liệu cá nhân”.

Trong Luật Bảo vệ Thông tin Cá nhân, việc hiểu rõ sự khác biệt giữa “Thông tin cá nhân” và “Dữ liệu cá nhân” là quan trọng bởi vì quy định bảo vệ thay đổi đáng kể tùy thuộc vào đối tượng được bảo vệ là gì.

Nghĩa vụ báo cáo và thông báo về rò rỉ thông tin

Luật Bảo vệ Thông tin Cá nhân yêu cầu các doanh nghiệp xử lý thông tin cá nhân, trong trường hợp xảy ra rò rỉ dữ liệu cá nhân, phải báo cáo cho Ủy ban Bảo vệ Thông tin Cá nhân và thông báo cho chủ thể dữ liệu.

(Báo cáo về rò rỉ thông tin, v.v.)
Điều 26: Các doanh nghiệp xử lý thông tin cá nhân, khi xảy ra tình trạng rò rỉ, mất mát, hư hại hoặc các tình huống khác liên quan đến việc đảm bảo an toàn dữ liệu cá nhân mà có thể gây hại lớn đến quyền lợi của cá nhân, theo quy định của Ủy ban Bảo vệ Thông tin Cá nhân, phải báo cáo tình trạng đó cho Ủy ban Bảo vệ Thông tin Cá nhân. Tuy nhiên, nếu doanh nghiệp xử lý thông tin cá nhân đó đã được một doanh nghiệp xử lý thông tin cá nhân khác hoặc cơ quan hành chính, v.v., ủy thác toàn bộ hoặc một phần việc xử lý dữ liệu cá nhân và đã thông báo tình trạng đó cho doanh nghiệp hoặc cơ quan hành chính, v.v., theo quy định của Ủy ban Bảo vệ Thông tin Cá nhân, thì không bị áp dụng.
2 Trong trường hợp quy định tại khoản trước, doanh nghiệp xử lý thông tin cá nhân (trừ trường hợp đã thực hiện thông báo theo quy định của khoản trước) phải thông báo cho chủ thể dữ liệu về tình trạng đó, theo quy định của Ủy ban Bảo vệ Thông tin Cá nhân. Tuy nhiên, nếu việc thông báo cho chủ thể dữ liệu gặp khó khăn và cần thực hiện các biện pháp thay thế cần thiết để bảo vệ quyền lợi của chủ thể dữ liệu, thì không bị áp dụng.

Luật Bảo vệ Thông tin Cá nhân | e-Gov tìm kiếm văn bản pháp luật[ja]

Nghĩa vụ báo cáo và thông báo không phải lúc nào cũng xảy ra trong mọi trường hợp rò rỉ thông tin. Chỉ có bốn trường hợp sau đây, được quy định tại Điều 7 của quy định thi hành Luật Bảo vệ Thông tin Cá nhân, mới yêu cầu phải báo cáo và thông báo:

1. Rò rỉ dữ liệu cá nhân bao gồm thông tin cá nhân cần được xem xét kỹ lưỡng (ví dụ: kết quả kiểm tra sức khỏe của nhân viên)
2. Rò rỉ dữ liệu cá nhân có nguy cơ gây ra thiệt hại về tài sản do sử dụng trái phép (ví dụ: số thẻ tín dụng)
3. Rò rỉ dữ liệu cá nhân có khả năng được thực hiện với mục đích không chính đáng
4. Rò rỉ thông tin ảnh hưởng đến số lượng chủ thể dữ liệu trên 1000 người

Trong lần sửa đổi này, nội dung của Điều 7, khoản 3 đã được thay đổi.

Biện pháp quản lý an toàn là gì

Luật Bảo vệ Thông tin Cá nhân yêu cầu các doanh nghiệp xử lý thông tin cá nhân phải thực hiện các biện pháp cần thiết và phù hợp để ngăn chặn rò rỉ dữ liệu cá nhân và quản lý an toàn.

(Biện pháp quản lý an toàn)
Điều 23: Các doanh nghiệp xử lý thông tin cá nhân phải thực hiện các biện pháp cần thiết và phù hợp để ngăn chặn rò rỉ, mất mát hoặc hư hại dữ liệu cá nhân và đảm bảo quản lý an toàn cho dữ liệu cá nhân.

Luật Bảo vệ Thông tin Cá nhân | e-Gov tìm kiếm văn bản pháp luật[ja]

Ví dụ cụ thể bao gồm kiểm soát truy cập, đào tạo nhân viên, và thiết lập quy tắc.

Đối tượng quy định trước khi sửa đổi

Trước khi sửa đổi, các đối tượng được quy định phải chịu trách nhiệm báo cáo khi xảy ra rò rỉ và thực hiện các biện pháp quản lý an toàn chỉ bao gồm “dữ liệu cá nhân” mà thôi. Đối với “thông tin cá nhân”, ngay cả khi xảy ra rò rỉ, các doanh nghiệp không phải chịu trách nhiệm như vậy.

Tuy nhiên, đối tượng của nghĩa vụ báo cáo/thông báo và trách nhiệm thiết lập các biện pháp quản lý an toàn đã được mở rộng để bao gồm một phần “thông tin cá nhân” trong lần sửa đổi này.

Mục đích và Ý nghĩa của Việc Sửa Đổi Quy Định Thực Thi Luật Bảo Vệ Thông Tin Cá Nhân

Lần sửa đổi này có thể nói là tập trung vào biện pháp đối phó với web skimming. Web skimming là phương pháp tấn công bằng cách cài đặt chương trình độc hại trên các trang EC để đánh cắp thông tin cá nhân.

Cụ thể, có một phương pháp là trực tiếp thu thập thông tin như mật khẩu và thông tin thẻ tín dụng mà người dùng nhập vào mẫu đơn từ trang nhập liệu.

Điểm đặc biệt của web skimming là thông tin mà người dùng nhập vào bị đánh cắp trực tiếp trước khi nó được tích hợp vào cơ sở dữ liệu thông tin cá nhân của doanh nghiệp trang EC. Trong trường hợp này, chỉ có “thông tin cá nhân” chưa được chuyển đổi thành “dữ liệu cá nhân” bị đánh cắp.

Trước khi sửa đổi, nghĩa vụ báo cáo rò rỉ thông tin chỉ áp dụng cho “dữ liệu cá nhân”. Do đó, ngay cả khi xảy ra thiệt hại do web skimming, các doanh nghiệp trang EC không có nghĩa vụ phải báo cáo.

Lần sửa đổi này nhằm mục đích bao gồm cả rò rỉ thông tin do web skimming vào đối tượng báo cáo, mở rộng phạm vi của nghĩa vụ báo cáo rò rỉ thông tin và biện pháp quản lý an toàn để bao gồm cả “thông tin cá nhân”.

Nội dung sửa đổi của Quy định thi hành Luật Bảo vệ Thông tin Cá nhân Nhật Bản năm 2024 (Reiwa 6)

Mở rộng đối tượng của nghĩa vụ báo cáo rò rỉ thông tin

Điều 7, khoản 3 của Quy định thi hành Luật Bảo vệ Thông tin Cá nhân đã được sửa đổi như sau.

“Doanh nghiệp xử lý thông tin cá nhân” bao gồm cả những đơn vị được ủy thác và nhà cung cấp dịch vụ xử lý thông tin cá nhân.

Ngoài ra, việc xác định thông tin cá nhân mà doanh nghiệp xử lý thông tin cá nhân “đang cố gắng thu thập” có thuộc phạm vi áp dụng hay không sẽ được quyết định một cách khách quan dựa trên phương tiện thu thập thông tin cá nhân và các yếu tố khác (Hướng dẫn chung 3-5-3-1).

Như vậy, việc mở rộng đối tượng của nghĩa vụ báo cáo và thông báo về rò rỉ thông tin, trong một số trường hợp, đến “thông tin cá nhân” là một trong những thay đổi lớn của sửa đổi năm 2024 (Reiwa 6).

Mở rộng đối tượng của biện pháp quản lý an toàn

Theo sửa đổi của quy định về nghĩa vụ báo cáo rò rỉ thông tin, nội dung trong Hướng dẫn chung về Luật Bảo vệ Thông tin Cá nhân 3-4-2 cũng đã được thay đổi.

Các biện pháp quản lý an toàn mà doanh nghiệp cần thực hiện bao gồm cả những biện pháp cần thiết và phù hợp để ngăn chặn rò rỉ thông tin cá nhân (bao gồm thông tin cá nhân mà doanh nghiệp xử lý thông tin cá nhân đang thu thập hoặc có ý định thu thập) dự kiến sẽ được xử lý như dữ liệu cá nhân.

Đối tượng của biện pháp quản lý an toàn cũng đã được mở rộng, không chỉ là “dữ liệu cá nhân” mà còn bao gồm “thông tin cá nhân” trong một số trường hợp nhất định.

Tham khảo: Ủy ban Bảo vệ Thông tin Cá nhân｜Hướng dẫn về Luật Bảo vệ Thông tin Cá nhân (Áp dụng từ ngày 1 tháng 4 năm 2024 (Reiwa 6))

Các biện pháp cần thực hiện do sự thi hành của Luật Bảo vệ Thông tin Cá nhân sửa đổi

Các biện pháp cần thực hiện đối với việc thi hành Luật Bảo vệ Thông tin Cá nhân sửa đổi năm 2024 (Reiwa 6) bao gồm hai biện pháp sau đây:

• Chỉnh sửa chính sách bảo mật
• Chỉnh sửa và thông báo các quy định nội bộ

Hãy cùng xem xét chi tiết từng biện pháp.

Chỉnh sửa chính sách bảo mật

Các doanh nghiệp xử lý thông tin cá nhân phải đảm bảo các biện pháp quản lý an toàn thông tin cá nhân mà họ nắm giữ ở trạng thái có thể được biết đến bởi chủ thể thông tin. Điều này bao gồm việc phải trả lời một cách nhanh chóng theo yêu cầu của chủ thể thông tin (theo Điều 32, Khoản 1, Mục 4 của Luật Bảo vệ Thông tin Cá nhân Nhật Bản).

Các doanh nghiệp đã đáp ứng bằng cách ghi các biện pháp quản lý an toàn thông tin cá nhân vào chính sách bảo mật cần lưu ý. Chính sách bảo mật cần được bổ sung thông tin về việc bao gồm các biện pháp quản lý an toàn cho các thông tin cá nhân cụ thể mới.

Chỉnh sửa và thông báo các quy định nội bộ

Về việc báo cáo và thông báo nghĩa vụ phát sinh đối với việc rò rỉ thông tin cá nhân cụ thể, cần phản ánh điều này vào quy định nội bộ và thông báo cho nhân viên.

Việc rò rỉ thông tin cá nhân mới trở thành đối tượng của báo cáo và thông báo không chỉ giới hạn ở web skimming.

Ví dụ, một doanh nghiệp xử lý thông tin cá nhân gửi cho khách hàng một phong bì trả lời đã bị thay đổi địa chỉ, và kết quả là thông tin cá nhân được ghi trên tờ khảo sát bên trong phong bì rơi vào tay người thứ ba. Trong trường hợp thông tin cá nhân này dự kiến được xử lý như dữ liệu cá nhân, sẽ phát sinh nghĩa vụ báo cáo và thông báo về việc rò rỉ thông tin.

Do đó, cần phải nhấn mạnh sự chú ý của nhân viên đối với việc xử lý thông tin cá nhân mà trước đây không phát sinh nghĩa vụ.

Tóm tắt: Hãy tham khảo ý kiến của chuyên gia để đối phó với việc sửa đổi Luật Bảo vệ Thông tin Cá nhân

Trong sửa đổi Luật Bảo vệ Thông tin Cá nhân vào năm Reiwa 6 (2024), việc mở rộng đối tượng của các biện pháp quản lý an toàn và nghĩa vụ báo cáo/thông báo khi có sự cố rò rỉ thông tin, với việc đề phòng Web skimming được đặt ra. Trước khi sửa đổi, chỉ “dữ liệu cá nhân” mới được coi là đối tượng, nhưng trong một số trường hợp, “thông tin cá nhân” cũng được bao gồm.

Do sửa đổi này, cần phải thực hiện các biện pháp như sửa đổi chính sách quyền riêng tư và quy định nội bộ.

Trong việc xử lý thông tin cá nhân, việc áp dụng các biện pháp sai lầm có thể dẫn đến rủi ro lớn như mất uy tín xã hội. Khi đối phó, chúng tôi khuyên bạn nên tham khảo ý kiến của luật sư.

Giới thiệu các biện pháp của Văn phòng chúng tôi

Văn phòng Luật sư Monolith là một văn phòng luật sư có kinh nghiệm phong phú về cả IT, đặc biệt là Internet và pháp luật. Gần đây, việc rò rỉ thông tin cá nhân đã trở thành một vấn đề lớn. Trong trường hợp thông tin cá nhân bị rò rỉ, điều đó có thể gây ra ảnh hưởng nghiêm trọng đến hoạt động kinh doanh của công ty. Chúng tôi có kiến thức chuyên môn về việc ngăn chặn và xử lý rò rỉ thông tin. Chi tiết được mô tả trong bài viết dưới đây.

Lĩnh vực hoạt động của Văn phòng Luật sư Monolith: Các vấn đề pháp lý liên quan đến Luật Bảo vệ Thông tin Cá nhân Nhật Bản[ja]