Là những điểm gì cần chú ý khi tạo Chính sách bảo mật dựa trên 'Luật bảo vệ thông tin cá nhân' Nhật Bản?
Gần đây, xã hội đang ngày càng quan tâm đến việc bảo vệ thông tin cá nhân. Có thể nói rằng hầu như không có doanh nghiệp nào không xử lý thông tin cá nhân, và việc xử lý thông tin cá nhân là một vấn đề rất gần gũi với nhiều doanh nghiệp và chủ doanh nghiệp cá nhân. Đối với các doanh nghiệp có trang web, có vẻ như có nhiều trường hợp đăng chính sách bảo mật trên trang web của họ. Chính sách bảo mật là việc công bố hướng dẫn về việc xử lý thông tin cá nhân tại doanh nghiệp tương ứng theo Luật bảo vệ thông tin cá nhân Nhật Bản. Để xây dựng chính sách bảo mật một cách phù hợp, việc hiểu Luật bảo vệ thông tin cá nhân là điều không thể thiếu. Vì vậy, chúng tôi sẽ giải thích các điểm kiểm tra khi tạo chính sách bảo mật. Ngoài ra, Luật bảo vệ thông tin cá nhân đã được sửa đổi vào năm 2015 (năm 2015 theo lịch Gregory), và luật sửa đổi đã được thực thi vào ngày 30 tháng 5 năm 2017 (năm 2017 theo lịch Gregory). Đặc biệt, có một sửa đổi quan trọng liên quan đến việc cung cấp thông tin cá nhân cho bên thứ ba, vì vậy chúng tôi cũng sẽ giải thích về điểm này. Về việc sửa đổi Luật bảo vệ thông tin cá nhân, chúng tôi đã giải thích chi tiết trong bài viết dưới đây.
Chính sách bảo mật là gì?
Hầu hết các trang web của doanh nghiệp đều có chính sách bảo mật. Đôi khi nó còn được gọi là “Chính sách bảo vệ thông tin cá nhân”, nhưng cơ bản thì chúng đều giống nhau. Chính sách bảo mật cho thấy thái độ cơ bản của doanh nghiệp đối với việc xử lý thông tin cá nhân, đồng thời cũng là cách để hiển thị các vấn đề mà Luật bảo vệ thông tin cá nhân của Nhật Bản yêu cầu công bố. Do đó, ít nhất cũng cần bao gồm các vấn đề sau đây mà Luật bảo vệ thông tin cá nhân yêu cầu công bố:
- Mục đích sử dụng thông tin cá nhân
- Tên hoặc tên gọi của người xử lý thông tin cá nhân
- Quy trình đáp ứng yêu cầu thông báo, tiết lộ, sửa đổi, dừng sử dụng, v.v. từ người đó
- Nơi tiếp nhận khiếu nại
Ngoài ra, trong trường hợp chia sẻ thông tin cá nhân trong công ty nhóm, trường hợp được gọi là sử dụng chung, hoặc trường hợp xử lý thông tin được xử lý ẩn danh mà chúng tôi sẽ giải thích sau, các vấn đề cần công bố cho từng trường hợp đều được quy định theo luật pháp.
Bài viết liên quan: Luật bảo vệ thông tin cá nhân và thông tin cá nhân là gì? Luật sư giải thích[ja]
Doanh nghiệp nên tạo Chính sách bảo mật
Trước khi luật sửa đổi được ban hành vào năm 2017 (năm 2017 theo lịch Gregory), chỉ những doanh nghiệp sở hữu thông tin cá nhân vượt quá 5000 mục mới phải tuân thủ Luật bảo vệ thông tin cá nhân của Nhật Bản. Do đó, có khá nhiều doanh nghiệp nhỏ và doanh nghiệp chủ yếu hoạt động trong lĩnh vực BtoB không cần phải tạo Chính sách bảo mật. Tuy nhiên, với việc luật sửa đổi được ban hành vào năm 2017, Luật bảo vệ thông tin cá nhân của Nhật Bản đã được áp dụng cho tất cả các doanh nghiệp, không phụ thuộc vào số lượng thông tin cá nhân mà họ sở hữu. Kết quả là, hầu hết các doanh nghiệp đều cần phải tạo Chính sách bảo mật. Đáng chú ý là, ngay cả khi doanh nghiệp không tạo Chính sách bảo mật, họ vẫn có thể thay thế bằng cách thông báo cho người dùng mỗi khi thu thập thông tin cá nhân, về mục đích sử dụng thông tin và các vấn đề khác mà Luật bảo vệ thông tin cá nhân của Nhật Bản yêu cầu công bố. Tuy nhiên, việc này khá phiền toái nên hầu hết các doanh nghiệp thường chọn cách tạo Chính sách bảo mật.
Điểm kiểm tra chính sách bảo mật
Định nghĩa thông tin cá nhân
Điều thứ 〇
Thông tin cá nhân là thông tin liên quan đến một cá nhân còn sống, có thể xác định một cá nhân cụ thể thông qua tên, ngày tháng năm sinh và các mô tả khác trong thông tin đó (bao gồm cả thông tin có thể dễ dàng so sánh với thông tin khác và từ đó có thể xác định một cá nhân cụ thể).
Đối với định nghĩa thông tin cá nhân, chỉ cần mô tả theo quy định trong Luật bảo vệ thông tin cá nhân của Nhật Bản. Thông thường, đó là thông tin như tên và ngày tháng năm sinh như trong ví dụ điều khoản, nhưng cũng có thể bao gồm tuổi, giới tính, địa chỉ, số điện thoại, thành phần gia đình, sở thích, thị hiếu, địa chỉ email, ID, địa chỉ IP và dấu thời gian, nơi làm việc, thuộc tính, địa chỉ nơi làm việc, số điện thoại nơi làm việc, số thẻ tín dụng, số tài khoản ngân hàng, thông tin trang web đã truy cập, thông tin khiếu nại, tư vấn hoặc thông tin liên hệ. Do đó, có thể tốt nếu bạn ghi trước trong định nghĩa thông tin cá nhân của chính sách bảo mật về thông tin có khả năng cao được thu thập từ khách hàng của công ty và những người tương tự.
Mục đích sử dụng thông tin cá nhân
Điều thứ 〇
1. Công ty chúng tôi sẽ sử dụng thông tin cá nhân mà chúng tôi thu thập cho các mục đích sau đây. Tuy nhiên, nếu chúng tôi đã quy định mục đích sử dụng thông tin cá nhân riêng biệt trên trang web do chúng tôi quản lý, chúng tôi sẽ ưu tiên mô tả mục đích sử dụng đó.
(1) Để cho phép chúng tôi trả lời các câu hỏi từ biểu mẫu liên hệ của bạn
(2) Để cung cấp và giới thiệu dịch vụ web, ứng dụng hoặc các dịch vụ khác (dưới đây gọi là “Dịch vụ này”) do chúng tôi cung cấp
(3) Để cải thiện Dịch vụ này và phát triển các dịch vụ mới
(4) Để mục đích liên quan đến các mục trên
2. Ngoài các mục đích quy định ở mục trên, chúng tôi có thể sử dụng thông tin cá nhân mà chúng tôi thu thập từ khách hàng dưới dạng thông tin thống kê không thể xác định hoặc xác định cá nhân và sử dụng nó như một tài liệu tham khảo.
Mục đích sử dụng
Theo Luật bảo vệ thông tin cá nhân Nhật Bản, chúng tôi phải công bố mục đích sử dụng thông tin cá nhân mà chúng tôi thu thập. Điều khoản thứ nhất ở trên đáp ứng yêu cầu này. Điều quan trọng khi xác định mục đích sử dụng là không chỉ mô tả một cách trừu tượng và toàn diện, mà còn cần phải mô tả cụ thể đến mức người dùng có thể hiểu được thông tin cá nhân của họ sẽ được sử dụng như thế nào. Do đó, nội dung mô tả mục đích sử dụng có thể thay đổi tùy thuộc vào người kinh doanh tạo ra chính sách bảo mật. Ngoài ra, nếu có bất kỳ thiếu sót nào trong việc mô tả, bạn sẽ không thể sử dụng thông tin cá nhân cho mục đích đó, vì vậy hãy cẩn thận kiểm tra xem có thiếu sót nào không.
Thông tin được xử lý ẩn danh
Điều khoản thứ hai là quy định về thông tin được xử lý ẩn danh. Thông tin được xử lý ẩn danh là thông tin đã được xử lý để không thể xác định người dùng và không thể khôi phục. Đây là một điều được xem xét cho việc sử dụng dữ liệu lớn.
Khi xử lý thông tin ẩn danh, bạn cần công bố các mục thông tin cá nhân bao gồm trong thông tin ẩn danh trong chính sách bảo mật và các tài liệu tương tự. Điều khoản thứ hai quy định việc sử dụng thông tin cá nhân được mô tả trong “Định nghĩa thông tin cá nhân” dưới dạng thông tin được xử lý ẩn danh. Ngoài ra, khi cung cấp thông tin ẩn danh cho bên thứ ba, bạn cần công bố phương pháp cung cấp ngoài việc quy định này.
Sử dụng thông tin cá nhân ngoài mục đích đã định
Điều thứ 〇
Công ty chúng tôi sẽ xử lý thông tin cá nhân mà chúng tôi thu thập trong phạm vi cần thiết để đạt được mục đích sử dụng đã nêu trong điều trước. Trong trường hợp xử lý thông tin cá nhân ngoài phạm vi mục đích sử dụng, chúng tôi sẽ nhận được sự đồng ý từ khách hàng trước. Tuy nhiên, điều này không áp dụng trong các trường hợp sau:
(1) Trường hợp dựa trên pháp luật
(2) Trường hợp cần thiết để bảo vệ cuộc sống, cơ thể hoặc tài sản của con người và khó khăn trong việc nhận được sự đồng ý của khách hàng
(3) Trường hợp đặc biệt cần thiết để cải thiện sức khỏe công cộng hoặc thúc đẩy sự phát triển lành mạnh của trẻ em và khó khăn trong việc nhận được sự đồng ý của khách hàng
(4) Trường hợp cần thiết để hợp tác với cơ quan của quốc gia hoặc tổ chức công cộng địa phương hoặc người được ủy quyền thực hiện công việc theo quy định của pháp luật và có nguy cơ gây cản trở cho việc thực hiện công việc đó do nhận được sự đồng ý của người đó
Thông tin cá nhân nguyên tắc không được sử dụng ngoài phạm vi mục đích sử dụng. Tuy nhiên, theo Luật bảo vệ thông tin cá nhân Nhật Bản, việc sử dụng thông tin cá nhân ngoài mục đích được cho phép trong các trường hợp tương ứng với các mục từ (1) đến (4) đã nêu trên.
Mục (2) và (3) là các trường hợp cần sử dụng thông tin cá nhân mà việc nhận được sự đồng ý nhanh chóng từ người đó là khó khăn. Mục (1) và (4) là việc sử dụng thông tin cá nhân dựa trên ý định của quốc gia hoặc tổ chức công cộng địa phương, ví dụ như điều tra tội phạm. Điều khoản về việc sử dụng thông tin cá nhân ngoài mục đích này hầu như giống nhau đối với tất cả các doanh nghiệp và ít khi thay đổi tùy theo loại hình kinh doanh.
Cung cấp thông tin cá nhân cho bên thứ ba
Điều thứ 〇
Công ty chúng tôi, về thông tin cá nhân của khách hàng, nguyên tắc không cung cấp cho bên thứ ba mà không có sự đồng ý của chính khách hàng. Trường hợp ngoại lệ, chỉ cung cấp cho bên thứ ba khi đã xác định được nơi cung cấp và nội dung cung cấp, và có sự đồng ý từ chính khách hàng. Tuy nhiên, không áp dụng trong các trường hợp sau:
(1) Trường hợp dựa trên pháp luật
(2) Trường hợp cần thiết để bảo vệ cuộc sống, cơ thể hoặc tài sản của con người và khó có thể có được sự đồng ý của chính khách hàng
(3) Trường hợp đặc biệt cần thiết để cải thiện sức khỏe công cộng hoặc thúc đẩy sự phát triển lành mạnh của trẻ em và khó có thể có được sự đồng ý của chính khách hàng
(4) Trường hợp cần phải hợp tác để thực hiện công việc quy định bởi pháp luật của cơ quan của quốc gia hoặc tổ chức công cộng địa phương hoặc người được ủy quyền và việc có được sự đồng ý của chính khách hàng có thể gây cản trở cho việc thực hiện công việc đó
(5) Trường hợp cần phải cung cấp thông tin cá nhân cho bên được giao việc kinh doanh đã ký hợp đồng bảo mật với công ty chúng tôi với mục đích sử dụng
Ngoại lệ cho việc cung cấp thông tin cá nhân cho bên thứ ba
Điều khoản này liên quan đến việc cung cấp thông tin cá nhân mà doanh nghiệp thu thập cho bên thứ ba. Theo Luật bảo vệ thông tin cá nhân Nhật Bản, khi cung cấp thông tin cá nhân cho bên thứ ba, cần phải có sự đồng ý từ người đó. Tuy nhiên, theo quy định ngoại lệ từ điều khoản (1) đến (5), có thể cung cấp thông tin cá nhân cho bên thứ ba mà không cần sự đồng ý từ người đó. Do đó, giống như điều khoản về việc sử dụng thông tin cá nhân ngoài mục đích, điều khoản về việc cung cấp cho bên thứ ba cũng trở thành điều khoản tiêu chuẩn cho hầu hết các công ty. Trong thực tế, trường hợp được sử dụng tương đối nhiều là khi cung cấp thông tin cá nhân cho bên được giao việc kinh doanh (điều khoản (5)). Tuy nhiên, ngay cả khi giao việc kinh doanh, doanh nghiệp thu thập thông tin cá nhân phải chịu trách nhiệm giám sát đối với bên được giao việc. Do đó, cần lưu ý rằng doanh nghiệp giao việc cũng có thể bị đặt ra trách nhiệm nếu thông tin cá nhân bị rò rỉ từ bên được giao việc. Do đó, việc lựa chọn bên được giao việc và việc quản lý giám sát sau khi giao việc cần được thực hiện một cách cẩn thận. Về vụ rò rỉ thông tin cá nhân từ Benesse, bên được giao việc, chúng tôi đã giải thích chi tiết trong bài viết dưới đây.
Bài viết liên quan: Rủi ro về việc rò rỉ thông tin cá nhân của doanh nghiệp và bồi thường thiệt hại[ja]
Việc sửa đổi luật làm cho việc từ chối trở nên khó khăn
Về việc cung cấp thông tin cá nhân cho bên thứ ba, trước khi luật sửa đổi được thực thi vào năm 2017 (năm 2017), điều kiện là “dừng cung cấp thông tin cá nhân cho bên thứ ba theo yêu cầu của người đó”, và có thể cung cấp thông tin cá nhân cho bên thứ ba mà không cần sự đồng ý trước của người đó. Điều này được gọi là từ chối. Tuy nhiên, theo luật sửa đổi được thực thi vào năm 2017, trừ khi đã báo cáo trước cho Ủy ban Bảo vệ Thông tin Cá nhân, không thể cung cấp thông tin cá nhân cho bên thứ ba bằng cách từ chối, và quy tắc trở nên nghiêm ngặt hơn.
Bạn có thể nghĩ rằng chỉ cần báo cáo cho Ủy ban Bảo vệ Thông tin Cá nhân là đủ, nhưng hệ thống báo cáo này chủ yếu nhằm vào các doanh nghiệp xử lý thông tin cá nhân như là một sản phẩm, và những người báo cáo sẽ được công bố, vì vậy thực tế, số lượng công ty đã báo cáo vẫn chưa nhiều. Do đó, thực tế, việc cung cấp thông tin cá nhân cho bên thứ ba mà không có sự đồng ý của người đó trở nên khó khăn, trừ khi được chấp nhận như một ngoại lệ như việc giao việc kinh doanh.
Tiết lộ, sửa đổi thông tin cá nhân
Theo Luật bảo vệ thông tin cá nhân Nhật Bản, việc công bố các quy trình phản hồi đối với yêu cầu thông báo mục đích sử dụng, tiết lộ, sửa đổi, dừng sử dụng, v.v. từ chủ thể thông tin cũng được yêu cầu. Do đó, khi tạo chính sách bảo mật, bạn cũng cần quy định về các vấn đề này. Tuy nhiên, các điều khoản quy định về những điều này thường là ngôn ngữ tiêu chuẩn được sử dụng bởi nhiều doanh nghiệp. Một điều cần xem xét là liệu có nên quy định phí dịch vụ khi phản hồi yêu cầu tiết lộ, v.v. từ chủ thể thông tin hay không. Việc quy định một khoản phí dịch vụ hợp lý là một cách để ngăn chặn việc công việc bị chậm trễ do các yêu cầu lạm dụng. Khi cần phí dịch vụ, bạn cần lưu ý rằng cần phải quy định nội dung này trong chính sách bảo mật.
Tóm tắt
Với sự tăng tốc của quan tâm xã hội về bảo vệ thông tin cá nhân, các quy định pháp luật cũng dần trở nên nghiêm ngặt hơn. Việc quản lý thông tin an toàn trong công ty để tránh rò rỉ thông tin cá nhân là điều cần thiết, nhưng cũng quan trọng không kém là việc xây dựng các chính sách bảo mật và quy định nội bộ phù hợp với các quy định pháp luật. Luật Bảo vệ thông tin cá nhân của Nhật Bản (Japanese Personal Information Protection Law) dự kiến sẽ tiếp tục được sửa đổi định kỳ mỗi 3 năm. Mỗi khi quy tắc về việc xử lý thông tin cá nhân thay đổi, không chỉ cần thay đổi hệ thống nội bộ mà còn có thể cần phải xem xét lại phương pháp kinh doanh. Trong nghĩa đen, Luật Bảo vệ thông tin cá nhân có thể coi là một luật liên quan đến cốt lõi của doanh nghiệp, do đó, những doanh nghiệp xử lý nhiều thông tin cá nhân cần phải luôn nắm bắt được xu hướng sửa đổi.
Thông tin về việc tạo và xem xét hợp đồng do văn phòng luật sư của chúng tôi thực hiện
Văn phòng luật sư Monolis, với ưu điểm trong lĩnh vực IT, Internet và kinh doanh, không chỉ cung cấp dịch vụ liên quan đến chính sách bảo mật mà còn cung cấp các dịch vụ như tạo và xem xét hợp đồng cho các công ty khách hàng và công ty tư vấn của chúng tôi.
Nếu bạn quan tâm, hãy xem chi tiết dưới đây.