《令和6年(2024年)修订的日本个人信息保护法要点》:应了解的变更内容及应对措施解析
令和6年(2024年)4月,修订后的《日本个人信息保护法》施行规则将正式实施。本次修订主要扩大了在发生信息泄露等情况时,向个人信息保护委员会报告的义务和向本人通知的义务。
这次修订的主要亮点在于,针对近年来网页劫持等个人信息相关问题的应对。
然而,要准确理解修订内容并采取适当措施,需要专业知识,许多人可能不清楚自己公司应该如何应对。本文将解释令和6年(2024年)修订的要点和应对措施。
令和6年(2023年)改正日本个人信息保护法的变更要点概述
令和6年(2023年)对日本个人信息保护法的修正中,值得关注的变更内容是,泄露等事件发生时的报告和通知义务以及采取安全管理措施的义务对象,已扩大到部分“个人信息”。
在传统规定中,泄露时的报告义务等对象仅限于“个人数据”,并未包括“个人信息”。
此次修正后,个人信息保护法实施规则第7条第3号和「日本个人信息保护法指南(通则篇)」[ja]中记录了变更内容。
| 修正后法律 | 修正前 | |
| 泄露等的报告等义务 | 负有(在一定情况下) | 不负有 |
| 采取安全管理措施的义务 | 负有(在一定情况下) | 不负有 |
具体的规制内容和变更点,将在下文中详细解释。
迄今为止在个人信息保护法中的规制对象
为了掌握修正法的内容,必须准确理解修正前的规制内容。这里,我们将解释修正前所定的规制定义和内容。
个人信息与个人数据的区别
在个人信息保护法中,作为保护对象的“个人信息”和“个人数据”是区别对待的。
“个人信息”是指与生存的个人相关的信息,通过该信息中包含的姓名、出生日期等描述,可以识别特定个人的信息。这在个人信息保护法第2条第1款第1号中有定义。
相关文章:令和4年(2022年)修订个人信息保护法‘假名加工信息’新设等促进数据利用[ja]
而“个人数据”是指构成个人信息数据库等的个人信息,这在个人信息保护法第16条第1款中规定。
例如,在制作活动参加者名单时,预约者发送的姓名、地址等信息称为“个人信息”。然后,将各预约者的个人信息汇总到电子表格等中创建的数据库是“个人信息数据库”。构成这个数据库的各个信息被称为“个人数据”。
在个人信息保护法中,需要理解保护对象是“个人信息”还是“个人数据”,这将大幅影响规制内容。
关于泄露等报告义务
个人信息保护法规定,当发生个人数据泄露等情况时,要求个人信息处理业者向个人信息保护委员会报告,并通知本人。
(泄露等的报告义务)
关于个人信息保护的法律|e-Gov法令搜索[ja]
第二十六条 个人信息处理业者在处理的个人数据发生泄露、丢失、损坏或其他可能严重影响个人权益的安全保障相关情况时,根据个人信息保护委员会规则的规定,必须向个人信息保护委员会报告该情况。但是,如果该个人信息处理业者是受其他个人信息处理业者或行政机关等委托处理全部或部分个人数据,并按照个人信息保护委员会规则规定的方式,已经向该其他个人信息处理业者或行政机关等通知了该情况,则不在此限。
2 在前项规定的情况下,除了已经进行通知的个人信息处理业者外,其他个人信息处理业者必须根据个人信息保护委员会规则的规定,通知本人该情况。但是,如果通知本人困难,并采取了必要的替代措施来保护本人的权益,则不在此限。
报告和通知义务并不是在所有泄露等情况下都会触发。根据个人信息保护法实施规则第7条的规定,仅限于以下四种情况需要进行报告等。
- 包含需要特别注意的个人信息的个人数据泄露(例如:员工的健康检查结果)
- 因不正当使用而可能造成财产损失的个人数据泄露(例如:信用卡号码)
- 有可能是出于不正当目的进行的个人数据泄露
- 泄露的个人数量超过1000人
此次修正中,规则第7条第3项的内容已经发生变更。
什么是安全管理措施
《日本个人信息保护法》要求处理个人信息的业务操作者必须采取必要且适当的措施,以防止个人数据的泄露等情况,确保安全管理。
(安全管理措施)
关于个人信息保护的法律|e-Gov法令搜索[ja]
第二十三条 个人信息处理业务操作者必须采取必要且适当的措施,以防止其处理的个人数据泄露、丢失或被破坏,以及为了其他个人数据的安全管理。
具体例子包括访问控制、对员工的培训以及规章制度的建立等。
修正前的监管对象
在修正前,仅将“个人数据”定为负有在发生泄露等情况时报告义务和采取安全管理措施的义务的对象。对于“个人信息”,即便发生了泄露等情况,企业也无需承担这类义务。
然而,本次修正将报告・通知义务和安全管理措施的设立义务的对象扩展到了部分“个人信息”。
个人信息保护法实施规则修正的宗旨与目的
本次修正主要是针对网页抓取(Web Skimming)攻击手段进行的对策。网页抓取是一种通过在电子商务网站等处植入恶意程序来窃取个人信息的攻击手法。
具体来说,攻击者可以直接从输入页面获取用户在输入表单中输入的密码或信用卡信息等。
在网页抓取的情况下,用户输入的信息在被电子商务网站运营商的个人信息数据库等纳入之前,就直接被窃取。在这种情况下,被盗的仅仅是尚未转化为“个人数据”的“个人信息”。
修正前,泄露等报告的义务仅限于“个人数据”。因此,即使发生了网页抓取导致的损害,电子商务网站运营商也没有报告等的义务。
本次修正的目的是将网页抓取导致的信息泄露也纳入报告范围,并将泄露等报告和安全管理措施的对象扩大到包括“个人信息”。
令和6年(2023年)个人信息保护法实施规则的修正内容
泄露等报告义务的对象扩大
个人信息保护法实施规则第7条3号已经如下修正。
| 修正后法规 | 修正前 |
| 第7条法第26条第1款本文规定,可能严重侵害个人权益的情况,按照个人信息保护委员会规则确定,包括以下情况之一。三 存在以不正当目的进行的,对相关个人信息处理业者的行为导致个人数据(该个人信息处理业者已经获取或正尝试获取的个人信息,预计将作为个人数据处理)的泄露等情况,或存在泄露的可能 | 第7条法第26条第1款本文规定,可能严重侵害个人权益的情况,按照个人信息保护委员会规则确定,包括以下情况之一。三 存在以不正当目的进行的个人数据泄露等情况,或存在泄露的可能 |
“相关个人信息处理业者”包括委托方和个人信息处理服务提供者。
此外,是否属于“正尝试获取的个人信息”,需考虑个人信息的获取方式等,以客观方式判断(指南通则编3-5-3-1)。
因此,泄露等的报告和通知义务的对象,在一定情况下扩大到了“个人信息”,这是令和6年(2023年)修正的一个重大变化点。
安全管理措施的对象扩大
随着泄露等报告义务规则的修正,个人信息保护法指南通则编3-4-2的内容也进行了更改。
关于业者应采取的安全管理措施,现包括了为防止预计将作为个人数据处理的个人信息(个人信息处理业者已经获取或正尝试获取的个人信息)的泄露等所需的必要且适当的措施。
安全管理措施的对象也从“个人数据”扩大到了在一定情况下的“个人信息”。
参考:个人信息保护委员会|(令和6年(2023年)4月1日施行)关于个人信息保护法的指南(通则编)
实施修订后的个人信息保护法所需采取的措施
对于令和6年(2024年)修订的个人信息保护法的实施,需要采取以下两项措施。
- 修订隐私政策
- 修订并公布公司内部规则
让我们详细看看这些措施。
修订隐私政策
处理个人信息的业务者必须将持有个人数据的安全管理措施置于个人可以知晓的状态。这也包括必须能够应个人的请求而无延迟地作出回应的状态(日本个人信息保护法第32条第1款第4项)。
那些通过在隐私政策中说明持有个人数据的安全管理措施来应对的业务者需要注意。隐私政策中必须新增一定的个人信息,将其纳入安全管理措施的范围。
修订并公布公司内部规则
关于部分个人信息泄露等情况也会产生报告和通知义务的变化,需要反映在公司内部规定中,并通知员工。
改正后新纳入报告等对象的个人信息泄露情况并不仅限于网页钓鱼。例如,个人信息处理业务者发送给客户的回信用信封地址被篡改,导致信封内填写的问卷中的个人信息落入第三方之手。如果这些个人信息预计将作为个人数据处理,就会产生信息泄露的报告和通知义务。
因此,对于以前不会产生义务的个人信息的处理也发生了变化,必须提醒员工注意。
总结:应咨询专家以应对《日本个人信息保护法》的修正
在《日本个人信息保护法》令和6年(2024年)的修正中,考虑到网页抓取(skimming)对策,扩大了泄露等发生时的报告・通知义务和安全管理措施的对象。在修正之前,仅“个人数据”被视为对象,但在某些情况下,“个人信息”也被包括在内。
由于这次的修正,需要采取措施,如修订隐私政策和公司内部规则等。
在处理个人信息时,如果措施不当,可能会带来社会信誉的丧失等大风险。因此,建议在应对时咨询律师。
我所采取的对策介绍
Monolith法律事务所是一家在IT领域,尤其是互联网和法律方面拥有丰富经验的法律事务所。近来,个人信息泄露已成为一个重大问题。一旦发生个人信息泄露,可能会对企业活动造成致命影响。我们事务所拥有关于防止信息泄露和应对措施的专业知识。详细内容请参阅下文。
Monolith法律事务所的业务范围:个人信息保护法相关法务[ja]
