令和6年(2024年)修正《日本個人資訊保護法》的要點是什麼?解說應知的變更點和對策
令和6年(2024年)4月,將實施修正後的日本個人資訊保護法施行規則。此次修正擴大了在發生洩露等情況時向個人資訊保護委員會報告的義務以及向本人通知的義務。
這次修正的主要重點,在於應對近年來關於個人資訊的問題,如網頁劫持等。
然而,要準確理解修正內容並採取適當的應對措施,需要專業知識,許多人可能不清楚自己公司應該如何應對。本文將解釋令和6年(2024年)修正的要點及應對策略。
令和6年(2024年)改正日本個人資訊保護法的變更要點概要
令和6年(2024年)對日本個人資訊保護法的修正中,值得關注的變更內容是,發生洩漏等情況時的報告・通知義務和採取安全管理措施的義務範圍,擴大到了部分「個人資訊」。
在原有的規範中,洩漏時的報告義務等僅針對「個人數據」,並未包含「個人資訊」。
此次修正後,日本個人資訊保護法施行規則第7條第3號和「日本個人資訊保護法指南(通則編)」[ja]中記載了變更內容。
修正後法律 | 修正前 | |
洩漏等的報告等義務 | 負有(在特定情況下) | 無需負擔 |
採取安全管理措施的義務 | 負有(在特定情況下) | 無需負擔 |
具體的規制內容和變更點,將在以下進行詳細解說。
迄今為止個人資料保護法中的規範對象
為了掌握修正法的內容,對於修正前的規範內容有準確的理解是必須的。在此,本所將解說修正前所定義的規範定義與內容。
個人資訊與個人數據的區別
在日本個人資訊保護法中,將「個人資訊」與「個人數據」作為保護對象進行區分。
「個人資訊」是指與生存的個人相關的資訊,通過該資訊中包含的姓名、出生日期等描述,可以識別特定個人的資訊。這在日本個人資訊保護法第2條第1項第1號中有定義。
相關文章:令和4年(2022年)改正日本個人資訊保護法「假名加工資訊」新設等以促進數據的利用[ja]
另一方面,「個人數據」是指構成個人資訊資料庫等的個人資訊,這在日本個人資訊保護法第16條第1項中有所規定。
例如,在製作活動出席者名冊時,參加者所提供的姓名、地址等資訊被稱為「個人資訊」。然後,將各參加者的個人資訊彙總到試算表等中所創建的資料庫稱為「個人資訊資料庫」。構成這個資料庫的各個資訊即為「個人數據」。
在日本個人資訊保護法中,需要理解保護對象是「個人資訊」還是「個人數據」,這將對規制內容產生重大影響。
漏洩等報告義務是什麼
個人資訊保護法規定,當個人資料發生漏洩等情況時,要求處理個人資訊的事業者必須向個人資訊保護委員會報告並通知當事人。
(漏洩等的報告義務)
關於個人資訊保護的法律|e-Gov法令檢索[ja]
第二十六條 處理個人資訊的事業者在處理的個人資料發生漏洩、遺失、毀損或其他可能嚴重影響個人權益的安全保障情況時,根據個人資訊保護委員會規則的規定,必須向個人資訊保護委員會報告該情況。但是,如果該個人資訊處理事業者是受其他個人資訊處理事業者或行政機關等委託處理全部或部分個人資料,並根據個人資訊保護委員會規則的規定,已向該其他個人資訊處理事業者或行政機關等通報該情況,則不在此限。
2 在前項規定的情況下,除了已經做出通報的個人資訊處理事業者外,其他事業者必須根據個人資訊保護委員會規則的規定,向當事人通報該情況。但是,如果對當事人進行通知困難,並且為了保護當事人的權益採取了必要的替代措施,則不在此限。
報告和通知的義務並非在所有漏洩等情況下都會發生。根據個人資訊保護法實施規則第7條,僅在以下四種情況下要求報告和通知:
- 包含需要特別注意的個人資訊的個人資料漏洩(例如:員工的健康檢查結果)
- 因不正利用導致可能發生財產損失的個人資料漏洩(例如:信用卡號碼)
- 有被不正目的使用的風險的個人資料漏洩
- 影響超過1000人的個人資料漏洩
在此次修正中,第7條第3項的內容已經被更改。
什麼是安全管理措施
個人資訊保護法要求處理個人資訊的事業者必須採取必要且適當的措施,以防止個人資料的洩露等情況發生,並確保安全管理。
(安全管理措施)
關於個人資訊的保護法律|e-Gov法令檢索[ja]
第二十三條 處理個人資訊的事業者必須採取必要且適當的措施,以防止其處理的個人資料洩露、遺失或被毀損,並為其他個人資料的安全管理而努力。
具體例子包括設置訪問控制、對員工進行培訓以及制定規範等。
改正前的規範對象
在改正前,當發生洩露等情況時,被規定必須承擔報告義務和採取安全管理措施的義務的對象僅限於「個人資料」。對於「個人信息」而言,即便發生洩露等情況,事業者也無需承擔這類義務。
然而,本次改正將報告・通知義務和安全管理措施設置義務的對象擴大到了部分「個人信息」。
個人資訊保護法施行規則改正的宗旨與目的
本次改正主要針對網頁劫持(Web Skimming)攻擊手法進行對策。網頁劫持是指在電子商務網站等處安裝惡意程式,從而竊取個人資訊的攻擊手法。
具體來說,攻擊者可以直接從輸入頁面獲取用戶在輸入表單中輸入的密碼或信用卡資訊等。
在網頁劫持的情況下,用戶輸入的資訊在被電子商務網站業者的個人資訊資料庫等納入之前,就已經被直接竊取。在這種情況下,被竊取的僅僅是尚未轉化為「個人數據」的「個人資訊」。
改正前,洩露等報告的義務僅針對「個人數據」。因此,即便發生了網頁劫持導致的損害,電子商務網站業者也無需進行報告等義務。
本次改正的目的是將網頁劫持導致的資訊洩露也納入報告範圍,並將洩露等報告和安全管理措施的對象擴大到包括「個人資訊」。
令和6年(2023年)日本個人資訊保護法施行規則的修正內容
擴大洩漏等報告義務的適用範圍
日本個人資訊保護法施行規則第7條3號已如下修正。
修正後法條 | 修正前 |
第7條法第26條第1項本文將對個人的權利利益造成重大損害的可能性較大的情況,按照個人資訊保護委員會規則規定為以下任一情形。三 存在以不正當目的進行的可能性,對該個人資訊處理業者的行為導致個人資料(該個人資訊處理業者已獲取或正試圖獲取的個人資訊,預計將作為個人資料處理)的洩漏等情況發生,或存在發生的可能性 | 第7條法第26條第1項本文將對個人的權利利益造成重大損害的可能性較大的情況,按照個人資訊保護委員會規則規定為以下任一情形。三 存在以不正當目的進行的可能性,個人資料的洩漏等情況發生,或存在發生的可能性 |
「該個人資訊處理業者」包括委託方和個人資訊處理服務提供者。
此外,是否屬於個人資訊處理業者「正試圖獲取的個人資訊」,將根據獲取個人資訊的手段等客觀判斷(指導方針通則編3-5-3-1)。
如此,洩漏等的報告與通知義務適用範圍擴大至某些情況下的「個人資訊」,是令和6年(2023年)修正的一個重大變化。
擴大安全管理措施的適用範圍
隨著洩漏等報告義務規定的修正,日本個人資訊保護法指導方針通則編3-4-2的記載也進行了更改。
業者應採取的安全管理措施,現包括了為防止預計將作為個人資料處理的個人資訊(個人資訊處理業者已獲取或正試圖獲取的個人資訊)的洩漏等所需的必要且適當的措施。
安全管理措施的適用範圍也從「個人資料」擴大至某些情況下的「個人資訊」。
參考:日本個人資訊保護委員會|(令和6年(2023年)4月1日施行)關於個人資訊保護法的指導方針(通則編)
實施改正個人資訊保護法後應採取的對策
針對令和6年(2024年)實施的改正個人資訊保護法,應採取以下兩項對策。
- 修訂隱私政策
- 修訂並公告公司內部規則
讓本所來詳細了解這些對策。
修訂隱私政策
處理個人資訊的事業者必須將持有個人數據的安全管理措施置於個人可知的狀態,這也包括必須能夠應個人的要求而無延遲地回應(日本個人資訊保護法第32條1項4號)。
那些在隱私政策中記載持有個人數據的安全管理措施的事業者需要特別注意。隱私政策中必須新增特定個人資訊到安全管理措施的範圍內。
修訂並公告公司內部規則
關於部分個人資訊洩露等情況也會引發報告和通知的義務,這一點需要反映在公司內部規定中,並且需要讓員工知曉。
改正後新加入報告等對象的個人資訊洩露情況不僅限於網絡劫持。
例如,個人資訊處理事業者若因寄送給顧客的回信用信封地址被篡改,導致信封內填寫的問卷上的個人資訊落入第三方之手。如果這些個人資訊原本預定作為個人數據處理,則會引發報告和通知的義務。
因此,對於之前未引發義務的個人資訊處理也會發生變化,必須提醒員工注意。
總結:應對個人資訊保護法修正,請諮詢專家
在日本個人資訊保護法的令和6年(2024年)修正中,考慮到網頁劫持對策,擴大了洩露等發生時的報告・通知義務和安全管理措施的適用範圍。修正前僅針對「個人數據」,但在某些情況下現在也將「個人資訊」納入考慮範圍。
這次的修正要求必須採取措施,如修訂隱私政策和公司內部規則等。
處理個人資訊時,如果措施不當,可能會帶來社會信譽的損失等風險。因此,建議在應對時諮詢律師。
本所提供的對策介紹
Monolith法律事務所是一家在IT領域,特別是互聯網和法律兩方面都擁有豐富經驗的法律事務所。近來,個人資訊的洩露已成為一個重大問題。萬一個人資訊被洩露,可能對企業活動造成致命的影響。本所事務所擁有專門的知識,能夠提供資訊洩露防範和應對策略。詳細內容請參閱下列文章。
Monolith法律事務所的業務範圍:個人資訊保護法相關法務[ja]