關於令和4年(2022年)修訂的「日本個人資訊保護法」中「事業者的責任」的注意事項解說
自2022年4月起,修訂後的日本《個人資訊保護法》已經開始實施。《個人資訊保護法》在考慮到個人資訊的有用性的同時,也旨在保護個人的權益,確保個人資訊的適當處理。那麼,具體來說,修訂後的日本《個人資訊保護法》的實施將會改變哪些方面呢?本次本所將針對個人權利的存在方式以及企業的責任進行解說。
個人資訊保護法的修訂與緣由
在2003年制定並於2005年全面實施的日本個人資訊保護法,在實施後的10年,即2015年,由於「資訊通訊技術的發展使得在制定時未能預見的個人資料的利用成為可能」,因此進行了修訂,並在2017年全面實施。
在這次2017年的修訂法中,加入了「考慮到國際趨勢、資訊技術的進步、新產業的創建和發展狀況,每三年根據實際情況進行一次修訂」的「每三年一次的修訂規定」。
2017年實施的個人資訊保護法修訂法附則中的相關規定(節錄)
(考慮)第12條
(略)
2 政府應在本法實施後三年內,考慮到制定和推進個人資訊保護基本方針以及其他個人資訊保護委員會的職責,以及為有效執行這些職責所需的人力結構、資源確保等措施的狀況,對其改進進行考慮,並在認為有必要時,根據考慮結果採取必要的措施。
3 政府應在本法實施後三年內,除了前項所述事項外,還應考慮到個人資訊保護的國際趨勢、資訊通訊技術的進步、以及由此產生的利用個人資訊的新產業的創建和發展狀況等,對新個人資訊保護法的實施狀況進行考慮,並在認為有必要時,根據考慮結果採取必要的措施。
4,5(略)
6 政府應根據新個人資訊保護法的實施狀況、第一項的措施的實施狀況以及其他狀況,對新個人資訊保護法第二條第一項規定的個人資訊以及行政機關等持有的個人資訊的保護規定進行整合,並包括將其一體化規定在內,對個人資訊保護的法制狀況進行考慮。
令和4年(2022年)修訂的日本個人資訊保護法,是基於這個「每三年一次的修訂規定」進行的首次法律修訂。
令和4年(2022年)日本修訂個人資訊保護法的概要
日本個人資訊保護法於2022年的修訂,主要涉及以下六個方面:
- 個人權利的定位
- 企業應承擔的責任
- 鼓勵企業主動採取措施的機制
- 資料利用的方式
- 懲罰措施的設定
- 法律的域外適用及跨境轉移的方式
本文將針對上述修訂的第一點和第二點進行解說。
相關文章:令和4年(2022年)日本修訂個人資訊保護法「懲罰措施」的解說[ja]
個人權利的存在方式
關於個人權利的存在方式,以下五點已經進行了修訂。
擴大個人的停止使用、刪除等請求權(日本第30條)
在現行法中,個人的停止使用、刪除等請求權僅限於「當個人資訊被用於非目的使用時」或「當以不正當手段獲取時」等違法情況。然而,在修訂法中,即使在「處理個人資料的業者不再需要使用持有的個人資料時」、「發生洩露等情況時」、「當個人的權利或合法利益可能受到損害時」,也可以請求停止使用、刪除、停止向第三方提供。
持有個人資料的披露方式(日本第28條)
如果是本人,可以向處理個人資訊的業者請求披露持有的個人資料。接到請求後,處理個人資訊的業者必須原則上披露持有的個人資料。在現行法中,持有的個人資料的披露原則上是以書面形式進行。然而,當資訊量龐大時,書面交付可能不適合,此外,如果持有的個人資料是像影片或音頻數據這樣的數據,則根本不適合以書面形式交付。因此,在修訂法中,本人可以請求「以本人指定的方式進行披露」,例如通過提供電磁記錄等方式。處理個人資訊的業者有義務按照本人請求的方式進行披露。
處理個人資訊的企業需要盡早建立應對數字數據披露請求的體制。
由本人請求披露第三方提供記錄(日本第28條第5項)
處理個人資訊的業者在向第三方提供個人資料時,必須製作法律規定的記錄,接收第三方提供的人也必須製作法律規定的記錄。這個與個人資料的第三方提供相關的記錄和接收個人資料的第三方提供時的確認記錄,統稱為「第三方提供記錄」。
在現行法中,本人不能請求披露業者製作的第三方提供記錄,但在修訂法中,本人可以請求披露第三方提供記錄,考慮到了本人的追蹤可能性。
將短期保存數據包含在持有個人資料中(日本第2條第7項)
在現行法中,持有個人資料被定義為「處理個人資訊的業者具有進行披露、內容的修正、添加或刪除、停止使用、刪除和停止向第三方提供的權限的個人資料」,「由於其存在與否的確定會損害公共利益或其他利益而由政令規定的」或「在政令規定的一年內刪除的」以外的東西,「政令規定的一年內的期間」被規定為6個月。
然而,即使是短期刪除的數據,也有可能在刪除前發生洩露等情況,因此,在修訂法中,將在6個月內刪除的短期保存數據也包含在「持有個人資料」中。
限制退出規定的範圍(日本第23條第2項)
退出規定是「在公開提供個人資料的項目等後,可以在本人請求後停止,而無需本人同意就可以向第三方提供個人資料的制度」,但在現行法中,只有需要考慮的個人資訊被排除在外。
在修訂法中,限制了可以向第三方提供的個人資料的範圍,並將「不正當獲取的個人資料」和「通過退出規定提供的個人資料」也排除在外。
經營者應履行的責任
關於經營者應履行的責任,以下兩點已經進行了修訂。
強制性的洩露報告(日本《個人資訊保護法》第22條第2項)
在現行法中,洩露等的報告並非法律義務,因此部分經營者並未積極應對,如果經營者未公開,則日本個人資訊保護委員會可能無法掌握案件,無法適當應對。在修訂法中,如果發生洩露等,並且可能嚴重損害個人的利益權利,則強制向日本個人資訊保護委員會報告並通知本人。
強制性的洩露報告的對象包括,不論件數的「需要注意的個人資訊洩露」、「由於非法訪問等導致的洩露」、「可能造成財產損失的洩露」,以及超過1000件的「大規模洩露」。
禁止不適當的使用方式(日本《個人資訊保護法》第16條第2項)
隨著數據分析技術的迅速提升,可能侵犯個人權利利益的個人資訊使用方式已經出現,消費者的擔憂也在增加。因此,修訂法明確規定,不得以非法或不當的行為助長等不適當的方式使用個人資訊。
「非法或不當的行為助長等不適當的方式」包括「向從事非法行為的第三方提供個人資訊」和「儘管可以充分預見可能引發歧視,仍將由法院公告等分散公開的個人資訊集中並製成數據庫,在互聯網上公開」等相當程度的惡質情況。
總結
本文對於修訂點的1和2進行了解說。對於修訂點的3、4、5、6,將在另一篇文章中進行解說。
相關文章:日本令和4年(2022年)修訂個人資訊保護法「懲罰」解說[ja]
本所事務所的對策介紹
Monolith法律事務所是一家在IT,特別是互聯網和法律兩方面都具有高度專業性的法律事務所。剛剛修訂的「日本個人信息保護法」引起了廣泛關注,法律審查的必要性也日益增加。本所事務所提供有關知識產權的解決方案。詳細內容請參見下文。