關於2022年修訂的「日本個人資訊保護法」罰則的解說
自2022年4月起,修訂後的日本《個人資訊保護法》已經實施。在解釋2022年修訂的日本《個人資訊保護法》中「事業者的責任」的注意事項之後,這次本所將解釋數據利用的方式以及相關的懲罰。
2022年修訂的日本個人資訊保護法概述
日本個人資訊保護法在2022年的修訂,主要涉及以下六個方面:
- 個人權利的定位
- 企業應承擔的責任的定位
- 鼓勵企業主動承擔責任的機制的定位
- 資料利用的定位
- 懲罰的定位
- 法律的域外適用與跨境轉移的定位
促進企業自主性的機制之存在方式
對於促進企業自主性的機制之存在方式,隨著業務實況的多樣化和IT技術的進步,民間團體在特定領域中制定有關個人資料處理的自主規則,並積極對目標企業進行指導等,其重要性正在增加。
在日本《個人資訊保護法》中,除了個人資訊保護委員會外,也利用民間團體來保護資訊,並設有認證團體制度。處理有關個人資訊處理的投訴,向企業提供有關個人資訊適當處理的資訊等的法人或團體,可以獲得個人資訊保護委員會的認證,成為「認證個人資訊保護團體」。然而,在修訂法中,對於認證團體制度,可以認證針對企業的特定領域(部門)的團體為認證團體(第47條第2項)。這是一種允許以業務單位為認證團體,進一步推進認證團體的利用,並由專門從事特定業務的團體進行專業性的個人資訊保護的措施。
數據利用的方式
關於數據利用的方式,以下的兩點已經被修訂。
創設「偽名處理信息」並緩和義務(第2條第9項)
在現行法中,僅僅將個人信息偽名化的信息仍然被視為「個人信息」,業者需要承擔各種與個人信息處理相關的義務。然而,對於這種「偽名化的個人信息」,在確保一定的安全性的同時,保持與處理前的個人信息相同程度的數據有用性,從而能夠以相對簡單的處理方法進行更詳細的分析,對此的利用需求正在增加。
因此,在修訂法中,從促進創新的角度出發,創設了刪除姓名等的「偽名處理信息」,並在限定於內部分析等條件下,緩和了對揭露和利用停止請求等的義務。
所創設的偽名處理信息是指「除非與其他信息對照,否則無法識別特定個人的個人信息處理結果」。例如,將「姓名、年齡、日期、時間、金額、店鋪」處理為「偽ID、年齡、日期、時間、金額、店鋪」。預期的利用例子包括「用於初次使用目的不相關或難以判斷是否相關的新目的的內部分析」(如醫療和製藥領域的研究、不正行為檢測、銷售預測等的機器學習模型學習),以及「將達成使用目的的個人信息處理為偽名處理信息並保存,以便將來可能用於統計分析」。
關於偽名處理信息的創建方法,至少需要:
- 刪除(包括替換)能識別特定個人的描述等(例如:姓名)的全部或部分
- 刪除個人識別碼的全部
- 刪除可能因不正使用而導致財產損失的描述等(例如:信用卡號)
這些措施是被要求的。
確認可能在提供方成為個人數據的信息的義務(第26條之二)
在現行法中,即使在提供方不屬於個人數據的信息被預期在提供方成為個人數據的情況下,也不會成為規範的對象。然而,在修訂法中,即使在提供方不屬於個人數據,但被預期在提供方成為個人數據的信息的第三方提供,被要求確認已獲得本人的同意等。
由於技術的發展和普及,大量收集用戶數據並立即將其結合成個人數據,即使事先知道在提供方會成為個人數據,也將其作為非個人信息提供給第三方,這種規避個人信息保護法精神的方案正在橫行。這是因為擔心這種無需本人參與的個人信息收集方法的普及。
關於罰款
關於罰款的方式,以下兩點已經被修訂。
委員會命令違反與對委員會的虛假報告等的法定刑提高(第83條、第87條等)
隨著違法案件的增加,進行報告收集和入侵檢查的案件也在增加,需要提高報告收集和入侵檢查的實效性以了解企業的實際情況。因此,在修訂法中,法定刑被提高。
行為人的「違反日本個人資訊保護委員會的命令」在現行法中是6個月以下的監禁或30萬日元以下的罰金,但在修訂法中變為1年以下的監禁或100萬日元以下的罰金。「個人資訊數據庫等的不正提供等」仍然是1年以下的監禁或50萬日元以下的罰金,但「對日本個人資訊保護委員會的虛假報告等」在現行法中是30萬日元以下的罰金,而在修訂法中變為50萬日元以下的罰金。
對法人的罰金刑提高(第84條、第85條等)
在現行法中,對法人的罰金金額與行為人的法定刑相同。但考慮到法人與個人的資力差距等,修訂法中對命令違反等的罰金,對法人的罰金刑的最高額提高(法人重科)。即使對法人施以與行為人相同的罰金,也不能期待足夠的威懾效果。
法人的「違反日本個人資訊保護委員會的命令」在現行法中是與行為人相同的30萬日元以下的罰金,但在修訂法中變為1億日元以下的罰金。「個人資訊數據庫等的不正提供等」在現行法中是與行為人相同的50萬日元以下的罰金,但在修訂法中變為1億日元以下的罰金。然而,「對日本個人資訊保護委員會的虛假報告等」在現行法中是與行為人相同的30萬日元以下的罰金,而在修訂法中仍然是與行為人相同的50萬日元以下的罰金。
法律的域外適用與跨境轉移的方式
關於法律的域外適用與跨境轉移的方式,以下兩點已經進行了修訂。
強化域外適用(第75條)
在現行法中,對於成為域外適用對象的外國營業者能夠行使的權限,僅限於不具有強制力的指導和建議等權限。然而,由於存在委員會無法適當應對在外國發生的資訊洩露等事件的風險,因此在修訂法中,將在日本國內的人士提供與物品或藥務相關的個人資訊等的外國營業者,作為報告收集和命令的對象,並通過罰則來確保其遵守,從而強化了日本個人資訊保護委員會的權限行使。
增強對個人在轉移目的地營業者處的個人資訊處理的信息提供(第78條)
在一些國家,國家管理規定已經開始出現,隨著個人資訊跨境轉移的機會增加,國家或地區制度的差異使得個人或數據處理營業者的預見性變得不穩定,從而引發了對保護個人權益的擔憂。
對此,當向外國的第三方提供個人數據時,要求增強對個人在轉移目的地營業者處的個人資訊處理的信息提供等,並將能夠向外國的第三方提供個人數據的要求,從現行法的「獲得本人的同意」變更為「在獲得同意時,向本人提供轉移目的地國家的名稱、該國家是否有關於個人資訊保護的制度等信息」,並將「建立符合標準的體系的營業者」的要求變更為「定期確認轉移目的地營業者的處理狀況並根據本人的要求提供相關信息」。
總結:修訂對AI和大數據時代的應對
根據「每三年進行一次審查的規定」,2022年的日本《個人資訊保護法》修訂是首次的法律修訂。修訂內容包括擴大停止使用、刪除等措施,禁止不當使用,增強跨境轉移相關的資訊提供,創設「偽名處理資訊」等。這些修訂旨在保護個人的權益,強化利用,應對由於跨境數據流通增加而產生的新風險,以及對AI和大數據時代的應對等。
本所事務所的對策介紹
MONOLITH律師事務所是一家在IT,特別是互聯網和法律兩方面都具有高度專業性的律師事務所。剛剛修訂的「日本個人信息保護法」引起了廣泛關注,法律審查的必要性也日益增加。本所事務所提供有關知識產權的解決方案。