Real News On-line!

沖縄から福島、東京までの日本の政治、ビジネス、犯罪、技術、社会、文化に関する最新ニュースと詳細な分析

テクノロジーと個人の権利を管理する法律の比較: 日本

テクノロジーと個人の権利を管理する法律の比較: 日本

T彼の記事は、管理者および処理者を含む外国事業体(「外国事業体」または「外国事業者」)が日本に所在する個人の個人情報を取り扱う際に特別な注意を払う必要がある日本の個人情報の保護に関する法律(APPI)規制を紹介しています。 。 日本。

域外出願

APPI 法が域外適用されない場合、その規制を考慮する必要はありません。 APPI 法では、事業体が日本国外に所在する場合には域外適用されると規定されています。

  1. 日本に居住する個人(「データ主体」)の個人データを処理します。 そして

  2. 当社は、日本国内に所在する企業および/または個人への商品またはサービスの提供に関連して当該個人データを取り扱います(APPI法第171条)。

「事業者」は国内・国外を問いません。 「日本国内に所在する個人」には、国籍や一時的な居住地に関わらずデータ主体が含まれます。 ポイントは、商品やサービスの提供に関する場合に限定されているということです。

例えば、外国事業体がグローバルな従業員情報管理の一環として日本の子会社の従業員の個人データを取り扱う場合、その活動は物品やサービスの提供に関係しないため、APPIの域外適用には該当しません。 。

国境を越えた転送

新沢潤新沢潤
新沢潤
パートナー
朱蘇州法律事務所
東京
メール:[email protected]

このように、日本向けサービスにおける個人情報の取得はAPPIに該当します。 取得方法は、データ主体から直接取得することも、地元の事業体から直接取得することもできますが、後者のシナリオには複雑な規制が伴います。 この規制の対象となるのは外国企業に個人情報を提供しようとする国内事業者ですが、外国事業者にとってもこの規制の理解は不可欠です。

APPIでは、国内事業者がデータ主体の個人データを他国の第三者に移転する場合(「国境を越えたデータ移転」)、国内事業体はデータ主体に具体的な条件を提示した上で、事前にデータ主体の同意を得なければならないと規定しています。および他国に関する参考情報(APPI第28条第1項および第2項「情報参照」)。

    1. 提供される情報には次のものが含まれます。

      1. 関係国名: 承認時に仕向国を決定できない場合は、その理由を国名に関する代替情報とともに提供する必要があります(たとえば、潜在的な外国の範囲が異なる場合など)。が決定される場合は、この範囲を提供する必要があります)。 そして

      2. 外国における個人情報保護制度に関する情報: この要件は、国内と外国の法制度の違いをデータ主体に認識させることを目的としています。 日本の個人情報保護委員会(PPC)が発行。 海外の主な規制の概要 地方自治体はその Web サイトで、この情報を提供するための要件を満たすことができます。 受取人の外国がリストに記載されていない場合、地元企業はまず外国の事業者に法制度について問い合わせることになるでしょう。

      3. 個人データを保護するための第三者による保護措置: 外国事業者が OECD プライバシー ガイドラインの 8 原則に対応するすべての措置を講じている場合は、この情報を提供するだけで十分です。 外国事業者がとった措置が明確でない場合には、その事実とその理由を提供するだけで十分ですが、明らかになった場合には説明を追加することが望ましいです。

    2. 「外国」の範囲。 EUおよび英国はAPPI第28条の「外国」の定義から除外されており、APPIでは日本国内での送金と同等に扱われます。 APPI 法では、個人データを現地の第三者に転送する前にもデータ主体の同意が必要です (第 27 条第 1 項)。ただし、現地の第三者への転送に関する規制は複雑ではありません。

    3. 「サードパーティ」の範囲。 適切な措置を講じた外国事業者は、APPI第28条の「第三者」の定義から除外されます。 具体的には、外国の第三者が講じた措置がAPPIに基づく現地事業者に求められる基準を満たしていることが確認された場合、または外国の第三者がAPEC(アジア太平洋経済協力)に基づく認証を取得した場合です。国境を越えたプライバシー ルール システム冷静)、適切な措置を講じる資格を持っています。

      外国の第三者が適切な措置を講じていると認められる場合であっても、データ主体の同意を得る必要がない場合、現地サービスプロバイダーは、外国の第三者が適切な措置を講じていることを確保しなければなりません(法第28条第3項)。アプリ。 )。 これには、適切な措置を継続的に実施することを保証するための年次認証などの措置を講じる必要があり、現地のサービスプロバイダーに多大な負担を課す可能性があります。 したがって、適切な対策の要件を使用するのは簡単ではありません。

    4. 違反に対する罰則。 これらの規制に違反した国内事業体に対して、PPC は是正措置を勧告し、遵守されない場合には命令を発することができます(APPI 法第 148 条)。 地元団体がこれらの命令に従わない場合、違反団体の代表者には最長1年の懲役または最高100万円(6,700ドル)の罰金が科せられ、そのような個人を雇用する団体には最高1億円の罰金が科される可能性がある。円(670,000ドル)。アメリカ)(APPIの第178条および184条、第1項、第1節)。

データ侵害のルール

かしぶちゆうかしぶちゆう
かしぶちゆう
パートナー
東京の忠秀條法律事務所
メール:[email protected]

ランサムウェア攻撃またはその他の事件により個人データが漏洩、紛失、または破壊された場合(「データ侵害」)、企業はデータ侵害を PPC およびデータ主体に報告しなければなりません(APPI 第 26 条)。

  1. PPC レポートと影響を受けるデータ主体への通知は、次のような状況で必要となります。

    1. 人種、信条、婚姻状況、病歴、犯罪歴などを含むがこれらに限定されない、データ主体に関する機密個人データを含む個人データ (APPI の第 2 条第 3 項を参照) がデータ侵害を引き起こした、またはデータ侵害の原因となっているデータ侵害の危険にさらされています。

    2. 個人データの漏洩や侵害の可能性は、クレジット カード番号の漏洩と同様に、経済的損害を引き起こす可能性があります。

    3. 第三者の攻撃などの悪意により、個人データが侵害された、または侵害の危険にさらされている。 そして

    4. 侵害またはデータ侵害の可能性が 1,000 人を超える個人データに関連している場合。

  2. PPC の報告および影響を受けるデータ主体への通知は、侵害が発生した企業エンティティの責任となります。 管理者 (事業体) がデータ侵害に遭遇した場合、これは簡単です。 ただし、処理者 (下請け業者) がデータ侵害に遭遇した場合、管理者と下請け業者の両方が報告と通知を行う責任があります。 重複した報告を防ぐために、下請け業者がデータ侵害を管理者に通知した場合、下請け業者の報告および通知義務は履行されたものとみなされます。

  3. PPC への報告には以下が含まれます。

    1. インシデントの発見から 3 ~ 5 日以内に、既知の事項を詳細に記載した最初の報告書を作成します。

    2. インシデントの概要、関係する個人データの種類、影響を受けたデータ主体の数、および問題の原因を含む詳細なレポートを、インシデントの発見から 30 日以内 (インシデントに悪意が含まれる場合は 60 日以内) に提出する必要があります。事件。 事件、二次被害の有無及びその性質又は危険性、情報主体への対応状況、公表状況、再発防止策その他の関連情報そして

    3. 報告には通常、PPC のオンライン報告フォーム (https://roueihou Koku.ppc.go.jp/incident/?top=r2.kojindata) が使用されますが、これには日本語能力が必要です。 特に最初のレポートの場合は、翻訳に必要な時間を考慮する必要があります。

  4. 影響を受けるデータ主体に通知する場合:

    1. 状況に応じて速やかな通知が期待されます。 ただし、タイミングはケースバイケースで決定する必要があります。

    2. 通知には、インシデントの概要、関係する個人データの種類、インシデントの原因、二次被害の有無、性質またはリスク、その他の関連情報を含める必要があります。

    3. 文書または電子メールによるデータ主体への直接通知が標準ですが、直接連絡が不可能な場合は、公開またはその他の方法が使用される場合があります。

  5. 必要に応じて PPC に通知しなかった場合、または影響を受けるデータ主体に通知しなかった場合、上記セクション「国境を越えたデータ転送」のセクション (4) で説明した国境を越えたデータ転送違反について前述したのと同じ罰則が科せられる可能性があります。

結論として、この記事では、日本に居住する個人の個人データを扱う外国事業者に対するAPPIの一般的な規制枠組みについて説明し、日本のデータ主体の個人データを保護するためにAPPIの規定を遵守することの重要性を強調しました。