日本のデータ保護法の変更は欧州のGDPRを反映している
日本は2005年の個人情報保護法(APPI)を改正し、EUの一般データ保護規則(GDPR)に近づけた。
今月発表された最新の改正点は、データ侵害の報告と、防犯カメラなどのデバイスから収集した顔認識データの利用を対象としている。
違反の報告は、従来のように郵送やファックスではなく、正式なフォームを使用して報告する必要があります。
また、画像データを処理する際には、利用目的を明示するとともに、処理方法やプライバシー対策を明確にすること。
これらの追加は、2022年からの国際的なデータ転送に関する規制が強化され、GDPRとの整合性をさらに高めることを意味する、より重要な変更に続くものです。
“法律事務所スクワイア・パットン・ボッグスの東京オフィスのパートナーであるスコット・ウォーレン氏は、「日本はGDPRと多くの類似点を持つ堅牢なデータプライバシー法を持っています」とデイリー・スウィッグ紙に語っています。
“実際、日本はアジアで唯一、EUと共同で適切性に関する調査結果を交換し、法律がほぼ同等であることを確認した国です」とThe Daily Swigに語っています。
ウォーレン氏は、「私が興味深いと思うのは、法律が異なる点だ。例えば、日本には違反の通知義務はなく、基準を満たしていない企業に対する重大な罰則もありません。
“日本は最近、罰則を最高946,000ドルに引き上げるなど、これらの項目のいくつかを是正するための法改正を可決しましたが、それが完全に実施されるまでには1年以上かかるでしょう」と述べています。
国境を越えた送金
現行のAPPIは、日本に所在するデータ対象者から個人情報を取得するあらゆる組織に適用されるが、これまでは外国企業には適用されていなかった。
しかし、今後は日本居住者の個人情報の処理に関する報告書を提出しなければならず、不備があれば罰則が科せられる可能性がある。
特定のウェブフォームでの報告に加えて、すべての違反行為は被害者と個人情報保護委員会(PPC)に報告しなければならないという新たな要件が設けられた。
すべての違反行為が報告される必要があるかどうかはまだ明らかになっていませんが、重大な事件や対象者の権利を侵害するようなものは、ほぼ確実に報告されるでしょう。
個人の権利の拡大
GDPRのような動きでは、データ対象者は自分の権利や正当な利益が侵害された可能性がある場合に、自分のデータへのアクセスを要求したり、データの修正や削除を要求する権利を持つようになります。
これは短期データにも適用されます。
現在は、データが第三者に転送される際に、データ対象者が明示的な同意を得る必要はありません。
しかし、これは変更され、許可はオプトインになります。さらに、すでにオプトアウトに基づいてデータが転送されている場合は、許可なしに第三者に転送することはできません。データを受け取る組織は、APPI基準に準拠しなければなりません。
罰則の強化
これらの規則に違反した組織は現在、1億円(942,000ドル)の罰金に直面する可能性があり、PPCへの報告書を偽造した場合は50万円(4,708ドル)の費用がかかります。一方、違反行為に責任があると判断された個人は、最高100万円(9,420ドル)の罰金と1年の懲役に処される可能性がある。
ウォレン氏によると、この動きにより、日本はアジアのデータ保護法制の最前線に立つことになり、長年にわたって強力なデータ保護法を制定してきた韓国と並ぶ存在となりました。
“他の国では、いくつかの国が新しいデータプライバシー法を制定していますが、その中にはGDPRのような様々な要素が含まれていますが、それほど厳しいものではありません。
“タイの新法も多くの点で似ていますが、施行は遅れています。ベトナムの新法はGDPRの様々な要素を取り入れていますが、中国のサイバーセキュリティ法に似たデータのローカライズ要件が含まれています。
と付け加えています。”アジアの多くの国には、まだまだ先があるのではないかと危惧しています。”
