Dies ist das Material (DE) für den Bericht "Vollständige Überarbeitung des japanischen Rechtssystems zum Datenschutz- Überblick über den Gesetzentwurf von 2021", der am 9. April 2021 online gehalten wurde. Die englische und japanische Version sind ebenfalls separat hochgeladen.
2021年4月9日にオンライン開催した報告「日本の個人情報保護法制の全面見直し~2021年(令和3年)法案の概要」の資料(ドイツ語版)です。英語と日本語版も別途アップロードしています。
20210507 team datenschutz stammtisch akemi yokota(de)
1. Vollständige Überarbeitung des japanischen
Rechtssystems zum Datenschutz - Überblick
über den Gesetzesentwurf von 2021
日本の個人情報保護法制の全面見直し
~2021年(令和3年)法案の概要
09.04.2021 Stammtisch #TeamDatenschutz
Chiba University, Graduate School of Social Sciences
Assis. Prof. Dr. Akemi YOKOTA
akemi@chiba-u.jp
akemi.yokota@gmail.com
2. Profil
Akemi YOKOTA (Chiba University, Graduate School of
Social Sciences, Assis. Prof. Dr. )
• Fachgebiet: Verwaltungsrecht
• Aktuelles Forschungsthema: Grundprinzipien des
Informationsverwaltungsrechts zur Erreichung einer
neuen datengesteuerten Gesellschaft
• 2-jähriger Forschungsaufenthalt an der Johannes-
Gutenberg-Universität Mainz seit Oktober 2019.
• Schwerpunkte: Verwaltung einer digitalisierten
Gesellschaft, Information und Verwaltung
p.2
3. Profil
Seit Oktober 2016 member of committee on
Impact and Risk Assessment in “The
Conference toward AI Network Society” (MIC,
Goverment of Japan))
Beitrag Kapitel 5 Robotto, ê-ai to hô
p.3
4. Inhaltsverzeichnis
• 1. mehrfache Revisionen des Gesetzes zum
Schutz persönlicher Informationen (APPI)
• 2. das Paket von 6 Gesetzesentwürfen im
Zusammenhang mit der digitalen Reform im
Jahr 2021
• 3. Schwerpunkte für die Vereinheitlichung der
Rechtssysteme zum Schutz
personenbezogener Information
• 4. meine persönliche Ansicht
p.4
5. 1.
mehrfache Revisionen des
Gesetzes zum Schutz
persönlicher Informationen
(APPI)
multiple revisions of the Act on
the Protection of Personal
Information (APPI)
5
6. Revisionen
des Gesetzes zum Schutz persönlicher Information (APPI)
• 2003: Das Gesetz zum Schutz personenbezogener
Informationen (APPI) ist in Kraft getreten.
• 2015: Kommission zum Schutz personenbezogener
Informationen Japan (Personal Information Protection
Commission Japan (PPC)) wurde in seiner heutigen Form
gegründet.
– 2018: “Ergänzende Regeln”(keine Gesetzesrevisionen) für den
"Angemessenheitsbeschluss" zwischen Japan und der EU (nur
für den nicht-öffentlichen Bereich) im Jahr 2019
• 2020: Überarbeitet (gültig ab April 2022)
• 2021: Änderungsgesetzesentwürfe
• Stufe 1: Vereinheitlichung auf nationaler Ebene (Ab April 2022?)
• Stufe 2: einschließlich lokaler Regierungen (ab April 2023?)
p.6
7. 2020: Überarbeitet (gültig ab April 2022)
– Revision auf Basis der "3-jährigen
Aktualisierung“ (m.M.n : mittlere Revision)
• Erweiterung der Betroffenenrechte
• Meldepflicht für Lecks usw., Benachrichtigungspflicht für
Einzelpersonen und Verbot der missbräuchlichen
Verwendung von persönlichen Information
• Entwicklung von Selbst- und gemeinsamer Regulierung
• Neue Bestimmungen zu "Pseudonymisierten Informationen“
• Verschärfung der Sanktionen (u.a. Ankündigung von
Verstößen gegen Anordnungen durch PPC)
• stärkere Regulierung internationaler Datentransfers
p.7
8. 2021: Gesetzesentwürfe zur Änderung bestehenden
Datenschutzrechts
• 2021: zwei Stufen der Reform
• Stufe 1: Vereinheitlichung der Gesetzgebung zum
Schutz persönlicher Informationen auf nationaler
Ebene (Vielleicht ab April 2022 ?)
• Stufe 2: Vereinheitlichung einschließlich lokaler
Regierungen (Vielleicht ab April 2023 ?)
– als ein Teil vom Paket der 6 digitalen
Reformgesetze
– m.M.n: Erste größere Revision seit 2003
• Erweiterung der PPC-Rolle
• der Wechsel vom Segmentgesetz zum Omnibusgesetz
p.8
9. 9
the Personal Information Protection Commission (PPC) in Japan,
Current Legal Framework of the Protection of Personal Information
https://www.ppc.go.jp/files/pdf/280222_Current_Legal_Framework_v2.pdf
10. Aktueller Rechtsrahmen (nur Gesetze und lokale Satzungsebene) des Schutzes
personenbezogener Informationen
• Die Gesetze des Staates
– Allgemeiner Teil + Inhaber von Unternehmen:
• Act on the Protection of Personal Information (APPI)
– nationale Behörde:
• Act on the Protection of Personal Information Held by
Administrative Organs (APPI-AO)
– Verwaltungskörperschaft mit eigener
Rechtspersönlichkeit (z.B. staatliche Universität):
• Act on the Protection of Personal Information Held by
Incorporated Administrative Agencies, etc. (APPI-IAA)
p.10
11. Aktueller Rechtsrahmen (nur Gesetze und lokale Satzungsebene) des Schutzes
personenbezogener Information
• Lokale Satzungen (ca. 2000+)
• selbst auf Dorfebene gibt es eigene Satzungen.
– Behörde der lokalen Regierung
– z.B.: Präfektur-Polizeiorganisationen
• z.B.: Krankenhäuser und Universitäten, die von den
lokalen Regierungen gegründet wurden
p.11
12. 2. Ein Paket von den 6
Gesetzesentwürfen im
Zusammenhang mit der
digitalen Reform im Jahr 2021
the package of 6 bills in
connection with the digital
reform in 2021
12
13. Ein Paket von 6 Gesetzesentwürfen im Zusammenhang mit
der digitalen Reform im Frühjahr 2021 (204. Periode)
• 1)Basic Act on the Formation of a Digital Society (Cabinet Secretary)
• 2)Act for Establishment of the Digital Agency (Cabinet Secretary)
• 3)Act on the Development of Related Laws for the Formation of a
Digital Society (Cabinet Secretary)
• 4)Act on Registration of Deposit Accounts for Payment of Public
Benefits (Cabinet Office)
• 5)Act on Management of Deposit Accounts by Using" My number"
Based on the Intention of Depositors (Cabinet Office)
• 6)Act on Standardization of Local Government Information Systems
(Ministry of Internal Affairs and Communications)
– Übersetzung folgt in den nächsten Folien
p.13
内閣法制局「第204回国会での内閣提出法律案」 https://www.clb.go.jp/recent-laws/diet_bill/id=3796
14. Ein Paket von 6 Gesetzesentwürfen im Zusammenhang mit
der digitalen Reform im Frühjahr 2021 (204. Periode)
• 1) Grundgesetz zur Bildung einer digitalen
Gesellschaft
– Vollständige Überarbeitung des "IT-Grundgesetzes"
– Grundlegende Philosophie, grundlegende Policies,
Verantwortlichkeiten von Regierungen und
Unternehmen, Gründung der Digitalagentur und
Formulierung von Prioritätenplänen für die digitale
Gesellschaft
– Grundprinzipien für die Bildung einer digitalen
Gesellschaft (10 Punkte)
p.14
内閣法制局「第204回国会での内閣提出法律案」 https://www.clb.go.jp/recent-laws/diet_bill/id=3796
15. Ein Paket von 6 Gesetzesentwürfen im Zusammenhang mit
der digitalen Reform im Frühjahr 2021 (204. Periode)
• 2) Gesetz zur Gründung der Digitalagentur
– Direkt dem Kabinett unterstellt
– Integrierte Koordinationsfunktion (mit Beraterkompetenz)
– Integrierte Entwicklung von nationalen
Informationssystemen
– Standardisierung und Vereinheitlichung der lokalen
digitalen Infrastruktur
– Verantwortlich für das "My Number"-System
– Pflege des Basisregisters
– Cybersecurity-Expertenteam
– Rekrutierung von digitalen Humanressourcen
p.15
内閣法制局「第204回国会での内閣提出法律案」 https://www.clb.go.jp/recent-laws/diet_bill/id=3796
16. Ein Paket von 6 Gesetzesentwürfen im Zusammenhang mit
der digitalen Reform im Frühjahr 2021 (204. Periode)
• 3) Gesetz über die Anpassung von relevanten
Gesetzen zur Schaffung einer digitalen
Gesellschaft
– Vereinheitlichung der nationalen Gesetze und
lokalen Satzungen zum Schutz personenbezogener
Informationen in einem einzigen Gesetz
– allgemeine Modernisierung der Verwaltungsverfahren
• Überprüfung der Notwendigkeit von Stempeln und der
Ausstellung von schriftlichen Dokumenten
• Ausweitung der Nutzung von „My Number“
• elektronische Authentifizierung
p.16
内閣法制局「第204回国会での内閣提出法律案」 https://www.clb.go.jp/recent-laws/diet_bill/id=3796
17. Ein Paket von 6 Gesetzesentwürfen im Zusammenhang mit
der digitalen Reform im Frühjahr 2021 (204. Periode)
• 4) Gesetz über die Registrierung von
Einlagekonten für die Auszahlung von
öffentlichen Leistungen
• 5) Gesetz zur Verwaltung von Einlagekonten
unter Verwendung von "My number"
basierend auf der Intention der Einleger
• 6) Gesetz zur Standardisierung von
Informationssystemen der
Kommunalverwaltung
p.17
内閣法制局「第204回国会での内閣提出法律案」 https://www.clb.go.jp/recent-laws/diet_bill/id=3796
18. 3. Schwerpunkte für die
Vereinheitlichung der
Rechtssysteme zum Schutz
personenbezogener Information
main Points of Unification of the
Personal Information Protection
Law Systems
18
20. 20
A figure revised and translated at the author's responsibility
Competent
authorities
Ministry of Internal Affairs and
Communications(MIC)
PPC
local government
(2000 or more)
Applicable laws APPI-AO APPI-IAA APPI
local ordinances
(2000 or more)
Target
Administrative organs
of
National Gov.
Incorporated
Administrative Organs
Business
Operators
Administrative organs of
local governments
Special provisions
for academic research
purposes
No special provisions APPI completely excluded No special provisions
Definition of
”personal information”
"identify an individual by comparing that
information with other information"
"be readily collated with"
(be unique in each:
some incl. "a dead
person's)
Definition of
"anonymization"
"Anonymized Personal Information"
"Anonymously processed
information"
only Few have rules
Competent
authorities
PPC
Applicable laws APPI (new)
Content of the
provisions according
to the target
Administrative organs of National Gov.
Administrative organs of local governments
Hospitals (national and
public), Universities
(national and public),
National Research and
Development Agency
Business
Operators
Special provisions
for academic research
purposes
APPI applies, and Refining exceptions for academic
research purposes
Definition of
”personal information”
"be readily collated with"
Definition of
"anonymization"
"Anonymously processed information"
21. 21
A figure revised and translated at the author's responsibility
Competent
authorities
Ministry of Internal Affairs and
Communications(MIC)
PPC
local government
(2000 or more)
Applicable laws APPI-AO APPI-IAA APPI
local ordinances
(2000 or more)
Target
Administrative
organs of
National Gov.
Incorporated
Administrative
Organs
Business
Operators
Administrative
organs of local
governments
Special
provisions
for academic
research
purposes
No special provisions
Completely
Excluded
No special
provisions
Definition of
”personal
information”
"identify an individual by
comparing that information with
other information"
"be readily collated
with"
(be unique in
each:
some incl. "a dead
person's)
Definition of
"anonymization"
"Anonymized Personal
Information"
"Anonymously
processed
information"
only a few have
rules
22. 22
A figure revised and translated at the author's responsibility
Competent
authorities
PPC
Applicable laws APPI (new)
Content of the
provisions
according to the
target
Administrative organs of
National Gov.
Administrative organs of local
governments
Hospitals (national
and public),
Universities
(national and
public), National
Research and
Development
Agency
Business
Operators
Special
provisions
for academic
research
purposes
APPI applies, and Refining exceptions
for academic research purposes
Definition of
”personal
information”
"be readily collated with"
Definition of
"anonymization"
"Anonymously processed information"
23. 1)Vereinheitlichung der nationalen Gesetze und lokalen Satzungen zum
Schutz personenbezogener Informationen in einem einzigen Gesetz
p.23
Was das APPI-neu beinhaltet
• APPI (aktuelle Version)
• APPI-AO
• APPI-IAA
+
• einheitliche Regeln, die für Kommunen gelten
– Die besonderen Bestimmungen in den Satzungen beschränken
sich auf "minimal notwendige Schutzmaßnahmen".
Achtung: Die vorhandenen Artikelnummern werden
sich deutlich verschieben.
24. 2) Vereinheitlichung der Regelungen
im medizinischen und akademischen Bereich
• Bisher: unterschiedliche Regelungen zwischen
nationalen, privaten und kommunalen Sektoren
• Neuer Gesetzentwurf: Regeln für den privaten
Sektor prinzipiell anwenden
• “Stellen, die fortlaufend gemeinsame Arbeiten unter Verwendung von
Daten mit privaten Gegenparteien in einer dem privaten Sektor ähnlichen
Position durchführen"
– allerdings: Die Bestimmungen für öffentliche
Körperschaften gelten weiterhin für das Gesetz über
den Zugang zu Informationen und offenen Daten
p.24
25. 3) Überprüfung der Ausnahmen für akademische Forschung
• Derzeit: keine einheitliche Regelung für akademische
Forschungszwecke, insbesondere keine Anwendung im
privaten Sektor (stattdessen finden ethische Richtlinien
Anwendung)
– Kritik: "Internationale Transfers auf Basis von
Angemessenheitsbeschlüssen sind aufgrund von
Ausnahmeregelungen nicht möglich"
• Ziele: DSGVO-Angemessenheitsentscheidungen
werden auf akademische Forschung angewendet
(Ansicht der Verfasserin)
• Zukunft: Kommission zum Schutz personenbezogener
Informationen (PPC) hat Überwachungsbefugnis
p.25
26. 3) Überprüfung der Ausnahmen für akademische Forschung
Details zu den neuen Bestimmungen
• Sonderbestimmungen für akademische Forschungszwecke
– Einschränkung nach Verwendungszweck
– Einschränkung der Erhebung von besonders schützenswerten
personenbezogenen Information
– Beschränkung der Bereitstellung durch Dritte (detaillierte
Anforderungen)
• Bestimmungen, die auch für akademische Forschungszwecke gelten
werden
– Maßnahmen des Sicherheitsmanagements
– Kennzeichnung und Veröffentlichung des Verwendungszwecks
– Verbot der missbräuchlichen Verwendung und Erhebung
– Verpflichtung zur Meldung von Datenlecks
– Offenlegung der gespeicherten personenbezogenen Daten (nationale
und kommunale Sektoren, da hier das IFG Anwendung findet)
p.26
27. 4) Vereinheitlichung der Definitionen
– Definitionen von "persönlichen Informationen“
• “leicht kollidiert mit”(APPI) oder ohne “leicht” (APPI-AO,
APPI-IAA)
• Einige lokale Satzungen inkl. "ein/einer Verstorbenen "
– Definitionen von "Anonymisierung"
• Unterschiedene Begriffe wurden verwendet
– “Anonymized Personal Information” als nicht-personenbezogene
Informationen im privaten Sektor(APPI)
– “Anonymously processed information” als persönliche
Informationen im öffentlichen Bereich(APPI-AO, APPI-IAA).
• beide werden den Vorschriften für den privaten
Bereich (APPI) zugeordneten.
p.27
28. 5) Gemeinsame Bestimmungen für lokale Regierungen
– heute: jede Kommune hat ihre eigene Satzung
• sog. "2000er Probleme“
– In der Zukunft: APPI(als nationales Gesetz) wird
angewendet
– PPC wird die Befugnis haben, lokale
Regierungsorganisationen zu überwachen
• Die besonderen Bestimmungen in der Satzung
beschränken sich auf "minimal notwendige
Schutzmaßnahmen".
• einige Bestimmungen werden auch in den lokalen
Regierungen eingeführt (z.B. "sensible Informationen" )
p.28
30. meine persönliche Ansicht
• Zweifellos, eine große Überarbeitung des
japanischen Datenschutzrechts
– Formell kann man sagen, dass "die PPC alles in
Japan beaufsichtigt".
• Nicht nur die „My number“ Angelegenheit, sondern
auch alle persönlichen Informationen auf allen Ebenen
der nationalen, privaten und lokalen Regierungen
– Erster Schritt zum Angemessenheitsbeschluss des
öffentlichen Sektors
p.30
31. meine persönliche Ansicht
• Offen-bleibende Fragen
– Ist es möglich, „den Angemessenheitsbeschluss auf
akademische Forschungszwecke zu erweitern“, nur
durch diese Änderungen?
– Gibt es eine Gegenreaktion der lokalen Regierungen?
– Warum gibt es keine Debatte über Disziplin im
Polizeibereich?
• Besonders wichtig: keine Diskussion über die Justiz/Inneres-
Richtlinie(JI-RL)(Law Enforcement Directive (LED))!
p.31
32. References
• Japanese Law Translation (informal)
– 「個人情報の保護に関する法律(暫定版)」 Act on
the Protection of Personal Information (Tentative
translation) Translation date: December 21, 2016
• http://www.japaneselawtranslation.go.jp/law/detail/?id=27
81&vm=04&re=02&new=1
– 「行政機関の保有する個人情報の保護に関する法
律」Act on the Protection of Personal Information Held
by Administrative Organs Translation date: January
12, 2018
• http://www.japaneselawtranslation.go.jp/law/detail/?id=31
52&vm=&re=02&new=1
p.32
34. Danksagung
• ご清聴ありがとうございました!
– Twitter: @akmykt (日本語)
• Besten Dank für Ihre Aufmerksamkeit!
– Twitter:@akyokota (Deutsch und Englisch)
https://www.slideshare.net/akemiyokota83
Danksagung
Vielen Dank an Dr. Matthias Lachenmann für die Hilfe bei der Korrektur
der Ausdrücke.
https://www.bho-legal.com/team-datenschutz-japanisches-
datenschutzrecht/
Diese Arbeit wurde von JSPS KAKENHI Grant Number 19K13491 und
19KK0330 unterstützt.
p.34