हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंव्यक्तिगत जानकारी के संरक्षण पर जापान का अधिनियम (एपीपीआई - 個人情報の保護に関する法律) एशिया के सबसे व्यापक डेटा सुरक्षा ढांचे में से एक है। 2022 में महत्वपूर्ण रूप से संशोधित (1 अप्रैल, 2022 से प्रभावी) और अनिवार्य तीन-वर्षीय समीक्षा चक्र के अधीन, एपीपीआई ने विशिष्ट जापानी नियामक दृष्टिकोण को बनाए रखते हुए उत्तरोत्तर वैश्विक डेटा सुरक्षा मानकों के साथ अभिसरण किया है।
2022 के संशोधनों में विलोपन का अनुरोध करने का अधिकार, अनिवार्य सीमा पार हस्तांतरण सूचना प्रकटीकरण, छद्म नाम से संसाधित सूचना नियम, और कॉर्पोरेट उल्लंघनों के लिए ¥100 मिलियन ($660,000 USD) तक के जुर्माने के साथ प्रवर्तन को बढ़ाया गया। जापान का व्यक्तिगत सूचना संरक्षण आयोग (पीपीसी) तेजी से सक्रिय हो गया है, मार्गदर्शन जारी कर रहा है, जांच कर रहा है और प्रमुख घरेलू और विदेशी व्यवसायों के खिलाफ प्रवर्तन कार्रवाई कर रहा है।
मुख्य बातें
- एपीपीआई जापान में व्यक्तिगत जानकारी संभालने वाले व्यवसाय ऑपरेटरों पर लागू होता है; एक्स्ट्राटेरिटोरियल एप्लिकेशन जापान में व्यक्तियों का डेटा एकत्र करने वाले विदेशी ऑपरेटरों को कवर करता है
- व्यक्तिगत जानकारी प्रबंधन नियमों में संग्रह, उपयोग, तृतीय-पक्ष प्रावधान और सुरक्षा प्रबंधन शामिल हैं
- विशेष देखभाल की आवश्यकता वाली व्यक्तिगत जानकारी (संवेदनशील डेटा) को संग्रह के लिए स्पष्ट पूर्व सहमति की आवश्यकता होती है
- सीमा पार स्थानांतरण प्रतिबंधित हैं - समकक्ष सुरक्षा वाले देशों में तीसरे पक्ष को या स्पष्ट व्यक्तिगत सहमति और सूचना प्रकटीकरण के साथ अनुमति दी गई है
- नए 2022 प्रावधान: हटाने/निलंबन का अनुरोध करने का अधिकार, ऑप्ट-आउट द्वारा तीसरे पक्ष के प्रावधान के लिए अनिवार्य ऑप्ट-आउट अधिसूचना, छद्म नाम प्रसंस्करण नियम
- पीपीसी के पास व्यापक जांच शक्तियां हैं और वह व्यवसाय निलंबन आदेश जारी कर सकती है
- जापान और ईयू के बीच पारस्परिक पर्याप्तता निर्णय हैं - एपीपीआई-अनुपालक संस्थाएं सुव्यवस्थित नियमों के तहत ईयू से/में स्थानांतरित हो सकती हैं
- एपीपीआई की हर तीन साल में अनिवार्य समीक्षा होती है - अगला समीक्षा चक्र वैश्विक मानकों के अनुरूप होगा
एपीपीआई ढांचा और दायरा
प्रादेशिक अनुप्रयोग
एपीपीआई इस पर लागू होता है:
- जापान में व्यवसाय संचालक व्यक्तिगत जानकारी संभालते हैं
- विदेशी ऑपरेटर सामान या सेवाएं प्रदान करने के संबंध में जापान में व्यक्तियों की व्यक्तिगत जानकारी संभालते हैं (अनुच्छेद 180 - 2022 के संशोधन में अतिरिक्त क्षेत्रीय आवेदन जोड़ा गया)
बाह्यक्षेत्रीय अनुप्रयोग महत्वपूर्ण है: जापानी उपयोगकर्ताओं वाली विदेशी कंपनियां अब जापानी कानूनी इकाई के बिना सीधे एपीपीआई के अधीन हैं। पीपीसी विदेशी ऑपरेटरों को आदेश जारी कर सकती है और विदेशी अधिकारियों को जानकारी प्रदान कर सकती है।
"व्यक्तिगत सूचना प्रबंधन व्यवसाय संचालक" कौन है?
कोई भी व्यक्ति जो व्यावसायिक उद्देश्यों के लिए व्यक्तिगत जानकारी के डेटाबेस का उपयोग करता है। पहले, 5,000 से कम व्यक्तियों का डेटा संभालने वाले ऑपरेटरों को छूट थी - 2015 के संशोधन ने इस छोटे-ऑपरेटर की छूट को समाप्त कर दिया। व्यावसायिक उद्देश्यों के लिए व्यक्तिगत सूचना डेटाबेस का उपयोग करने वाले सभी व्यवसाय अब इसमें शामिल हैं।
मुख्य श्रेणियाँ:
- व्यक्तिगत जानकारी (個人情報): किसी जीवित व्यक्ति के बारे में जानकारी जो उन्हें नाम, जन्म तिथि या अन्य विवरण से पहचान सकती है; विशिष्ट पहचानकर्ता शामिल हैं (मेरा नंबर, पासपोर्ट नंबर, ड्राइवर का लाइसेंस नंबर, बायोमेट्रिक डेटा)
- व्यक्तिगत डेटा (個人データ): व्यक्तिगत जानकारी जिसमें एक डेटाबेस शामिल है
- संधारित व्यक्तिगत डेटा (保有個人データ): व्यक्तिगत डेटा जिस पर ऑपरेटर के पास खुलासा करने, सही करने, जोड़ने, हटाने, उपयोग बंद करने, समाप्त करने या तीसरे पक्ष के प्रावधान को रोकने का अधिकार है
कोर एपीपीआई दायित्व
उपयोग के उद्देश्यों की विशिष्टता
अनुच्छेद 17 में व्यवसाय संचालकों को व्यक्तिगत जानकारी के उपयोग के उद्देश्यों को यथासंभव विशेष रूप से निर्दिष्ट करने की आवश्यकता है। व्यक्तिगत जानकारी एकत्रित करते समय, उद्देश्य यह होना चाहिए:
- सार्वजनिक रूप से पहले से खुलासा (गोपनीयता नीति पर)
- या संग्रहण के समय व्यक्ति को स्पष्ट रूप से बताया गया हो
- या यदि सीधे व्यक्ति से लिखित रूप में एकत्र किया गया हो, तो फॉर्म में स्पष्ट रूप से बताया गया हो
उद्देश्य सीमा: व्यक्तिगत जानकारी का उपयोग व्यक्ति की सहमति के बिना निर्दिष्ट उद्देश्यों से परे नहीं किया जाना चाहिए।
संग्रहण प्रतिबंध
व्यक्तिगत जानकारी निष्पक्ष और उचित माध्यम से एकत्र की जानी चाहिए। विशिष्ट प्रतिबंध:
- धोखे या अन्य अनुचित तरीकों से व्यक्तिगत जानकारी हासिल नहीं की जा सकती
- सीधे लिखित संग्रह के लिए, फॉर्म पर उपयोग का उद्देश्य स्पष्ट रूप से बताएं
- निर्दिष्ट उद्देश्य के भीतर उपयोग करें; उद्देश्य परिवर्तन के लिए अधिसूचना या सहमति की आवश्यकता होती है
विशेष देखभाल की आवश्यकता वाली व्यक्तिगत जानकारी (要配慮個人情報): संग्रहण के लिए पूर्व स्पष्ट सहमति की आवश्यकता होती है। इसमें शामिल हैं:
- दौड़
- पंथ (धर्म या धार्मिक विश्वास)
- सामाजिक स्थिति (औपचारिक पारिवारिक रजिस्ट्री भेद जो भेदभाव का कारण बन सकते हैं)
- चिकित्सा इतिहास
- आपराधिक रिकॉर्ड
- अपराध के शिकार के रूप में स्थिति
- शारीरिक या मानसिक विकलांगता
- विकार और चोट चिकित्सा संबंधी जानकारी
- आनुवंशिक रोगों के लिए परीक्षा परिणाम
सुरक्षा प्रबंधन उपाय
अनुच्छेद 23 में व्यवसाय संचालकों को रिसाव, हानि या क्षति को रोकने के लिए व्यक्तिगत डेटा के सुरक्षित प्रबंधन के लिए आवश्यक और उचित उपाय करने की आवश्यकता है। पीपीसी दिशानिर्देश उपायों की चार श्रेणियां निर्दिष्ट करते हैं:
- संगठनात्मक उपाय: बुनियादी नीतियां स्थापित करना; प्रबंधन प्रणालियों का आयोजन; प्रबंधन की स्थिति को समझना; रिसाव का जवाब
- कार्मिक उपाय: कर्मचारियों को प्रशिक्षण देना; गोपनीयता समझौतों को क्रियान्वित करना
- भौतिक उपाय: व्यक्तिगत डेटा प्रबंधन क्षेत्रों में प्रवेश/निकास का प्रबंधन करना; उपकरणों का प्रबंधन; चोरी/नुकसान को रोकना
- तकनीकी उपाय: अभिगम नियंत्रण; पहुँच प्रमाणीकरण; एंटी-वायरस उपाय; सूचना प्रणाली की निगरानी
तृतीय-पक्ष प्रावधान पर प्रतिबंध
अनुच्छेद 27 व्यक्ति की पूर्व सहमति के बिना तीसरे पक्ष को व्यक्तिगत डेटा के प्रावधान को प्रतिबंधित करता है। अपवाद:
- कानून द्वारा आवश्यक
- जहां सहमति प्राप्त नहीं की जा सकती, वहां मानव जीवन, शरीर या संपत्ति की सुरक्षा
- जहां सहमति प्राप्त नहीं की जा सकती, वहां सार्वजनिक स्वास्थ्य में सुधार करना
- राष्ट्रीय या स्थानीय सरकारी संस्थाओं के साथ सहयोग करना
- ऑप्ट-आउट आधार: यदि ऑपरेटर पीपीसी को सूचित करता है और व्यक्तियों को ऑप्ट-आउट करने का अवसर देता है (महत्वपूर्ण प्रकटीकरण आवश्यकताओं के साथ) तो सहमति के बिना तीसरे पक्ष के प्रावधान की अनुमति है।
विदेशी संस्थाओं के लिए तीसरे पक्ष का प्रावधान: अतिरिक्त आवश्यकताओं के अधीन (सीमा पार स्थानांतरण अनुभाग देखें)।
व्यक्तिगत अधिकार
2022 के संशोधनों ने व्यक्तिगत अधिकारों का काफी विस्तार किया:
| सही है | विवरण | प्रतिक्रिया समयरेखा |
|---|---|---|
| खुलासा | रखे गए व्यक्तिगत डेटा (तृतीय-पक्ष प्रावधान रिकॉर्ड सहित) के प्रकटीकरण का अनुरोध करें | बिना देरी के (त्वरित प्रतिक्रिया मानक) |
| सुधार | यदि रखा गया व्यक्तिगत डेटा गलत है तो उसमें सुधार का अनुरोध करें | बिना देर किये |
| उपयोग का निलंबन | यदि उद्देश्य से परे उपयोग किया जाता है, अवैध रूप से एकत्र किया जाता है, या व्यक्तिगत अधिकार खतरे में हैं, तो उपयोग के निलंबन का अनुरोध करें बिना देर किये | |
| मिटाओ | यदि निलंबन का आधार मौजूद है और निरंतर प्रतिधारण अनावश्यक है तो हटाने का अनुरोध करें | बिना देर किये |
| तृतीय-पक्ष प्रावधान का निलंबन | तीसरे पक्ष के प्रावधान को निलंबित करने का अनुरोध करें जहां प्रतिधारण/प्रावधान से संभावित नुकसान होता है | बिना देर किये |
| तृतीय-पक्ष रिकॉर्ड का प्रकटीकरण | व्यक्तिगत डेटा के तीसरे पक्ष के प्रावधान के रिकॉर्ड के प्रकटीकरण का अनुरोध करें | बिना देर किये |
शिकायत प्रबंधन: व्यवसाय संचालकों को व्यक्तिगत जानकारी प्रबंधन के बारे में शिकायतों को उचित रूप से और तुरंत निपटाने का प्रयास करना चाहिए। पीपीसी द्वारा प्रमाणित तृतीय-पक्ष विवाद समाधान निकाय वैकल्पिक समाधान प्रदान कर सकते हैं।
प्रतिक्रिया आवश्यकताएँ: एपीपीआई एक विशिष्ट कैलेंडर दिन प्रतिक्रिया अवधि निर्धारित नहीं करता है (जीडीपीआर के 30 दिनों के विपरीत)। ऑपरेटरों को "बिना देरी के" जवाब देना होगा - पीपीसी दिशानिर्देशों से संकेत मिलता है कि जटिल अनुरोधों के लिए प्रतिक्रियाएं आम तौर पर अधिकतम 2-3 महीने के भीतर होनी चाहिए।
सीमा पार डेटा स्थानांतरण
अनुच्छेद 28 व्यक्तिगत डेटा के विदेशी प्रावधान को प्रतिबंधित करता है। विदेशी प्राप्तकर्ताओं के लिए तृतीय-पक्ष प्रावधान के लिए इनमें से एक की आवश्यकता होती है:
- व्यक्तिगत सहमति: विदेशी गंतव्य और प्रणाली के बारे में विशिष्ट जानकारी प्रदान करने के बाद, व्यक्ति से पूर्व सहमति
- समकक्ष सुरक्षा वाला देश: पीपीसी कैबिनेट आदेश द्वारा तुलनीय सुरक्षा स्तर वाले देश में स्थानांतरण (वर्तमान में: जापान-ईयू पर्याप्तता व्यवस्था के तहत ईयू/ईईए देश)
- समकक्ष सुरक्षा वाला ऑपरेटर: विदेशी प्राप्तकर्ता ने समतुल्य डेटा सुरक्षा उपाय लागू किए हैं (अनुबंध, बाध्यकारी कॉर्पोरेट नियमों या अन्य माध्यमों के माध्यम से प्रलेखित)
सहमति के लिए आवश्यक जानकारी प्रकटीकरण: सहमति-आधारित हस्तांतरण के लिए, ऑपरेटर को व्यक्ति को पहले से ही जानकारी प्रदान करनी होगी:
- विदेश का नाम
- उस देश में व्यक्तिगत सूचना सुरक्षा प्रणाली
- व्यक्तिगत जानकारी को संभालने के लिए तीसरे पक्ष द्वारा किए गए उपाय
पीपीसी देश सूचना पृष्ठ अन्य देशों में सुरक्षा प्रणालियों पर संदर्भ जानकारी प्रदान करता है।
जापान-ईयू पर्याप्तता: जापान और यूरोपीय संघ के बीच पारस्परिक पर्याप्तता व्यवस्था है - जापान के पास यूरोपीय संघ आयोग से पर्याप्तता निर्णय है, और जापान यूरोपीय संघ के सदस्य देशों को समकक्ष सुरक्षा के रूप में मान्यता देता है। यह Japan↔EU डेटा प्रवाह को काफी सरल बनाता है।
विदेशी स्थानांतरण के लिए छद्म नाम से प्रसंस्करण: पीपीसी अधिसूचना और व्यक्तिगत ऑप्ट-आउट अवसर के अधीन, छद्म नाम से संसाधित जानकारी ऑप्ट-आउट आधार पर (सहमति की आवश्यकता के बजाय) विदेशी तृतीय पक्षों को प्रदान की जा सकती है।
छद्म नाम प्रसंस्करण जानकारी (仮名加工情報)
2021 के संशोधनों ने छद्मनाम प्रसंस्करण जानकारी (仮名加工情報) पेश की - व्यक्तिगत डेटा और गुमनाम रूप से संसाधित जानकारी के बीच एक नई श्रेणी। आवश्यकताएँ:
निर्माण: पहचान संबंधी जानकारी (नाम, जन्मतिथि, पता) को विशिष्ट कोड या अन्य उपायों से बदलकर व्यक्तिगत जानकारी संसाधित करें, जिससे अन्य जानकारी के बिना व्यक्ति की पहचान करना असंभव हो जाता है।
उपयोग: छद्म नाम से संसाधित जानकारी का उपयोग व्यक्तिगत सहमति के बिना आंतरिक विश्लेषण और अनुसंधान उद्देश्यों के लिए किया जा सकता है - गोपनीयता जोखिम को कम करते हुए डेटा विश्लेषण को सक्षम करना।
प्रतिबंध:
- तीसरे पक्ष को प्रदान नहीं किया जा सकता (विशिष्ट शर्तों के तहत सौंपे गए ऑपरेटरों और कॉर्पोरेट समूहों को छोड़कर)
- व्यक्तियों की पहचान करने के लिए अन्य जानकारी के साथ क्रॉस-रेफ़रेंस नहीं किया जा सकता
- व्यक्तियों से संपर्क करने के लिए उपयोग नहीं किया जा सकता
सुरक्षा: व्यक्तिगत डेटा की तरह ही सुरक्षित रूप से प्रबंधित किया जाना चाहिए।
गुमनाम रूप से संसाधित जानकारी (匿名加工情報)
वास्तव में अज्ञात डेटा जिसे अन्य जानकारी के साथ भी दोबारा पहचाना नहीं जा सकता है। आवश्यकताएँ:
- पीपीसी-निर्दिष्ट गुमनामीकरण मानकों का पालन करें (अपरिवर्तनीय प्रतिवर्ती प्रसंस्करण जिसमें शामिल हैं: नाम/पता प्रतिस्थापन, बारीक डेटा का सामान्यीकरण, आउटलेर्स का दमन, लिंकेज जानकारी को हटाना)
- बनाई गई अज्ञात जानकारी की श्रेणियां प्रकाशित करें
- श्रेणियों के प्रकाशन के साथ तीसरे पक्ष को प्रदान किया जा सकता है
- प्राप्तकर्ता जानकारी को दोबारा पहचानने का प्रयास नहीं कर सकते
उल्लंघन अधिसूचना (2022 संशोधन)
2022 के संशोधनों ने उल्लंघन अधिसूचना को अनिवार्य बना दिया (पहले दृढ़ता से अनुशंसित)। आवश्यकताएं:
पीपीसी को अधिसूचना (अनुच्छेद 26): यह तब आवश्यक होता है जब कोई रिसाव, हानि, या क्षति होती है जिससे व्यक्तिगत अधिकारों और हितों को नुकसान पहुंचने की संभावना होती है, जिसमें शामिल हैं:
- विशेष देखभाल की आवश्यकता वाली व्यक्तिगत जानकारी का रिसाव
- रिसाव से अवैध उपयोग के माध्यम से संपत्ति को नुकसान होने की संभावना है (वित्तीय/खाता जानकारी)
- अनुचित उद्देश्य (दुर्भावनापूर्ण अंदरूनी सूत्र) के कारण रिसाव
- रिसाव से 1,000 या अधिक व्यक्ति प्रभावित हो रहे हैं
समयरेखा:
- प्रारंभिक रिपोर्ट: जागरूक होने के 3-5 व्यावसायिक दिनों के भीतर
- पूरी रिपोर्ट: 30 दिनों के भीतर (दुर्भावनापूर्ण अंदरूनी उल्लंघनों के लिए 60 दिन)
व्यक्तिगत अधिसूचना: समान योग्यता वाले आयोजनों के लिए आवश्यक - व्यक्तियों को बिना किसी देरी के सूचित किया जाना चाहिए।
अधिसूचना सामग्री (पीपीसी और व्यक्तियों के लिए): -घटना का अवलोकन
- प्रभावित डेटा विषयों और व्यक्तिगत डेटा के प्रकार और संख्या
- कारण और परिस्थितियाँ
- क्या द्वितीयक क्षति का जोखिम है
- उपाय किए गए और योजना बनाई गई
पीपीसी प्रवर्तन और दंड
व्यक्तिगत सूचना संरक्षण आयोग (पीपीसी) (個人情報保護委員会) जापान का स्वतंत्र डेटा संरक्षण प्राधिकरण है। 2016 में स्थापित, पीपीसी के पास व्यापक पर्यवेक्षी शक्तियां हैं।
प्रशासनिक शक्तियाँ:
- व्यवसाय संचालकों से रिपोर्ट/जांच अनुरोध (अनुच्छेद 146)
- स्थलीय निरीक्षण
- मार्गदर्शन एवं सलाह (अनुच्छेद 147)
- सिफ़ारिशें (अनुच्छेद 148)
- आदेश (अनुच्छेद 148(2)) - व्यापार संचालकों को अनुपालन करना होगा
- गैर-अनुपालन का प्रकाशन (अनुच्छेद 148(3))
जुर्माना:
- पीपीसी आदेश का उल्लंघन: ¥100 मिलियन तक कॉर्पोरेट जुर्माना + व्यक्तियों के लिए ¥1 मिलियन
- पीपीसी जांच के जवाब में रिपोर्ट करने में विफलता/झूठी रिपोर्ट: ¥500,000 तक
- तृतीय-पक्ष डेटाबेस का अवैध प्रावधान: व्यक्तियों के लिए ¥1 मिलियन + ¥300,000 तक + 1 वर्ष तक कारावास (आपराधिक)
- अवैध लाभ के लिए व्यक्तिगत जानकारी का दुरुपयोग: आपराधिक दंड 1 वर्ष तक कारावास
पीपीसी तेजी से सक्रिय रही है - हाल की कार्रवाइयों में प्रमुख जापानी कंपनियों की जांच, विदेशी व्यापार ऑपरेटर दायित्वों पर मार्गदर्शन और विदेशी डीपीए के साथ सहयोग शामिल है।
एपीपीआई अनुपालन चेकलिस्ट
- एपीपीआई प्रयोज्यता की पुष्टि की गई (जापानी परिचालन या जापानी उपयोगकर्ताओं के साथ विदेशी ऑपरेटर)
- उपयोग के सभी उद्देश्यों को निर्दिष्ट करते हुए गोपनीयता नीति प्रकाशित की गई
- प्रत्येक संग्रहण बिंदु पर संग्रहण उद्देश्य स्पष्ट रूप से निर्दिष्ट किया गया है
- विशेष देखभाल की आवश्यकता वाली व्यक्तिगत जानकारी की पहचान की गई - पूर्व स्पष्ट सहमति प्राप्त की गई
- सुरक्षा प्रबंधन उपाय लागू (संगठनात्मक, कार्मिक, भौतिक, तकनीकी)
- तृतीय-पक्ष प्रावधान मूल्यांकन: प्रत्येक साझाकरण के लिए सहमति या अपवाद का दस्तावेजीकरण
- यदि तीसरे पक्ष के प्रावधान के लिए ऑप्ट-आउट आधार का उपयोग किया जाता है तो पीपीसी के पास ऑप्ट-आउट अधिसूचना दायर की जाती है
- सीमा पार स्थानांतरण तंत्र निर्धारित (प्रकटीकरण के साथ सहमति, या समकक्ष सुरक्षा)
- तीसरे पक्ष के प्रावधान के रिकॉर्ड बनाए रखे गए (प्रकटीकरण अनुरोधों के लिए)
- व्यक्तिगत अधिकार प्रतिक्रिया प्रक्रियाएँ प्रलेखित (प्रकटीकरण, सुधार, निलंबन, मिटाना)
- शिकायत निवारण तंत्र स्थापित
- उल्लंघन अधिसूचना प्रक्रिया प्रलेखित (प्रारंभिक 3-5 दिन, पूरे 30 दिन)
- यदि उपयोग किया जाता है तो छद्मनाम/गुमनाम प्रसंस्करण प्रक्रियाएं स्थापित की जाती हैं
- एपीपीआई दायित्वों पर कर्मचारी प्रशिक्षण पूरा हो गया
- यदि लागू हो तो विदेशी ऑपरेटर पदनाम की पुष्टि की गई (पीपीसी अधिसूचना)
अक्सर पूछे जाने वाले प्रश्न
क्या एपीपीआई जापानी उपयोगकर्ताओं वाली मेरी विदेशी कंपनी पर लागू होता है?
हां, 2022 के संशोधन के बाद से। एपीपीआई का अनुच्छेद 180 जापान में सामान या सेवाएं प्रदान करने के संबंध में व्यक्तियों की व्यक्तिगत जानकारी संभालने वाले विदेशी व्यवसायों पर एपीपीआई लागू करता है। इसमें जापानी उपयोगकर्ताओं से डेटा एकत्र करने वाली कोई भी विदेशी वेबसाइट, ऐप या सेवा शामिल है। विदेशी ऑपरेटरों को सभी लागू एपीपीआई प्रावधानों का पालन करना होगा और वे पीपीसी निरीक्षण के अधीन होंगे। पीपीसी विदेशी ऑपरेटरों को आदेश जारी कर सकती है और पारस्परिक सहायता व्यवस्था के तहत जापान के विदेशी समकक्षों के साथ जानकारी साझा कर सकती है।
"विशेष देखभाल की आवश्यकता वाली व्यक्तिगत जानकारी" क्या है और यह क्यों मायने रखती है?
विशेष देखभाल की आवश्यकता वाली व्यक्तिगत जानकारी (要配慮個人情報) एपीपीआई के संवेदनशील डेटा के बराबर है - ऐसी जानकारी जिसके संग्रह से अन्यायपूर्ण भेदभाव या पूर्वाग्रह हो सकता है। इसमें जाति, पंथ, सामाजिक स्थिति, चिकित्सा इतिहास, आपराधिक रिकॉर्ड, विकलांगता स्थिति और अपराध पीड़ित के रूप में स्थिति शामिल है। मुख्य दायित्व: इनमें से किसी भी श्रेणी को एकत्र करने से पहले आपको पूर्व स्पष्ट सहमति प्राप्त करनी होगी, भले ही आपके पास उन्हें एकत्र करने के लिए अन्यथा आधार हो। निहित सहमति, ऑप्ट-आउट आधार और अन्य निम्न सहमति मानक विशेष देखभाल-आवश्यक जानकारी पर लागू नहीं होते हैं।
पारस्परिक पर्याप्तता व्यवस्था के तहत जापान-ईयू डेटा प्रवाह कैसे काम करते हैं?
जापान और यूरोपीय संघ ने 2019 में पारस्परिक पर्याप्तता स्थापित की - एक अद्वितीय द्विपक्षीय व्यवस्था। यूरोपीय आयोग ने जापान के लिए एक पर्याप्तता निर्णय अपनाया, और जापान ने यूरोपीय संघ के व्यक्तिगत डेटा को अपने मौजूदा ढांचे (पूरक नियमों के साथ) में शामिल करने के लिए एपीपीआई में संशोधन किया। इसका मतलब है: ईयू→जापान हस्तांतरण को अतिरिक्त तंत्र के बिना अनुमति दी जाती है (ईसी पर्याप्तता निर्णय के तहत); जापान→ईयू हस्तांतरण की अनुमति है क्योंकि जापान यूरोपीय संघ के देशों को समकक्ष सुरक्षा गंतव्यों के रूप में मानता है। दोनों दिशाओं को अभी भी सभी एपीपीआई दायित्वों (जापान→ईयू के लिए) और सभी ईयू जीडीपीआर दायित्वों (ईयू→जापान के लिए) के अनुपालन की आवश्यकता है। जापान में यूरोपीय संघ के व्यक्तिगत डेटा के लिए पूरक नियमों में जीडीपीआर आवश्यकताओं से मेल खाने वाली अतिरिक्त सुरक्षा शामिल है।
एपीपीआई को तृतीय-पक्ष प्रावधान के लिए किन रिकॉर्डों की आवश्यकता होती है?
एपीपीआई को व्यावसायिक ऑपरेटरों को तीसरे पक्ष को व्यक्तिगत डेटा प्रदान करते समय और तीसरे पक्ष से व्यक्तिगत डेटा प्राप्त करते समय रिकॉर्ड बनाने की आवश्यकता होती है। प्रावधान के रिकॉर्ड में शामिल होना चाहिए: प्रावधान की तारीख, तीसरे पक्ष का नाम और अन्य विवरण, प्रदान किए गए व्यक्तिगत डेटा की श्रेणियां, प्रावधान की परिस्थितियां (कानूनी आधार), और तीसरे पक्ष से प्राप्त होने पर व्यक्ति के बारे में जानकारी। इन रिकॉर्ड्स को एक निर्दिष्ट अवधि के लिए बनाए रखा जाना चाहिए (अधिकांश के लिए निर्माण से 3 वर्ष, ऐसे मामलों के लिए 1 वर्ष जहां रिकॉर्ड अनुरोध पर व्यक्तियों के साथ साझा किए जा सकते हैं)। व्यक्ति इन तृतीय-पक्ष प्रावधान रिकॉर्ड के प्रकटीकरण का अनुरोध कर सकते हैं।
एपीपीआई के तहत डीपीआईए या गोपनीयता प्रभाव मूल्यांकन की आवश्यकता कब होती है?
एपीपीआई विशेष रूप से ईयू जीडीपीआर की तरह डेटा सुरक्षा प्रभाव आकलन (डीपीआईए) को अनिवार्य नहीं करता है। हालाँकि, पीपीसी ने उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए स्वैच्छिक पीआईए को प्रोत्साहित करने वाले दिशानिर्देश जारी किए हैं, विशेष रूप से: बड़े पैमाने पर व्यक्तिगत डेटा संग्रह, सीमा पार हस्तांतरण परियोजनाएं, संवेदनशील डेटा के नए उपयोग और प्रोफाइलिंग या स्वचालित निर्णय लेने वाली नई प्रणालियाँ या सेवाएँ। पीआईए का संचालन करना पीपीसी द्वारा सर्वोत्तम अभ्यास माना जाता है और संगठनात्मक जवाबदेही का संकेत देता है। एपीपीआई और जीडीपीआर दोनों के अधीन व्यवसायों के लिए, जीडीपीआर की अनिवार्य डीपीआईए आवश्यकताएं ईयू-संबंधित प्रसंस्करण गतिविधियों पर लागू होंगी।
अगले चरण
जापान का एपीपीआई अपने अनिवार्य तीन-वर्षीय समीक्षा चक्र के माध्यम से विकसित होना जारी रखता है - 2025 की समीक्षा से एपीपीआई को अंतरराष्ट्रीय मानकों के साथ संरेखित करने की उम्मीद है। एक ऐसे अनुपालन कार्यक्रम का निर्माण करना जो वर्तमान दायित्वों को पूरा करते हुए चल रहे अद्यतनों के प्रति उत्तरदायी हो, तकनीकी विशेषज्ञता और कानूनी जागरूकता दोनों की आवश्यकता होती है।
ECOSIRE की टीम जापान के बाज़ार में प्रवेश और विस्तार वाले व्यवसायों को APPI-अनुरूप डेटा प्रथाओं, जापानी उपयोगकर्ताओं के लिए गोपनीयता नीतियों और सीमा पार डेटा स्थानांतरण तंत्र को लागू करने में मदद करती है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। एपीपीआई नियमित समीक्षा और संशोधन के अधीन है। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य जापानी कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
Compliance & Regulation से और अधिक
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
GoHighLevel A2P 10DLC Compliance in 2026: Registration, Fees, and Fixing Blocked SMS
Complete GoHighLevel A2P 10DLC guide for 2026: brand and campaign registration steps, carrier fees, common rejection reasons, and how to fix filtered SMS.
GxP Validation for ERP Systems: What Your 2026 Validation RFP Must Require (CSV, IQ/OQ/PQ, Audit Trails)
What a GxP ERP validation RFP must require in 2026: CSV and CSA scope, 21 CFR Part 11, EU Annex 11, IQ/OQ/PQ deliverables, audit trails, and GAMP 5 risk.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.