Trong khi phiên bản trước của luật bảo mật dữ liệu của Nhật Bản chỉ áp dụng cho các nhà quản lý doanh nghiệp có 5.000 cá nhân có thể nhận dạng trong cơ sở dữ liệu của họ, APPI sửa đổi đã loại bỏ hạn chế này, mở rộng phạm vi bao gồm tất cả các nhà điều hành doanh nghiệp xử lý thông tin cá nhân cho mục đích kinh doanh, ngay cả những thông tin có cơ sở dữ liệu nhỏ của một vài cá nhân.
Phạm vi của APPI cũng mở rộng tới cả những pháp nhân nước ngoài thu thập và xử lý thông tin cá nhân tại Nhật Bản. Thêm vào đó, thậm chí nếu một pháp nhân nước ngoài không được thành lập tại Nhật Bản, một vài điều khoản trong APPI cũng sẽ được áp dụng đối với pháp nhân đó khi cung cấp sản phẩm hay dịch vụ cho cá nhân tại Nhật Bản và thu thập, xử lý dữ liệu cá nhân đó.
Một điểm đáng chú ý của APPI là việc sử dụng thuật ngữ “handling” (nắm giữ hoặc xử lý thông tin) thay vì “processing” (xử lý thông tin) như các văn bản khác liên quan đến bảo vệ dữ liệu. “Handling” có thể được hiểu với tính khái quát cao hơn, bao gồm bất kỳ hoạt động nào liên quan đến các thông tin cá nhân.
Các tổ chức chính quyền trung ương, chính quyền địa phương, cơ quan hành chính độc lập và cơ quan hành chính hợp nhất tại địa phương, thuộc phạm vi của các quy định khác, được miễn tuân thủ APPI.
Loại dữ liệu nào được bảo vệ?
Đạo luật Bảo vệ Thông tin Cá nhân của Nhật Bản phân biệt giữa hai loại dữ liệu được bảo vệ: Thông tin cá nhân và thông tin cá nhân “được yêu cầu đặc biệt”. Đầu tiên đề cập đến thông tin nhận dạng cá nhân (PII) như tên, ngày sinh, địa chỉ email hoặc dữ liệu sinh trắc học. Bản cập nhật gần đây của APPI đã làm rõ rằng, thông tin cá nhân cũng bao gồm các tham chiếu số có thể được sử dụng để xác định một cá nhân cụ thể như số bằng lái xe hoặc số hộ chiếu.
Thông tin được thu thập phải hợp pháp và nhà quản lý doanh nghiệp không được thu thập các thông tin cá nhân bằng cách lừa dối hay các phương pháp sai trái khác. Một khi nhà quản lý doanh nghiệp thu thập thông tin, cá nhân bị thu thập thông tin phải được thông báo hay tuyên bố công khai về mục đích sử dụng trừ một số ngoại lệ sau: Việc thông báo hay tuyên bố công khai có khả năng gây hại đến đời sống, thân thể, tài sản, quyền hay lợi ích của cá nhân hay bên thứ ba; những thông báo này có khả năng gây hại đối với quyền cũng như lợi ích chính đáng của nhà quản lý; sự phối hợp với một cơ quan nhà nước, chính quyền địa phương hay bên thứ ba là cần thiết để tiến hành các vấn đề được quy định bởi luật pháp mà sự thông báo hay tuyên bố công khai có khả năng cản trở việc thực hiện.
Loại thông tin thứ hai là thông tin nhạy cảm, mới được đưa vào APPI sửa đổi. Thuật ngữ này được sử dụng trong APPI là “thông tin cá nhân được yêu cầu đặc biệt” (Special care-required personal information), đề cập đến dữ liệu có thể là cơ sở để phân biệt đối xử hoặc định kiến, ví dụ như tiền sử bệnh tật, tình trạng hôn nhân, chủng tộc, tín ngưỡng tôn giáo và tiền án. Các nhà điều hành doanh nghiệp bị hạn chế trong việc xử lý các thông tin đó và luôn cần sự đồng ý trước của cá nhân liên quan. Ngoài ra, nhà quản lý doanh nghiệp sẽ không được phép chuyển các thông tin nhạy cảm này cho bất kỳ bên thứ ba nào khác.
Luật bảo vệ dữ liệu thông tin cá nhân của Nhật Bản cũng quy định, dữ liệu ẩn danh (đã bị tước bỏ thông tin có thể được sử dụng để nhận dạng cá nhân) không cần phải tuân theo các quy tắc xử lý nghiêm ngặt như thông tin cá nhân. Ví dụ: Các công ty không cần phải yêu cầu sự đồng ý của người dùng để chuyển dữ liệu, nhưng phải thông báo công khai và bảo đảm rằng bên thứ ba nhận dữ liệu biết rằng dữ liệu được ẩn danh. Lý do đằng sau những quy định này là dữ liệu lớn: Bằng cách này, các doanh nghiệp có thể tiếp tục sử dụng thông tin để phân tích thống kê.
Quyền của chủ thể dữ liệu
Các chủ thể dữ liệu có thể yêu cầu nhà điều hành kinh doanh tiết lộ mục đích sử dụng dữ liệu cá nhân của họ, cách họ có thể truy cập, chỉnh sửa hoặc tạm ngưng dữ liệu đó và nơi họ có thể gửi khiếu nại liên quan đến việc xử lý thông tin cá nhân của họ.
Họ cũng có thể yêu cầu một tổ chức chỉnh sửa hoặc xóa thông tin cá nhân không chính xác hoặc đình chỉ hoặc xóa thông tin cá nhân của họ nếu thông tin đó đã được sử dụng vượt quá mục đích sử dụng, được chuyển giao mà không có sự đồng ý trước hoặc thông tin cá nhân có được do gian lận hoặc các phương thức không công bằng khác.
Các chủ thể dữ liệu ở Nhật Bản có quyền kiện các nhà khai thác kinh doanh đã thu thập thông tin cá nhân của họ nếu họ không trả lời các yêu cầu dựa trên APPI của họ trong vòng hai tuần.
Trách nhiệm của người sử dụng thông tin
Các công ty phải bảo đảm rằng họ có chính sách bảo mật quy định mục đích sử dụng thông tin thu thập được. Họ phải áp dụng các biện pháp an ninh mạng và các biện pháp bảo vệ vật lý để bảo đảm an toàn cho thông tin cá nhân mà họ xử lý.
Các tổ chức thuộc phạm vi điều chỉnh của luật bảo vệ dữ liệu của Nhật Bản cũng phải thiết lập cấu trúc và quy trình để xử lý kịp thời các yêu cầu của chủ thể dữ liệu.
Truyền dữ liệu
Cũng như các quy định khác về bảo vệ dữ liệu trong văn bản quốc tế cũng như pháp luật quốc gia, nhà quản lý doanh nghiệp không được cung cấp thông tin cá nhân cho bên thứ ba mà không có sự đồng ý từ cá nhân. Tại đây, “bên thứ ba” có thể bao gồm các thể nhân, pháp nhân khác hay bao gồm cả các công ty con của nhà quản lý doanh nghiệp. Chính vì vậy, việc nhà quản lý doanh nghiệp cung cấp thông tin cho các công ty con của mình cũng phải tuân theo những quy định về bên thứ ba trong APPI.
Đối với việc chuyển dữ liệu cho các bên thứ ba bên trong Nhật Bản, các công ty phải được sự đồng ý trước của chủ thể dữ liệu cho việc chuyển giao hoặc thông báo trước cho cá nhân về khả năng từ chối. Nếu việc chuyển giao thông tin cá nhân là vì lợi ích chung, thì không cần phải có sự đồng ý trước. Điều này bao gồm các trường hợp liên quan đến an ninh quốc gia, các vấn đề pháp lý hoặc các vấn đề sức khỏe cộng đồng.
Sửa đổi APPI đưa ra các hạn chế đối với việc truyền dữ liệu bên ngoài Nhật Bản: Chúng chỉ có thể thực hiện nếu người nhận ở nước ngoài sống ở các quốc gia có mức độ bảo vệ dữ liệu tương đương với Nhật Bản, các thỏa thuận bảo đảm tuân thủ các tiêu chuẩn bảo vệ dữ liệu ở Nhật Bản đã được ký với người nhận ở nước ngoài hoặc chủ thể dữ liệu có thông tin cá nhân được chuyển giao đã đồng ý trước cho việc chuyển giao đó.
Các nhà cung cấp dịch vụ bên ngoài xử lý dữ liệu thay mặt cho nhà điều hành doanh nghiệp không được coi là bên thứ ba nếu họ ở bên trong Nhật Bản. Do đó, các nhà điều hành doanh nghiệp có thể chuyển dữ liệu cho họ theo quyết định của riêng họ, miễn là quá trình xử lý mà bên thứ ba sẽ tiến hành thuộc phạm vi mục đích sử dụng mà thông tin cá nhân được thu thập.
Thi hành và chế tài
PPC (Personal Information Protection Commission - Ủy ban Bảo vệ dữ liệu thông tin) là cơ quan bảo vệ dữ liệu cấp trung ương được thành lập theo bản sửa đổi gần đây của APPI và chịu trách nhiệm cho việc thi hành, điều tra. Ngoài ra, PPC còn chịu trách nhiệm cho việc ban hành hướng dẫn tuân thủ APPI. Trước khi PPC được thành lập, có nhiều cơ quan của Chính phủ có quyền lực thi hành đối với các nhà quản lý doanh nghiệp theo thẩm quyền tương ứng, và tại mỗi một cơ quan lại có hướng dẫn riêng (theo thống kê là hơn 40 hướng dẫn cho 27 ngành công nghiệp). Sự ra đời của bộ hướng dẫn từ PPC đã tạo ra sự thống nhất cao, tránh tình trạng hướng dẫn nằm phân tán, rải rác trong quy định tại các cơ quan khác nhau.
PPC có thể yêu cầu các báo cáo về việc xử lý thông tin cá nhân và ban hành các khuyến nghị hay lệnh sửa đổi trong trường hợp nhà quản lý doanh nghiệp vi phạm quyền riêng tư của cá nhân và vi phạm những quy định của APPI. Nếu doanh nghiệp không tuân thủ yêu cầu, PPC sẽ ban hành một lệnh hành chính là một yêu cầu chính thức đến công ty có hành động liên quan đến vi phạm dữ liệu. Nếu các lệnh hành chính cũng bị phớt lờ, nhà điều hành doanh nghiệp có thể bị khép vào tội hình sự và cá nhân chịu trách nhiệm có thể phải đối mặt với khoản tiền phạt lên đến 500.000 yên (tương đương 4.600 USD) hoặc phạt tù lên đến một năm.