TL;DR

Umgang mit Daten japanischer Nutzer? Das Gesetz über den Schutz personenbezogener Daten (APPI ) ist die japanische Version der GDPR - mit lokalen Besonderheiten.

Erfordert Zustimmung, Meldung von Datenschutzverletzungen, grenzüberschreitende Beschränkungen und strenge technische und organisatorische Sicherheitsvorkehrungen.

Ob SaaS oder Infrastruktur, compliance bestimmungen ist keine Option. Wenn Sie es vermasseln, müssen Sie mit Geldstrafen und ernsthaften Markenschäden auf einem der größten Märkte Asiens rechnen.

Japan Cybersecurity Legislation Scorecard Zusammenfassung:

• Entwickelnde Aufwand: Mäßig bis hoch (Erfordert die Umsetzung technischer Sicherheitsmaßnahmen, die mit den APPI-Richtlinien übereinstimmen, sichere Kodierung, sorgfältiger Umgang mit persönlichen/sensiblen Daten, ggf. Unterstützung der Rechte der Betroffenen).
• Tooling-Kosten: Mäßig (Erfordert Standard-Sicherheitstools - Verschlüsselung, Zugriffskontrolle, Protokollierung, Schwachstellenmanagement - sowie möglicherweise Datenermittlungs-/Mapping-Tools für die compliance APPI).
• Auswirkungen auf den Markt: HochCompliance des APPI ist für den Umgang mit personenbezogenen Daten in Japan unerlässlich; das Grundgesetz gibt den nationalen Ton an, der die Erwartungen an kritische Infrastrukturen und Unternehmen beeinflusst).
• Flexibel: Mäßig (APPI gibt Grundsätze und Leitlinien vor, die eine gewisse Flexibilität bei der technischen Umsetzung erlauben, aber Kernanforderungen wie Zustimmung und Sicherheitsmaßnahmen sind obligatorisch).
• Intensität der Prüfungen: Mäßig (weniger Fokus auf formale Zertifizierungsaudits wie ISO/SOC 2, aber behördliche Untersuchungen durch die PPC nach Verstößen oder Beschwerden können intensiv sein).

Was sind das japanische Cybersicherheitsgesetz und die damit verbundenen Vorschriften?

Japans Rechtslandschaft im Bereich der Cybersicherheit wird in erster Linie durch mehrere wichtige Rechtsvorschriften geprägt, und nicht durch ein einziges "Cybersicherheitsgesetz", das alle technischen Anforderungen enthält:

1. Grundlegendes Gesetz zur Cybersicherheit (2014): Dieses Gesetz legt die grundlegende Strategie und die Grundsätze für die Cybersicherheit in Japan auf nationaler Ebene fest. Es definiert die Verantwortlichkeiten der nationalen Regierung, der lokalen Behörden, der Betreiber kritischer Infrastrukturen und der Unternehmen. Es fördert das Bewusstsein für Cybersicherheit, die Forschung und die internationale Zusammenarbeit, schreibt den meisten Unternehmen jedoch keine detaillierten technischen Anforderungen vor. Es hat wichtige Gremien wie das Cybersecurity Strategic Headquarters geschaffen.
2. Gesetz über den Schutz personenbezogener Daten (APPI): Das ursprünglich 2003 erlassene und erheblich geänderte APPI (gültig ab 2017, 2022, weitere Aktualisierungen sind wahrscheinlich) ist Japans zentrales Datenschutzgesetz. Es regelt den Umgang mit personenbezogenen Daten durch Unternehmen. Zu den wichtigsten Aspekten, die Entwickler betreffen, gehören:
   
   • Maßnahmen zur Sicherheitskontrolle: Verlangt von Unternehmen, die mit personenbezogenen Daten umgehen, dass sie notwendige und geeignete Maßnahmen ergreifen, um Leckagen, Verlust oder Beschädigung zu verhindern (Artikel 23). Die Leitlinien der Kommission zum Schutz personenbezogener Daten (PPC) enthalten Einzelheiten zu organisatorischen, personellen, physischen und technischen Sicherheitsmaßnahmen (z. B. Zugangskontrolle, Schutz vor Malware, Verschlüsselung).
   • Beschränkungen der Weitergabe an Dritte: Generell ist die Zustimmung erforderlich, bevor personenbezogene Daten an Dritte, einschließlich verbundener Unternehmen oder ausländischer Einrichtungen, weitergegeben werden dürfen (mit besonderen Vorschriften für grenzüberschreitende Übermittlungen).
   • Meldung von Datenschutzverletzungen: Verlangt die Meldung erheblicher Datenschutzverletzungen (z. B. im Zusammenhang mit sensiblen Daten, potenziellem finanziellem Schaden, einer großen Zahl von Personen) an die Datenschutzbehörde und die Benachrichtigung der betroffenen Personen.
   • Umgang mit sensiblen persönlichen Informationen: Strengere Regeln für die Verarbeitung sensibler Datenkategorien (Ethnie, Glaube, Krankengeschichte usw.).
   • Persönlich zuordenbare Informationen: Mit der geänderten APPI wurden Regeln für die Übermittlung von Informationen eingeführt, die identifizierbar werden, wenn sie mit anderen Daten des Empfängers kombiniert werden (z. B. mit einem Konto verbundene Cookie-Daten).
3. Gesetz über das Verbot des unbefugten Zugangs zu Computern (APUCA): Stellt den unbefugten Zugriff (Hacking) unter Strafe.
4. Gesetz über Telekommunikationsunternehmen (TBA): Enthält Bestimmungen über die Geheimhaltung der von Telekommunikationsunternehmen abgewickelten Kommunikation.
5. Sektorspezifische Vorschriften: Verschiedene Sektoren (Finanzwesen, kritische Infrastrukturen) haben zusätzliche Richtlinien oder Vorschriften zur Cybersicherheit, die oft auf den Grundsätzen des Grundgesetzes basieren.

Für die meisten Entwickler und Technologieunternehmen sind die Anforderungen der APPI an die Sicherung personenbezogener Daten die unmittelbarste und technisch relevanteste compliance neben den allgemeinen sicheren Entwicklungspraktiken, die durch das Grundgesetz gefördert werden.

Warum ist sie wichtig?

Das Verständnis und die Einhaltung der japanischen Gesetze zur Cybersicherheit und zum Datenschutz sind von entscheidender Bedeutung für:

• Marktzugang: Der Umgang mit personenbezogenen Daten von in Japan ansässigen Personen erfordert die compliance des APPI. Die compliance kann zu regulatorischen Maßnahmen führen, die den Geschäftsbetrieb behindern.
• Compliance Gesetze: Die Nichteinhaltung der APPI-Sicherheitsmaßnahmen oder der Meldevorschriften für Sicherheitsverletzungen kann zu Anordnungen, Strafen und bei schweren Verstößen möglicherweise zu strafrechtlichen Konsequenzen führen.
• Schutz persönlicher Daten: Die Umsetzung der APPI-Sicherheitsmaßnahmen trägt zum Schutz sensibler personenbezogener Daten bei, eine wichtige Voraussetzung für eine ethisch und rechtlich einwandfreie Tätigkeit.
• Vertrauen schaffen: Die Demonstration starker Cybersicherheits- und Datenschutzpraktiken schafft Vertrauen bei japanischen Verbrauchern, Unternehmen und Regulierungsbehörden.
• Vermeiden von Strafen: Verstöße gegen die APPI und diecompliance können zu erheblichen Geldstrafen und Korrekturanordnungen der Kommission für den Schutz personenbezogener Daten (PPC) führen.
• Nationale Sicherheit und kritische Infrastrukturen: Das Grundgesetz unterstreicht die Bedeutung der Cybersicherheit für die nationale Sicherheit und die Widerstandsfähigkeit kritischer Dienste und beeinflusst die Erwartungen auch für nicht kritische Unternehmen.

Compliance ist für jedes Unternehmen, das japanische personenbezogene Daten verarbeitet oder in kritischen Sektoren in Japan tätig ist, unerlässlich.

Was und wie umsetzen (technisch und politisch)

Die Umsetzung konzentriert sich in erster Linie auf die Erfüllung der Anforderungen des APPI an die Sicherheitskontrollmaßnahmen und die allgemeinen Grundsätze der sicheren Entwicklung:

1. APPI-Sicherheitskontrollmaßnahmen (basierend auf den PPC-Richtlinien):
   
   • Organisatorische Maßnahmen: Ernennung von verantwortlichem Personal, Aufstellung interner Regeln, Erstellung von Abfertigungsprotokollen, Durchführung von Selbstinspektionen.
   • Personelle Maßnahmen: Schulung der Mitarbeiter, die mit personenbezogenen Daten umgehen.
   • Physische Maßnahmen: Kontrolle des Zugangs zu Bereichen, in denen personenbezogene Daten verarbeitet werden, Verhinderung von Diebstahl/Verlust von Geräten/Medien, sichere Entsorgung.
   • Technische Maßnahmen:
     
     • Zugangskontrolle: Identifizierung/Authentifizierung, Verwaltung von Zugriffsrechten (least privilege), Aufzeichnung von Zugriffsprotokollen, Verhinderung von unbefugtem Zugriff von außen (Firewalls).
     • Schutz vor Malware: Installation von Anti-Malware-Software, Pflege von Sicherheits-Patches für Betriebssysteme/Software.
     • Sicherheit von Informationssystemen: Sichere Konfigurationen, Schwachstellenmanagement, sichere Datenübertragung (Verschlüsselung - TLS), Protokollierung.
     • Sichere Entwicklung: Einbeziehung von Sicherheitsanforderungen während des Entwurfs, Durchführung von Sicherheitstests (wenn auch weniger detailliert als bei SSDF/ASVS, so ist dies doch implizit).
2. APPI-Datenverarbeitung:
   
   • Zustimmungsmanagement: Implementierung von Mechanismen zur Einholung einer gültigen Nutzerzustimmung, wenn diese für die Verarbeitung oder die Übermittlung an Dritte (insbesondere grenzüberschreitend) erforderlich ist.
   • Zweckbestimmung und Einschränkung: Legen Sie klar fest, warum Daten gesammelt werden, und verwenden Sie sie nicht ohne Zustimmung für andere Zwecke.
   • Minimierung der Datenmenge: Sammeln Sie nur notwendige Daten.
   • Unterstützung der Rechte der Betroffenen: Verfahren zur Bearbeitung von Anträgen auf Zugang, Berichtigung, Löschung oder Einstellung der Nutzung personenbezogener Daten.
   • Meldung von Verstößen: Entwickeln Sie interne Prozesse, um qualifizierte Verstöße zu erkennen, zu bewerten und dem PPC und den betroffenen Personen unverzüglich zu melden.
3. Allgemeine Cybersicherheitspraktiken (im Einklang mit den Grundsätzen der Grundakte):
   
   • Risikobewertung: Regelmäßige Bewertung der Cybersicherheitsrisiken.
   • Sichere Konfigurationen: Härten Sie Systeme und Anwendungen.
   • Schwachstellenmanagement: Flicken Sie Systeme und Anwendungen umgehend.
   • Reaktion auf Vorfälle: Erstellen Sie einen Plan für den Umgang mit Cybersicherheitsvorfällen.
   • Schulung: Sicherstellen, dass die Mitarbeiter mit den Bedrohungen der Cybersicherheit (Phishing, Malware) vertraut sind.

Die Implementierung umfasst Standard-Sicherheitstools (Firewalls, Anti-Malware, MFA, Verschlüsselung, Protokollierung/SIEM, Schwachstellen-Scanner) in Verbindung mit strengen internen Richtlinien, Verfahren, Entwicklerschulungen und sorgfältigen, von APPI definierten Datenverarbeitungspraktiken.

Häufig zu vermeidende Fehler

Zu den häufigen Fallstricken bei der compliance japanischen compliance für Cybersicherheit und Datenschutz gehören:

1. Ignorieren der APPI-Anwendbarkeit: Die Annahme, dass das japanische Datenschutzrecht nicht für ausländische Unternehmen gilt, die Daten von in Japan ansässigen Personen verarbeiten. APPI hat extraterritoriale Reichweite.
2. Unzureichende Sicherheitsmaßnahmen: Unterlassung der Umsetzung "notwendiger und angemessener" technischer, physischer, organisatorischer und personeller Sicherheitsmaßnahmen gemäß den Vorgaben des Datenschutzgesetzes zum Schutz personenbezogener Daten.
3. Unzulässige Einwilligung/Grenzüberschreitende Übertragungen: Übermittlung personenbezogener Daten an Dritte (insbesondere ins Ausland), ohne die erforderliche Zustimmung einzuholen oder ein gleichwertiges Schutzniveau zu gewährleisten.
4. Verspätete/ausbleibende Meldung von Datenschutzverletzungen: Das Versäumnis, der Datenschutzbehörde und den betroffenen Personen innerhalb des vorgeschriebenen Zeitrahmens qualifizierte Datenschutzverletzungen zu melden.
5. Unzureichendes Management von Anbietern: Es wird nicht sichergestellt, dass Drittanbieter, die mit personenbezogenen Daten umgehen, über angemessene Sicherheitsmaßnahmen und vertragliche Verpflichtungen verfügen.
6. Mangelnde Dokumentation: Versäumnisse bei der Dokumentation von Datenverarbeitungsrichtlinien, Sicherheitsmaßnahmen, Risikobewertungen und Verfahren zur Reaktion auf Verstöße.
7. Konzentration nur auf die Technologie: Vernachlässigung der entscheidenden organisatorischen, personellen und physischen Sicherheitsmaßnahmen, die in den APPI-Richtlinien gefordert werden.

Was Wirtschaftsprüfer/Regulierungsbehörden fragen könntenEntwickelnde Focus)

Obwohl formelle Audits wie SOC 2 für APPI nicht die Norm sind, kann das PPC Unternehmen untersuchen, insbesondere nach Sicherheitsverletzungen. Für Entwickler relevante Fragen könnten sein:

• (APPI-Sicherheitsmaßnahmen) "Welche technischen Sicherheitsmaßnahmen (Zugriffskontrolle, Verschlüsselung, Schwachstellenmanagement) werden innerhalb der Anwendung zum Schutz personenbezogener Daten eingesetzt?"
• (APPI-Sicherheitsmaßnahmen) "Wie verhindern Sie gängige Web-Schwachstellen (z. B. SQL-Injection, XSS) in Anwendungen, die personenbezogene Daten verarbeiten?" (Zeigen Sie sichere Kodierungspraktiken, Testergebnisse)
• (APPI Data Handling) "Wie stellt das System sicher, dass nur notwendige personenbezogene Daten erhoben und für den vorgesehenen Zweck verarbeitet werden?" (Datenminimierung)
• (APPI Data Handling) "Wie erleichtert die Anwendung den Nutzern die Beantragung von Zugang, Korrektur oder Löschung ihrer personenbezogenen Daten?"
• (APPI Data Handling) "Zeigt die Protokolle über den Zugriff auf oder die Änderung von personenbezogenen Daten innerhalb der Anwendung an."
• (APPI Breach Reporting) "Welche Mechanismen sind in der Anwendung oder den unterstützenden Systemen vorhanden, um potenzielle Datenschutzverletzungen zu erkennen?"

Die Regulierungsbehörden werden sich darauf konzentrieren, ob "notwendige und angemessene" Sicherheitsmaßnahmen ergriffen wurden, die der Sensibilität der Daten und den potenziellen Risiken angemessen sind.

Quick Wins für Entwicklungsteams

Die Entwickler können zur compliance der japanischen Vorschriften beitragen:

1. Verstehen der APPI-Grundlagen: Machen Sie das Team mit den wichtigsten APPI-Grundsätzen vertraut: Rechtsgrundlage, Zweckbindung, Datenminimierung, Sicherheitsmaßnahmen und Rechte der Betroffenen.
2. Implementierung strenger Zugangskontrollen: Erzwingen Sie geringstmögliche Rechte und MFA für den Zugriff auf Systeme/Datenbanken mit persönlichen japanischen Daten.
3. Verschlüsseln Sie sensible Daten: Verwenden Sie eine starke Verschlüsselung für sensible persönliche Daten sowohl im Ruhezustand als auch bei der Übertragung (TLS).
4. Sichere Kodierungspraktiken: Anwendung der OWASP Top 10-Prinzipien mit Schwerpunkt auf der Vermeidung von Injektion, XSS und Zugriffskontrollfehlern.
5. Minimieren Sie die Datenerfassung: Hinterfragen Sie aktiv die Notwendigkeit aller personenbezogenen Daten, die in den Funktionen erfasst werden.
6. Planen Sie für Datenanfragen: Entwerfen Sie Datenmodelle und APIs, die berücksichtigen, wie Zugriffs-, Korrektur- und Löschungsanfragen technisch erfüllt werden können.
7. Verbessern Sie die Protokollierung: Stellen Sie sicher, dass Anwendungsprotokolle relevante Ereignisse für die Sicherheitsüberwachung und die Untersuchung möglicher Sicherheitsverletzungen erfassen.

Ignorieren Sie dies und... (Folgen der Compliance)

Die compliance der japanischen Gesetze zur Cybersicherheit und zum Datenschutz, insbesondere des APPI, kann zu Konsequenzen führen:

• Administrative Anordnungen: Der PPC kann Empfehlungen oder Anordnungen aussprechen, die Organisationen dazu verpflichten, Verstöße einzustellen und Abhilfemaßnahmen zu ergreifen.
• Geldstrafen: Die Nichteinhaltung von PPC-Anordnungen kann zu erheblichen Geldstrafen führen (bis zu 100 Mio. JPY oder mehr für Unternehmen im Rahmen des geänderten APPI). Auch die Vorlage falscher Berichte kann Geldbußen nach sich ziehen.
• Strafrechtliche Sanktionen: Die widerrechtliche Aneignung oder Bereitstellung von Datenbanken mit personenbezogenen Daten zu illegalen Zwecken kann für Einzelpersonen zu Haftstrafen (bis zu einem Jahr) oder Geldstrafen (bis zu 500.000 JPY) führen, wobei das Unternehmen möglicherweise als Erfüllungsgehilfe haftet. Andere Gesetze wie das APUCA sehen ebenfalls strafrechtliche Sanktionen für Hacker vor.
• Schädigung des Rufs: Datenschutzverletzungen oder öffentliche Regulierungsmaßnahmen schaden dem Vertrauen der japanischen Verbraucher und Geschäftspartner erheblich.
• Zivilrechtliche Klagen: Personen, deren Datenschutzrechte verletzt werden, können nach dem Deliktsrecht auf Schadenersatz klagen.
• Unterbrechung der Geschäftstätigkeit: Untersuchungen und erforderliche Abhilfemaßnahmen können den Betrieb stören.

FAQ

Welches ist das wichtigste Cybersicherheitsgesetz in Japan?

Das Grundgesetz zur Cybersicherheit legt die nationale Strategie und die Grundsätze fest. Das Gesetz über den Schutz personenbezogener Daten (APPI) enthält jedoch die direktesten und detailliertesten Datensicherheitsverpflichtungen für Unternehmen, die personenbezogene Daten verarbeiten. Andere Gesetze wie das APUCA befassen sich mit spezifischen Cyberkriminalität.

Gilt das japanische APPI auch für ausländische Unternehmen?

Ja. Das APPI gilt für alle Unternehmen, die mit den personenbezogenen Daten von Personen in Japan umgehen, auch wenn das Unternehmen selbst außerhalb Japans ansässig ist, insbesondere wenn es Waren oder Dienstleistungen für Personen in Japan anbietet.

Ist APPI mit der GDPR vergleichbar?

Es gibt viele Ähnlichkeiten bei den Grundsätzen (Rechtsgrundlage, Zweckbindung, Rechte der betroffenen Person, Sicherheitsmaßnahmen, Meldung von Datenschutzverletzungen, Vorschriften für die grenzüberschreitende Übermittlung). Es gibt jedoch auch wesentliche Unterschiede bei den Definitionen, spezifischen Anforderungen (z. B. Umgang mit "personenbezogenen Daten"), Durchsetzungsmechanismen und Bußgeldstrukturen. Die compliance GDPR ist für APPI eine große Hilfe, aber die spezifischen japanischen Anforderungen müssen dennoch erfüllt werden.

Was sind die APPI-Anforderungen für die Übermittlung von Daten außerhalb Japans?

Im Allgemeinen ist für die Übermittlung personenbezogener Daten an Dritte außerhalb Japans entweder die Zustimmung der betroffenen Person erforderlich, oder es muss sichergestellt werden, dass das Empfängerland über ein angemessenes, vom PPC anerkanntes Schutzniveau verfügt, oder es muss gewährleistet sein, dass der Empfänger Maßnahmen ergreift, die den APPI-Standards gleichwertig sind (häufig über vertragliche Vereinbarungen).

Wann müssen Datenschutzverletzungen im Rahmen des APPI gemeldet werden?

Unternehmen müssen Verstöße, die bestimmte Arten von Schäden nach sich ziehen (z. B. Weitergabe sensibler Daten, potenzieller finanzieller Schaden, vorsätzliche Handlungen, die mehr als 1.000 Personen betreffen), unverzüglich der Kommission für den Schutz personenbezogener Daten (PPC) melden und die betroffenen Personen informieren.

Gibt es spezifische technische Kontrollen, die von APPI vorgeschrieben sind?

APPI verlangt "notwendige und angemessene Sicherheitskontrollmaßnahmen". Der PPC enthält Richtlinien, die die erwarteten technischen Maßnahmen wie Zugangskontrolle, Identifizierung/Authentifizierung, Schutz vor Malware, Verschlüsselung, Protokollierung und sichere Konfigurationen beschreiben. Diese Richtlinien sind zwar nicht so präskriptiv wie z. B. PCI DSS, legen aber klare Erwartungen fest.

Gibt es eine spezifische Cybersicherheitszertifizierung für Japan?

Japan verwendet internationale Standards wie ISO 27001 und verfügt über sektorspezifische Richtlinien (z. B. FISC-Richtlinien für das Finanzwesen). Es gibt keine einheitliche, allgemein vorgeschriebene "japanische Cybersicherheitszertifizierung", die mit CMMC oder FedRAMP für allgemeine Unternehmen vergleichbar ist, aber die compliance APPI und die Befolgung von Richtlinien sind entscheidend.