Datensicherheits-Compliance für das japanische Gesetz zum Schutz personenbezogener Daten

Überblick über die Bestimmungen

Das Gesetz zum Schutz personenbezogener Daten (APPI) – Nr. 57 aus dem Jahr 2003 ist das wichtigste Gesetz über die Erhebung und Verarbeitung personenbezogener Daten. Das Gesetz wurde 2017 und 2022 überarbeitet.

Mit dem APPI wird die Kommission für den Schutz personenbezogener Daten (PPC) als Regulierungsbehörde eingerichtet, die Leitlinien für die Umsetzung und Auslegung des Gesetzes und seiner Anforderungen herausgeben kann. 

Die PPC hat einen praktischen Leitfaden namens „APPI – Allgemeine Regeln“ mit den folgenden 10 Kapiteln veröffentlicht:

• Kapitel 1: Zweck und Anwendungsbereich
• Kapitel 2: Begriffsbestimmungen
• Kapitel 3: Pflichten von Unternehmen, die personenbezogene Daten verarbeiten
• Kapitel 4: Vorgehensweise bei Empfehlungen, Anweisungen und Notanweisungen
• Kapitel 5: Ausnahmeregelungen
• Kapitel 6: Besondere Bestimmungen für die Umsetzung
• Kapitel 7: Verantwortlichkeiten der akademischen Forschungseinrichtungen
• Kapitel 8: Extraterritoriale Anwendung
• Kapitel 9: Überarbeitung der Leitlinien
• Kapitel 10: Einzelheiten der zu ergreifenden Sicherheitskontrollmaßnahmen

Unternehmen mit Sitz in Japan müssen die APPI-Anforderungen erfüllen, wenn sie die personenbezogenen Daten betroffener Personen verarbeiten. Ausländische Unternehmen unterliegen dem APPI, wenn die folgenden drei Kriterien erfüllt sind:

• Persönlicher Geltungsbereich: Das APPI gilt, wenn Ihr Unternehmen die personenbezogenen Daten japanischer betroffener Personen verarbeitet.
• Territorialer Geltungsbereich: Wenn Sie die personenbezogenen Daten einer betroffenen Person zum Zweck der Bereitstellung Ihrer Produkte und Dienstleistungen erheben und die personenbezogenen Daten der betroffenen Personen in einem anderen Land verarbeiten, unterliegen Sie den Anforderungen des APPI. 
• Materieller Anwendungsbereich: Die APPI gilt für die „Handhabung“ personenbezogener Daten. „Handhabung“ bezieht sich auf das Erheben, die Aufbewahrung, die Verwendung, die Übertragung und den sonstigen Umgang mit personenbezogenen Daten.

Thales unterstützt japanische Unternehmen bei der Einhaltung des Gesetzes über den Schutz personenbezogener Daten, indem es ihnen mit den wesentlichen Datenschutzanforderungen in Bezug auf fortschrittliche Verschlüsselung und Schlüsselverwaltung hilft.

Anforderung: Kapitel 2-1: Personenbezogene Daten; Kapitel 3-5-3-1: Meldepflichtige Situationen und Kapitel 10-3: Organisatorische Sicherheitsmanagementmaßnahmen

Damit sensible Daten wie z. B. personenbezogene Daten erfolgreich durch Verschlüsselung und Tokenisierung gesichert werden können, müssen die entsprechenden kryptografischen Schlüssel ebenfalls vom Unternehmen gesichert, verwaltet und kontrolliert werden, um so die Datensicherheit zu erhöhen.

Schutz von sensiblen Daten

• Unternehmen können sensible Daten mit CipherTrust Tokenization schützen. Diese Lösung stellt umfangreiche Datensicherheitsfunktionen bereit. Dazu gehören Verschlüsselung auf Dateiebene mit Zugriffskontrollen, Verschlüsselung auf Anwendungsebene, Datenbankverschlüsselung, statische Datenmaskierung, Tokenisierung ohne Vault mit richtlinienbasierter dynamischer Datenmaskierung sowie Tokenisierung mit Vault zur Unterstützung einer Vielzahl an Anwendungsfällen im Zusammenhang mit dem Datenschutz. CipherTrust Transparent Encryption (CTE) bietet Data-at-Rest-Verschlüsselung mit zentraler Schlüsselverwaltung, Zugriffskontrolle für privilegierte Benutzer und detaillierter Protokollierung des Datenzugriffs. Dies schützt Daten, wo auch immer sie sich befinden – on-premises, in verschiedenen Clouds und in Big-Data- und Container-Umgebungen.

Kontrollieren:

• Das Gesetz verlangt von Unternehmen, dass sie sowohl berechtigten als auch unbefugten Zugriff auf Daten und kryptografische Schlüssel erkennen, kontrollieren und melden. Unternehmen können den Zugriff auf ihre Daten kontrollieren und die Schlüsselverwaltung mit CipherTrust Manager, CipherTrust Cloud Key Management (CCKM) und der CipherTrust Data Security Platform zentralisieren, um eine strikte Aufgabentrennung zu gewährleisten und sehr granulare Zugriffsverwaltungsrichtlinien nach dem Least-Privileged-User-Prinzip durchzusetzen

Anforderung: Kapitel 10-6: Technische Sicherheitskontrollmaßnahmen

Die Netzwerkverschlüsselung kann Data-in-Motion schützen und die Lösung zum Schutz vor Ransomware hilft Unternehmen, Cyberangriffe zu erkennen und sensible Daten zu sichern.

• High Speed Encryptors (HSE) von Thales bieten eine netzwerkunabhängige Verschlüsselung für Data-in-Motion (Layer 2, 3 und 4), die die Sicherheit der Daten auf dem Weg von Standort zu Standort oder von on-premises zur Cloud und zurück gewährleistet.
• CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) bietet eine nicht intrusive Methode zum Schutz von Dateien/Ordnern vor Ransomware-Angriffen. Es überwacht Prozesse kontinuierlich auf abnormale I/O-Aktivitäten und warnt vor oder blockiert schädliche Aktivitäten, bevor Ransomware Ihre Endpunkte und Server vollständig übernehmen kann.