Cumplimiento de la Ley de Protección de Datos Personales en materia de Seguridad de la Información de Japón

Descripción general de la regulación

La Ley de Protección de Datos Personales (APPI) – n.º 57 de 2003 es la legislación primaria que se aplica a la recogida y tratamiento de datos personales y la ley pasó por revisión en 2017 y 2022, respectivamente.

La APPI crea la Comisión de Protección de Datos Personales (CPP), órgano regulador que puede emitir orientaciones sobre la aplicación e interpretación de la Ley y sus requisitos. 

La CPP ha publicado orientaciones prácticas para la APPI – Normas generales, con los 10 capítulos siguientes:

• Capítulo 1: Objeto y ámbito de aplicación
• Capítulo 2: Definición
• Capítulo 3: Obligaciones de los empresarios que tratan datos personales
• Capítulo 4: Enfoque de las recomendaciones, órdenes y órdenes de urgencia
• Capítulo 5: Exenciones
• Capítulo 6: Disposiciones especiales de aplicación
• Capítulo 7: Responsabilidades de las instituciones académicas de investigación
• Capítulo 8: Aplicación extraterritorial
• Capítulo 9: Revisión de las directrices
• Capítulo 10: Detalles de las medidas de control de seguridad que deben adoptarse

Las organizaciones con sede en Japón deben cumplir los requisitos de la APPI al tratar los datos personales de los interesados. Si es una organización extranjera, estará sujeta al APPI si cumple los tres criterios siguientes:

• Ámbito personal: La APPI es de aplicación si su organización gestiona información personal de interesados japoneses.
• Ámbito territorial: Si recopila los datos personales de un interesado con el fin de ofrecer sus productos y servicios y trata los datos personales de los interesados en un país extranjero, estará sujeto a los requisitos de la APPI. 
• Ámbito de aplicación material: La APPI se aplica al "tratamiento" de datos personales. El tratamiento se refiere a la recogida, conservación, uso, transferencia y cualquier otro tipo de manipulación de la información personal.

Thales ayuda a las organizaciones japonesas a cumplir la Ley de Protección de Datos Personales (APPI) abordando los requisitos esenciales de proteger los datos personales para los siguientes requisitos con cifrado avanzado y gestión de claves.

Requisito: Capítulo 2-1: Datos personales; Capítulo 3-5-3-1: Situaciones que deben notificarse y Capítulo 10-3: Medidas de gestión de la seguridad de la organización

El cifrado y la tokenización pueden garantizar la seguridad de los datos confidenciales como los datos personales, la organización debe asegurar, administrar y controlar las propias claves criptográficas para reforzar todavía más la seguridad de los datos.

Protección de los datos confidenciales

• La organización puede proteger los datos confidenciales con CipherTrust Platform, que proporciona capacidades integrales de seguridad de datos que incluyen cifrado a nivel de archivo con controles de acceso, cifrado de capas de aplicación, cifrado de base de datos, enmascaramiento de datos estáticos, tokenización sin bóveda con enmascaramiento dinámico de datos basado en políticas y tokenización con bóveda, para ser compatible una amplia gama de usos de protección de datos. CipherTrust Transparent Encryption (CTE) ofrece cifrado de datos en reposo con administración centralizada de claves, control de acceso de usuarios privilegiados y registro detallado de auditoría de acceso a datos. Esto protege los datos dondequiera que residan: en las instalaciones, en múltiples nubes y dentro de entornos de Big Data y contenedores.

Control:

• La regulación requiere que las organizaciones puedan monitorear, detectar, controlar e informar sobre el acceso autorizado y no autorizado a datos y claves de cifrado. Las organizaciones pueden controlar el acceso a sus datos y centralizar la gestión de claves con CipherTrust Manager, CipherTrust Cloud Key Management (CCKM) y CipherTrust Data Security Platform para lograr una fuerte separación de funciones y aplicar políticas de gestión de acceso muy granulares y con menos privilegios.

Requisito: Capítulo 10-6: Medidas técnicas de control de la seguridad

El cifrado de red puede proteger los datos en movimiento y la solución de protección contra ransomware ayuda a las organizaciones a detectar ciberataques y proteger los datos confidenciales.

• Thales High Speed Encryptors (HSE) ofrecen cifrado de datos en movimiento independiente de la red (Capas 2, 3 y 4) garantizando que los datos estén protegidos al trasladarse de un centro a otro, o desde las instalaciones a la nube o viceversa.
• CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) ofrece una forma no intrusiva de proteger archivos/carpetas de ataques de ransomware. Supervisa continuamente los procesos en busca de actividad de E/S anómala y alerta o bloquea la actividad maliciosa antes de que el ransomware pueda apoderarse por completo de sus endpoints y servidores.