Conformità della sicurezza dei dati alla legge giapponese sulla protezione delle informazioni personali

Panoramica della normativa

La legge Act on the Protection of Personal Information (APPI) - n. 57 del 2003 è la legislazione primaria che si applica alla raccolta e al trattamento dei dati personali e la legge è stata sottoposta a revisione rispettivamente nel 2017 e nel 2022.

La legge APPI istituisce la commissione Personal Information Protection Commission (PPC), un organo di regolamentazione che può fornire indicazioni sull'applicazione e l'interpretazione della legge e dei suoi requisiti. 

La guida pratica "APPI – General Rules" è stata pubblicata dal PPC in 10 capitoli:

• Capitolo 1: Scopo e ambito di applicazione
• Capitolo 2: Definizione
• Capitolo 3: Obblighi degli operatori commerciali che trattano dati personali
• Capitolo 4: Approccio alle raccomandazioni, agli ordini e ai decreti d'urgenza
• Capitolo 5: Esenzioni
• Capitolo 6: Disposizioni speciali per l'applicazione
• Capitolo 7: Responsabilità degli istituti di ricerca accademici
• Capitolo 8: Applicazione extraterritoriale
• Capitolo 9: Revisione delle linee guida
• Capitolo 10: Dettagli sulle misure di controllo della sicurezza da adottare

Le aziende con sede in Giappone devono soddisfare i requisiti della legge APPI quando trattano i dati personali degli interessati. Se l'azienda è straniera, dovrà attenersi alla legge APPI se soddisfa i tre criteri seguenti:

• Ambito personale: la legge APPI si applica se l'azienda gestisce le informazioni personali di soggetti giapponesi.
• Ambito territoriale: se raccoglie i dati personali di una persona interessata allo scopo di fornire i propri prodotti e servizi e tratta i dati personali di persone interessate in un Paese straniero, l'azienda dovrà soddisfare i requisiti della legge APPI. 
• Ambito di applicazione materiale: la legge APPI si applica al "trattamento" dei dati personali. Il trattamento si riferisce alla raccolta, alla conservazione, all'uso, al trasferimento e alla gestione in altro modo delle informazioni personali.

Thales aiuta le aziende giapponesi a rispettare la legge Act on the Protection of Personal Information (APPI) soddisfacendo i requisiti essenziali per la protezione delle informazioni personali per i requisiti seguenti con crittografia avanzata e la gestione delle chiavi.

Requisito: capitolo 2-1: Informazioni personali; capitolo 3-5-3-1: Situazioni da segnalare e capitolo 10-3: Misure di gestione della sicurezza aziendale

La crittografia e la tokenizzazione possono blindare con successo i dati sensibili (come le informazioni personali), le chiavi di crittografia devono essere protette, gestite e controllate dall’azienda per aumentare ulteriormente la sicurezza dei dati.

Protezione dei dati sensibili

• L'azienda può mettere in sicurezza in dati sensibili con CipherTrust Tokenization, che fornisce capacità complete di sicurezza dei dati, tra cui crittografia a livello applicativo, crittografia del database, mascheramento statico dei dati, tokenizzazione senza vault con mascheramento dei dati dinamico basato su criteri e tokenizzazione con vault per supportare un'ampia gamma di casi d'uso di protezione dei dati. CipherTrust Transparent Encryption (CTE) offre crittografia dei dati a riposo grazie alla gestione centralizzata delle chiavi, ai controlli degli accessi degli utenti privilegiati e alla registrazione dettagliata degli audit degli accessi ai dati. In questo modo è possibile proteggere i dati in qualsiasi ambiente, on-premise, cloud multipli, big data e container.

Controllo:

• Il regolamento richiede che le aziende siano in grado di monitorare, individuare, controllare e segnalare accessi autorizzati e non ai dati e alle chiavi di crittografia. Le aziende possono controllare l'accesso ai propri dati e centralizzare la gestione delle chiavi con CipherTrust Manager, CipherTrust Cloud Key Management (CCKM) e CipherTrust Data Security Platform per una forte separazione dei compiti e per applicare politiche di gestione degli accessi molto granulari e per utenti con privilegi minimi.

Requisito: capitolo 10-6: Misure di controllo della sicurezza tecnica

La crittografia di rete può proteggere i dati in movimento e la soluzione di protezione ransomware aiuta le aziende a rilevare gli attacchi informatici e a proteggere i dati sensibili.

• Gli High Speed Encryptor (HSE) di Thales offrono una crittografia di rete indipendente dei dati in movimento (livelli 2, 3 e 4) garantendo la sicurezza dei dati durante gli spostamenti tra siti oppure da ambienti on-premise al cloud e viceversa.
• CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) fornisce un metodo non intrusivo per proteggere i file / le cartelle dagli attacchi ransomware, monitorando continuamente i processi alla ricerca di attività di I/O anomale, emettendo un avviso o bloccando le attività dannose prima che il ransomware possa completamente impossessarsi degli endpoint e dei server dell'azienda.