Freigeben über


„My Number“-Gesetz (Japan)

Über das „My Number“-Gesetz

Die Regierung von Japan verabschiedete das „My Number“-Gesetz (japanisch und englisch), das im Januar 2016 in Kraft trat. Durch dieses wurde jedem Einwohner Japans einschließlich Ausländern eine 12-stellige individuelle Nummer, auch Sozialversicherungs- und Steuernummer, zugewiesen. Die Vergabe einer Nummer zu allen Zwecken (wie etwa die US-Sozialversicherungsnummer) wurde für die vereinfachte und effizientere Besteuerung und Einrichtung von Sozialversicherungsleistungen wie die staatliche Rente, Krankenversicherung und Arbeitslosigkeit konzipiert.

Die Personal Information Protection Commission (PPC), die als zentrale Datenschutzbehörde fungiert, wurde durch das Gesetz über den Schutz personenbezogener Informationen (japanisch und englisch) eingesetzt. Die PPC hat zur Einhaltung des „My Number“-Gesetzes „My Number“-Richtlinien (japanisch) herausgegeben, um sicherzustellen, dass Organisationen personenbezogene Daten, darunter „My Number“-Daten, gemäß den gesetzlichen Bestimmungen handhaben und ausreichend schützen.

Microsoft und das „My Number“-Gesetz

Damit unsere japanischen Kunden personenbezogene Daten schützen können, verpflichtet sich Microsoft durch die Microsoft Online Services-Nutzungsbedingungen vertraglich dazu, dass bei unseren betreffenden Business Cloud Services die technischen und Organisationssicherheitsvorkehrungen implementiert sind, die unseren Kunden bei der Einhaltung des „My Number“-Gesetzes helfen. Diese Unterstützung bedeutet, dass Kunden in Japan Microsoft Business Cloud Services mit dem Vertrauen darauf bereitstellen können, dass sie die gesetzlichen Vorschriften Japans einhalten.

Die von der Personal Information Protection Commission (PPC) veröffentlichte Q&A (Japanisch) enthält Leitlinien für den angemessenen Umgang und den Schutz personenbezogener Daten. Es sieht vor, dass ein Dritter nicht als umgangen mit personenbezogenen Daten ausgelegt wird, wenn der Dritte in seiner Vereinbarung festlegt, dass (a) er dies nicht tut, und (b) er ein ordnungsgemäßes Zugriffskontrollsystem einleitet. Das My Number Act legt Verpflichtungen fest, wenn Daten an Einen Dritten übertragen werden, aber Abschnitt Q3-12 (Japanisch) des PPC Q&A erklärt, dass diese Anforderungen nicht gelten, wenn der Dritte nicht "behandelt", d. h. ständigen Zugriff auf personenbezogene Daten hat.

Microsoft Business Cloud Services behandeln diese Anforderungen in den Microsoft Online Services-Nutzungsbedingungen, die festlegen, dass der Besitz von und die Verantwortlichkeit für Kundendaten, die „My Number“-Daten umfassen, bei unseren Kunden liegen, nicht bei Microsoft. Der Kunde muss daher über geeignete vorhandene Kontrollmechanismen verfügen, um die in Kundendaten enthaltenen „My Number“-Daten zu schützen.

Da Microsoft keinen ständigen Zugriff auf die Daten von "Meine Nummer" hat, die in seinen Clouddiensten gespeichert sind, ist ein "Outsourcing"-Vertrag für die Verarbeitung von "Meine Nummer"-Daten nicht erforderlich. Wenn ein Kunde möchte, dass Microsoft auf Kundendaten zugreift, die „My Number“-Daten enthalten, muss der Kunde für jeden Fall einen weiteren Outsourcing-Vertrag mit Microsoft abschließen, bevor er eine solche Anfrage stellt.

Die Bedingungen legen auch fest, dass Microsoft sich verpflichtet, Kundendaten nur für die Bereitstellung von Diensten für den Kunden zu verwenden – nicht für Werbung oder ähnliche kommerzielle Zwecke, und dass Microsoft über robuste Zugriffssteuerungssysteme verfügt.

Daher unterstützen Microsoft Business Cloud Services die Anforderungen des "My Number Act" und schaffen keine weiteren Verpflichtungen im Rahmen des Gesetzes für Kunden, z. B. die Zustimmung eines einzelnen Besitzers personenbezogener Daten.

Zu Microsoft gehörende Cloudplattformen und -dienste

Office 365 und das My Number Act

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender for Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do für Web, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Cloud App Security, Office 365 Groups, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage

Implementierung

Häufig gestellte Fragen

Wer ist letztlich für den Schutz personenbezogener Daten gemäß dem „My Number“-Gesetz verantwortlich?

Abschnitt Q3-13 (Japanisch) des PPC Q&A besagt, dass diese, da das Eigentum an personenbezogenen Daten bei Microsoft-Kunden liegt, geeignete Sicherheitsmaßnahmen ergreifen müssen, z. B. die Kontrolle von Administratorkennwörtern, um personenbezogene Informationen und "Meine Nummer"-Daten zu schützen.

Ressourcen