„My Number“-Gesetz (Japan)My Number Act (Japan)

Über das „My Number“-GesetzAbout the My Number Act

Die Regierung von Japan verabschiedete das „My Number“-Gesetz (japanisch und englisch), das im Januar 2016 in Kraft trat.The Japanese government enacted the My Number Act (Japanese and English), which took effect in January 2016. Durch dieses wurde jedem Einwohner Japans einschließlich Ausländern eine 12-stellige individuelle Nummer, auch Sozialversicherungs- und Steuernummer, zugewiesen.It assigned a unique 12-digit number — called My Number, or the Social Benefits and Tax Number or Individual Number — to every resident of Japan, whether Japanese or foreign. Die Vergabe einer Nummer zu allen Zwecken (wie etwa die US-Sozialversicherungsnummer) wurde für die vereinfachte und effizientere Besteuerung und Einrichtung von Sozialversicherungsleistungen wie die staatliche Rente, Krankenversicherung und Arbeitslosigkeit konzipiert.Giving each person one number for all purposes (like the US Social Security number) was designed to simplify and make more efficient taxation and the implementation of social benefits such as the national pension, medical insurance, and unemployment.

Die Personal Information Protection Commission (PPC), die als zentrale Datenschutzbehörde fungiert, wurde durch das Gesetz über den Schutz personenbezogener Informationen (japanisch und englisch) eingesetzt.The Personal Information Protection Commission (PPC), which acts as the centralized data protection authority, was established by the Act on the Protection of Personal Information (Japanese and English). Die PPC hat zur Einhaltung des „My Number“-Gesetzes „My Number“-Richtlinien (japanisch) herausgegeben, um sicherzustellen, dass Organisationen personenbezogene Daten, darunter „My Number“-Daten, gemäß den gesetzlichen Bestimmungen handhaben und ausreichend schützen.In the PPC's role of supervising and monitoring compliance with the My Number Act, it has issued My Number Guidelines (Japanese) to ensure that organizations properly handle and adequately protect personal data, including My Number data, as required by law.

Microsoft und das „My Number“-GesetzMicrosoft and the My Number Act

Damit unsere japanischen Kunden personenbezogene Daten schützen können, verpflichtet sich Microsoft durch die Microsoft Online Services-Nutzungsbedingungen vertraglich dazu, dass bei unseren betreffenden Business Cloud Services die technischen und Organisationssicherheitsvorkehrungen implementiert sind, die unseren Kunden bei der Einhaltung des „My Number“-Gesetzes helfen. Dies bedeutet, dass Kunden in Japan Microsoft Business Cloud Services mit dem Vertrauen darauf bereitstellen können, dass sie die gesetzlichen Vorschriften Japans einhalten.To help our Japanese customers protect the privacy of personal data, Microsoft contractually commits through the Microsoft Online Services Terms that our in-scope business cloud services have implemented the technical and organizational security safeguards that help our customers comply with the My Number Act. This means that customers in Japan can deploy Microsoft business cloud services with the confidence that they can comply with Japanese legislative requirements.

Die von der Personal Information Protection Commission (PPC) veröffentlichten F&A (japanisch) legen Richtlinien über die angemessene Behandlung und den Schutz personenbezogener Informationen dar.The Q&A (Japanese) published by the Personal Information Protection Commission (PPC) sets forth guidelines for the appropriate handling and protection of personal information. Sie sehen vor, dass ein Dritter nicht so ausgelegt wird, dass er personenbezogene Daten behandelt, wenn der Dritte in seinem Vertrag festlegt, dass (a) er dies nicht tut, und (b) ein geeignetes Zugriffssteuerungssystem einrichtet.It provides that a third party is not construed as handling personal data if the third party stipulates in its agreement that (a) it does not do so, and (b) it establishes a proper access control system. Das „My Number“-Gesetz benennt Verpflichtungen, wenn Daten an einen Dritten übertragen werden, aber in Abschnitt Q3–12 (japanisch) der F&A erklärt die PPC, dass diese nicht gelten, wenn der Dritte personenbezogene Daten nicht „handhabe“, d. h. ständigen Zugriff darauf hat.The My Number Act specifies obligations when data is transferred to a third party, but section Q3-12 (Japanese) of the PPC Q&A explains that these do not apply if the third party does not 'handle' — that is, have standing access to — personal data.

Microsoft Business Cloud Services behandeln diese Anforderungen in den Microsoft Online Services-Nutzungsbedingungen, die festlegen, dass der Besitz von und die Verantwortlichkeit für Kundendaten, die „My Number“-Daten umfassen, bei unseren Kunden liegen, nicht bei Microsoft.Microsoft business cloud services address those requirements in the Microsoft Online Services Terms, which stipulate that the ownership of and responsibility for customer data that contains My Number data lie with our customers, not Microsoft. Der Kunde muss daher über geeignete vorhandene Kontrollmechanismen verfügen, um die in Kundendaten enthaltenen „My Number“-Daten zu schützen.The customer, therefore, must have appropriate controls in place to protect My Number data contained in customer data.

Da Microsoft keinen ständigen Zugriff auf „My Number“-Daten hat, die in seinen Cloud Services gespeichert sind, ist ein „Outsourcing“-Vertrag über die Verarbeitung von „My Number“-Daten nicht erforderlich.Because Microsoft does not have standing access to My Number data stored in its cloud services, an 'outsourcing' contract for handling My Number data is not required. Wenn ein Kunde wünscht, dass Microsoft Zugriff auf Kundendaten hat, die „My Number“-Daten umfassen, muss der Kunde für jeden Fall einen zusätzlichen Outsourcing-Vertrag mit Microsoft abschließen, bevor er einen solchen Antrag stellt.If a customer wants Microsoft to have access to customer data that contains My Number data, the customer must create an additional outsourcing contract with Microsoft for every case before making such a request.

Die Klauseln besagen auch, dass Microsoft verpflichtet ist, Kundendaten nur für die Bereitstellung von Dienstleistungen an den Kunden – nicht zu Werbe- oder ähnlichen kommerziellen Zwecken – zu verwenden, und dass Microsoft zuverlässige Zugriffssteuerungssysteme zur Verfügung stehen.The terms also state that Microsoft commits to use customer data only to provides services to the customer — not for any advertising or similar commercial purposes — and that Microsoft has robust access control systems in place.

Im Hinblick auf Sicherheitsrisiken entsprechen die Microsoft Business Cloud Services dem Cloud Security Mark (Gold)-Standard, der ersten Sicherheitsakkreditierung Japans für Cloud-Dienstanbieter.Regarding security concerns, Microsoft business cloud services meet the Cloud Security Mark (Gold) standard, the first Japanese security accreditation for cloud service providers.

Microsoft Business Cloud Services unterstützt daher die Vorschriften des „My Number“-Gesetzes und ruft für Kunden keine zusätzlichen Verpflichtungen im Rahmen dieses Gesetzes hervor, wie z. B. die Zustimmung eines einzelnen Besitzers personenbezogener Daten.Therefore, Microsoft business cloud services support My Number Act requirements and do not create any additional obligations under the act for customers, such as consent from an individual owner of personal data.

Betreffende Cloud Services von MicrosoftMicrosoft in-scope cloud services

ImplementierungHow to implement

Häufig gestellte FragenFrequently asked questions

Wer ist letztlich für den Schutz personenbezogener Daten gemäß dem „My Number“-Gesetz verantwortlich?Who is ultimately responsible for protecting personal data under the My Number Act?

Abschnitt Q3–13 (japanisch) der F&A der PPC besagt, dass Microsoft-Kunden verpflichtet sind, geeignete Sicherheitsmaßnahmen zu ergreifen, z. B. die Kontrolle von Administratorkennwörtern, um personenbezogene Informationen und „My Number“-Daten zu schützen, weil der Besitz personenbezogener Daten bei ihnen liegt.Section Q3-13 (Japanese) of the PPC Q&A states that because the ownership of personal data lies with Microsoft customers, they are required to take appropriate security measures, such as controlling administrator passwords, to protect personal information and My Number data.

RessourcenResources