La cybersécurité au Japon – Lexologie ☏ mutuelle entreprise

La responsabilité civile prostituée

Cette certitude facultative, sauf pour plusieurs professions, se révèle à l’interieur des faits, indispensable à quasiment toutes les entreprises. Elle couvre intégraux corporels, matériels ou bien immatériels occasionnés à des tiers (clients et fournisseurs) pendant le chef d’entreprise, ses salariés, ses locaux ainsi qu’à ses instrument par l’exercice de l’activité et pourquoi pas après la livraison d’articles se révélant défaillants. Sont exclus les dommages créés selon des articles et pourquoi pas une activité ne répondant pas aux normes ou bien aux impératifs de sécurité en vigueur.

Le montant de la prime dépend du chiffre d’affaires, du secteur et de la nature de l’activité de la société, selon les risques encourus. En de dommage, l’entreprise transmettre à son assureur la réclamation reçue de son client et pourquoi pas fournisseur, auquel il incombe d’apporter la gage du préjudice subi. La compagnie négocie en or nom de la societé avec le plaignant pour trouver un terrain d’entente en de légers. Dans le cas de sinistres lourds, des experts évalueront le montant des dommages.

A noter. Pour les TPE, les assureurs proposent des montants de prime forfaitaires.

7. La responsabilité civile obligatoire à divers secteurs d’activité

Les sociétés du BTP ont l’obligation de souscrire une toupet responsabilité décennale qui couvre dommages constatés à l’interieur des dix suivant la livraison des travaux. Cette confiance s’applique lorsque les compromettent la solidité de l’ouvrage (infiltration d’eau dans la toiture, effondrement d’un balcon…) ou bien entraînent de importantes dangerosité (mauvaise étanchéité…).

La engagement d’une aisance responsabilité civile professionnelle est, dans ailleurs, obligatoire pour certaines emploi réglementées a l’intérieur du secteur de la santé (médecins, infirmiers…), du droit (avocats, notaires…) ou alors agents immobiliers, les bureaux de voyages, les experts-comptables… Elle couvre les dommages causés à des tiers dans le cadre de l’activité (erreurs de prescription, risques opératoires), risques liés à la disparition de fonds transmis pendant des particuliers et qui transitent chez toutes seules (agents immobiliers, notaires…) et pourquoi pas des risques spécifiques à plusieurs professions (détérioration de meubles pour sociétés de déménagement ou bien malchance pour les exploitants de remontées mécaniques).

Ces diverses achèvement d’assurance sont certes très utiles. “Mais il faut remettre la certification à la bonne place a l’intérieur du de contrôle des risques de l’entreprise” estime Louis-Remy Pinault, appliquer opération d’assurances, chez Générali. Une gage que la relation entre l’assureur, l’intermédiaire et l’assuré est plus globale.

Le système juridique

Législation

Résumez les principales lois et réglementations qui favorisent la cybersécurité. Avez-vous des lois sur la cybersécurité dans votre juridiction?

Le Japon a une loi spéciale sur la cybersécurité appelée Loi fondamentale sur la cybersécurité, adoptée en 2014. 6 novembre (Et publié le 12 novembre 2014). Le Basic Cybersecurity Act est la première loi spécifique sur la cybersécurité adoptée par les États du G7.

L'objectif principal de la loi fondamentale sur la cybersécurité est d'assurer la cybersécurité tout en garantissant la libre diffusion des informations. Le but de la Loi fondamentale sur la cybersécurité est d'élaborer une politique globale et efficace sur la cybersécurité et de contribuer à une société économique plus dynamique et en constante évolution, contribuant ainsi à la sécurité nationale du Japon.

En raison de la menace accrue de la cybersécurité, la loi fondamentale sur la cybersécurité a été modifiée en 2018. 5 décembre (Et est entré en vigueur le 1er avril 2019) afin d'améliorer encore la cybersécurité au Japon et de préparer pleinement le Japon aux Jeux olympiques et paralympiques de Tokyo 2020. Les principaux changements sont les suivants:

  • Un conseil de cybersécurité sera mis en place pour permettre à différents acteurs publics et privés de coopérer entre eux pour échanger des informations sur la cybersécurité et discuter des contre-mesures nécessaires, etc. Les membres du Conseil devraient comprendre des représentants des administrations nationales et locales, des infrastructures de base et du cyberespace. entités, établissements d'enseignement et de recherche, experts et autres.
  • Des opérations supplémentaires seront menées par le siège de la stratégie de cybersécurité, assurant la liaison et apportant des modifications avec les parties au Japon et au-delà en cas d'incidents de cybersécurité.

La Loi fondamentale sur la cybersécurité, comme son nom l'indique, est une loi fondamentale. À l'avenir, le gouvernement pourrait élaborer des lois et réglementations pertinentes plus spécifiques sur la base de la loi sur la cybersécurité de base.

À l'heure actuelle, le Japon a d'autres lois de fond régissant la cybercriminalité, telles que le Code pénal, la loi sur l'interdiction de l'accès non autorisé aux ordinateurs, la loi sur la prévention de la concurrence déloyale, la loi sur le droit d'auteur, la loi sur la protection spéciale désignée, la loi fondamentale sur la formation. Society for Advanced Information and Telecommunications and the Electronic Signature and Certification Business Law. En plus des lois sur la cybercriminalité, La loi sur la protection des informations personnelles a été adoptée pour protéger les informations personnelles et l'identité. De plus, 2013 La loi sur la sécurité sociale et les impôts a été adoptée.

La loi sur la protection des informations personnelles concerne la sécurité des informations et plus spécifiquement le traitement approprié des informations personnelles plutôt que la cybersécurité. Bien que la loi sur la protection des informations personnelles impose des obligations spécifiques à une entité commerciale traitant des informations personnelles au sens de l'article 2, paragraphe 5 (une entreprise traitant des informations personnelles), elle ne prévoit pas de tâches spécifiques pour les organes administratifs, les agences administratives indépendantes et les autorités locales. Les fonctions spécifiques des organes administratifs sont précisées dans la loi sur la protection des informations personnelles détenue par les organes administratifs; les exigences relatives aux agences administratives indépendantes sont définies, entre autres, dans la loi sur la protection des informations personnelles détenues par les agences administratives indépendantes; Les autorités locales sont définies dans un ordre de confidentialité adopté par chaque autorité locale.

La loi sur la protection des renseignements personnels a été modifiée en 2015. Septembre (Loi sur la protection des données personnelles telle que modifiée) et est entrée en vigueur en 2017. 30 mai Voici les principales modifications qui y ont été apportées:

  • clarifier la définition des "informations personnelles" (c'est-à-dire ajouter "tout code d'identification personnel" à la suppression des zones grises et ajouter de nouvelles dispositions sur les informations sensibles);
  • de nouvelles dispositions sur l'utilisation d'informations anonymisées à l'aide de la méthode définie dans les règles établies par la Commission de la protection des informations personnelles (CPP);
  • de nouvelles dispositions sur la traçabilité d'une personne identifiée;
  • de nouvelles dispositions sur les sanctions pénales pour la divulgation d'informations personnelles afin d'obtenir un gain illégal;
  • établir le CPP en tant qu'organe indépendant des autres organes administratifs qui coordonnera à l'unanimité sa politique de protection des renseignements personnels; et
  • dispositions sur le transfert et l'application extraterritoriale des informations personnelles japonaises aux territoires d'outre-mer.

Quels secteurs économiques de votre juridiction sont les plus soumis aux lois et réglementations en matière de cybersécurité?

En plus des devoirs de cybersécurité des États et des gouvernements locaux, la loi sur la cybersécurité de base spécifie également spécifiquement les devoirs de cybersécurité pour les opérateurs commerciaux d'infrastructures critiques (c'est-à-dire ceux qui exercent des activités liées à ces infrastructures qui constituent la base de la vie des citoyens japonais). activités économiques, ce qui est susceptible d'avoir un impact significatif sur la cessation ou la réduction de ses fonctions), les exploitants d'entreprises liées au cyberespace, les universités et autres établissements d'enseignement et de recherche économiques. Il est possible que les obligations futures de ces entreprises soient précisées dans des lois spécifiques.

La portée de l'expansion des entreprises d'infrastructures essentielles est actuellement à l'étude. Au Japon, les entreprises d'infrastructures essentielles dans les 10 secteurs suivants devraient généralement maintenir le même niveau de sécurité requis par les agences gouvernementales:

  • technologies de l'information et de la communication;
  • les finances;
  • l'aviation;
  • chemin de fer;
  • l'électricité;
  • le gaz;
  • gouvernement et services gouvernementaux (y compris les autorités locales);
  • médical;
  • l'eau; et
  • Logistique.

En plus de ce qui précède, 2014 19 mai Le Conseil de protection des infrastructures d’informations critiques (troisième édition), publié par le Conseil de politique de sécurité de l’information, a inclus les industries chimiques, des cartes de crédit et du pétrole comme secteurs d’infrastructures critiques et a également déclaré que les nouveaux services de système de réseau (villes intelligentes, villes intelligentes, systèmes de transport et autres systèmes de gestion des transports, etc.) ainsi que l'industrie de la défense et les industries liées à l'énergie, qui sont des zones d'infrastructure critique aux États-Unis. en tenant compte des changements environnementaux et sur la base d'une coordination avec les pays concernés. Selon la quatrième édition de cette politique de base, publiée par le siège de la stratégie de cybersécurité en 2017. Le 18 avril, les 13 secteurs énumérés ci-dessus continueront d'être considérés comme des secteurs essentiels de l'infrastructure de l'information, et des mesures seront prises pour continuer à protéger et à améliorer l'information. avec le déploiement généralisé des systèmes Internet des objets (IoT) et pour lutter contre les risques accrus associés aux infrastructures critiques dans le contexte de la prochaine 2020 Jeux olympiques et paralympiques de Tokyo. De plus, dans le cadre de 2018 25 juillet Les révisions liées à la quatrième édition incluaient des aéroports dans les 13 secteurs énumérés ci-dessus, portant le nombre de secteurs d'infrastructures critiques à 14, bien qu'en principe la quatrième édition du plan directeur pour la période allant jusqu'à Tokyo 2020. Les Jeux Olympiques et les Jeux Paralympiques doivent prendre fin et devraient être réexaminés ultérieurement, et les modifications nécessaires seront également correctement apportées avant la fin de cette période.

Il est pertinent de mentionner que le conseiller spécial en matière de sécurité (conseiller) auprès du secrétariat du Cabinet a identifié des systèmes informatiques tels que des sites Web, des systèmes de gestion d'usine et des infrastructures sociales critiques telles que des centrales électriques, des institutions financières et des diffuseurs comme cibles potentielles de cyberattaques. . Le conseiller a également mentionné que la compétitivité internationale du développement et du renforcement de l'industrie de la cybersécurité et la culture des ressources humaines dans le secteur de la cybersécurité sont des points clés à retenir de la loi fondamentale sur la cybersécurité. Certaines universités et sociétés informatiques ont déjà entamé des efforts conjoints pour développer les ressources humaines en cybersécurité.

Votre juridiction a-t-elle adopté des normes internationales de cybersécurité?

L'Institut japonais d'économie numérique et de promotion communautaire (JIPDEC) utilise un système d'évaluation (système d'évaluation de la conformité ISMS) pour confirmer qu'un système de gestion de la sécurité des informations d'entreprise (ISMS) est conforme aux normes internationales. Ce système d'évaluation teste si le SMSI mis en place par l'entreprise est conforme à JIS Q 27001 (ISO / IEC 27001).

Quelles sont les responsabilités du personnel et des directeurs responsables pour tenir l'organisation suffisamment informée sur la sécurité des réseaux et des données, et comment peuvent-ils être responsables d'une cybersécurité inadéquate?

En vertu de la loi sur la protection des informations personnelles, une entreprise qui traite des informations personnelles doit, tout en respectant la sécurité des informations, prendre les mesures nécessaires et appropriées pour empêcher la fuite, la perte ou l'endommagement des données personnelles qu'elle traite, et pour garantir la sécurité. traitement d'autres données à caractère personnel (article 20). En outre, afin d'assurer la gestion de la sécurité des données personnelles, l'exploitant d'entreprise doit exercer une surveillance appropriée et appropriée sur ses employés ou sous-traitants traitant les données personnelles (articles 21 et 22). En outre, le CPP a élaboré des lignes directrices pour la loi sur la protection des données personnelles (règles générales ainsi que les règles sur le transfert à des tiers à l'étranger, et les obligations d'approbation ou d'enregistrement en cas de transfert à des tiers et des informations anonymes). Dans les secteurs médical, financier, des télécommunications et autres, bien que les lignes directrices élaborées par le CPP soient généralement applicables, les lignes directrices supplémentaires s'appliquent également en fonction de la nature des informations personnelles, de la manière dont elles sont utilisées et des contrôles habituels des données personnelles dans ces secteurs.

En cas de violation par toute personne traitant des informations personnelles de son obligation de prendre des mesures de gestion de la sécurité, le CPP ou toute autorité à laquelle le CPP délègue les pouvoirs appropriés peut, le cas échéant, recommander ou charger une telle personne de traiter la violation. et prendre les mesures nécessaires pour remédier à la violation (articles 42 et 44 de la loi sur la protection des renseignements personnels). Un chef d'entreprise qui enfreint une telle instruction PPC doit être condamné à une peine d'emprisonnement pouvant aller jusqu'à six mois ou à une amende pouvant aller jusqu'à 300 000 amendes (article 84 de la loi sur la protection des renseignements personnels).

Dans le cas d'une grande entreprise au sens de l'article 2, paragraphe 6, de la loi sur les sociétés, l'entreprise doit prendre des décisions sur les règles internes et autres systèmes afin d'établir un système garantissant une bonne gouvernance d'entreprise. Les règles internes relatives à cette gestion des risques sont de nature générale et ne visent généralement pas à assurer la cybersécurité. Cependant, il peut être nécessaire d'inclure des dispositions sur la cybersécurité dans les politiques internes, selon le type ou la quantité d'informations qu'une grande entreprise doit appliquer, ou le type d'entreprise qu'elle exploite.

Les dirigeants de sociétés anonymes, s'il ne s'agit pas d'une grande entreprise au sens de l'article 2, paragraphe 6, de la loi sur les sociétés, doivent faire preuve de diligence raisonnable (article 330 de la loi sur les sociétés et article 644 du code civil). ) à l'entreprise, et tout manquement à l'élaboration d'un système de gestion des risques est susceptible de violer le devoir de vigilance du gestionnaire prudent. S'il s'avère que l'administrateur a manqué au devoir de diligence du gestionnaire prudent, il doit être tenu responsable des dommages qu'il a causés (article 423 (1) de la Loi sur les sociétés).

Comment votre juridiction définit-elle la cybersécurité et la cybercriminalité?

Au Japon, le terme «cybersécurité» a été défini juridiquement pour la première fois à l'article 2 de la Loi fondamentale sur la cybersécurité. La définition de la cybersécurité est la suivante:

Conditions des mesures nécessaires pour prévenir les fuites, les pertes ou les dommages et autres moyens de contrôler la sécurité des informations enregistrées, transmises, transmises ou reçues par des moyens électroniques, magnétiques ou autres non reconnaissables aux sens humains. , des mesures ont également été prises pour garantir la sécurité et la fiabilité des systèmes d'information et des réseaux de communication, et lorsque ces conditions sont correctement maintenues et gérées.

Il n'y a pas de définition claire et complète du terme "cybercriminalité"; Seules toutes les dispositions pénales prévoient les types de sanctions comme un délit.

Quelles sont les garanties minimales que les organisations doivent mettre en place pour protéger les systèmes de données et de technologie de l'information contre la cyberintimidation?

Conformément à la Loi sur la protection des renseignements personnels, les lignes directrices élaborées par le CPP comprennent, entre autres, des mesures spécifiques de gestion de la sécurité à prendre par les entités commerciales qui manipulent des renseignements personnels. Par exemple, en vertu des lignes directrices du CPP et de l'Agence des services financiers (FSA) pour le secteur financier, en plus des lignes directrices énoncées dans le CCP, chaque entité commerciale traitant des renseignements personnels (c.-à-d. Une institution financière) doit prendre les mesures nécessaires et appropriées pour mettre en place pour éviter les fuites, les pertes ou les dommages et pour gérer toute autre sécurité des données personnelles qu'il traite. En outre, ces lignes directrices stipulent que ces mesures devraient inclure des "outils de gestion systématique", des "outils de gestion de la sécurité humaine" et des "outils de gestion technique", qui sont organisés en tenant compte du niveau approprié d'acquisition, d'utilisation et de stockage des données personnelles. .

Portée et juridiction

Votre juridiction a-t-elle des lois ou des règlements régissant les compensations de propriété intellectuelle?

L'article 15 de la Loi fondamentale sur la cybersécurité impose à l'État l'obligation de faire prendre conscience de l'importance de la cybersécurité et de fournir les informations, conseils et autres mesures nécessaires aux entités commerciales privées et aux établissements d'enseignement et de recherche pour protéger leurs informations de propriété intellectuelle. , compte tenu de l'importance de l'information pour améliorer la compétitivité internationale du Japon.

Votre juridiction dispose-t-elle de lois ou de réglementations traitant spécifiquement des cybermenaces dans les infrastructures critiques ou des secteurs spécifiques?

Les opérateurs d'infrastructures essentielles ont besoin d'une compréhension et d'une sensibilisation plus approfondies de l'importance de la cybersécurité afin de fournir des services stables et appropriés. En outre, ils sont tenus de déployer des efforts volontaires et proactifs pour garantir la cybersécurité et de coopérer à la mise en œuvre des mesures de cybersécurité imposées par les autorités étatiques ou locales (article 6 de la loi fondamentale sur la cybersécurité). En outre, la loi sur la cybersécurité de base oblige le gouvernement à élaborer des systèmes de cybersécurité de base (stratégies de cybersécurité) afin de promouvoir efficacement les mesures de cybersécurité. Il prévoit également que les stratégies de cybersécurité doivent aborder les questions liées au renforcement de la cybersécurité pour les opérateurs d'infrastructures critiques (article 12, paragraphe 2, point 3). Afin de garantir l'adoption de la Loi fondamentale sur la cybersécurité, le gouvernement peut individuellement promulguer ou élaborer des lois, des réglementations ou des directives spécifiques sur des questions à respecter par les opérateurs d'infrastructures critiques pour garantir la cybersécurité.

Existe-t-il des lois ou des réglementations en matière de cybersécurité dans votre juridiction qui restreignent spécifiquement l'échange d'informations sur la sécurité des sites Web?

Au Japon, l'essence de l'article 13 de la Constitution japonaise est de garantir la vie privée en général. La Loi sur la protection des renseignements personnels traite également de certains aspects de la vie privée; cependant, il n'y a pas de lois ou de règlements sur la cybersécurité en matière de confidentialité.

En ce qui concerne les communications privées, l'article 21 (2) de la Constitution japonaise garantit le secret des communications, en disant: "La censure et le secret de tout moyen de communication ne seront pas maintenus." La loi sur les affaires ne doit pas violer le secret des communications traitées par les opérateurs commerciaux de télécommunications (pas seulement les opérateurs commerciaux de télécommunications, mais toute autre personne). La loi sur la radio protège également la confidentialité des messages privés cryptés.

À titre d'exception aux cas susmentionnés, la loi sur les enquêtes criminelles électroniques permet la détection des télécommunications pour les enquêtes criminelles en tant que méthode d'enquête spéciale pour les délits graves, sur la base d'exigences strictes et sous réserve d'un mandat délivré par un juge en association avec un observateur. participation à l'ensemble du processus, limitée aux cas où la vérité serait difficile à révéler par les moyens conventionnels d'enquête. En vertu de la loi actuelle, la collecte des câbles se fait dans les locaux des opérateurs de télécommunications, et les employés des opérateurs agissent, entre autres, comme observateurs. Cela a imposé un lourd fardeau aux opérateurs de télécommunications et aux autorités chargées des enquêtes, car cela nécessite le déploiement à long terme de plusieurs enquêteurs sur les opérateurs. Pour changer cette situation, la loi a été modifiée (et est entrée en vigueur en juin 2019) afin de déterminer les mesures techniques à prendre, telles que le cryptage des communications, afin que le personnel des opérateurs de télécommunications n'ait plus à se comporter comme des observateurs et à sceller les communications par câble. En outre, des procédures pour déterminer les dispositions relatives à l'enterrement dans les sites de contrôle de la police ont été récemment introduites.

Quelles sont les principales sanctions contre la cybercriminalité en vertu des lois de votre juridiction?

La cybercriminalité est régie par le Code pénal, la loi sur l'accès non autorisé aux ordinateurs et d'autres lois, comme indiqué ci-dessous.

Le code pénal

1987 L'amendement au Code criminel a introduit les types de comportement suivants comme des crimes:

  • création illégale de documents électroniques ou magnétiques (article 161, paragraphe 2): la création de documents électroniques ou magnétiques relatifs à des droits, obligations ou faits qui constituaient auparavant des infractions de falsification de documents a été sanctionnée;
  • Obstacles commerciaux aux dommages informatiques (art. 234 (2)): les obstacles commerciaux aux dommages informatiques ont été ajoutés récemment comme obstacle aux entreprises pénalisées;
  • fraude informatique (article 246, paragraphe 2): la fraude informatique est devenue une infraction pénale; et
  • dommage à un enregistrement électronique ou magnétique (articles 258 et 259): les dommages causés à un enregistrement électronique ou magnétique utilisé par une autorité publique ou au dossier électronique ou magnétique d'une autre personne concernant des droits ou obligations sont devenus punissables.

En 2001 Les types de comportement suivants ont été inclus comme infractions dans la modification du Code criminel:

  • création non autorisée d'enregistrements électromagnétiques de cartes de paiement (article 163, paragraphe 2);
  • possession de cartes de paiement comportant des enregistrements électromagnétiques non autorisés (article 163-3);
  • préparation de la création illicite d'enregistrements électromagnétiques de cartes de paiement (articles 163-4); et
  • tentatives de se livrer aux crimes énumérés ci-dessus (article 163-5).

Les articles 168-2 et 168-3 ont été ajoutés en tant que délits en 2011. Modification du Code pénal pour sanctionner les actes de création, de soumission, de réception et de stockage d'un virus informatique.

Loi sur l'accès informatique non autorisé

Cette loi interdit et punit les actes criminels suivants:

  • accès non autorisé;
  • promouvoir tout accès informatique non autorisé (c.-à-d. fournir le code d'identification d'une autre personne autorisée (par exemple, identité et mot de passe) sans l'autorisation de cette personne); et
  • obtenir illégalement le code d'identification d'une autre personne autorisée (par exemple, ID et mot de passe), stocker illégalement le code d'identification d'une autre personne autorisée ou demander illégalement à une autre personne autorisée d'entrer un code d'identification de personne autorisée.

"Accès non autorisé", tel qu'il est utilisé dans le présent document, désigne les types de comportement suivants (article 2, paragraphe 4, de la loi sur l'accès aux ordinateurs):

  • fraude (c'est-à-dire, saisie du code d'identification d'une autre personne autorisée (par exemple, ID et mot de passe) sans l'autorisation de cette personne); et
  • attaque les vulnérabilités de sécurité (c'est-à-dire la saisie de données uniques, le contournement des fonctions de contrôle d'accès et l'utilisation de fonctionnalités informatiques limitées par des codes d'identification utilisant des programmes informatiques pour se lancer dans des cyberattaques).

Comment votre juridiction a-t-elle relevé les défis de sécurité de l'information du cloud computing?

Les activités commerciales mondialisées ont facilité la fourniture de services cloud et d'autres distributions d'informations transfrontalières. Afin d'assurer la fluidité de la circulation des informations à travers les frontières, la loi modifiée sur la protection des renseignements personnels vise à créer une meilleure structure qui soit compatible avec les systèmes utilisés à l'étranger ainsi qu'avec les circonstances prévalant dans la communauté internationale. À cette fin, la loi sur la protection des données personnelles telle que modifiée comprend:

  • une disposition précisant les garanties à respecter lors de la transmission d'informations à d'autres pays (c'est-à-dire l'article 24, qui requiert en principe le consentement préalable de la personne concernée si ces informations personnelles doivent être fournies à un tiers à l'étranger); et
  • une disposition permettant à la loi japonaise de s'appliquer aux entités commerciales étrangères en cas de transfert transfrontalier d'informations (c'est-à-dire l'article 75, qui s'appliquera directement à toutes les entreprises traitant des données personnelles la majorité des obligations en vertu de la loi sur la protection des données personnelles) avec la fourniture de biens ou de services à cette personne, et qui traite ces informations personnelles ou toute information personnellement identifiable créée par son intermédiaire en dehors du Japon).

Comment les lois sur la cybersécurité de votre juridiction affectent-elles les organisations étrangères faisant des affaires dans votre juridiction? Les obligations réglementaires sont-elles les mêmes pour les organisations étrangères?

Les lois et réglementations japonaises applicables aux sociétés étrangères faisant des affaires au Japon sont les mêmes que celles applicables aux sociétés nationales japonaises.

Bonne pratique

Une protection accrue

Les autorités recommandent-elles une protection supplémentaire en matière de cybersécurité au-delà des exigences légales?

Selon la "législation", en vertu de la loi sur la cybersécurité, les opérateurs d'infrastructures critiques, les entreprises liées au cyberespace, les universités et autres établissements d'enseignement et de recherche peuvent être soumis à des obligations futures par la publication de lois et de réglementations spécifiques. Il peut également inclure des directives pour améliorer la cybersécurité. Par exemple, 2018 27 juillet Le Cabinet a adopté une stratégie de cybersécurité révisée. En outre, le siège de la stratégie de cybersécurité en 2017 18 avril Publication de la quatrième édition de la politique sur la politique de protection des infrastructures d'informations critiques, telle que décrite dans "Législation" (partiellement révisée le 25 juillet 2018) et promotion des quatre mesures suivantes:

  • élaboration de normes de sécurité et sensibilisation: amélioration continue des directives intersectorielles et des normes de sécurité sectorielles pour protéger les infrastructures d'information critiques;
  • Renforcer les systèmes d'intervention en cas de catastrophe: Améliorer généralement la formation aux interventions en cas de catastrophe dans les infrastructures essentielles, qui sera dispensée par le biais de partenariats public-privé, la coordination de divers types de formation et d'éducation;
  • gestion et élimination des risques: promouvoir une gestion globale des risques, y compris l'amélioration de la réactivité aux risques grâce à l'évaluation des risques et à la planification d'urgence; et
  • Renforcer la base de sécurité: revoir l'étendue de la protection des infrastructures essentielles, promouvoir les activités de relations publiques ou de consultation publique et la coopération internationale, adopter les approches nécessaires en matière de gouvernance d'entreprise et promouvoir le développement des ressources humaines, notamment.

Les directives "législation", qui étaient fournies dans une perspective de sécurité de l'information, recommanderaient également des garanties supplémentaires.

Comment le gouvernement encourage-t-il les organisations à améliorer leur cybersécurité?

Pour garantir que les gestionnaires d'infrastructures critiques se conforment aux mesures visant à améliorer la cybersécurité, la Cybersecurity Act exige que l'État prenne les mesures nécessaires telles que l'élaboration de normes de base à respecter, la formation, la formation et le partage d'informations et d'autres efforts volontaires. promotion (article 14). . Elle oblige également l'État à fournir des informations sur l'importance de la cybersécurité, à mener des consultations sur la cybersécurité, à fournir les informations et les conseils nécessaires et à prendre les autres mesures nécessaires (article 15). Voir aussi: Ci-dessus et "Partage d'informations".

Identifier et décrire les principales normes et codes de pratique de l'industrie qui promeuvent la cybersécurité. Où peuvent-ils être atteints?

Dans le domaine de la sécurité de l'information, les normes internationales ISO / IEC 27001, ISO / IEC 27002 et ISO / IEC 27017 sont principalement utilisées pour élaborer des lignes directrices pertinentes.

Cependant, afin d'utiliser les normes ISO du système de certification applicable au Japon, le contenu de ces normes ISO doit être redéfini en tant que normes industrielles japonaises (JIS). JIS fait référence aux normes nationales établies en vertu de la loi sur la normalisation industrielle. Ils sont spécifiquement conçus pour poursuivre la normalisation de l'industrie au Japon. Par exemple, à partir de 2018, Novembre JIS Q 27000: 2014, JIS Q 27001: 2014, JIS Q 27002: 2014, JIS Q 27006: 2018 et JIS Q 27017: 2016 ont été développés ou révisés en tant que normes nationales basées sur ISO / IEC27000. (publiée en 2012), ISO / IEC27001 (publiée en 2013), ISO / IEC27002 (publiée en 2013) et ISO / IEC27006 (publiée en 2015). 2017 JISQ15001, en tant que norme utilisée pour la certification des jetons de confidentialité, a été révisé. JISQ15001 n'est pas une norme internationale mais plutôt une norme nationale qui chevauche ISO / IEC 27001 dans le domaine de la sécurité de l'information; cependant, les deux normes diffèrent considérablement en ce que, alors que les informations détenues par une organisation sont généralement protégées par ISO / IEC 27001, seules les informations personnelles sont protégées par JISQ15001.

Les meilleures pratiques et procédures de traitement des violations sont-elles généralement recommandées?

En cas de fuite accidentelle d'informations d'une entreprise en raison d'un incident de cybersécurité, bien que les mesures à prendre par l'entreprise puissent varier d'un cas à l'autre, des exemples de mesures possibles sont généralement:

  • vérifier rapidement les faits pertinents, y compris les causes de l'accident et des fuites d'informations, divulguer les faits exacts à un stade précoce et présenter des excuses sincères;
  • de publier régulièrement des faits qui pourraient être révélés lors d'enquêtes ultérieures;
  • mener des enquêtes non seulement au sein d'une équipe de membres internes, mais aussi, le cas échéant ou le cas échéant, organiser un comité tiers composé de praticiens du droit (y compris des avocats et des techniciens, etc.) qui sont dans une position neutre pour mener des enquêtes et faire rapport sur les résultats. recherche; et
  • élaborer et adopter des mesures pour prévenir les récidives, en tenant compte des fuites accidentelles d'informations associées.

Partage d'informations

Décrivez les pratiques et procédures d'échange volontaire d'informations sur la cyberintimidation dans votre juridiction. Existe-t-il des incitations légales ou politiques?

Il n'y a pas d'incitation juridique spécifique à l'échange volontaire d'informations liées aux cyber-maladies. Cependant, la politique de cybersécurité (adoptée par une décision du cabinet le 27 juillet 2018) souligne l'importance pour les entreprises de prendre conscience des investisseurs et de divulguer activement des informations sur leurs initiatives de cybersécurité. La politique stipule que le gouvernement partagera les meilleures pratiques et fournira des conseils alors qu'il s'efforce de comprendre et d'évaluer en permanence l'état de la diffusion et de la divulgation de l'information. Par exemple, du point de vue de la sécurité de l'information, en cas de fuite accidentelle d'informations, il serait pratique pour l'entreprise de faire un rapport précis à un stade précoce et de prendre les mesures appropriées pour minimiser la détérioration de la bonne volonté. parmi ses clients. Sur le marché japonais, il y a eu des cas où la mauvaise gestion des fuites d'informations a entraîné une détérioration de l'image des entreprises, ce qui a entraîné des pertes importantes pour les entreprises. Par conséquent, le risque de réputation doit être considéré comme un risque commercial majeur qui ne doit jamais être ignoré.

Comment le gouvernement et le secteur privé travaillent-ils ensemble pour développer des normes et procédures de cybersécurité?

Pagrindinio kibernetinio saugumo įstatymas pateikia pagrindinę kibernetinio saugumo filosofiją ir pagrindines priemones, kurių reikia imtis „kovojant su kibernetinio saugumo grėsmėmis koordinuojant įvairius subjektus, tokius kaip valstybė, vietos valdžia, ypatingos svarbos infrastruktūros objektų valdytojai ir tt“ (3 straipsnis). Norint įgyvendinti tokį koordinavimą, Pagrindinio kibernetinio saugumo įstatyme reikalaujama, kad vyriausybė ar valstybė, be skyriuje „Padidinta apsauga“ nurodytų priemonių, imtųsi šių priemonių:

  • būtinos teisinės, finansinės ar mokesčių priemonės ir kitos priemonės, kurių turi imtis vyriausybė, norėdama laikytis kibernetinio saugumo politikos, numatytos Pagrindinio kibernetinio saugumo įstatyme (10 straipsnis); et
  • būtinos priemonės, kurių turi imtis valstybė, siekdama sustiprinti atitinkamų vyriausybinių agentūrų ir ministerijų koordinavimą ir sudaryti sąlygas įvairiems subjektams, tokiems kaip valstybė, vietos valdžios institucijos, ypatingos svarbos infrastruktūros objektų valdytojai ir kt., tarpusavyje koordinuoti ir dirbti su kibernetinio saugumo priemonėmis (16 straipsnis). ).

Assurances

Is insurance for cybersecurity breaches available in your jurisdiction and is such insurance common?

Insurance products covering cyber risks, such as standard attacks from outside parties and unauthorised access committed internally, and providing coverage for damage arising from personal information leakage or system failure or similar issues are generally available. However, most of these insurance products have limited the types of incidents for which insurance benefits can be claimed, and have also limited the place of insured incidents to Japan.

In December 2012, a Japanese corporation belonging to an insurance company group based in the United States started selling insurance products that provide broader coverage for damage arising from cyberattacks, including accidents occurring outside Japan. Currently, insurance products that cover damages incurred in cybersecurity incidents are being sold by leading Japanese insurance companies.

Enforcement

Regulation

Which regulatory authorities are primarily responsible for enforcing cybersecurity rules?

Government agencies that are the competent authorities concerning cybersecurity are the nodal authorities for ensuring implementation of the laws, such as by providing their interpretations as relevant administrative organs and developing guidelines (provided, however, that the interpretation of laws by the administrative organs shall not be binding upon judicial organs).

For example, the National Police Agency, the Ministry of Internal Affairs and Communications and the Ministry of Economy, Trade and Industry are the competent authorities in the case of the Unauthorised Computer Access Prohibition Act, and the Ministry of Justice has competency over laws pertaining to cybercrimes, including the Penal Code, and, as such, are in charge of the implementation of those laws. The PPC has competency over the Personal Information Protection Act and, as expressly prescribed in said Act, is entitled to require the submission of reports and materials from personal information-handling business operators, as well as being entitled to enter their business premises for inspection purposes (article 40 of the Act; the power of entry and inspection has been newly included pursuant to the amended Personal Information Protection Act). Furthermore, the PPC provides necessary guidance and advice (article 41 of the Act) or recommendations or orders (article 42 of the Act) to personal information-handling business operators. A personal information-handling business operator shall be punished (Chapter 7 of the Act) if it fails to comply with an order. Since the PPC must ensure the proper handling of personal information in an urgent and focused manner, it is entitled to delegate the power to collect reports from, and to enter and inspect the business premises of, a personal information-handling business operator, among others, to the authority having jurisdiction over the business concerned, whenever the PPC considers it necessary to do so to effectively provide recommendations or orders (article 44, paragraph 1 of the Act).

Describe the authorities’ powers to monitor compliance, conduct investigations and prosecute infringements.

With regard to cybersecurity, there are, to date, no laws or regulations directly and expressly prescribing the power of any administrative organ to monitor or investigate private business operators for their compliance with regard to the implementation of measures to strengthen cybersecurity. The obligation imposed on those other than the state or the local authorities under the Basic Cybersecurity Act are obligations to make efforts, and the Basic Cybersecurity Act itself will not be grounds for the authorities’ power over private sectors. Therefore, no administrative organ has the power to prosecute any private business operator in the event of a violation of these obligations. See also 'Information sharing'.

What are the most common enforcement issues and how have regulators and the private sector addressed them?

Administrative organs do not have the power to impose, by way of penalties or by any other means, any mandatory obligations on private business operators to ensure cybersecurity. The Basic Cybersecurity Act is preconditioned on the fact that the obligations of parties, other than the state and local authorities, are limited to carrying out best efforts, and the voluntary efforts of private business operators will be furthered by the state by taking necessary measures. This being the case, there is a huge issue in terms of whether or not voluntary efforts of private business operators can be effectively furthered based on measures taken by the state. Since there is no physical border and no safe space in cyberspace, international cooperation towards enforcement is an important issue.

What regulatory notification obligations do businesses have following a cybersecurity breach? Must data subjects be notified?

To date, there is no law or regulation that directly and expressly obliges private business operators to report any cybersecurity breach that they have committed. On the other hand, in terms of information security, some of the guidelines prepared in accordance with the Personal Information Protection Act carry an obligation that a leakage of personal information be reported to the supervisory authority and informed to the relevant individual. For example, the Guidelines for Personal Information Protection in the Financial Field developed by the PPC and the FSA set forth that: 'If an accident involving leakage, etc. of personal information occurs, an entity handling personal information must immediately report the same to the supervisory authority' (article 17, item 1); and 'If an accident involving leakage, etc. of personal information occurs, an entity handling personal information in the financial field must promptly notify the facts, etc. thereof to the person whose personal information has been leaked” (article 17, item 3). In addition, as described above, an entity handling personal information may be subject to punishment if it fails to comply with any order given by the PPC in accordance with article 42 of the Personal Information Protection Act (Chapter 7).

On the other hand, according to the PPC’s general guidelines applicable to all business fields (Guidelines Concerning Measures to be Taken Upon Personal Data Leakage Incidents, Etc), private business operators are merely obliged to make efforts to report information leakages to the PPC, among others.

The Personal Information Protection Act is expected to be amended in 2020, and consideration is now being made with a view to include reporting obligations for the above issues in the amended Act. More specifically, to protect the rights of individuals and ensure fairness, the amended Act is likely to oblige entities handling personal information to promptly report to the PPC any leakage involving more than a certain number of personal information items, and to notify the relevant individual of the accident to enable the PPC to become aware of any leakage, etc, at an early stage as well as to enable the relevant individual to take appropriate measures.

Penalties

What penalties may be imposed for failure to comply with regulations aimed at preventing cybersecurity breaches?

To date, there is no penalty under law imposed on those parties that, because of not implementing sufficient measures for cybersecurity, have been victims of cyberattacks. It is, however, set forth in the Unauthorised Computer Access Prohibition Act that an administrator of a computer connected to telecommunication lines, who has added an access control feature to the computer by way of an ID or password, has the obligation to always verify the effectiveness of the ID or password and endeavour to promptly take appropriate measures to protect the computer concerned from acts of unauthorised computer access, such as enhancement of the function of the access control feature concerned, whenever deemed necessary (article 8). See also 'Regulation' with regard to information security.

What penalties may be imposed for failure to comply with the rules on reporting threats and breaches?

With regard to cybersecurity, there is, to date, no law or regulation directly and expressly obliging a private business operator to report any cyberattack sustained by it, and no penalty is imposed on it in the event of a failure to make a report. On the other hand, in terms of information security, some of the guidelines prepared in accordance with the Personal Information Protection Act set forth an obligation to report any information leakage to the competent authority. This issue is discussed further in 'Regulation'.

How can parties seek private redress for unauthorised cyberactivity or failure to adequately protect systems and data?

If cybersecurity is regarded as a contractual obligation, compensation may, as a general rule, be claimed against a party who has the obligation, within the scope of a reasonable cause–effect relationship. It is, however, possible to restrict the scope of the damage compensation obligation, based on the mutual agreement of both parties to a contract, as long as the restrictions do not conflict with any mandatory laws and regulations. If the restriction is set forth in a contract, this merely means that compensation for damage may be made within the scope of the contract.

In internet-based businesses, however, contracts could be entered into with consumers (ie, individuals, excluding those who become a party to a contract in the course of, or for the interest of any business (article 2 of the Consumer Contract Act)). In this case, according to the Consumer Contract Act, any clause that totally exempts a business operator from its liability to compensate a consumer for damage arising from default by the business operator is void (article 8), and the provision of the Act is a mandatory statute (ie, any clause of a contract in conflict therewith will be void). In this regard, according to the 2018 amendments to the Act enforced on 15 June 2019, any clause that permits termination of a contract upon commencement of guardianship for a consumer, or any clause in which a business operator attempts to set its own liability, will be void.

Threat detection and reporting

Policies and procedures

What policies or procedures must organisations have in place to protect data or information technology systems from cyberthreats?

See 'Legislation'.

Describe any rules requiring organisations to keep records of cyberthreats or attacks.

To date, there are no rules directly and expressly prescribing such obligations under any laws or regulations.

Describe any rules requiring organisations to report cybersecurity breaches to regulatory authorities.

See 'Penalties'.

Time frames

What is the timeline for reporting to the authorities?

To date, there is no law or regulation directly and expressly prescribing the obligation of a private business operator to make regular reports concerning cybersecurity. Reporting obligations in the event of a leakage of information are discussed in 'Penalties'.

Reporting

Describe any rules requiring organisations to report threats or breaches to others in the industry, to customers or to the general public.

In terms of information security, some of the guidelines established in accordance with the Personal Information Protection Act set forth matters relating to public announcements or notices to be provided in the event of any leakage of information. For example, the Guidelines Concerning Measures to be Taken Upon Personal Data Leakage Incidents, Etc, prepared by the PPC, prescribe that: ‘It is desirable for a business operator handling personal information to take necessary measures concerning (1) through (6) below’, and, with regard to (6) ('Publication of facts involved and recurrence prevention measures'): ‘Facts involved and recurrence prevention measures should be promptly publicised based on the details of such leakage incident, etc, so as to prevent any secondary damage or the occurrence of similar incidents.’

Furthermore, it is provided in the Guidelines for Personal Information Protection in the Financial Field that, in the event of an accidental leak, or similar, of personal information, an entity handling personal information in the financial field must ‘promptly publicise the facts involved in such incident and the recurrence prevention measures, so as to prevent secondary damage or the occurrence of similar incidents’ (article 17, paragraph 2) and must ‘notify the facts of such incident promptly to the person whose personal information has been leaked’ (article 17, paragraph 3).

Update and trends

Update and trends

What are the principal challenges to developing cybersecurity regulations? How can companies help shape a favourable regulatory environment? How do you anticipate cybersecurity laws and policies will change over the next year in your jurisdiction?

Most of the critical infrastructure business operators are private entities and, accordingly, there is an issue in relation to the possibility of excessively strict obligations being imposed on those entities, resulting in pushback from them owing to the huge expenses and manpower required from them in ensuring cybersecurity. In this regard (see 'Regulation'), it can be said that this issue has been resolved by the Basic Cybersecurity Act being preconditioned on the furtherance of the voluntary efforts of private business operators, while limiting their obligations merely to making an effort to improve the security of their systems. In addition, pursuant to the Basic Cybersecurity Act, the position of the Cyber Security Strategy Headquarters (the Chief Cabinet Secretary acting as the head of the headquarters) as an organisation demonstrating a control tower function extending across ministries and agencies has been made legally clear, allowing for the Cyber Security Strategy Headquarters to fulfil its role in a more effective manner (as outlined in Chapter 4 of the Basic Cybersecurity Act). Much attention continues to be paid to the effective measures to be taken hereafter by the state in relation to cybersecurity under the leadership of the Cyber Security Strategy Headquarters.

In view of increasing threats to cybersecurity, the Basic Cybersecurity Act was partly amended and enforced on 21 October 2016 to fundamentally reinforce the countermeasures taken by the national administrative organs. More specifically, under the amended Act, the scope of parties to be evaluated by the national government in terms of cybersecurity measures has been expanded to cover special corporations and authorised corporations (in addition to the central government and incorporated administrative agencies that had already been covered under the pre-amended Act). Further, the scope of parties whose information systems will be monitored unanalysed by the national government to deal with wrongful activities targeting them has been expanded to cover incorporated administrative agencies, special corporations and authorised corporations (in addition to the central government that had already been covered under the pre-amended Act). These amendments have been triggered by an incident made public in June 2015 when there was a cyberattack on the Japan Pension Service (a special and authorised corporation) resulting in the leakage of approximately 125 million items of personal information. In relation to the amendments, the Act on Promotion of Information Processing was also amended, and a national qualification system of cybersecurity specialists (registered information security specialists) has been established.

The Unfair Competition Prevention Act, which regulates the wrongful acquisition of trade secrets, has been amended in view of factors such as the expansion of cyberspace (with the rapid spread of cloud computing) and the development of technologies enabling the wrongful acquisition of information (including cyberattacks), and also considering the purpose of the Basic Cybersecurity Act. Under the amended Unfair Competition Prevention Act, enforced on 1 January 2016, regulation on the wrongful acquisition of trade secrets has been principally reinforced by:

  • expanding the scope of subsequent acquirers of trade secrets who are punishable (ie, wrongful use or wrongful disclosure by a third or subsequent acquirer becoming additionally punishable);
  • causing any attempt of wrongful use or wrongful disclosure of trade secrets to be punishable; et
  • expanding the scope for punishment of crimes committed outside Japan (making it clear that any wrongful acquisition of trade secrets committed outside Japan, in respect of trade secrets stored on overseas servers, will also be punishable).

Moreover, under the amended Unfair Competition Prevention Act enforced on 1 July 2019, in line with the expanded use of big data, any valuable data that fulfils certain requirements will be deemed as 'data provided to limited users', and any highly wrongful acquisition or use, etc, of such data will be regarded as an act of unfair competition and be subject to civil remedies, such as the right to file an injunction.

As mentioned in 'Legislation', the Basic Cybersecurity Act was amended and became effective on 1 April 2019 with a view to further ensuring cybersecurity in Japan and to be fully prepared to host the Tokyo 2020 Olympic and Paralympic Games.

Furthermore, in view of the increasing seriousness of internet failures owing to cyberattacks caused through the misuse of IOT devices, the revised Telecommunications Business Act was enacted on 1 November 2018. The Act enables the establishment of telecommunications carriers being able to share information concerning malware-infected devices, etc, that may become sources of cyberattacks, through a third-party institution (ie, a general incorporated association established by telecommunications carriers and approved by the Minister of Internal Affairs and Communications in accordance with the Telecommunications Business Act). The Minister approved the ICT Information Sharing and Analysis Center Japan as the third-party institution on 8 January 2019.

In addition, as stated in 'Scope and jurisdiction', the amended Act on Wiretapping for Criminal Investigation became effective on 1 June 2019 and this Act streamlines and allows for more efficient wiretapping procedures for criminal investigation purposes.

Also, owing to factors such as an increased number of cases of damage caused by the divulgence or wrongful use of credit card numbers, and the entry of fintech companies into the service payment business, the amended Installment Sales Act promulgated on 9 December 2016 has become effective, containing new provisions on: (i) obliging member stores to take countermeasures against wrongful use, such as by way of making credit card terminals compatible with IC cards; and (ii) introducing a registration system in respect of payment service companies (fintech companies, etc).

On 28 December 2015, METI issued its Cybersecurity Management Guidelines, which were subsequently revised on 28 December 2016 and further on 16 November 2017 (as version 2.0). The Guidelines are intended for large and small and medium-sized companies that provide IT-related systems or services and that essentially require the use of IT in accordance with their managerial strategies from the perspective of protecting companies from cyberattacks. The Guidelines prescribe: (i) three principles that the manager of a company should be aware of; and (ii) 10 significant items that a manager of a company should instruct to the officer responsible for the execution of information security measures (eg, the chief information security officer in charge of supervising information security within the company). The current version 2.0 provides further detailed information about the 'detection' and 'recovery' processes in the subsequent measures.

Lastly, in line with circumstances such as the need to make preparations for the Tokyo Olympic and Paralympic Games scheduled for 2020, as well as increased threats to cyberspace, related laws and regulations may be developed and it will be necessary to pay careful attention to these developments.

Law Stated Date

Correct On

Give the date on which the information above is accurate.

The information above is effective as at 30 November 2019.

La cybersécurité au Japon – Lexologie ☏ mutuelle entreprise
4.9 (98%) 32 votes