Регулирование защиты персональных данных в Японии: самое сложное — в деталях
- 10 апреля, 2026
- Data Privacy
На первый взгляд японское регулирование может показаться знакомым, потому что в нём есть привычные нам принципы, согласие как основание, похожие защитные меры, необходимость уведомлять об утечках, похожие права субъектов и многое другое. Но если присмотреться, то известные нам контуры регулирования начинают размываться и обрастать интересными регуляторными особенностями и нюансами, потому что японский регламент организован иначе, чем GDPR и другие законы, построенные на наследии Конвенции 108. Он фокусируется на цели обработки вместо основания, на особых правилах передачи персональных данных, вводит категорию «информации, связанной с персональными данными», а среди ответственности превалируют репутационные меры и уголовная ответственность. Поэтому privacy-комплаенс для иностранных компаний в Японии может оказаться не тем, чем кажется. О том, что он на самом деле из себя представляет и какие риски для иностранного бизнеса несет, рассказываем в этой статье.
Содержание
Краткий обзор регулирования
Право персональных данных в Японии строится вокруг основного закона о персональных данных Act on the Protection of Personal Information (APPI) (個人情報の保護に関する法律, Kojin Jōhō no Hogo ni Kansuru Hōritsu) и практики Personal Information Protection Commission (PPC) (個人情報保護委員会, Kojin Jōhō Hogo Iinkai), контролирующего органа в сфере персональных данных Японии. Для бизнеса помимо APPI важен закон My Number Act о «майнамба» — ID-карточке, которая есть у каждого японца или иностранца, приехавшего на ВНЖ/ПМЖ в Японию. Также важно учитывать гайдлайны PPC, особенно ключевые General Guidelines, Foreign Transfer Guidelines и PPC Q&A. Если APPI и другие законы ещё можно найти на английском, то многие гайдлайны и FAQ доступны только на японском — повод выучить один из самых сложных языков в мире!
Скоуп закона
APPI определяет свою цель как защиту прав и интересов личности при учёте полезности персональной информации, а также прямо говорит о международной гармонизации. Основные принципы закреплены в статьях 17-23 (главе 4) APPI.
Закон распространяется на обработки персональных данных живых людей внутри Японии. Статья 171 APPI также распространяет закон на контролеров за рубежом, если те предоставляют услуги/поставляют товары в Японию. Закон также распространяется на псевдонимизированные и анонимизированные данные, а также на «информацию, связанную с персональными данными», о чём мы предупреждали в начале статьи.
Под «информацией, связанной с персональными данными» (個人関連情報) понимаются данные, которые сами по себе не позволяют компании идентифицировать человека, но могут стать персональными данными у получателя, если у него есть дополнительные сведения. Например, сайт собирает cookie ID и историю просмотров, но не имеет аккаунтов и не может установить личность пользователя, поэтому для него это не персональные данные. Однако рекламная платформа, получив эти данные и сопоставив их со своими профилями пользователей, уже может идентифицировать человека, и тогда такая информация становится персональной именно у неё, из-за чего передача подпадает под описанное регулирование.
Санкции
Закон предусматривает эскалационную модель санкций за нарушения регулирования. Сначала PPC может запросить отчёт или материалы, затем дать рекомендацию, а после выдать предписание (статьи 146, 147 и 148 APPI). Для иностранных контроллеров также важна статья 163 APPI, которая допускает специальный порядок для зарубежных контролеров, или когда адрес нарушителя неизвестен.
Стоит также обратить внимание на главу 8 APPI, которая фиксирует как штрафные санкции, так и сроки тюремного заключения для нарушителей. Так, нарушение приказа PPC может повлечь для нарушителя лишение свободы до 1 года или штраф до 1 млн йен (статья 178 APPI). Вдобавок, компания, в которой произошло такое нарушение, должна будет заплатить до 100 млн йен (статья 184 APPI). Таким образом, в Японии личная ответственность идёт параллельно со штрафами компании, что стоит учитывать тем, кто думает о privacy-карьере в Японии.
Разумеется, в Японии большую роль играет репутационный аспект любых нарушений, поэтому стоит грамотно выстраивать PR-регламент реагирования на утечки, штрафы и иные негативные события в privacy и заранее закладывать в бюджет возможные компенсации для пострадавших субъектов.
Орган власти, заведующий privacy-регулированием
Центральным регулятором является PPC. Закон наделяет его правом требовать отчёты и материалы, проводить проверки, в том числе выездные, давать советы, рекомендации и приказы. Кроме того, PPC может делегировать часть функций профильным министерствам, что обеспечивает секторальное регулирование персональных данных по отраслям.
Права и обязанности
Стоит отметить, что статья 57 APPI выводит из-под части обязанностей деятельность прессы, профессиональных авторов, академических институтов, религиозных организаций и политических субъектов в пределах соответствующей деятельности.
Ключевые обязанности бизнеса по APPI начинаются с определения целей обработок. Оператор должен как можно более конкретно определять цели, не использовать данные за пределами целей без согласия, не использовать их способом, который может способствовать незаконным или ненадлежащим действиям, и уведомлять или публично раскрывать цели использования. Классического перечисления оснований обработок, привычного европейским прайвасистам, в законе формально нет. Да, он фактически закрепляет множество случаев, когда персональные данные можно обрабатывать по согласию, требованию закона или в публичном интересе, однако в этом списке отсутствует легитимный интерес.
Следующий блок обязанностей касается управления персональными данными. Компания должна поддерживать точность персональных данных в пределах цели, принимать необходимые и подходящие меры безопасности, контролировать сотрудников и следить за подрядчиками.
Отдельный блок обязанностей связан с передачами. Статья 27 регулирует передачи третьим лицам, статья 28 регулирует трансграничные передачи, статьи 29 и 30 требуют проверки и документирования по ряду передач, а статья 31 добавляет специальный режим для информации, связанной с персональными данными.
В этой статье разбираемся: что такое трансграничная передача данных, при каких условиях ее можно осуществлять и какие документы для нее нужны.
Реагирование на утечки в Японии тоже имеет свои особенности. Статья 26 APPI требует уведомлять PPC и субъектов в отдельных случаях. PPC на своей официальной странице поясняет, что первичное уведомление ждут немедленно, обычно в пределах от 3 до 5 дней, а итоговое уведомление подаётся в пределах 30 дней либо 60 дней в отдельных случаях.
Права субъекта в APPI сосредоточены вокруг хранения персональных данных. Статьи 32-39 дают субъекту доступ к обязательной информации о хранимых персональных данных, право на исправление, удаление, а также право требовать прекращение передачи третьим лицам в предусмотренных случаях. При этом право на переносимость данным в APPI отсутствует, как и регулирование принятие решений автоматизированным образом, без участия человека.
Три ключевых риска для иностранной компании
1. Недооценить ту самую «информацию, связанную с персональными данными»
Основной (на наш взгляд) риск связан с тем, что по японскому регулированию данные могут не быть персональными для отправителя, но становятся персональными для получателя. Статья 31 APPI разрешает подобную передачу только по согласию субъекта, а если речь идёт о трансграничной передаче — с предварительным информированием о состоянии защиты в стране, куда будут передаваться данные, вместе с информацией о принимаемых защитных мерах. PPC прямо поясняет, что в эту зону часто попадают различные идентификаторы, история браузера и другие данные, которые по умолчанию и отдельно от других персональных данных не являются персональными в Японии.
Например, на сайте размещено видео, через видеохостинг. Сайт фиксирует, какие ролики смотрит пользователь, но не имеет логина или профиля и не может понять, кто именно посмотрел ролик. Он передаёт эти данные видеохостингу или партнёру, у которого есть аккаунты пользователей, и тот связывает просмотры с конкретным человеком. В результате данные становятся персональными у получателя.
Для иностранной компании это опасно, потому что данные, которые внутренний комплаенс в соответствии с японским законодательством посчитает неперсональными и «нетоксичными» для самой компании, становятся таковыми при передаче вендорам, облачным сервисам, маркетинговым платформам. Чтобы оценить риск переквалификации данных в персональные, нужно хорошо понимать, как вендор будет обрабатывать получаемые от вас данные, что влечёт необходимость особенно тщательного вендор-менеджмента.
2. Не уделять достаточно внимания передачам персональных данных
Второй рисковый момент состоит в том, что иностранная группа компаний может посчитать передачу персональных данных процессом, до которого регулятор не доберётся. Но любая передача персональных данных (даже между двумя японскими компаниями) по общему правилу требует согласия субъекта или применимого исключения (статья 27 APPI), например:
🔹 аутсорсинга в пределах цели компании;
🔹 перехода персональных данных в результате сделок M&A;
🔹 совместного использования (вроде joint controllership), с обязательным раскрытием условий такой передачи субъекту.
В процессе передачи персональных данных есть отдельное исключение, которое позволяет избежать постоянного сбора согласий — opt-out модель по статье 27(2). Она требует уведомления PPC и публичности соответствующей схемы. На практике этот режим ассоциируется с проблематикой дата-брокеров, поэтому к нему относятся с особым вниманием. Для чувствительных персональных данных и для ряда иных сценариев этот путь закрыт или сильно ограничен, в том числе для информации, связанной с персональными данными.
В случае трансграничной передачи потребуется соблюдение статьи 28 APPI. Без согласия на трансграничную передачу получится обойтись, если персональные данные передаются в адекватную юрисдикцию, которыми Япония пока признала только Великобританию и ЕС. Если страна передачи пока не признана адекватной, можно пойти по пути, напоминающему европейские SCC (Standard Contractual Clauses) вместе с TIA (Transfer Impact Assessment). В таком случае нужно:
1) убедиться, что получатель использует эквивалентные меры защиты и обращения с персональными данными (аналог TIA);
2) закрепить это в договоре (аналог SCC);
3) мониторить соблюдение.
PPC уже изучил регулирование в некоторых странах и опубликовал отчёты на своём сайте, так что при передаче персональных данных в уже изученные страны (например, в Россию, некоторые штаты США, ОАЭ, Гонконг, Канаду) повторно проводить TIA не придётся: можно использовать наработки PPC. Если же не получается пойти по пути адекватной юрисдикции или эквивалентных мер, нужно использовать согласие на трансграничную передачу.
Выходит, что любая передача требует соблюдения сначала статьи 27, а затем статьи 28 APPI в случае трансграничной передачи. И, как было сказано выше, при передаче данных, которые могут оказаться персональными в руках получателя, нужно также соблюдать статью 31 APPI.
3. Перенести в Японию глобальную Политику приватности без учёта японской специфики
Третий риск документарный и связан с описанием самих обработок. APPI требует фокусироваться и конкретнее определять цели использования персональных данных. PPC в Q&A прямо говорит, что формулировки вроде «улучшение сервиса» или «маркетинговые цели» могут быть слишком абстрактными. Орган рекомендует описывать цели максимально подробно и понятно. Например, анализ истории браузера и покупок требуется для отображения рекламы, наиболее подходящей пользователю по его интересам. Анализ поведения на сайтах требуется для подсчёта кредитного рейтинга и предоставления этой информации третьим лицам, например, банкам. Поэтому мы рекомендуем пересматривать Политики и Notice перед выводом продуктов на японский рынок: документы наверняка придётся редактировать.
Планируете выход на японский рынок или уже обрабатываете данные клиентов в Японии?
Запишитесь на бесплатную консультацию — разберём ваш кейс, определим риски по APPI и наметим понятные шаги по комплаенсу.
Вывод
Для иностранной компании японский privacy-комплаенс начинается с трёх вопросов:
🔹 Какие данные в продукте могут оказаться информацией, связанной с персональными данными?
🔹 Кто именно по факту получает доступ к данным внутри группы и со стороны подрядчиков?
🔹 Насколько конкретно описаны цели обработки персональных данных?
Если эти три вопроса урегулированы, большая часть японских рисков становится управляемой. Внимательно читайте закон и гайдлайны, адаптируйте регламенты и документы под японскую специфику и не бойтесь взаимодействия с регулятором!
Помощь и поддержка по вопросам защите персональных данных по GDPR и национальным законам
Помогаем настроить системную работу по защите персональных данных с помощью тренингов и консалтинговых услуг.
Приведем проекты, процессы и продукты компании в соответствие с международными и национальными правилами защиты данных: GDPR, CCPA, UAE PDPL, PIPL, Закон Республики Беларусь № 99-З, Закон Республики Казахстан № 94-V и другими.
Обучающие курсы по защите персональных данных от экспертов с международными сертификациями. Особенность наших программ — их практическая применимость и вовлеченность. Мы даем студентам реальные кейсы и фреймворки, а также превращаем сложные темы в понятные визуальные материалы.
Корпоративные программы обучения по защите персональных данных, которые адаптируются под вашу команду. Учитываем уровень сотрудников в приватности, сферу деятельности бизнеса и применимое законодательство.
