My Number Act (Giappone)

  • Articolo

Informazioni su My Number Act

Il governo giapponese ha promulgato il My Number Act (versione in giapponese e in inglese), che è entrato in vigore nel gennaio 2016. Ha assegnato così un numero univoco a 12 cifre, noto come My Number e corrispondente al numero di previdenza sociale, codice fiscale e identificativo personale, a tutti i residenti in Giappone, indipendentemente dalla loro nazionalità. L'assegnazione a ogni persona di un numero da usare per qualunque scopo (come il codice fiscale italiano) è stata pensata per semplificare e rendere più efficienti la gestione fiscale e l'implementazione di benefit sociali come la pensione nazionale, l'assicurazione medica e la disoccupazione.

La Personal Information Protection Commission (PPC), che funge da autorità centralizzata per la protezione dei dati, è stata fondata dall'Act on the Protection of Personal Information (versione in giapponese e in inglese). Nell'ambito del suo compito di supervisione e monitoraggio della conformità con il My Number Act, la PPC ha emesso delle linee guide per My Number (versione in giapponese) per garantire che le organizzazioni gestiscano in modo appropriato e tutelino adeguatamente i dati personali, inclusi i dati My Number, come previsto dalla legge.

Microsoft e il My Number Act

Per aiutare i clienti giapponesi a proteggere la privacy dei dati personali, Microsoft si impegna contrattualmente attraverso le Condizioni di Microsoft Online Services a garantire che nei servizi cloud per le aziende interessate siano implementate misure di sicurezza tecniche e organizzative in grado di aiutare i clienti a rispettare il My Number Act. Questo supporto significa che i clienti in Giappone possono usare i servizi cloud Microsoft per le aziende nel rispetto degli obblighi alle normative giapponesi.

Il Q&A (giapponese) pubblicato dalla Personal Information Protection Commission (PPC) definisce linee guida per la gestione e la protezione appropriate delle informazioni personali. Fornisce che una terza parte non viene interpretata come la gestione dei dati personali se la terza parte stabilisce nel suo accordo che (a) non lo fa e (b) stabilisce un sistema di controllo di accesso appropriato. Il My Number Act specifica gli obblighi quando i dati vengono trasferiti a terze parti, ma la sezione Q3-12 (giapponese) del PPC Q&A spiega che questi requisiti non si applicano se la terza parte non "gestisce", ovvero ha accesso permanente ai dati personali.

I servizi cloud Microsoft per le aziende definiscono questi obblighi nelle Condizioni di Microsoft Online Services, che stipulano che la proprietà e la responsabilità dei dati contenenti i dati My Number sono esclusive dei clienti e non di Microsoft. Il cliente deve pertanto adottare controlli appropriati per proteggere i dati My Number contenuti nei dati dei clienti.

Poiché Microsoft non ha accesso permanente ai dati my number archiviati nei servizi cloud, non è necessario un contratto di "esternalizzazione" per la gestione dei dati my number. Se un cliente vuole accedere ai dati dei clienti che contengono dati My Number, deve creare un altro contratto di outsourcing con Microsoft per ogni caso prima di avanzare tale richiesta.

I termini dichiarano inoltre che Microsoft si impegna a usare i dati dei clienti solo per fornire servizi al cliente, non per scopi pubblicitari o commerciali simili e che Microsoft dispone di sistemi di controllo degli accessi affidabili.

Pertanto, i servizi cloud aziendali Microsoft supportano i requisiti di My Number Act e non creano altri obblighi ai sensi dell'atto per i clienti, ad esempio il consenso di un singolo proprietario di dati personali.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

Office 365 e il My Number Act

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender per Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do per il Web, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Cloud App Security, gruppi di Office 365, Office 365 Centro conformità & sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage

Come eseguire l'implementazione

Domande frequenti

Chi è responsabile della protezione dei dati personali ai sensi del My Number Act?

La sezione Q3-13 (giapponese) del Q PPC&A indica che, poiché la proprietà dei dati personali spetta ai clienti Microsoft, è necessario adottare misure di sicurezza appropriate, ad esempio il controllo delle password di amministratore, per proteggere le informazioni personali e i dati personali.

Risorse