Lei My Number (Japão)

Sobre a Lei My Number

O governo Japonês Promulgou a Lei My Number (em japonês e Inglês), que entrou em vigor em janeiro de 2016. Ele atribuiu um número exclusivo de 12 dígitos - chamado My Number, ou o Número de Imposto e Benefícios Sociais, ou Número Individual - a todos os residentes do Japão, seja japonês ou estrangeiro. Dar a cada pessoa um número para todos os fins (como o número de Previdência Social dos EUA) foi concebido para simplificar e tornar a tributação mais eficiente e implementar benefícios sociais, como pensão nacional, seguro saúde e desemprego.

A Comissão de Proteção de Informações Pessoais (PPC), que atua como autoridade de proteção de dados centralizada, foi estabelecida pela Lei de Proteção de Informações Pessoais (em japonês e inglês). No papel do PPC de supervisionar e monitorar a conformidade com a Lei My Number, foram publicadas Diretrizes sobre o My Number (japonês) para garantir que as organizações tratem e protejam corretamente os dados pessoais, inclusive os dados My Number, conforme as exigências da lei.

A Microsoft e a Lei My Number

Para ajudar nossos clientes japoneses a proteger a privacidade dos dados pessoais, a Microsoft estabelece contratualmente através dos Termos do Microsoft Online Services que os serviços de nuvem no escopo de negócios implementaram as proteções de segurança técnica e organizacional que ajudam nossos clientes a cumprir a Lei My Number. Isso significa que os clientes no Japão podem implantar os serviços de nuvem de negócios da Microsoft com a segurança de estarem em conformidade com os requisitos legislativos japoneses.

O Q&A (japonês) publicado pela Comissão de Proteção de Informações Pessoal (PPC) define diretrizes para o tratamento e proteção adequados de informações pessoais. Ele fornece que um terceiro não é interpretado como manipulação de dados pessoais se o terceiro estipula em seu contrato que (a) não o faz e (b) estabelece um sistema de controle de acesso adequado. A Lei de Meu Número especifica obrigações quando os dados são transferidos para terceiros, mas a seção Q3-12 (japonês) do PPC Q&A explica que esses requisitos não se aplicam se o terceiro não 'manipular', ou seja, tiver acesso permanente a dados pessoais.

Os serviços de nuvem de negócios do Microsoft Business atendem a esses requisitos nos Termos do Microsoft Online Services, que determinam que a propriedade e a responsabilidade dos dados de clientes que contêm dados My Number pertencem aos clientes, não à Microsoft. O cliente, portanto, deve ter os controles adequados no local para proteger os dados My Number contidos nos dados dos clientes.

Como a Microsoft não tem acesso permanente aos dados do Meu Número armazenados em seus serviços de nuvem, não é necessário um contrato de "terceirização" para lidar com dados do Meu Número. Se um cliente deseja que a Microsoft tenha acesso aos dados de clientes que contenham os dados My Number, deve fazer um contrato de terceirização adicional com a Microsoft para todos os casos antes de fazer tal solicitação.

Os termos também afirmam que a Microsoft se compromete a usar dados do cliente apenas para fornecer serviços ao cliente , não para qualquer publicidade ou fins comerciais semelhantes, e que a Microsoft tem sistemas de controle de acesso robustos em vigor.

Portanto, os serviços de nuvem de negócios da Microsoft dão suporte aos requisitos do My Number Act e não criam outras obrigações sob o ato para os clientes, como o consentimento de um proprietário individual de dados pessoais.

Plataformas e serviços em nuvem no escopo da Microsoft

• Azure
• Dynamics 365
• Intune
• Office 365

Office 365 e o Meu Número de Lei

Ambientes do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

• Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
• Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
• Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
• Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
• Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade

Serviços no escopo

Comercial

Microsoft Entra ID, Azure Proteção de Informações, Bookings, Compliance Manager, Delve, Exchange Online, Proteção do Exchange Online, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender para Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do for Web, MyAnalytics, Conformidade Avançada do Office 365 suplemento, Office 365 Cloud App Security, Office 365 Grupos, Office 365 Centro de Conformidade & segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage

Como implementar

• Visão geral do gerenciamento de dados & privacidade: como a Microsoft cria fortes proteções de privacidade em Office 365.
• Acesso de Administrador no Office 365: como a Microsoft gerencia o acesso administrativo aos dados do cliente.
• Auditorias & Relatórios no Office 365: Explore os recursos que os clientes podem usar para controlar atividades administrativas e de usuários no locatário.
• Retenção de Dados no Office 365: Entenda a política de tratamento de dados durante o período que os dados dos clientes ficam retidos após a exclusão.

Perguntas frequentes

Quem é responsável por proteger os dados pessoais sob a Lei My Number?

A seção Q3-13 (japonês) do PPC Q&A afirma que, como a propriedade de dados pessoais é dos clientes da Microsoft, eles são obrigados a tomar medidas de segurança apropriadas, como controlar senhas de administrador, para proteger informações pessoais e dados do Meu Número.

Recursos

• Privacidade na Microsoft
• Declaração de Privacidade da Microsoft
• Considerações sobre privacidade na nuvem
• Conformidade na Central de Confiabilidade da Microsoft