Lei My Number (Japão)
Sobre a Lei My Number
O governo Japonês Promulgou a Lei My Number (em japonês e Inglês), que entrou em vigor em janeiro de 2016. Ele atribuiu um número exclusivo de 12 dígitos - chamado My Number, ou o Número de Imposto e Benefícios Sociais, ou Número Individual - a todos os residentes do Japão, seja japonês ou estrangeiro. Dar a cada pessoa um número para todos os fins (como o número de Previdência Social dos EUA) foi concebido para simplificar e tornar a tributação mais eficiente e implementar benefícios sociais, como pensão nacional, seguro saúde e desemprego.
A Comissão de Proteção de Informações Pessoais (PPC), que atua como autoridade de proteção de dados centralizada, foi estabelecida pela Lei de Proteção de Informações Pessoais (em japonês e inglês). No papel do PPC de supervisionar e monitorar a conformidade com a Lei My Number, foram publicadas Diretrizes sobre o My Number (japonês) para garantir que as organizações tratem e protejam corretamente os dados pessoais, inclusive os dados My Number, conforme as exigências da lei.
A Microsoft e a Lei My Number
Para ajudar nossos clientes japoneses a proteger a privacidade dos dados pessoais, a Microsoft estabelece contratualmente através dos Termos do Microsoft Online Services que os serviços de nuvem no escopo de negócios implementaram as proteções de segurança técnica e organizacional que ajudam nossos clientes a cumprir a Lei My Number. Isso significa que os clientes no Japão podem implantar os serviços de nuvem de negócios da Microsoft com a segurança de estarem em conformidade com os requisitos legislativos japoneses.
O Q&A (japonês) publicado pela Comissão de Proteção de Informações Pessoais (PPC) estabelece diretrizes para o tratamento e a proteção adequados das informações pessoais. Fica estabelecido que terceiros não podem tratar dados pessoais caso esteja previsto no contrato que terceiros (a) não devam fazê-lo e (b) haja um sistema de controle de acesso específico. A Lei My Number especifica as obrigações durante a transferência de dados para terceiros, mas a seção Q3-12 (japonês) do PPC Q&A explica que esses requisitos não se aplicam se o terceiro não "tratar" - ou seja, ter acesso permanente - aos dados pessoais.
Os serviços de nuvem de negócios do Microsoft Business atendem a esses requisitos nos Termos do Microsoft Online Services, que determinam que a propriedade e a responsabilidade dos dados de clientes que contêm dados My Number pertencem aos clientes, não à Microsoft. O cliente, portanto, deve ter os controles adequados no local para proteger os dados My Number contidos nos dados dos clientes.
Como a Microsoft não possui acesso permanente aos dados do Meu número armazenados nos seus serviços de nuvem, não é necessário ter um contrato de "terceirização" para o tratamento dos dados do Meu número. Se um cliente deseja que a Microsoft tenha acesso aos dados de clientes que contenham os dados My Number, deve fazer um contrato de terceirização adicional com a Microsoft para todos os casos antes de fazer tal solicitação.
Os termos também atestam que a Microsoft se compromete a usar os dados do cliente apenas para fornecer serviços para o cliente - não para propaganda ou finalidades comerciais similares - e que a Microsoft tem sistemas de controle de acesso robustos.
Em relação às questões de segurança, os serviços de nuvem de negócios da Microsoft atendem aos padrões da Cloud Security Mark (Gold), a primeira certificação japonesa de segurança para provedores de serviços de nuvem.
Portanto, os serviços de nuvem de negócios da Microsoft atendem aos requisitos My Number e não criamos obrigações adicionais sob a lei para os clientes, como o consentimento de um proprietário individual de dados pessoais.
Plataformas e serviços de nuvem no escopo da Microsoft
- Azure
- Dynamics 365
- Intune
- Office 365
Office 365 e o Meu Número de Lei
Ambientes da nuvem do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes em nuvem do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
Aplicabilidade | Serviços no escopo |
---|---|
Comercial | Azure Active Directory, Proteção de Informações do Azure, Bookings, Gerente de Conformidade, Delve, Exchange Online, Proteção do Exchange Online, Formulários, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender para Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do para a Web, MyAnalytics, complemento da Conformidade Avançada do Office 365, Office 365 Cloud App Security, Grupos do Office 365, Centro de Segurança e Conformidade do Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Yammer Enterprise |
Como implementar
- Política de Segurança da Microsoft: Como a Microsoft lida com a segurança de informações pessoais e organizacionais em seus serviços de nuvem.
- Privacidade no Office 365: Como a Microsoft constrói uma forte proteção de privacidade no Office 365.
- Acesso de Administrador no Office 365: como a Microsoft gerencia o acesso administrativo aos dados do cliente.
- Auditorias & Relatórios no Office 365: Explore os recursos que os clientes podem usar para controlar atividades administrativas e de usuários no locatário.
- Retenção de Dados no Office 365: Entenda a política de tratamento de dados durante o período que os dados dos clientes ficam retidos após a exclusão.
Perguntas frequentes
Quem é responsável por proteger os dados pessoais sob a Lei My Number?
Seção Q3-13 (japonês) da PPC Q&A afirma que, como a propriedade dos dados pessoais está associada aos clientes da Microsoft, eles precisam executar as medidas de segurança apropriadas, como controlar senhas de administrador, para proteger as informações pessoais e os dados My Number.