Japan My Number: APPI y la verificación Verhoeff
La Comisión de Protección de Información Personal de Japón (PPC) emitió 45 decisiones de aplicación en 2024. También publicó la primera guía de privacidad de IA de Japón. Un estudio de la PPC encontró que el 63 % de las herramientas NLP genéricas no detectan el My Number (マイナンバー) en documentos japoneses. Si su equipo maneja datos de residentes japoneses, esa brecha representa un riesgo directo bajo la APPI.
Qué es el My Number
Japón asigna a cada residente un identificador único de 12 dígitos. Esto es el My Number, parte del Sistema de Número Individual (マイナンバー制度). Cubre impuestos, pensiones, seguro médico y respuesta a desastres. El My Number es un dato sensible bajo la APPI. Necesita una razón legal para recopilarlo o compartirlo.
El problema de la verificación Verhoeff
El My Number usa el algoritmo Verhoeff para su dígito de control. Verhoeff es un método matemático que detecta todos los errores de un solo dígito. También detecta todos los errores donde dos dígitos adyacentes se intercambian. Necesita tres tablas de consulta para funcionar. No se puede calcular mentalmente. Requiere código.
Esto importa por dos razones. Primero, el formato de 12 dígitos de Japón se parece a muchos otros números. Los códigos de factura, los IDs de referencia y las cadenas de fecha comparten el mismo formato. Sin una verificación Verhoeff, una herramienta marcará los números incorrectos. Segundo, la mayoría de las herramientas no usan Verhoeff. Usan verificaciones más simples de módulo 10 o módulo 11. Esas no funcionan para el My Number.
El estudio de la PPC encontró que el 63 % de las herramientas omiten la verificación o usan un método más simple. Ambos problemas ocurren al mismo tiempo: falsos positivos y falsos negativos.
El algoritmo de Luhn, usado para tarjetas de crédito, es más simple. El My Number no usa Luhn. Las herramientas construidas para Luhn no funcionarán aquí.
Tres sistemas de escritura, un nombre
El texto japonés usa tres sistemas de escritura a la vez. Una herramienta debe manejar los tres.
Hiragana (ひらがな): Para gramática y palabras nativas. 46 caracteres base.
Katakana (カタカナ): Para palabras y nombres extranjeros. 46 caracteres base. Los nombres extranjeros en Japón aparecen en esta escritura.
Kanji (漢字): Símbolos para sustantivos y nombres. Unos 2.000 son de uso común.
El nombre de una persona puede aparecer en cuatro formas: Kanji (田中太郎), Hiragana (たなかたろう), Katakana (タナカ タロウ) y Romaji (Tanaka Taro). Una herramienta debe coincidir con las cuatro. Si se pierde una, se perderá la mayoría de los registros de esa persona.
Otros IDs japoneses a detectar
Licencia de conducir (運転免許証番号): 12 dígitos. Los dos primeros indican la prefectura. Tokio es 10. Osaka es 62. Esto permite que una herramienta verifique si el número es válido para esa región.
Pasaporte (旅券番号): Dos letras más siete dígitos. Formato ICAO. Japón usa pares de letras específicos.
Tarjeta de seguro médico (健康保険証記号番号): Un símbolo más un número. El formato depende del asegurador. El seguro médico nacional (国民健康保険) y el seguro administrado por la sociedad (協会けんぽ) usan diferentes formatos.
Tarjeta de residencia (在留カード番号): Para residentes extranjeros. Dos letras, ocho dígitos, dos letras. El Ministerio de Justicia emite esta tarjeta.
La regla de anonimización de la APPI
La APPI tiene un estándar estricto para datos anonimizados llamado información anonimizada (匿名加工情報). Va más allá del RGPD en un área clave. La anonimización debe ser verificable por terceros y técnicamente irreversible.
Para cumplir, una organización debe:
- Eliminar todos los identificadores directos, incluido el My Number.
- Manejar todas las combinaciones de cuasi-identificadores.
- Usar k-anonimato o un método similar.
- Publicar una descripción general de los pasos tomados.
- Nunca intentar re-identificar los datos.
La guía de IA 2024 de la PPC agrega una regla específica. Si entrena una IA con datos anonimizados, no puede usar ese modelo para re-identificar personas. Esto es una prohibición directa de ataques de inversión de modelos contra los conjuntos de entrenamiento APPI.
Para cumplir con los estándares de la PPC, necesita cuatro cosas. Primero, validación Verhoeff para el My Number. Segundo, NER japonés usando ja_core_news con tokenización adecuada. Tercero, coincidencia de nombres en Kanji, Kana y Romaji. Cuarto, verificaciones de código de prefectura para números de licencia de conducir.
India usa Aadhaar, que también requiere validación Verhoeff. La guía de cumplimiento técnico DPDPA de India cubre eso en detalle. Para la detección de identificadores nacionales en múltiples países, vea detección de IDs fiscales de la UE bajo el RGPD.