Japonya'nın Kişisel Verileri Koruma Komisyonu (PPC), Kişisel Verilerin Korunması Yasası'nın (APPI) 2022 değişikliklerini uygulamaktadır. Bu değişiklikler, taklitlenmiş bilgi, sınır ötesi transfer kısıtlamaları ve AI eğitim verileri yönetimi için yeni hükümler de dahil olmak üzere korumaları önemli ölçüde genişletmiştir. PPC, 2024 yılında 45 uygulama kararı vermiş ve Japonya'ya özgü ilk AI gizlilik kılavuzunu yayımlamıştır.
APPI 2022: Neler Değişti
2022 APPI değişiklikleri, 2.4 milyon Japon işletmesinin gizlilik politikalarını güncellemelerini ve yeni işleme prosedürleri uygulamalarını gerektirmektedir:
Taklitlenmiş bilgi (仮名加工情報): Kimlik bilgilerini kaldırmak için işlenmiş kişisel verilerden oluşan yeni bir kategori, ancak yeniden kimliklendirme teorik olarak ayrı bir anahtar ile mümkündür. Taklitlenmiş bilgiler, kişisel verilerle aynı onay gereksinimleri olmadan dahili olarak paylaşılabilir, ancak üçüncü taraflara sağlanamaz. Bu, kişisel veriler ile anonimleştirilmiş bilgiler arasında Japonya'ya özgü bir orta kategori oluşturur.
Anonimleştirilmiş bilgi (匿名加工情報): Yeniden kimliklendirme teknik olarak imkansız olacak şekilde işlenmelidir — nitelikli bir üçüncü taraf tarafından doğrulanmalıdır. Japonya'nın anonimleştirme standardı, bir anahtar noktada GDPR'dan daha katıdır: üçüncü taraf doğrulaması zorunludur, isteğe bağlı değildir.
Sınır ötesi transferler: 2022 değişiklikleri, transfer kısıtlamalarını güçlendirmiştir; üçüncü ülkelere yapılan transferlerin Japonya'nın standartlarına "eşdeğer" bir koruma seviyesi sağlamasını gerektirmektedir. PPC, onaylı ülkelerin bir listesini tutmaktadır. AB, APPI çerçevesi altında Japonya ile yeterlilik sağlamaktadır.
AI eğitim verileri: PPC, AI eğitim veri setlerine açıkça hitap eden 2024 kılavuzunu yayımlamıştır. Ana gereksinimler:
- AI eğitimi için kullanılan kişisel veriler ya gerçekten anonimleştirilmiş olmalı (Japonya'nın sıkı üçüncü taraf doğrulama standardını karşılamalı) ya da belirli bir yasal dayanak altında işlenmelidir (genellikle onay)
- APPI'deki "İstatistiksel işleme istisnası" yalnızca sonuç modelinin çıktılardan bireyleri tanımlamak için kullanılamadığı durumlarda AI eğitimine uygulanır
- Japonya'dan web sitelerinden toplanan kişisel verilerle eğitim yapan LLM şirketleri, toplama için meşru bir dayanak göstermelidir
My Number: Japonya'nın Ulusal Kimlik Numarası
Japonya'nın My Number (マイナンバー) — resmi olarak Bireysel Numara (個人番号) — tüm Japonya sakinlerine, yabancı uyruklular da dahil olmak üzere verilen 12 haneli ulusal kimlik numarasıdır. 2016'dan beri 1.36 milyar Japon sakinine atanmış olan My Number, vergi yönetimi, sosyal güvenlik ve afet müdahalesi için kullanılmaktadır.
Teknik yapı: My Number, kontrol rakamı hesaplaması için Verhoeff algoritmasını kullanmaktadır — Hindistan'daki Aadhaar için kullanılan aynı karmaşık grup teorisi hata tespit şemasını. Bu algoritma, Luhn algoritmasından (İsveç kişisel numarası, SIN için kullanılan) ve çoğu Avrupa ulusal kimlik numarası için kullanılan modül tabanlı algoritmalardan önemli ölçüde daha karmaşık bir uygulama gerektirmektedir.
Tespit zorlukları:
- 12 haneli numaraların genel desen eşleştirmesi, Japon belgelerinde büyük miktarda yanlış pozitif sonuçlar üretmektedir (tarihler, telefon numaralarıyla birleştirilmiş posta kodları, fatura numaraları)
- Verhoeff doğrulaması, grup işlem tablolarının tam bir uygulamasını gerektirir — basit bir modüler aritmetik hesaplama değildir
- My Number, bazı belge bağlamlarında rakamların yanında Japon karakterleriyle görünmektedir
PPC'nin 2024 teknik değerlendirmesi, kullanılan genel NLP araçlarının %63'ünün Japon belgelerinde My Number'ı doğru bir şekilde tespit edemediğini bulmuştur.
Japonca Dil İşleme: Yazı Sistemi Zorluğu
Japonca metin, aynı anda üç yazı sistemi kullanmaktadır — Hiragana, Katakana ve Kanji (Çin karakterleri) — ayrıca bazı bağlamlar için Roman alfabesi (Romaji). İsimler bu yazı sistemlerinin herhangi bir kombinasyonunda görünebilir ve aynı isim farklı bağlamlarda farklı görünebilir.
Japonca'ya özgü NER zorlukları:
- İsim tanıma, Japonca dil modelleri gerektirir (spaCy ja_core_news ile Japonca tokenizasyon)
- Japonca, kelimeler arasında boşluk kullanmaz — tokenizasyon, Japonca'ya duyarlı tokenleştiriciler gerektiren ayrı bir işleme adımıdır
- Kişi isimleri genellikle Kanji ile furigana (Hiragana/Katakana'da fonetik rehber) ile yazılır — araçlar hem Kanji formunu hem de fonetik formunu tespit etmelidir
- Japonca organizasyon isimleri (会社名, 株式会社) Japonca'ya özgü organizasyon tanıma kalıpları gerektirir
Diğer Japonca Tanımlayıcılar
Sürücü belgesi numarası: 12 haneli format, il kodu ön eki ile. İl kodları standartlaştırılmıştır (Tokyo = 10, Osaka = 62, vb.), coğrafi bileşenin doğrulanmasını sağlar.
Japonya pasaportu: Japonya'ya özgü düzenleme gelenekleri ile standart ICAO formatı.
Sağlık Sigortası Sertifikası (健康保険証): Sigorta sembolü (記号) + numara formatı, Japonya'nın çoklu sağlık sigortası şemaları arasında ihraççıya özgü format varyasyonları ile.
İkamet Kartı (在留カード): Yabancı sakinler için format — 2 harf + 8 rakam + 2 harf, MOJ'ye özgü doğrulama ile.
Japonya-AB Veri Transfer Durumu
Japonya ve AB arasında karşılıklı yeterlilik kararları bulunmaktadır — kişisel verilerin AB ile Japonya arasında ek transfer mekanizmaları gerektirmeden akışı sağlanmaktadır. 2019'dan beri yürürlükte olan bu ikili düzenleme, Japonya'yı tam AB yeterliliğine sahip olan birkaç Avrupa dışı ülkeden biri yapmaktadır.
Karşılıklı yeterlilik, standart iş kişisel verilerini kapsamaktadır. Belirli kategoriler — hassas sağlık verileri, sabıka kayıtları — yeterlilik düzenlemesi altında bile ek koruma gerektirmektedir.
Japon kişisel verilerini işleyen kuruluşlar için: Verhoeff doğrulaması ile My Number tespiti en teknik olarak zorlu gereklilik olup, bunu Japonca dil NER desteği izlemektedir. Japon operasyonları olan çok uluslu kuruluşlar için iki dilli Japonca/İngilizce işleme giderek daha fazla gereklilik haline gelmektedir.
Kaynaklar: